Accord relatif à la protection des données personnelles

Version 26.07.2022

Dans le cadre de l’exécution du CONTRAT SOLUTION, LENGOW peut être amenée à traiter des données à caractère personnel des INTERNAUTES et des UTILISATEURS pour le compte du CLIENT. Dans ce cadre, LENGOW reconnait agir en qualité de Sous-Traitant et le CLIENT reconnait agir en qualité de Responsable du Traitement au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil en date du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »).

Les PARTIES reconnaissent que la protection des données personnelles est primordiale et s’engagent dès lors à respecter la législation en vigueur y afférant.

Conformément à l’article 28.3 du RGPD, selon lequel le traitement mis en œuvre par un sous-traitant est régi par un contrat définissant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, les catégories de personnes concernées et les obligations et les droits du responsable du traitement, les PARTIES se sont rapprochées pour convenir de ce qui suit.

ARTICLE I. DEFINITIONS

Dans le présent accord (« Accord »), les mots et expressions en majuscules sont définis dans le CONTRAT SOLUTION ou revêtent les significations indiquées dans l’Accord.

Les termes « Données Personnelles », « Responsable de Traitement », « Sous-Traitant », « Personne(s) Concernée(s) », « Violation des données personnelles », « Traitement(s) », « Autorité de contrôle » et « Délégué à la Protection des Données » ont la même signification que celle prévue dans le RGPD et leurs termes apparentés doivent être interprétés en conséquence.

ARTICLE II. OBJET DE L’ACCORD

II.1 L’Accord a pour objet de déterminer les conditions dans lesquelles LENGOW effectue le Traitement des Données Personnelles pour le compte du CLIENT ainsi que les obligations respectives des PARTIES.

Le Traitement des Données Personnelles effectué par LENGOW pour le compte du CLIENT est détaillé à l’Annexe de l’Accord (« DESCRIPTION DU TRAITEMENT »).

II.2 Les PARTIES conviennent qu’elles se fourniront mutuellement tous les renseignements utiles pour se conformer aux obligations prévues dans l’Accord.

ARTICLE III. DUREE DU TRAITEMENT DE DONNEES

La durée du Traitement des Données Personnelles correspond à la durée telle que déterminée dans l’Annexe.

ARTICLE IV. OBLIGATIONS DES PARTIES

IV.1. Obligations du Sous-Traitant

LENGOW s’engage à :

• traiter les Données Personnelles uniquement pour les seules finalités prévues au CONTRAT SOLUTION ainsi que dans l’Annexe du présent Accord ;
• traiter les Données Personnelles conformément aux instructions documentées et transmises par le CLIENT. Toutes options, instructions, actions du CLIENT dans le cadre de l’utilisation par ses soins de la SOLUTION LENGOW, qui impliquent, pour être exécutées par LENGOW, un Traitement de Données Personnelles, seront considérées comme valant accord du CLIENT pour le Traitement de ces Données Personnelles par LENGOW en qualité de Sous-Traitant. Si LENGOW considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe promptement le CLIENT. En outre, si LENGOW est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
• garantir la confidentialité des Données Personnelles traitées dans le cadre du présent CONTRAT SOLUTION ;
• veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu du présent CONTRAT SOLUTION :
  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
• assister le CLIENT dans la réalisation d’analyses d’impact relatives à la protection des données et de consultations préalables de l’Autorité de contrôle compétente ;
• tenir un registre des activités de Traitement qu’il effectue pour le CLIENT, conformément aux dispositions du RGPD, et tenir lesdites activités de Traitement confidentielles à l’égard de ses autres clients,
• tenir et mettre à la disposition du CLIENT toute la documentation nécessaire pour permettre de démontrer le respect de ses diverses obligations

IV.2 Obligations du Responsable du Traitement

Le CLIENT s’engage à transmettre et à documenter par écrit toute éventuelle instruction complémentaire concernant le traitement des Données Personnelles par LENGOW.

Le CLIENT met à la disposition de LENGOW les informations nécessaires suivantes :

• le nom et les coordonnées du (ou des) Responsable(s) de traitement des Données Personnelles du CLIENT;
• le nom et les coordonnées du Délégué à la Protection des Données Personnelles du CLIENT, si désigné, ou à défaut, de l’interlocuteur du CLIENT en charge des Données Personnelles pour les besoins du présent Accord ;

LE CLIENT garantit que les Données Personnelles traitées grâce à la SOLUTION LENGOW sont collectées et traitées conformément au RGPD.

