ANNEXE SUR LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

Article 1. Objet

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le Règlement européen sur la protection des données » ou « RGPD »).

Les Parties sont donc convenues de définir les conditions et modalités relatives à la protection des données personnelles ainsi qu’il suit :

Article 2. Description des traitements

Dans le cadre de l’exécution de ses prestations telles que définies ci-dessous, SEPTEO IT SOLUTIONS est susceptible de traiter des données personnelles au sens du RGPD relatives à ses prospects ou au Client et à ses Utilisateurs ; à ce titre, SEPTEO IT SOLUTIONS est Responsable de traitement pour son propre compte.

Le Client demeure seul Responsable de traitement, au sens du RGPD, des données personnelles de ses propres clients et/ou employés, données qu’il traite dans l’exercice de son activité professionnelle et dont SEPTEO IT SOLUTIONS peut être amenée à en avoir accès. Dans ce cas, SEPTEO IT SOLUTIONS est alors Sous-traitant au sens de la Règlementation.

2.1. Liste des traitements pour lesquels SEPTEO IT SOLUTIONS agit en qualité de Responsable de traitement

FinalitéDonnées traitéesBase légaleDurées de conservation
Gestion de la relation contractuelle
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contratDurée de la relation contractuelle augmentée de 5 ans
Utilisation des données à des fins d’amélioration des produits et des services ;
communication de statistiques ;
anonymisation et agrégation des données
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contratDurée de l’opération d’anonymisation
Prospection commerciale (Client)
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contrat3 ans après le dernier contact avec la personne

Exercice de son droit d’opposition par la personne concernée.

2.2. Liste des traitements pour lesquels SEPTEO IT SOLUTIONS agit en qualité de Sous-traitant

FinalitéDonnées traitéesBase légaleDurées de conservation
Fourniture du service de prise de contrôle d’une machine à distance
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contratDurée du contrat
Support Utilisateur

Traitement des demandes Utilisateurs liées à l’utilisation des services
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contratDurée de l’intervention
Hébergement des bases de données et applications
  • Nom, Prénom
  • Adresse électronique, numéro de téléphone
Exécution du contratDurée de la relation contractuelle avec le Client

Article 3. Obligations des Parties

3.1. Obligations de SEPTEO IT SOLUTIONS

SEPTEO IT SOLUTIONS en sa qualité de Sous-traitant s’engage à :

  • Traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
  • Traiter les données conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement ;
  • Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;
  • Veillez à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • Prendre en compte, s’agissant de ses outils, produits, applications, les principes de protection des données dès la conception et de protection des données par défaut.
  • Tenir un registre par écrit (y compris sous forme électronique) de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement.

3.2. Obligations du Client

Le Client s’engage, en sa qualité de Responsable de traitement à :

  • Documenter par écrit toute instruction concernant le traitement des données par SEPTEO IT SOLUTIONS ;
  • Veiller, au préalable et pendant toute la durée du traitement au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ;
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.

Article 4. Destinataire des données

SEPTEO IT SOLUTIONS peut faire appel à des sous-traitants pour la réalisation de la prestation du présent contrat (ci-après les « Sous-Traitants Ultérieurs »).

Dans ce cas, SEPTEO IT SOLUTIONS s’engage à ce que chacun de ses Sous-Traitants Ultérieurs présente, conformément aux instructions du Client, les mêmes garanties suffisantes quant à la mise en oeuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement européen sur la protection des données.

SEPTEO IT SOLUTIONS s’engage à imposer contractuellement à ses Sous-Traitants Ultérieurs le respect des obligations de la présente clause de sous-traitance.

SEPTEO IT SOLUTIONS s’engage à ne faire appel uniquement à des Sous-Traitants Ultérieurs :

  • Etablis dans un pays de l’Union Européenne ou,
  • Etablis dans un pays présentant un niveau de protection dit adéquat au sens des autorités européennes de protection des données ou,
  • Disposant de garanties appropriées en application de l’article 46 du Règlement européen.

La liste des Sous-Traitants Ultérieurs est mise à jour et tenue à la disposition du Client sur demande écrite de celui-ci. SEPTEO IT SOLUTIONS s’engage à informer le Client de l’ajout ou du changement de Sous-Traitant Ultérieur par courrier postal ou électronique dans les plus brefs délais. Le Client disposera alors d’un délai de 15 jours pour s’opposer à un tel choix. Au-delà de ce délai et sans réponse de sa part, le Client reconnait avoir autorisé ledit Sous-Traitant Ultérieur.

