Skip to main navigation Skip to main content Skip to page footer
Demander une démo

Accord de Traitement des Données

 

1. OBJET DE L'ACCORD ET BASE JURIDIQUE

Objet :

Le présent Accord sur le traitement des données (« ATD ») régit le traitement des données à caractère personnel par le Fournisseur (ci-après dénommé « Sous-traitant » ou « Prestataire ») pour le compte du Client (ci-après dénommé « Responsable du traitement ») dans le cadre de l'exécution du Contrat de licence de logiciel et de services (le « Contrat »).

Base juridique :

La fourniture des Services implique le traitement de données à caractère personnel afin d’atteindre l’objectif convenu (à savoir la fourniture des Services) et pendant la durée nécessaire à l’exécution des obligations qui y sont prévues, la base juridique du traitement étant l’exécution du Contrat et le respect de toute obligation légale qui en découle.

Conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »), le Fournisseur, en tant que Sous-traitant, prend les engagements suivants concernant le traitement des données à caractère personnel communiquées par le Client, en tant que Responsable du traitement, aux fins de la fourniture des Services.

2. ACTIVITÉS DE TRAITEMENT

Le Sous-traitant traitera, pour le compte du Responsable du traitement, les données à caractère personnel nécessaires à la fourniture des services prévus par le Contrat de licence logicielle et de services, ce qui peut inclure les activités de traitement suivantes : accès, collecte, enregistrement, organisation, structuration, conservation, stockage, consultation, communication, interconnexion de données entre modules ou intégrations du système, modification, mise à jour, suppression, effacement ou limitation du traitement des données pendant l’exécution du Contrat.

3. CATÉGORIES DE PERSONNES CONCERNÉES ET DONNÉES À CARACTÈRE PERSONNEL

Le Sous-traitant peut traiter les catégories de données à caractère personnel suivantes pour le compte du Responsable du traitement :

3.1 Catégories de personnes concernées :

Employés et/ou utilisateurs autorisés du Client.

Personnel administratif ou de direction du Client disposant de droits d'accès à la plateforme.

3.2 Catégories de données à caractère personnel :

Données d'identification : nom, prénom, adresse e-mail, numéro d'employé, fonction, identifiant utilisateur et photographie, le cas échéant.

Données professionnelles : adresse, numéro de téléphone, adresse e-mail professionnelle.

Données relatives à l'emploi : informations concernant les horaires, l'assiduité, les performances, les formations, les évaluations, etc.

Données d'accès et d'utilisation du système (journaux, adresse IP, activité au sein de l'application).

Les catégories particulières de données à caractère personnel ne seront pas traitées, sauf demande expresse du Client et après obtention des consentements et garanties appropriés requis par le RGPD.

4. ENGAGEMENTS DU SOUS-TRAITANT

4.1 Engagements généraux :

Utiliser les données à caractère personnel traitées uniquement aux fins du présent Contrat.

Traiter les données conformément aux instructions du Responsable du traitement. Si le Sous-traitant estime que l'une de ces instructions enfreint une réglementation en matière de protection des données, il en informera immédiatement le Responsable du traitement.

Tenir un registre des activités de traitement effectuées pour le compte du Responsable du traitement, contenant les informations requises par la réglementation en vigueur en matière de protection des données.

Ne pas divulguer les données à des tiers, sauf autorisation expresse du Responsable du traitement ou, le cas échéant, de la personne concernée, dans des circonstances légalement autorisées.

Ne pas sous-traiter d'autres services faisant partie de l'objet du présent Contrat et impliquant le traitement de données à caractère personnel, à l'exception des services auxiliaires nécessaires au bon fonctionnement des Services du Sous-traitant. Le sous-traitant ultérieur, qui aura également le statut de sous-traitant, sera également tenu de respecter les obligations établies dans le présent Accord sur le traitement des données.

Fournir une assistance raisonnable au Responsable du traitement dans la réalisation d'Analyses d'impact relatives à la protection des données (AIPD) et de consultations préalables avec les autorités de contrôle lorsque cela est requis.

