ACCORD SUR LE TRAITEMENT DES DONNÉES ("DPA")

POUR LE SERVICE ROBERT2 / LOXYA
(ARTICLE 28 RGPD)

En vigueur depuis le 25/04/2022. Mise à jour juin 2022.

Télécharger au format PDF

Le présent accord a pour objet de définir les conditions dans lesquelles Pulsanova (ci-après « Pulsanova » ou le « Sous-traitant »), éditeur et fournisseur du logiciel en ligne Loxya (Robert2) (ci-après le « Service »), s’engage à effectuer pour le compte du Client (ci-après le « Client » ou le « Responsable de Traitement »), les opérations de Traitement de Données à caractère personnel définies ci-dessous.

Pulsanova et le Client sont dénommées ensemble les « Parties » et individuellement la « Partie ».

Le présent DPA s’applique à toutes les activités menées par Pulsanova dans le cadre du Service en ligne.

Le présent DPA ne s’applique à aucun autre produit, site ou service Pulsanova en ligne ou hors ligne.

Le présent DPA prévaut sur tout autre accord de Traitement des données ou arrangement similaire existant entre Pulsanova et le Client qui pourrait déjà être en place pour le Service.

Dans le cadre du présent accord, le Client agit en qualité de Responsable de Traitement et Pulsanova agit en qualité de Sous-traitant au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, le « Règlement européen sur la protection des données »).

Pulsanova est qualifiée de responsable de Traitement lorsqu’il détermine les finalités et les moyens de Traitement de Données à caractère personnel pour son propre usage. C’est notamment le cas, lorsqu’il traite les coordonnées d’une personne physique (interlocuteur de l’entreprise utilisatrice) dans le cadre d’une demande d’assistance. Les mesures mises en œuvre par Pulsanova dans ce cadre sont détaillées dans une charte sur le site internet du Service (cf. https://robertmanager.org/cgv).

Les Parties s’engagent à respecter la réglementation en vigueur applicable aux Traitements de Données à caractère personnel et, en particulier, le Règlement européen sur la protection des données.

Le Client reconnaît qu’il a reçu toutes les informations nécessaires pour établir que Pulsanova offre des garanties suffisantes en ce qui concerne la protection des Données à caractère personnel.

1. Définitions

1.1 « Lois applicables à la protection des données personnelles » ou « Loi Applicable » : désigne les lois et réglementations relatives au Traitement et à la protection des Données à caractère personnel applicables dans le pays dans lequel Pulsanova est établi. En particulier, la « Loi Applicable » désigne :

  1. les prescriptions du règlement UE 2016/679 (Règlement Général sur la Protection des Données, RGPD),
  2. les lois ou réglementations de l’État membre relatives au Traitement et à la protection des Données à caractère personnel concernant la mise en œuvre ou en complément du RGPD,
  3. toute autre loi ou réglementation applicable concernant le Traitement et la protection des Données à caractère personnel aux fins de cet Accord.

1.2 « Données à caractère personnel » : désigne toute information concernant une personne physique identifiée ou identifiable (« Personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs facteurs propres à l’identité physique, physiologique, psychique, économique, culturelle ou sociale de cette personne.

1.3 « Responsable du Traitement » : désigne la partie qui définit seul ou conjointement avec d’autres les buts et les moyens du Traitement des Données à caractère personnel.

1.4 « Traitement » ou « Traiter » : désigne toute opération ou ensemble d’opérations effectuées sur les Données à caractère personnel, à l’aide ou non de procédés automatisés, telles que la collecte, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la communication par transmission, la diffusion ou tout autre moyen de mettre de telles données à disposition, le rapprochement ou l’association, la restriction, la suppression ou la destruction.

1.5 « Violation de la Protection des Données à caractère personnel » : désigne la violation d’une mesure de sécurité conduisant de manière accidentelle ou illicite à la destruction, la perte, l’altération, ou la divulgation non autorisée ou l’accès aux Données à caractère personnel du Client qui sont Traitées dans le cadre du présent DPA.

1.6 « Utilisateur » : personne habilitée par le Client à utiliser le Service en ligne.

