Se connecter

SFBX®

Accord de protection des données (DPA)

IL EST PREALABLEMENT RAPPELE CE QUI SUIT

SFBX est un éditeur d’une solution de recueil et de stockage de consentement, Consent Management Plateforme (CMP), appelée AppConsent®

Le Client est le Responsable de traitement des Données du Client (ci-après dénommée « Client » ou le « Responsable de traitement »), et SFBX est le Sous-traitant des Données de Client conformément à l’article 28 du RGPD (ci-après dénommée « SFBX » ou le « Sous-traitant »), en vertu du Contrat Cadre AppConsent® Xchange signé par les parties et des présentes DPA. Ci-après individuellement ou collectivement, SFBX et Le Client seront dénommée(s) la ou les « Partie(s).

SFBX n’est en aucun cas responsable de la détermination des finalités pour lesquelles les Données du Client sont traitées.

Le Responsable de Traitement a recours à l’expertise du Sous-traitant aux fins de réaliser les prestations suivantes, ci-après « les Prestations » : recueil, gestion et stockage des consentements et des données des visiteurs du site internet.

Dans la mesure où dans le cadre de la réalisation des Prestations, le Sous-traitant est tenu de traiter des données à caractère personnel, les Parties ont décidé de conclure le présent Accord de protection des Données (ci-après l’Accord ») qui définit leurs rôles et obligations relativement à la règlementation applicable aux données personnelles. Les modalités pratiques du traitement réalisé par le Sous-traitant sont définies en Annexe « Description du traitement des données à caractère personnel réalisé par le sous-traitant ».

En conséquence, il est convenu et arrête ce qui suit :

ARTICLE 1 – OBJET DE L’ACCORD

Dans le contexte de leurs relations contractuelles, les Parties s’engagent à se conformer à la législation et la règlementation applicable en matière de traitement de Données personnelles et en particulier le RGPD.

Le présent Accord a pour objet de définir les modalités pratiques de traitement des Données Personnelles que le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement.

ARTICLE 2 – DOCUMENTS CONTRACTUELS

Pour définir et encadrer au mieux le présent Accord, les Parties entendent donner valeur contractuelle aux documents suivants par ordre décroissant :

1. Le présent Accord

2. Les Annexes suivantes :

  • ANNEXE 1 – Description du Traitement de données à caractère personnel réalisé par le Sous-traitant
  • ANNEXE 2 – Exigences Minimales de Sécurité
  • ANNEXE 3 – Modèle de déclaration de sous-traitant ultérieur
  • ANNEXE 4 – Modèle de rapport de violation de données

En cas de contradiction entre les dispositions du présent document et celles contenues en Annexes, celles du présent document prévaudront.

Ces documents expriment l’intégralité de l’accord entre les Parties en ce qui concerne l’objet de l’Accord, et se substituent à tous accords antérieurs conclus par les Parties.

Toute modification de l’Accord intervenue entre les Parties ne peut s’effectuer que par voie d’avenant écrit et signé par un représentant dûment habilité de chacune des Parties et sera annexée au présent Accord.

Si l’une des clauses de l’Accord s’avérait nulle au regard d’une règle de droit ou d’une loi en vigueur, elle sera réputée non écrite, mais n’entraînera pas la nullité de l’Accord dans son ensemble, à moins qu’il ne s’agisse d’une clause qui revête un caractère déterminant pour l’une des Parties à la date de signature de l’Accord. Dans ce cas, les Parties devront négocier de bonne foi en vue de substituer à cette clause une clause valable reflétant leur intention initiale.

Les titres des clauses n’ont qu’une valeur indicative, en cas de contradiction entre ces titres et leur contenu, ce dernier fera foi.

Il est formellement convenu entre les Parties que toute tolérance ou renonciation d’une Partie, dans l’application de tout ou partie des engagements prévus à l’Accord, quelles que puissent en être la fréquence et la durée, ne saurait valoir modification de l’Accord, ni être susceptible de créer un droit quelconque.

ARTICLE 3 – DUREE

Le présent Accord est conclu pour la durée des prestations et prendra effet à partir de sa date de signature, sauf résiliation anticipée dans les conditions visées à l’Article « Inexécution Contractuelle » ci-après.

ARTICLE 4 – DEFINITIONS

Aux fins du présent Accord, les termes et expressions suivants auront les significations indiquées ci-dessous, ou à défaut, celle qui leur est donnée dans tout autre article du présent Accord.

Autorité de contrôle ou Régulateur : Désigne la Commission Nationale de l’Informatique et des Libertés (CNIL) (ou son successeur éventuel) ou toute autre autorité compétente dans le(s) pays concerné(s), en vertu de la Réglementation sur la protection des données, sur tout ou partie du Traitement des Données Personnelles.

Clauses contractuelles types : Désigne un contrat contenant les clauses du contrat type approuvé par la Commission européenne pour le transfert de données à caractère personnel en dehors de l’EEE en vertu de la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers conformément à la directive 95/46/CE du Parlement européen et du Conseil (ou les clauses approuvées qui lui succèdent, adoptées à tout moment).

Données : Signifie toutes les Données Personnelles que SFBX traite en tant que sous-traitant dans la fourniture de services au Client, et que le Client a demandé à SFBX de traiter dans le cadre du présent Accord.

Données personnelles : Désigne toute information relative à une personne physique identifiée ou identifiable; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à une identification d’utilisateur telle qu’un nom, un numéro d’identification, des données de géolocalisation, une identification d’utilisateur en ligne ou par référence à un ou plusieurs des facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.

Lois de Protection des données : Désigne le RGPD, les actes d’application du Règlement par les États membres de l’Union européenne et/ou toute autre loi ou réglementation applicable relative à la protection des données à caractère personnel, des informations d’identification personnelle ou des informations de santé protégées.

Personne concernée, Responsable de traitement, Sous-traitant, Traitement : ont le sens défini dans le RGPD.

Règlement ou RGPD : Désigne le règlement général de protection des données n°2016/679 applicable à compter du 25 mai 2018.

Site internet : Désigne le(s) site(s) internet, le(s) site(s) mobile, l’(les) application(s) ou logiciels (tels que Chatbot) du Client.

Sous-traitant ultérieur : Désigne une personne tierce engagée par le Sous-traitant pour l’aider dans la réalisation des Prestations qui implique le traitement des données du Client.

Terminal : Désigne le matériel de type ordinateur, smartphone, IOT, ou tout autre appareil sur lequel des recueils de consentements seraient techniquement possibles, utilisé par le Visiteur pour accéder au Site.

Visiteur : Désigne toute personne physique (utilisateur), client final du Client ou simple internaute, accédant avec son Terminal au Site du Client bénéficiant des Services.

A moins que le contexte ne requière une interprétation différente, les termes au singulier incluent le pluriel et vice versa, et toute référence à un genre inclus la référence à l’autre genre.

En complément, la référence à une loi ou disposition légale est une référence à cette loi ou disposition telle qu’amendée, étendue, codifiée et inclus tous les textes règlementaires pris en application de cette règlementation.

