Annexe contractuelle RGPD
En vigueur à partir du : 01 octobre 2024
1. Préambule
Dans le cadre du contrat de [préciser nom et/ou nature du contrat] d’[nom prestataire], le prestataire est sous-traitant au sens de l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD »).À ce titre, le prestataire est informé que le respect de la règlementation en matière de protection des données à caractère personnel est un élément fondamental pour PRIMOFFICINE.Le prestataire déclare présenter les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Le prestataire s’engage à respecter, sans réserves, à l’ensemble des obligations prévues dans la présente annexe afin de se conformer aux dispositions de l’article 28 de la règlementation applicable en France et dans l’Union européenne dans le domaine de la protection des données à caractère personnel.
2. Définitions
Pour la présente annexe, les termes ci-dessous ont entre les parties la signification suivante :
- « destinataire » : désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ;
- « données à caractère personnel » : désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
- « finalité » : désigne les objectifs principaux assignés au traitement et aux fonctions substantielles mises en œuvre ;
- « personne concernée » : désigne les personnes physiques identifiables ou identifiées dont les données à caractère personnel sont collectées et intégrées dans le traitement de données à caractère personnel ;
- « traitement de données à caractère personnel » : désigne toute opération ou ensemble d’opérations portant sur des données à caractère personnel, quel que soit le procédé utilisé telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;
- « violation de données à caractère personnel » : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
3. Qualification juridique des parties
Au sens du RGPD et pour la bonne application des présentes :
- PRIMOFFICINE a la qualité de responsable de traitement ;
- le prestataire a la qualité de sous-traitant.
4. Déclaration du prestataire
Le prestataire est informé que le respect de la règlementation en matière de protection des données à caractère personnel est un élément fondamental pour PRIMOFFICINE. À ce titre Le prestataire déclare :
- présenter toutes les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée ;
- disposer d’une politique informatique et libertés conforme au RGPD.
5. Sous-traitance ultérieure
Le prestataire est autorisé par PRIMOFFICINE à recruter d’autres sous-traitants dans le cadre du traitement. Les autres sous-traitants recrutés par le prestataire sont listés en annexe 3 du présent avenant. Dans tous les cas, le prestataire s’engage à :
- recruter un sous-traitant présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et du présent avenant mais également garantisse la protection des droits de la personne concernée ;
- signer avec l’autre sous-traitant un contrat faisant référence au présent avenant, et imposant à son sous-traitant les mêmes obligations en matière de protection des données à caractère personnel que celles fixées dans le présent avenant et au contrat ;
- tenir à la disposition de PRIMOFFICINE la liste, annexées au présent avenant, des autres sous-traitants recrutés dans le cadre du contrat ayant accès à des données à caractère personnel ;
- informer PRIMOFFICINE de tout changement prévu concernant l’ajout ou le remplacement des autres sous-traitants, donnant ainsi à PRIMOFFICINE la possibilité d’émettre des objections et des réserves.
Le prestataire demeure pleinement responsable vis-à-vis de PRIMOFFICINE et des tiers des actes de son propre sous-traitant. Il appartient donc au prestataire de prendre toutes les mesures nécessaires afin de garantir le respect par son sous-traitant des dispositions du RGPD, PRIMOFFICINE n’ayant aucun contrôle sur les autres sous-traitants.Si le prestataire souhaite changer un ou plusieurs des autres sous-traitants, il doit en aviser préalablement PRIMOOFFICINE avec un préavis minimum d’un (1) mois durant lequel PRIMOOFFICINE peut émettre des « objections ». En cas d’objections aux changements demandés, les parties s’engagent à se réunir et en discuter de bonne foi. Si, à l’issue de cette réunion, PRIMOOFFICINE maintient ses objections, il peut procéder à la résiliation du contrat moyennant un préavis de six (6) mois et ce, sans indemnité, lorsque :
- l’autre sous-traitant est un concurrent de PRIMOFFICINE ;
- PRIMOFFICINE est en précontentieux ou contentieux avec l’autre sous-traitant ;
- PRIMOFFICINE apporte la preuve que le fait d’accepter l’autre sous-traitant lui ferait courir un risque de conflit d’intérêt ou un risque économique ou juridique.
