CFI TECHNOLOGIES AGISSANT EN QUALITÉ DE SOUS-TRAITANT

1.1.1. Présentation du traitement de données à caractère personnel

Dans le cadre de la réalisation des prestations ou des services, objet du Contrat (les « Prestations »), le Prestataire agit en qualité de sous-traitant lorsqu’il est amené à procéder à des traitements de données à caractère personnel au sens du règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel (ci-après « RGPD ») et de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après ensemble « la Règlementation applicable »), pour le compte du Client, responsable de traitement, et sur instructions documentées de ce dernier pour la durée du Contrat. Les Parties conviennent que les Conditions Générales de Vente (CGV), constituent les instructions documentées du Client et que les données seront traitées conformément aux conditions suivantes.

1.1.2. Sécurité et confidentialité

Le Prestataire garantit qu’il met en œuvre toutes les mesures nécessaires pour préserver la sécurité, et notamment la confidentialité, de ces données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat. Aussi, le Prestataire s’engage à prendre toutes les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements de données à caractère personnel, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, et notamment à :

– ne pas traiter, consulter lesdites données à caractère personnel à d’autres fins que l’exécution des obligations qui lui incombent en vue de l’exécution des Prestations pour le compte du Client au titre du Contrat ;

– ne traiter, consulter ces données à caractère personnel que dans le cadre des instructions documentées du Client (étant précisé que les parties reconnaissent la notion d’instruction documentée comme étant acquise lorsque le Prestataire agit dans le cadre de l’exécution du Contrat), y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou d’un Etat membre auquel le Prestataire est soumis ; dans ce cas, le Prestataire informera le Client de cette obligation avant le traitement des données à caractère personnel, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

– prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel ;

– prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le Client ;

– prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;

– veiller à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation conventionnelle ou légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

– ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;

– ne pas prendre copie ou stocker, quelles qu’en soit la forme et la finalité, tout ou partie desdites données à caractère personnel qui lui ont été confiées ou recueillies par lui au cours de l’exécution du Contrat, outre les opérations techniques strictement nécessaires à l’exécution du Contrat ;

et, au terme du Contrat, à procéder à la restitution ou à la suppression des données à caractère personnel traitées au choix du Client et à la destruction de tous fichiers manuels ou informatisés stockant lesdites données, y

compris leurs copies éventuelles, et à en justifier par écrit, à moins que le droit de l’Union européenne ou la législation française n’exige la conservation par le Prestataire de ces données à caractère personnel.

Les moyens, mis en œuvre par le Prestataire, destinés à assurer la sécurité et la confidentialité des données à caractère personnel sont conformes à l’état de l’art en la matière. Le Prestataire s’engage à maintenir ces moyens tout au cours de l’exécution du Contrat et à défaut, à en informer immédiatement le Client. En tout état de cause, le Prestataire s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité de ces données à caractère personnel, à les remplacer par des moyens d’une performance équivalente ou supérieure.

En tout état de cause, le Prestataire s’engage à exécuter les Prestations conformément aux principes de protection des données dès la conception et par défaut (« privacy by design & by default »).

1.1.3. Sous-traitance ultérieure

Par ailleurs, il est expressément convenu entre les Parties que le Prestataire ne peut sous-traiter l’exécution de tout ou partie de ses obligations au titre du Contrat que dans les conditions prévues à l’article « Sous-traitance » du présent Contrat. En vue de l’exécution des Prestations, le Prestataire est autorisé à avoir recours aux sous-traitants accessibles via ce lien (ci-après les sous-traitants ultérieurs).

En cas de recrutement d’autres sous-traitants ultérieurs ou de changement parmi les sous-traitants ultérieurs, le Prestataire devra informer au préalable le Client. Le Client disposera d’un délai de trente (30) jours pour formuler, le cas échéant, ses objections. En cas d’opposition, le Prestataire et le Client feront les meilleurs efforts de bonne foi pour trouver une issue ensemble. Si le Client n’émet aucune opposition, le sous-traitant ultérieur est réputé accepté par le Client.

Le Prestataire s’engage en outre à ce que les sous-traitants ultérieurs respectent les obligations du présent Contrat pour le compte et selon les instructions du Client, ainsi que les normes édictées par le RGPD. En particulier, il appartient au Prestataire de s’assurer que le sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement précité. Le Prestataire s’engage à conclure à cette fin un contrat écrit avec chaque sous-traitant ultérieur, étant précisé qu’en cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des données à caractère personnel, le Prestataire demeurera pleinement responsable à l’égard du Client.