Pour la réalisation du présent contrat, SEPTEO IT SOLUTIONS a recours aux Sous-Traitants Ultérieurs suivants :

Identité du sous-traitantAdresse du sous-traitantMotif de la sous-traitance
PIPEDRIVENew York, USCRM
OVHcloud2 rue Kellermann
BP 80157
59053 ROUBAIX CEDEX 1
France		Crédit SMS pour les notifications Stockage BDD des informations collectées par la supervision
IONOS1&1 IONOS/UNETUN/UN-ET-UN/1ET1/ONEANDONE/ONE-AND-ONE 7 PLACE DE LA GARE, 57200 SARREGUEMINES FranceHébergement
Sentry45 Fremont Street, 8th Floor
San Francisco, CA 94105		Outil de collecte de nos logs applicatifs
HUBSPOTCambridge, Massachusetts, Etats-UnisOutil d’envoi d’emailings Marketing
ZENDESK1019 Market St San Francisco, CA 94103
+1-888-670-4887		Suivi tickets clients et base de connaissances

Article 5. Sécurité des données

Conformément aux dispositions de l’article 32 du Règlement européen 2016/679, compte tenu de l’état des connaissances, des couts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Client et SEPTEO IT SOLUTIONS reconnaissent mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Les mesures techniques et organisationnelles mises en oeuvre peuvent inclure (liste non exhaustive) :

  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de Traitement.
  • Des moyens permettant de rétablir la disponibilité des Données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité des traitements.

SEPTEO IT SOLUTIONS tient à la disposition du client sur demande écrite de ce dernier les documents relatifs à la sécurité de ses Données comprenant notamment la documentation technique nécessaire, les procédures en vigueur, les analyses de risques produites et la liste détaillée des mesures de sécurité mises en oeuvre.

Article 6. Contrôle et audit

Si le client estime raisonnablement nécessaire d’effectuer un audit de nature à vérifier la permanence des dispositifs et procédures de protection internes des données personnelles, SEPTEO IT SOLUTIONS accepte de se soumettre à un tel audit, dans la limite d’une fois par an, effectué par un auditeur indépendant, réputé et non-concurrent de ses activités.

L'audit ne pourra porter que sur les seuls traitements effectués pour le compte du Client et dans le cadre de l'exécution du Contrat, à l'exclusion de toutes autres finalités ; à ce titre, il ne saurait comporter un accès aux systèmes, informations ou données non liées à l’exécution du présent Contrat.

Toute sollicitation du Client en vue de la réalisation d’un audit se doit être justifiée et dûment documentée.

L’audit ne peut être effectué que durant les heures d’ouverture de SEPTEO IT SOLUTIONS et d’une façon qui ne perturbe pas son activité.

Le Client enverra à SEPTEO IT SOLUTIONS toute demande d’audit par lettre recommandée avec avis de réception adressée à son siège. La demande doit être motivée et présenter l’identité de la société auditrice souhaitée.

Après réception de la demande, au moins 30 jours avant la date de démarrage souhaitée, SEPTEO IT SOLUTIONS et le Client confirmeront ensemble, dans le cadre d’un protocole d’accord signé par les Parties, l’identité de l’auditeur, le périmètre et la durée de l’audit ainsi que les contrôles de sécurité et de niveaux de confidentialité applicables à toute vérification.

Le Client prend à sa charge tous les frais occasionnés par l’audit, incluant de manière non limitative les honoraires de l’auditeur et rembourse à SEPTEO IT SOLUTIONS toutes les dépenses et frais occasionnés par l’audit en fonction du taux moyen du personnel du prestataire ayant collaboré à l’audit.

Un rapport d’audit sera rédigé par l’auditeur et remis gratuitement à chaque Partie.

Les Parties se rapprocheront ensuite pour discuter des conséquences éventuelles à donner au rapport d’audit, notamment les actions correctrices préconisées, leur coût et la répartition de celui-ci. Les informations, fichiers ou documents collectés par le Client ou le cabinet d’audit, originaux ou copies, sont soumis à l’obligation de confidentialité prévue au Contrat.

Article 7. Coopération

SEPTEO IT SOLUTIONS s’engage à coopérer avec le Client et à l’aider à satisfaire aux exigences de la Règlementation qui incombe à ce dernier en sa qualité de Responsable de traitement notamment pour la réalisation d’analyse d’impact et des consultations préalables de l’autorité de contrôle. Sur demande du Client, SEPTEO IT SOLUTIONS fournira à ce titre toute information utile en sa possession.

SEPTEO IT SOLUTIONS s’engage à adresser au Client dans les meilleurs délais après réception de toute demande de quelque nature qu’elle soit émanant de personne physique concernée par le traitement de ses données personnelles réalisé dans le cadre de l’exécution du contrat.

Il appartient au Client, de par sa qualité de seul Responsable de traitement, d’apporter la réponse à la personne concernée, SEPTEO IT SOLUTIONS s’engage dans la mesure du possible à aider le Client à respecter son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : accès, rectification, effacement, opposition, limitation et portabilité.

Article 8. Notification des violations de données

Le Sous-traitant notifiera au Responsable de traitement toute violation de données à caractère personnel dans les plus brefs délais après en avoir pris connaissance et par email adressé au Responsable de traitement, le cas échéant à l’administrateur. Cette notification sera accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire de notifier cette violation à l’autorité de contrôle compétente.

Article 9. Exercice des droits

S’agissant des informations le concernant directement, le Client dispose d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Ce droit peut être exercé :

  • Par mail : dpo@septeo.com
  • Par courrier : DPO – Septeo, Font de la Banquière, 194 Avenue de la Gare Sud de France, 34970, LATTES

L’auteur de cette demande doit indiquer ses coordonnées (nom, prénom, adresse) et un motif légitime lorsque celui-ci est exigé par la loi (notamment en cas d’opposition).