6. Droits et obligations de primofficine
PRIMOFFICINE s’engage à :
- fournir au prestataire toutes les informations et instructions documentées nécessaires à la bonne exécution du traitement ;
- indiquer au prestataire toute évolution des traitements ;
- fournir au prestataire les coordonnées de son interlocuteur ou, le cas échéant, de son délégué à la protection des données ;
- notifier les violations de données auprès de l’autorité compétente ;
- respecter ses obligations en matière de protection des données.
PRIMOFFICINE dispose du droit de :
- demander au prestataire, à première demande, la communication de tout élément, pièce ou documentation permettant de garantir qu’il respecte les exigences du RGPD et du présent avenant ;
- formuler des objections et des réserves sur l’autre sous-traitant recruté par me prestataire;
- réaliser des audits ou des inspections auprès du prestataire afin de s’assurer du respect par ce dernier des exigences du RGPD et de l’avenant ;
- demander l’assistance du prestataire sur la mise en œuvre d’une étude d’impact et la mise en œuvre de l’exercice des droits des personnes concernées, sur la coopération avec la CNIL, sur la mise en œuvre des moyens de sécurité du traitement ou encore sur la mise en œuvre des notifications de violations de données auprès de la CNIL ou des personnes concernées.
7. Instructions de Primofficine
Le prestataire s’engage à ne traiter les données à caractère personnel dans le cadre du contrat que dans le respect des instructions documentées, communiquées par PRIMOFFICINE au fur et à mesure de l’exécution de la prestation. Les instructions documentées sont communiquées au prestataire par écrit, sous toute forme choisie par PRIMOFFICINE telle que par document, courrier électronique ou compte rendu de réunion, sans que cette liste ne soit exhaustive.Le prestataire informe immédiatement PRIMOFFICINE si, selon lui, une instruction de PRIMOFFICINE constitue une violation du présent règlement ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données. Cette information doit être adressée par écrit et dans un temps compatible avec sa prise en compte par PRIMOFFICINE.
8. Flux transfrontières
Aucun transfert de données à caractère personnel ne peut intervenir en dehors de l’Union européenne sans l’accord préalable, exprès et spécial de PRIMOFFICINE. En cas d’accord de PRIMOFFICINE, le prestataire s’engage à respecter l’ensemble des obligations en matière de transfert de données à caractère personnel vers un pays tiers et notamment à conclure un acte juridique contraignant avec le destinataire des données comme des clauses contractuelles types ou des BCR et d’en justifier auprès de PRIMOFFICINE.
9. Confidentialité renforcée
Le prestataire s’engage à faire signer par toutes les personnes susceptibles d’accéder aux données à caractère personnel de PRIMOFFICINE un engagement individuel de confidentialité conforme à l’annexe 1. Le prestataire doit être en mesure de confirmer le respect de cette obligation auprès de PRIMOFFICINE, à première demande, en communiquant la liste des personnes susceptibles d’accéder aux données à caractère personnel, accompagnée des annexes signées par lesdites personnes.Le prestataire s’engage à former les personnes susceptibles d’accéder aux données à caractère personnel de PRIMOFFICINE sur les mesures de sécurité à mettre en œuvre. Le plan de formation annuel est communiqué à PRIMOFFICINE.Le prestataire s’engage à ce que ses éventuels sous-traitants ultérieurs soient également tenus par ces obligations spécifiques et soient en mesure d’en justifier auprès de PRIMOFFICINE, à première demande.
10. Obligation de sécurité
Le prestataire est tenu de mettre en œuvre les mesures organisationnelles et techniques de nature à lutter contre la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.À ce titre, le prestataire met en œuvre les mesures techniques et organisationnelles définies en annexe 2. L’annexe 2 doit être maintenue à jour et tenir compte des évolutions technologiques. Aucune modification ne peut être apportée à l’annexe 2 qui n’ait été préalablement portée à la connaissance de PRIMOFFICINE et approuvé par lui.
