TRAITEMENT DES DONNEES PERSONNELLES « MONEWEB »

Le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le Règlement Européen sur la Protection des Données »), précise les obligations incombant au responsable de l'Exploitation (ci-après, le « Responsable de traitement ») et à l'Editeur de la présente Application (ci-après, « Sous-Traitant »).

1. Description du traitement faisant l'objet de la sous-traitance

Dans le cadre du fonctionnement de l'Application, le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel nécessaires dans le cadre des opérations visées ci-après.

1.1. Nature des opérations réalisées sur les Données

A titre liminaire, il est rappelé que le Responsable du traitement est seul responsable de la nature des Données qu'il collecte auprès des personnes concernées (exp : convives, etc…).

Le Sous-traitant ne définit, en aucun cas, les Données à collecter. Le Sous-traitant ne sera pas amené à intervenir, notamment en modification, sur les Données collectées.

Les traitements réalisés par le Sous-traitant sont listés ci-après :

1. intégration de fichiers fournis par le Responsable du traitement, comportant des Données personnelles, dans les bases de la Solution et de l'Application, sans intervention sur le contenu desdits fichiers,

2. maintenance de la Solution et de l'Application qui contient les Données personnelles.

Au titre de ces traitements, le Sous-traitant ne réalise aucune opération sur les Données personnelles.

Le Sous-traitant pourra procéder à des opérations sur les Données personnelles sur demande expresse du Responsable du traitement.

1.2. Les finalités des traitements réalisés par le Sous-traitant,

listés ci-avant, sont la gestion de la Solution et de l'Application installées pour permettre son utilisation par le Responsable du traitement ; le Responsable du traitement pouvant à son tour utiliser la Solution et de l'Application pour toute finalité, dont il a seul la maîtrise.

1.3. Les Données à caractère personnel pouvant être traitées,

selon les Données collectées par le Responsable du traitement, sont :

1. Données d'identification : nom, prénom, identifiant (par exemple : n° badge, n° matricule salarié,…),

2. Données de contact : courriel, etc…

3. Données économiques et financières : moyen de paiement, historique de transaction,

4. Données de connexion d'usage des services et d'interaction : logs, etc…

5. Donnés sur les produits et services consommés,

6. Données de contenu : avis sur les produits et services consommés, etc…

7. Données de localisation de la vente.

1.4. Les catégories de personnes concernées sont déterminées par le Responsable du traitement.

Pour l'exécution des Services proposés par l'Application, le Responsable de traitement met à la disposition du Sous-traitant toute information qui lui semble pertinente pour son utilisation de la Solution.

2. Obligations du Sous-traitant vis-à-vis du Responsable de traitement

Le Sous-traitant s'engage à :

1. traiter les Données uniquement pour la ou les seule(s) finalité(s) qui fait/font l'objet de la Sous-traitance.

2. traiter les Données conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu'une instruction constitue une violation du Règlement Européen sur la Protection des Données (REPD) ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative à la protection des Données, il en informe immédiatement le Responsable de traitement.

3. En outre, si le Sous-traitant est tenu de procéder à un transfert de Données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

4. garantir la confidentialité des Données à caractère personnel traitées dans le cadre du présent contrat.

5. veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du présent contrat :

6. s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

7. reçoivent la formation nécessaire en matière de protection des Données à caractère personnel.

8. prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des Données dès la conception et de protection des Données par défaut.

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement de Sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du Sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d'un délai de quinze (15) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu.

3. Obligations du Responsable de traitement

3.1. Droit d'information des personnes concernées

Il appartient au Responsable de traitement de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des Données.

3.2. Exercice des droits des personnes

Dans la mesure du possible, le Sous-traitant doit assister le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Utilisateurs : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

Les personnes concernées (et plus particulièrement les Utilisateurs) exercent auprès du Responsable de traitement leurs demandes d'exercice de leurs droits.

3.3. Le Responsable de traitement s'engage à :

1. documenter par écrit toute instruction concernant le traitement des Données par le Sous-traitant,

2. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement Européen sur la Protection des Données de la part du Sous-traitant,

3. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant,

4. s'identifier auprès des personnes concernées comme interlocuteur pour l'exercice de leurs droits.

4. Notification des violations de données à caractère personnel

Le Sous-traitant notifie au Responsable de traitement toute violation de Données à caractère personnel dans un délai maximum de soixante douze (72) heures, après en avoir pris connaissance et par tout moyen.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente, dans les meilleurs délais et, si possible, soixante douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

1. la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données à caractère personnel concernés ;

2. le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

3. la description des conséquences probables de la violation de Données à caractère personnel ;

4. la description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n'est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Le Responsable de traitement communique la violation de Données à caractère personnel à l'Utilisateur dans les meilleurs délais, lorsque cette violation est susceptible d'entacher les droits et libertés individuelles.

La communication à l'Utilisateur décrit, en des termes clairs et simples, la nature de la violation de Données à caractère personnel et contient au moins :

1. la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données à caractère personnel concernés ;

2. le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

3. la description des conséquences probables de la violation de Données à caractère personnel ;

4. la description des mesures prises ou celle que le Responsable du traitement propose de prendre pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

5. Aide du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations

Le Sous-traitant assiste le Responsable de traitement pour la réalisation d'analyses d'impact relative à la protection des Données.

Il concourt à apporter son aide au Responsable de traitement pour la réalisation de la consultation préalable de l'autorité de contrôle.

6. Mesures de sécurité

Le Sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes :

1. les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

2. les moyens permettant de rétablir la disponibilité des Données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

3. une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

7. Sort des données

Au terme de la Prestation de services relative au traitement de ces Données, le Sous-traitant s'engage, sur demande du Responsable du traitement, à réaliser les prestations suivantes, aux conditions financières en vigueur :

1. détruire toutes les Données à caractère personnel, étant entendu que le Responsable du traitement dispose des moyens nécessaires pour réaliser cette destruction,

2. à renvoyer toutes les Données à caractère personnel au Responsable de traitement ou,

3. à renvoyer les Données à caractère personnel au Sous-traitant désigné par le Responsable de traitement.

Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.

8. Délégué à la protection des données

Le Sous-traitant communique au Responsable de traitement les coordonnées de son délégué à la protection des données :

1. courriel : dpo@groupeclere.com

2. adresse postale de l'éditeur :
   JES
   Délégué à la Protection des Données
   5 rue Guglielmo Marconi
   F-44800 SAINT-HERBLAIN

9. Registre des catégories d'activités de traitement

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

1. le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels Sous-traitants et, le cas échéant, du délégué à la protection des données;

2. les catégories de traitements effectués pour le compte du Responsable du traitement;

3. le cas échéant, les transferts de Données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement Européen sur la Protection des Données, les documents attestant de l'existence de garanties appropriées;

4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

• la pseudonymisation et le chiffrement des Données à caractère personnel ;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

• des moyens permettant de rétablir la disponibilité des Données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

10. Documentation

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.