2. Détail du Traitement

2.1 Objet et nature du Traitement

L'objet du Traitement des données personnelles par le Sous-traitant est la fourniture du Service au Responsable de traitement qui implique le Traitement des données personnelles et l’exécution des obligations du Sous-traitant dans le cadre de l’accord et de toutes conditions convenues entre les Parties.

Le Sous-traitant met à la disposition du Client un logiciel en tant que service en ligne (“Software as a Service”, ou “SaaS”) accessible depuis un navigateur internet sur une adresse web (URL) dédiée.

Ce logiciel permet au Client de gérer son activité de location ou de prêt de matériel. Cela implique la gestion commerciale de ses clients (“bénéficiaires”), ainsi que la planification des activités de son personnel (“techniciens”). Le logiciel est accessible uniquement grâce à un compte utilisateur, protégé par un mot de passe personnel. Les comptes des utilisateurs ne peuvent être créés que par une personne ayant déjà accès au logiciel, et ayant les droits d’accès nécessaires.

2.2 Durée du Traitement

Les données personnelles seront traitées pour la durée des relations contractuelles entre les Parties.

2.3 Type de Données à caractère personnel

2.3 Catégories de personnes concernées

Les catégories suivantes de Personnes sont concernées par le Traitement de leurs Données à caractère personnel dans le cadre du présent DPA :

3. Obligations des parties

3.1 Rôles et responsabilités du Client

3.1.1 Finalités et légalité du Traitement

Le Client est responsable de la définition des finalités du Traitement des Données à caractère personnel, de la légalité du transfert des Données à caractère personnel à Pulsanova et de la légalité du Traitement des Données.

Le Client doit se conformer, et faire en sorte que ses Filiales et contractants se conforment à toutes leurs obligations dans le cadre des Lois sur la protection des données lors du Traitement des Données à caractère personnel en relation avec le Service.

À cet égard, le Client doit notamment s’assurer d’obtenir et de maintenir toutes les inscriptions et autorisations nécessaires auprès des autorités de protection des données compétentes et de justifier légalement les raisons du Traitement des Données à caractère personnel.

3.1.2 Exercice de leurs droits par les Personnes concernées

Le Client doit être le contact principal des Personnes concernées pour exercer leurs droits conformément aux Lois applicables à la protection des données personnelles.

3.1.3 Exactitude, qualité, légalité, fiabilité des Données à caractère personnel

Le Client est seul responsable de l’exactitude, de la qualité, de la légalité et de la fiabilité des Données à caractère personnel et des moyens par lesquels il acquiert les Données à caractère personnel pour le Traitement par le Service.

3.1.4 Évaluation des risques

Le Client est responsable de l’évaluation des risques résultant du Traitement des Données à caractère personnel.

3.1.5 Information des Personnes concernées

Le Client informe les personnes concernées sur le Traitement par le Service de leurs Données à caractère personnel et sur la répartition des responsabilités entre les parties contractantes.

Le Client est responsable de la conformité aux Lois applicables sur la protection des données de cette information.

3.1.6 Prévention des violations de données

Le Client prend toutes les mesures nécessaires pour prévenir les violations des données du fait de ses utilisateurs (par exemple extraction et utilisation des données pour une finalité illicite ; collecte de données interdites via un champ texte libre ou le téléchargement d’un document).

Le Client est seul responsable en cas de survenance d’une violation de données du fait de l’un de ses utilisateurs.

3.1.7 Notification des Violation de Données à caractère personnel

En cas de survenance, le Client notifie à l’autorité compétente les violations des Données à caractère personnel et en informe, pour les cas prévus par la loi, les personnes concernées.

3.1.8 Modifications de la législation applicable

Le Client doit avertir Pulsanova en temps utile des modifications des réglementations légales susceptibles d’affecter les obligations contractuelles de Pulsanova dans le cadre du présent DPA.

Ces modifications peuvent nécessiter une modification du présent DPA et la rémunération convenue entre les parties.

Pulsanova peut également soumettre des propositions au Client si Pulsanova estime qu’une modification est nécessaire pour assurer la conformité aux lois applicables.