Il est entendu entre les Parties que tout référence à l’écrit inclus les courriels et les fax.

ARTICLE 5 – OBLIGATIONS DES PARTIES

Le Responsable de Traitement s’engage à informer dès qu’il en connaissance, le Sous-Traitant de toute modification réglementaire ou légale dans les Lois de Protection des Données ayant un impact sur les Prestations. Les Parties déploieront des efforts commercialement raisonnables pour se conformer à ces exigences et négocieront et réviseront les Prestations en conséquence. Les Parties décideront ensemble des mesures appropriées à mettre en œuvre, et de la répartition des frais afférents. Par ailleurs, en cas d’obligation spécifique à l’activité du Responsable de Traitement qui serait rendue obligatoire, ce dernier s’engage à apporter toute son aide dans la mise en place de telles mesures et notamment à prendre en charge tous frais qui y seraient liés.

5.1. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Le Responsable de Traitement s’engage à :

  • Fournir au Sous-Traitant les Données à caractère personnel visées à l’article « Description du traitement faisant l’objet de la sous-traitance » ;
  • Documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant ;
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-Traitant ;
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-Traitant.
  • Notifier au Sous-traitant toutes les fautes ou irrégularités liées au présent Accord qu’il détecte ;

Par ailleurs, le Responsable de traitement confirme :

  • Qu’il a procédé à l’ensemble des obligations incombant au Responsable de Traitement aux termes du RGPD (et notamment, qu’il tient un registre de ses activités de traitement et qu’il réalise les éventuelles analyses d’impact) ;
  • Qu’il a respecté le principe de minimisation des données en ne collectant que ce qui est strictement nécessaire en lien avec la finalité pour laquelle les données sont traitées ;
  • Qu’il a informé les personnes physiques au moment de la collecte des données de l’usage qui est fait de leurs données à caractère personnel, des transferts éventuels à des tiers et qu’il a éventuellement reçu le consentement nécessaire au traitement.

Le Responsable de Traitement s’engage à documenter par écrit toute instruction concernant le traitement des Données par le Sous-Traitant dans les conditions définies ci-après. Le Responsable de Traitement peut fournir au Sous-traitant des instructions générales ou spécifiques relatives à la protection des données, notamment concernant la nature et la portée du traitement des données ainsi que des instructions concernant les mesures techniques et organisationnelles et la correction, suppression ou restriction des données. Les Parties ont convenu d’un commun accord, que lorsque les instructions sont données de manière exceptionnelle à l’oral en raison de circonstances particulières, elles devront systématiquement et immédiatement être confirmées par écrit par le Responsable de Traitement pour que le Sous-Traitant exécute les demandes. Il est précisé qu’à défaut, les Parties conviennent de définir la notion d’instruction comme étant acquise lorsque le Sous-traitant agit dans le cadre de l’exécution du présent Accord et des Prestations.

5.2 OBLIGATIONS DU SOUS-TRAITANT

Il est préalablement rappelé que les données faisant l’objet du présent Accord demeurent la pleine et entière propriété du Responsable de Traitement, sans que le Sous-Traitant ne puisse se prévaloir du moindre droit relativement aux dites données.

Elles ne peuvent être divulguées, transférées, louées, ni d’une quelconque manière cédées ou exploitées commercialement ou non par le Sous-Traitant autrement que pour les besoins des Prestations.

Il est précisé que, le cas échéant, toute donnée collectée suite à une analyse ou un suivi effectué par le Sous-traitant dans le cadre des Prestations peut inclure des Données personnelles qui demeureront la propriété du Responsable de traitement.

Le Sous-Traitant s’engage :

  • A traiter les Données à Caractère Personnel pour le compte exclusif du Responsable de Traitement et uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ainsi qu’à ne pas utiliser les Données à Caractère Personnel et informations traitées à des fins autres ;
  • A ne prendre aucune copie des informations et données qui lui sont confiées, à l’exception de celles nécessaires à l’exécution des Prestations prévue à l’Accord, sans l’accord préalable écrit du Responsable de Traitement ;
  • A traiter toute donnée personnelle conformément aux instructions documentées du Responsable de Traitement telles que figurant à l’annexe « Description du traitement des données à caractère personnel réalisé par le sous-traitant », au droit applicable et aux obligations contenues dans le présent Accord. A ce titre, s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’en informer sans délais le Responsable de Traitement, auquel cas ce dernier a le droit de suspendre le traitement de données.
  • à répondre de manière appropriée et dans les meilleurs délais à toutes les requêtes du Responsable de Traitement sur le traitement effectué par le Sous-traitant pour le Responsable de traitement ;
  • Si le Sous-traitant considère que l’une des instructions constitue une violation du Règlement ou toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement ;
  • A garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Accord et à ne pas divulguer ces données à des personnes autres que ses salariés, employés ou préposés, ou sous-traitants agréés qu’il s’agisse de personnes privées ou publiques, physiques ou morales ;
  • A veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Accord :

– S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

– Reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
  • Communiquer au Responsable de Traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données ;
  • Conformément aux Lois de Protection des Données Personnelles, et à la règlementation européenne, à garantir la mise en place de toutes précautions utiles et des mesures de sécurité tant matérielles, techniques, qu’organisationnelles (i) afin d’empêcher qu’elles ne soient acquises ou divulguées à des personnes non autorisées ; (ii) afin d’éviter toute utilisation ou accès détourné ou frauduleux des fichiers (iii) afin de se prémunir contre toute perte, destruction ou altération des Informations Confidentielles, que ce soit de façon accidentelle, non-autorisée ou illégale. Les mesures mises en œuvre et les garanties du Sous-Traitant tiennent compte de l’état de la technique et des coûts de mise en œuvre ainsi que des risques portant sur les Données. En tout état de cause, le Sous-traitant s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données personnelles, à les remplacer par des moyens d’une performance égale ou supérieure. Aucune évolution ne pourra conduire à une régression du niveau de sécurité sans accord préalable ou instruction du Responsable de Traitement;
  • À traiter les données sur le territoire français et à n’effectuer aucun transfert de données à caractère personnel en dehors de l’Union Européenne sans l’accord préalable et écrit du Responsable de Traitement. En cas de transfert de Données personnelles vers un pays situé en dehors de l’Union Européenne, les parties reconnaissent que des mesures doivent être prises pour garantir que ces transferts de données soient conformes aux Lois de protection des données et notamment, le respect de procédures, l’autorisation éventuelle de l’autorité de contrôle, et si besoin la conclusion d’un ou plusieurs contrats permettant d’encadrer les flux transfrontières de données personnelles. Les parties reconnaissent que des obligations identiques ou similaires peuvent s’appliquer aux transferts internationaux de données à caractère personnel en provenance d’un pays tiers et doivent, en toute bonne foi, prendre les mesures nécessaires, le cas échéant, en vertu des lois applicables sur la protection des données. Le Responsable de Traitement s’engage à collaborer avec le Sous-traitant aux fins de la signature de toutes Clauses Contractuelles Type. Si le mécanisme de transfert applicable conclu cesse d’être valide, le Sous-traitant peut, à son choix : (i) conclure et/ou faire en sorte que les sous-traitants ultérieurs concluent un mécanisme alternatif de transfert de données approprié ; (ii) modifier les Services de manière à ce qu’ils puissent être assurés sans exiger le transfert concerné, et sans s’écarter de manière significative de la fourniture globale des Services.
  • Si le Sous-traitant est tenu de procéder à un transfert de données contraignante vers un organisme, un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de traitement de cette obligation juridique avant le traitement ;
  • A coopérer avec toute autorité de contrôle nationale ou internationale. Le Sous-traitant s’engage à informer le Responsable de Traitement de toute demande d’une autorité de contrôle de divulgation des Données et à ne pas y répondre directement sans instruction du Responsable de traitement, sauf interdiction légale. Lorsque le Sous-traitant est légalement interdit de notifier au Responsable de Traitement, il devra réaliser des efforts raisonnables pour demander à l’autorité publique de diriger la demande directement au Responsable de Traitement ;
  • A coopérer de bonne foi avec tout Partenaire Tiers désigné par le Responsable de Traitement pour lequel le Partenaire doit fournir ou a besoin d’un accès aux Données ;
  • À la suite de la résiliation ou de l’expiration des Prestations ou du présent Accord, à cesser de traiter les données et soit à procéder à la destruction de tous fichiers manuels ou informatisés stockant les informations et à en apporter la preuve au Responsable de Traitement ; soit à procéder à la restitution intégrale de tous supports d’informations selon les modalités prévues au présent Accord et à la suppression de toute copie et à en apporter la preuve au Responsable de Traitement. Le Sous-traitant fera en sorte que ses sous-traitants ultérieurs respectent la présente clause.

