Annexe B

Politique de Sauvegarde et de conservation des données

La présente annexe (ci-après « l’Annexe ») constitue une partie intégrante du Contrat proposé par Le Prestataire au Souscripteur.

Dans le cadre de la mise à disposition du Service, Le Prestataire (ci-après « Le Prestataire » ou « le Sous-traitant ») pourra être amenée à traiter des Données personnelles, définies ci-après, pour le compte du Souscripteur (ci-après « le Souscripteur » ou « le Responsable du traitement »).

L’Annexe a pour objet de :

  • définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer, pour le compte du Responsable du traitement, les opérations de Traitement définies ci-après ;
  • préciser les obligations des Parties au regard de la protection des Données personnelles.

Article 1. Définitions

Les termes commençant par une majuscule ont le sens suivant :

« Données personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »). Est réputée « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Les Données personnelles sont celles traitées par le Sous-traitant (Le Prestataire) pour le compte du Responsable du traitement (le Souscripteur) dans le cadre de la mise à disposition du Service.  Elles figurent à l’Appendice A « Description du traitement ».

« Traitement » désigne  toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

« Responsable du traitement » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement. Dans le cadre du Contrat, il s’agit du Souscripteur.

« Sous-traitant » : désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des Données personnelles pour le compte du Responsable de traitement. En l’espèce, il s’agit du Prestataire.

« Violation de Données personnelles » : désigne toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée à des tiers de Données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

« Loi Applicable » désigne les lois et règlements relatifs au traitement et à la protection des Données personnelles, applicables dans le pays où Le Prestataire est établie.  Loi Applicable signifie en particulier : (a) le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018 (ci-après « le Règlement ») ; (b) la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée.

Article 2. Description du traitement objet de la sous-traitance

Le Responsable du traitement confie au Sous-traitant le(s) Traitement(s) dont les caractéristiques sont définies à l’Appendice A.  Cet appendice sera complété conjointement par les Parties lors de la signature du Contrat.

Article 3. Obligations du sous-traitant

Obligations générales

Le Sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du Règlement et garantisse la protection des droits de la Personne concernée.

Le Sous-traitant s’engage à :

  • traiter les Données personnelles uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
  • ne sous-traiter tout ou partie du Service contenant des Données personnelles, notamment vers un pays qui n’est pas situé dans l’Union européenne, qu’après avoir obtenu l’accord préalable, écrit et exprès du Souscripteur et, en tout état de cause, qu’après avoir reproduit et obtenu, auprès de ses sous-traitants autorisés, le même niveau d’engagement et d’obligations que le sien, et en demeurant responsable de ces derniers au regard du Souscripteur;
  • traiter les Données personnelles conformément aux instructions documentées du Responsable du traitement, telles que communiquées au moment de la signature du contrat. Si le Sous-traitant considère qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable du traitement. Toute nouvelle instruction fera l’objet d’un préavis tel que prévu à l’article Obligations du Souscripteur et d’un accord entre les Parties quant aux modalités y afférentes ;
  • garantir la confidentialité des Données personnelles traitées ;
  • veiller à ce que les personnes autorisées à traiter les Données personnelles chez le Sous-traitant s’engagent :
    1. à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et,
    2. reçoivent la formation nécessaire en matière de protection des Données personnelles
  • prendre en compte, s’agissant de ses propres outils, produits, applications ou services, les principes de protection des données dès la conception et de la protection des données par défaut ;
  • notifier immédiatement toute modification ou changement des services pouvant impacter le Traitement des Données personnelles ;
  • coopérer avec le Souscripteur afin de permettre la gestion des demandes des personnes concernées par les traitements tendant à l’exercice de leurs droits et notamment de leur droit d’accès, de rectification, de suppression et/ou d’opposition aux Données personnelles qui les concernent.
  • coopérer avec le Souscripteur afin d’assurer le respect des obligations pesant sur le Souscripteur au regard de cette réglementation, telles que notamment ses obligations de notification à la CNIL et de communication d’une violation de données aux personnes concernées ;
  • restituer les fichiers et Données personnelles au Souscripteur au terme du Contrat puis détruire tous fichiers manuels ou informatisés stockant les Données et autres informations collectées, sauf disposition légale impérative contraire ou autorisation, conservation dans le but de gérer la fin de contrat, ou sur autorisation donnée par la personne concernée dûment informé des objectifs de la conservation, ou conformément aux règles d’archivage de certaines Données personnelles.
Sous-traitance ultérieure

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après « Sous-traitant ultérieur ») pour mener des activités de Traitements spécifiques. L’identité et les coordonnées des Sous-traitants ultérieurs sont précisées à l’Appendice A.