3.1.9 Irrégularités ou erreurs dans le Traitement des Données à caractère personnel

Le Client doit informer Pulsanova de manière immédiate et exhaustive au sujet de toute erreur ou irrégularité liée aux Lois sur la protection des données concernant le Traitement des Données à caractère personnel dont le Client a connaissance.

3.1.10 Partage des Données à caractère personnel avec des tiers

Certaines fonctionnalités du Service permettent au Client de partager des Données à caractère personnel à des tiers. Dans la mesure où le Client utilise ces fonctionnalités, le Client est responsable d’informer les Personnes concernées (cf. section 4.1.5).

3.1.11 Notification aux tiers lors de l’exercice des droits des personnes

Si le Client transfère des Données à caractère personnel collectée via le Service à un tiers, par exemple en fédérant le Service avec d’autres services cloud de transmission de Données à caractère personnel via des Interfaces tiers, le Client est tenu d’informer le tiers des demandes des personnes exerçant leurs droits de rectification, de suppression ou de restriction de Traitement pour les Données à caractère personnel qui les concernent.

3.2 Obligations de Pulsanova

3.2.1 Moyens de Traitement

Pulsanova est responsable de définir les moyens du Traitement et de fournir les informations concernant ces moyens au Client, en particulier pour permettre au Client d’informer les personnes concernées conformément aux Lois applicables à la protection des données personnelles.

3.2.2 Champ d’application du Traitement par Pulsanova

Pulsanova collecte et traite les Données à caractère personnel dans le cadre du présent DPA pour la mise en œuvre du Service et pour en améliorer les fonctionnalités.

Les modifications apportées au Traitement des Données doivent être acceptées conjointement et doivent être documentées.

Par les présentes, Pulsanova reconnaît expressément qu’elle traitera les Données à caractère personnel uniquement pour la fourniture du Service, la sécurisation, l’amélioration et la mise à niveau de ce Service.

3.2.3 Mise en œuvre des mesures de sécurité

Hors les cas prévus à la section 3.1.6, Pulsanova est responsable de la mise en œuvre des mesures de sécurité pour le Traitement des Données à caractère personnel dans le cadre du Service.

Conformément aux lois applicables à la protection des données personnelles, Pulsanova s’engage à prendre les mesures techniques et organisationnelles (MTO) appropriées, telles qu’énoncées dans l’Annexe 1 du présent DPA, pour protéger les Données à caractère personnel du Client contre les abus et les pertes, ou contre toute autre violation de la protection des Données à caractère personnel.

Le Client comprend que les MTO sont soumises aux progrès techniques et développements ultérieurs. À cet égard, Pulsanova est autorisé à utiliser des mesures alternatives appropriées, en informant le Client en mettant à disposition une description desdites mesures sur demande.

3.2.4 Informations sur la répartition aux Parties des responsabilités par rapport aux Personnes concernées

Pulsanova est responsable de rendre le document DPA standard sans aucune modification accessible à tous les utilisateurs du Service. Dans le cas où le présent DPA contient des modifications au document DPA standard demandées par le Client, Pulsanova n’est pas responsable de rendre de telles modifications accessibles aux Personnes concernées.

3.2.5 Notification de Violation de la Protection des Données à caractère personnel

Pulsanova s’engage à informer le Client sans délai de toute violation de Données à caractère personnel du Client dont Pulsanova à connaissance.

Dans le cas de la survenance d’une violation de Données à caractère personnel, y compris les violations du fait d’un utilisateur, Pulsanova s’engage à aider le Client et à lui fournir toutes les informations nécessaires auxquelles Pulsanova a accès pour lui permettre de se conformer à ses obligations.

3.2.6 Conservation des Données à caractère personnel / Restriction de suppression

Les Données à caractère personnel traitées par le Service sont conservées jusqu’à ce que l’une des conditions ci-dessous soit remplie :

  1. elles sont supprimées par les Utilisateurs du Service, habilités par le Client,
  2. la période de conservation définie par le Client a expiré,
  3. l’accord du Service est résilié.
3.2.7 Suppression des Données à caractère personnel et résiliation de l’accord du Service

Pulsanova est responsable de supprimer toutes les données saisies par le Client, notamment les Données à caractère personnel, à la fin du mois calendaire suivant l’expiration ou la résiliation de l’utilisation par le Client du Service, ou à tout moment à la demande du Client.

