I. Objet. Les présentes ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données ») ainsi que la loi Informatique et liberté n°78-17 du 6 janvier 1978 en son dernier état.
II. Description du traitement faisant l’objet de la sous-traitance. plug.gd est autorisé à traiter et à conserver les données à caractère personnel du Client nécessaires pour fournir les Services. En cas de préjudice subi par plug.gd à cause d’une faute quelconque du Client dans le traitement des données, le Client s’engage à indemniser plug.gd de l’intégralité du ou des préjudices subis et notamment de rembourser dans le délai de 1 (un) mois les éventuels frais de procédure (avocat, dépens, frais de justice etc…).
Les données à caractère personnel traitées sont le nom complet ou le pseudonyme, la localisation, l’adresse e-mail, les coordonnées téléphoniques, le type de profil du Client, la photo de profil du Client, les informations administratives de l’entreprise du Vendeur, le domaine de compétence ainsi qu’un lien externe vers un portefolio, réseau social ou site Web et toute information que le Client juge utile de transmettre à plug.gd pour la bonne exécution des présentes.
Le traitement des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique est interdit.
III. Durée du contrat. Le présent contrat entre en vigueur à compter de l’entrée en vigueur des Conditions Générales ou de la signature du contrat avec le Client, et prendra fin conformément à l’article 11 des Conditions Générales plus 5 ans.
IV. Obligations du responsable de traitement. Le sous-traitant s'engage à :
1. traiter les données uniquement pour les finalités suivantes :
- Suivre le processus de conclusion du contrat,
- Suivre la bonne exécution du contrat,
- Collecter les informations relatives aux retours et avis des clients sur les services de plug.gd,
- Mettre un terme au contrat.
2. traiter les données conformément aux instructions documentées du Client.
Si plug.gd considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union Européenne ou du droit des États membres relative à la protection des données, il en informe dans les meilleurs délais le Client. En outre, si plug.gd est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ou s’il s’agit d’un État n’étant pas reconnu par la CNIL comme constituant un système juridique offrant des garanties équivalentes de protection au droit européen ;
3. garantir la confidentialité des données à caractère personnel traitées.
4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
6. Sous-traitance. plug.gd peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de 48 (quarante-huit) heures ouvrées et d’un délai maximum de 7 (sept) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. À l’expiration de ce délai le responsable de traitement sera supposé avoir accepté la communication des données à un sous-traitant et leur traitement par ce dernier. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.
7. Droit d’information des personnes concernées. Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
8. Exercice des droits des personnes. plug.gd fera ses meilleurs efforts afin de s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données. plug.gd doit répondre dans les délais prévus par le Règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.
9. Notification des violations de données à caractère personnel. plug.gd notifie par e-mail au Client toute violation de données à caractère personnel dans un délai maximum de 48 (quarante-huit) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après information du Client, plug.gd notifie à la CNIL, au nom et pour le compte du Client, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 (soixante-douze) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
10. Mesures de sécurité. plug.gd s’engage à mettre en œuvre les mesures de sécurité suivantes : sécurisation du ou des locaux où l’activité est exercée, formation à la sécurité et à la cybersécurité des collaborateurs et de ses sous- traitants, anonymisation des données, chiffrement des données à caractère personnel, destruction des données dès lors qu’elles ne sont plus nécessaires à l’accomplissement des tâches demandées, un audit technique et organisationnel de ses mesures de sécurité en matière de données personnelles.
11. Sort des données. Au terme de la prestation de services relatifs au traitement de ces données, plug.gd s’engage à détruire toutes les données à caractère personnel dans les conditions de durée indiquées ci-dessus – à moins qu’elles ne s’avèrent nécessaires afin de prouver la bonne exécution du contrat auquel cas le sous-traitant pourra les conserver pendant toute la durée du délai de prescription. Une fois détruites, plug.gd doit justifier par écrit de la destruction.
13. Registre des catégories d’activités de traitement. plug.gd déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
- le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : (i) la pseudonymisation et le chiffrement des données à caractère personnel ; (ii) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;(iii) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; (iv) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
14. Documentation. plug.gd met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.