ACCORD DE TRAITEMENT DES DONNEES

Mise à jour 1er juin 2023

La finalité du présent accord de protection des données (l’ « Accord »), conclu entre Vade, Sous-Traitant, et le Client, Responsable de Traitement, conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »), est de définir les conditions dans lesquelles le Sous-Traitant traite, sur instruction du Responsable de Traitement, des Données Personnelles telles que définies dans le RGPD.  

Le présent Accord vise à encadrer les Traitements de Données dans le cadre de la réalisation de prestations de services par le Sous-Traitant au bénéfice du Responsable de Traitement.

ARTICLE 1 - DEFINITIONS

 Au sein du présent Accord, les mots ci-après, qu’ils soient au singulier ou au pluriel et dans la mesure où leur première lettre est en majuscule, sont définis comme suit :

Données Personnelles : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Incident : désigne tout incident de sécurité, d’origine malveillante ou non, se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité des Données Personnelles.

Lois Applicables : désigne les lois et règlements relatifs au traitement et à la protection de Données Personnelles applicables dans le pays où le Sous-Traitant est établi. Loi Applicable signifie en particulier (a) le RGPD, (b) les lois et règlements d’un état membre de l’Union européenne relatifs au traitement et à la protection des Données Personnelles, intégrant ou complétant le RGPD ; (c) toute autre loi ou règlement applicable relatifs au traitement et à la protection des Données Personnelles dans le cadre de l’Accord.

Prestations : désigne les prestations de services rendues par le Sous-Traitant au Responsable de Traitement et qui impliquent un Traitement des Données pour le compte du Responsable de Traitement.

Traitement des Données : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

 

ARTICLE 2 - OBJET DE L’ACCORD

L’Accord vise à encadrer le traitement de données à caractère personnel mis en œuvre dans le cadre de l’exécution des Prestations fournies par le Sous-Traitant au Responsable de traitement.

 

ARTICLE 3 - CONFORMITE A LA REGLEMENTATION APPLICABLE

Les Parties s’engagent à respecter les Lois Applicables telles que définies dans le présent Accord.

Si le Sous-Traitant estime que tout ou partie des instructions du Responsable de Traitement constituent ou peuvent constituer une violation des Lois Applicables, il en informe le Responsable de Traitement rapidement afin d’obtenir des instructions modifiées, sauf à ce que les Lois Applicables interdisent la fourniture de telles informations.

Le Responsable de Traitement procède aux adaptations des instructions, avec l’assistance raisonnable du Sous-Traitant en vue de la mise en conformité aux Lois Applicables. Ces modifications sont susceptibles d’avoir un impact substantiel sur la réalisation des Prestations et nécessiter, en particulier, un réexamen du périmètre et des conditions financières de la fourniture des Prestations. Dans cette hypothèse, les Parties négocieront de bonne foi les révisions nécessaires, y compris notamment le délai de mise en œuvre des modifications réclamées par le Responsable de Traitement.

Le Responsable de Traitement reconnait expressément et accepte que le Sous-Traitant ne soit pas lié par ses instructions qui violeraient les Lois Applicables. Le Sous-Traitant se réserve le droit de suspendre l’exécution des Prestations jusqu’à ce que les instructions soient modifiées pour être conformes aux Lois Applicables. Dans une telle hypothèse le Sous-Traitant informera le Responsable de Traitement de la mise en œuvre de la suspension, au plus tard le jour de ladite suspension.

Sans préjudice de ce qui précède, les Parties reconnaissent que le Sous-Traitant ne pourra être tenu responsable d’une violation des Lois Applicables dès lors que le Traitement des Données est conforme aux instructions du Responsable de Traitement.

Le Responsable de Traitement devra s’assurer que les Traitements de Données confiés au Sous-Traitant ont une base juridique appropriée et que les personnes concernées par ces traitements ont préalablement donné, si celui-ci est exigé, leur consentement conformément aux obligations imposées par les Lois Applicables.

 

ARTICLE 4 - OBLIGATIONS DU SOUS-TRAITANT

Dans le cadre de l’exécution de l’Accord, le Sous-Traitant agira uniquement sur les instructions documentées du Responsable de Traitement. A ce titre le Sous-Traitant s’engage à ne pas utiliser les Données Personnelles du Responsable de Traitement à d’autres fins que celles indiquées par le Responsable de Traitement ou pour son propre compte ou pour celui d’un tiers.

