Accord de Traitement de Données
1 INTRODUCTION
2 DEFINTIONS
3 OBJECTIF DE L’ACCORD DE
TRAITEMENT DES DONNEES
4 TRAITEMENT DES DONNEES
4.1 Présentation Générale
4.2 Étendue et but du Traitement
des Données
4.3 Catégories de Données à
caractère Personnel et
Personnes Concernées
4.4 Types d’activité de Traitement
5 OBLIGATIONS DES PARTIES
5.1 Obligations générales du
Prestataire
5.2 Obligations générales du
Client
6 PERSONNEL DU PRESTATAIRE
6.1 Qualification du personnel
6.2 Non-subordination du
personnel
7 CONFIDENTIALITE
8 SECURITE
8.1.1 Contrôle d'accès physique
8.1.2 Contrôle de la confidentialité
des Données à caractère
personnel
8.1.3 Contrôle de la disponibilité
des Données à caractère
personnel
8.1.4 Contrôle du travail des Sous
traitant
8.1.5 Formation et sensibilisation
9 AIDE ET CONSEIL DANS LE
CADRE DU RESPECT PAR LE
CLIENT DE SES OBLIGATIONS
10 RESPECT DES DROITS DES
PERSONNES CONCERNEES
11 NOTIFICATION DE VIOLATION
DE DONNEES A CARACTERE
PERSONNEL
12 TRANSFERT DE DONNEES A
CARACTERE PERSONNEL EN
DEHORS DE L’UNION
EUROPEENNE
13 SOUS-TRAITANTS
13.1 Utilisation des Sous
traitants
13.2 Choix des Sous-traitants
14 VERIFICATIONS DE
CONFORMITE
15 PROPRIETE DES DONNEES
16 LIMITES DE RESPONSABILITE
17 NOTIFICATIONS ET
AMENDEMENTS
18 DUREE
19 TENUE DU REGISTRE DES
ACTIVITES DE TRAITEMENT
20 RESILIATION DE L’ACCORD DE
TRAITEMENT DE DONNEES
21 DROIT APPLICABLE ET
JURIDICTION COMPETENTE
1 INTRODUCTION
MEDIASFLOW attache une importance toute particulière à la sécurité et la confidentialité des Données Personnelles que vous nous confiez pour l'envoi de Messages, principalement et sans limitations par SMS, SMS enrichi, MMS, Message vocal, E-mail, Messageries instantanée, Chatbot et Télécopies. MEDIASFLOW met tout en œuvre pour garantir la protection et la confidentialité des Données Personnelles conformément à la législation en vigueur, notamment le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 Mai 2018 et la loi « Informatique et libertés » n°78-17 du 6 janvier 1978.
Cet Accord a pour objectif de définir les conditions dans lesquelles MEDIASFLOW s’engage en sa qualité de Prestataire à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel.
Dans ce cadre, MEDIASFLOW agit en tant que Prestataire, c’est-à-dire pour le compte et à la demande de notre Client (le Responsable des traitements) afin d'envoyer les Messages. MEDIASFLOW utilise les Données à caractère personnel dans le seul but de fournir des Services au Client, conformément au Contrat et aux instructions formulées par le Client.
Pour connaître la politique de traitement des données de MEDIASFLOW dans le cadre de notre relation commerciale (vos nom, prénom, coordonnées, mot de passe d'accès, etc...), rendez-vous sur notre page Charte de confidentialité.
Ce document constitue l’Accord de Traitement des Données entre les Parties et fait partie intégrante du Contrat.
2 DEFINITIONS
-
« Client » : désigne toute personne physique ou morale utilisant les Services de MEDIASFLOW, soit directement pour ses propres besoins, soit en tant que Partenaire revendeur (voir définition dans les Conditions Générales) pour ses propres besoins, soit en tant que Client du Partenaire (voir définition dans les Conditions Générales).
-
« Destinataire » : désigne toute Personne concernée, désignée par le Client et à laquelle est envoyé un Message.
-
« Contrat » : désigne l’ensemble contractuel juridiquement indivisible formé par les Conditions Générales, le Contrat client et l’Accord de Traitement des données.
-
« Responsable du traitement » : désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
-
« Données » : désigne tous types d’informations et/ou données auxquelles le Prestataire peut avoir accès dans le cadre des relations contractuelles, quel que soit le format ou le support, qu’il s’agisse de données personnelles (définies ci-après) ou non (ex : données financières, opérateurs, clients, prestataires, stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables…).