Le Sous-Traitant coopérera à ses frais avec le Responsable de Traitement sans délai et lui fournira son aide pour permettre au Responsable de Traitement de :

  • Réaliser les analyses d’impact relative à la protection des données ;
  • Réaliser la consultation préalable de l’autorité de contrôle ;
  • Démontrer le respect de toutes ses obligations à travers la documentation nécessaire ;
  • Réaliser des audits, y compris des inspections et contribuer à ces audits ;
  • Répondre à toute demande d’une autorité de surveillance, notamment en cas d’enquête.

Le Sous-Traitant prendra à sa charge les coûts relatifs au temps passé par ses équipes pour répondre aux demandes d’assistance du Client dans la limite de deux (2) jours par an. Au-delà, toute demande d’assistance du Client fera l’objet d’une facturation par le Sous-Traitant au titre des Services Additionnels dans les conditions prévues au Contrat Cadre.

Le Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant :

  • Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte du responsable du traitement ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

– La pseudonymisation et le chiffrement des données à caractère personnel ;

– Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

– Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

– Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le Responsable de Traitement se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect des obligations précitées par le Sous-Traitant dans les conditions fixées à l’article « Audit » ci-après.

ARTICLE 6 – SOUS-TRAITANCE 

Le Sous-Traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il demande préalablement et par écrit l’autorisation du Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants ultérieurs. Cette notification doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai minimum de quinze (15) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement a donné son accord express pendant le délai convenu.

Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.

SFBX ne pourra sous-traiter qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier des obligations équivalentes à celles qui lui incombent conformément au présent Accord. Le sous-traitant ultérieur est tenu de respecter les obligations du présent Accord pour le compte et selon les instructions du responsable de traitement.

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Les sous-traitants d’ores-et-déjà acceptés par le Responsable de Traitement figurent à l’Annexe « Description du traitement des données à caractère personnel réalisé par le sous-traitant » du présent Accord.

ARTICLE 7 – EXERCICE DES DROITS DES PERSONNES CONCERNEES

Le Sous-Traitant doit aider le Responsable de Traitement, en prenant les mesures techniques et organisationnelles appropriées pour que le Responsable de Traitement puisse répondre à son obligation de donner suite à toute demande d’exercice de leurs droits par les personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

A ce titre, SFBX s’engage à transmettre dans les deux (2) jours ouvrés au Responsable de Traitement toute demande de droit d’accès diligentée par tout individu ou une association ou autre organisme représentant un individu, lorsque le droit national l’y autorise, dont des données à caractère personnel figureraient dans les données du Responsable de Traitement.

Le Sous-Traitant s’engage à appliquer les instructions du Responsable de Traitement concernant une telle requête, demande ou notification. Le Sous-Traitant doit s’assurer que ses sous-contractants autorisés transmettront immédiatement les requêtes, demandes ou notifications au Responsable de Traitement qu’ils reçoivent directement, sans y répondre.

Le Responsable de Traitement est le seul à pouvoir répondre directement à la personne concernée.

Le Sous-Traitant étant gestionnaire du Consentement des Visiteurs, il s’engage à :

  • fournir une version définitive de la Notice du Consentement préalable au recueil du Consentement du Visiteur dans les conditions fixées au Contrat, le Client s’engageant à ne pas modifier le contenu de ladite version définitive de la Notice de Consentement ;
  • appliquer immédiatement toute modification du Visiteur relative au consentement recueilli dans le cadre des Services ;
  • assister le Client, pour lui permettre d’exécuter ses obligations au titre des droits des Visiteurs, notamment en procédant, dans les 5 jours ouvrés suivant la demande du Client, à

– l’extraction dans un format lisible des données à caractère personnel des Visiteurs en cas d’exercice de leur droit d’accès,

– l’extraction dans un format structuré, couramment utilisé et lisible par machine des données à caractère personnel des Visiteurs en cas d’exercice de leur droit à la portabilité,

– l’anonymisation des données à caractère personnel des Visiteurs via la destruction de la Table de correspondance et/ou la fermeture de l’accès aux données à caractère personnel liées à leur Consentement en cas d’exercice de leurs droits d’opposition ou d’effacement et/ou d’expiration de la durée de conservation des données à caractère personnel du Traitement Visiteurs.

ARTICLE 8 – NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL 

Le Sous-traitant s’engage à avertir le Responsable de Traitement dans un délai de 24h de sa constatation ou de l’information reçue par tout sous-traitant, en cas de faille de sécurité avérée ou suspectée engendrant une violation de données à caractère personnel telles qu’un accès fortuit ou non autorisé, une plainte et plus généralement en cas de toute atteinte à l’intégrité des données.

Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Et notamment, le Sous-Traitant complètera et remettra au Responsable de Traitement le document de notification en cas de failles de sécurités prévu à l’Annexe « Modèle de Rapport de Violation de Données Personnelles ». Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée dès qu’elles sont disponibles.

En cas de violations de Données à caractère personnel, le Sous-traitant s’engage à ses frais à :

Ouvrir rapidement une enquête approfondie sur les circonstances entourant la violation

Prendre les mesures nécessaires ou raisonnablement attendues pour minimiser les effets de la violation

Tenir une documentation de toutes les informations relatives à la violation, y compris les résultats de ses propres enquêtes et des mesures correctives prises

Prendre toutes les mesures nécessaires pour éviter qu’une nouvelle violation se produise à nouveau.

