Vers la page d’accueil

Règlement sur le traitement des données (RGPD)

Le présent Accord de traitement des données (« Accord ») fait partie intégrante des Conditions de Service (« Accord principal ») conclu entre le Client et Fornex Hosting S.L., Fornexcloud Ltd., FORNEX INC (ci-après « Sous-traitants »), désignés conjointement les « Parties ».

ATTENDU QUE

  • (A) Le Client agit en qualité de responsable du traitement.
  • (B) Le Client souhaite sous-traiter au Sous-traitant certains Services qui impliquent le traitement de données à caractère personnel.
  • (C) Les Parties souhaitent mettre en place un accord de traitement des données conforme aux exigences du cadre juridique en vigueur en matière de traitement des données ainsi qu’au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
  • (D) Les Parties souhaitent définir leurs droits et obligations respectifs.

1. Définitions et interprétation

Sauf définition contraire dans les présentes, les termes et expressions commençant par une majuscule utilisés dans le présent Accord ont la signification suivante :
  1. « Accord » désigne le présent Accord de traitement des données et toutes ses Annexes ;
  2. « Lois applicables » désigne l’ensemble des lois, règlements et autres exigences légales applicables à une Partie dans le cadre de l’Accord ;
  3. « Données à caractère personnel du Client » désigne toute donnée à caractère personnel traitée par un Sous-traitant contractant pour le compte du Client en application ou dans le cadre de l’Accord principal ;
  4. « Sous-traitant contractant » désigne le Sous-traitant ou un Sous-traitant ultérieur ;
  5. « Lois sur la protection des données » désigne les Lois de l’UE sur la protection des données et, dans la mesure applicable, les lois relatives à la protection des données ou à la vie privée de tout autre pays ;
  6. « EEE » désigne l’Espace économique européen ;
  7. « Lois de l’UE sur la protection des données » désigne le RGPD et toute autre loi de l’UE sur la protection des données applicable à un moment donné, y compris toute loi nationale des États membres mettant en œuvre ou complétant le RGPD, dans chaque cas telle que modifiée, remplacée ou abrogée au fil du temps ;
  8. « RGPD » désigne le Règlement général de l’UE sur la protection des données 2016/679 ;
  9. « Transfert de données » désigne :
    1. un transfert de Données à caractère personnel du Client, du Client vers un Sous-traitant contractant ; ou
    2. un transfert ultérieur de Données à caractère personnel du Client, d’un Sous-traitant contractant vers un Sous-traitant ultérieur, ou entre deux établissements d’un Sous-traitant contractant, dans chaque cas où un tel transfert serait interdit par les Lois sur la protection des données (ou par les clauses des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données prévues par les Lois sur la protection des données) ;
  10. « Sous-traitant » désigne Fornex Hosting S.L., Fornexcloud Ltd., FORNEX INC ;
  11. « Services » désigne les services d’hébergement fournis par le Sous-traitant ;
  12. « Sous-traitant ultérieur » désigne toute personne désignée par le Sous-traitant ou pour son compte afin de traiter des données à caractère personnel pour le compte du Client dans le cadre de l’Accord.

Les termes « Commission », « responsable du traitement », « personne concernée », « État membre », « données à caractère personnel », « violation de données à caractère personnel », « traitement » et « autorité de contrôle » ont la même signification que dans le RGPD, et les termes apparentés sont interprétés en conséquence.

2. Traitement des Données à caractère personnel du Client

  1. Le Sous-traitant s’engage à :
    1. respecter toutes les Lois sur la protection des données applicables lors du traitement des Données à caractère personnel du Client ; et
    2. ne pas traiter les Données à caractère personnel du Client autrement que sur la base des instructions documentées du Client.
  2. Le Client charge le Sous-traitant de traiter les Données à caractère personnel du Client.

3. Personnel du Sous-traitant

  1. Le Sous-traitant prend des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou prestataire de tout Sous-traitant contractant susceptible d’avoir accès aux Données à caractère personnel du Client, en veillant dans chaque cas à ce que l’accès soit strictement limité aux personnes qui ont besoin de connaître les Données à caractère personnel du Client concernées ou d’y accéder, dans la stricte mesure nécessaire aux fins de l’Accord principal et au respect des Lois applicables dans le cadre des fonctions de cette personne vis-à-vis du Sous-traitant contractant, et en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

4. Sécurité

  1. Compte tenu de l’état de l’art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, et du risque, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre, en ce qui concerne les Données à caractère personnel du Client, les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l’article 32, paragraphe 1, du RGPD.
  2. Lors de l’évaluation du niveau de sécurité approprié, le Sous-traitant tient compte en particulier des risques que présente le traitement, notamment du fait d’une violation de données à caractère personnel.

5. Sous-traitance ultérieure

  1. Le Sous-traitant ne peut désigner (ni divulguer de Données à caractère personnel du Client à) un Sous-traitant ultérieur, sauf si cela est exigé ou autorisé par le Client.

6. Droits des personnes concernées

  1. Compte tenu de la nature du traitement, le Sous-traitant aide le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s’acquitter de son obligation, telle que raisonnablement comprise par le Client, de donner suite aux demandes d’exercice des droits des personnes concernées au titre des Lois sur la protection des données.
  2. Le Sous-traitant s’engage à :
    1. notifier rapidement au Client toute demande reçue d’une personne concernée au titre d’une Loi sur la protection des données relative aux Données à caractère personnel du Client ; et
    2. veiller à ne pas répondre à cette demande, sauf sur la base des instructions documentées du Client ou si les Lois applicables auxquelles le Sous-traitant est soumis l’exigent, auquel cas le Sous-traitant informe le Client, dans la mesure permise par les Lois applicables, de cette exigence légale avant que le Sous-traitant contractant ne réponde à la demande.

