Accord sur le traitement des données
Annexe sur le traitement des données

"DPA"

L'objectif de la présente annexe sur le traitement des données (ci-après dénommée "DPA") est d'assurer la protection des données à caractère personnel.DPA) a pour objet de définir les termes et conditions dans lesquels DATAGMA, société de droit français (numéro RCS Paris : 833 914 393) dont le siège social est situé au 3 boulevard de Sébastopol, 75001 Paris, France, dûment représentée par Raphael Azot, en qualité de Directeur Général (ci-après " DATAGMA "), s'engage à traiter les données à caractère personnel de ses clients.DATAGMA" ou "Prestataire) s'engage à réaliser, pour le compte du client (ci-après " DATAGMA " ou " Prestataire "), les prestations suivantesclient"), le traitement de données à caractère personnel visé aux présentes.

La présente annexe est incorporée au contrat principal conclu entre le client et DATAGMA et en fait partie intégrante. En cas de conflit ou d'incohérence entre les dispositions du contrat principal et le présent DPA, les dispositions du présent DPA prévaudront.

Le prestataire de services et le client sont chacun individuellement désignés comme une "partie".partie"et collectivement dénommés les "parties".

  • DÉFINITIONS

Les termes en majuscules utilisés dans le présent DPA ont la signification qui leur est attribuée ci-après :

"GDPR" désigne le règlement général de l'UE sur la protection des données 2016/679.

"Réglementation en matière de données à caractère personnel"désigne toute loi applicable en matière de protection des données à caractère personnel, notamment le RGPD et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, telle que modifiée.

Toutes les définitions de la section 4 du GDPR s'appliquent au présent DPA, y compris, mais sans s'y limiter, les définitions suivantes : responsable du traitement, sous-traitant, données à caractère personnel, personnes concernées, pseudonymisation, consentement, violation de données à caractère personnel.

  • OBJET ET QUALIFICATION DES PARTIES

Par la présente, le client charge DATAGMA de traiter les données personnelles décrites dans l'annexe 1 en vue de fournir des services d'enrichissement de données B2B dans le cadre du contrat principal.

DATAGMA ne génère ni ne possède aucune base de données contenant les données personnelles obtenues au nom du client et n'utilise pas ces données à ses propres fins.

Les parties conviennent donc que lorsqu'elles traitent des données à caractère personnel dans le cadre de la fourniture des services d'enrichissement B2B en vertu de l'accord principal, le client agit en tant que responsable du traitement des données à caractère personnel et DATAGMA agit pour le compte du client en tant que responsable du traitement des données.

Les parties conviennent de se conformer, chacune pour ce qui la concerne, à toutes les dispositions auxquelles elles sont soumises en vertu de la réglementation applicable en matière de données à caractère personnel.

  • OBLIGATIONS DU CLIENT

Le client déclare que, lorsque le GDPR est applicable, il est conscient de ses obligations en tant que responsable du traitement des données, en particulier de ses obligations de (i) traiter les données à caractère personnel de manière licite, loyale et transparente à l'égard des personnes concernées, c'est-à-dired'informer les personnes concernées du traitement de leurs données à caractère personnel et de s'assurer que le traitement de ces données repose sur une base juridique et que les personnes concernées ont, le cas échéant, donné leur consentement au traitement de leurs données à caractère personnel, (ii) de tenir des registres de ses activités de traitement, (iii) désigner, le cas échéant, un délégué à la protection des données, (iv) à notifier en cas de violation des données, et (v) de procéder à des évaluations de l'impact sur la vie privée.

Cette liste n'est pas exhaustive et le Client reconnaît qu'il lui appartient de prendre les mesures nécessaires pour se conformer à la Réglementation applicable en matière de données personnelles dans son intégralité. DATAGMA ne peut en aucun cas être tenu responsable d'un manquement du Client à ses obligations en matière de protection des données.

  • OBLIGATIONS DE DATAGMA

Lorsque le GDPR est applicable, en sa qualité de sous-traitant, DATAGMA s'engage à :

  • Ne traiter les données personnelles que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, à moins que le droit de l'Union européenne ou le droit français ne l'exige. Dans ce cas, DATAGMA informera le Client de cette exigence légale avant le traitement, à moins que la loi applicable n'interdise une telle information pour des motifs importants d'intérêt public.

