DEFINITIONS :
Bon de commande (ou Devis) : Désigne le document élaboré par Atsukè et accepté par le Client ou son Représentant, décrivant les Prestations devant être fournies par Atsukè au client dans le cadre du Contrat ainsi que leur prix ou tarif, unitaire ou forfaitaire.
Client : désigne la personne morale liée à Atsukè par un contrat.
Contrat : désigne l’ensemble contractuel composé, par ordre hiérarchique de valeur juridique décroissante, d’un bon de commande, des présentes Conditions Générales et d’éventuelles annexes.
Membre(s) du Client : désigne toute personne ayant fourni des données personnelles directement au Client.
Parties : désigne individuellement ou collectivement Atsukè et le Client.
Prestations : désigne les prestations de services de toute nature et leurs résultats fournis par Atsukè en exécution du Contrat, incluant notamment des services de conseils en informatique ou en marketing interactif.
Représentant : personne physique désignée par le Client dans le Bon de Commande chargée de communiquer avec Atsukè, de donner l'accord du Client pour toute intervention au cours de l'exécution du Contrat, réputée agir au nom et pour le compte et sous la responsabilité du Client.
Délégué à la Protection des Données (DPO): personne physique, désignée par le Responsable de traitement pour ce qui le concerne, et par le Sous-traitant pour ce qui le concerne, dont la mission est de garantir le respect des textes juridiques relatifs à la protection et au traitement des données personnelles.
Donnée(s) Personnelle(s) : toute information permettant d’identifier directement ou indirectement une personne physique.
Personne(s) Concernée(s) : personne à laquelle se rapportent les données qui font l’objet du traitement.
Responsable de traitement : personne physique ou morale qui détermine les finalités et les moyens du traitement des Données Personnelles.
Sous-traitant : personne physique ou morale qui traite des Données Personnelles pour le compte du Responsable de traitement.
Traitement : toute opération ou ensemble d’opérations portant sur des Données Personnelles poursuivant un objectif commun, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
DONNEES PERSONNELLES
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-Traitant s’engage à effectuer pour le compte du Responsable de Traitement les opérations de traitement de données à caractère personnel définies ci-après.Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).Les Parties ont pris connaissance du Règlement et notamment de son article 28 portant sur les obligations mises à la charge de tout sous-traitant intervenant pour le compte d’un responsable de traitement de données à caractère personnel.Dans certain cas le Responsable de Traitement dans le présent contrat sera lui-même sous-traitant initial du responsable de traitement. Atsukè interviendra donc en tant que sous-traitant ultérieur du sous-traitant initial.
I. Description du traitement faisant l’objet de la sous-traitanceLe Sous-Traitant est autorisé à traiter pour le compte du Responsable de Traitement les données à caractère personnel nécessaires à la fournir du serviceLa nature des opérations : enregistrement et conservation des données, transformation et structuration.La finalité du traitement est la Gestion de la Relation Client (GRC).Les données à caractère personnel traitées sont les numéros de téléphone des personnes concernées.Les catégories de personnes concernées sont des personnes physiques clients du responsable de traitement
II. Obligations du Sous-Traitant vis-à-vis du Responsable de TraitementLe Sous-Traitant s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance,2. traiter les données conformément aux instructions du Responsable de Traitement.Si le Sous-Traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de Traitement. En outre, si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable de Traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public,
3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat,4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,- reçoivent la formation nécessaire en matière de protection des données à caractère personnel,
5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut,6. Sous-traitanceLe Sous-Traitant est autorisé à faire appel à MNC SA en Suisse (détenue à 100% par le groupe Atsukè) et son hébergeur Safehost pour mener une partie des activités de traitement.En cas de recrutement d’autres sous-traitants ultérieurs, le Sous-Traitant doit recueillir l’autorisation écrite, préalable et spécifique du Responsable de Traitement.Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de Traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.Une liste exhaustive des sous-traitants ultérieurs de routage SMS utilisés par le Sous-Traitant est disponible à l’URL atsuke.com/suppliers.
7. Droit d’information des personnes concernéesIl appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
8. Exercice des droits des personnesDans la mesure du possible, le Sous-Traitant doit aider le Responsable de Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par tous moyens au Responsable de Traitement.
9. Notification des violations de données à caractère personnelLe Sous-Traitant notifie au Responsable de Traitement toute Violation de Données dans les meilleurs délais après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette Violation à l’autorité de contrôle compétente.
10. Aide du Sous-Traitant dans le cadre du respect par le Responsable de Traitement de ses obligationsLe Sous-Traitant aide raisonnablement le Responsable de Traitement pour la réalisation d’analyses d’impact relative à la protection des données.Le Sous-Traitant aide le Responsable de Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
11. Mesures de sécuritéAu regard de la nature des données et des risques présentés par le traitement, des derniers progrès techniques et des bonnes pratiques de l’industrie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et de la finalité du traitement, le Sous-Traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : a) la pseudonymisation ou le chiffrement des Données lorsque cela est possible et nécessaire, b) les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, c) les moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
12. Sort des donnéesLes supports informatiques, documents et données fournis par le Responsable de Traitement au Sous-Traitant restent la propriété du Responsable de Traitement.Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à : - détruire toutes les données à caractère personnel ou - à renvoyer toutes les données à caractère personnel au Responsable de Traitement ou - à renvoyer les données à caractère personnel au Sous-Traitant désigné par le Responsable de Traitement Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant.
13. Délégué à la protection des donnéesLe Sous-Traitant a nommé un délégué à la protection des données. Il est joignable à : moc.ekusta%40opd
14. Registre des catégories d’activités de traitementLe Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement comprenant :- le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;- les catégories de traitements effectués pour le compte du Responsable du Traitement ;- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : o la pseudonymisation et le chiffrement des données à caractère personnel; o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
15. DocumentationLe Sous-Traitant met à la disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations.
16. Localisation des donnéesLe Sous-Traitant informe le Responsable de Traitement que les données peuvent être hébergées dans des serveurs localisés en Suisse, pays offrant un niveau de protection adéquat selon la CNIL.En cas de modification des pays destinataires par le Sous-Traitant, ce dernier devra en informer préalablement le Responsable de Traitement sans délai et obtenir son consentement écrit. Le cas échéant, le Sous-Traitant devra fournir au responsable de traitement une liste des pays destinataires mise à jour. Les Parties conviennent que les données ne pourront être transférées par le Sous-Traitant qu’à destination de sous-contractants établis dans des pays membres de l’Espace Economique Européen et/ou de pays tiers reconnus par la Commission européenne comme assurant un niveau de protection adéquat.
17. AuditLe Responsable de Traitement se réserve le droit de procéder ou de faire procéder à toute vérification qui lui paraîtrait utile pour constater le respect par le Sous-Traitant de ses obligations au titre du Contrat, notamment par le biais d’un audit.
III. Obligations du Responsable de Traitement vis-à-vis du Sous-TraitantLe Responsable de Traitement s’engage à :1. fournir au Sous-Traitant les données visées au I des présentes clauses,2. documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant,3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-Traitant,4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-Traitant,
Editeur :
Le site est édité par la société Atsukè SAS dont le siège social est situé au 2 rue des Quatre-Fils, 75003 Paris sous le RCS Paris B 538 864 612 Phone +33 1 44 59 41 59
Conformément aux articles 39 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée en 2004 relative à l’informatique, aux fichiers et aux libertés, toute personne peut obtenir communication et, le cas échéant, rectification ou suppression des informations la concernant, en s’adressant à Atsukè, informatique et libertés, 2 rue des Quatre-Fils, 75003 Paris
Directeur de la publication :Damien Bousson