7. Violation de données à caractère personnel

  1. Le Sous-traitant notifie au Client, sans retard injustifié, toute violation de données à caractère personnel affectant les Données à caractère personnel du Client dès qu’il en a connaissance, en fournissant au Client des informations suffisantes pour lui permettre de s’acquitter de ses éventuelles obligations de notifier la violation de données à caractère personnel aux personnes concernées ou de les en informer au titre des Lois sur la protection des données.
  2. Le Sous-traitant coopère avec le Client et prend les mesures commerciales raisonnables indiquées par le Client pour contribuer à l’enquête, à l’atténuation et à la correction de chacune de ces violations de données à caractère personnel.

8. Analyse d’impact relative à la protection des données et consultation préalable

  1. Le Sous-traitant apporte une assistance raisonnable au Client pour toute analyse d’impact relative à la protection des données et toute consultation préalable des autorités de contrôle ou d’autres autorités compétentes en matière de protection des données, que le Client estime raisonnablement requises par l’article 35 ou 36 du RGPD ou par des dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le traitement des Données à caractère personnel du Client par les Sous-traitants contractants, et compte tenu de la nature du traitement et des informations dont disposent les Sous-traitants contractants.

9. Suppression ou restitution des Données à caractère personnel du Client

  1. Sous réserve du présent article 9, le Sous-traitant supprime, rapidement et en tout état de cause dans un délai de 10 jours ouvrables à compter de la date de cessation de tout Service impliquant le traitement des Données à caractère personnel du Client (la « Date de cessation »), toutes les copies de ces Données à caractère personnel du Client et veille à leur suppression.
  2. Le Sous-traitant fournit au Client une attestation écrite confirmant qu’il s’est pleinement conformé au présent article 9, dans un délai de 10 jours ouvrables à compter de la Date de cessation.

10. Instructions pour la suppression complète des Données à caractère personnel du Client

  1. Afin de supprimer complètement ses données à caractère personnel, le Client se connecte à son compte sur le site web du Sous-traitant (https://fornex.com/), clique sur « Tickets » (ou colle https://fornex.com/my/tickets/ dans le navigateur et appuie sur Entrée), puis clique sur « Créer un ticket », après quoi un formulaire apparaît.
  2. Le Client saisit « Effacer les données personnelles » dans le champ « Objet », ignore le champ « Se rapporte à », sélectionne « Élevée » dans le champ « Priorité », saisit « Effacez mes données personnelles » dans le dernier champ du formulaire et clique sur « Créer ».
  3. La demande est traitée dans un délai de 1 à 2 heures, et les Données à caractère personnel du Client sont entièrement effacées des bases de données du Sous-traitant.

11. Droits d’audit

  1. Sous réserve du présent article 11, le Sous-traitant met à la disposition du Client, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord, et autorise et contribue aux audits, y compris les inspections, réalisés par le Client ou par un auditeur mandaté par le Client en ce qui concerne le traitement des Données à caractère personnel du Client par les Sous-traitants contractants.
  2. Les droits d’information et d’audit du Client ne naissent au titre de l’article 11.1 que dans la mesure où l’Accord ne lui confère pas par ailleurs des droits d’information et d’audit répondant aux exigences pertinentes des Lois sur la protection des données.

12. Transfert de données

  1. Le Sous-traitant ne peut transférer ni autoriser le transfert de données à caractère personnel vers des pays situés en dehors de l’UE et/ou de l’Espace économique européen (EEE) sans le consentement écrit préalable du Client. Si des données à caractère personnel traitées dans le cadre du présent Accord sont transférées d’un pays situé dans l’Espace économique européen vers un pays situé en dehors de l’Espace économique européen, les Parties veillent à ce que ces données à caractère personnel bénéficient d’une protection adéquate. À cette fin, les Parties s’appuient, sauf convention contraire, sur les clauses contractuelles types approuvées par l’UE pour le transfert de données à caractère personnel.

13. Dispositions générales

  1. Confidentialité. Chaque Partie doit garder confidentiels le présent Accord et toute information qu’elle reçoit au sujet de l’autre Partie et de son activité dans le cadre du présent Accord (« Informations confidentielles »), et ne doit ni utiliser ni divulguer ces Informations confidentielles sans le consentement écrit préalable de l’autre Partie, sauf dans la mesure où :
    • (a) la divulgation est exigée par la loi ;
    • (b) les informations concernées sont déjà dans le domaine public.
  2. Notifications. Toutes les notifications et communications effectuées au titre du présent Accord doivent être faites par écrit et seront remises en main propre, envoyées par courrier postal ou par courrier électronique à l’adresse ou à l’adresse électronique indiquée dans l’en-tête du présent Accord, ou à toute autre adresse notifiée le cas échéant par la Partie qui change d’adresse.

14. Droit applicable et juridiction

  1. Le présent Accord est régi par le droit de l’Union européenne.
  2. Tout litige survenant dans le cadre du présent Accord que les Parties ne parviennent pas à résoudre à l’amiable sera soumis à la compétence exclusive des tribunaux de l’État membre de l’UE dans lequel le Sous-traitant concerné est établi.
Besoin d’aide?Nos ingénieurs vous aideront gratuitement pour n’importe quelle question en quelques minutesNous contacter