Respecter l'obligation de confidentialité concernant les données à caractère personnel auxquelles il a eu accès en vertu du contrat, même après la résiliation de celui-ci, et veiller à ce que les personnes autorisées à traiter des données à caractère personnel s'engagent à respecter la confidentialité et à se conformer aux mesures de sécurité correspondantes, qui doivent leur être dûment communiquées.

Veiller à ce que les personnes autorisées à traiter des données à caractère personnel s'engagent, expressément et par écrit, à respecter la confidentialité et à se conformer aux mesures de sécurité correspondantes, qui doivent leur être dûment communiquées.

Veiller à ce que les personnes autorisées à traiter des données à caractère personnel aient connaissance de leurs fonctions et obligations en matière de traitement de ces données, conformément aux exigences du RGPD ou, le cas échéant, aient reçu une formation spécifique à ce sujet.

Notifier par écrit au Responsable du traitement la réception de toute demande d'exercice des droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données, d'opposition, du droit de ne pas être soumis à des décisions fondées uniquement sur un traitement automatisé, ou de tout autre droit établi par les Lois applicables, dans un délai n'excédant pas trois (3) jours ouvrables à compter de la réception de la demande, en joignant les informations pertinentes pour répondre à ladite demande.

Notifier par écrit au Responsable du traitement toute violation de données à caractère personnel constituant un risque pour les droits et libertés des personnes physiques dont vous avez connaissance, sans retard injustifié et, en tout état de cause, dans un délai de 48 (quarante-huit) heures, en joignant les informations pertinentes et la documentation relative à l'incident.

Fournir au Responsable du traitement toutes les informations nécessaires pour démontrer le respect de vos obligations, y compris les résultats des audits, examens et inspections effectués, sur demande écrite en ce sens du Responsable du traitement.

Mettre en œuvre les mesures de sécurité nécessaires, en fonction de la nature, de la portée, du contexte et des finalités du traitement, qui, compte tenu de l'état de la technique, garantissent un niveau de sécurité adapté au risque, y compris, entre autres :

a) la pseudonymisation et le chiffrement.

b) La capacité à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.

c) La capacité de rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique.

d) Un processus permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. Ces mesures sont décrites à l'annexe A.

Supprimer ou restituer au Responsable du traitement toutes les données à caractère personnel détenues par celui-ci (quel que soit le support) à la résiliation du Contrat, sur demande écrite du Responsable du traitement. Toutefois, le Sous-traitant peut les conserver, dûment bloquées, tant que des responsabilités peuvent découler de l’exécution du Contrat.

4.2 Sous-traitants ultérieurs :

Le Fournisseur peut sous-traiter la fourniture du Service lorsque cela est nécessaire à son exécution. Lorsque ces sous-traitants ultérieurs traitent les Données à caractère personnel du Client pour le compte du Fournisseur, ce dernier doit s’assurer (i) qu’il existe un accord écrit imposant des obligations de confidentialité et de protection des données avec un niveau de protection au moins équivalent à celui établi dans le présent Accord, et (ii) que le sous-traitant agit uniquement sur la base des instructions documentées du Fournisseur. Le Fournisseur est toujours responsable de l'exécution des obligations de ses sous-traitants. Sans préjudice des informations fournies dans le présent ATD, une liste des sous-traitants ultérieurs actuellement impliqués dans la fourniture du Service sera fournie au Client sur demande.

Le Responsable du traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs énumérés ci-dessous, exclusivement pour la fourniture des services auxiliaires nécessaires (par exemple, hébergement de données, assistance technique, communications ou analyses). Le Sous-traitant tiendra à jour une liste des sous-traitants ultérieurs, comprenant leur identité, leur localisation et leur fonction.

Les sous-traitants ultérieurs actuellement autorisés sont notamment :

Microsoft Azure (services d'hébergement et de stockage – UE ou EEE).

Hastee Europe S.L. (services d'avance sur salaire, sous réserve de l'autorisation explicite du client).

Signaturit (services de gestion des signatures).

RoSPA, PREVINTEGRA, MINDTOOLS (services de formation).

Amazon Web Services (AWS) (services d'infrastructure cloud – UE ou EEE).

Intellum Evolve (services de création de contenu d'apprentissage en ligne).