La récurrence d’incidents ou la gravité d’un seul incident imputable(s) exclusivement à une Partie entraînant la Violation des données dans un environnement de production sera, le cas échéant, une cause de résiliation anticipée du Contrat aux torts exclusifs de ladite Partie.

ARTICLE 9 – AUDIT

Au cours de l’Accord, le Client pourra, à sa charge, réaliser ou faire réaliser un audit de tout ou partie des Prestations en cours de réalisation, par un tiers indépendant, non concurrent direct de SFBX ou par l’ACPR. Ce tiers auditeur sera tenu au secret professionnel. Pour cela, il devra obligatoirement signer un engagement personnel de confidentialité au profit de SFBX. Le Client devra notifier au Sous-traitant l’identité de l’auditeur ou de la structure d’audit retenue lorsqu’il s’agit d’un cabinet extérieur.

Cet audit sera réalisé sous réserve que la mission d’audit n’ait pas d’objet autre que de s’assurer du respect par le Sous-traitant des obligations qui lui incombent au présent Accord. En tout état de cause, l’audit ne pourra porter sur les données financières, comptables et commerciales de SFBX.

L’audit devra se dérouler durant les heures de travail du Sous-traitant et dans des conditions permettant de ne pas générer une surcharge de travail déraisonnable pour les préposés de celui-ci.

Le Client s’engage à avertir le Prestataire par écrit de toute mission d’audit avec un préavis minimum de cinq (5) Jours Ouvrés en lui communiquant l’objet et la durée envisagée de la mission ainsi que le nom des experts détachés.

Le Sous-traitant s’engage à collaborer de bonne foi et sans réserve avec tout auditeur ainsi désigné. Il facilitera notamment l’accès des auditeurs à tout document, information ou autre élément utile au bon déroulement de la mission d’audit et facilitera leur mission, en particulier en répondant à toute question et en leur accordant l’accès à tous les outils et moyens nécessaires au bon déroulement de la mission. Un exemplaire du rapport d’audit sera gratuitement remis au Sous-traitant.

Les temps dûment justifiés passés par le personnel de SFBX à l’audit sont supportés par le Sous-traitant.

Toute mise en conformité nécessaire découlant de l’audit se fera aux frais du Sous-traitant, fera l’objet d’une étude conjointe du Sous-traitant et du Client pour la mise en place d’un plan d’action correctif, détaillé, et soumis à la validation du Client, et ce, sans préjudice des autres droits du Client.

Le Sous-traitant se porte fort de la souscription des obligations au titre des présentes par ses sous-traitants aux fins de conduite de l’audit par le Client ou l’ACPR en leurs locaux et sur leur système et en garantit le respect.

ARTICLE 10 – CONFIDENTIALITE

La présente clause concerne l’ensemble des documents, informations, données, d’ordre technique, stratégique, commercial, financier ou autre ainsi que toutes Données à Caractère Personnel qui pourront être communiqués par quelque moyen que ce soit, notamment par écrit, par oral ou par voie électronique, ou dont les Parties pourront avoir connaissance à l’occasion de l’Accord (ci-après désignés les « Informations Confidentielles »).

Le terme « Données à Caractère Personnel » recouvre toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Il est entendu que les Données à Caractère Personnel requièrent toute la vigilance des Parties, notamment au regard des diverses règlementations qui leur sont applicables.

Ne sont pas considérées comme des Informations Confidentielles, au sens du présent article :

  • Les informations qui sont entrées dans le domaine public préalablement à leur divulgation et/ou communication ou qui tomberont dans le domaine public après leur communication et/ou divulgation sans faute ou négligence de la part d’une des Parties ;
  • Les informations déjà en la possession d’une Partie au moment de leur transmission par l’autre Partie ;
  • Les informations devant être divulguées par l’une des Parties en exécution d’une obligation légale ou réglementaire non équivoque, d’une décision de justice ou d’une demande d’une autorité administrative à laquelle une Partie ne peut se soustraire, sous réserve d’en informer l’autre Partie immédiatement.

Chaque Partie s’engage, en conséquence, tant pour son compte que pour celui de ses salariés, préposés, membres et/ou conseils, dont il se porte fort, à ne pas divulguer les Informations Confidentielles sous quelque forme que ce soit à des tiers et à ne pas les exploiter à des fins personnelles en dehors de l’exécution du présent accord, sauf avec l’autorisation expresse, préalable et écrite de l’autre Partie. Par tiers, on entend toute personne physique ou morale autre que les Parties au présent Accord.

Chaque Partie s’engage, en outre, à prendre toutes les précautions nécessaires pour préserver le caractère confidentiel des Informations Confidentielles, comme s’il s’agissait de ses propres informations, et notamment :

  • A ne communiquer et révéler les Informations Confidentielles qu’aux seuls membres de son personnel, conseils et sous-traitants ayant à les connaître dans le cadre de l’exécution de l’Accord et des Prestations et sous réserve que ces derniers soient informés de la nécessité de respecter les obligations de confidentialité contenues dans le présent Accord. Il est entendu que la Partie recevant les Informations Confidentielles garantit expressément le respect, par son personnel ou par tout sous-traitant agréé par l’autre Partie, des obligations prévues dans le présent Accord ;
  • A assurer la sécurité et l’intégrité physique des Informations Confidentielles, par tous moyens appropriés, notamment en les conservant dans des endroits sécurisés, en assurant une limitation d’accès et en prenant toute autre mesure qui apparaîtrait nécessaire et dans tous les cas en appliquant des mesures de sécurité non moindres que celles que SFBX applique à ses propres informations confidentielles ;
  • A ne pas copier, reproduire et/ou dupliquer, totalement ou partiellement, les Informations Confidentielles pour ses besoins propres, lorsque de telles copies, reproductions ou duplications n’ont pas été autorisées par l’autre Partie et vont au-delà de la collaboration des Parties.

Les obligations des Parties à l’égard des informations confidentielles demeureront en vigueur pendant toute la durée de l’Accord et, pendant une période de dix (10) ans après le terme de l’Accord.

Il appartient à la Partie qui se prévaut de la divulgation d’une information confidentielle d’en rapporter la preuve.

ARTICLE  11 – RESPONSABILITE – FORCE MAJEURE

11.1. Responsabilité

Chacune des Parties sera responsable envers son cocontractant de l’exécution des obligations lui incombant en vertu de l’Accord et des Prestations et s’engage en conséquence à réparer tout dommage direct causé à l’autre Partie, résultant de ses fautes, erreurs ou omissions d’elle-même ou de ses sous-traitants éventuels.

Chacune des Parties peut voir sa responsabilité exonérée, charge à elle de le démontrer, pour les dommages occasionnés :

  • Du fait d’un cas de force majeure tel que défini à l’article « Force majeure » ;
  • Du fait d’un tiers, autre qu’un sous-traitant tel que défini à l’article « Sous-traitance » ;
  • Dès lors qu’ils relèvent de la qualification de dommages indirects.