Si le Sous-Traitant ne peut se conformer aux instructions du Responsable de Traitement pour un quelconque motif, autre que la non-conformité aux obligations légales de ces instructions, le Responsable de Traitement en sera informé sans délai. Dans un tel cas les Parties conviendront des modifications que le Sous-Traitant sera en mesure de mettre en œuvre ou que le Responsable de Traitement pourrait apporter à ses instructions.

Seul le personnel qualifié, habilité et sensibilisé aux procédures de sécurité par le Sous-Traitant pourra être amené à intervenir dans le cadre du traitement confié par le Responsable de Traitement. Le Sous-Traitant s’assure que son personnel en charge du Traitement des Données est tenu à une obligation de confidentialité appropriée.

Le Sous-Traitant s’engage en outre à :

  • ce que les mesures de sécurité techniques et organisationnelles décrites en Annexe 1 soient appropriées au regard du traitement ; et,
  • ce que les mesures de sécurité techniques et organisationnelles soient adéquates compte tenu des risques de traitement et des finalités définies. Le Sous-Traitant s’engage en particulier à ne pas diminuer la sécurité globale du Traitement des Données pendant la durée de l’Accord sans le consentement préalable du Responsable de Traitement ; et,
  • fournir au Responsable de Traitement les informations raisonnablement accessibles et pertinentes concernant les Traitements de Données réalisés, telles que les informations nécessaires à la réalisation d’une étude d’impact sur le Traitement des Données ; et,
  • tenir un registre de toutes les catégories d’activité de Traitement des Données effectuées pour le compte du Responsable de Traitement et à le mettre à sa disposition sur demande ; et,
  • respecter les principes de protection des données dès la conception et par défaut ; et,
  • fournir au Responsable de Traitement la coopération et l’assistance nécessaire, pour répondre aux demandes des personnes concernées en particulier les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité ; et,
  • mettre à disposition du Responsable de Traitement l’ensemble de la documentation justifiant du respect de ses obligations ; et,
  • traiter les Incidents en conformité avec le présent Accord en particulier avec l’Article « Traitement des Incidents ».

 

ARTICLE 5 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Le Responsable de Traitement assure détenir tous les consentements et droits nécessaires pour autoriser le Sous-Traitant à traiter les Données Personnelles listée ici pour son compte et conformément au présent Accord. Si le Responsable de Traitement agit pour le compte d’un tiers, il garantit le Sous-Traitant que les instructions qu’il donne au dit Sous-Traitant concernant le Traitement des Données, y compris la désignation du Sous-Traitant pour la réalisation des Prestations, ont été autorisées par son responsable de traitement.

Le Responsable de Traitement fournit au Sous-Traitant toutes les instructions nécessaires à la réalisation du Traitement des Données qui sont confiées au Sous-Traitant et à la création du registre des activités de traitement applicables aux Données Personnelles objets du présent Accord.

Dans le cas où le Responsable de Traitement souhaiterait modifier ses instructions, il les notifie au Sous-Traitant au moins trente (30) jours à l’avance afin de permettre aux Parties d’évaluer les modifications proposées.

Le Responsable de Traitement reconnaît que la fourniture desdites instructions par le Responsable de Traitement est nécessaire afin que le Sous-Traitant puisse assurer de manière adéquate les Traitements des Données qui lui sont confiés.

Le Responsable de Traitement est seul responsable des Traitements des Données réalisés par le Sous-Traitant conformément à ces instructions.

Le Responsable de Traitement reconnait en outre que toute modification des instructions est susceptible d’avoir un impact substantiel sur la réalisation des Prestations et nécessiter, en particulier, un réexamen du périmètre et des conditions financières de la fourniture desdites Prestations. Dans cette hypothèse, les Parties négocieront de bonne foi les révisions nécessaires, y compris notamment le délai de mise en œuvre des modifications réclamées par le Responsable de Traitement.

 

ARTICLE 6 - TRAITEMENT DES INCIDENTS

En cas d’Incident affectant les Données Personnelles, le Sous-Traitant s’engage à alerter le Responsable de Traitement, dans un délai de soixante-douze (72) heures à compter de la prise de connaissance de l’Incident en indiquant : la nature dudit Incident, les conséquences probables de l’Incident, les catégories et le nombre approximatif de personnes et de fichiers concernés. Cette alerte doit être accompagnée de toute documentation utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle. Sauf obligation légale ou règlementaire contraire, le Sous-Traitant s’engage en outre à ne pas notifier un Incident à une autorité de contrôle sans l’accord préalable du Responsable de Traitement.