-
« Données à caractère personnel » ou « Données Personnelles » : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
-
« Données sensibles » : désigne les catégories particulières de données dont le traitement est par principe interdit. Il s’agit des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
-
« Personne concernée » : désigne une personne physique identifiable.
-
« Prestataire » : désigne l’organisation qui traite des Données pour le compte d’un Responsable du traitement. Les activités de traitement sont régies par un Accord de traitement des données (ATD) conclu entre le Responsable du traitement et le Prestataire. Dans le cadre du présent document, MEDIASFLOW est le Prestataire, SAS par actions simplifiée immatriculée au RCS de Paris sous le numéro 883 026 114 dont le siège social est sis 11, rue Marcel Renault – 75017 Paris.
-
« Sous-traitant » : désigne tout organisme auquel fait appel le Prestataire pour réaliser le Service dans le cadre de l’exécution du Contrat.
-
« Traitement de Données à caractère personnel » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
-
« Violation données à caractère personnel » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès ou à la destruction, la perte, l’altération, la divulgation non autorisée d’informations personnelles, transmises, stockées ou traitées.
3 OBJECTIF DE L’ACCORD DE TRAITEMENT DES DONNEES
L’objectif de l’Accord de traitement des données est d’encadrer les droits et obligations en vertu de la législation applicable à la protection des données concernant le traitement de Données à caractère Personnel par MEDIASFLOW pour le compte du Responsable du traitement.
4 TRAITEMENT DES DONNEES
4.1 Présentation Générale
Le Responsable du traitement détermine les finalités et les moyens du traitement des Données à caractère Personnel. Le Prestataire est autorisé à traiter, pour le compte du Responsable du traitement, les Données qui lui sont transmises dans le cadre de l’exécution du Service suivant les instructions écrites ou informatisées de ce dernier. Le Prestataire s’engage à respecter strictement lesdites instructions et conformément au présent accord, sauf dispositions contraires de la règlementation applicable.
4.2 Étendue et but du Traitement des Données
L’Accord de traitement des données concerne le traitement des Données à caractère Personnel pour le compte du Responsable du traitement dans le cadre de l’exécution du Contrat. La nature et la finalité du traitement des données, y compris les opérations et les activités de traitement de base, sont destinées à fournir les Services décrits dans le Contrat.
4.3 Catégories de Données à caractère Personnel et Personnes Concernées
Le traitement implique le traitement de Données à caractère Personnel se rapportant aux Destinataires du Responsable du traitement (clients, prospects, adhérents, administrés, employés, etc…) en fonction des Services requis par le ce dernier.
Le traitement informatique porte sur les catégories de Données à caractère Personnel suivantes, sous réserve de l'utilisation concrète de ces Services par le Responsable du traitement :
• Données à caractère Personnel de base : (prénom, nom, etc.), les coordonnées (numéro de téléphone mobile, numéros de téléphone fixe, e-mail, numéro de télécopies, etc.).
• Données de localisation : notamment des données GPS, de localisation Wi-Fi et des données de localisation issues du réseau du Prestataire (autres que des données relatives au trafic, définies ci-dessous).
• Données relatives au trafic : Données à caractère personnel qui sont traitées en rapport avec la transmission d’une communication sur un réseau de communications électronique ou en lien avec sa facturation.
• Données de suivi de Campagne : Données liées à la réception ou non réception des Messages et aux actions effectuées suite à la réception de ces Messages (ouvertures, clics, désabonnement, inscription, navigation).
• Données relatives au contenu de la communication, tels que les Messages envoyés, principalement et sans limitations par SMS, SMS enrichi, MMS, Message vocal, E-mail, Messageries instantanée, Chatbot et Télécopies …
4.4 Types d’activité de Traitement
Le traitement effectué par MEDIASFLOW pour le compte du Responsable du traitement est encadré par l’Accord de traitement des données. MEDIASFLOW utilise les Données à caractère personnel dans le seul but de fournir des Services au Client, conformément à l’Accord de traitement des données et aux instructions formulées par le Responsable du traitement.
Exemples d’activités de traitement réalisé par MEDIASFLOW :
• Envoyer des Messages, principalement et sans limitations par SMS, SMS enrichi, MMS, Message vocal, E-mail, Messageries instantanée, Chatbot et Télécopies de la part de notre Client vers le Destinataire (la Personne concernée). A la demande du Client, ces Messages peuvent être personnalisées avec les Données fournies par le Client.
• Héberger des pages web, notamment pour les Campagnes de Rich SMS / SMS enrichi et Email. A la demande du Client, ces pages web peuvent être personnalisées avec les Données fournies par le Client.
• Héberger des formulaires d’inscriptions en ligne. A la demande du Client, ces formulaires peuvent être personnalisées avec les Données fournies par le Client.
• Produire des rapports de Campagnes et statistiques, sommaires ou détaillées, relatifs à l’envoi et/ou la consultation des Messages envoyés.
• Contrôler et monitorer le trafic pour assurer la bonne livraison des Messages et la stabilité du système.
• Enrichir les Données Personnelles avec des données provenant de sources tierces (par exemple, des données démographiques et économiques provenant de sources accessibles au public) avant l'anonymisation et la segmentation pour une analyse à des fins de marketing et de reporting.
• Gérer les consentements des Personnes concernées.
5 OBLIGATIONS GENERALES DES PARTIES
5.1 Obligations générales du Prestataire :
De manière générale, le Prestataire s’engage à :
• Traiter les données uniquement pour la ou les seule(s) finalités qui fait/font l’objet de la sous-traitance ;
• Traiter les données conformément aux instructions écrites ou informatisées du client ;
• Garantir la confidentialité des Données à caractère personnel traitées dans le cadre du présent document ;
• Veiller à ce que les personnes autorisées à traiter les données à caractère personnel :
o S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
o Reçoivent la formation nécessaire en matière de protection des Données à caractère personnel ;
• Prendre en compte, s’agissant des outils, produits, applications ou services, les principes de protection des Données dès la conception et la protection des Données par défaut ;
• Collaborer de bonne foi, notamment en communiquant au Client tous les documents, renseignements et informations nécessaires ou demandés pour permettre au Client de s’assurer de la conformité des traitements sous-traités ;
• Désigner un interlocuteur privilégié chargé de représenter le Prestataire. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission.
5.2 Obligations générales du Client :
De manière générale, le Client, en sa qualité de Responsable du Traitement, s’engage à :
• Fournir au Prestataire les Données visées dans le présent document ;
• Documenter par écrit toute instruction concernant le traitement des données par le Prestataire. ;
• Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données et notamment :
o De s’assurer qu’une base légale valide pour le traitement existe lors du transfert des Données au Prestataire ;
o De recueillir le consentement libre, éclairé, spécifique, explicité et dénué de toute ambiguïté de la part des personnes dont les données sont traitées ;
• Ne pas fournir au Prestataire plus de Données que nécessaire au traitement et à l’exécution du Service ;
• Superviser le traitement, y compris réaliser les audits et les inspections auprès du Prestataire ;
• Fournir, à la première demande du Prestataire, tous les documents justifiant la validité du traitement ;
• Désigner un interlocuteur privilégié, chargé de représenter le Client. Cet interlocuteur privilégié devra être doté de l’expérience, de la compétence, de l’autorité et des moyens nécessaires à l’exercice de sa mission ;
• Si le Responsable du traitement donne des instructions directement à un Sous-traitant nommé conformément à l'article 12 et 13, il devra en informer immédiatement MEDIASFLOW. MEDIASFLOW ne pourra en aucun cas être tenu responsable de tout traitement effectuée par le Sous-traitant à la suite d’instructions reçues directement du Responsable du traitement, ces instructions constituant une violation de cet Accord de traitement des données ou de la Législation sur la Protection des Données.
6 PERSONNEL DU PRESTATAIRE
6.1 Qualification du personnel
Le Prestataire affectera à la réalisation des Services des équipes suffisantes et qualifiées disposant des compétences techniques et/ou fonctionnelles nécessaires à la fourniture des Services. Ces équipes devront être formées à la réglementation en matière de protection des données à caractère personnel.
Le Prestataire reconnaît que la pérennité et la stabilité de ses équipes sont déterminantes pour la bonne fin des Services. Le Prestataire s'engage à maintenir les membres clés de ses équipes pendant toute la durée d'exécution des Services, sauf en cas de maladie, d'incapacité temporaire ou de démission des intéressés. Le Prestataire s'assurera du transfert du savoir-faire entre la personne remplacée et son remplaçant.
6.2 Non-subordination du personnel
Il est ici précisé que les personnels du Prestataire ne seront en aucune manière liés à Client, par un quelconque lien de subordination. La seule personne habilitée à prendre des mesures d'ordre disciplinaire, d'organisation de travail et d'une manière générale, à régler tous problèmes relatifs à la gestion du personnel, est le Prestataire. Ainsi, le personnel du Prestataire demeure placé sous la seule autorité, direction et surveillance du Prestataire qui s’assure en sa qualité d’employeur de la gestion administrative, comptable et sociale de ses salariés et du respect par ceux-ci des règles et consignes en matière d’hygiène et sécurité.
7 CONFIDENTIALITE
MEDIASFLOW, ses Sous-traitants, et toutes autres personnes sous l'autorité de MEDIASFLOW ayant accès aux Données à caractère Personnel, sont soumis à un devoir de confidentialité et doivent observer le secret professionnel sur le traitement des Données à caractère Personnel et les documents sur la sécurité. MEDIASFLOW devra s'assurer que tout Sous-traitant, ou toute autre personne sous son autorité, est soumise à une cette obligation de confidentialité.
Le Responsable du traitement est soumis à une obligation de confidentialité concernant toutes documentations et informations fournies par MEDIASFLOW, relatives aux mesures de sécurité techniques et organisationnelles mises en œuvre par MEDIASFLOW et ses Sous-traitants, ou aux informations que MEDIASFLOW souhaite garder confidentielles.
Les obligations de confidentialité continuent à s'appliquer également après l'expiration de l’Accord de Traitement des Données.
8 SECURITE
MEDIASFLOW devra évaluer le niveau approprié de sécurité et prendre en compte les risques liés aux Traitement des données à caractère personnel, y compris le risque de destruction accidentelle ou illicite, la perte, l'altération et la divulgation non autorisée des données qui lui sont confiées.
Toutes les transmissions de Données à caractère personnel entre MEDIASFLOW et le Responsable du traitement ou entre MEDIASFLOW et un tiers devront respecter un niveau de sécurité suffisant, ou le niveau convenu entre les Parties.
Dans cette rubrique, nous abordons de façon générale les mesures techniques et organisationnelles à prendre par MEDIASFLOW afin d'assurer un niveau de sécurité approprié.
Lorsque MEDIASFLOW aura accès à ces informations, il devra fournir au Responsable du traitement une description générale de ses Sous-traitants et les mesures techniques et organisationnelles mises en œuvre pour assurer un niveau de sécurité approprié.
8.1 Mesures techniques et organisationnelles
8.1.1 Contrôle d'accès physiqueMEDIASFLOW devra prendre les mesures nécessaires pour empêcher l'accès physique non autorisé aux installations hébergeant les Données à caractère personnel du Responsable du traitement. Ces mesures pourront inclure :
• Procédure et/ou systèmes de contrôle d'accès physique.
• Locaux fermant à clé ou toutes mesures de contrôle d'accès électronique.
• Système d'alarme, vidéo/moniteur de vidéosurveillance ou autres équipements de surveillance.
• Enregistrement des entrées/sorties des installations.
• ID, clés ou autres exigences pour l’accès.
• Accès avec mot de passe aux serveurs, avec exigences de nombre de caractères minimum, caractères spéciaux, chiffres et lettres.
• Changement fréquent du mot de passe.
• Accès aux systèmes soumis à l'approbation de la Direction techniques, IT ou RH.
• Refus d’accès aux systèmes pour les utilisateurs invités exceptionnellement ou les comptes anonymes.
• Gestion centralisée des systèmes d’accès.
• Verrouillage manuel lorsque les postes de travail sont laissés sans surveillance, et blocage automatique dans un délai court.
• Restrictions de l'utilisation de supports amovibles comme clés USB, CD/DVD ou disques durs portables.
• Journal d’accès des utilisateurs automatisé dans les systèmes IT.
8.1.2 Contrôle de la confidentialité des Données à caractère personnel
MEDIASFLOW prendra les mesures appropriées pour empêcher tout accès non autorisé, modification ou suppression de Données à caractère Personnel lors du transfert des Données à caractère personnel. Ces mesures devront inclure :
• Utilisation de méthodes de chiffrement récentes pour tous les transferts électroniques de Données Personnelles.
• Cryptage à l'aide d'un réseau privé virtuel (VPN) ou HTTPS pour l'accès distant et le transport et de communication des Données à caractère Personnel.
8.1.3 Contrôle de la disponibilité des Données à caractère personnel
MEDIASFLOW prendra les mesures appropriées pour garantir la protection des Données à caractère personnel contre une perte ou une destruction accidentelle. Ces mesures devront inclure :
• Sauvegardes régulières des Données à caractère personnel.
• Stockage à distance.
• Utilisation de moyens de protection anti-virus/pare-feu.
• Surveillance des systèmes pour détection des virus.
• L’assurance que les systèmes peuvent être restaurés en cas d'interruption.
• Onduleur.
• Procédures de reprise.
8.1.4 Contrôle du travail des Sous-traitant
MEDIASFLOW devra mettre en œuvre des mesures permettant qu’en cas de demande de Traitement de Données à caractère personnel auprès d’un Sous-traitant, celles-ci soient effectuées en conformité avec les instructions du Responsable du traitement. Ces mesures devront inclure :
• Des instructions formulées sans ambiguïtés.
• Un suivi de l'exécution du Contrat.
8.1.5 Formation et sensibilisation
MEDIASFLOW devra s'assurer que tous les employés sont au courant des procédures de sécurité et de confidentialité, en prenant les mesures suivantes :
• Contrats de travail ou charte incluant des règles claires de confidentialité, de sécurité et de respect des procédures internes
• Formation sur les impératifs de confidentialité et de sécurité liés au Traitement de Données à caractère personnel
9 AIDE ET CONSEIL DANS LE CADRE DU RESPECT PAR LE CLIENT DE SES OBLIGATIONS
Le Prestataire s’engage, sur la durée du contrat, à avoir un Délégué à la protection des données (DPD ou DPO) chargé de toutes questions relatives au traitement des données à caractère personnel. Le Délégué à la protection des données de MEDIASFLOW est joignable par courriel à l’adresse suivante : dpo@mediasflow.com
Le Prestataire aide le Client pour la réalisation d’analyses d’impact relative à la protection des données.
Le Prestataire aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.
Une participation financière pourra être demandée au Client pour le temps passé à la réalisation de l’analyse d’impact et/ou la réalisation de la consultation préalable de l’autorité de contrôle.
10 RESPECT DES DROITS DES PERSONNES CONCERNEES
Il appartient au Client, en qualité de Responsable du traitement, de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Si MEDIASFLOW ou un de ses Sous-traitant, reçoit une requête d'une personne concernée relative au traitement des Données à caractère Personnel, MEDIASFLOW transmettra cette demande au Responsable du traitement, qui devra la gérer, sauf dispositions contraires dans la réglementation ou dans les instructions du Responsable du traitement.
MEDIASFLOW devra aider le Responsable du traitement à remplir ses obligations de répondre aux demandes des Personnes Concernées d'exercer leurs droits suivants :
• Avoir accès à ses Données à caractère Personnel.
• Rectifier ses Données à caractère Personnel inexactes.
• Effacer ses Données à caractère Personnel.
• Restreindre ou s’opposer au traitement de ses Données à caractère Personnel.
• Recevoir ses Données à caractère Personnel sous un format structuré.
• Demander la portabilité de ses données à caractère personnel.
Sauf accord contraire, MEDIASFLOW sera rémunéré pour cette assistance.
11 NOTIFICATION DE VIOLATION DE DONNEES A CARACTERE PERSONNEL
MEDIASFLOW devra aviser le Responsable du traitement dans les meilleurs délais et au plus tard dans les 72h après avoir pris connaissance d'une infraction liée au traitement des Données à caractère Personnel ("Violation de Données à caractère Personnel"). Cette notification sera accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle ou de surveillance compétente.
La notification du Responsable du traitement pourra préciser :
• La nature de la violation des Données à caractère Personnel.
• Les catégories et le nombre approximatif de personnes concernées.
• Les catégories et le nombre approximatif de fichiers concernés.
• Les conséquences probables de la violation de Données à caractère personnel.
• Les mesures prises ou proposées par MEDIASFLOW pour remédier à la violation des Données à caractère personnel, et le cas échéant, des mesures à prendre pour en atténuer les conséquences négatives.
Dans le cas où le Responsable du traitement est tenu de communiquer une violation de Données à caractère Personnel aux Personnes concernées, MEDIASFLOW devra aider ce dernier, et fournira, si elles sont disponibles, les informations permettant de contacter les Personnes concernées. Le Responsable du traitement prendra en charge tous les frais éventuels liés à cette communication aux Personnes concernées.
12 TRANSFERT DE DONNEES A CARACTERE PERSONNEL EN DEHORS DE L’UNION EUROPEENNE
Le transfert de Données à caractère Personnel ou l'accès aux Données à caractère Personnel en provenance de pays situés à l'extérieur de l'UE/EEE ("Pays Tiers") ne peut avoir lieu qu'avec l'accord écrit préalable du Responsable du traitement. Il est sujet aux clauses contractuelles européenne standard entre le Responsable du traitement et l'entreprise concernée, ou sur d'autres bases légales pour un tel transfert ou divulgation.
MEDIASFLOW devra fournir au Responsable du traitement une aide ainsi que les documents nécessaires raisonnables pour qu’il évalue de façon indépendante les risques en ce qui concerne le transfert de Données à caractère Personnel vers un pays tiers.
13 SOUS-TRAITANTS
13.1 Utilisation des Sous-traitants
Le Responsable du traitement convient que MEDIASFLOW peut désigner un ou des Sous-traitant(s) pour l'aider à fournir les Services et à traiter les Données à Caractère personnel en vertu du Contrat. MEDIASFLOW devra s’assurer que :
• Les obligations en matière de protection des données énoncées dans le présent Accord de Traitement et dans la législation sur la protection des données sont imposées à tous les Sous-traitants par un accord écrit.
• Tout Sous-traitant offre des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées pour se conformer à la législation sur la protection des données et au présent Accord de traitement.
13.2 Choix des Sous-traitants
MEDIASFLOW tient à jour une liste de tous les Sous-traitants utilisés pour le Traitement des données personnelles pour le compte du Responsable du traitement. Cette liste est disponible sur simple demande auprès de votre contact habituel chez MEDIASFLOW.
Cette liste indiquera les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant.
MEDIASFLOW met à jour cette liste pour tenir compte de tout ajout ou remplacement de Sous-traitants et informe le Responsable du traitement au moins quinze jours avant la date à laquelle ce sous-traitant doit commencer le Traitement des données personnelles. Toute objection à ces changements doit être fournie à MEDIASFLOW dans les 3 semaines suivant la réception d'une telle notification ou publication sur le site Web. En cas d'objection de la part du Responsable du traitement quant au complément ou au changement d'un Sous-traitant, MEDIASFLOW peut résilier le Contrat et le présent Accord de traitement avec un préavis d'un mois.
En concluant cet Accord de Traitement, le Responsable du traitement confère à MEDIASFLOW le pouvoir d'entrer dans les clauses contractuelles standard de l'UE pour son compte ou de garantir une autre base légale pour le Transfert vers des Pays Tiers pour tout Sous-traitant approuvé conformément à la procédure stipulée ci-dessus. Sur demande, MEDIASFLOW fournira au Responsable du traitement une copie des clauses contractuelles types de l'UE ou une description de cette autre base juridique pour le transfert.
MEDIASFLOW fournira une assistance et une documentation raisonnable à utiliser dans l'évaluation indépendante des risques du Responsable du traitement en ce qui concerne l'utilisation des sous-traitants ou le transfert de Données Personnelles vers un pays tiers.
14 VERIFICATIONS DE CONFORMITE
MEDIASFLOW devra fournir au Responsable du traitement toutes les informations nécessaires pour démontrer sa conformité vis-à-vis de ses obligations contractuelles et réglementaires sur la protection des données.
En vertu de la législation sur la protection des données, le Responsable du traitement, l'autorité de surveillance, ou un vérificateur externe nommé par le Responsable du traitement sont habilités à effectuer des vérifications, y compris des inspections sur place. Le Responsable du traitement ou le vérificateur externe n'aura pas accès aux informations concernant d'autres Clients de MEDIASFLOW et aux informations soumises à des obligations de confidentialité.
Le Responsable du traitement est autorisé à procéder à ces vérifications une fois par an. Il devra prendre en charge le coût des vérifications qu’il a demandé, y compris une indemnisation de MEDIASFLOW pour le temps passé par lui-même et ses employés pour des vérifications sur place.
15 PROPRIETE DES DONNEES
Le Client en sa qualité de Responsable de traitement demeure seul propriétaire des données confiées au Prestataire. Le Prestataire ne pourra revendiquer aucun droit sur ces données.
16 LIMITES DE RESPONSABILITE
Dans l’hypothèse où la responsabilité d’une des parties venait à être engagée il est précisé que :
• Seuls les dommages matériels directs seront susceptibles de donner lieu à réparation.
• Constituent des dommages indirects ne donnant pas droit à réparation, les pertes de bénéfice, pertes de chiffre d’affaires, pertes d’exploitation, pertes de profit, pertes de revenu, pertes de clientèle, préjudice commercial, économique et autres, frais financiers, destruction de données, atteinte à l’image de marque, etc …
Aucune des parties ne pourra être tenue responsable par l'autre partie pour :
• Les erreurs ou retards échappant au contrôle de la partie en défaut, y compris les retards internet, du réseau, les pannes de courant ou de toutes machines.
• Les erreurs causées par les systèmes ou les actions de l'autre partie, la négligence ou omission imputables à cette partie seule.
La responsabilité maximale et totale de MEDIASFLOW envers le Client ne pourra en aucun cas dépasser un montant égal au total des montants payés pour les Services couverts par le Contrat au cours des douze (12) mois précédant l'événement engageant la responsabilité. Lorsque le Partenaire revendeur propose le Service à ses propres clients (Clients du Partenaire), le total des montants payés au cours des 12 derniers mois s’entend Client du Partenaire par Client du Partenaire.
Les limitations ci-dessus ne s’appliquent pas aux dommages attribuables à la fraude ou une faute intentionnelle.
17 NOTIFICATIONS ET AMENDEMENTS
Toutes les notifications relatives à l’Accord de traitement des données doivent être faites par écrit à l'adresse e-mail indiquée en première page de cet Accord.
En cas de changement de la législation sur la protection des données, d'évolution de la jurisprudence, du consensus des experts ou d'autres sources faisant autorité affectant l'interprétation de la Législation sur la protection des données, ou des Services fournis aux termes de cet Accord de traitement, les parties devront coopérer de bonne foi et modifier en conséquence l’Accord de traitement des données.
18 DUREE
Cet Accord de traitement des données s’applique à compter de sa signature et restera en vigueur durant toute la durée de la relation contractuelle unissant le Prestataire au Responsable de traitement.
19 TENUE DU REGISTRE DES ACTIVITES DE TRAITEMENT
Le Prestataire déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte des responsables de traitement pour lesquels il agit (dont fait partie le Client) comprenant :
● le nom et les coordonnées du Responsable de traitement pour le compte duquel elle agit, des éventuels sous-traitants et, le cas échéant, du ou des délégués à la protection des données qui seront désignés par ces derniers;
● les catégories de traitements effectués pour le compte du Responsable de traitement ;
●le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
● dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles ;
Le Prestataire met à la disposition du Client la fiche d’activité du registre correspondant au traitement réalisé pour le compte du Client. Il en est de même pour la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
20 RESILIATION DE L’ACCORD DE TRAITEMENT DE DONNEES
En cas de violation de l’Accord de traitement des données ou de la législation sur la protection des données par MEDIASFLOW, le Responsable du traitement peut :
• Demander à MEDIASFLOW d'arrêter immédiatement le traitement de Données à caractère Personnel.
et/ou
• Résilier l’Accord de traitement des données avec effet immédiat.
Dès la résiliation de l’Accord de traitement des données et suivant les instructions du Responsable du traitement, MEDIASFLOW devra supprimer ou lui renvoyer toutes les Données à caractère personnel, y compris les copies de sauvegarde, sauf dispositions contraires de la législation applicable.
21 DROIT APPLICABLE ET JURIDICTION COMPETENTE
Le contrat est soumis au droit français. A défaut d'accord amiable, en cas de contestation résultant de l’interprétation ou de l'exécution du contrat, la seule juridiction reconnue et acceptée de part et d'autre est celle du tribunal de commerce de Paris. Cette disposition est applicable même en cas de demande incidente, d'appel en garantie ou en cas de pluralité de défendeurs.