En aucun cas le présent Accord ne saurait exclure ou limiter en aucune manière la responsabilité de l’une ou l‘autre des Parties en cas de fraude, décès ou dommage corporel, négligence, faute lourde ou en matière de sécurité.

Chaque Partie s’engage à disposer d’une assurance responsabilité civile générale et d’une responsabilité professionnelle et à maintenir ces assurances pendant toute la durée du présent Accord.

11.2. Force Majeure

La force majeure s’entend de tout événement extérieur à la Partie affectée, présentant un caractère à la fois imprévisible et insurmontable, qui empêche l’une ou l’autre des Parties, d’exécuter tout ou partie des obligations mises par l’Accord à sa charge.

Dans tous les cas, la Partie empêchée devra faire tout ce qui est en son pouvoir pour limiter la durée et les effets du cas fortuit, de la force majeure ou de la cause extérieure.

En cas de prolongation de l’événement au-delà d’une période de trente (30) jours consécutifs, l’Accord pourra être résilié de plein droit, quinze (15) jours après l’envoi d’une lettre recommandée avec demande d’accusé de réception, sauf accord exprès des Parties.

ARTICLE 12 – INEXECUTION CONTRACTUELLE

En cas d’inexécution de l’une des obligations prévues par le présent Accord et notamment aux articles « Confidentialité »,« Obligations des Parties », « Sous-traitance », « Exercice des droits des personnes concernées », « Notification des violations de données à caractère personnel », elle sera résiliée de plein droit après mise en demeure par lettre avec accusé de réception demeurée infructueuse pendant quinze (15) jours.

Exécution du préavis :

Dans tous les cas, pendant la période de préavis, les relations entre le Responsable de traitement et le Sous-traitant devront se poursuivre de façon loyale sincère et normale, de manière à assurer le même niveau de service jusqu’au terme de la relation.

Toutes les clauses qui de par leur nature continuent à produire leurs effets à l’expiration des présentes, survivront à la fin du présent Accord, et ce quelle qu’en soit la cause.

ARTICLE 13 – DONNEES PERSONNELLES DES COLLABORATEURS DES PARTIES

Chaque Partie collecte et traite les Données à caractère personnel relatives au personnel de l’autre Partie impliqué dans la gestion et le suivi du présent Accord (ci-après  » Personnel « ).

Afin de permettre une communication efficace et simple aux membres de son Personnel, chaque Partie s’engage à informer les membres de son Personnel du Traitement et du transfert éventuel de leurs Données par l’autre Partie et à leur fournir les informations indiquées dans le présent article.

Aux fins de la présente disposition, le Responsable du traitement est :

  • Le Client en ce qui concerne les Données Personnelles du Personnel d’SFBX ;
  • SFBX concernant les Données personnelles du personnel du Client.

Ce Traitement est mis en œuvre aux fins de l’exécution et de la gestion de l’Accord et de la poursuite de l’intérêt légitime respectif des Parties dans l’exercice de leur activité commerciale.

Les Données à caractère personnel concernées par ce traitement portent uniquement sur les noms, prénoms, coordonnées professionnelles et fonctions occupées par le Personnel des Parties impliqué dans l’exécution et la gestion de l’Accord et des Prestations (ci-après  » Données du Personnel « ). Les Données du Personnel seront conservées pendant toute la durée des Prestations et seront archivées pendant une période de dix (10) ans à compter de l’expiration de l’Accord. L’accès aux Données du Personnel sera limité au Personnel autorisé et/ou à ses prestataires de services en charge de la gestion de l’ Accord et des relations avec les prestataires et les fournisseurs.

Le Personnel de SFBX a le droit d’accéder aux Données à caractère personnel traitées par le Client pour faire rectifier ces Données si le Personnel peut justifier que les Données sont inexactes, pour demander leur effacement et s’opposer à leur Traitement pour des raisons tenant à leur situation personnelle, ou pour demander leur limitation. Le Personnel de SFBX a également le droit de définir des directives relatives au traitement de leurs Données après le décès.

Le Personnel de SFBX peut exercer ses droits en adressant une demande à Adresse Mail DPO Client. Le Personnel du Client dispose des mêmes droits vis-à-vis de SFBX. Il peut exercer ses droits en adressant une demande à juridique@dipeeo.com

ARTICLE 14 – LOI APPLICABLE ET ATTRIBUTION DE COMPETENCE

Le présent Accord est régi par la loi française. La langue applicable pour l’interprétation du présent Accord et de ses conséquences est la langue française.

Tout litige fera l’objet d’une tentative de règlement amiable. A défaut de résolution amiable dans les trois (3) mois, le tribunal de Commerce de Bordeaux sera seul compétent pour connaître de toute difficulté relative à l’interprétation ou l’exécution du présent Accord, nonobstant pluralité de défendeurs ou appel en garantie, même pour les procédures d’urgences ou conservatoires, en référé ou par requête.

Fait à Bordeaux, le 02/04/2026

ANNEXE 1 – DESCRIPTION DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL REALISE PAR LE SOUS-TRAITANT

1. DESCRIPTION DES TRAITEMENTS FAISANT L’OBJET DE LA SOUS-TRAITANCE

A. Description des prestations réalisées 

☒ Héberger les données

☒ Dispositif de collecte de données – direct – Collecter des consentements cookies

☒ Gestion du consentement et retrait du consentement

☒ Archivage des données

☒ Réalisation de statistiques

B. Nature des opérations 

☒ Lecture/consultation

☐ Saisie

☒ Collecte (directe et indirecte) :  Directe – consentements cookies

☐ Modification

☐ Rectification

☒ Conservation

☒ Enregistrement

☐ Extraction

☐ Diffusion/communication

☐ Comparaison

☐ Interconnexion

☐ Limitation

☒ Suppression

☒ Destruction

☐ __________

C. Les finalités du traitement 

☒ Gestion de la relation Visiteur

☒ Gestion des consentements cookies

D. Les Données à caractère personnel traitées

Données personnelles Personnes concernées Durée de conservation Territoire
☒ Description des données
– données d’identification, à savoir l’attribution d’un identifiant unique à chaque Visiteur pour conserver les caractéristiques relatives à son consentement ;
– adresse IP ( Nous permet de détecter quelle loi « Privacy » doit s’appliquer) . ;
– numéro IDFA (Uniquement sur la CMP InApp)
– données de connexion ( Dans le cas où le client partage expressément un identifiant de connexion externe)
– les consentements positifs, négatifs et mixtes		 ☐ Prospects
☒ Visiteurs
☐ Employés/stagiaires
☐ Fournisseurs
☐Partenaires commerciaux		 ☒ Purge des données régulière, 12 mois après le recueil du consentement ; 5 ans pour les preuves de consentement.
☒ Purge ponctuelle des données à la demande du Responsable de Traitement		 ☐ France
☒ UE : pour l’hébergement et le traitement, France, Pays-Bas et Belgique
☐ hors UE : pays :
Etats-Unis (pas d’accès direct mais uniquement via le Cloud Act)

 

2. LOCALISATION DES DONNÉES

Le Sous-Traitant s’engage à ce que les Données soient localisées dans les conditions définies ci-après. Tout changement d’adresse devra faire l’objet d’une notification au Responsable de Traitement.