Zendesk (service d'assistance)

5. CONSERVATION ET SUPPRESSION DES CERTIFICATS DE FORMATION ET DES DONNÉES À CARACTÈRE PERSONNEL

5.1 Rôle du Fournisseur en tant que Sous-traitant :

Le Fournisseur agira à tout moment en tant que Sous-traitant, traitant les données à caractère personnel associées à la formation, y compris les certificats, les résultats et les accréditations, uniquement pendant la durée du Contrat et conformément aux instructions documentées du Client, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

5.2 Conservation et exportation des données :

À la résiliation du Contrat, le Sous-traitant permettra au Client d'exporter ou de télécharger, dans un format structuré, couramment utilisé et lisible par machine, les certificats et les données à caractère personnel associées disponibles sur la Plateforme. Une fois le délai autorisé pour cette exportation expiré, et en l'absence d'instructions supplémentaires de la part du Client, le Sous-traitant supprimera les données de manière sécurisée, à l'exception des données dont la conservation est légalement requise.

5.3 Durées de conservation :

Le Fournisseur n'est pas tenu de déterminer ni de respecter les délais de conservation légaux ou contractuels applicables aux certificats de formation, tels que prescrits par le Client ou des tiers. Cette responsabilité incombe exclusivement au Client ou au Fournisseur émetteur concerné, sauf si des réglementations sectorielles spécifiques imposent leur conservation.

5.4 Traitement des certificats délivrés par des fournisseurs tiers :

- PREVINTEGRA : conservera les certificats pendant cinq (5) ans à compter de leur délivrance. Le Fournisseur ne conservera pas les certificats délivrés par PREVINTEGRA après la résiliation du Contrat et pourra en informer le Client afin que celui-ci puisse les demander directement.

- RoSPA Qualifications : ne sera pas tenu de conserver des copies des certificats ou des données personnelles des étudiants au-delà de ce qui est strictement nécessaire pour satisfaire à ses propres exigences opérationnelles, contractuelles ou légales. Le Fournisseur, en tant que Sous-traitant, n'assumera aucune responsabilité quant à la conservation, au remplacement ou à la récupération de ces certificats ou données.

- INTELLUM EVOLVE : Agira en tant que sous-sous-traitant et sera seul responsable du stockage et de la disponibilité des certificats conformément à ses propres politiques.

- Mindtools : conservera tous les dossiers de formation, certificats et progrès d'apprentissage pendant toute la durée du Contrat et pendant au moins six (6) ans après sa résiliation, conformément à la réglementation applicable. Le Sous-traitant peut exporter ces données dans des formats électroniques connus sans frais supplémentaires, sans encourir aucune obligation de les conserver au-delà de ses propres besoins internes.

5.5 Limitation générale de responsabilité :

À la résiliation de la relation contractuelle, ou lorsque les certificats dépendent de fournisseurs tiers ou de sous-traitants ultérieurs, le Sous-traitant n'assumera aucune obligation de stocker, remplacer ou récupérer les certificats ou les données à caractère personnel associées, sans préjudice des obligations légales applicables en matière de protection des données.

6. ENGAGEMENTS DU CLIENT

i. Déclare la licéité des données à caractère personnel auxquelles le Fournisseur a accès dans le cadre de la prestation des Services couverts par le Contrat, en particulier les données relatives aux employés et aux collaborateurs, en garantissant que ces données ont été obtenues conformément à toutes les exigences établies dans le RGPD.

ii. S'engage à respecter à tout moment la réglementation en vigueur en matière de protection des données à caractère personnel concernant toutes les données à caractère personnel traitées dans le cadre de la prestation des Services.

iii. S'engage à informer le Fournisseur de la rectification ou de l'effacement des données à caractère personnel auxquelles le Fournisseur a accès en vertu du Contrat, ainsi que de la limitation de leur traitement, dès que possible après la demande de la personne concernée et toujours dans les délais légalement fixés.

iv. Informera les personnes concernées des aspects liés au traitement de leurs données conformément aux dispositions de l'article 13 du RGPD.

v. Fournira au Sous-traitant les données nécessaires à la prestation des services couverts par le Contrat.

