Accord de sous-traitance de données personnelles
Applicables à compter du 1er septembre 2024
Le Partenaire a désigné ’Uma:ndots’ en vue de la fourniture des Services par Uma:ndots pour le Partenaire au titre des CONDITIONS GENERALES DE VENTE UMA:NDOTS et/ ou du ou des Ordre(s) signé(s) par le Partenaire.
Le présent Accord de sous-traitance de données personnelles (ci-après «ATD») reflète l’accord des parties quant au traitement des Données à Caractère Personnel du Partenaire, conformément aux exigences de la Législation sur la Protection des Données.
Dans le cadre de la fourniture des services pour le Partenaire, Uma:ndots peut Traiter des Données à Caractère Personnel pour le compte du Partenaire.
Les catégories de Personnes Concernées et les types de Données à Caractère Personnel Traitées par Uma:ndots, agissant en tant que Sous-traitant, au titre du présent ATD sont précisés à l’Annexe 1 du présent ATD.
Cet ATD s’applique à l’ensemble des Services rendues par UMA:NDOTS à son Partenaire. Toute prestation rendue par UMA:NDOTS dans le cadre d’un accord avec son Partenaire implique l’acceptation pleine et entière de l’ATD et de tout document auquel il est fait référence dans l’ATD. Il ne peut être dérogé à l’ATD qu’avec l’accord exprès et écrit de UMA:NDOTS.
Toute modification de l’ATD est automatiquement opposable au Partenaire dans un délai d’un (1) mois suivant sa notification par tout moyen (courrier postal, courrier électronique, etc.).
TERMES CONVENUS:
Interprétation
Les définitions et règles d’interprétation suivantes s’appliquent dans le présent ATD.
«Affiliée» désigne une entité qui, directement ou indirectement, Contrôle, est Contrôlée par ou est sous le même Contrôle direct ou indirect que la personne morale visée.
«Contrôle» a la signification qui lui est donnée par l’article L. 233-3 du Code de Commerce, les termes «Contrôle» et «Contrôlé» sont interprétés en conséquence.
«Responsable du Traitement», «Sous-traitant», «Personne Concernée», «Traitement» et «Traité» ont chacun la signification précisée dans la Législation sur la Protection des Données.
«Législation sur la Protection des Données» désigne la Directive 2002/58/CE du 2 juillet 2002 et le Règlement (UE) 2016/679 (le «RGPD») et toutes les lois nationales les transposant, telles que modifiées ou remplacées ou, en l’absence de ces lois, toute législation, règlement, au Traitement des Données à Caractère Personnel.
«Clauses Contractuelles Types de la Commission Européenne» désigne un contrat contenant les clauses prévues dans le contrat type approuvé par la Commission européenne relatif au transfert des Données à Caractère Personnel hors de l’EEE au titre de la décision du 6 juin 2021 de la Commission européenne relative aux Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des pays tiers en vertu du RGPD (ou les clauses approuvées y succédant adoptées à tout moment) selon les modules et options convenus entre les parties.
«Données à Caractère Personnel» a la signification précisée dans la Législation sur la Protection des Données et concerne uniquement les Données à Caractère Personnel ou une partie de celles-ci:
- fournies à Uma:ndots par ou pour le compte du Partenaire ; et/ou
- obtenues ou créées par Uma:ndots pour le compte du Partenaire dans le cadre de la fourniture des Services,
et pour lesquelles, dans chaque cas, le Partenaire est le Responsable du Traitement.
«Autorité de Contrôle ou Régulateur» désigne la Commission Nationale de l’Informatique et des Libertés (ou son éventuel successeur) ou toute autre autorité compétente dans le(s) pays concerné(s), au titre de la Législation sur la Protection des Données, sur tout ou partie du Traitement des Données à Caractère Personnel.
«Violation de Données à Caractère Personnel» désigne une violation de sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou Traitées d’une autre manière ou l’accès non autorisé à de telles données.
«Sous-traitant Ultérieur» désigne un sous-traitant engagé par Uma:ndots qui accepte de Traiter les Données à Caractère Personnel pour le compte du Responsable du Traitement.
«Mesures Techniques et Organisationnelles» désigne les mesures techniques et organisationnelles envisagées par les parties en tenant compte de l’article 32 du RGPD, décrites à l’Annexe 2 au présent ATD.
Les titres des Clauses, Annexes et paragraphes n’ont pas d’incidence sur l’interprétation du présent ATD.
Une personne inclut une personne physique, une personne morale ou une personne non dotée de la personnalité morale (ayant ou non une personnalité juridique distincte).
Les Annexes font partie intégrante du présent ATD et ont le même effet que si elles faisaient partie intégrante du corps du présent ATD. Toute référence au présent ATD inclut les Annexes.
La référence à une société inclut toute société ou autre personne morale, créée ou établie en quelque endroit que ce soit et sous quelque forme que ce soit.
À moins que le contexte commande une interprétation différente, les termes au singulier incluent le pluriel et inversement et une référence à un genre inclut une référence à l’autre genre.
La référence à une loi ou une disposition légale est une référence à cette loi ou disposition légale telle que modifiée, prorogée ou codifiée et inclut tous les textes règlementaires pris en application de cette loi ou disposition légale.
Une référence à par écrit ou écrit inclut des télécopies et courriers électroniques.
L’obligation pour une partie de ne pas accomplir un acte inclut l’obligation de ne pas autoriser l’accomplissement de cet acte.