 

ARTICLE 7 - TRANSFERT DE DONNEES PERSONNELLES

Le Sous-Traitant s’engage à traiter les Données Personnelles du Responsable de Traitement en France et dans les pays figurant dans la liste des sous-traitants ultérieurs.

Dans le cas où le Traitement des Données par le Sous-Traitant impliquerait un transfert de Données Personnelles hors de l’Union européenne, le Sous-Traitant devra préalablement s’assurer que les sous-traitants tiers fournissent un niveau de protection adéquat aux Lois Applicables dans le cadre du Traitement des Données du Responsable de Traitement.

Le Sous-Traitant s’engage en outre à veiller à ce que tout sous-traitant dûment autorisé à traiter des Données Personnelles en dehors de l’Union européenne se soit engagé à respecter les obligations stipulées dans les Clauses contractuelles standard appropriées pour le transfert de Données Personnelles établies par la Commission européenne (ou toute autorité compétente), en particulier les Clauses contractuelles types « sous-traitant » de la Commission, conformément à la décision 2021/914, et mette en œuvre, le cas échéant, les mesures techniques, organisationnelles et juridiques supplémentaires lorsque l’analyse de la législation locale et des pratiques en matière de protection des données révèle qu’elles sont susceptibles de remettre en cause l’efficacité des garanties convenues entre les Parties. À défaut, le Sous-Traitant s’engage à mettre en œuvre des moyens alternatifs aux Clauses contractuelles types afin d’assurer un niveau adéquat de protection des Données Personnelles.

 

ARTICLE 8 - RECOURS A LA SOUS-TRAITANCE

Le Sous-Traitant est expressément autorisé à faire appel à des sous-traitants ultérieurs dont la liste figure ici.

Sans préjudice ce qui précède, en cas de recours à la sous-traitance, le Sous-Traitant devra avoir recueilli préalablement l’accord écrit du Responsable de Traitement, après l’avoir informé de l’identité et de la nature du sous-traitant ultérieur ainsi que sa mission dans le cadre du Traitement des Données.

Le Sous-Traitant s’engage à signer avec ses sous-traitants ultérieurs éventuels un contrat reprenant les obligations et garanties du présent Accord à un niveau au moins équivalent aux garanties et obligations auxquelles s’engage le Sous-Traitant aux termes du présent Accord.

En cas de recours à la sous-traitance, le Sous-Traitant demeure seul et unique garant de la bonne exécution de l’Accord et pleinement responsable devant le Responsable de Traitement de l’exécution par le Sous-Traitant de ses obligations.

 

ARTICLE 9 - EXERCICE DES DROITS

Le Responsable de Traitement définit les moyens mis en œuvre pour traiter les demandes d’exercice de droits par les personnes concernées, mais le Sous-Traitant doit, conformément aux Lois Applicables et compte tenu du type de traitement concerné, assister dans la mesure du possible le Responsable de Traitement dans l’exécution de ses obligations en lien avec l’exercice des droits par les personnes concernées.

Lorsque le Sous-Traitant reçoit la demande de la personne concernée, elle ne répondra pas directement aux demandes et en informera le Responsable de Traitement au plus tard sept (7) jours ouvrés à compter de la réception de la demande d’exercice de droits. Le Sous-Traitant ne saurait être tenu responsable des conséquences qui découleraient d’une absence de réponse ou d’une réponse trop tardive, par le Responsable de Traitement, à une demande d’exercice de droits dès lors que ladite demande a été dûment transmise dans les délais par le Sous-Traitant au Responsable de Traitement conformément au présent Accord.

 

ARTICLE 10 - ENTREE EN VIGUEUR ET DUREE

Le présent Accord entre en vigueur à la dernière date de signature par les Parties et continuera à s’appliquer pendant toute la durée d’exécution des Prestations par le Sous-Traitant.

Les Parties conviennent que l’Article « Suppression et restitution des Données Personnelles » survivra à l’expiration de l’Accord, quelle qu’en soit la raison.

 

ARTICLE 11 - SUPPRESSION ET RESTITUTION DES DONNEES PERSONNELLES

Sauf demande écrite contraire du Responsable de Traitement ou obligation légale contraire, au plus tard un (1) mois à compter de la fin de la fourniture des Prestations, quelle qu’en soit la raison, le Sous-Traitant s’engage à supprimer toutes les Données Personnelles du Responsable de Traitement sur tout support.