vi. Procédera aux consultations préalables nécessaires.

vii. Supervisera le traitement, y compris en effectuant des inspections et des audits.

viii. En outre, le Client autorise le Sous-traitant à faire appel à un fournisseur de services d'hébergement pour les serveurs nécessaires à la fourniture des Services. Ces serveurs ne peuvent être situés que dans des pays de l'Espace économique européen (les pays de l'Union européenne ainsi que le Liechtenstein, l'Islande et la Norvège) ou, le cas échéant, dans des pays qui ont été déclarés comme offrant un niveau de protection adéquat par la Commission européenne. Le Sous-traitant s'engage à conclure des accords de traitement des données avec ces fournisseurs conformément à l'article 28 du RGPD et selon les mêmes conditions que le présent ATD.

ix. Le Client autorise également le Sous-traitant à recourir à tout autre sous-traitant ou à conclure un contrat avec celui-ci, dès lors que ce recours est considéré comme un service auxiliaire nécessaire au bon fonctionnement des services du Sous-traitant.

x. De même, le Client autorise le Sous-traitant à partager les données à caractère personnel fournies par le Client avec des sociétés de son groupe, uniquement aux fins de la fourniture des Services souscrits. Le Sous-traitant est également tenu de conclure des accords de traitement des données, selon les mêmes conditions que le présent ATD, avec toutes les sociétés du groupe impliquées dans la fourniture des services, conformément à l’article 28 du RGPD.

xi. Par la présente clause, le Client déclare que, s’il sollicite et souscrit des services d’avance sur salaire auprès de Hastee Europe S.L., NIF B67374504, il informera tous ses employés du transfert nécessaire de leurs données à ce fournisseur afin qu’ils puissent bénéficier du service d’avance sur salaire souscrit, et qu’il a obtenu les consentements nécessaires à cette fin. Si un employé ne souhaite pas que ses données soient transférées ou n'a pas l'intention d'utiliser le service d'avance sur salaire, il doit en informer le Fournisseur dès que possible.

xii. Si, dans le cadre d'un Service demandé par le Client, il est nécessaire que les personnes concernées (par exemple, les employés et/ou collaborateurs du Client) accèdent à une application via leur téléphone mobile, ladite application contiendra ses « Conditions d'utilisation » et sa « Politique de confidentialité » à l'égard de la personne concernée.

xiii. La plateforme n’est pas configurée pour stocker des données pouvant être considérées comme des catégories particulières de données à caractère personnel au sens du RGPD, et le Client s’engage donc à ne pas y stocker ce type d’informations.

Le Client est responsable envers le Fournisseur du respect de toutes les dispositions susmentionnées, ainsi que de toute pénalité ou tout préjudice qui pourrait être infligé au Fournisseur ou causé à celui-ci en raison d'un manquement. Le Client décharge le Fournisseur de toute responsabilité et en assume lui-même toute responsabilité qui pourrait incomber au Fournisseur en raison d'une infraction commise par le Client au titre de la réglementation relative à la protection des données à caractère personnel, notamment en ce qui concerne les données à caractère personnel qu'il stocke sur la Plateforme et/ou dans les Services.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

Le Client autorise expressément le Sous-traitant à effectuer des transferts internationaux de données à caractère personnel vers les pays dans lesquels le Sous-traitant et/ou ses fournisseurs fournissent des services, lorsque cela est nécessaire à la fourniture des Services couverts par le Contrat. Ces transferts auront lieu lorsqu'il sera nécessaire de recourir à des services technologiques fournis par des tiers (fournisseurs de services d'infrastructure, d'analyse web, de marketing ou de gestion de la relation client) dont les serveurs ou les équipements de support sont situés en dehors de l'Espace économique européen (EEE), par exemple aux États-Unis ou dans d'autres pays.

Le Fournisseur, en sa qualité de Sous-traitant et, dans certains systèmes, de Responsable du traitement, garantit que tous les transferts internationaux de données sont effectués avec des garanties appropriées, conformément aux articles 44 à 49 du Règlement (UE) 2016/679 (RGPD). En particulier, le Fournisseur peut appliquer une ou plusieurs des garanties suivantes :

- L'existence d'une décision d'adéquation émise par la Commission européenne concernant le pays de destination.