La référence au présent ATD ou à tout autre contrat ou document qui y est visé est une référence au présent ATD ou à cet autre contrat ou document tel que modifié à tout moment ou objet d’une novation (dans chaque cas, autrement qu’en violation des stipulations du présent ATD).
Les références aux clauses et Annexes sont des références aux clauses et Annexes du présent ATD et les références aux paragraphes sont des références aux paragraphes de l’Annexe concernée.
Tous les mots suivant les termes y compris, incluant, notamment ou par exemple ou toute phrase similaire doivent être interprétés comme étant illustratifs et ne sauraient limiter le caractère général des termes généraux auxquels ils se référent.
TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
Rôles des Parties
Les parties reconnaissent et conviennent qu’en ce qui concerne le Traitement des Données à Caractère Personnel, le Partenaire est le Responsable du Traitement, Uma:ndots est le Sous-traitant et que Uma:ndots engagera des Sous-traitants Ultérieurs conformément aux exigences de la clause 4 ci-dessous.
Si, en raison de la fourniture des Services par Uma:ndots, une partie considère que la relation qui les lie ne correspond plus à l’intention des parties formulée dans la clause2.1(a) ci-dessus, elle doit en informer l’autre partie et les parties discuteront et conviendront de bonne foi des actions à entreprendre pour confirmer l’intention des parties.
Traitement des Données à Caractère Personnel par le Partenaire
Le Partenaire doit Traiter les Données à Caractère Personnel en lien avec les Services conformément aux exigences de la Législation sur la Protection des Données.
Les instructions du Partenaire pour le Traitement des Données à Caractère Personnel doivent être conformes à la Législation sur la Protection des Données et ne devront pas exiger d’Uma:ndots qu’elle entreprenne une activité de Traitement illicite pour s’y conformer.
Le Partenaire sera seul responsable de l’exactitude, de la qualité et de la licéité des Données à Caractère Personnel et, si le Partenaire a acquis les Données à Caractère Personnel, des moyens par lesquels il les a acquises.
Le Partenaire garantit et s’engage comme suit:
- la divulgation de sa part des Données à Caractère Personnel à Uma:ndots est limitée à ce qui est nécessaire afin que Uma:ndots assure la fourniture des Services;
- ces Données à Caractère Personnel sont exactes et à jour au moment où elles sont fournies à Uma:ndots ;
- le Partenaire notifiera sans délai à Uma:ndots toutes corrections, modifications, suppressions ou restrictions nécessaires;
et il dispose et s’assurera qu’il dispose dans le temps des bases légales pour le Traitement, y compris tous les consentements nécessaires, et qu’il aura fourni l’information requise pour permettre à Uma:ndots de traiter licitement les Données à Caractère Personnel pendant la durée et pour les finalités des Services.
Traitement des Données à Caractère Personnel par Uma:ndots
Uma:ndots doit Traiter les Données à Caractère Personnel en lien avec les Services conformément aux exigences de la Législation sur la Protection des Données et uniquement de la manière précisée dans les instructions écrites du Partenaire.
Le Partenaire donne pour instruction à Uma:ndots de Traiter les Données à Caractère Personnel pour les finalités précisées à l’Annexe 1, telles que régulièrement modifiées ou complétées par écrit, sous réserve que les instructions du Partenaire n’augmentent pas significativement l’étendue des Services.
Si Uma:ndots estime raisonnablement que les instructions fournies par le Partenaire en lien avec le Traitement enfreignent la Législation sur la Protection des Données, Uma:ndots doit l’en informer ou, si Uma:ndots estime raisonnablement que les instructions fournies par le Partenaire en lien avec le Traitement enfreignent les lois applicables, Uma:ndots peut en informer le Partenaire, et, dans l’un ou l’autre cas, peut suspendre le Traitement jusqu’à ce que le Partenaire fournisse de nouvelles instructions écrites à Uma:ndots qui n’imposent pas Uma:ndots d’enfreindre la loi applicable, et Uma:ndots sera en droit de:
- modifier les Services afin qu’ils puissent être assurés sans exiger le Traitement concerné, et sans s’écarter significativement de la fourniture globale des Services; et/ou
- cesser d’assurer la fourniture de la partie concernée des Services qui dépend du Traitement, et Uma:ndots ne sera pas responsable d’un retard de fourniture ou de l’absence de fourniture des Services qui dépendent de ce Traitement.
Uma:ndots doit veiller à ce que toutes personnes qu’elle autorise à Traiter les Données à Caractère Personnel en vertu du présent ATD assurent la confidentialité des Données à Caractère Personnel et ne les divulguent pas à un tiers sans l’accord préalable du Partenaire, à l’exception de ce qui est prescrit par la loi. Uma:ndots est autorisée à divulguer les Données à Caractère Personnel aux Sous-traitants Ultérieurs (y compris aux Affiliées de Uma:ndots agissant en cette qualité) engagés de la manière décrite à la clause 4.
Uma:ndots doit fournir au Partenaire, aux frais de ce dernier, l’assistance et les informations qui pourront être raisonnablement requises afin de permettre au Partenaire de se conformer à une obligation de réaliser une analyse d’impact relative à la protection des données ou de consulter un Régulateur en vertu de la Législation sur la Protection des Données.
DROITS DES PERSONNES CONCERNÉES
Demandes des Personnes Concernées
Uma:ndots doit, dans la mesure autorisée par la loi, informer sans délai le Partenaire si elle reçoit une demande d’une Personne Concernée fondée sur ses droits en vertu du RGPD et concernant notamment l’accès, la rectification, l’effacement, ou la limitation du Traitement de ses Données à Caractère Personnel.