  • Veiller à ce que les employés autorisés à traiter des données à caractère personnel dans le cadre de l'accord principal se soient engagés à respecter la confidentialité ou soient soumis à une obligation légale appropriée de confidentialité.

  • En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, mettre en œuvre les mesures techniques et organisationnelles requises en vertu de l'article 32 du GDPR, telles qu'elles sont énumérées à l'annexe 2.

  • Compte tenu de la nature du traitement, aider le Client, à ses frais, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir son obligation de répondre aux demandes formulées par les personnes concernées pour exercer leurs droits en vertu du chapitre III du GDPR (droit à l'information, droit d'accès, droit de rectification, droit à l'effacement et à l'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée, y compris le profilage). Si une personne concernée s'adresse directement à DATAGMA pour exercer ses droits, DATAGMA transmettra cette demande au Client, dans les meilleurs délais.

  • Sur demande et aux frais du client, fournir une assistance raisonnable au client pour assurer le respect des obligations énoncées aux articles 32 à 36 du GDPR, en tenant compte de la nature du traitement et des informations dont dispose DATAGMA, et en particulier aider le client à assurer le respect de ses obligations liées à la notification d'une violation de données à caractère personnel et à la réalisation d'analyses d'impact relatives à la protection des données.

  • Dans les trente (30) jours ouvrables suivant la communication au client de toute donnée à caractère personnel demandée, supprimer ces données à caractère personnel et toute copie existante de celles-ci, à moins que le droit de l'Union européenne ou le droit des États membres n'exige que les données à caractère personnel soient conservées.

  • Sur demande, mettre à la disposition du client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et permettre des audits et y contribuer, au maximum une fois par an, y compris des inspections par le client ou un autre auditeur indépendant désigné par le client, à condition que l'audit soit (i) effectué par le client ou un autre auditeur indépendant désigné par le client, (ii) effectué par le client ou un autre auditeur indépendant désigné par le client.i) effectué moyennant un préavis écrit d'au moins dix (10) jours ouvrables, pendant les heures de bureau habituelles et sans interrompre les activités commerciales normales de DATAGMA, et (ii) est limité aux domaines et aux documents pertinents dans le contexte du traitement des données à caractère personnel en vertu de l'accord principal. Le client supporte seul les coûts de l'audit.

  • Informer immédiatement le client si, de l'avis de DATAGMA, les instructions données par le client enfreignent le GDPR ou les dispositions applicables de l'Union européenne ou des États membres en matière de protection des données.

  • Si DATAGMA prend connaissance, dans le cadre du contrat principal, d'une violation de données à caractère personnel, DATAGMA s'engage à notifier au Client cette violation dans les meilleurs délais et à lui fournir toutes les informations lui permettant de respecter ses propres obligations.

  • SOUS-PROCESSEURS

Le client autorise DATAGMA à engager des sous-traitants pour effectuer tout ou partie des activités de traitement des données à caractère personnel pour le compte du client dans le cadre de la fourniture des services d'enrichissement des données B2B.

DATAGMA s'engage à imposer à ces sous-traitants les mêmes obligations en matière de protection des données que celles prévues dans le présent DPA, notamment en ce qui concerne la fourniture de garanties suffisantes relatives à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du GDPR.

DATAGMA s'engage également à informer le Client de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant, notamment en fournissant au titulaire du compte du Client une notification de cet ajout ou de ce remplacement et/ou en publiant des mises à jour sur son site web, donnant ainsi au Client la possibilité de soulever des objections à ces changements sur la base de motifs raisonnables. Toute objection doit être notifiée par le client à DATAGMA par écrit dans les huit (8) jours ouvrables suivant la réception de la notification de DATAGMA. L'ajout ou le remplacement du sous-processeur est réputé avoir été approuvé par le Client si celui-ci ne s'y oppose pas par écrit dans un délai de huit (8) jours à compter de ladite notification. Si le client s'oppose à ce changement, les parties se rencontreront de bonne foi pour résoudre le problème par une solution mutuellement acceptable.