- La formalisation de clauses contractuelles types approuvées par la Commission européenne avec le fournisseur destinataire.

- L'adhésion du fournisseur au cadre de protection des données UE-États-Unis, le cas échéant.

- La mise en œuvre de mesures techniques et organisationnelles supplémentaires, lorsque cela est nécessaire, pour protéger les données à caractère personnel.

Le Fournisseur agit également en tant que Responsable du traitement des données gérées directement dans ses systèmes d'entreprise et de service, notamment :

- CRM / Dynamics

- Microsoft Azure

- MAPAL OS et ses bases de données associées

- Les plateformes de messagerie d'entreprise et de collaboration (Microsoft 365, Teams, SharePoint)

- D'autres systèmes et services sur lesquels sont stockées les données des clients, des employés ou des collaborateurs du Client.

Le Fournisseur garantit que tous les transferts seront effectués uniquement vers des fournisseurs qui respectent les obligations énoncées dans le RGPD et le présent ATD, et qu'il évaluera et vérifiera l'adéquation des mesures de protection mises en œuvre avant tout transfert, afin de garantir un niveau de protection équivalent à celui requis par le RGPD.

Pour plus d'informations sur les transferts internationaux de données, le Client peut contacter : dpo@mapal-os.com .

8. DÉCLARATION DE CONFORMITÉ AU RGPD DU SOUS-TRAITANT

Conformément à l'article 28, paragraphe 1, du RGPD, qui exige de ne sélectionner que des sous-traitants offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, garantissant que le traitement est conforme aux exigences du présent Règlement et assure la protection des droits de la personne concernée, le Sous-traitant déclare par la présente qu'il se conforme aux dispositions suivantes :

1) Qu'il se conforme, en fonction de ses activités, aux obligations et principes imposés par le Règlement général sur la protection des données (UE 2016/679).

2) Qu'il tient un registre des activités de traitement des données effectuées sous sa responsabilité.

3) Qu'il a réalisé l'analyse des risques correspondante, qui détermine les mesures de sécurité techniques et organisationnelles qu'il doit mettre en œuvre pour se conformer au RGPD.

4) Qu'il a adopté les mesures de sécurité nécessaires pour garantir :

a) Le contrôle physique de ses installations où il traite les données du Responsable du traitement.

b) Que l'accès à ses systèmes informatiques soit accordé au moyen de noms d'utilisateur et de mots de passe individuels.

c) Qu'il ait limité l'accès aux données du Responsable du traitement aux seuls utilisateurs qui en ont besoin.

d) Qu'il conserve, le cas échéant, des sauvegardes des données à caractère personnel traitées par le Responsable du traitement.

e) En cas de gestion de supports ou de documents contenant les données à caractère personnel du Responsable du traitement, ceux-ci sont dûment sécurisés à l'aide de verrous ou de dispositifs de verrouillage équivalents.

f) Qu'il dispose de systèmes de protection périmétrique et antivirus pour protéger ses systèmes informatiques.

g) Qu'il tient un registre des incidents de sécurité.

h) Qu'il a mis en place des mécanismes et des procédures pour signaler les incidents de sécurité.

5) Qu'il s'engage à préserver la confidentialité, même après la fin de la relation, et à veiller à ce que les personnes autorisées à traiter les données s'engagent également à respecter ces mesures de sécurité et s'y conforment.

6) Qu'il procède de manière proactive à des audits périodiques afin de vérifier le respect des obligations et mesures de sécurité techniques et organisationnelles garantissant la conformité au RGPD.

9. TRAITEMENT DES DONNÉES DE CONTACT DES PARTIES

En ce qui concerne les données à caractère personnel des signataires du présent contrat, auxquelles les parties peuvent avoir accès du fait de son exécution, ces données ne peuvent être traitées, conservées et utilisées qu'aux fins de formaliser et de gérer la relation contractuelle, de remplir et d'exécuter les obligations qui en découlent et, le cas échéant, d'envoyer des informations commerciales par voie électronique.

La base juridique du traitement des données à caractère personnel et des coordonnées professionnelles des signataires est l'exécution du présent contrat et le respect des obligations légales qui en découlent, ainsi que l'intérêt légitime de rester informé des produits et/ou services des deux parties.

Le Fournisseur agit en tant que Responsable du traitement des données en ce qui concerne les coordonnées susmentionnées et peut procéder à des transferts internationaux de données à caractère personnel lorsque cela est nécessaire à la gestion de la relation contractuelle, par exemple par le biais de l'utilisation d'outils d'entreprise ou de systèmes technologiques fournis par des tiers dont les serveurs ou les équipements de support sont situés en dehors de l'Espace économique européen. Ces transferts seront toujours effectués conformément aux articles 44 à 49 du règlement (UE) 2016/679 (RGPD), en appliquant des garanties appropriées pour assurer un niveau de protection équivalent à celui requis par la législation européenne en matière de protection des données.

Les parties peuvent s'opposer à l'envoi d'informations et exercer leurs droits légalement garantis d'accès, de rectification, d'effacement, d'opposition, de portabilité des données et de limitation du traitement, et s'engagent à informer l'autre partie du contenu de la présente clause. En outre, les parties reconnaissent que les personnes concernées ont le droit de déposer une plainte auprès de l'autorité de contrôle compétente.

Par ailleurs, le Fournisseur désignera un Délégué à la protection des données auprès du Client, qui sera chargé non seulement de superviser l'ensemble des traitements de données effectués par le Fournisseur, mais également de traiter toute question relative au traitement des données. Les coordonnées du Délégué à la protection des données du Fournisseur sont les suivantes : dpo@mapal-os.com .

10. INTÉGRATIONS

Le logiciel du Fournisseur offre la possibilité d'une intégration, à la demande du Client, avec d'autres logiciels fournis par des tiers (autres fournisseurs du Client non parties au présent contrat). Si une telle intégration est réalisée à la demande du Client, et uniquement si le traitement des données à caractère personnel est nécessaire à l'exécution de ladite intégration logicielle, le traitement consistera en la communication de données à caractère personnel entre deux sous-traitants ayant un responsable du traitement commun, sur la base des fondements juridiques de l'exécution des contrats de service conclus entre le Client et les deux fournisseurs. Le Client s'engage à confirmer que ledit contrat de service avec le fournisseur tiers comprend les clauses relatives au traitement des données conformément à l'article 28 du RGPD.

11. UTILISATION D'OUTILS D'INTELLIGENCE ARTIFICIELLE (« OUTILS IA »)

Les Parties reconnaissent que les Services fournis via la Plateforme peuvent intégrer certaines fonctionnalités d’intelligence artificielle (les « Outils IA ») conçues pour faciliter la gestion opérationnelle, l’analyse des données et les interactions avec les utilisateurs. Ces Outils IA sont destinés uniquement à faciliter l’exécution des Services prévus par le présent Contrat et à fournir une aide à la décision, des informations et des recommandations opérationnelles, sans déterminer les finalités ou les moyens du traitement des données à caractère personnel indépendamment du Responsable du traitement.

Les outils IA utilisés sur notre Plateforme peuvent notamment inclure :

a) des assistants conversationnels permettant aux utilisateurs d’accéder aux informations de la Plateforme, de les interroger et de les synthétiser ;

b) des moteurs de recommandation fournissant des conseils sur les flux de travail, la planification des horaires des employés et la formation. Le Sous-traitant s'assurera que les Données à caractère personnel fournies par le Client et traitées via les Outils d'IA ne seront pas utilisées pour former ou améliorer des modèles d'IA externes ou tiers, ni à toute autre fin en dehors de la fourniture des Services prévus par le présent Contrat, sauf autorisation expresse écrite du Client.

c) des modèles d'analyse prédictive proposant des prévisions et des informations opérationnelles basées sur les données disponibles au sein de la Plateforme.

d) des fonctionnalités de flux de travail automatisés qui structurent les tâches, suivent les progrès et mettent en évidence les meilleures pratiques conformément aux procédures documentées du Client. Aucun traitement automatisé n'est effectué qui affecte les droits des personnes concernées. Les Parties reconnaissent que les Outils d'IA fournis dans le cadre des Services n'effectuent aucune prise de décision entièrement automatisée produisant des effets juridiques à l'égard de toute personne concernée, ou affectant de manière significative celle-ci, conformément à l'article 22 du RGPD. Toute recommandation ou information générée par les Outils d'IA doit être examinée et mise en œuvre par le personnel autorisé du Client, qui conserve l'entière responsabilité des décisions prises concernant les Données à caractère personnel.