Uma:ndots s’interdit de répondre à la demande de cette Personne Concernée sans l’accord écrit préalable du Partenaire, dans la mesure prévue par la loi, sauf pour confirmer que la demande concernant le Partenaire et lui a été transmise.
Uma:ndots apportera au Partenaire la coopération et l’assistance commercialement raisonnables quant au traitement de la demande d’une Personne Concernée, dans les délais convenus, dans la mesure prévue par la loi et dans la mesure où le Partenaire n’a pas accès aux Données à Caractère Personnel lui-même ni la capacité de les corriger, modifier, effacer ou de limiter leur Traitement. Le Partenaire est responsable des frais découlant d’une telle assistance apportée par Uma:ndots.
SOUS-TRAITANTS ULTÉRIEURS
Désignation de Sous-traitants Ultérieurs
Le Partenaire reconnaît et convient que:
- les Affiliées de Uma:ndots peuvent être engagées en tant que Sous-traitants Ultérieurs; et
- Uma:ndots et les Affiliées de Uma:ndots, respectivement, peuvent engager des Sous-traitants Ultérieurs tiers dans le cadre de la fourniture des Services,
et, à la demande du Partenaire, Uma:ndots mettra à la disposition du Partenaire une liste à jour des Sous-traitants Ultérieurs engagés pour les Services concernés («Liste des Sous-traitants Ultérieurs») et Uma:ndots notifiera au Partenaire par avance tout changement prévu à la Liste des Sous-traitants Ultérieurs.
Sous réserve de la clause 4.1(c), Uma:ndots demandera à tous les Sous-traitants Ultérieurs de s’engager par écrit à traiter les Données à Caractère Personnel dans des conditions au moins aussi contraignantes que les stipulations du présent ATD.
Si Uma:ndots engage un Sous-traitant Ultérieur avec lequel les mêmes conditions ne peuvent être raisonnablement imposées ou négociées (par exemple, notamment, si le Sous-traitant Ultérieur opère à des conditions fixes non négociables) mais si ces conditions sont conformes aux obligations imposées aux Sous-traitants au titre de l’article 28 du RGPD, et sous réserve que Uma:ndots ait informé le Partenaire des conditions du sous-traitant ultérieur concerné, lesdites conditions du sous-traitant ultérieur:
s’appliqueront au Traitement réalisé par le Sous-traitant Ultérieur ;
seront réputées reprendre l’ensemble des obligations et responsabilités de Uma:ndots quant au Traitement concerné, comme si Uma:ndots effectuait ce traitement dans les conditions du sous-traitant ultérieur à la place du Sous-traitant Ultérieur; et
seront considérées comme acceptées par le Partenaire et applicables à ce dernier.
Droit d’opposition concernant les nouveaux Sous-traitants Ultérieurs
Le Partenaire peut s’opposer (sous réserve qu’il ait des motifs raisonnables à cet égard) à l’engagement d’un nouveau Sous-traitant Ultérieur après une notification conformément à la clause 4.1 ci-dessus. Le Partenaire en informera Uma:ndots par écrit, en exposant les motifs de cette opposition, au plus tard dans les 10 jours ouvrés suivant la réception de la notification de Uma:ndots ou tout autre délai plus court convenu par les parties compte tenu de la nature des Services à fournir et de leur calendrier d’exécution. Le défaut pour le Partenaire de s’opposer par écrit dans ce délai vaudra approbation du recours au nouveau Sous-traitant Ultérieur.
Si le Partenaire s’oppose à la notification de Uma:ndots conformément à la clause 4.2(a) ci-dessus, le Partenaire reconnaît que l’incapacité à recourir à un Sous-traitant Ultérieur particulier peut entraîner un retard dans la fourniture des Services, l’incapacité à assurer la fourniture des Services et/ou une augmentation des frais et que Uma:ndots ne sera pas responsable d’un retard dans la fourniture ou de l’absence de la fourniture des Services affectés. Uma:ndots notifiera par écrit au Partenaire toute modification apportée aux Services ou aux frais qui résulterait de l’absence de recours par Uma:ndots à un Sous-traitant Ultérieur particulier auquel le Partenaire s’est opposé. Le Partenaire peut signer un avenant écrit mettant en œuvre cette modification ou exiger que les parties discutent de bonne foi pour tenter de régler l’opposition.
Responsabilité du Sous-traitant Ultérieur
Sous réserve de la clause 4.1(c) ci-dessus, Uma:ndots est responsable des actes et omissions de ses Sous-traitants Ultérieurs concernant le Traitement des Données à Caractère Personnel dans la même mesure que si elle avait elle-même accompli ces actes et omissions.
SÉCURITÉ ET NOTIFICATION DES VIOLATIONS
Uma:ndots prend les Mesures Techniques et Organisationnelles visant à protéger la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de Uma:ndots dans le cadre du Traitement des Données à Caractère Personnel.
Le Partenaire a évalué le niveau de sécurité approprié au Traitement dans le cadre de ses obligations au titre de la Législation sur la Protection des Données et reconnaît que les Mesures Techniques et Organisationnelles sont conformes à cette évaluation.
