RGPD

Protection des données personnelles#

I. Objet#

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant (Logora) s'engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Il est précisé que constitue une Donnée à caractère personnel toute information identifiant directement ou indirectement une personne physique.

Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, « le règlement européen sur la protection des données ») ainsi que la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée).

II. Description du traitement faisant l'objet de la sous-traitance#

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le service suivant :

Mise à disposition d'un espace contributif, via un widget intégré dans le site et son application, permettant aux internautes ayant un compte, de donner un avis et de répondre à des questions sous forme de débat et de commenter leurs réponses.

La nature des opérations réalisées sur les données est :#

Réception des données ;

Création du profil de la personne concernée via une déduplication du compte dans le système du sous-traitant;

Utilisation des données ;

Stockage des données ;

Destruction des données.

Les finalités du traitement sont :#

La prise en compte de la participation à un débat;

La prise en compte du dépôt des commentaires, des contributions ;

La gestion de l'espace de débats;

La modération à priori;

L'envoi de notifications par email lors d'une réponse à la contribution ;

L'amélioration des services via un test avec des utilisateurs acceptant d'évaluer l'outil ;

La suggestion des débats;

La proposition d'un débat à un utilisateur lié à son profil.

Les données à caractère personnel traitées sont :#

Les données d'identification (Nom, prénom, pseudo, email, notes et commentaires);

Les catégories de personnes concernées sont les internautes, salariés, lecteurs ayant un compte.

Pour l'exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes : l'ensemble des données personnelles traitées.

III. Obligations du sous-traitant vis-à-vis du responsable de traitement#

Le sous-traitant s'engage à :#
  1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance.

  2. utiliser les données personnelles uniquement dans le cadre des présentes ou sur instruction précise du responsable de traitement

  3. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe. Si le sous-traitant considère qu'une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

  4. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.

  5. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

  • S'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel,
  • prennent en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  1. Sous-traitance

En cas de sous-traitance autorisée, le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s'assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l'exécution par l'autre sous-traitant de ses obligations.

  1. Droit d'information des personnes concernées

Il appartient au responsable de traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

  1. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

  • Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d'exercice de leurs droits, le sous traitant doit adresser ces demandes dès réception par courrier électronique
  • Dans le cadre d'une demande de droit d'accès, le sous-traitant s'engage à transmettre immédiatement, après la demande du responsable de traitement, l'ensemble des données dont il dispose sur le demandeur.
  • Dans le cadre d'une demande de droit d'effacement, le sous-traitant s'engage à répercuter immédiatement cette demande en détruisant toutes les données du demandeur dans ses systèmes d'information.
  1. Notification des violations de données à caractère personnel

Le sous-traitant notifie immédiatement dès qu'il en a pris connaissance au responsable de traitement toute violation de données à caractère personnel et par le moyen suivant : par email Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

  1. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

Le sous-traitant aide le responsable de traitement pour la réalisation d'analyses d'impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l'autorité de contrôle.

  1. Privacy by design

Depuis le 25 mai 2018, le sous-traitant aura mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des données dès la conception et de protection des données par défaut.

  1. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s'engage à détruire toutes les données à caractère personnel. La suppression doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction.

  1. Délégué à la protection des données

Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s'il en a désigné un conformément à l'article 37 du règlement européen sur la protection des données.

  1. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

IV. Obligations du responsable de traitement vis-à-vis du sous-traitant#

Le responsable de traitement s'engage à :#
  1. fournir au sous-traitant les données visées au Il des présentes clauses;

  2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant;

  3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant;

  4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant.