Addenda relatif aux traitements des données personnelles

18 mai 2018

1. Objet
Le présent Addenda relatif au traitement des données à caractère personnel fait partie des CONDITIONS GÉNÉRALES D’UTILISATION SAAS D’EUDONET relatives à l’accès aux Services et/ou de l’utilisation du Logiciel Eudonet.
Les présentes clauses régissent le traitement des données à caractère personnel réalisés par Eudonet comme sous-traitant, au nom de son client (« le Client »), le responsable de traitement, en vue de fournir les services inscrits au contrat conclu entre Eudonet et le Client (« le Contrat »).
Dans le cadre de leurs relations contractuelles, Eudonet et son Client s’engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 applicable à compter du 25 mai 2018 [ci-après, «Règlement Général sur la Protection des Données (RGPD) »] et la loi dite « CNIL-3 » à compter de sa promulgation.
2. Description du traitement faisant l’objet de la sous-traitance
Eudonet est autorisé à et mandaté pour :

  • Héberger pour le compte de son Client, désigné comme le responsable de traitements, les données à caractère personnel que ce dernier juge utile de collecter, de conserver et de traiter durant la durée du contrat,
  • Donner accès aux personnes désignées à cet effet par le Client aux fonctionnalités du Logiciel qui permettront, à sa seule initiative et sous la responsabilité entière et exclusive du Client, de les exploiter.

3. Engagements
EUDONET s’engage à :

  • Ne procéder à des traitements de données à caractère personnel que sur instruction de son Client et s’abstenir de toute utilisation ou traitement des données non conformes aux instructions écrites de son Client ou étrangers à l’exécution du Contrat et en particulier à ne faire aucun usage personnel, y compris commercial, des données à caractère personnel transmises ou collectées auprès de son Client ou à l’occasion de l’exécution du Contrat,
  • Ne conserver les données à caractère personnel traitées, sous une forme permettant l’identification des personnes, que le temps nécessaire à l’exécution du contrat,
  • Communiquer, au plus tard dans un délai de cinq (5) jours ouvrés à compter de la demande de son Client, toutes les informations permettant à son Client de satisfaire à une demande de droit d’accès et de communication aux données à caractère personnel traitées pour son compte par EUDONET émanant de la personne concernée et à informer sans délai son Client de toute demande qui lui serait adressée directement.

EUDONET prendra toute mesure nécessaire et raisonnable pour préserver et faire respecter l’intégrité et la confidentialité des données à caractère personnel de son Client.
EUDONET s’engage notamment à mettre en place les mesures techniques et organisationnelles permettant d’assurer, compte tenu de l’état des règles de l’art, un niveau de sécurité et de confidentialité approprié au regard des risques présentés par le traitement et la nature des données à caractère personnel traitées.
EUDONET s’engage en particulier à :

  • Conserver et traiter les données à caractère personnel de manière séparée de ses propres données ou des données d’autres Clients ou fournisseurs ;
  • Protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé ;
  • Ne rendre accessibles et consultables les données à caractère personnel traitées qu’aux seuls personnels d’Eudonet dûment habilités et autorisées en raison de leurs fonctions et qualité, dans la stricte limite de ce qui leur est nécessaire à l’accomplissement de leurs fonctions et à communiquer à son Client la liste des personnes ainsi habilitées à première demande.

Les données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale ou réglementaire.
EUDONET mettra en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel.
A cet effet, EUDONET s’engage à mettre à la charge de son (ou ses) sous-traitant(s) toutes obligations nécessaires pour que soient respectées la confidentialité, la sécurité et l’intégrité des données, et pour que lesdites données ne puissent être ni cédées ou louées à un tiers à titre gratuit ou non, ni utilisées à d’autres fins que celles définies au présent Contrat et veillera au respect par ledit ou lesdits sous-traitants de leurs obligations.
Dans le respect des lois et règlements, EUDONET devra informer son Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires. Avant tout accès ou communication, EUDONET devra avoir procédé aux vérifications nécessaires quant au bien-fondé de la demande de communication, notamment auprès de son Client.
Au terme du Contrat, EUDONET s’engage à restituer ou à détruire, selon les instructions de son Client, l’ensemble des données à caractère personnel traitées pour le compte de son Client de manière automatisée ou manuelle. EUDONET devra, également, restituer toutes les données, dossiers ou fichiers manuels détenus.
Le Client se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect de ces obligations.