Uma:ndots doit notifier au Partenaire la survenance de toute Violation de Données à Caractère Personnel, dans les meilleurs délais après en avoir pris connaissance et remet au Partenaire les informations suivantes dès qu’elles sont disponibles:
une description de la nature de la Violation de Données à Caractère Personnel, y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la violation et les catégories et le nombre approximatif d’enregistrement de données concernées;
les conséquences probables de cet événement;
une description des mesures prises ou devant être prises pour traiter la Violation de Données à Caractère Personnel, y compris, le cas échéant, les mesures permettant d’atténuer les éventuelles conséquences négatives;
le nom et les coordonnées du contact de Uma:ndots auprès duquel de plus amples informations peuvent être obtenues.
Les parties s’engagent à coordonner de bonne foi l’établissement du contenu de toutes déclarations publiques y relatives et de toutes notifications requises aux Personnes Concernées affectées et/ou au(x) Régulateur(s) compétent(s) en lien avec une Violation de Données à Caractère Personnel. Le Partenaire effectuera toute notification au(x) Régulateur(s) conformément à ses obligations au titre du RGPD.
Uma:ndots prendra, aux frais du Partenaire et dans les meilleurs délais, toutes les mesures raisonnables permettant d’atténuer les conséquences d’une Violation de Données à Caractère Personnel. Si la Violation de Données à Caractère Personnel résulte d’une violation exclusivement imputable à Uma:ndots du présent ATD ou de la Législation sur la Protection des Données, Uma:ndots supportera ces frais.
NOTIFICATIONS
Uma:ndots doit promptement notifier au Partenaire toute demande légale qu’elle reçoit concernant la communication de Données à Caractère Personnel de la part d’un Régulateur, des forces de l’ordre ou de toute autre autorité gouvernementale qui concerne le Traitement des Données à Caractère Personnel, la fourniture ou la réception des Services ou les obligations de l’une ou l’autre partie au titre du présent ATD, à moins que la loi ou le Régulateur l’interdise.
À moins que le Régulateur ne demande par écrit à communiquer directement avec Uma:ndots ou que les parties (agissant raisonnablement et en tenant compte de l’objet de la demande) conviennent que Uma:ndots traitera elle-même, aux frais du Partenaire, une demande du Régulateur, le Partenaire : (i) est responsable de toutes les communications ou correspondance concernant le Traitement des Données à Caractère Personnel et la fourniture ou la réception des Services, (ii) tient Uma:ndots informée de ces communications ou correspondance dans la mesure autorisée par la loi et (iii) présente de manière juste et équitable Uma:ndots dans toutes ces communications ou correspondance.
RESTITUTION ET SUPPRESSION DES DONNÉES DU PARTENAIRE
À la résiliation ou à l’expiration des Services, ou sur demande écrite du Partenaire, Uma:ndots doit (au choix du Partenaire) supprimer ou restituer toutes les Données à Caractère Personnel, tout en conservant celles nécessaires pour se conformer à des obligations légales et réglementaires. Autrement, Uma:ndots cessera de conserver des documents contenant des Données à Caractère Personnel si elle estime que (a) la conservation des Données à Caractère Personnel ne sert plus la finalité pour laquelle ces Données à Caractère Personnel ont été collectées et (b) la conservation n’est plus nécessaire à des fins commerciales ni requise par la loi. Les parties conviennent qu’un certificat attestant de la suppression des Données à Caractère Personnel sera remis par Uma:ndots au Partenaire, uniquement sur demande de ce dernier. Le Partenaire reconnaît et convient que Uma:ndots n’est pas responsable des pertes découlant de l’incapacité de Uma:ndots à fournir les Services en conséquence d’une demande faite par le Partenaire en vertu de la présente clause 7.
AUDITS ET ASSISTANCE
Sur demande raisonnable du Partenaire, Uma:ndots mettra à disposition du Partenaire (ou de l’auditeur tiers indépendant du Partenaire qui n’est pas un concurrent de Uma:ndots ou n’est pas contrôlé par un groupe concurrent du groupe auquel Uma:ndots appartient) toutes les informations nécessaires pour attester du respect par Uma:ndots des obligations précisées dans le présent ATD («Obligations de Conformité»). Ces informations incluent la documentation raisonnablement nécessaire pour confirmer l’exécution par Uma:ndots de ses obligations de conformité.
Les parties conviennent que le Partenaire a le droit de vérifier le respect par Uma:ndots des stipulations du présent ATD et de la Législation sur la Protection des Données dans le respect des procédures suivantes (sauf si et dans la mesure où les procédures suivantes s’opposent à une ordonnance ou recommandation d’un Régulateur):
les demandes d’audit par le Partenaire sont remises à Uma:ndots par écrit et n’interviennent pas plus d’une fois par période de 12 mois, ou en tant que de besoin pour attester du respect par le Partenaire de la Législation sur la Protection des Données suite à un contrôle réglementaire, une requête ou une action en justice;
le Partenaire peut recourir à un tiers pour réaliser l’audit pour son compte, sous réserve que le tiers soit choisi d’un commun accord entre le Partenaire et Uma:ndots et signe un accord de confidentialité acceptable pour Uma:ndots avant l’audit;
les audits doivent être menés pendant les heures ouvrables normales, sous réserve des politiques de Uma:ndots, et ne peuvent entraver de manière déraisonnable les activités commerciales de Uma:ndots;
pour solliciter la réalisation d’un audit, le Partenaire doit remettre un plan d’audit détaillé à Uma:ndots au moins six (6) semaines avant la date de l’audit proposé à moins qu’un délai plus court soit imposé par le Régulateur. Le plan d’audit doit décrire l’étendue, la durée et la date de commencement proposées de l’audit. Uma:ndots peut examiner le plan d’audit et notifier au Partenaire toute préoccupation ou question (par exemple, toute demande d’information qui compromettrait les obligations de confidentialité de Uma:ndots ou ses politiques en matière de sécurité, de confidentialité, d’emploi ou autres politiques concernées). Uma:ndots travaillera en coopération avec le Partenaire pour convenir d’un plan d’audit final; et
tous les audits sont réalisés aux seuls coûts et frais du Partenaire, sauf s’il révèle un non-respect significatif du présent ATD par Uma:ndots (auquel cas, les coûts et frais raisonnables du Partenaire seront supportés par Uma:ndots). Toute demande d’assistance de Uma:ndots pour l’audit exigeant l’utilisation de ressources différentes de celles requises pour la fourniture des Services ou en complément de celles-ci sera considérée comme étant un service supplémentaire pour lequel des frais supplémentaires raisonnables pourront être facturés. Uma:ndots se réserve le droit de demander l’engagement écrit du Partenaire à payer ces frais avant d’apporter cette assistance à l’audit.
