Conditions Générales de Sous-traitance RGPD

GOYACOM intervient pour ses clients en qualité de sous-traitant au sens de l’article 13 du RGPD.
ARTICLE 1. OBJET DES CONDITIONS GENERALES DE SOUS-TRAITANCE
Les présentes Conditions Générales de Sous-traitance ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (RGPD).
ARTICLE 2. DESCRIPTION DU TRAITEMENT FAISANT L’OBJET DE LA SOUS-TRAITANCE
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir les services de prestations suivantes :
La nature des opérations réalisées sur les données est le traitement des données personnelles et le transfert uniquement à des tiers agréés.
La finalité du traitement est pour GOYACOM : l’exécution des contrats conclus entre GOYACOM et ses clients, la gestion de son personnel.
Les données à caractère personnel traitées sont :
Les catégories de personnes concernées sont les salariés, clients ou salariés du client du Responsable du traitement.
Pour l’exécution du service objet du présent contrat, le Responsable de traitement met à la disposition du Sous-traitant les informations nécessaires suivantes :
ARTICLE 3. OBLIGATIONS DU SOUS-TRAITANT VIS-À-VIS DU RESPONSABLE DE TRAITEMENT
3.1. ENGAGEMENTS GÉNÉRAUX DU SOUS-TRAITANT
Le Sous-traitant s'engage à :
- traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
- traiter les données conformément aux instructions documentées du Responsable de traitement figurant au présent contrat. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
- garantir au Responsable de traitement que les obligations mentionnées au présent contrat sont respectées par son personnel. Dans tous les cas, le Sous-traitant reste responsable du respect par tout sous-traitant ultérieur des obligations visées dans le présent contrat et indemnise le Responsable du traitement des données de tout dommage, perte ou réclamation résultant du non-respect de ces obligations ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
3.2. OBLIGATIONS SPÉCIFIQUES EN CAS DE SOUS-TRAITANCE
Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après dénommé le « Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai minium de trente (30) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu.
Le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre Sous-traitant de ses obligations.
Le Sous-traitant est conjointement responsable avec tout Sous-traitant ultérieur de la conformité du traitement avec le présent contrat et le RGPD.
3.3. OBLIGATIONS D'ASSISTANCE SPÉCIFIQUE DU SOUS-TRAITANT
Le Sous-traitant assiste le Responsable du traitement des données dans l'exécution des missions confiées dans :
Si des raisons ou des événements soulèvent des doutes quant au respect par le Sous-traitant de ses obligations en matière de protection des données personnelles, le Responsable du traitement peut auditer le Sous-traitant, à sa discrétion, mais selon les heures normales d'ouverture.
3.4. DROIT D’INFORMATION DES PERSONNES CONCERNÉES
Il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
3.5. OBLIGATIONS SPÉCIFIQUES EN CAS D’EXERCICE DES DROITS DES PERSONNES
Dans la mesure du possible et dans le cadre des missions confiées, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse suivante : info arobase goyaphone.eu
3.6. NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL
Dans le cadre des missions qui leurs sont confiés, le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de vingt-quatre (24) heures après en avoir pris connaissance en adressant un email au Délégué à la Protection des Données du Responsable de traitement à l’adresse suivante : info arobase goyaphone.eu ou en prenant attache téléphoniquement avec cette dernière au numéro de téléphone indiqué sur la page www.goyaphone.eu/fr/contact. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du Responsable de traitement, le Sous-traitant communique, au nom et pour le compte du Responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
3.7. MESURES DE SÉCURITÉ
Le Sous-traitant s’engage à mettre en place dans sa société :
3.8. SORT DES DONNÉES
Au terme de la prestation de services relatifs au traitement de ces données, le Sous-traitant s’engage à mettre à disposition du Responsable de traitement toutes les données à caractère personnel au responsable de traitement.
Une fois détruite, le Sous-traitant doit justifier par écrit de la destruction des données personnelles.
3.9. REGISTRE DES CATÉGORIES D’ACTIVITÉS DE TRAITEMENT
Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant :
- le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
- les catégories de traitements effectués pour le compte du Responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ;
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
3.10. CONFIDENTIALITE
Le Sous-traitant s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat. Il assure également que toutes les personnes autorisées à traiter les données à caractère personnel s’engagent bien à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
3.11. DOCUMENTATION
Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
ARTICLE 4. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-À-VIS DU SOUS-TRAITANT
Le Responsable de traitement s’engage à :
  • fournir au Sous-traitant les données visées à l’Article 2 ;
  • documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
back to top
EN FR DE
x
Free Trial Compatibility Test Contact Us Terms of Service GDPR Privacy Policy GDPR Subcontractor Agreement Cookies Press
626