3.2.8 Effets de la suppression des Données à caractère personnel

Par la présente, le Client confirme et reconnaît que la demande à Pulsanova de supprimer des Données à caractère personnel ou de restreindre leur Traitement, pourrait rendre impossible la fourniture des produits ou services fournis ou souscrits.

3.2.9 Portabilité des Données à caractère personnel

À la demande du Client, Pulsanova s’engage à fournir un export des données dans un format pouvant être traité par le Client afin d’être transférées vers d’autres services cloud.

3.2.10 Exercice de leurs droits par les Personnes concernées

En cas de réception par Pulsanova d’une demande d’exercice de l’un des droits prévus par les Lois applicables à la protection des données de la part d’une personne concernée par le Traitement, Pulsanova s’engage à transmettre ladite demande au Client et, sauf exception prévue par la loi, à ne traiter la demande que sur instruction du Client.

Le Client reconnaît qu’en cas de conflit entre la personne concernée et le Client, la législation applicable peut forcer Pulsanova à satisfaire la demande de la personne concernée contre l’objection du Client.

3.2.11 Copies de sauvegarde des Données à caractère personnel

Pulsanova s’engage à effectuer des copies de sauvegarde des Données à caractère personnel nécessaires à la délivrance du Service.

Pulsanova s’engage à sauvegarder les Données à caractère personnel nécessaires à la conformité du Traitement et à l’accomplissement des obligations légales relatives à la conservation des documents.

3.2.12 Délégué à la protection des données

Pulsanova indique les coordonnées du délégué à la protection des données de Pulsanova (DPO) sur son site internet. À compter de la date d’entrée en vigueur du présent DPA, les coordonnées actuelles du DPO sont dpo@robert2.org.

4. Accords et responsabilités mutuels

4.1 Évolution du Service

Les Parties conviennent que toute demande d’extraction de Données à caractère personnel émise par le Client doit être faite par écrit et de manière explicite. Dans le cas où de telles demandes nécessitent un changement du Service, un tel changement doit être renégocié de bonne foi par les deux Parties, ainsi que le prix associé.

Si Pulsanova estime que la conformité aux demandes du Client pourrait entraîner une violation des Lois applicables à la protection des données personnelles, Pulsanova en informera rapidement le Client. Pulsanova est en droit de suspendre la mise en œuvre de la demande en question jusqu’à ce qu’elle soit confirmée ou modifiée par le Client.

4.2 Respect des obligations légales concernant la protection des Données

Chacune des Parties doit s’assurer que son personnel respectif est tenu par une obligation contractuelle de respecter les obligations de protection des données notamment de préserver la confidentialité des données.

Chacune des Parties doit s’assurer que son personnel est informé des autres dispositions applicables concernant la protection des Données à caractère personnel, en particulier le secret des télécommunications.

L’obligation d’assurer la confidentialité des données se poursuit après la fin de leur travail ou contrat de travail.

4.3 Mesures de sécurité

Les deux Parties reconnaissent par la présente que les mesures de sécurité détaillées à l’Annexe 1 (Mesures techniques et organisationnelles, MTO) offrent des garanties suffisantes aux Données à caractère personnel traitées. Le Client comprend que les mesures techniques et organisationnelles sont soumises aux progrès techniques et développements ultérieurs. À cet égard, Pulsanova est autorisé à utiliser des mesures alternatives appropriées.

4.4 Obligations légales de communication des données

Si les Données à caractère personnel du Client font l’objet d’une réquisition judiciaire, d’une ordonnance de saisie, d’une confiscation lors d’une procédure de faillite ou d’insolvabilité, ou d’événements ou de mesures similaires de la part d’un tiers autorisé, Pulsanova s’engage à en informer le Client sans délai, si la loi le permet.

Pulsanova s’engage à informer sans délai, toutes les parties concernées par une telle action que les Données à caractère personnel concernées par leurs mesures sont la seule propriété du Client, à la seule disposition du Client, et que le Client est l’organisme responsable du Traitement.