  • TRANSFERTS DE DONNÉES

Le Client accepte que, dans le cadre de la fourniture des services d'enrichissement des données B2B, des données personnelles puissent être transférées en dehors de l'Espace économique européen, y compris vers les États-Unis.

Lorsque le GDPR est applicable et qu'aucune décision d'adéquation n'a été accordée conformément à l'article 45 GDPR, ce transfert sera régi par les clauses contractuelles types pour les transferts internationaux de données telles qu'adoptées par la Commission européenne le 4 juin 2021 (ci-après "clauses contractuelles types").clauses contractuelles types"), signées entre DATAGMA et ses sous-traitants, et des garanties organisationnelles et techniques spécifiques seront mises en place, notamment, le cas échéant, le chiffrement des données, la mise en place du protocole HTTPS, les mises à jour de sécurité la sauvegarde des données et les certifications.

Les parties reconnaissent que, le cas échéant, la signature du présent DPA équivaut à la signature de la version actualisée des clauses contractuelles types et acceptent d'être liées par ces clauses contractuelles types.

DATAGMA et le client choisissent les conditions et options suivantes offertes par les clauses contractuelles standard :

  • Dans la clause 11(a) des clauses contractuelles types, la possibilité d'un règlement indépendant des litiges est réputée omise.
  • Dans la clause 17 des Clauses contractuelles types, l'OPTION 1 est sélectionnée, et les parties conviennent qu'il s'agit de la loi française.
  • Dans la clause 18 des Clauses Contractuelles Types, les parties conviennent que les tribunaux français seront compétents.
  • Dans l'annexe I:
    • La liste des parties est identique à celle de l'accord principal.
    • La description des transferts est fournie dans l'annexe 2 intitulée "Description du traitement des données à caractère personnel".Description du traitement des données à caractère personnel"de ce DPA ;
    • L'autorité compétente est la CNIL (Commission Nationale de l'Informatique et des Libertés).
  • Dans l'annexe II des Clauses Contractuelles Types, les mesures sont prévues à l'Annexe 2 du présent DPA intitulée "Mesures techniques et organisationnelles mises en œuvre par DATAGMA".
  • Dans l'annexe III des clauses contractuelles types, la liste des sous-traitants ultérieurs, tels que définis ci-après, figure à l'annexe 3 du présent DPA, intitulée "Liste des sous-traitants ultérieurs".Liste des sous-traitants ultérieurs".

  • LIMITATION DE LA RESPONSABILITÉ

La responsabilité de DATAGMA concernant toute réclamation relative à la protection des données sera limitée au montant des honoraires payés par le client dans le cadre du contrat principal au cours des 12 mois précédant la réclamation. La responsabilité de DATAGMA est conditionnée par le fait que le Client (i) notifie à DATAGMA toute réclamation ou action en rapport avec les obligations de DATAGMA dès que le Client a connaissance de cette réclamation ou action et fournisse rapidement à DATAGMA toute information pertinente en sa possession et (ii) atténuer tout dommage potentiel.

  1. TERME

Le présent DPA entre en vigueur à la date de signature de l'accord principal et prend fin à la date d'expiration ou de résiliation de l'accord principal.

  • DIVERS

Sauf modification et amendement spécifiques dans le présent document, tous les termes, dispositions, exigences et spécifications contenus dans l'accord principal restent inchangés et pleinement en vigueur.

  • DROIT APPLICABLE ET JURIDICTION

Le présent DPA est régi par les lois françaises.

Tout litige lié au présent DPA que les parties ne seraient pas en mesure de résoudre à l'amiable sera soumis à la compétence exclusive des tribunaux de Paris, sous réserve d'un éventuel appel devant la Cour d'appel.

