LA PRÉSENTE ANNEXE A POUR OBJET DE DÉFINIR LES CONDITIONS DANS LESQUELLES NIELSEN-DESIGN S'ENGAGE, À EFFECTUER POUR LE COMPTE DU CLIENT/SALARIÉ LES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL DÉFINIES CI-APRÈS.
DANS LE CADRE DE LEURS RELATIONS CONTRACTUELLES, LES PARTIES S'ENGAGENT À RESPECTER LA RÉGLEMENTATION EN VIGUEUR APPLICABLE AU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL ET, EN PARTICULIER, LA LOI N° 78-17 DU 6 JANVIER 1978 RELATIVE À L'INFORMATIQUE, AUX FICHIERS ET AUX LIBERTÉS DANS SA VERSION EN VIGUEUR (LA « LOI INFORMATIQUE ET LIBERTÉS») ET LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE (LE« RGPD »).
DÉFINITIONS
Pour les besoins de la présente et nonobstant toute autre définition prévue dans le Contrat, les présents termes commençant par une majuscule, qu'ils soient au singulier ou au pluriel, ont la signification suivante
« Données à caractère personnel»: désigne toute information se rapportant à une Personne Concernée.
« Personne concernée » : désigne toute personne physique identifiée ou identifiable dont les Données à caractère personnel la concernant font l'objet d'un Traitement. Est réputée être une« personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Responsable du Traitement»: désigne toute entité déterminant les finalités et les moyens du Traitement. Le Client agit, en application du présent Contrat, en qualité de Responsable du Traitement.«Sous-traitant»: désigne une entité traitant des Données à caractère personnel pour le compte, sur instruction et sous l'autorité du Responsable du Traitement. Le Fournisseur agit, en application du présent Contrat, en qualité de Sous-traitant.
«Traitement» : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données à caractère personnel ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
« Violation de Données à caractère personnel»: désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées et/ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
DÉSCRIPTION DES TRAITEMENTS
NIELSEN-DESIGN est autorisé pour le compte du Client/Salarié à traiter les Données à caractère personnel nécessaires pour fournir le ou les service(s) suivants:- Mener à bien son activité et garantir la commande, livraison et facturation du client ou fournisseur.
- Collecter le minimum d'informations nécessaire à l'accomplissement des tâches de ressources humaines interne.
- Manipulation et collecte de statistiques commercial dans une finalité commerciale pouvant contenir des données personnelles non sensibles.
- Manipulation d'extraction de données clients dans la cadre statistique commercial ou marketing comportant des Données à caractère personnel.
- Administration du système d'information interne, ainsi que des sites internet pouvant contenir des données personnelles. Cela comprend l'archivage, le maintien en conditions opérationnelles du SI.
- Développement d'applicatifs spécifiques ou de fonctionnalités à l'intérieur du Progiciel de gestion intégré pouvant impliquer des Données à caractère personnel.
Service d'assistance (Hotline, Techline) pouvant nécessiter la connexion sur le poste de travail de l'utilisateur sous son contrôle .
... autre service contractualisé.
Les modalités relatives au Traitement sont plus précisément définies dans le registre de traitement, sous la forme suivante :
• Objet du Traitement
• Nature et finalité du Traitement
• Type de Données à caractère personnel traitées
• Catégories de Personnes Concernées
• Durée de conservation des Données à caractère personnel
PROPRIÉTÉ ET SORT DES DONNÉES A CARACTÈRE PERSONNEL
Les Données à caractère personnel confiées par le Client / salarié restent sa propriété.
A la fin du Contrat quelle qu'en soit la cause, NIELSEN-DESIGN s'engage à détruire et/ou restituer les Données à caractère personnel confiées par le Client/salarié dans le cadre des prestations telles que définies dans le Contrat, sauf obligations légales applicables.
OBLIGATIONS DU FOURNISSEUR VIS-A-VIS DU CLIENT
Le NIELSEN-DESIGN s'engage à
Traiter les Données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la sous-traitance.
Traiter les Données à caractère personnel conformément aux instructions documentées du Client telles que définies dans la présente Annexe. Si le client/salarié considère qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des Données à caractère personnel, il en informe immédiatement NIELSEN-DESIGN. En outre, si NIELSEN-DESIGN est tenu de procéder sur instruction du client/salarié à un transfert de Données à caractère personnel vers un pays situé hors du territoire de l'Espace Economique Européen, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il s'engage à en informer le Client/salarié avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Assurer la confidentialité des Données à caractère personnel traitées dans le cadre du Contrat. Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du présent Contrat en mettant en œuvre notamment une charte informatique signée par l'ensemble de ses collaborateurs :
• S'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
• Reçoivent la formation nécessaire en matière de gestion des Données à caractère personnel.
• Prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des Données à caractère personnel dès la conception et de protection des Données à caractère personnel par défaut.
• Tenir par écrit un registre de toutes les catégories d'activités de Traitement effectuées pour le compte du Client/Salarié.
SOUS-TRAITANCE ULTERIEURE
Le Client/salarié autorise NIELSEN-DESIGN à faire appel à un autre sous-traitant (ci-après,« le soustraitant ultérieur») pour mener des activités de Traitement spécifiques. La liste des sous-traitants ultérieurs du Fournisseur est fournie sur demande écrite du Client/Salarié.
NIELSEN-DESIGN s'engage à informer le Client de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs dans les plus brefs délais.
Le Client/Salarié dispose d'un délai de dix (10) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections par écrit. Le Client/Salarié reconnaît et accepte, que l'absence d'objection dans ce délai équivaut à une acceptation de sa part du sous-traitant ultérieur. En cas d'objection, le Fournisseur dispose de la possibilité de répondre au Client/Salarié pour apporter des éléments de nature à lever ces objections. Si le Client/Salarié maintient ses objections, les Parties s'engagent à se rencontrer et à échanger de bonne foi concernant la poursuite de leur relation.
En tout état de cause, NIELSEN-DESIGN demeurera responsable envers le Client/Salarié de la bonne exécution du Contrat.
NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL
NIELEN-DESIGN s'engage à notifier au Client/Salarié toute Violation de Données à caractère personnel dans le cadre du Contrat dans les meilleurs délais après en avoir pris connaissance par courrier électronique du DPD de NIELSEN-DESIGN ou, à défaut, du Responsable de traitement.
Ladite notification sera accompagnée de toute documentation utile afin de permettre au
Client/Salarié, si nécessaire, de notifier ladite Violation de Données à caractère personnel à l'autorité de contrôle compétente et aux Personnes Concernées.
EXERCICE DES DROITS DES PERSONNES CONCERNÉES
Conformément à l'article 15 du RGPD et dans la mesure du possible, NIELSEN-DESIGN s'engage à accomplir ses obligations envers le Client/Salarié et à fournir aux Personnes Concernées les informations exigées par le RGPD, notamment: droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).
MESURES DE SECURITÉ
Conformément aux articles 28.3 e et 24 du RGPD, NIELSEN-DESIGN s'engage à mettre en œuvre et maintenir des mesures techniques et organisationnelles tenant compte de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.
NIELSEN-DESIGN s'engage à mettre en œuvre les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement dans le cadre du Contrat.
En particulier, NIELSEN-DESIGN s'engage à mettre en œuvre les mesures de sécurité suivantes:
• Mise en oeuvre d'un outil de traçabilité des connexions salariés et mots de passe invisibles sauf pour l'administrateur.
• Mise en oeuvre d'une charte informatique.
• Nomination d'un DPD contactable à l'adresse mail suivante dpo@nielsen-design.fr