5. Demandes des autorités de surveillance

Lorsque cela est requis par la loi, les deux parties doivent conserver des enregistrements des Données à caractère personnel traitées aux fins du présent DPA, coopérer et fournir toutes les informations nécessaires pour respecter leurs obligations légales.

Si Pulsanova doit engager des coûts supplémentaires pour aider le Client à respecter ses obligations légales, le Client s’engage à rembourser à Pulsanova les coûts associés à la fourniture d’une telle assistance.

6. Droits d’audit

Au plus une fois par an et sur demande écrite préalable de soixante (60) jours, chaque partie a le droit de conduire un audit sur la conformité au présent DPA de l’autre partie, en examinant les mesures techniques et organisationnelles mises en œuvre par la partie auditée.

La preuve de la mise en œuvre de telles mesures peut également être fournie en soumettant un certificat, des rapports ou des extraits de rapports actuels par des tiers indépendants, par exemple des comptables publics certifiés, des auditeurs de compte certifiés, le(s) délégué(s) à la protection des données interne(s) et/ou externe(s) de la partie auditée, le service de sécurité informatique, les auditeurs internes et externes de protection des données, les auditeurs qualité, ou un certificat approprié émis après que la sécurité informatique ou la protection des données de la partie auditée a été auditée par un tiers.

Chaque Partie se réserve le droit de refuser de fournir à l’autre Partie des secrets d’entreprise et de commerce, un savoir-faire opérationnel et toute information dont l’audit présenterait un risque de sécurité pour la Partie auditée ou ses Clients ou que la Partie auditée a interdiction de fournir ou divulguer, telle que les données protégées par la loi ou les données d’autres Clients.

7. Sous-traitants

Le Client reconnaît et accepte par la présente que Pulsanova peut engager des sous-traitants pour la fourniture du Service Loxya (Robert2). Lesdits sous-traitants peuvent être des entreprises tierces (« Sous-traitants externes »). Une liste complète des sous-traitants à la date d’entrée en vigueur du présent DPA est disponible en Annexe 2.

En cas d’utilisation de Sous-traitants externes, Pulsanova doit s’assurer que lesdits Sous-traitants externes mettent en œuvre un niveau de protection des Données à caractère personnel similaire aux dispositions énoncées dans le présent DPA.

Dans le cas où Pulsanova a l’intention d’engager un nouveau Sous-traitant externe qui n’est pas identifié dans la liste des sous-traitants au moment où le présent DPA est accepté par le Client, les mesures prévues à la section 8 s’appliquent.

8. Modifications du présent DPA

8.1 Information et consentement

Le Client reconnaît que les conditions du présent DPA et des Annexes 1 et 2 sont susceptibles d’être modifiées par Pulsanova. Une modification nécessite le consentement du Client dans l’un des cas suivants :

  1. elle affecte la répartition des responsabilités entre les Parties,
  2. elle limite les droits du Client,

Dans les autres cas, une modification nécessite uniquement d’information du Client.

8.2 Modification nécessitant le consentement du Client

En cas de modification nécessitant le consentement du Client, Pulsanova informera le Client de la modification par courrier électronique à l’administrateur en vertu duquel la location du Service est enregistrée auprès de Pulsanova, et mettra les informations pertinentes à la disposition du Client pour examen au moins trente (30) jours calendaires avant l’entrée en vigueur de la modification.

Pulsanova donnera au Client la possibilité de donner son consentement ou de s’y opposer.

Si Pulsanova ne reçoit aucune objection de la part du Client après une période de réponse indiquée sur la notification de modification, qui doit être d’au moins dix (10) jours calendaires suivant la date de notification, le consentement du Client sera considéré comme donné. Dans les situations d’urgence, les périodes de notification et de réponse pourront être plus courtes.

8.3 Opposition par le Client à une modification

Le Client ne peut pas s’opposer à une modification sans fournir à Pulsanova une explication écrite détaillée des motifs d’une telle objection.

Pulsanova doit déployer des efforts commercialement raisonnables pour répondre aux préoccupations du Client.

Les deux Parties doivent coopérer de bonne foi pour parvenir à un accord. Si aucun accord ne peut être atteint, le Service contracté par le Client sera résilié.