En tout état de cause, le Prestataire s’engage, pour ce qui concerne les sous-traitants ultérieurs pouvant éventuellement avoir accès à des données à caractère personnel, à n’avoir recours qu’à des entités établies dans l’Union européenne ou dans un pays bénéficiant d’une décision d’adéquation de la Commission européenne.

Par dérogation à ce qui précède, le Prestataire pourra être autorisé, selon les modalités prévues supra pour le recrutement d’autres sous-traitants ultérieurs, dans la stricte limite nécessaire à l’exécution du Contrat, à recourir à des sous-traitants ultérieurs situés dans un pays non membre de l’Union européenne et ne présentant pas un niveau adéquat de protection des données à caractère personnel au sens des dispositions applicables à condition que les transferts de données à caractère personnel ayant vocation à être mis en œuvre en dehors de l’Union européenne soient encadrés par des garanties contractuelles conformes aux dispositions légales et réglementaires applicables.

1.1.4. Coopération

Le Prestataire, en sa qualité de sous-traitant, s’engage également à coopérer avec le Client, à aider et assister ce dernier, et à mettre en œuvre tous les moyens en sa possession, en vue :

– de la réalisation des analyses d’impact des traitements sur la protection des données à caractère personnel si la nature des traitements l’exige et de l’éventuelle consultation préalable de l’autorité de contrôle qui peut être nécessaire le cas échéant.

A cette fin, le Prestataire s’engage à communiquer au Client tous les éléments (et notamment la documentation) en sa possession qui seraient utiles pour le Client en vue de procéder à la réalisation desdites analyses d’impact ;

– de la gestion des demandes d’exercice des droits reconnus aux personnes concernées par la règlementation en matière de protection des données à caractère personnel (droit d’accès, de rectification, d’effacement et à la portabilité desdites données, droit d’opposition et droit à la limitation du traitement, droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) et des réponses à y apporter.

– du respect de l’obligation de notification à l’autorité de contrôle et d’information de la personne concernée en cas de violation de données à caractère personnel, à savoir toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement.

Le Prestataire s’engage en outre à informer immédiatement le Client si, selon lui, une instruction constitue une violation des dispositions du droit de l’Union européenne ou d’autres dispositions du droit des Etats membres relatives à la protection des données.

1.1.5. Vérifications

Le Prestataire met à la disposition du Client à la demande de celui-ci, la documentation nécessaire pour démontrer le respect de ses obligations au titre du présent article, et pour permettre la réalisation d’audits ou d’inspections aux frais du Client, y compris en ce qui concerne le coût relatif au temps consacré par les équipes du Prestataire. Les audits ou inspections seront effectués pendant les heures d’ouverture et de manière à ne pas perturber les activités du Prestataire, et seront réalisés par le Client lui-même ou par un tiers qu’il aura sélectionné, missionné et mandaté à cette fin, non concurrent du Prestataire. Le Client informera le Prestataire au moins quinze (15) jours avant le démarrage desdites vérifications, en l’informant du périmètre et des personnes en charge de l’audit ou l’inspection.

Le rapport d’audit sera transmis au Prestataire afin qu’il puisse faire valoir ses observations. Lorsque des risques pour la sécurité ou la confidentialité des données seraient révélés à cette occasion, le Prestataire s’engage à prendre toutes les mesures utiles pour y remédier, à ses propres frais.

Les audits ou inspections consécutifs à une violation de données à caractère personnel dont les causes seraient directement ou indirectement imputables au Prestataire seront réalisés aux frais exclusifs de ce dernier.

1.1.6. Délégué à la protection des données

Le Prestataire a désigné au délégué à la protection des données pouvant être contacté à l’adresse email suivante : dpo@cfitech.io

1.1.7. Registre des activités de traitement

Le Prestataire déclare tenir par écrit un registre des activités de traitement effectuées pour le compte du Client, conformément aux dispositions légales et réglementaires applicables, et s’engage à en communiquer une copie au Client sur simple demande de ce dernier.

1.2. Engagements du Client, responsable de traitement

En sa qualité de responsable de traitement, le Client documente ses instructions relatives à l’exécution du présent Contrat, et notamment aux traitements de données à caractère personnel devant être mis en œuvre dans ce cadre pour son compte par le Prestataire.

Le Client s’engage par ailleurs à :

– veiller, au préalable et pendant toute la durée du traitement, au respect de ses obligations prévues par le droit de l’Union européenne et le droit français en matière de traitement de données à caractère personnel, notamment en ce qui concerne la licéité des données à caractère personnel transmises au Prestataire et l’information des personnes concernées sur l’utilisation faite de leurs données à caractère personnel ;

– superviser le traitement, y compris réaliser des audits et inspections auprès du Prestataire.