Le Sous-traitant informe préalablement et par écrit le Responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants ultérieurs.

Cette information doit indiquer les activités de Traitement sous-traitées, l’identité et les coordonnées du Sous-traitant ultérieur et les dates du contrat de sous-traitance.

Le Responsable du traitement dispose d’un délai de quinze (15) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable du traitement n’a pas émis d’objection pendant le délai convenu.

Dans une telle hypothèse, le Sous-traitant s’engage à conclure un contrat écrit avec le Sous-traitant ultérieur.

Il appartient au Sous-traitant de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le Traitement réponde aux exigences du Règlement.

Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure responsable devant le Responsable du traitement de l’exécution, par le Sous-traitant ultérieur, de ses obligations.

Notification des Violations de Données personnelles

Le Sous-traitant notifie au Responsable du traitement toute Violation de Données personnelles dans un délai de 72 heures ouvrées à compter de sa connaissance, par email à l’adresse suivante : privacy@tolk.ai.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette Violation à l’autorité de contrôle compétente.

Aide du Sous-traitant dans le cadre du respect par le Responsable du traitement de ses obligations

Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des Données personnelles, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les Personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes au Responsable du traitement, dès réception, par email à l’adresse indiquée par le Responsable de traitement lors de sa souscription du Service.

Sur demande et dans la mesure du possible, le Sous-traitant peut aider le Responsable du traitement pour la réalisation d’analyses d’impact relative à la protection des Données personnelles et lors de la consultation préalable de l’autorité de contrôle concernée.

Mesures de sécurité

Le Sous-traitant prendra les mesures techniques et organisationnelles appropriées. Il s’engage à mettre en œuvre les mesures de sécurité reprises en Appendice A et à les maintenir pendant toute la durée du Contrat.

Le Sous-Traitant s’engage, en cas de changement des moyens visant à assurer la sécurité et la confidentialité des Données personnelles, à en informer le Responsable du traitement et à les remplacer par des moyens d’une performance équivalente ou supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

Transfert des Données personnelles

Le Sous-traitant s’engage à ce que pendant toute la durée du Contrat, et dans la mesure du possible, les Données Personnelles soient hébergées et traitées au sein de data centers situés dans l’Union Européenne.

Le Sous-traitant s’interdit tout flux transfrontalier de Données Personnelles, quel qu’il soit, en dehors du territoire de l’Union Européenne, sauf autorisation écrite et préalable du Responsable du traitement.

Si le Sous-traitant est tenu de procéder à un transfert des Données personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Sort des Données personnelles

Au terme de l’exécution des Services relatifs au Traitement objet de la sous-traitance, le Sous-traitant s’engage à détruire toutes copies des Données personnelles existantes dans ses systèmes d’information dans un délai maximum de trente (30) jours. Le Sous-traitant devra justifier par écrit de la destruction des Données personnelles.

Délégué à la protection des données

Le Sous-traitant communique au Responsable du traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du Règlement.

Registre des catégories d’activités de traitement

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement effectuées pour le compte du Responsable de traitement.

Documentation

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de l’ensemble de ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Article 3. Obligations du responsable de traitement

Obligations envers le Sous-traitant

Fourniture des Données personnelles

Le Responsable du traitement s’engage à fournir au Sous-traitant les Données personnelles visées à l’Appendice A.

Instruction documentée

Le Responsable du traitement fournira au Sous-traitant, lors de la signature du Contrat, des instructions expresses concernant le Traitement des Données personnelles, à documenter par écrit. Le Responsable du traitement reconnaît que ces instructions sont nécessaires afin que le Sous-traitant puisse l’assister, de manière adéquate, dans le respect de ses obligations au titre de la Loi applicable.

Les instructions du Responsable du traitement comprendront, a minima, les informations reprises en Appendice A « Description du traitement ».