11. Violation de données
Il appartient à PRIMOFFICINE, et à lui seul, de notifier les éventuelles violations de sécurité à la CNIL. Le prestataire s’engage à notifier à PRIMOFFICINE, dans les meilleurs délais et, si possible au plus tard 48 heures après en avoir pris connaissance, toute violation de donnée à caractère personnel qu’il aurait subi.En cas de retard dans la communication de la violation, le prestataire doit accompagner sa notification des motifs expliquant ce retard.La violation de données est communiquée aux interlocuteurs désignés par PRIMOFFICINE ou, à défaut, au délégué à la protection des données désigné par PRIMOFFICINE.La notification doit, au minimum, préciser :
- la nature de la violation des données, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernées ;
- le nom et les coordonnées du délégué à la protection des données du prestataire ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
- les conséquences probables de la violation de données ;
- les mesures déjà prises ou celles qui sont proposées pour y remédier.
Si le prestataire est dans l’incapacité de fournir l’ensemble de ces informations au même moment, cela ne l’exonère pas de son obligation de notifier à PRIMOFFICINE la violation des données accompagnée de l’ensemble des informations à sa disposition, le reste devant être communiqué dès prise de connaissance.En cas de violation de données, le prestataire prend, dès que possible, toutes les mesures nécessaires pour remédier et diminuer l’impact de la violation et informe PRIMOFFICINE des mesures prises et des résultats attendus et constatés.Le prestataire s’engage à collaborer activement avec PRIMOFFICINE pour qu’elle soit en mesure de répondre à ses obligations réglementaires et contractuelles et notamment pour répondre aux interrogations de la CNIL.
12. Aide et assistance de Primofficine
- 12.1.Aide et assistance concernant le droit des personnes
Le prestataire s’engage à aider et assister PRIMOFFICINE par l’intermédiaire de mesures techniques et organisationnelles appropriées et en tenant compte de la nature du traitement à s’acquitter de l’obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits.
- 12.2.Aide et assistance concernant la sécurité du traitement
Le prestataire est tenu d’aider et d’assister PRIMOOFFICINE dans le cadre de la mise en œuvre des mesures techniques et organisationnelles appropriées de nature à satisfaire aux obligations de protection et de sécurisation des traitements. Afin d’apporter une aide appropriée à PRIMOOFFICINE, le prestataire doit s’appuyer sur l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées.PRIMOOFFICINE reste le seul responsable de la mise en œuvre des propositions formulées par le prestataire. Le prestataire informe sans délai PRIMOOFFICINE en cas d’identification d’une vulnérabilité technique ou d’une défaillance organisationnelle.
- 12.3.Aide et assistance concernant la notification de violations de données
Le prestataire s’engage à assister et aider PRIMOOFFICINE en cas de violation de données afin que PRIMOOFFICINE soit en capacité de communiquer l’ensemble des informations demandées par le RGPD dans le délai imparti, qu’il s’agisse de la notification à la CNIL ou aux personnes concernées. Pour ce faire, le prestataire s’engage à fournir l’ensemble des informations qu’il dispose et toutes les informations demandées par le RGPD concernant le traitement et la violation de données. En outre, le prestataire s’engage à apporter toute aide ou assistance technique dont pourrait bénéficier PRIMOOFFICINE afin de limiter les effets de la violation de données ou d’interrompre ladite violation.
