Addenda relatif aux traitements des données personnelles

18 novembre 2020
Accueil » Nos services » Addenda relatif aux traitements des données personnelles
1. Objet
Le présent Addenda relatif au traitement des données à caractère personnel fait partie des CONDITIONS GÉNÉRALES D’UTILISATION SAAS D’EUDONET relatives à l’accès aux Services et/ou de l’utilisation du Logiciel Eudonet.
Les présentes clauses régissent le traitement des données à caractère personnel réalisés par EUDONET comme sous-traitant, au nom de son client (« le Client »), le responsable de traitement, en vue de fournir les services inscrits au contrat conclu entre EUDONET et le Client (« le Contrat »). Le responsable de traitement, en tant qu’administrateur de la Solution, détermine seul les finalités et les moyens de traitement de données à caractère personnel mis en œuvre.
Dans le cadre de leurs relations contractuelles, EUDONET et son Client s’engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 applicable à compter du 25 mai 2018 [ci-après, «Règlement Général sur la Protection des Données (RGPD) »] et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et libertés telle que modifiée par l’Ordonnance n°2018-1125 du 12 décembre 2018.
2. Description de la nature et de la finalité du traitement faisant l’objet de la sous-traitance
EUDONET est autorisé à et mandaté pour sous-traiter les données confiées par le Client dans le cadre des prestations suivantes :
  • Héberger pour le compte de son Client, désigné comme le responsable de traitements, les données à caractère personnel que ce dernier juge utile de collecter, de conserver et de traiter durant la durée du contrat. Cette prestation inclut le déplacement de données d’un support à un autre, la sauvegarde et la restauration des données hébergées
  • Donner accès aux personnes désignées à cet effet par le Client aux fonctionnalités du Logiciel qui permettront, à sa seule initiative et sous la responsabilité entière et exclusive du Client, de les exploiter.
  • Fournir des services de mise en œuvre et de maintenance. Cette prestation inclut sur demande et sous l’entière responsabilité de son Client des imports de données, la réalisation d’interfaces d’import et export de données avec d’autres systèmes du Client, des prises de main à distance, de l’analyse de bases de données, des tests et corrections d’anomalies.
3. Engagements
3.1 EUDONET
EUDONET s’engage à :
  • Ne procéder à des traitements de données à caractère personnel que sur instruction de son Client et s’abstenir de toute utilisation ou traitement des données non conformes aux instructions écrites de son Client ou étrangers à l’exécution du Contrat et en particulier à ne faire aucun usage personnel, y compris commercial, des données à caractère personnel transmises ou collectées auprès de son Client ou à l’occasion de l’exécution du Contrat,
  • Ne conserver les données à caractère personnel traitées, sous une forme permettant l’identification des personnes, que le temps nécessaire à l’exécution du contrat,
  • Communiquer, au plus tard dans un délai de cinq (5) jours ouvrés à compter de la demande de son Client, toutes les informations permettant à son Client de satisfaire à une demande de droit d’accès et de communication aux données à caractère personnel traitées pour son compte par EUDONET émanant de la personne concernée et à informer sans délai son Client de toute demande qui lui serait adressée directement,
  • Tenir un registre des traitements effectués par EUDONET, et à le mettre à disposition de toute autorité de contrôle qui en fait la demande,
  • Ne pas transférer ou autoriser le transfert des données hors de France sauf obligation en vertu du droit de l'Union ou du droit d'un Etat membre auquel EUDONET est soumis. Dans ce cas, EUDONET informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information par une règle impérative ou d’ordre public.
EUDONET prendra toute mesure nécessaire et raisonnable pour préserver et faire respecter l’intégrité et la confidentialité des données à caractère personnel de son Client.
EUDONET s’engage notamment à mettre en place les mesures techniques et organisationnelles permettant d’assurer, compte tenu de l’état des règles de l’art, un niveau de sécurité et de confidentialité approprié au regard des risques présentés par le traitement et la nature des données à caractère personnel traitées.
EUDONET s’engage en particulier à :
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
  • Conserver et traiter les données à caractère personnel de manière séparée de ses propres données ou des données d’autres Clients ou fournisseurs ;
  • Protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé ;
  • Ne rendre accessibles et consultables les données à caractère personnel traitées qu’aux seuls personnels d’EUDONET dûment habilités et autorisées en raison de leurs fonctions et qualité, dans la stricte limite de ce qui leur est nécessaire à l’accomplissement de leurs fonctions et à communiquer à son Client la liste des personnes ainsi habilitées à première demande.
Conformément à l’article 37 du règlement européen sur la protection des données, EUDONET communique au responsable de traitement les coordonnées de son délégué à la protection des données

Alexis PETTE DPO Eudonet joignable à l’adresse dpo@eudonet.com

Les données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale ou réglementaire.
EUDONET mettra en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel. EUDONET veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation légale de confidentialité́, et reçoivent la sensibilisation nécessaire en matière de protection des données à caractère personnel.
EUDONET fait appel aux sous-traitants Link By Net, Ecritel ou Colt Technology Services pour l’hébergement, ce qui est accepté par le Client. EUDONET peut faire appel à un autre sous-traitant ultérieur. Dans ce cas, EUDONET informe préalablement et par écrit le Client, de tout ajout d’un sous-traitant ultérieur en indiquant les opérations de traitement concernées, le nom et les coordonnées du sous-traitant ultérieur pressenti. Le Client disposera d’un délai de quinze (15) jours à compter de la réception d’une information complète pour s’opposer par écrit à une telle décision d’EUDONET. A défaut d’opposition du Client au terme de ce délai, le sous-traitant ultérieur est présumé accepté.
EUDONET s’engage à mettre à la charge de son (ou ses) sous-traitant(s) toutes obligations nécessaires pour que soient respectées la confidentialité, la sécurité et l’intégrité des données, et pour que lesdites données ne puissent être ni cédées ou louées à un tiers à titre gratuit ou non, ni utilisées à d’autres fins que celles définies au présent Contrat et veillera au respect par ledit ou lesdits sous-traitants de leurs obligations.
Dans le respect des lois et règlements, EUDONET devra informer son Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires. Avant tout accès ou communication, EUDONET devra avoir procédé aux vérifications nécessaires quant au bien-fondé de la demande de communication, notamment auprès de son Client.
EUDONET met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par la législation en vigueur, notamment pour la réalisation d’audits, des inspections, et de contrôles des organismes compétents.
3.2 Le Client
Le Client reconnait être le propriétaire de l’intégralité des informations constitutives de données à caractère personnel sous-traitées par EUDONET. A ce titre, le Client s’engage à garantir la licéité des données à caractère personnel qu’il transmet à EUDONET. EUDONET ne peut être tenu responsable en cas de non-conformité des données visées au Règlement Général sur la Protection des Données ou à l’ordre public.
Le Client s’engage à ce que les données à caractère personnel soient collectées et traitées de manière adéquate, pertinente et limitée au regard des finalités déterminées, explicites et légitimes. Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Il appartient au Client que les personnes autorisées à traiter les données à caractère personnel reçoivent la formation nécessaire en matière de protection de ces données.
EUDONET attire la vigilance du Client concernant, notamment, sa responsabilité lors de l’établissement de requêtes, le contenu des zones de commentaires ainsi que lors de la purge des données. En cas de déclaration d’un incident, le Client s’engage à ce que les données à caractère personnel transmises, et notamment, les pièces-jointes soient strictement nécessaires à la résolution de l’incident.
Le Client tient un registre de toutes les opérations de traitement qu’il effectue. Ce registre contient au moins les informations obligatoires requises par la réglementation. Le Client s’engage à mettre ce registre à la disposition de toute autorité de contrôle qui en fait la demande.
Le Client s’engage à collaborer avec EUDONET afin de lui permettre d’exécuter pleinement ses obligations relatives à l’article 28 du Règlement Général sur la Protection des Données et ce notamment en cas de manipulation illégale, d’incidents relatifs à la sécurité ou à la violation des droits des personnes concernées.
4. Notification des violations de données à caractère personnel
EUDONET notifie uniquement au Client par courrier électronique avec accusé de lecture, toute violation de données à caractère personnel au sens du Règlement Général sur la Protection des Données, dans les 72 heures après en avoir pris connaissance. Cette notification s’effectue auprès de la personne identifiée dans le Contrat, et notamment, le délégué à la protection des données (DPD). En l’absence d’exactitude des coordonnés ou en cas de changement de coordonnées non notifié à EUDONET, ce dernier ne peut être tenu responsable. Dans pareil cas, EUDONET s’engage à mettre en œuvre les moyens nécessaires pour contacter le Client, sans être tenu à une obligation de résultat.
EUDONET s’engage à documenter, dans les meilleurs délais, cette notification par courrier électronique, afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle. La documentation contient, dans la mesure du possible, les mentions exigibles de l’article 33.3 du Règlement Général sur la Protection des Données. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
EUDONET peut prendre, en cas d’urgence avérée, des mesures correctives, et notamment la suspension du service d’hébergement afin de mettre fin à la violation et à ses éventuelles conséquences sans préjudices sur les contrats conclus antérieurement et/ou postérieurement concernant le Service.
En application de l’article 28.3.f) du Règlement Général sur la Protection des Données, EUDONET, via ses produits et son service support, peut apporter une aide et un conseil pour aider le Client à garantir le respect des obligations prévues aux articles 32 à 36. Ces prestations peuvent faire l’objet d’une tarification.