À la demande du Responsable de Traitement, le Sous-Traitant fournit un certificat de destruction des Données Personnelles au dit Responsable de Traitement.

 

ARTICLE 12 - AUDIT

Les Parties conviennent que le droit du Responsable de Traitement d'auditer le Traitement des Données Personnelles réalisé par le Sous-Traitant (y compris aux fins des audits décrits dans l'Article 28(3)(h) du RGPD et la Clause 8.9 des Clauses contractuelles types) sera soumis aux conditions suivantes :

À la demande du Responsable de Traitement, et sous réserve des obligations de confidentialité applicables à la réalisation des Prestations, le Sous-Traitant mettra à la disposition du Responsable de Traitement les informations nécessaires à la démonstration de la conformité du Sous-Traitant avec les obligations énoncées dans le présent Accord.

Le Responsable de Traitement pourra en outre procéder à un audit sur site du Sous-Traitant, sous réserve (i) de notifier le Sous-Traitant dix (10) jours ouvrés au moins avant la date d’audit, et (ii) de ne procéder à cet audit qu’aux heures et jours ouvrés applicables au site du Sous-Traitant. Les Parties conviennent que la durée d’un audit sera limitée à deux (2) jours ouvrés et ne pourra concerner que la conformité du Sous-Traitant au présent Accord.

En tout état de cause, le Responsable de Traitement ne pourra planifier plus d’un (1) audit de conformité par an sauf en cas de risque imminent lié à la sécurité des Données Personnelles.

 

ARTICLE 13 - LOI APPLICABLE ET ATTRIBUTION DE COMPETENCE 

Les Parties soumettent le présent Accord au droit français. Tous différends relatifs à la validité, à l'interprétation et à l'exécution du présent Accord qui ne pourrait être réglés de façon amiable entre les Parties, seront de la compétence exclusive du Tribunal de Commerce de Paris.

 

ARTICLE 14 - DISPOSITIONS GENERALES

14.1. Contact et notifications

Dans le cadre de l’application du présent Accord, les Parties auront la faculté de contacter et notifier l’autre Partie aux adresses figurant au présent Article.

Pour le Sous-Traitant :

  • Par courriel : dpo@vadesecure.com
  • Par courrier postal : VADE, à l’attention du DPO, 2bis Avenue Antoine Pinay, 59510 Hem, France.

Pour le Responsable de Traitement : l’adresse de contact de la personne en charge de la protection des données sont identifiées dans le contrat.

 

14.2. Modification et hiérarchie des documents contractuels

Nonobstant toute formulation contraire dans l'Accord, en cas de conflit ou d'incohérence (i) entre tout autre contrat commercial signé entre les Parties pour la réalisation des Prestations et le présent Accord, le présent Accord prévaudra ; (ii) entre le présent Accord et les Clauses contractuelles types, les Clauses contractuelles types prévaudront.

Toute modification du présent Accord devra faire l’objet d’un avenant écrit signé par les Parties.

La version française de l’Accord prévaut sur toute autre version linguistique.

 

14.3. Liste des annexes

Annexe 1 : Mesures de sécurité

 

ANNEXE 1

MESURES DE SECURITE

 

VADE observe actuellement les mesures de sécurité décrites dans la présente annexe.

a) Contrôle d'accès

i) Prévention de l'accès non autorisé aux produits

Traitement externalisé : VADE héberge son Service auprès de fournisseurs d'infrastructure cloud externalisés (infrastructure as a service). En outre, VADE entretient des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à notre Politique de Sécurité.

VADE s'appuie sur les accords contractuels, les politiques de confidentialité et les programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : VADE héberge l'infrastructure de ses produits chez des fournisseurs d'infrastructure externalisés et multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour vérifier la conformité aux normes Tiers 3 et ISO 27001, entre autres certifications (comme SOC 2 type 2 ou ISO 27701).

Authentification : VADE a mis en place une politique de mot de passe uniforme pour ses produits. Les Partenaires ou tiers qui interagissent avec les produits via l'interface utilisateur/admin doivent s'authentifier avant d'accéder aux données non publiques des Partenaires et tiers.

Autorisation : Les données des Partenaires/partenaires/tiers sont stockées dans des systèmes de stockage multi-locataires accessibles aux Partenaires et aux tiers uniquement via des interfaces utilisateur et des interfaces de programmation d'applications. Les Partenaires et tiers ne sont pas autorisés à accéder directement à l'infrastructure applicative sous-jacente.

