Addendum responsable du traitement des données

Addendum responsable du traitement des données chez Flutawa

NOMINATION DU RESPONSABLE DU TRAITEMENT DES DONNÉES

L'Utilisateur (ci-après "Propriétaire" ou "Client" ou "Responsable du traitement"),

par l'acceptation expresse des conditions générales de Flutawa (ci-après " Prestataire " ou le " Responsable du traitement "), accepte le présent addendum sur le traitement des données à caractère personnel, qui fait partie intégrante de la relation entre les Parties. Le présent addendum est signé conformément à l'article 28 du règlement 679/2016 et régit la manière dont le Processeur de données traitera les données personnelles pour le compte du Contrôleur de données. Le Contrôleur de données et le Responsable du traitement des données peuvent également être désignés individuellement comme la "Partie" et conjointement comme les "Parties".

CONSIDÉRANT QUE

-les traitements de données à caractère personnel effectués par le responsable du traitement sont répertoriés dans le registre des traitements tenu par le responsable du traitement ;

-pour certaines opérations de traitement, le responsable du traitement fait appel à la coopération du fournisseur ;

-le Fournisseur, dans le cadre des services offerts au Contrôleur des données, tel que mieux détaillé dans le contrat spécifique en place, peut effectuer des traitements de données personnelles pour le compte du Contrôleur des données ;

-le Responsable du traitement des données et le Fournisseur ont signé un accord pour la fourniture d'un site web intégré et d'une tablette pour la création, la gestion et l'envoi de demandes de révision ("Service"), dont le présent document fait partie intégrante ;

-en référence au Service mis à disposition par le Prestataire, ce dernier peut traiter des données à caractère personnel appartenant au Responsable du traitement et, plus précisément, des données communes (prénom, nom, coordonnées) des clients finaux du Titulaire ;

-la finalité du traitement est de fournir une solution technologique permettant au Titulaire de pouvoir profiter du Service ;

-conformément à l'article 28.1 du Règlement (UE) 2016/679, Règlement général sur la protection des données (ci-après " RGPD "), " lorsqu'un traitement doit être effectué pour le compte du responsable du traitement, ce dernier ne fait appel qu'à des responsables du traitement. "

-Le Responsable du traitement a vérifié que le Prestataire, toujours en vertu de l'article 28.1 du RGPD, présente "des garanties suffisantes pour mettre en place les mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du règlement et assure la protection des droits de la personne concernée".

Le Responsable du traitement désigne le Fournisseur comme "RESPONSABLE DU TRAITEMENT DES DONNÉES PERSONNELLES" (ci-après également simplement "Responsable du traitement" ou "Sous-traitant"), en ce qui concerne les données personnelles que le Fournisseur peut traiter dans l'exercice de ses activités et celles qui pourraient être confiées au Fournisseur à l'avenir.

Conformément au GDPR, l'activité exercée par le Processeur sera régie comme suit :

1. DURÉE. Cette nomination est effective pour la durée de la relation du sous-traitant avec le contrôleur et est réputée automatiquement révoquée en cas de résiliation de cette relation.

2. FINALITÉ DU TRAITEMENT. Les données confiées au Responsable, dans le cadre des activités qui lui sont confiées pour l'utilisation du Service, ne peuvent être traitées qu'aux fins indiquées dans le mandat confié et/ou dans le contrat conclu avec le Propriétaire. En particulier, les données seront traitées par le Prestataire uniquement dans le but de pouvoir garantir la fourniture du Service au Propriétaire qui, en tout état de cause, restera la seule entité tenue de devoir communiquer au client final les finalités et d'obtenir son consentement au traitement, ainsi que la communication des données à des tiers.

3. MÉTHODES DE TRAITEMENT. Les données peuvent être traitées sur support papier ou numérique, en fonction des activités exercées, sous réserve que les outils soient correctement identifiés et inventoriés par le Gestionnaire et systématiquement communiqués au Propriétaire pour approbation. Les données seront notamment traitées par le biais de la plateforme logicielle Flutawa.

4. DEVOIRS ET TACHES DU RESPONSABLE. Le Responsable du traitement, tel que prévu à l'article 28 du RGPD, s'engage à :

(a) traiter les données personnelles confiées uniquement sur instruction documentée du Responsable, même en cas de transfert de données personnelles vers un pays tiers, sauf disposition légale contraire. Dans ce cas, la partie responsable est toujours tenue d'informer le responsable du traitement ;

(b) s'assurer que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité ou ont une obligation légale appropriée de confidentialité. À cette fin, la partie responsable vérifie périodiquement que les personnes en charge : (i) effectuent le traitement de manière licite et correcte, exclusivement dans le but de fournir les services couverts par la relation contractuelle entre les Parties ; (ii) traitent les données personnelles uniquement à des fins inhérentes aux tâches qui leur sont assignées ; (iii) ne communiquent ni ne diffusent les données personnelles sans l'autorisation préalable du Responsable du traitement ; (iv) vérifier, en cas d'interruption même temporaire du travail, que les données à caractère personnel traitées ne sont pas accessibles à des tiers non autorisés ; (v) garder et conserver strictement confidentiels les identifiants d'authentification ; (vi) se conformer aux mesures de sécurité exigées par le Responsable du traitement et/ou le Contrôleur des données ;

(c) assurer une formation adéquate et éprouvée aux personnes autorisées à traiter les données, conformément à l'article 29 du GDPR ;

(d) prendre, conformément à l'article 32 du RGPD, toutes les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque, en tenant compte de l'état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l'objet, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, de manière à réduire au minimum les risques de destruction ou de perte, y compris la perte accidentelle des données elles-mêmes, d'accès non autorisé ou de traitement non autorisé ou non conforme aux finalités de la collecte

e) d'informer le responsable du traitement, conformément à l'article 28 du RGPD, s'il est nécessaire de faire appel à un autre responsable du traitement ;

f) aider le responsable du traitement à se conformer aux obligations légales prévues aux articles 32 (sécurité du traitement), 33 (notification d'une violation de données à caractère personnel à l'autorité de contrôle), 34 (notification d'une violation de données à caractère personnel à la personne concernée), 35 (analyse d'impact relative à la protection des données), 36 (consultation préalable), en tenant compte de la nature du traitement et des informations dont dispose le responsable du traitement.

g) prévoir la mise à jour, la modification et la rectification des données personnelles si cela est nécessaire au regard des finalités du traitement, et supprimer ou restituer rapidement, à la demande du responsable du traitement, toutes les données personnelles et les copies existantes dont le responsable est en possession sans pouvoir en conserver de copies, sauf convention contraire expresse ou disposition légale. En tout état de cause, supprimer et/ou détruire, comme l'exige la loi (par exemple en procédant à un "effacement" des données numériques), les données à caractère personnel lorsque les finalités pour lesquelles elles ont été collectées et traitées ont été atteintes, en l'absence d'obligation légale ou de nécessité de les conserver plus longtemps ;

h) permettre au Responsable du traitement d'exercer le pouvoir de contrôle prévu à l'article 28 du RGPD : dans ce contexte, mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent Avenant et pour démontrer le respect des obligations légales et permettre les activités de vérification (Audit), effectuées par le Responsable du traitement ou par des tiers mandatés par le Responsable du traitement, afin de vérifier l'observation de ces méthodes de traitement des données et le respect des exigences légales. Le Responsable du traitement a le droit de vérifier, avec un préavis d'au moins 20 (vingt) jours ouvrables, également dans les locaux du Responsable du traitement, la conformité des procédures adoptées par ce dernier avec ce qui est indiqué dans le présent Avenant ou exigé par la loi ;

i) s'engager à respecter la disposition générale du garant pour la protection des données personnelles du 27 novembre 2008 "Mesures et expédients prescrits aux titulaires de traitements effectués avec des instruments électroniques en ce qui concerne les attributions des fonctions d'administrateur de système" telle que modifiée par l'ordonnance du garant du 25 juin 2009 "Modifications de l'ordonnance du 27 novembre 2008 sur les prescriptions aux titulaires de traitements effectués avec des instruments électroniques en ce qui concerne les attributions d'administrateur de système et la prolongation des délais pour leur accomplissement", telle qu'elle peut être modifiée ou complétée, 2009 "Modifications de l'arrêté du 27 novembre 2008 relatif aux prescriptions aux titulaires de traitements effectués à l'aide d'instruments électroniques en ce qui concerne les attributions d'administrateur de système et la prolongation des délais pour leur accomplissement", tel qu'il peut être modifié ou remplacé par le même Garant, et à toute autre mesure pertinente de l'Autorité ;

j) coopérer aux fins de l'application exacte de la loi, y compris par le biais de réunions périodiques, et agir dans le cadre et les limites de leurs fonctions, de manière autonome, mais toujours en conformité avec les directives établies par le contrôleur.

5. SURVEILLANCE. Le responsable du traitement peut superviser le respect ponctuel des instructions données au responsable du traitement et vérifiera le maintien des exigences d'expérience, de capacité et de fiabilité qui ont influencé la désignation du responsable du traitement.