Si le Responsable du traitement souhaite modifier ses instructions, il devra en informer le Sous-traitant au moins trente (30) jours à l’avance, afin que les Parties puisse évaluer les modifications proposées. A cet égard, le Responsable du traitement reconnait que ces modifications pourront avoir un impact direct sur :

  • les Services, rendant nécessaire une modification des termes du Contrat, y compris en particulier du Périmètre des Services et des conditions financières associées. Les Parties négocieront de bonne foi les modifications du Contrat rendues nécessaires, y compris le délai d’intégration des dites modifications ;
  • les mesures de sécurité initialement définies et mises en œuvre par le Sous-traitant, lesquelles pourraient ne plus être adaptées aux risques présentés par le Traitement. Ces mesures pourraient donc nécessiter des adaptations, lesquelles pourraient avoir un impact sur la fourniture des Services et les termes du Contrat, s’agissant notamment des dispositions financières.

Contrôle du respect de ses obligations par le Sous-traitant

Le Responsable du traitement s’engage à veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le Règlement à la charge du Sous-Traitant.

 Supervision du Traitement

Le Responsable du traitement s’engage à superviser le Traitement, y compris réaliser les audits et les inspections éventuels auprès du Sous-traitant. Les modalités, le périmètre et la durée de l’audit seront déterminés préalablement par les Parties.

Mesures de sécurité

Le Responsable du traitement reconnaît expressément :

  • que les mesures de sécurité définies en Annexe A et appliquées par le Sous-traitant sont basées sur les instructions et informations reçues de sa part, lesquelles sont utilisées pour évaluer les risques associés au Traitement des Données personnelles ;
  • que les mesures de sécurité définies en Annexe A sont adéquates, compte-tenu des risques du Traitement et des finalités de celui-ci, définies en Appendice A.

Garanties

Le Responsable du traitement garantit au Sous-traitant que les Données personnelles qui lui sont confiées dans le cadre des présentes ont été collectées de manière loyale et licite, conformément aux dispositions des articles 5, 6, 7 et 9 du Règlement.

Autres obligations au titre de la Loi applicable

Le Responsable du traitement s’engage à respecter les obligations qui lui incombent au titre de la Loi applicable et notamment, à donner suite aux demandes d’exercice des droits des Personnes concernées par le Traitement confié au Sous-traitant.

Article 5. Obligations communes de parties

Respect de la réglementation

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de Données personnelles et, en particulier, le Règlement.

Coopération avec les autorités de contrôle

En cas de contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre elles et avec l’autorité de contrôle.

Dans le cas où le contrôle mené chez Le Prestataire concernerait les Traitements mis en œuvre au nom et pour le compte du Souscripteur :

  • Le Prestataire s’engage à en informer le Souscripteur sans délai et à ne prendre aucun engagement pour lui ;
  • le Souscripteur s’engage à coopérer avec Le Prestataire et à lui fournir toute information dont cette dernière pourrait avoir besoin ou qui s’avèrerait nécessaire.

En cas de contrôle d’une autorité compétente chez le Souscripteur portant notamment sur les Services réalisés par Le Prestataire :

  • le Souscripteur s’engage à en informer Le Prestataire sans délai et à ne prendre aucun engagement pour elle ;
  • Le Prestataire s’engage à coopérer avec le Souscripteur et à lui fournir toute information dont ce dernier pourrait avoir besoin ou qui s’avèrerait nécessaire.
Assurances

Chacune des Parties déclare être assurée pour sa responsabilité civile professionnelle auprès d’une compagnie notoirement solvable et s’engage à maintenir cette garantie pendant toute la durée du présent Contrat, afin de couvrir tout dommage qui pourrait être causé à l’autre Partie ou à tout tiers, consécutivement à l’exécution ou à l’inexécution du présent Contrat, y compris en cas de dommage résultant du Traitement de Données Personnelles.

Chacune des Parties s’engage à fournir, à première demande de l’autre Partie, une attestation avec le nom de la compagnie, le numéro de la police d’assurance, ainsi que la nature et le montant des garanties souscrites.

Chacune des Parties s’engage également à signaler à l’autre Partie toute modification, suspension ou résiliation desdites polices d’assurance, quelle qu’en soit la cause, dans les plus brefs délais.