☒ Pour l’hébergement de la base de Données et des sauvegardes, par la société Google Cloud France en Belgique, aux Pays bas et en France

☒ Pour les accès et modifications de la base de Données, par la société Google Cloud France en Belgique, aux Pays bas et en France

Transferts hors UE : ☐ OUI    ☒ NON

Il est rappelé qu’un transfert de donnée est constitué par toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne, y compris tout accès depuis un pays tiers.

Dans le seul cadre d’une demande des autorités via le Cloud Act auprès de son sous-traitant, la société a mis en place les mesures de protection nécessaires :

Acteur Pays Mesure de protection retenue (Clause contractuelle Type de la Commission européenne, Clause contractuelle type de la CNIL, Binding Corporate Rules, Clauses autres que les clauses types avec autorisation de la CNIL, PIA)
Google Cloud Etats-Unis CCT – pseudonymisé + blockchain + chiffrement

3. SOUS-TRAITANCE ET PARTENAIRES TIERS

☐ Le Sous-traitant n’a recours à aucun sous-traitant ultérieur

☒ Il est d’ores-et-déjà convenu que dans le cadre des Prestations prévues au présent Accord, le Sous-Traitant a recours aux sous-traitants ultérieurs suivants que le Responsable de Traitement reconnaît et accepte :

Nom du sous-traitant Google France
Adresse principale 8 Rue de Londres, 75009 Paris
Description des prestations sous-traitées Hébergement, maintenance et back up
Durée du contrat de sous-traitance Le temps des prestations
Localisation du traitement /des serveurs Hébergement, back up, maintenance en Union Européenne
Accès potentiel aux US (Cloud Act)
Sous-traitance en chaîne Oui

La liste des sous-traitants de Google Cloud France est disponible à cette adresse : https://cloud.google.com/terms/subprocessors

Le Sous-traitant devra déclarer tout autre sous-traitant ultérieur en transmettant au Responsable de Traitement le formulaire en Annexe « Modèle de Déclaration de sous-traitant ultérieur » du présent Accord.

4. INSTRUCTIONS FOURNIES PAR LE RESPONSABLE DE TRAITEMENT

Les instructions sont :

☐ Documentées dans les spécifications du traitement (initial et/ou d’évolution du traitement)

☒ Inscrites dans l’outil de ticketing : par mail à l’adresse support@sfbx.io

☒ Reçues / confirmées par email

5. DROIT D’INFORMATION DES PERSONNES CONCERNÉES

☒ Il appartient au Responsable de traitement, de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

☐ Le Sous-Traitant, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être définie par le responsable de traitement avant la collecte des données.

Précisez les cas : ________________________________________________________________

6. GESTION DE L’EXERCICE DES DROITS DES PERSONNES CONCERNEES

☒ Le Responsable de Traitement n’autorise pas le Sous-Traitant à répondre directement. Le service du Responsable de Traitement auquel le Sous-Traitant doit transmettre les demandes est le suivant : Adresse mail DPO Client

7. NOTIFICATION DES VIOLATIONS DE DONNEES A CARACTERE PERSONNEL

☒ Le Sous-Traitant ne communique en aucun cas avec l’Autorité de contrôle compétente (CNIL)

☒ Le Sous-Traitant ne communique en aucun cas avec la personne concernée par la violation de Données à caractère personnel.

☒ Le Sous-traitant communique la violation à l’adresse suivante du Responsable de traitement : Adresse mail DPO Client

8. MESURES DE SÉCURITÉ

Dans la mesure où l’article 32 du règlement européen sur la protection des données prévoit que la mise en œuvre des mesures de sécurité incombe au responsable du traitement et au sous-traitant, il est recommandé de déterminer précisément les responsabilités de chacune des Parties au regard des mesures à mettre en œuvre.

☒ Le Sous-traitant s’engage à respecter les Exigences minimales de sécurité prévues en Annexe A des présentes.

☐ Le Sous-traitant s’engage à compléter et respecter le Questionnaire de sécurité et de protection des données.

9. SORT DES DONNEES A CARACTERE PERSONNEL A L’ISSUE DES PRESTATIONS

Au terme des Prestations relatives au traitement des Données, le Sous-Traitant s’engage, au choix du Responsable de Traitement, à :

☒ Détruire toutes les données à caractère personnel dans un délai de 6 semaines.

☒ Renvoyer, au format json par la mise à disposition d’un lien, toutes les données à caractère personnel au responsable de traitement dans un délai de 10 jours.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par un Procès-Verbal de Suppression.

10. CONTACTS DONNEES PERSONNELLES

Pour l’exécution des Prestations, le Responsable de Traitement met à la disposition du Sous-traitant les informations nécessaires suivantes :

☒ Nom et coordonnées du Responsable de Traitement : XXXXXXXXXX

☒ Nom et coordonnées du Data Protection Officer (DPO) ou assimilé du Responsable de Traitement : XXXXXXXXX

☐ les résultats des Analyses d’Impact réalisées préalablement au traitement et impactant le Sous-traitant :__________

☒ aucune Analyse d’Impact n’a été réalisée par le Responsable de Traitement

☒ Le Sous-Traitant informe le Responsable de Traitement qu’un DPO a été désigné en la personne Dipeeo, 95 avenue du Président Wilson, 93100 Montreuil, Tel: 09.50.39.07.50



ANNEXE 2 –  EXIGENCES MINIMALES DE SECURITE

Les mesures de sécurité mises en œuvre sur la Plateforme sont à minima équivalentes à celles développées par la CNIL, l’ANSSI ou la norme ISO 270001.

A titre d’information les derniers guides publiés au jour du Contrat sont accessible aux adresses suivantes :

https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Le Responsable de traitement a souhaité que les transferts de Données avec le Sous-traitant soient effectués de la manière suivante :

☐ FTPS du Sous-traitant

☐ FTPS du Responsable de Traitement

☐ SFTP du Sous-traitant

☐ VPN client to site (fourni par le Sous-traitant)

☐ Pièce jointe dans email protégée par mot de passe

☐ Pièce jointe dans email protégée par chiffrement

☒ Framework de l’IAB sécurisé

Le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes demandées par le Responsable de traitement :

☒ La pseudonymisation (remplacement de tout ou partie des données directement identifiants par un ID)

☐ L’anonymisation (aucun moyen d’identifier directement l’individu, ni de savoir qu’un ensemble de données correspond à un individu unique)

☒ Le chiffrement des données à caractère personnel

☒ Le cloisonnement technique et/ou applicatif des données

☒ Le cloisonnement logique et/ou physique des données par client

☒ Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement :

☒ Scan de vulnérabilité – a minima annuel

☒ Test de pénétration – annuel 

☐ Audit de code – [fréquence]

☒ Une politique sur la sécurité de l’information (PSSI)

☒ Une Charte Informatique

☒ Un mécanisme/procédure en cas de faille de sécurité/ violation de données

☒ Une procédure de destruction ou de restitution des données

☐ Une procédure de purge automatique des données tous les __________________________

☐ Un code de conduite, certification à mettre en œuvre les mesures de sécurité, ou adhésion à une norme reconnue sur la sécurité de l’information : _____________________

☐ Une certification HDS pour les données de santé (hébergeur de santé agréé)

Le Sous-traitant s’engage à mettre en œuvre a minima les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement suivants :

☒ Une formation du personnel : sur la protection des données, sur les procédures et systèmes de sécurité

☒ Des mesures physiques de sécurité d’accès aux bâtiments et locaux dans lesquels les données sont accessibles

☒ Un contrôle d’accès aux données :

☒ protection par un mot de passe/ par cryptage 

☐ authentification sécurisée ou MFA

☒ Une politique de gestion des droits et des habilitations

☒ Une revue a minima annuelle des habilitations

☐ L’utilisation d’un token pour déverrouiller son ordinateur et entrer un code PIN.