6. VIOLATION. Le Responsable du traitement est informé que s'il viole les dispositions de la loi en déterminant de manière indépendante les finalités et les moyens du traitement, ou en ne tenant pas compte des instructions reçues du Responsable, il sera considéré comme le Responsable du traitement en question ;

7. ASSISTANCE AU RESPONSABLE DU TRAITEMENT EN CAS DE VIOLATION. En cas de violation de données à caractère personnel, le Fournisseur s'engage à informer le Responsable du traitement dans un délai raisonnable à partir du moment où il a connaissance de la violation. Le Fournisseur assistera le Titulaire en entamant une analyse préliminaire visant à collecter les données relatives à l'anomalie et à établir une fiche d'événement, contenant toutes les informations collectées et disponibles à ce moment-là, telles que, mais sans s'y limiter :

- la date de l'événement, y compris la date présumée de survenance de la violation (dans ce cas, elle doit être précisée)

- Date et heure auxquelles la connaissance de la violation a été obtenue ;

- La source du rapport ;

- le type de violation et les informations concernées

- Description de l'événement anormal ;

- Nombre de personnes concernées ;

- Nombre d'informations personnelles présumées avoir été violées ;

- Indication de la date, y compris la date présumée, de la violation et du moment où elle a été portée à la connaissance du public.

Connaissances ;

- Indication du lieu où la violation de données s'est produite, en précisant également si elle s'est produite

s'est produite à la suite de la perte d'appareils ou de supports portables ;

- Description concise des systèmes de traitement ou de stockage des données concernés, avec

description concise des systèmes de traitement ou de stockage de données concernés, avec indication de leur emplacement.

8. CONFIDENTIALITÉ. Le sous-traitant s'engage à garder strictement confidentielles et

confidentielles et à n'utiliser que pour l'exécution des obligations découlant du contrat, toute information relative à l'autre Partie et/ou aux personnes impliquées dans le traitement des données à caractère personnel et/ou aux produits, services, organisation, stratégie commerciale ou technique reçue de l'autre Partie ou dont il a connaissance au cours de l'exécution du contrat relatif au Service (ci-après dénommées " Informations Confidentielles "). La Partie Responsable s'engage à ne pas utiliser les Informations Confidentielles en dehors des finalités prévues par le présent accord, ni à les divulguer à des parties non prévues par le présent accord, sans l'accord écrit du Propriétaire. Le gestionnaire prendra toutes les mesures nécessaires pour ne pas divulguer ou mettre à la disposition de tiers, de quelque manière que ce soit, les informations confidentielles du propriétaire et/ou des parties intéressées, et sera en tout état de cause tenu directement responsable vis-à-vis du propriétaire de toute violation par ses employés et/ou sous-traitants des obligations de confidentialité énoncées dans le présent article. Les dispositions du présent article ne s'appliquent pas ou cessent de s'appliquer aux éléments d'information individuels dont le contrôleur peut prouver : i) qu'ils sont déjà tombés dans le domaine public pour des raisons autres que la violation par le contrôleur lui-même ; ii) qu'ils étaient déjà connus avant d'avoir été reçus par le contrôleur ; iii) qu'ils ont été divulgués ou divulgués conformément à un ordre légal de toute autorité ou en vertu d'une obligation légale. Les informations confidentielles divulguées restent la propriété du contrôleur des données. Sur demande écrite du propriétaire lui-même, ces informations sont restituées ou détruites par la partie responsable.

9. MODIFICATIONS ET AJOUTS. Les parties ont le droit d'apporter au présent contrat les modifications et ajustements nécessaires à tout moment, y compris pour se conformer aux mises à jour réglementaires. Toute demande de modification sera notifiée au Gestionnaire par lettre recommandée avec accusé de réception ou par courrier électronique certifié. Suite à la demande de modification susmentionnée, le gestionnaire disposera d'un délai de 60 jours pour se retirer de la convention. Passé ce délai, les modifications seront réputées acceptées par le Processeur. Pour tout ce qui n'est pas expressément prévu dans la présente convention, il convient de se référer aux dispositions générales en vigueur en matière de protection des données à caractère personnel.

10. LOIS APPLICABLES. En cas de litige concernant la validité, l'interprétation, l'exécution et la résiliation du présent addendum, les parties conviennent de rechercher entre elles un règlement équitable et amiable. Si le différend n'est pas réglé à l'amiable, il est réputé relever de la compétence exclusive de l'autorité judiciaire du Tribunal de Rome. Pour la résolution de tout litige concernant la validité, l'interprétation, l'exécution et la résiliation du présent accord, la loi italienne sera appliquée.

Il est entendu que cette nomination n'implique aucun droit du fournisseur à une compensation spécifique et/ou à une indemnité et/ou à un remboursement découlant de cette nomination, au-delà de ce qui est déjà prévu dans les termes et conditions.