Dans le cadre de leurs relations contractuelles, Saul Interactive et ses clients responsables de traitement (ci-après dénommés conjointement « les parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le RGPD »).
Chacune des parties s’engage notamment, concernant les traitements de données à caractère personnel dont elle est responsable à respecter les droits des personnes concernées (notamment droit d’information, d’accès, de rectification et de suppression des données).
Le client demeure seul responsable du choix du service s’assure que le service présente les caractéristiques et conditions requises pour pouvoir procéder aux traitements de données à caractère personnel envisagés dans le cadre de l’utilisation du service, compte-tenu de la règlementation en vigueur, notamment lorsque le service est utilisé pour traiter des données sensibles (par exemple, données de santé).
Lorsque Saul Interactive propose un service destiné à permettre au client de réaliser des traitements de données à caractère personnel soumis à des dispositions légales ou réglementaires spécifiques (par exemple, l’hébergement de données de santé, Saul Interactive communique au client le périmètre de responsabilité de ce dernier, ainsi que les conditions dans lesquelles Saul Interactive se conforme aux dits standards ou réglementations.
Propriété des données – Responsable du traitement
Le client reste propriétaire des données qu’il traite au moyen des services proposés par Saul Interactive. En applications des dispositions du RGPD, il demeure le seul responsable du traitement.
Localisation des données
Les données client sont localisées dans un ou plusieurs sites situés en France, sauf dispositions contraires stipulées dans la documentation mise à disposition par Saul Interactive au titre des offres souscrites par le client (ci-après le « pays de localisation des données »).
Dès lors que les données personnelles sont:
- Collectées par le Client hors du Pays de localisation des données avant d’y être transférées au titre du Service.
et/ou
- Transférées par le client, ou par Saul Interactive sur instruction du client, hors du pays de localisation des données, il relève de la responsabilité du client de s’assurer que la collecte, le traitement et/ou le transfert de données personnelles dans le pays de localisation des données sont autorisés par les législations locales applicables ou à défaut et lorsque cela est légalement possible d’encadrer ces transferts par des outils juridiques adéquats.
- Lorsque le pays de localisation des données est la France, Saul Interactive s’engage à ne pas transférer les sites où sont localisées les données client en dehors de la France sans l’accord préalable du client.
Obligations du client responsable du traitement
Le client doit communiquer clairement à Saul Interactive toute information utile quant aux finalités du traitement envisagé et prendre en compte toute observation pertinente de Saul Interactive tenue à une obligation de conseil dans le cadre de toute demande raisonnable.
En tant que responsable de traitement, le client s’engage à :
- Fournir à Saul Interactive les données visées en annexe du bon de commande documenté promptement par écrit, y compris sous forme électronique, toute instruction concernant le traitement des données par Saul Interactive.
- Au préalable, pendant toute la durée du traitement, veiller au respect des obligations prévues par le RGPD de la part de Saul Interactive.
- Superviser le traitement, y compris réaliser le cas échéant, à ses frais, les audits et les inspections auprès de Saul Interactive.
Obligation de Saul Interactive (sous-traitent pour le compte du client)
En tant que sous-traitant, Saul Interactive s’engage à :
- Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
- Traiter les données conformément aux instructions documentées du client, responsable de traitement. Dans le cas où Saul Interactive considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, elle en informe immédiatement le client.
- Garantir la confidentialité des données à caractère personnel traitées dans le cadre du contrat souscrit par le Client.
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du contrat souscrit par le client
- S’engager à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
- Recevoir la formation nécessaire en matière de protection des données à caractère personnel
- En outre, si Saul Interactive est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’état membre auquel elle est soumise, Saul Interactive doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
- Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Sous-traitance
Saul Interactive peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques.
Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.
Le responsable de traitement dispose d’un délai minimum de 7 (sept) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous- traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations de la présente Politique des Données Personnelles pour le compte et selon les instructions du responsable de traitement.
Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.
Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
Droit d’information des personnes concernées
Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
Exercice des droits des personnes
Dans la mesure du possible, Saul Interactive doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées:
- Droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique:
Le Délégué à la Protection des Données (DPO) nommé par Saul Interactive est :
Monsieur Saul Roberts
Notification des violations de données à caractère personnel
Saul Interactive notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 24 (vingt- quatre) heures après en avoir pris connaissance et par courrier électronique.
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Aide du sous-traitant – Respect de traitement de ses obligations
Saul Interactive apporte son aide, dans la limite des moyens dont elle dispose, pour toute demande raisonnable du responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.
Saul Interactive apporte son aide, dans la limite des moyens dont elle dispose, pour toute demande raisonnable du responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Mesures de sécurité
Saul Interactive s’engage à mettre en œuvre, lorsque cela est possible, les mesures appropriées de sécurité suivantes:
- La pseudonymisation et le chiffrement des données à caractère personnel .
- Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
- Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
- Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Saul Interactive s’engage à mettre en œuvre les mesures de sécurité raisonnablement appropriées prévues par l’état tel que précisées par les recommandations de la CNIL et de l’ANSSI.
Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, Saul Interactive s’engage, au choix des parties :
- Détruire toutes les données à caractère personnel.
- Ou à mettre gratuitement (dans la limite de 60 jours) à disposition du Client responsable de traitement sur un répertoire informatique sécurisé accessible à distance sur authentification toutes les données à caractère personnel dans leur dernière version hébergée (dump), à l’exclusion de toute autre version antérieure.
- Ou à mettre gratuitement (dans la limite de 60 jours à disposition du sous-traitant désigné par le client responsable de traitement responsable de traitement sur un répertoire informatique sécurisé accessible à distance sur authentification les données à caractère personnel dans leur dernière version hébergée (dump), à l’exclusion de toute autre version antérieure.