Conformément à la législation européenne et française sur la protection des données personnelles, et notamment le RGPD, avant toute utilisation de la SOLUTION LENGOW par le CLIENT et pendant toute la durée du CONTRAT, le CLIENT garantit à LENGOW que :

1. le CLIENT a collecté et traite les Données Personnelles de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes que LENGOW ne saurait connaître et dont le CLIENT déclare avoir dument informé les Personnes Concernées avant la collecte de leurs Données Personnelles, conformément au RGPD. Les éventuelles obligations de déclaration préalable liées au traitement des Données Personnelles auprès d’une Autorité de contrôle sont à la charge exclusive du CLIENT qui garantit à LENGOW y avoir procédé ;
2. le CLIENT est seul responsable du traitement des Données Personnelles qu’il collecte, saisit ou traite à l’occasion de son utilisation de la SOLUTION LENGOW et que LENGOW n’est pas autorisé à traiter pour ses besoins propres ;
3. le CLIENT détermine seul les finalités et les moyens du traitement des Données Personnelles opéré notamment par l’usage de la SOLUTION LENGOW proposée par LENGOW.

Les garanties données par le CLIENT à LENGOW au titre du présent article sont autant des conditions essentielles du CONTRAT SOLUTION, sans lesquelles LENGOW n’aurait pas contracté.

ARTICLE V. SOUS-TRAITANCE ULTERIEURE

LENGOW est autorisé à faire appel à un autre sous-traitant (ci-après, le « Sous-Traitant de LENGOW ») pour mener des activités de traitement spécifiques.

Le CLIENT reconnait et accepte que pour les besoins du CONTRAT SOLUTION, LENGOW fait régulièrement appel à d’autres prestataires techniques qui peuvent avoir la qualité de Sous- Traitant de LENGOW et traiter des Données Personnelles pour le compte de LENGOW. Le CLIENT peut accéder à la liste à jour des Sous-Traitants de LENGOW en cliquant ici. Le CLIENT dispose d’un délai de quinze (15) jours calendaires à compter de la date de réception de cette information pour présenter ses objections, étant entendu que ces dernières devront être basées sur des motifs objectifs et raisonnables.

Les Sous-Traitants de LENGOW sont tenus de respecter les obligations du présent Accord pour le compte et selon les instructions du CLIENT. Il appartient à LENGOW de s’assurer que les Sous-Traitants de LENGOW présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Si le Sous-Traitant de LENGOW ne remplit pas ses obligations en matière de protection des données, LENGOW demeure pleinement responsable devant le CLIENT de l’exécution par le Sous-Traitant de LENGOW de ses obligations.

ARTICLE VI. EXERCICE DES DROITS DES PERSONNES CONCERNEES

L’ensemble des droits dont disposent les Personnes Concernées sur leurs Données Personnelles, à savoir les droits d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), doivent être exercés par lesdites Personnes Concernées directement et exclusivement auprès du CLIENT, LENGOW s’engageant à se conformer à toute instruction écrite et licite de la part du CLIENT à cet égard.

Lorsque les Personnes Concernées exercent auprès de LENGOW des demandes d’exercice de leurs droits concernant leurs Données Personnelles , sauf stipulation contraire acceptée par LENGOW par écrit, LENGOW adressera promptement ces demandes par courrier électronique au CLIENT.

ARTICLE VII. NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

LENGOW s’engage à informer le CLIENT, dans les meilleurs délais après en avoir pris connaissance, de toute Violation des Données Personnelles lorsque cette atteinte entraîne, de manière accidentelle ou illicite, l’accès ou la divulgation non autorisée, l’altération, la perte ou la destruction des Données Personnelles. Il appartiendra alors au CLIENT d’en informer, le cas échéant, (i) l’Autorité de contrôle dont il dépend et (ii) les Personnes Concernées.

A première demande du CLIENT, LENGOW fournira par écrit l’ensemble des éléments nécessaires à la notification de la Violation des Données Personnelles par le CLIENT à l’Autorité de contrôle compétente en sa possession, à savoir :

• La nature de la Violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la Violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés ;
• Le nom et les coordonnées du Délégué à la Protection des Données personnelles de LENGOW ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• Les conséquences probables de la Violation des Données Personnelles ;
• Les mesures prises ou que LENGOW propose de prendre pour remédier à la Violation des Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où, il n’est pas possible pour LENGOW de fournir au CLIENT toutes ces informations en même temps, LENGOW s’engage à communiquer ces informations au CLIENT de manière échelonnée dans les meilleurs délais.

