RGPD - Protection des données

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant (CIAN TECHNOLOGIES) s'engage à effectuer pour le compte du responsable de traitement (le CLIENT) les opérations de traitement de données définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

I/ Description du traitement faisant l'objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données nécessaires pour fournir le service de mise à disposition d'un outil permettant la collecte et la gestion des dossiers Taxe Apprentissage et/ou Formation Professionnelle continue.

La nature des opérations réalisées sur les données est la collecte des références, et contrats des différents dossiers traités ainsi que des éléments de calcul nécessaire au service dont la finalité est de permettre la collecte de la Taxe d'Apprentissage et de la Formation Professionnelle Continue.

Les données collectées et traitées sont les suivantes :

  • Pour l'accès plateforme et outils par authentification login/mot de passe :

* Mots de passes cryptés + méthode de salage cryptographique

* Niveau d'accès défini par profil d'utilisation

  • Accès directs aux bases de données filtrés par IP avec gestion de droits pour le personnel
  • Pour les collecteurs :
    • Nom
    • Téléphone
    • Mail
  • Pour les Etablissements :
    • Raison sociale
    • Adresse
    • Téléphone
    • Télécopie
    • Mail
    • Coordonnées bancaires (cryptées)
  • Pour les cabinets Comptables :
    • Raison sociale
    • Adresse
    • Téléphone
    • Télécopie
    • Mail
  • Pour les Collaborateurs comptables :
    • Nom
    • Prénom
    • Téléphone
    • Mail
  • Pour les Apprentis :
    • Nom
    • Prénom
    • Date de naissance
    • Sexe
    • Travailleur handicapé
    • Date de début de contrat
    • Date de fin de contrat
    • Diplôme préparé
  • Pour les Comptes utilisateurs :
    • Civilité
    • Nom
    • Prénom
    • Mail

Le responsable de traitement à la maitrise d'œuvre pour indiquer un contact de référence contenant les informations suivantes : (concerne clients, entreprises, comptables, collaborateurs, écoles et entités personnalisables)

  • Nom
  • Prénom
  • Civilité
  • Titre
  • Fonction
  • Mail
  • Téléphone
  • Télécopie
  • GSM
  • Adresse
  • Pour les Ecoles :
    • Ensemble des données figurant dans les listes préfectorales.

Les catégories de personnes concernées sont les utilisateurs des plateformes du sous-traitant à savoir les entreprises, les collecteurs, les écoles bénéficiaires ....

Pour l'exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations ci-dessus.

Il est précisé que l'ensemble des données collectés reste sous la responsabilité et la propriété du responsable du traitement. Le sous-traitant ne peut exercer un droit de propriété sur les données collectées, ni les transmettre ou les commercialiser à un tiers quelconque.

II/ Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s'engage à :

1.traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance

2. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu'une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

- s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité

- reçoivent la formation nécessaire en matière de protection des données à caractère personnel

5. prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut

Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe le responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement d'autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du sous-traitant. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s'assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l'exécution par l'autre sous-traitant de ses obligations.

7. Droit d'information des personnes concernées

Il appartient au responsable de traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

8. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d'exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au responsable du traitement.

9.Notification des violations de données à caractère personnel

Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures. Cette notification se fera sous forme de mailing envoyé par le sous-traitant au responsable de traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

Le sous-traitant aide le responsable de traitement pour la réalisation d'analyses d'impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l'autorité de contrôle.

11. Mesures de sécurité

Le sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes :

- Identification sur les plates formes du sous-traitant par des mot de passe sécurité par méthode de salage cryptographique.

12. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s'engage à renvoyer toutes les données à caractère personnel au responsable de traitement.

13. Registre des catégories d'activités de traitement

Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement comprenant :· le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;

· les catégories de traitements effectués pour le compte du responsable du traitement;

· le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées;

· dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles

14. Documentation

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

III/ Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s'engage à :

1. fournir au sous-traitant les données visées au II des présentes clauses

2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant

3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant

4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant