Utilisateur de Nozbe Personal? Connexion
À l’égard des dispositions relatives à la protection des données à caractère personnel, y compris l’article 28 du GDPR, les Parties concluent le contrat suivant:
1. DÉFINITIONS
Aux fins du présent Contrat, les termes suivants ont les significations suivantes:
1.1. Données personnelles - désigne toute Donnée de l’Administrateur relative à une personne physique identifiée ou identifiable dans la mesure où ces informations sont protégées en tant que données à caractère personnel en vertu des réglementations applicables;
1.2. NOZBE – désigne l’application utilisée dans le cadre du Contrat par l’Administrateur, fournie par le Responsable du Traitement de Données, dans laquelle les données personnelles confiées par l’Administrateur sont traitées;
1.3. Règlements - désigne les lois sur la protection des données personnelles en vigueur en Pologne, en particulier: Règlement (UE) 679/2016 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard des données à caractère personnel (OJ L 119 de 2016, p.1)(ci-après dénommé “GDPR”), et la loi du 10 mai 2018 sur la protection des données à caractère personnel (Journal des Lois de 2018, rubrique 1000)(ci-après dénommée la “Loi”);
1.4. Conditions de Service - désigne les termes et conditions d’utilisation de NOZBE disponibles sur nozbe.com/fr/terms;
1.5. Contrat de Coopération - désigne le présent contrat, y compris chacun de ses amendements, annexes et pièces jointes, à condition qu’il soit fait par écrit et signé par les deux parties.
2. REPRÉSENTATIONS DES PARTIES
2.1. L’Administrateur déclare qu’il est l’administrateur des données personnelles confiées pour le traitement au Responsable du traitement de données et qu’il collecte et traite les données personnelles conformément aux réglementations.
2.2. Les Parties déclarent que le Contrat de Coopération a été conclue dans le but de remplir les obligations précisées dans les règlements relatifs à l’utilisation de NOZBE par l’Administrateur et à l’acceptation des Conditions de Service par l’Administrateur.
2.3. Chaques Parties du Contrat, agissantes en tant qu’Administrateur des Données Personnelles fournies dans le cadre du présent Contrat, s’engage à ne transférer aucune donnée personnelle en dehors de l’Espace Economique Européen, sauf si:
2.3.1. le transfert a lieu vers un pays reconnu par la Commission Européenne comme assurant une protection adéquate conformément à l’art. 45 de la loi GDPR;
2.3.2. s’il existe des garanties appropriées conformément à l’art. 46 du RGPD; ou
2.3.3. l’une des dérogations pour les situations spécifiques énumérées dans l’article 49 du GDPR s’applique pour le transfert de données.
3. OBJET DU CONTRAT
3.1. L’administrateur confie au Sous-traitant le traitement des données à caractère personnel, et le Sous-traitant s’engage à les traiter conformément à la réglementation et à l’Accord dans le seul but d’utiliser NOZBE par l’Administrateur.
3.2. Le Responsable du Traitement de Données peut traiter les données personnelles uniquement dans la mesure et aux fins prévues dans: le Contrat, les règlements et les commandes documentées par l’Administrateur.
3.3. Cet accord est une instruction documentée de l’administrateur de traiter par le Sous-traitant les données personnelles qui lui sont fournies par l’administrateur dans l’exécution de cet accord, y compris une instruction de transfert de données personnelles en dehors de l’EEE.
4. LE BUT, LA PORTÉE ET LA NATURE DU TRAITEMENT
4.1. Le Sous-traitant peut traiter chez NOZBE les données personnelles spécifiées dans la définition des données personnelles. Le Sous-traitant utilisera ces données pour effectuer, notamment, les opérations suivantes: le stockage ou, sur ordre de l’Administrateur, la suppression des données. Le traitement des données personnelles vise à permettre à l’Administrateur d’utiliser NOZBE.
4.2. Le Responsable du Traitement de Données s’engage à traiter les données personnelles dans NOZBE de manière permanente.
4.3. L’administrateur déclare que la nature des données personnelles confiées au présent accord n’inclut pas de catégories particulières de données personnelles au sens de l’Art. 9.1 du RGPD et les données sur les condamnations pénales et les infractions au sens de l’art. 10 du RGPD.
4.4. Les données personnelles seront traitées par le sous-traitant sous forme électronique dans NOZBE.
4.5. Le Responsable du Traitement de Données recevra les données personnelles de l’Administrateur.
4.6. L’administrateur confiera, en particulier, les données personnelles des catégories de personnes suivantes: administrateur, employés de l’administrateur, sous-traitants de l’administrateur.
5. TRAITEMENT DES RÈGLES CONFIÉES
5.1. Lors du traitement des données à caractère personnel qui lui sont confiées, le Sous-traitant s’engage à les sécuriser en appliquant des mesures techniques et organisationnelles appropriées assurant un niveau de sécurité adéquat correspondant aux risques liés au traitement des données à caractère personnel, tel que visé à l’article 32 du Règlement. En particulier, le Sous-traitant déclare que l’infrastructure du serveur est basée sur Amazon AWS et Heroku. Les serveurs et leurs copies sont situés en Irlande, en Allemagne et en France. Amazon AWS et Heroku fournissent tous deux leurs services avec un haut niveau de sécurité - les détails sont décrits dans les documents publiés sur https://aws.amazon.com/compliance/gdpr-center/ et https://www.heroku.com/policy/security.
5.2. En vertu de l’article 28 (3)(b) du GDPR, le Responsable du Traitement de Données s’engage à préserver le caractère confidentiel des données personnelles qui lui sont confiées par l’Administrateur.
5.3. Le Responsable du Traitement de Données veille à ce que les personnes qui ont accès aux données personnelles les préservent ainsi que les méthodes de leur protection dans le secret. L’obligation de garder le secret doit continuer à s’appliquer après la conclusion du Contrat et de la cessation d’emploi du Responsable du Traitement de Données.
5.4. Le Responsable du Traitement de Données déclare que, conformément à l’obligation de préserver le secret des données confiées, elles ne seront pas utilisées, divulguées ou mises à disposition sans le consentement écrit de l’Administrateur à d’autres fins que la mise en œuvre du contrat de coopération ou celles découlant de la loi.
5.5. Les Parties mettent tout en œuvre pour que les moyens de communication qu’elles utilisent pour recevoir, transmettre et stocker les données personnelles garantissent une protection contre l’accès non autorisé de tiers qui ne sont pas autorisés à divulguer, mettre à disposition et prendre connaissance de leur contenu. En particulier, le Sous-traitant informe que pour assurer la sécurité maximale des données personnelles, les disques avec la base de données et les fichiers envoyés à NOZBE sont cryptés avec l’AES-256. De plus, pour augmenter le niveau de sécurité des fichiers et des documents sensibles, chaque fichier téléchargé séparément sur NOZBE (en tant que commentaire ou autre pièce jointe) est crypté avec une clé de cryptage individuelle.
5.6. Le Sous-traitant s’engage à effectuer régulièrement des tests de sécurité - internes et mandatés par des sociétés externes spécialisées.
5.7. La personne dédiée à contacter pour les questions liées à l’exécution de ce contrat est Tomasz Kapelak, tom@nozbe.com. Le changement d’une personne dédiée ne nécessite pas d’annexe, mais seulement d’informer l’Administrateur par e-mail.
6. AUTRES OBLIGATIONS DU RESPONSABLE DU TRAITEMENT DE DONNÉES
6.1. Le sous-traitant s’engage à aider l’administrateur à remplir ses obligations conformément aux articles 32 à 36 du RGPD. En particulier, le sous-traitant assistera l’administrateur pour répondre aux demandes des personnes concernées, y compris: le droit à l’information, l’accès et la copie des données, la rectification, le droit de supprimer, le droit de limiter le traitement, le droit de transférer des données, le droit de s’opposer au traitement des données, le droit de ne pas faire l’objet d’une prise de décision automatisée, y compris le profilage.
6.2. Le sous-traitant est tenu de fournir à l’administrateur des informations sur la survenance d’un incident lié à la violation des règles de traitement des données personnelles dans les 48 heures suivant la survenance ou la suspicion de l’incident. Le Sous-traitant ne signalera pas la violation à l’autorité de contrôle sans consulter l’administrateur.
6.3. En cas d’incident (de violation), le Sous-traitant s’engage à coopérer avec l’Administrateur dans la mesure nécessaire, et également à rendre les effets de la violation pour la protection des données personnelles.
6.4. Le Sous-traitant est tenu de tenir un registre des catégories d’activités de traitement de données au nom de l’administrateur.
6.5. Le Sous-traitant est tenu d’informer l’administrateur de chaque cas où le traitement des données est requis par le droit de l’UE ou le droit d’un État membre, en ce qui concerne le traitement des données personnelles autrement que conformément à l’instruction documentée de l’administrateur, à moins que la loi n’interdise le la fourniture de ces informations en raison d’un intérêt public important.
6.6. Compte tenu de l’état des connaissances techniques, du coût de la mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque d’atteinte aux droits ou à la liberté des personnes physiques avec des probabilités et des gravités différentes, le Sous-traitant est tenu de mettre en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer le niveau de sécurité correspondant à ce risque, notamment : pseudonymisation et cryptage des données personnelles ; la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ; la possibilité de restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique ; tester, mesurer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. Lors de l’évaluation du niveau de sécurité approprié, le risque associé au traitement, résultant notamment de la destruction accidentelle ou illicite, de la perte, de la modification, de la divulgation non autorisée ou de l’accès non autorisé aux données à caractère personnel transmises, stockées ou autrement traitées, est pris en compte.
7. SOUS-TRAITEMENT DU TRAITEMENT DE DONNÉES
7.1. Le Sous-traitant peut confier des données personnelles couvertes par l’accord de mandat pour un traitement ultérieur par des sous-traitants afin de remplir l’accord de mandat, c’est-à-dire d’assurer la sécurité des données personnelles et/ou de NOZBE. Le sous-traitement ne peut avoir lieu que sur la base d’un contrat de sous-traitance de données personnelles. Le Sous-traitant est tenu d’informer l’administrateur du sous-traitement des données personnelles. En raison de la nécessité d’assurer la sécurité des données personnelles (sauvegarde), la sous-mandat ne nécessite pas l’approbation préalable de l’Administrateur.
7.2. Le traitement des données confiées doit être effectué conformément aux termes et conditions spécifiés dans les données du Contrat de Coopération et des Conditions de Service.
7.3. Le Sous-traitant visé au § 7 alinéa 1er de la convention fournit les mêmes assurances et respecte les mêmes obligations que celles imposées au sous-traitant dans le mandat, notamment, il doit veiller à la mise en œuvre des mesures techniques et organisationnelles appropriées conformément au RGPD et la protection des droits des personnes concernées.
7.4. Le Responsable du Traitement de Données est entièrement responsable vis-à-vis de l’Administrateur pour le non-respect des obligations de protection des données imposées au sous-traitant et stipulées dans le Contrat de Coopération.
8. RESPONSABILITÉ
8.1. Chaque Partie sera responsable des dommages causés à l’autre Partie et à des tiers dans le cadre de la mise en œuvre du Contrat de Coopération.
8.2. Le Responsable du Traitement de Données est responsable de la fourniture ou de l’utilisation des données personnelles de manière non conforme au Contrat de Coopération et, en particulier, de fournir aux personnes non autorisées l’accès aux données personnelles confiées au traitement.
9. VÉRIFICATION DU RESPONSABLE DU TRAITEMENT DE DONNÉES
9.1. Conformément à l’article 28(3)(h) du GDPR, l’Administrateur des données a le droit de vérifier si les mesures appliquées par le Responsable du Traitement de Données dans le traitement et la sécurisation des données personnelles confiées sont conformes aux dispositions du Contrat de Coopération.
9.2. Le Responsable du Traitement de Données doit fournir à l’Administrateur toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans l’article 28 du GDPR.
9.3. Le Responsable du Traitement de Données doit immédiatement aviser l’Administrateur lorsqu’il estime qu’une commande qu’il a reçue enfreint la réglementation.
9.4. Compte tenu de la portée de la vérification et des coûts connexes, le Responsable du Traitement de Données peut exiger de l’Administrateur des frais raisonnables et justifiés dans le cadre de la vérification.
9.5. Le Sous-traitant fournit à l’administrateur toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’art. 28 GDPR et permet à l’administrateur ou à un auditeur autorisé par l’administrateur d’effectuer des audits, y compris des inspections, et d’y contribuer.
10. CESSATION DU TRAITEMENT DES DONNÉES PERSONNELLES
10.1. Après la fin de la fourniture de services liés au traitement des données personnelles, le Responsable du Traitement de Données, selon la décision de l’Administrateur, doit supprimer ou renvoyer toutes les données personnelles, et supprimer toutes les copies existantes sur tout support de stockage, ce qui n’affecte pas la légalité du traitement effectué par le Responsable du Traitement de Données pendant la durée du Contrat de Coopération.
11. DISPOSITIONS FINALES
11.1. Le Contrat de Coopération est conclue pour une période illimitée à compter du 25 mai 2018.
11.2. Mettre fin à l’utilisation de NOZBE en supprimant le compte NOZBE entraîne la résiliation du Contrat de Coopération et la suppression des données personnelles.
11.3. Si l’une des dispositions quelconque du Contrat s’avère invalide ou inapplicable, comme une invalidité partielle, l’illégalité ou l’inopposabilité d’une disposition n’affectera pas la validité des autres dispositions du Contrat. Les Parties engagent des négociations en vue de remplacer les dispositions invalides ou inapplicables de l’accord par de nouvelles dispositions.
11.4. Tout changement et ajout au contenu et aux dispositions du Contrat de Coopération nécessite une forme écrite pour être efficace.
11.5. Les Parties s’efforcent de garantir que les moyens de communication qu’elles utilisent pour recevoir, transmettre et stocker les informations confidentielles garantissent la protection des données confidentielles, notamment les données personnelles confiées au traitement, contre l’accès non autorisé de tiers non autorisés à devenir familier avec leur contenu.
11.6. Les Parties sont des administrateurs mutuels des données précisées dans l’introduction (considérants) du Contrat de Coopération.
11.7. En ce qui concerne les questions non régies par le Contrat, les règles d’application générale de la loi polonaise, y compris les dispositions du Code civil, s’appliquent.
11.8. L’accord a été préparé en deux exemplaires identiques, un pour chaque Partie.