Le Sous-traitant veille à ce que toutes les utilisations des outils d'IA soient :

i) effectuées en stricte conformité avec les instructions documentées du Responsable du traitement ;

ii) utilisées uniquement pour fournir, maintenir et améliorer les Services dans le cadre du présent Contrat ; et

iii) soumises aux mêmes mesures de protection techniques et organisationnelles applicables à toutes les Données à caractère personnel traitées en vertu du présent ATD, y compris la confidentialité, la sécurité et les restrictions d'accès.

Toute Donnée à caractère personnel traitée par ou via les Outils d'IA doit être :

i) traitées uniquement dans le cadre des Services et conformément aux instructions du Responsable du traitement.

ii) soumises à toutes les obligations applicables en vertu du présent ATD, y compris les articles 28 et 32 du RGPD ; et

iii) accessibles uniquement aux utilisateurs autorisés des Services aux fins de l'exercice de leurs fonctions.

Les outils d'IA sont uniquement destinés à être utilisés comme mécanismes d'aide à la décision. Les Parties reconnaissent qu'ils ne remplacent pas la prise de décision humaine et ne déterminent pas de manière indépendante les finalités ou les moyens du traitement des Données à caractère personnel. Le Client reste le responsable du traitement de toutes les Données à caractère personnel traitées au sein de la plateforme, et le Sous-traitant reste tenu d'agir uniquement sur la base des instructions documentées du Client.

Le Responsable du traitement a le droit d'examiner, sur demande, les résultats générés par les outils d'IA, y compris les journaux, les recommandations et les informations opérationnelles, afin de vérifier la conformité avec les instructions fournies au Sous-traitant et avec la législation applicable en matière de protection des données. Le Sous-traitant doit fournir cet accès en temps opportun, sous réserve de contraintes opérationnelles raisonnables.

12. DURÉE

Le présent Accord sur le traitement des données restera en vigueur uniquement pendant la durée du Contrat conclu entre les parties, dont il fait partie intégrante. La résiliation, la dissolution ou l'expiration du Contrat mettra automatiquement fin au présent Accord sur le traitement des données sans autre préavis, sans préjudice des obligations qui pourraient rester en vigueur après sa résiliation, notamment celles relatives à la confidentialité, à la restitution ou à la suppression des données à caractère personnel.

13. PRÉVALENCE

En cas de contradiction entre le présent DPA et le Contrat, les dispositions du présent DPA prévaudront pour toutes les questions relatives au traitement des données à caractère personnel.

ANNEXE A : MESURES DE SÉCURITÉ

La présente annexe fait partie intégrante du Contrat de services de licence conclu entre le Fournisseur et le Client et définit les mesures de sécurité que le Fournisseur, agissant en tant que Sous-traitant, doit respecter en ce qui concerne les informations, les systèmes et les ressources fournis ou gérés dans le cadre des Services.

Conformément à la section 4 de l’Accord sur le traitement des données, le Sous-traitant déclare avoir mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature des données traitées.

Ces mesures comprennent notamment :

Formation et sensibilisation

Le Fournisseur doit veiller à ce que l'ensemble du personnel affecté au Service reçoive une formation et une sensibilisation appropriées en matière de sécurité de l'information, adaptées à ses rôles et responsabilités.

Mesures de confidentialité

Le Fournisseur mettra en œuvre les mesures contractuelles, organisationnelles et techniques nécessaires pour préserver la confidentialité de toutes les informations traitées dans le cadre du Service.