Le modèle d'autorisation de chacun des produits de VADE est conçu pour garantir que seules les personnes désignées de manière appropriée peuvent accéder aux fonctions, vues et options de personnalisation pertinentes en utilisant le principe des privilèges réduits. L'autorisation d'accès aux ensembles de données est effectuée en validant les autorisations de l'utilisateur par rapport au profil associé à chaque ensemble de données.

Accès à l'interface de programmation d'applications (API) : Les API publiques des produits sont accessibles à l'aide d'une clé API ou par autorisation Oauth/SAML.

ii) Prévention de l'utilisation non autorisée des produits

VADE met en œuvre des contrôles d'accès et des capacités de détection conformes aux normes industrielles pour les réseaux internes qui prennent en charge ses produits.

Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent des implémentations de Cloud privé virtuel (VPC), l'attribution de groupes de sécurité et des règles de pare-feu traditionnelles.

Analyse statique du code : Des examens de sécurité du code stocké dans les référentiels de code source de VADE sont effectués, en vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Tests de pénétration : VADE entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour effectuer des tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Tests de vulnérabilité et gestion des correctifs : VADE entretient des relations avec des fournisseurs de services de tests de vulnérabilité reconnus par l'industrie pour effectuer six tests de vulnérabilité annuels sur tous les actifs de VADE. L'objectif des tests de vulnérabilité est d'identifier et de résoudre les faiblesses qui pourraient altérer le niveau de sécurité de VADE. VADE applique chaque mois les correctifs de sécurité fournis par les fournisseurs de logiciels ou d'infrastructures sur tous les composants de l'infrastructure de VADE.

iii) Limitations des privilèges et exigences en matière d'autorisation

Accès aux produits : Un sous-ensemble d'employés de VADE a accès aux produits et aux données des Partenaires via des interfaces contrôlées. L'objectif de l'accès à un sous-ensemble d'employés est de fournir un support Partenaire efficace, de résoudre les problèmes potentiels, de détecter et de répondre aux Incidents de sécurité et de mettre en œuvre la sécurité des données. Toutes ces demandes sont enregistrées. Les employés se voient accorder un accès en fonction de leur rôle, et les révisions des privilèges à haut risque sont initiées chaque année. Les rôles des employés sont revus au moins une fois par an.

Vérification des antécédents : Tous les employés de VADE sont soumis à une vérification des antécédents avant de recevoir une offre d'emploi, conformément aux Lois Applicables et dans la mesure où celles-ci le permettent. Tous les employés sont tenus de se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

b) Contrôle de la transmission

En transit : VADE met le cryptage HTTPS (également appelé SSL ou TLS) à disposition sur chacune de ses interfaces de connexion et gratuitement sur chaque site Partenaire hébergé sur les produits VADE. La mise en œuvre de HTTPS par VADE utilise des algorithmes et des certificats standard de l'industrie.

Au repos : VADE stocke les mots de passe des utilisateurs selon des politiques qui suivent les pratiques standard de l'industrie en matière de sécurité. VADE a mis en œuvre des technologies pour garantir que les données stockées sont cryptées au repos.

c) Contrôle des entrées

Détection : VADE a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Le personnel de VADE, notamment le personnel de sécurité, d'exploitation et de soutien, est réactif aux incidents connus.

Réponse et suivi : VADE tient un registre des Incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes, et la disposition de l'Incident. Les Incidents de sécurité suspectés et confirmés sont investigués par le personnel de sécurité, d'opérations, ou de support ; et les étapes de résolution appropriées sont identifiées et documentées. Pour tout Incident confirmé, VADE prendra les mesures appropriées pour minimiser les dommages au produit et au Partenaire ou la divulgation non autorisée. La notification au Tiers sera conforme aux termes de la Politique.

d) Contrôle de la disponibilité

Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour assurer un temps de fonctionnement minimum de 99,95 %. Les fournisseurs maintiennent une redondance minimale de N+1 pour l'alimentation, le réseau et les services CVC.

Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour assurer des protections de redondance et de basculement en cas de défaillance importante du traitement.

Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour être mises en grappe sur plusieurs instances. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standard de l'industrie.

Les produits de VADE sont conçus pour assurer la redondance et le basculement transparent. Les instances de serveur qui prennent en charge les produits sont également conçues dans le but d'éviter les points de défaillance uniques. Cette conception aide les opérations de VADE à maintenir et à mettre à jour les applications et le backend des produits tout en limitant les temps d'arrêt.