Le Partenaire doit notifier promptement à Uma:ndots une non-conformité découverte au cours d’un audit.
TRANSFERT DES DONNÉES HORS DE L’EEE
Uma:ndots s’interdit de traiter, de conserver ou de transférer des Données à Caractère Personnel hors de l’Espace Economique Européen («EEE») sans l’accord écrit préalable du Partenaire. Uma:ndots est réputée avoir l’autorisation de transférer des données à un Sous-traitant Ultérieur qui est un Affilié de Uma:ndots située hors de l’EEE et garantit, dès lors qu’elle procède à de tels transferts, qu’un accord intra-groupe ou autre mécanisme de transfert licite et valide est en place (comme, notamment, les Clauses Contractuelles Types de la Commission européenne), dans la mesure nécessaire à la fourniture des Services (y compris si les Services dépendent de services partagés intra-groupe).
Lorsqu’un transfert en dehors de l’EEE a lieu, si le mécanisme de transfert applicable conclu cesse d’être valide, Uma:ndots peut, à son choix:
conclure et/ou faire en sorte que le Sous-traitant Ultérieur concerné conclue, un mécanisme de transfert de données alternatif approprié;
modifier les Services afin qu’ils puissent être assurés sans exiger le transfert concerné, et sans s’écarter significativement de la fourniture globale des Services; et/ou
cesser d’assurer la fourniture de la partie concernée des Services qui dépend du transfert,
et Uma:ndots ne sera pas responsable d’un retard dans la fourniture ou d’un manquement à assurer la fourniture des Services qui dépendent de ce Traitement, à moins qu’elle soit responsable de l’absence du mécanisme de transfert.
Les parties conviennent que les stipulations du présent ATD seront soumises aux limitations et exclusions de responsabilité et autres stipulations de l’article 13 «Limitation de Responsabilité des CONDITIONS GENERALES DE VENTE UMA:NDOTS.
Le présent ATD ne sera opposable entre le Partenaire et Uma:ndots qu’à compter de sa signature par les parties. Les stipulations du présent ATD restent en vigueur jusqu’à ce que Uma:ndots ait restitué ou supprimé toutes les Données à Caractère Personnel conformément à la clause 7. Le présent ATD prend fin avant si et lorsque Uma:ndots cesse de traiter les Données à Caractère Personnel, sauf convention écrite contraire entre les parties.
STIPULATIONS GÉNÉRALES
Sans préjudice des droits de toute Personne Concernée, une personne qui n’est pas partie au présent ATD n’a aucun droit, conformément à l’article 1199 du Code Civil concernant l’effet relatif des contrats, de faire exécuter une stipulation du présent ATD.
Aucune partie ne peut céder, transférer, hypothéquer, grever, concéder ou régler de toute autre manière l’un de ses droits et ou l’une de ses obligations au titre du présent ATD sans l’accord écrit préalable de l’autre partie ou de la manière précisée au présent ATD.
Le présent ATD, constitue l’intégralité de l’accord entre les parties et remplace tous les contrats, promesses, assurances, garanties, déclarations et accords antérieurs entre elles, écrits ou oraux, quant à son objet.
Sauf stipulation expresse du présent ATD, aucune modification du présent ATD n’est valable à moins qu’elle n’intervienne au moyen d’un acte écrit et signé par les parties (ou leurs représentants autorisés).
Chaque partie accepte de manière irrévocable que les tribunaux de Paris seront compétents pour régler tous litiges ou réclamations consécutifs ou relatifs au présent ATD ou à son objet ou à sa formation (y compris les litiges ou réclamations non contractuels).
ANNEXE 1 – Fiche d’instructions du Responsable de Traitement au Sous-Traitant
I.Description des Traitements de Données à Caractère Personnel
1.Objet (Liste Des Prestations)
Uma:ndots, en qualité de Sous-traitant au sens du RGPD, est autorisée à traiter pour le compte du Partenaire, Responsable de traitement, les Données à Caractère Personnel pour réaliser les prestations suivantes:
Achat d’espace automatiséProgrammatique
Achat d’espace automatiséSocial Media
Analytics & Tracking
Uma:ndots en qualité de Sous-traitant s’engage à traiter les Données à Caractère Personnel, conformément aux instructions documentées du Partenaire, Responsable de traitement, figurant ci-dessous et telles que régulièrement modifiées ou complétées par écrit.
