Accord de traitement des données
Clauses Contractuelles Types EEE (SCC) : SCC (cliquez ici)
Le présent Accord de traitement des données (« Accord ») constitue un contrat juridiquement contraignant entre vous et Zenevo SRL (Roumanie). Il s'applique lorsque Zenevo SRL traite des Données Personnelles Client pour votre compte, lorsque vous agissez en tant que Responsable du traitement.
CONSIDÉRANT QUE :
(A) La Société agit en qualité de Responsable du traitement.
(B) La Société souhaite sous-traiter certains Services impliquant le traitement de données personnelles.
(C) Les Parties entendent mettre en œuvre un accord conforme au cadre juridique applicable en matière de protection des données, y compris le Règlement (UE) 2016/679 (RGPD).
(D) Les Parties souhaitent définir leurs droits et obligations.
IL EST CONVENU CE QUI SUIT :
1. Définitions et interprétation
1.1 Sauf définition contraire ci-après, les termes commençant par une majuscule ont la signification suivante :
1.1.1 « Accord » : le présent Accord de traitement des données et ses annexes ;
1.1.2 « Données Personnelles de la Société » : toute donnée personnelle traitée par un Sous-traitant pour le compte de la Société dans le cadre de l'Accord principal ;
1.1.3 « Sous-traitant contractuel » : un Sous-traitant ;
1.1.4 « Lois sur la protection des données » : le droit de l'UE applicable et, le cas échéant, les lois de protection des données d'autres pays ;
1.1.5 « EEE » : l'Espace économique européen ;
1.1.6 « Droit UE de la protection des données » : la Directive 95/46/CE telle que transposée et ses évolutions, y compris le RGPD ;
1.1.7 « RGPD » : le Règlement (UE) 2016/679 ;
1.1.8 « Transfert de données » : (i) un transfert des Données Personnelles de la Société vers un Sous-traitant contractuel ; ou (ii) un transfert ultérieur vers un autre Sous-traitant ;
1.1.9 « Services » : la plateforme SaaS fournie par la Société ;
1.1.10 « Sous-traitant » : toute personne agissant pour le compte d'un Responsable/ Sous-traitant pour traiter des données personnelles dans le cadre de l'Accord.
1.2 Les termes « Responsable du traitement », « Personne concernée », « Donnée personnelle », « Violation de données personnelles », « Traitement » et « Autorité de contrôle » ont le sens du RGPD.
2. Traitement des Données Personnelles de la Société
2.1 Le Sous-traitant doit :
2.1.1 respecter toutes les Lois sur la protection des données applicables ; et
2.1.2 ne traiter les Données Personnelles de la Société que sur instructions documentées de la Société.
2.2 La Société donne instruction au Sous-traitant de traiter ces données dans le cadre des Services.
3. Personnel du Sous-traitant
Le Sous-traitant prend des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou prestataire ayant accès aux Données Personnelles de la Société. L'accès est limité aux personnes ayant un besoin strict d'en connaître et soumises à des obligations de confidentialité appropriées.
4. Sécurité
4.1 Compte tenu de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD).
4.2 L'évaluation du niveau de sécurité tient notamment compte du risque de Violation de données personnelles.
5. Sous-traitance ultérieure
Le Sous-traitant n'engage aucun sous-traitant ultérieur et ne divulgue pas les Données Personnelles de la Société sans autorisation préalable ou instruction de la Société.
6. Droits des personnes concernées
6.1 En tenant compte de la nature du traitement, le Sous-traitant assiste la Société, dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées.
6.2 Le Sous-traitant :
6.2.1 informe rapidement la Société de toute demande reçue d'une personne concernée ;
6.2.2 n'y répond pas sans instruction documentée de la Société, sauf obligation légale applicable.
7. Violation de données personnelles
7.1 Le Sous-traitant notifie la Société sans retard injustifié dès qu'il a connaissance d'une violation affectant les Données Personnelles de la Société.
7.2 Le Sous-traitant coopère raisonnablement avec la Société pour investiguer, atténuer et corriger la violation.
8. Analyse d'impact et consultation préalable
Le Sous-traitant fournit une assistance raisonnable pour les analyses d'impact relatives à la protection des données et les consultations préalables auprès des autorités compétentes, lorsque nécessaire au regard des articles 35 et 36 RGPD (ou dispositions équivalentes).
9. Suppression ou restitution des données
Sous réserve des obligations légales de conservation, le Sous-traitant supprime (ou restitue, selon instruction) les Données Personnelles de la Société à la fin des Services, et au plus tard dans un délai de 10 jours ouvrés à compter de la date de fin.
10. Droits d'audit
10.1 Le Sous-traitant met à disposition, sur demande, les informations nécessaires pour démontrer la conformité au présent Accord et permet des audits raisonnables, y compris inspections, par la Société ou un auditeur mandaté.
10.2 Ces droits s'exercent dans la mesure où les obligations contractuelles en vigueur ne couvrent pas déjà ces exigences.
11. Transferts de données
Le Sous-traitant ne transfère pas de données en dehors de l'UE/EEE sans l'accord écrit préalable de la Société. En cas de transfert international, les Parties appliquent des garanties appropriées, notamment les clauses contractuelles types approuvées par l'UE, sauf accord écrit différent conforme à la loi.
12. Dispositions générales
12.1 Confidentialité : chaque Partie s'engage à préserver la confidentialité de l'Accord et des informations confidentielles reçues, sauf obligation légale ou information déjà publique.
12.2 Notifications : toute notification au titre du présent Accord est effectuée par écrit (main propre, courrier ou e-mail) aux coordonnées indiquées par les Parties.
13. Droit applicable et juridiction
13.1 Le présent Accord est régi par le droit roumain.
13.2 Tout litige non résolu à l'amiable relève de la compétence des tribunaux de Brașov.