☒ Une politique de gestion des mots de passe stricte soumise a minima aux règles suivantes :  taille minimum : 12 caractères ; Complexité : lettre (minuscule/majuscule), chiffre et symbole ; Fréquence de changement : a minima tous les 180 jours ; Historisation : mots de passe à usage unique ; limiter le nombre de tentatives d’accès au compte

☒ A minima un protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi

☒ Une installation sans délai des mises à jour critiques

☒ Aucun accès invités, ni de compte anonyme

☒ Aucun compte partagé

☒ Une gestion des droits minimums : les comptes sont désactivés immédiatement au départ des collaborateurs ; seuls les droits nécessaires au déroulement de la mission du collaborateur sont donnés

☐ Une traçabilité des demandes de modification des droits

☐ Un système de journalisation des accès

☒ Une procédure de verrouillage automatique de cession en cas d’inactivité

☒ Des mesures de protection contre les codes malveillants et mobiles : antivirus, firewall, EDR

☒ Le chiffrement des outils mobiles

☒ La mise en place d’un VPN pour les outils mobiles

Le Sous-traitant s’engage à mettre en œuvre a minima les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique suivants :

☒ Un plan de reprise et de continuité d’activités en cas de perte des données (DRP/PRA/PCA)

☐ Un test annuel du DRP/PRA/PCA

☐ Un Incident Response Plan (IRP)

☒ Un Plan d’Assurance Sécurité (PAS)

☒ Des back up et sauvegardes (archives) sur des lieux distincts

Le Sous-traitant s’engage à :

☒ Détruire les archives obsolètes de manière sécurisée

☒ Effacer les données de tout matériel avant sa mise au rebut

En cas de développement ou maintenance de site web, le Sous-Traitant s’engage à :

☒ Sécuriser les sites web : utiliser le protocole TLS et vérifier sa mise en œuvre

☒ Vérifier qu’aucun mot de passe ou identifiant ne passe dans les url

☒ Encadrer les développements informatiques – a minima respecter le Top 10 OWASP

☒ Tester sur des données fictives ou anonymisées



ANNEXE 3 : MODELE DE DECLARATION DE SOUS-TRAITANT ULTERIEUR

DECLARATION DE SOUS-TRAITANT ULTERIEUR

Dans le cadre de l’Accord signé entre les Parties, le Sous-traitant entend informer le Responsable de Traitement du recours à un sous-traitant ultérieur dans les conditions suivantes :

Nom du sous-traitant  
Adresse principale  
Description des prestations sous-traitées  
Durée du contrat de sous-traitance  
Localisation du traitement /des serveurs  
Sous-traitance en chaîne  

Il est rappelé que SFBX demeure pleinement responsable devant le Responsable de Traitement de l’exécution par le sous-traitant ultérieur de ses obligations.



ANNEXE 4 :  MODELE DE RAPPORT DE VIOLATION DE DONNEES PERSONNELLES

NOTIFICATION DE VIOLATION DE DONNEES A CARACTERE PERSONNEL

1. IDENTIFICATION DE L’ENTITE AYANT SUBI LA VIOLATION

Raison sociale :

Service :

N° SIRET :

Adresse :

Code postal :        Ville :


2. INFORMATIONS PRINCIPALES

2.1 Date et heure de la violation

Date et heure de la violation elle-même (si connues, ou approximation) :

Date : ……/……/…………     Heure : …… : ……

Date et heure de constatation de la violation :

Date : ……/……/…………     Heure : …… : ……

Le cas échéant, date et heure de l’information de SFBX par le sous-traitant ultérieur :

Date : ……/……/…………     Heure : …… : ……

Le cas échéant, date et heure de l’information du Client (au maximum dans les 24 heures de la constatation ou de l’information par le sous-traitant) :

Date : ……/……/…………     Heure : …… : ……


2.2 Circonstances de la violation (cocher au moins une case)

☐ Perte de confidentialité : des données à caractère personnel ont été compromises (accès non autorisé ou divulgation).

☐ Perte d’intégrité : des données à caractère personnel ont été modifiées de manière non désirée.

☐ Perte de disponibilité : des données à caractère personnel ont disparu.

Description générale de l’incident :

…………………………………………………………………………………………………………………

Lieu de la violation :

…………………………………………………………………………………………………………………

Supports des données concernées par la violation (serveur, poste fixe, ordinateur portable, disque de sauvegarde, document papier…) :

…………………………………………………………………………………………………………………


2.3 Nature et teneur des données à caractère personnel concernées

Nature des données concernées :

…………………………………………………………………………………………………………………

Type de données personnelles concernées :

☐ Etat civil (ex : nom, sexe, date de naissance, âge…) :

…………………………………………………………………………………………………………………

☐ Coordonnées (ex : adresse postale ou électronique, numéros de téléphone fixe ou portable) :

…………………………………………………………………………………………………………………

☐ Données d’identification ou d’accès (ex : identifiant, mot de passe, numéro client…) :

…………………………………………………………………………………………………………………

☐ Données relatives à des informations financières (ex : revenus, numéro de carte de crédit, coordonnées bancaires…) :

…………………………………………………………………………………………………………………

☐ Données sensibles (ex : opinions philosophiques, politiques, religieuses, appartenance syndicale, données relatives à la vie sexuelle ou à la santé, origine raciale ou ethnique) :

…………………………………………………………………………………………………………………

☐ Données spécifiquement liées à la fourniture d’un service de communications électroniques (ex : données de localisation ou de connexion, données relatives aux historiques de navigation internet, aux courriers électroniques envoyés ou reçus et aux listes d’appels téléphoniques détaillées…) :

…………………………………………………………………………………………………………………

☐ Autres (préciser) :

…………………………………………………………………………………………………………………

☐ Inconnue (pour le moment).