Article 6. Audit RGPD

Le Sous-traitant met à disposition du Responsable du traitement, toutes les informations nécessaires pour démontrer le respect, par ses soins, de ses obligations au titre de la Loi applicable.

Pendant toute la durée du Contrat, le Responsable du traitement pourra, sous réserve du respect d’un préavis de quarante-cinq (45) jours, contrôler ou faire contrôler par un tiers soumis à des obligations de confidentialité et non-concurrent du Sous-traitant, le représentant, à ses frais et une (1) fois par an, le respect des obligations contenues dans la présente Annexe.

Le périmètre de l’audit et sa durée seront déterminés préalablement par les Parties.

L’audit sera alors effectué dans les locaux du Sous-traitant, pendant les heures ouvrables normales et de manière qu’il n’en résulte pas une gêne excessive pour les activités du Sous-traitant.

En cas de constat de défauts de conformité et après notification du rapport d’audit par le Responsable du traitement au Sous-traitant, les Parties se réuniront pour étudier les mesures à mettre en œuvre au travers d’un plan d’action proposé par le Sous-traitant, en réponse aux non-conformités observées.

Article 7. Responsabilité

En tant que Responsable du traitement, le Souscripteur est responsable des dommages causés par le Traitement effectué en violation de la Loi applicable.

Le Sous-traitant ne sera tenu pour responsable du dommage causé par le Traitement que s’il n’a pas respecté les obligations qui lui incombent spécifiquement au titre de la Loi applicable ou s’il a agi en dehors ou contrairement aux instructions licites du Responsable du traitement.

Le Sous-traitant ne saurait engager sa responsabilité en cas : (i) de non-respect, par le Responsable du traitement, de ses obligations légales, réglementaires ou contractuelles ; (ii) d’instructions illicites du Responsable du traitement ; (iii) plus généralement, de tout manquement lié à l’exploitation des Données personnelles.

Le Sous-traitant est exonéré de sa responsabilité s’il démontre que le fait qui a provoqué le dommage ne lui est nullement imputable.

Article 8. Amendement

La présente Annexe ne pourra être modifiée que par voie d’avenant, dans les conditions définies à l’article 17 du Contrat.

APPENDICE A :

DESCRIPTION DU TRAITEMENT

Le présent appendice définit les caractéristiques du Traitement mis en œuvre par le Responsable du traitement et confié au Sous-traitant :

  • Identité du Responsable du traitement : Le client signataire du présent, ou le mandataire social de la société signataire du présent contrat, est le responsable du traitement.
  • Identité du Sous-traitant, et, le cas échéant, si préalablement autorisé par le Responsable du traitement, son ou ses Sous-traitant ultérieurs :
  1. a) Sous-traitant : Le Prestataire
  2. b) Sous-traitant(s) ultérieur(s) : L’Hébergeur (GCP – Europe)
  • Finalité(s) du Traitement :
    • Finalité(s) du Traitement :

    La mise à disposition auprès du Souscripteur d’outils techniques destinés à automatiser, en partie, à faciliter sa propre relation client, notamment par des outils de conversation automatisés.

    • Date de mise en œuvre du Traitement :

    Durant toute la durée de la souscription

    • Fondement juridique du Traitement :

    Le traitement des données à caractère personnel par Le Prestataire est nécessaire pour la fourniture du Service.

    • Personnes concernées :

    Les clients du Responsable de traitement.

    • Typologie de Données personnelles concernées :

    Nom, prénom, adresse, email, ou tout autres données fournies par l’utilisateur final du service dans le cadre de l’utilisation du service, sous la responsabilité du Responsable de Traitement, des actions avec gestion du suivi des actions exécutées.

Aucunes données personnelles sensibles qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ne sont nécessaire au fonctionnement du Service.

  • Nature des opérations effectuées par le Sous-traitant sur les données :

Les opérations consistent à conserver et analyser certaines Données personnelles du Souscripteur et/ou de l’Utilisateur pour les nécessités du Service et de son amélioration. Il s’agit également de stocker certaines Données personnelles des clients du Responsable de traitement, que ce dernier choisit de stocker sur son espace client et/ou Utilisateur, pour les besoins de son activité et la production des documents proposés par le Service. Le Prestataire se contente de stocker ces Données pour les besoins du Souscripteur, sans en fait aucun usage.