Exploitation sécurisée des environnements informatiques

Le Fournisseur doit exploiter et gérer des environnements informatiques sécurisés — qu'ils soient basés sur le cloud ou hébergés sur site —, en particulier ceux contenant des applications web et le stockage des données des clients. Cela inclut la configuration de l'infrastructure sous-jacente conformément aux normes de sécurité reconnues du secteur, ainsi que la surveillance de ces environnements afin de détecter toute activité suspecte ou potentiellement malveillante.

Restitution et/ou suppression sécurisée des informations du Client

À la résiliation du Service, le Fournisseur doit restituer et/ou supprimer de manière sécurisée les informations du Client en utilisant des procédures d'effacement des données conformes aux normes du secteur, à condition que cette suppression ait été expressément examinée et autorisée par le service juridique compétent du Fournisseur.

Maintien des politiques de sécurité de l'information

Le Fournisseur doit maintenir des politiques de sécurité de l'information garantissant que toutes les politiques et mesures associées sont périodiquement revues et améliorées si nécessaire.

Contrôles de sécurité des données

Le Fournisseur mettra en œuvre des contrôles de sécurité des données, notamment la séparation logique des données, l'accès restreint (par exemple, l'accès basé sur les rôles), la surveillance continue et l'utilisation de technologies de chiffrement disponibles dans le commerce et conformes aux normes de l'industrie, y compris les sauvegardes chiffrées.

Contrôles d'accès logiques

Le Fournisseur doit mettre en œuvre des contrôles d'accès logiques régissant l'accès électronique aux données et aux fonctionnalités du système en fonction des niveaux d'autorisation et des responsabilités professionnelles. Ces contrôles doivent inclure l'octroi d'accès strictement sur la base du besoin d'en connaître et du principe du moindre privilège, l'utilisation d'identifiants et de mots de passe uniques, des révisions périodiques des accès, ainsi que la révocation ou la modification immédiate des droits d'accès en cas de cessation d'emploi ou de changement de poste.

Contrôles des mots de passe

Le Fournisseur doit appliquer des contrôles des mots de passe conçus pour gérer et réglementer la force et l'utilisation des mots de passe, y compris l'interdiction de partager les mots de passe. Tous les comptes d'utilisateurs privilégiés doivent exiger des mots de passe forts, et l'authentification multifactorielle doit être obligatoire.

Contrôles opérationnels des technologies et des systèmes

Le Fournisseur doit maintenir des procédures et des contrôles opérationnels pour la configuration, la surveillance et la maintenance des technologies et des systèmes d'information, conformément aux normes internes établies et aux normes sectorielles adoptées. Ces contrôles doivent inclure l'élimination sécurisée des systèmes et des supports afin de garantir que toutes les informations ou données qu'ils contiennent deviennent irrécupérables ou indéchiffrables avant leur élimination définitive ou leur retrait de la possession du Fournisseur.

Procédures de gestion des changements

Le Fournisseur doit mettre en place des procédures de gestion des changements et des mécanismes de suivi conçus pour tester, approuver et surveiller tous les changements apportés aux actifs technologiques et informatiques.

Gestion des incidents et des problèmes

Le Fournisseur doit mettre en œuvre des procédures de gestion des incidents et des problèmes permettant l'enquête, la réponse, l'atténuation et le signalement des événements liés aux actifs technologiques et informatiques.

Gestion des vulnérabilités et technologies de protection

Le Fournisseur doit mettre en œuvre des évaluations de vulnérabilité, une gestion des correctifs, des technologies de protection contre les menaces ainsi que des procédures de surveillance régulières visant à identifier, évaluer, atténuer et protéger contre les menaces de sécurité identifiées, les virus et autres codes malveillants.

Audits de sécurité et tests d'intrusion

Le Fournisseur doit effectuer des audits de sécurité et, le cas échéant, des tests d'intrusion sur les applications et les infrastructures au moins une fois par an. Ces activités doivent être réalisées exclusivement par le Fournisseur ou par des tiers désignés et directement gérés par le Fournisseur. Tous les rapports, résultats et documents connexes doivent rester strictement confidentiels et ne doivent pas être divulgués à des tiers. La correction des vulnérabilités identifiées doit être hiérarchisée en fonction de leur gravité et gérée conformément aux procédures de sécurité internes du Fournisseur.