2.Nature des Traitements
3.Finalités des Traitements
| Prestation | Finalités |
| Achat d’espace automatisé Programmatique | Transmission aux DSPs des instructions de ciblage du Partenaire |
| Achat d’espace automatiséSocial Media | Transmission aux supports (au sens de la loi Sapin) des instructions de ciblage du Partenaire |
| Analytics & Tracking | -Contrôle de l’exposition media et mesure des actions suivant une exposition publicitaire (clic, visites sur site, commande …) en vue d’analyser les performances et optimiser les campagnes publicitaires -Identification des audiences ayant vu et/ou interagi avec les bannières publicitaires -Analyse et tracking des visiteurs du site du Partenaire pour analyse et segmentation à des fins de ciblage publicitaire -Contrôle de la qualité de la donnée (données des campagnes publicitaires ou hors campagnes publicitaires) au sein des outils du Partenaire |
4.Catégories de Données à Caractère Personnel
| Prestation | Données à Caractère Personnel |
Achat d’espace automatisé Programmatique & Social Media | Instructions de ciblage: -Tranche d’âge -Genre -CSP -Centre d’intérêt / comportemental -Intention d’achat -Géolocalisation: au choix du Partenaire: Pays, Ville ou rayon géographique -ID publicitaire (via tag DSP) |
| Analytics & Tracking | -Adresse IP -ID publicitaire / Cookie ID -Device ID -Données liées à l’activité de navigation sur le site du Partenaire (si traitement de la 1st party du Partenaire) -Données liées au comportement en ligne (comportement de navigation) -Données de transaction (comportement d’achats) |
5.Données à Caractère Personnel Sensibles (Catégories Particulières)
Uma:ndots ne traite pas de Données à Caractère Personnel sensibles.
6.Catégories de Personnes Concernées
| Prestation | Personnes concernées |
| Achat d’espace automatisé Programmatique | Internautes |
| Achat d’espace automatiséSocial Media | Utilisateurs de réseaux sociaux |
| Analytics & Tracking | Internautes / Visiteurs des sites web du Partenaire |
7.Tiers sollicités par Uma:ndots
Le Partenaire autorise Uma:ndots à recourir aux Prestataires listés ci-dessous:
a)Sous-traitants ultérieurs
| Nom Prestataire | Prestation réalisée |
·Adloox SAS ·Perfmaker | Analytics & Tracking: – Outils de mesure de la qualité de la diffusion des assets créatifs du Partenaire sur un critère de visibilité à l’écran (Ad verification) – Outils de mesure de la qualité de la diffusion des assets créatifs du Partenaire sur un critère de couverture sur cible utile (Ad verification) |
·Adlook (RTB House), France ·Xandr (Appnexus), USA ·Hawk (Tabmo), France ·Taboola, UK ·Teads, Luxembourg ·The Trade Desk, USA ·Zemanta, USA ·Lucead, France | – Achat d’espace automatisé- Programmatique Demand-side-platform(DSP). Outil de management permettant d’opérer des achats d’espace automatisé programmatique : traitement des données first party du Partenaire et données de campagne |
Pour les Sous-traitants Ultérieurs définis à l’article 4.1.cdu DPA:
| Dénomination et pays du siège social | Prestations réalisées | Conditions contractuelles relatives à la protection des données |
Google LLC, USA Google Ireland, Irelande | – Analytics & Tracking: Serveur publicitaire (Google Campaign Manager) hébergeant les assets créatifs du Partenaire, mettant à disposition les traceurs publicitaires, hébergeant les données quantitatives liées à la diffusion. – Achat d’espace automatisé- Programmatique Demand-side-platform(Outil DV360) : Outil de management permettant d’opérer des achats d’espace automatisé programmatique: traitement des données first party du Partenaire et données de campagne | https://privacy.google.com/businesses/processorterms/ |
| Amazon, Luxembourg | Demand-side-platform(Amazon DSP) : Outil de management permettant d’opérer des achats d’espace automatisé programmatique: traitement des données first party du Partenaire et données de campagne | Lien vers DPA Amazon «Processor» en ligne |
b)Tiers, Responsables de Traitement (hors Loi Sapin)
Le Partenaire autorise Uman:dots à agir au nom et pour le compte du Partenaire pour recourir aux tiers Responsables de traitement ou catégories de responsables de traitement listés ci-dessous aux conditions recensées à titre d’information ci-dessous.
| Nom Prestataire | Prestation réalisée | Conditions contractuelles relatives à la protection des données |
·Adlook (RTB House), France ·Xandr (Appnexus), USA ·Hawk (Tabmo), France ·Taboola, UK ·Teads, Luxembourg ·The Trade Desk, USA ·Zemanta, USA ·Lucead, France | Demand-side-platform(DSP) Outil de management permettant d’opérer des achats d’espace automatisé programmatique : collecte et mise à disposition des données 2nd et 3rd party | Contrat signé par Uma:ndots avec l’accord du Partenaire et pour son compte |
| Nom Prestataire | Prestation réalisée | Conditions contractuelles relatives à la protection des données |
| Amazon, Luxembourg | Demand-side-platform(DSP) Outil de management permettant d’opérer des achats d’espace automatisé programmatique : collecte et mise à disposition des données 2nd et 3rd party | Lien vers DPA Amazon «Controller» en ligne |
Google LLC, USA Google Ireland, Irelande | Demand-side-platform(DSP) Outil de management permettant d’opérer des achats d’espace automatisé programmatique : collecte et mise à disposition des données 2nd et 3rd party | https://business.safety.google/adscontrollerterms/ |
c)Supports concernés par l’article 20 Loi Sapin 1993
Concernant les achats d’espace publicitaire auprès de supports (au sens de la loi Sapin), le Partenaire a donné mandat à Uma:ndots pour recourir aux supports décrits dans les plans media et approuvés par le Partenaire, qui évolueront au fur et à mesure de l’exécution des prestations.