- 12.4.Aide et assistance concernant l’analyse d’impact
Le prestataire informe PRIMOOFFICINE dès lors qu’il a connaissance d’un type de traitement qui, compte tenu de sa nature, du contexte et des finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.Le prestataire s’engage à aider et assister PRIMOOFFICINE dans la mise en œuvre de l’analyse d’impact en fournissant, à première demande, l’ensemble des informations dont PRIMOOFFICINE a besoin pour réaliser cette analyse d’impact.Le prestataire s’engage à aider et assister PRIMOOFFICINE lorsque ce dernier décide de consulter la CNIL à la suite d’une analyse d’impact ayant indiqué que le traitement présenterait un risque élevé si le traitement ne fait pas l’objet d’une modification. Le prestataire s’engage à fournir toutes les informations qu’il dispose ainsi qu’une aide et assistance technique afin de proposer des mesures d’atténuation des risques pour les droits et libertés des personnes physiques.
13. Controle de la CNIL
PRIMOFFICINE et le prestataire sont tenus de coopérer avec la CNIL, à la demande de celle-ci, Dans le cas où le contrôle mené auprès du prestataire concernerait les traitements mis en œuvre au nom et pour le compte de PRIMOFFICINE, le prestataire s’engage à en informer immédiatement PRIMOFFICINE et à ne prendre aucun engagement pour elle.En cas de contrôle de la CNIL auprès de PRIMOFFICINE portant notamment sur les prestations délivrées par le prestataire, ce dernier s’engage à coopérer avec PRIMOFFICINE et à lui fournir toute information dont la CNIL pourrait avoir besoin.Dans le cas où le contrôle mené ne concernerait que les traitements mis en œuvre par le prestataire en tant que responsable du traitement, ce dernier fait son affaire du contrôle et s’interdit de communiquer ou de faire état des données à caractère personnel de PRIMOFFICINE.Dans tous les cas, si le prestataire fait l’objet d’une mise en demeure, d’un avertissement ou d’une condamnation de la CNIL, même dispensée de publication, ce dernier est tenu d’en informer PRIMOFFICINE sans délai et au plus tard dans les 48h de la décision.
14. Sort des données à la fin du contrat
À l’expiration du contrat et au plus tard le dernier jour du contrat, le prestataire a pour obligation de supprimer toutes les données à caractère personnel et toutes copies existantes.Il ne saurait y avoir de rétention de la part du prestataire pour quelque raison que ce soit.Concomitamment à la destruction des données et des copies, le prestataire adresse à PRIMOFFICINE une attestation de destruction de toutes les copies existantes des données de PRIMOFFICINE
15. Audit
- PRIMOFFICINE se réserve le droit de procéder à toute vérification qui lui paraitrait utile pour constater le respect des obligations précitées en procédant à un audit de sécurité auprès du prestataire ou directement auprès d’un de ses sous-traitants.
Le prestataire s’engage à répondre aux demandes d’audit de PRIMOFFICINE ou d’un tiers de confiance que PRIMOFFICINE aura sélectionné, reconnu en tant qu’auditeur indépendant, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit à PRIMOFFICINE.Les audits doivent permettre une analyse du respect par le prestataire de ses obligations au titre des présentes, ainsi qu’au titre de la règlementation applicable en matière de la protection des données à caractère personnel. PRIMOFFICINE doit aviser le prestataire par écrit de son intention de faire procéder à un audit moyennant le respect d’un préavis minimum de trente (30) jours. PRIMOFFICINE ne peut réaliser un audit qu’une fois par an.PRIMOFFICINE communique de la manière la plus précise et exhaustive possible le périmètre envisagé, la liste des opérations de contrôle et des outils de mesure qu’il envisage utiliser.Le déploiement d’un outil est fait sous l’entière responsabilité de PRIMOFFICINE. Le prestataire a le droit de faire analyser l’outil. Si un risque est identifié pour le système d’information et les données du prestataire, ce dernier est en droit de refuser l’utilisation d’un tel outil. PRIMOFFICINE communique, le cas échéant, le nom de l’auditeur. Le prestataire a le droit de refuser l’auditeur pour un motif légitime. En cas de désaccord après une troisième proposition, le choix de l’auditeur est fixé par le tribunal compétent. PRIMOFFICINE est responsable des dommages causés par l’auditeur.Le prestataire peut refuser l’accès aux zones confidentielles, sécurisées et mutualisées et effectue, dans ce cas, l’audit et en communique les résultats à PRIMOOFFICINE.Les résultats de l’audit sont formalisés dans un rapport qui doit être adressé au prestataire pour qu’il puisse y insérer ses observations et réserves. Le rapport final doit nécessairement comprendre les observations du prestataire.Si un désaccord survient concernant des écarts de conformité, PRIMOOFFICINE est en droit de demander une mise en conformité. Toutefois, PRIMOOFFICINE ne saurait invoquer la non-réalisation de la mise en conformité pour suspendre ses engagements.La procédure d’audit se termine par la remise par PRIMOOFFICINE d’une lettre clôturant l’audit même en cas d’audit favorable pour le prestataire.