  • Durée et modalités de conservation OU critères de définition de la durée par typologie de données si différences :

Le traitement n’est réalisé que pour la durée de l’abonnement au Souscripteur et/ou à l’Utilisateur, sous réserve du stockage et de l’archivage de certaines Données personnelles du Souscripteur et/ou de l’Utilisateur (hors Données clients), soit consentis par le Souscripteur et/ou l’Utilisateur, soit nécessaires à la finalisation de la relation post-contractuelle, soit conformément aux conditions d’archivage de Données personnelles utiles, prévues par la réglementation applicable.

  • Lieu d’hébergement des données par typologie de données / par catégories de personnes concernées si différences :
  • Le Prestataire pour les Données personnelles indispensables au Service et pour celles relatives aux Données personnelles des clients du Responsable de traitement ;
  • Les sous-traitants du Prestataire, intervenant dans la fourniture du Service et, le cas échéant avec l’accord du Responsable de traitement, ceux intervenant sur des prestations complémentaires.
  • Information donnée aux personnes concernées par :

Les informations relatives aux droits des personnes concernées sont contenues au sein des Conditions générales d’utilisation lesquelles sont mises à disposition du Souscripteur par Le Prestataire :

  • Sur son site internet ;
  • Au sein du devis ;
  • Au moment de sa souscription au Service ;
  • Dans le Contrat ;
  • Sur simple demande à l’adresse : privacy@tolk.ai
  • Transfert de données hors de l’Union Européenne (autorisé / le cas échéant) :

Le Prestataire ne peut sous-traiter tout ou partie du Service contenant des Données personnelles, notamment vers un pays qui n’est pas situé dans l’Union européenne, qu’après avoir obtenu l’accord préalable, écrit et exprès du Souscripteur et, en tout état de cause, qu’après avoir reproduit et obtenu, auprès de ses sous-traitants autorisés, le même niveau d’engagement et d’obligations que le sien, et en demeurant responsable de ces derniers au regard du Souscripteur.

Mesures de sécurité organisationnelles :

Le Prestataire s’engage à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ses obligations et notamment à :

  • Ne pas traiter, consulter les données ou les fichiers à d’autres fins que l’exécution des Prestations ;
  • Ne pas transférer les Données personnelles vers un pays tiers, à moins d’y être soumise par une disposition légale impérative ;
  • Le cas échéant, Le Prestataire informera préalablement le Souscripteur de cette obligation juridique ;
  • Garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat ;
  • Ne pas insérer dans les fichiers des données personnelles étrangères ;
  • Prendre toute mesure utile et adaptée, notamment sécuritaires, juridiques et organisationnelles, permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse des Données personnelles et des fichiers, ainsi que toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement ;
  • Prendre toute mesure utile et adaptée pour préserver la sécurité des Données personnelles ;
  • Ne pas effectuer d’étude statistique sur les données ou de traitement autre que celles demandées par le Souscripteur ou indispensables à la solution ;
  • Nonobstant ce qui précède, des traitements aux fins statistiques pourront être réalisés sur les données à caractère personnel, sous réserve de l’anonymisation préalable de celles-ci ;
  • Notifier immédiatement au Souscripteur toute modification ou changement pouvant impacter le traitement des données à caractère personnel ;
  • Informer immédiatement le Souscripteur si, selon lui, une instruction constitue une violation de la réglementation Informatique et libertés.

Le Prestataire s’engage à prendre toute mesure utile afin de garantir que les personnes physiques agissant sous son autorité, intervenant dans le Service et ayant accès aux Données à caractère personnel, reçoivent la formation et l’information nécessaire en la matière, respectent la confidentialité des Données personnelles et ne les traite pas autrement que pour le Service.

Le Souscripteur devra fournir, au moment de la collecte de Données personnelles auprès de ses clients, l’information relative à la sous-traitance de certaines d’entre elles auprès du Prestataire.

En cas de transmission de Données personnelles sensibles, le Souscripteur s’engage à privilégier, si possible, le recours à la cryptographie afin d’éviter de stocker, sur le Service, de telles données.

Mesures de sécurité techniques

Le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité techniques suivantes : sécurisation des serveurs utilisés, la gestion des habilitations, l’authentification des utilisateurs, la réalisation de sauvegarde de données, le traçage des accès, la gestion des incidents, de la maintenance et de la destruction des données.