Qu’est-ce que la RGPD ?

En 2016, la Commission Européenne a adopté une Réglementation Générale de Protection des Données Personnelles (RGPD, ou GDPR en Anglais).
Cette RGPD modifie en profondeur le cadre légale qui s’impose à toute entreprise traitant des données à caractère personnel.
Ce règlement a pris effet le 25 mai 2018.

Pourquoi la RGPD est importante ?

Ce nouveau cadre légal renforce et précise les obligations pesant sur toutes les entreprises pour protéger les données à caractère personnel qu’elles collectent et qu’elles traitent.

Que fait Proxilog pour se conformer aux exigences réglementaires de la RGPD ?

Proxilog s’engage à aligner ses pratiques pour respecter :

En particulier, et de manière non-limitative, Proxilog s’engage à :

  • tenir à jour son Registre des Traitements ;
  • tenir à jour son Registre des Sous-Traitants ;
  • tenir à jour son Registre des violations de sécurité des données à caractère personnelles.

Le Responsable des Données à caractère personnel chez Proxilog (Digital Protection Officer) est : Christophe REMY.

A compter du 25 mai 2018, l’avenant suivant s’applique à tout contrat de SERVICES de Proxilog sarl :

— AVENANT A NOS CONTRATS DE SERVICES DANS LE CADRE DE LA RGPD —

Entre

L’entreprise CLIENTE
(ci-après, « le responsable de traitement»)

d’une part,

et

Proxilog sarl, RCS Auxerre 440 278 570 00021, Code NAF 6201Z, situé 9 Place du Maréchal Leclerc à Auxerre et représenté par Christophe REMY son gérant et délégué à la Protection des Données (ci-après, « le sous-traitant»)

d’autre part,

I/ Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

II/ Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir tout ou partie des services mentionnés dans le contrat principal, y compris et de manière non-limitative les services suivants :

  • Hébergement et maintenance de site internet e-commerce
  • Création de boites emails
  • Création et routage de newsletters
  • Maintien et mise à jour de site internet
  • Création, maintenance et animation de comptes, pages et profils sur les réseaux sociaux.

La nature des opérations réalisées sur les données est la collecte, le transfert et le stockage, par tout moyen numérique, des données personnelles du responsable de traitement, de ses prospects ou de ses clients.

La finalité du traitement est la relation commerciale liant le responsable de traitement et ses clients finaux tel que défini dans le contrat de services liant le responsable de traitement et le sous-traitant.

Les données à caractère personnel traitées sont celles des prospects et clients du responsable de traitement nécessaires à la bonne relation commerciale (nom, prénom, adresse postale, adresse e-mail, coordonnées téléphoniques, adresse IP), dans le cadre des services définis dans le contrat liant le responsable de traitement et le sous-traitant.

Les catégories de personnes concernées sont le responsable de traitement et ses représentants le cas échéant.

Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant toute information nécessaire à la bonne exécution du contrat de services, en particulier et de manière non-limitative tout information liée à la bonne exécution de leur relation commerciale.

III. Durée du contrat 

Le présent contrat entre en vigueur à compter du jour de la redevance forfaitaire annuelle due par le responsable de traitement au sous-traitant dans le cadre de l’exécution des services, et pour une durée d’un an.

IV/ Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage à :

  1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
  2. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public
  3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
  6. Sous-traitance : le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de 7 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu. Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
  7. Droit d’information des personnes concernées : il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
  8. Exercice des droits des personnes : dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.
  9. Notification des violations de données à caractère personnel : le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par e-mail. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. La notification contient au moins :  la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;  le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins  la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  10. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Dans le stricte cadre des services souscrits par le responsable de traitement auprès du sous-traitant, ce dernier aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
  11. Mesures de sécurité : Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : opérer une veille régulière de l’état des services d’hébergement et des codes informatiques et web mis en place dans le cadre des services de sous-traitance définis contractuellement, que ce soit pour assurer la maintenance du site internet, la mise en place de campagne d’e-mailing, le suivi des réseaux sociaux ; assurer la confidentialité des données échangées dans le cadre de ces services entre le sous-traitant et le donneur d’ordre, en particulier et de manière non-limitative assurer que les accès physiques ou numériques à ces données sont réservés aux personnes en responsabilité au sein du sous-traitant ; assurer la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; à vérifier, au moins une fois par an, une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ; Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par contrat dans le cadre des services, et à informer le responsable de traitement des mesures de sécurité qui incombent au responsable du traitement et au sous-traitant, afin d’assurer le meilleure conformité technique et organisationnelle au regard de la Réglementation Générale sur la Protection des Données Personnelles.
  1. Sort des données : au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à détruire toutes les données à caractère personnel.
  1. Délégué à la protection des données : le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données : Christophe REMY, Proxilog sarl, 9 place du Maréchal Leclerc, 89000 Auxerre.
  1. Registre des catégories d’activités de traitement : le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :  le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;  les catégories de traitements effectués pour le compte du responsable du traitement; le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  1. Documentation

Le sous-traitant met à la disposition du responsable de traitement toute documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

V/ Obligations du responsable de traitement vis-à-vis du sous-traitant 

Le responsable de traitement s’engage à :

  1. fournir au sous-traitant les données visées au II des présentes clauses
  2. documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
  3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
  4. superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant

Sous-traitants

Proxilog fait appel de manière régulière à certains sous-traitants dans le cadre de sa mission de mise en oeuvre des SERVICES pour le compte de ses CLIENTS.

Si vous souhaitez obtenir la liste précise des sous-traitants utilisés dans le cadre de vos SERVICES, adressez-vous à notre Responsable de la Protection des Données (DPO) : Christophe REMY.

Ci-après une liste non-inclusive et non-limitative de certains sous-traitants utilisés de manière régulière par notre agence, et pour lesquels nous précisons la finalité principale du traitement  :

Gandi – Noms de domaine et boites email

OVH – Hébergement et boites email

PHPnet – Hébergement et boites email

Postmark – Suivi de données saisies dans des formulaires

Google – Google Drive, stockage et hébergement de données

Google – Google Analytics, suivi d’audience de site web

Stripe – Outil de paiement en-ligne

Amazon – Archivage de données