9. Responsabilité

Pulsanova et le Client doivent s’acquitter de leurs obligations respectives telles qu’énoncées dans le présent DPA et dans la Loi applicable à la protection des données personnelles.

Le Client est entièrement responsable de tout manquement à ses obligations énoncées aux sections 3.1 et 4 ci-dessus.

Pulsanova est entièrement responsable de tout manquement à ses obligations énoncées aux sections 3.2 et 4 ci-dessus, sous condition de respect par le Client de ses propres obligations.

La Partie contrevenante est exonérée de sa responsabilité si elle prouve qu’elle n’est en aucune façon responsable de l’événement à l’origine du dommage.

10. Divers

Si une disposition individuelle du DPA est illégale, invalide, nulle, annulable ou inapplicable, le reste du DPA restera pleinement applicable et en vigueur. Les parties conviendront d’une disposition effective qui, dans la mesure légale possible, reflète le plus fidèlement l’intention des Parties.

§

ANNEXE 1

Mesures techniques et organisationnelles générales de Pulsanova en matière de protection des données pour le service Loxya (Robert2)

1. Contrôle d'accès physique aux locaux et aux installations

Les locaux de Pulsanova ne contiennent aucune Donnée à caractère personnel. Toutes ces Données sont stockées sur un serveur appartenant à des sous-traitants de Pulsanova (cf. Annexe 2).

Le principal sous-traitant de Pulsanova relatif au traitement des Données à caractère personnel, est la société OVH, dont les serveurs sont situés en France. Les détails concernant les mesures de sécurité que OVH met en place sont disponibles sur la page web suivante (voir notamment les paragraphes 12 à 16 qui concernent l’accès physique aux serveurs) : https://www.ovhcloud.com/fr/personal-data-protection/security/.

Concernant la sauvegarde des données, Pulsanova fait appel à un sous-traitant : la société IONOS, dont les serveurs sont situés en Europe. Les détails concernant les mesures de sécurité que IONOS met en place sont disponibles dans le document PDF suivant : https://www.ionos.fr/assistance/fileadmin/pdf/fr_FR/Datenschutz/DPA_Customer_TOM_FR.pdf.

2. Contrôle d'accès aux données et aux systèmes

Pulsanova met en place des mesures techniques (ID / password security) et organisationnelles (données de base de l'utilisateur) appropriées pour l'identification et l'authentification des utilisateurs.

Selon le rôle, le type de logiciel, le niveau de risque, des exigences clients spécifiques et la nécessité, une combinaison des mesures est mise en place.

3. Contrôle de disponibilité

Pulsanova met en place des mesures prévoyant la disponibilité et la protection des données contre la destruction ou la perte accidentelle :

4.Contrôle de ségrégation

Pulsanova met en place des mesures pour prévoir un traitement distinct (stockage, modification, suppression, transmission) de données à des fins différentes.

§

ANNEXE 2

Liste des Sous-traitants externes à Pulsanova concernés dans la protection des données personnelles pour le service Loxya (Robert2)

Les sous-traitants auxquels Pulsanova fait appel sont des entreprises tierces (« Sous-traitants externes ») qui permettent à Pulsanova de garantir le bon fonctionnement de son service en ligne « Loxya (Robert2) ».

Tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs est effectué dans les conditions précisées dans l'accord de traitement sur les données personnelles ou par conditions particulières, si applicables pour ces dernières. Des sous-traitants supplémentaires peuvent être nécessaires et sont nommément spécifiés dans le contrat de service concerné.

1. Société OVH

Dans le cadre du déploiement du Service Loxya (Robert2), Pulsanova utilise une solution d’hébergement sur serveur privé virtuel (VPS) fourni par la société OVH.

Les serveurs d’OVH utilisés par Pulsanova sont situés en France.

2. Société Ionos

Dans le cadre de la sauvegarde régulière des données et pour satisfaire le contrôle de disponibilité (cf. point 3 de l’annexe 1), Pulsanova utilise une solution de stockage crypté des données sur un serveur hébergé par la société Ionos.

Les serveurs de Ionos utilisés par Pulsanova sont situés en Allemagne.


Télécharger au format PDF