ARTICLE VIII. COOPERATION

En cas d’obligations de déclaration et de notification aux autorités de contrôle compétentes et/ou aux Personnes Concernées résultant d’une Violations des Données Personnelles, les PARTIES fourniront, sur demande, un soutien et des informations à l’autre PARTIE

Les PARTIES coopéreront, dans la mesure nécessaire, dans le cadre de réalisation d’analyse d’impact relative à la protection des données et de consultations préalables de l’autorité de contrôle compétente. Si une autorité de contrôle communique avec une PARTIE concernant le Traitement réalisé par l’une ou l’autre des PARTIES des Données Personnelles du CLIENT en vertu de l’Accord ou du présent CONTRAT, la PARTIE ayant communiqué avec l’Autorité de contrôle en informera l’autre PARTIE dans les meilleurs délais. Les PARTIES coopéreront dans la mesure raisonnablement nécessaire pour remplir leurs obligations de répondre aux demandes de l’Autorité de contrôle. Les PARTIES supporteront chacune les coûts respectifs raisonnables afférents à la réalisation de ces obligations étant précisé qu’en cas d’assistance renforcée de l’une ou l’autre des PARTIES, ces dernières discuteront de bonne foi du partage des coûts y afférents.

ARTICLE IX. MESURES DE SECURITE

LENGOW s’engage à mettre en œuvre les mesures de sécurité adéquates afin de sécuriser les Données Personnelles et en assurer l’intégrité, la disponibilité et la confidentialité. A ce titre, LENGOW a formalisé une Politique de Sécurité décrivant les mesures de sécurité mises en place. Cette Politique de Sécurité est accessible sur demande auprès de LENGOW.

ARTICLE X. SORT DES DONNEES

X.1 Données des INTERNAUTES

Au cours de l’exécution du CONTRAT SOLUTION, LENGOW supprimera ou, en tout état de cause, anonymisera automatiquement toutes les Données Personnelles des INTERNAUTES en sa possession dans un délai maximal de six (6) mois à compter de leur collecte via la SOLUTION LENGOW.

Au terme du CONTRAT SOLUTION, LENGOW s’engage à détruire ou, en tout état de cause, anonymiser, toutes les Données Personnelles des INTERNAUTES qui resteraient en sa possession dans un délai de deux (2) mois après la cessation du CONTRAT, à moins que le droit de l’Union ou le droit de l’Etat membre n’exige la conservation des Données Personnelles.

X.2 Données des UTILISATEURS

À l’issue du CONTRAT SOLUTION, LENGOW procèdera à la suppression, ou anonymisation, des Données Personnelles des UTILISATEURS de ses systèmes d’information dans un délai de 30 jours à l’issue du CONTRAT SOLUTION, sauf obligations administratives ou légales contraires.

ARTICLE XI. AUDIT

LENGOW met à la disposition du CLIENT la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre, dans la limite d’un audit par année contractuelle, la réalisation d’audits, par le CLIENT, ou un autre auditeur indépendant qu’il aura mandaté et qui devra avoir fait l’objet d’une validation préalable et écrite de LENGOW, et contribuer à ces audits. Ces audits seront effectués à distance sur la base des informations demandées par le CLIENT à LENGOW en vue de démontrer les procédures et la documentation mise en place par LENGOW pour se conformer au RGPD. Tous les frais engagés par le CLIENT dans le cadre dudit audit seront exclusivement supportés par le CLIENT.

Le CLIENT communiquera à LENGOW préalablement, et au moins deux (2) mois à l’avance toute demande d’opération d’audit, la date de l’audit ainsi que le nom et les coordonnées des personnes en charge de l’audit. Ce délai pourra être réduit à quinze (15) jours en cas de Violation de Données Personnelles.
L’audit étant réalisé à distance, LENGOW collaborera de bonne foi avec l’auditeur et lui communiquera toutes informations, documents ou explications nécessaires à la réalisation de l’audit en lien avec les opérations de traitement menées dans le cadre de l’exécution du CONTRAT. En aucun cas les opérations d’audit ne pourront avoir pour objets ou pour effets, directs ou indirects, de perturber les activités de LENGOW et d’accéder ou de porter atteinte de quelque manière que ce soit, aux éléments, propriété de LENGOW, protégés au titre de la propriété intellectuelle ou du secret des affaires.

ARTICLE XII. TRANSFERTS INTERNATIONAUX

LE CLIENT reconnait et accepte que LENGOW pourra transférer des Données Personnelles en dehors de l’EEE ou à une organisation internationale à la seule condition que l’une des mesures de protection appropriées telles que prévues par les dispositions du Chapitre V du RGPD soient effectivement mises en place.

Ces mesures comprennent :

• Le transfert de données à destination d’un pays tiers ayant fait l’objet d’une décision d’adéquation de la part de la Commission Européenne restant en vigueur ;
• L’encadrement du transfert des données par la signature du module adéquat des clauses contractuelles types en vigueur adoptées par la Commission Européenne (en date : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) et la mise en place, le cas échéant, de mesures complémentaires propres à assurer un niveau de protection des données substantiellement équivalent à celui prévu par le RGPD ;
• Le recours à l’une des dérogations particulières prévues à l’article 49 du RGPD lorsque le transfert respecte strictement les conditions d’application propres à l’exemption retenue.