8.Destinataires des Données à Caractère Personnel
Uma:ndots n’a accès à aucune Donnée à Caractère Personnel.
Uma:ndots ne transmet aucune Donnée à Caractère Personnel.
9.Transfert de Données à Caractère Personnel hors de l’EEE
[Les Parties doivent indiquer les détails des transferts de données hors de l’EEE en lien avec les prestations listées au 1., en indiquant l’entité concernée, le pays de destination et la garantie utilisée pour réaliser un tel transfert en conformité avec le RGPD.]
Le Partenaire, Responsable de Traitement, autorise Uma:ndots à avoir recours aux destinataires importateurs listés ci-dessous dans les conditions suivantes.
| Nom Prestataire | Data Center Locations | Privacy Policy et Mécanisme de transfert applicable |
| Google (pour Google DV360 et Google Campaign Manager) | https://www.google.com/about/datacenters/locations/ | – https://policies.google.com/privacy – Data Privacy Framework |
| Amazon | – United States, Canada & Brazil – Ireland, Germany, UK, France, Denmark – Bahrain, Singapore, Australia, Japan, Korea, India & Hong-Kong | – https://www.amazon.com/gp/help/customer/display.html?nodeId=201909010 – Data Privacy Framework |
| Xandr / AppNexus | – United States – Singapore – Germany & Netherlands | – https://www.xandr.com/privacy/platform-privacy-policy/ – SCC |
| Hawk (Tabmo) | – France & Ireland – United states | – http://static.tabmo.io.s3.amazonaws.com/privacy-policy/index.html – SCC |
| The Trade Desk | – United States, Canada & Brazil – UK, Ireland, Germany – Singapore, Japan, Australia, Hong Kong, China | – https://www.thetradedesk.com/general/privacy – SCC + Data Privacy Framework |
| Zemanta | – United States – Hong Kong – Netherlands | – https://www.zemanta.com/legal#privacy-policy – SCC + Data Privacy Framework |
10.Durée de Conservation des Données à Caractère Personnel
Uma:ndots ne conserve aucune Donnée à Caractère Personnel.
Les Données à Caractère Personnel sont conservées dans les outils (DSPs ou autres) selon les durées fixées par ces outils.
11.DPO du Sous-Traitant
Pour Uma:ndots: privacyofficer@publicisgroupe.com
II.Mesures Techniques et Organisationnelles du Sous-Traitant
La présente Annexe énonce les Mesures Techniques et Organisationnelles particulières que Uma:ndots applique à ses Traitements de Données à Caractère Personnel au titre du présent ATD, que le Partenaire reconnaît comme constituant des garanties suffisantes pour les besoins de la Législation sur la Protection des Données:
Chez Publicis Groupe, la sécurité est la responsabilité de tous. Nous prenons au sérieux la sécurité de nos informations et des informations que nos clients et partenaires nous confient. Nous suivons et déployons des contrôles de sécurité conformes aux normes du secteur concernant la confidentialité, l’intégrité et la disponibilité des informations. Nous disposons d’une équipe de sécurité dédiée, appelée « Global Security Office » (GSO), dont la mission est de promouvoir et de maintenir la sécurité dans toutes les unités opérationnelles, agences et organisations de services partagés de Publicis Groupe.
Publicis Groupe suit un modèle d’approche par couches pour la mise en œuvre de la sécurité qui consiste en une combinaison reconnue par le secteur de contrôles de sécurité administratifs, physiques et techniques, mis en place au niveau de l’organisation, du système et du réseau. Nous avons mis en place des politiques de sécurité de l’information documentées. Nos politiques de sécurité de l’information sont fondées sur les exigences de la norme de sécurité ISO 27001.
Le GSO fournit un programme de sensibilisation à la sécurité de l’information pour Publicis Groupe. La sensibilisation se fait par le biais d’articles sur la sécurité, de formations, d’affiches, de vidéos et d’annonces.
Un programme de gestion des actifs informatiques est en place pour gérer l’attribution et la propriété. Nous disposons de lignes directrices en matière de classification et de traitement des informations pour répondre aux exigences en matière de traitement et d’étiquetage des informations. Les employés sont tenus de restituer les biens de l’entreprise lorsqu’ils quittent leur emploi. Tous les actifs sont détruits en toute sécurité conformément à notre politique de sécurité lorsqu’ils ne sont plus nécessaires.
Les exigences en matière de sécurité physique et environnementale sont incluses dans nos politiques de sécurité de l’information. Des lignes directrices en matière de sécurité physique ont été créées conformément aux politiques de sécurité et aux meilleures pratiques, qui doivent être mises en œuvre en fonction du risque perçu, de la culture, des informations traitées, de la géographie, etc., du bureau de Publicis Groupe concerné. Les lignes directrices en matière de sécurité physique portent également sur les critères de sélection des sites, la sécurité du périmètre des installations du Groupe, la sécurité des espaces communs, l’aménagement d’espaces sécurisés pour les équipes, la sécurité des salles de serveurs, la sécurité de l’environnement et la gestion de la sécurité physique.