ANNEXE 1

DESCRIPTION DU TRAITEMENT DES DONNÉES PERSONNELLES

La présente annexe 1 décrit le traitement des données à caractère personnel effectué par DATAGMA pour le compte du Client. Par la présente, le Client donne instruction à DATAGMA d'effectuer le traitement des données à caractère personnel tel que spécifié ci-après (ci-après le "Traitement confié").Traitement confié" ou les "données personnelles confiées") :

  • Finalité du traitement confié : 

L'objectif du traitement délégué est de fournir au client les services d'enrichissement des données B2B définis dans l'accord principal et notamment de fournir au client des informations complètes et actualisées sur les contacts professionnels.

  • Nature du traitement confié :

La nature du traitement confié consiste en la collecte, la consultation, l'hébergement, le stockage, l'extraction, l'utilisation, l'effacement ou la destruction de données à caractère personnel.

  • Catégories de données personnelles confiées : 

Le client charge DATAGMA de traiter les catégories suivantes de données à caractère personnel pour le compte du client :

  • Données d'identification, telles que le nom et le prénom.
  • Données de contact, telles que l'adresse électronique et le numéro de téléphone.
  • Données professionnelles, telles que l'organisation, le poste ou l'ancienneté.
  • Login, mots de passe, toute autre donnée de connexion.

  • Catégories de personnes concernées :

Les catégories de personnes concernées par le traitement confié sont les suivantes :

  • les personnes ciblées par le client, par exemple à des fins de marketing ou de recrutement.
  • Employés du client.

  • Durée du traitement confié:

Durée de l'accord principal.

ANNEXE 2

MESURES TECHNIQUES ET ORGANISATIONNELLES MISES EN ŒUVRE PAR DATAGMA

DATAGMA s'engage à mettre en œuvre des mesures techniques et organisationnelles pour protéger les données contre toute déformation, endommagement ou accès illicite par des tiers non autorisés. Des contrôles réguliers sont effectués pour évaluer la mise en œuvre effective de ces mesures.

En particulier, DATAGMA s'engage à mettre en œuvre ce qui suit :

  • Mesures techniques

  • Maintenir tous les logiciels à jour (par exemple par des mises à jour, des correctifs, etc.).
  • Protection des réseaux internes contre les accès non autorisés (par exemple, au moyen de pare-feu, de détecteurs de virus, etc.)
  • Des informations de journalisation appropriées sont collectées et périodiquement examinées et analysées.
  • Des méthodes de cryptage appropriées sont appliquées au système et/ou au service utilisé pour stocker les données à caractère personnel.
  • Utilisation de VPN pour l'accès à distance.

  • Mesures organisationnelles

  • L'accès aux données à caractère personnel est soumis à des obligations de confidentialité appropriées (par exemple, contrat de travail, accord de confidentialité, etc.)
  • Tous les ordinateurs traitant des données personnelles sont protégés par un mot de passe.
  • Connexion personnelle et individuelle de l'utilisateur pour l'enregistrement dans les systèmes ou le réseau de l'entreprise.
  • Politiques de mots de passe de pointe pour la création de mots de passe sécurisés.
  • L'accès aux systèmes informatiques est bloqué après plusieurs tentatives d'accès erronées.
  • Les mots de passe sont stockés sous forme hachée.
  • Une procédure de verrouillage automatique des sessions est mise en place sur chaque ordinateur.
  • Les employés sont tenus de respecter les règles applicables en matière de protection des données et sont soumis à une obligation de confidentialité.
  • L'accès aux données personnelles est strictement limité aux employés autorisés sur la base du "besoin de savoir".
  • Les comptes d'utilisateurs sont désactivés lorsque l'utilisateur quitte l'entreprise ou la fonction.
  • Des procédures dédiées aux incidents liés à la sécurité et à la vie privée sont en place.
  • Formation régulière des employés à la protection des données et à la sécurité informatique.

ANNEXE 3

LISTE DES SOUS-PROCESSEURS

Il est expressément convenu entre les Parties que, à la date du contrat principal, DATAGMA utilise les sous-traitants suivants, et que le Client autorise DATAGMA à utiliser les services de ces sous-traitants :

Nom Localisation des centres de données Objectif
Courtiers en données ÉTATS-UNIS Enrichissement des données
Amazon Web Services Irlande Hébergement
Google Belgique Hébergement