Le présent accord sur le traitement des données personnelles (« DPA ») est une annexe aux Conditions Générales et fait partie intégrante du Contrat applicable entre Signitic SAS et le Client. En cas de contradiction entre les Conditions Générales et le DPA, ce dernier prévaut.
1. Champ d’application et qualité des Parties
Le présent DPA a pour objet de définir les conditions dans lesquelles Signitic agissant en qualité de Sous-traitant, s’engage à effectuer pour le compte et sur instructions du Client, les opérations de Traitement des Données personnelles en lien avec les Services, et de définir les obligations et droits de Signitic et du Client. Le présent accord ne s’applique pas quand Signitic agit en qualité de Responsable de traitement. Cet accord résilie et remplace toutes conditions, contrats antérieurs entre les Parties ayant le même objet.
Dans le cadre du présent DPA, le Client est présumé agir en qualité de Responsable de traitement. Dans le cas où le Client agit pour le compte d’un Responsable de traitement tiers, en qualité de Sous-traitant, il garantit :
Le Client demeure devant Signitic, seul responsable de la bonne exécution des obligations du Responsable de traitement conformément au présent DPA.
Les Parties s’engagent à se conformer aux dispositions imposées par le RGPD, et plus généralement à la réglementation qui leur est applicable en matière de protection des données personnelles.
2. Définitions
Dans le cadre du DPA, les termes commençant par une majuscule auront la signification ci-après. Lorsqu’un terme portant une majuscule n’est pas défini dans la présente liste, la définition est celle précisée au sein du Contrat. Les définitions des termes « Responsable de traitement », « Sous-traitant », « Sous-Traitants Ultérieurs », « Traitement », « Autorité de contrôle », « Violation de données à caractère personnel » sont celles déterminées par le RGPD.
Données personnelles ou Données à caractère personnel : désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, que Signitic traite pour le compte du Client, afin de fournir les Services prévus au Contrat.
Personne concernée : désigne une personne physique dont les Données Personnelles sont traitées.
RGPD : désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
3. Description des opérations de Traitement
Signitic est autorisée à traiter pour le compte du Client, les Données personnelles nécessaires pour fournir les Services prévus au Contrat, selon la description suivante :
a. Types de Données personnelles : Données d'identification, données de navigation, données de connexion.
b. Catégories de personnes concernées : Collaborateurs du Responsable de traitement et leurs contacts ;
c. Objet et nature du Traitement : L'objet du Traitement des Données personnelles par Signitic est la fourniture des Services au Client qui implique le Traitement des Données personnelles. C’est notamment le cas du service de signatures email personnalisés, de l’organisation de campagnes ciblées selon les utilisateurs et de l’hébergement de cartes de visite numériques. La nature du Traitement implique la collecte, l’extraction, l’enregistrement, l’organisation, la conservation, la modification, la consultation, l’utilisation, la communication par transmission, la structuration, l’interconnexion, la destruction et l’effacement des Données personnelles. Les Données personnelles sont soumises aux activités de Traitement telles que spécifiées dans le Contrat.
d. Durée du Traitement : Les activités de Traitement sont effectuées pour la durée prévue au Contrat.
4. Obligations du Client
Le Client s’engage à :
1. S’assurer que les Services qu’il souscrit auprès de Signitic ont les caractéristiques et conditions requises pour le Traitement envisagé. A ce titre, les informations mises à la disposition du Client ont notamment pour but de lui permettre d’évaluer la conformité de ces mesures en relation avec le Traitement envisagé ;
2. Collecter sous sa responsabilité, de manière licite, loyale et transparente, les Données personnelles fournies à Signitic pour l'exécution des Services. Il vérifiera notamment la base légale de cette collecte ainsi que le bon respect des dispositions relatives à l’information des Personnes Concernées, dont il demeure responsable ;
3. Fournir à Signitic les Données personnelles nécessaires à l’exécution des Services, à l’exclusion de toute Donnée personnelle non pertinente, disproportionnée ou non nécessaire, et à l’exclusion de toute Donnée « particulière » au sens du RGPD notamment données sensibles ;
4. Documenter toute instruction concernant le Traitement des Données personnelles. Il est entendu que les modalités d’utilisation des Services et le présent accord vaudront instruction adressée à Signitic quant au Traitement à mettre en œuvre. Les instructions supplémentaires ou dérogatoires nécessitent un accord entre les Parties. Elles doivent initialement être spécifiées par écrit lors de la commande des Services et peuvent, à tout moment, avec l’accord écrit préalable de Signitic, être modifiées, complétées ou remplacées à la demande du Client, dans des instructions écrites, y compris électroniques, séparées ;
5. Veiller, au préalable et pendant toute la durée du Traitement, au respect par Signitic des obligations prévues par le RGPD ;
6. Respecter les obligations qui incombent au Responsable de traitement en vertu du RGPD, notamment respecter les droits des Personnes concernées.
5. Obligations de Signitic
Signitic s’engage à :
A ce titre, Signitic veille à ce que les personnes autorisées à traiter les Données personnelles (personnel, partenaires, Sous-Traitants Ultérieurs, etc.) s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
6. Durée de conservation des Données personnelles
A l’expiration ou résiliation du Contrat, Signitic s’engage à détruire ou anonymiser de manière irréversible les Données personnelles dans les conditions du Contrat, à moins que le droit applicable au Contrat n’exige la conservation des Données personnelles.
En fonction du Traitement, des Données personnelles peuvent faire l’objet de suppression ou anonymisation de manière irréversible en cours de Contrat. C’est notamment le cas lorsque Signitic met à disposition du Client dans le cadre de ses Services, des fonctionnalités lui permettant de supprimer et d’exporter des Données personnelles, ou lorsque des Données personnelles ont une durée de conservation limitée au regard de la finalité du Traitement concerné.
7. Sécurité
Signitic met en œuvre des mesures techniques et organisationnelles pour protéger les Données Personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé aux Données Personnelles, et ce dans la limite de son périmètre d’intervention et des moyens sous son contrôle au titre du Contrat. Ces mesures sont précisées sur le Site internet de Signitic. Elles pourront être amenées à évoluer. Dans ce cas, Signitic s’engage à ne pas réduire le niveau de protection mis en place et à ce que le niveau de sécurité apporté aux Données personnelles soit équivalent ou supérieur à celui en place lors de la souscription aux Services. Toutes les modifications d’impact significatif seront publiées sur le Site et sont portées à la connaissance du Client par ce biais. Il incombe à celui-ci de vérifier régulièrement l’adéquation des mesures au Traitement de ses Données personnelles.
Le Client s’engage quant à lui à prendre les mesures de sécurité nécessaires à la protection des Données personnelles qui lui incombent sur son périmètre et notamment :
8. Responsabilité
Signitic ne peut être tenue responsable que des dommages causés par un traitement pour lequel (i) elle n'a pas respecté les obligations prévues par le RGPD, qui incombent spécifiquement aux Sous-Traitants ou pour lequel (ii) elle a agi en-dehors des instructions licites du Client ou contrairement à celles-ci. Dans de tels cas, il est précisé que les stipulations visées au Contrat relatifs à la responsabilité de Signitic s’appliquent.
9. Audit
Signitic met à disposition sur son site internet les mesures principales qu’elle met en œuvre pour démontrer le respect de ses obligations. Le Client peut demander toute information complémentaire raisonnable en contactant les services de Signitic. Le Client peut réaliser ou faire réaliser par un tiers mandaté, non concurrent du Groupe dont Signitic fait partie, et tenu à une obligation de confidentialité, toute vérification (audit), dont notamment mise en œuvre de pentest, raisonnablement utile pour constater le respect effectif du présent DPA. Dans ce cadre, Signitic et le Client se réuniront préalablement pour convenir ensemble des conditions opérationnelles et sécuritaires d’une inspection technique sur site ou à distance. Le Client supportera seul l’intégralité des frais liés aux audits/inspections. En toutes hypothèses, les conditions d’audit ne doivent pas affecter la sécurité des données des autres clients de Signitic et ne doivent pas entraîner de perturbations pour le fonctionnement normal des activités de Signitic.
10. Droit des Personnes concernées
Droit d’information. Il appartient au Client d’informer les Personnes concernées par les opérations de Traitement dans les conditions prévues par le RGPD et notamment à ses articles 13 et 14.
Exercice des droits. Il appartient au Client de donner suite aux demandes d’exercice des droits des Personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, de limitation du traitement, de portabilité des données, de ne pas faire l’objet d’une décision individuelle automatisée, etc.).