2.4 Mesures techniques et organisationnelles appliquées à la violation de données à caractère personnel

Mesures prises en réaction immédiate à la violation :…………………………………………………………………………………………………………………

Mesures conseillées aux personnes concernées :

…………………………………………………………………………………………………………………

Autres mesures prises ou prévues pour réduire l’impact sur les personnes concernées :

…………………………………………………………………………………………………………………

Mesures prises ou prévues pour revenir à une situation normale :

…………………………………………………………………………………………………………………

Mesures prises ou prévues pour éviter que la violation se reproduise :

…………………………………………………………………………………………………………………


2.5 Recours à un tiers pour fournir le service concerné par la violation

☐ Oui, préciser le nom du tiers et sa qualité : sous-traitant, prestataire, fournisseur…

…………………………………………………………………………………………………………………

☐ Non


3. INFORMATIONS SUPPLEMENTAIRES

3.1 Informations sur la violation

Nombre de personnes concernées par la violation…………………………………………………………………………………………………………………

Conséquences potentielles (impacts sur les données)

Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :

En cas de perte de confidentialité :

☐… diffusées plus que nécessaire et avoir échappé à la maîtrise des personnes concernées

(ex. : diffusion plus ou moins large, diffusion non désirée d’une photo sur Internet, perte de contrôle d’informations publiées sur un réseau social…) ;

☐… corrélées avec d’autres informations relatives aux personnes concernées

(ex. : corrélation d’adresses de résidence et de données de géolocalisation en temps réel…) ;

☐… exploitées à d’autres fins que celles prévues et/ou de manière injuste

(ex. : fins commerciales, usurpation d’identité, utilisation à l’encontre des personnes concernées…).

En cas de perte d’intégrité :

☐ … modifiées en des données invalides, qui ne seront pas utilisées de manière correcte, le traitement pouvant engendrer des erreurs, des dysfonctionnements, ou ne plus fournir le service attendu

(ex. : altération du bon déroulement de démarches importantes…) ;

☐… modifiées en d’autres données valides, de telle sorte que les traitements soient détournés

(ex. : exploitation pour usurper des identités en changeant la relation entre l’identité des personnes et les données biométriques d’autres personnes…).

En cas de perte de disponibilité :

☐… manquantes à des traitements qui ne peuvent plus du tout fournir le service attendu (ex. : ralentissement ou blocage de processus administratifs ou commerciaux, impossibilité de fournir des soins du fait de la disparition de dossiers médicaux, impossibilité pour des personnes concernées d’exercer leurs droits…) ;

☐ … manquantes à des traitements et générer des erreurs, des dysfonctionnements, ou fournir un service différent de celui attendu

(ex. : certaines allergies ne sont plus signalées dans un dossier médical, certaines informations figurant dans des déclarations de revenus ont disparu, ce qui empêche le calcul du montant des impôts…).

Préjudices potentiels (impacts sur les personnes concernées)

Description générale :

…………………………………………………………………………………………………………………

Estimation du niveau de la gravité (choisir le niveau le plus approprié au vu de la description et des exemples) :

Niveau Description du niveau Préjudices potentiels représentatifs du niveau
☐ Négligeable Les personnes concernées ne seront pas impactées ou pourraient connaître quelques désagréments, sans difficulté Perte de temps pour réitérer des démarches ou pour attendre de les réaliser, simple contrariété…
☐ Limité Les personnes concernées pourraient connaître des désagréments significatifs, qu’elles pourraient surmonter malgré les difficultés Frais supplémentaires, refus d’accès à des prestations commerciales, peur, affection physique ou psychologique mineure
☐ Important Les personnes concernées pourraient connaître des conséquences significatives, qu’elles pourraient surmonter, mais avec de sérieuses difficultés Détournements d’argent, interdiction bancaire, dégradation de biens, perte d’emploi, assignation en justice, affection physique ou psychologique grave…
☐ Maximal Les personnes concernées pourraient connaître des conséquences significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter Péril financier tel que des dettes importantes ou une impossibilité de travailler, affection physique ou psychologique de longue durée ou permanente, décès…

3.2 Violations concernant les personnes localisées dans d’autres pays de l’Union Européenne (UE)

□ Violation de données concernant les personnes localisées dans d’autres pays de l’UE.
…………………………………………………………………………………………………………………
 
Observations

Ad4good c’est quoi ?

Ad4good est le premier réseau publicitaire solidaire. Si vous acceptez la publicité personnalisée sur notre site, vous participez au financement d’une quarantaine d’associations qui en ont besoin.

Voir la liste complète des associations sur le site de Ad4good

Le réseau Ad4good met en place 3 actions pour assurer sa mission :

  • Partenariat entre éditeurs et Ad4Good : une partie de l’inventaire de l’éditeur est réservée à la diffusion de publicités solidaires. Ces publicités sont monétisées par Ad4good qui reverse ensuite 50% de sa marge aux associations sous forme de dons.
  • Partenariat entre annonceurs et associations : chaque publicité diffusée par l’annonceur lors d’une campagne labellisée « Ad4Good«  génère un don pour l’association partenaire de la campagne.  
  • Partenariat entre éditeurs et associations : Ad4good propose aux éditeurs d’offrir de la visibilité aux associations partenaires en leur réservant des emplacements publicitaires non-utilisés.

Pour permettre aux associations de continuer leurs actions, vous pouvez accepter globalement ou paramétrer le détail en autorisant Stocker et/ou accéder à des informations sur un terminal ainsi que Publicité personnalisée.

J'ai compris

Ad4good, partenaire de la CMP AppConsent® pour une publicité responsable et éthique

Nous sommes partenaires avec le réseau Ad4good, le premier réseau publicitaire solidaire qui regroupe une quarantaine d’associations.

Voir la liste complète des associations sur le site de Ad4good

Le réseau Ad4good met en place 3 actions pour assurer sa mission :

  • Partenariat entre éditeurs et Ad4Good : une partie de l’inventaire de l’éditeur est réservée à la diffusion de publicités solidaires. Ces publicités sont monétisées par Ad4good qui reverse ensuite 50% de sa marge aux associations sous forme de dons.
  • Partenariat entre annonceurs et associations : chaque publicité diffusée par l’annonceur lors d’une campagne labellisée « Ad4Good » génère un don pour l’association partenaire de la campagne.  
  • Partenariat entre éditeurs et associations : Ad4good propose aux éditeurs d’offrir de la visibilité aux associations partenaires en leur réservant des emplacements publicitaires non-utilisés.

Qu’est-ce que cela change pour votre audience ?

En optant pour l’offre AppConsent® Xchange Solidaire, votre participation sera mentionnée sur le premier écran de votre notice de consentement.
Si un utilisateur refuse la collecte pour les finalités publicitaires, un écran de rappel lui sera affiché afin qu’il puisse modifier ses choix s’il souhaite être un acteur du changement vers une publicité plus éthique.

Quels sont les critères d’éligibilité ?

En pré-requis, votre site internet doit diffuser de la publicité. Une fois inscrit à AppConsent® Xchange Solidaire, une diffusion significative d’au moins 20% de publicités responsables doit être opérée sur votre site.

L’offre AppConsent® Xchange Solidaire vous propose de prendre part à un écosystème de publicité plus responsable tourné vers la solidarité et la préservation de l’environnement.

J'ai compris