Certains des principaux contrôles de sécurité physique mis en œuvre dans les bureaux du Groupe sont énumérés ci-dessous:
Limites sécurisées – La sécurité physique commence par le mur d’enceinte créé au périmètre du bâtiment. Les murs d’enceinte sont créés pour dissuader les intrus potentiels d’accéder aux locaux professionnels.
Accès sécurisé et surveillance – L’accès aux installations du Groupe est réservé aux Personnes autorisées et les installations sont surveillées afin de détecter tout accès physique non autorisé. L’accès aux bureaux du Groupe est contrôlé par des portes à contrôle d’accès.
Autorisation d’accès – L’accès aux bureaux du Groupe est accordé par le biais d’une procédure d’autorisation et limité aux seules Personnes autorisées par le biais de mécanismes de contrôle d’accès tels que des lecteurs de cartes d’accès, de la biométrie, une réception avec personnel, etc.
Zones sécurisées – Les installations de traitement des informations critiques, telles que les centres de données et les salles de serveurs, sont protégées de manière adéquate.
Processus de gestion des visiteurs – Les visiteurs n’ont accès aux installations du Groupe que pour des raisons professionnelles. Un registre des visiteurs des zones non publiques / sécurisées est tenu. Les visiteurs sont escortés dans les installations du Groupe par une personne du Groupe.
Protection de l’environnement – Des mesures de sauvegarde ont été appliquées et régulièrement testées afin de prévenir ou d’atténuer des dommages causés aux installations du groupe par incendies, inondations, tremblements de terre, foudre et autres catastrophes naturelles ou causées par l’homme.
Les comptes d’utilisateurs sont gérés de manière centralisée dans le cadre de nos procédures de gestion des comptes. Les demandes de création ou de suppression d’identifiants soumises par des personnes ou entités autorisées sont traitées par notre équipe chargée de l’attribution des identifiants. Tous les membres de notre personnel se voient attribuer un identifiant de connexion unique. Les identifiants génériques ne sont pas autorisés.
Notre politique de sécurité exige que les mots de passe soient conformes à nos normes de sécurité. Cela inclut des exigences en matière de longueur, de complexité, d’ancienneté, d’historique et d’autres facteurs mentionnés ci-dessous :
Les mots de passe au niveau de l’utilisateur doivent être composés d’au moins deux des sous- ensembles de symboles cités et avoir une longueur d’au moins 8 caractères :
- caractères majuscules et minuscules
- au moins 1 caractère non alphanumérique
- au moins 1 lettre et au moins 1 chiffre
L’historique des mots de passe est fixé à 10, ce qui empêche les utilisateurs d’utiliser leurs dix derniers mots de passe au moment du changement de mot de passe.
Les économiseurs d’écran protégés par mot de passe sont activés après une période d’inactivité définie. Tous les mots de passe des utilisateurs (par exemple, courriel, web, ordinateur de bureau, etc.) doivent être changés au moins tous les 120 jours.
L’accès aux données est accordé en fonction du besoin d’en connaître (principe de l’accès le moins privilégié), selon le caractère sensible des données, telle que déterminée par le propriétaire des données. Le paramétrage empêche l’accès aux données par défaut.
Les exigences en matière de sauvegarde et de restauration des informations sont couvertes dans le cadre de la politique de sécurité de l’information. Les sauvegardes incrémentales / différentielles des applications professionnelles sont généralement effectuées sur une base quotidienne et une sauvegarde complète est réalisée sur une base hebdomadaire. Les supports de sauvegarde sont envoyés dans un lieu hors site pour y être stockés en toute sécurité, en cas de besoin. Une stratégie de sauvegarde et de restauration des données est élaborée en fonction des exigences du projet ou du partenaire (le cas échéant).
Une politique de sécurité de l’information documentée est en place et spécifie nos normes de cryptage approuvées et nos pratiques de gestion des clés. Des algorithmes tels que AES, des versions sécurisées de TLS, HTTPS et RSA sont utilisés par le Groupe pour le cryptage des données.
Les pare-feux sont utilisés pour séparer logiquement le réseau de l’entreprise des segments Internet et DMZ (zone démilitarisée). Les pare-feux sont configurés conformément aux meilleures pratiques du secteur. Une politique de refus par défaut est appliquée sur les pare-feux. L’accès à distance au réseau du Groupe est autorisé en fonction des besoins de l’entreprise. Un VPN crypté est utilisé pour gérer l’accès à distance au réseau du Groupe. Les biens mis hors service sont déclassés conformément aux politiques du Groupe. Nos procédures contiennent les normes du ministère américain de la défense (DOD) ou d’autres normes reconnues par l’industrie en ce qui concerne l’effacement sécurisé et la destruction physique des logiciels, du matériel et des supports amovibles.
Une procédure documentée et approuvée de gestion des correctifs est en place. Cette procédure a pour objet de définir la méthode de correction des systèmes gérés par les technologies de l’information. Des évaluations périodiques des vulnérabilités sont effectuées sur les appareils exposés au public afin d’identifier et de corriger de manière proactive les vulnérabilités susceptibles d’exposer les données à des accès/pertes non autorisés. Nous faisons également appel à un tiers pour effectuer des tests de pénétration de notre réseau sur une base annuelle.
Publicis Groupe a mis en place un cadre complet de continuité des activités et de reprise après sinistre. Les infrastructures et les applications critiques sont déployées pour fournir des capacités de reprise après sinistre.