Dans la mesure du possible, compte tenu de la nature du Traitement et des informations à sa disposition, Signitic s’engage vis-à-vis du Client, et sur demande de ce dernier, à l’aider à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées par le Traitement, dans la mesure où le Client ne dispose pas des informations ou des outils via les Services. Le Client reste seul responsable de la réponse apportée et de ses actions en découlant, aux et vis-à-vis des Personnes concernées.
En cas de demandes d’exercice des droits ou de plaintes par des Personnes concernées parvenant directement auprès de Signitic, cette dernière s’engage, dans les meilleurs délais, à les faire parvenir au Client.
11. Violation de Données à caractère personnel
Si Signitic a connaissance d’une Violation de Données à caractère personnel, elle en notifie le Client, par courrier électronique, dans les meilleurs délais. La notification faite au Client contient au moins :
12. Sous-traitance ultérieure
Signitic peut faire appel à d’autres sous-traitants pour mener des activités de Traitement spécifiques (“ Sous-Traitants Ultérieurs” - Annexe 1), ce que le Client accepte. Le Client accepte et approuve que Signitic fasse appel à chaque Sous-Traitant Ultérieur figurant sur cette liste ou autres documents à ce titre.
Signitic a conclu un contrat avec chacun de ses Sous-Traitants Ultérieurs reprenant substantiellement les mêmes obligations que celles auxquelles il est soumis conformément au DPA. Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, Signitic demeure pleinement responsable devant le Client.
Signitic peut être amenée à procéder à tout changement concernant l’ajout ou remplacement d’autres Sous-Traitants Ultérieurs. Dans ce cas, Signitic notifie, par courrier électronique, le Client, au moins 30 jours calendaires avant le changement effectif, en précisant le nom, l’adresse et le rôle du/des nouveaux Sous-Traitants Ultérieurs. Le Client peut s’opposer à ce changement, en procédant à la résiliation du ou des Services concerné(s), au plus tard 30 jours après la date d’envoi de la notification informant le Client du changement à venir. En cas de résiliation pour ce motif et dans ce délai, le Client recevra un remboursement des frais payés d'avance mais non utilisés pour la période restante à courir du/des Services concernés suivant la date d’effet de la résiliation, cette dernière intervenant à réception de la notification par Signitic. Avant de procéder à une telle résiliation, le Client peut émettre d’éventuelles objections auprès de Signitic. Les Parties échangeront sur les alternatives raisonnablement possibles pour écarter le(s) Sous-Traitant(s) Ultérieur(s) concerné(s) par les objections. Dans tous les cas, ces négociations ne prolongent pas le délai de résiliation accordé au Client. Signitic n’a également aucune obligation vis-à-vis du Client, de renoncer au changement envisagé de Sous-Traitant(s) Ultérieur(s). Si le Client n’effectue pas de résiliation dans le délai escompté, le Client est réputé avoir donné son accord quant à l’ajout ou le remplacement d’un/des Sous-Traitant(s) Ultérieur(s).
Toute objection/notification de résiliation prévue au présent article doit intervenir à l’adresse suivante : rgpd@signitic.com.
13. Transferts de données
Le Client est informé et accepte que, dans le cadre de l’exécution des Services, Signitic pourra transférer des Données personnelles à des sociétés de son Groupe. Ces transferts sont strictement nécessaires pour fournir les Services et sont limités à des fins d’administration interne.
Si, en application du Contrat, des Données personnelles sont transférées en dehors de l’Union européenne vers un pays qui ne fait pas l’objet d’une décision d'adéquation, est alors mis en œuvre, un accord conforme aux Clauses contractuelles types ou, selon le choix de Signitic, toute autre mécanisme de garantie approprié prévu par le RGPD.
14. Coordonnées - Notification
Pour toutes questions concernant ses Données personnelles, le Client peut contacter à son choix :
- Le service client, ou
- le service juridique par courriel : rgpd@signitic.com, ou
- le DPO , par courrier : SIGNITIC, Délégué à la protection des données, Parc d’activités des Quatre Vents, 3 Avenue Antoine Pinay, 59510 HEM ou par courriel : dpo@signitic.com.
Si le Client souhaite recevoir toute notification concernant l'exécution du présent DPA à une adresse e-mail spécifique, il peut faire parvenir sa demande auprès de l’adresse e-mail : rgpd@signitic.com. Dans le cas contraire, toute communication en lien avec le présent DPA, sera envoyée sur l’adresse électronique principale de contact du Client connu par Signitic dans le cadre des Services.