16. Responsabilité
Aux termes de l’article 82 du RGPD, le prestataire est tenu pour responsable du dommage causé par le traitement dès lors :
- qu'il n'a pas respecté les obligations prévues dans le RGPD qui incombent spécifiquement aux sous-traitants ou ;
- qu’il a agi en-dehors des instructions licites de PRIMOFFICINE ou ;
- qu’il a agi contrairement aux instructions licites de PRIMOFFICINE.
À ce titre, le prestataire est tenu à une obligation de résultat sur :
- le respect de l’annexe « mesures de sécurité » ;
- l’aide et l’assistance qu’il doit à PRIMOFFICINE ;
- sa réaction en cas de violation de sécurité ;
- ses obligations au titre du droit d’audit de PRIMOFFICINE ;
- l’assistance due à PRIMOFFICINE en cas de contrôle de la part de la CNIL.
17. Réparation du préjudice
Lorsque l’une des parties est individuellement responsable d’un dommage du fait du traitement, il est individuellement tenu responsable de ce dommage dans sa totalité afin de garantir aux personnes concernées une réparation effective. Lorsque les parties sont conjointement responsables d'un dommage causé par le traitement, les parties sont également conjointement responsables du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.En cas de condamnation de PRIMOOFFICINE à une amende administrative ou à toute autre décision lui créant préjudice, le prestataire s’engage à la dédommager à hauteur des condamnations ou préjudices exposés.
18. Révision
- Toute évolution de la jurisprudence, décision de la CNIL ou toute nouvelle règlementation en matière de protection des données à caractère personnel, qui modifieraient l’une des dispositions du présent avenant implique nécessairement sa révision.
La révision doit emporter l’accord des deux parties.En cas de désaccord sur la révision de l’avenant qui exposerait PRIMOOFFICINE à un risque technique, économique ou juridique, le contrat peut être résilié sans indemnité ni pénalité par lettre RAR sous réserve de respecter un délai maximum de six (6) mois à compter de l’envoi de la demande de résiliation.
19. désignation d'un représentant
Dans le cas où le prestataire ne serait pas localisé sur le territoire de l’Union européenne, il s’engage, dans le respect de la réglementation applicable, à désigner par écrit un représentant au sein de l’Union européenne.Les coordonnées de ce représentant doivent être communiquées à PRIMOFFICINE à première demande.
20. Référent à la protection des données
Si PRIMOFFICINE et le prestataire désignent un référent à la protection des données, les deux délégués se voient communiquer pour information le présent contrat. Par ailleurs les délégués à la protection des données se réunissent au moins une fois par an pour évoquer les améliorations pouvant être apportées au présent avenant.
21. Droit applicable et juridiction compétente
Nonobstant toute disposition contraire du contrat, tout litige relatif à l’interprétation ou l’exécution du présent avenant relève du droit français et de la compétence exclusive des tribunaux du ressort de la Cour d’appel de Paris.
21. Annexes
- Le présent avenant est complété des annexes suivantes :
- Annexe 1 - « Engagement de confidentialité » ;
- Annexe 2 - « Mesures de sécurité mise en œuvre par Le prestataire» ;
- Annexe 3 - « Liste des sous-traitants ultérieurs au jour de la signature du contrat » ;