Politique de protection des données

Les dispositions de la présente Annexe s’appliquent au(x) traitement(s) de Données Personnelles réalisé(s) dans le cadre du Contrat.

Il est entendu que la présente annexe complète les dispositions du Contrat.

1. Définitions

Pour l’exécution des présentes, les termes et expressions identifiés par une majuscule ont la signification indiquée dans le Contrat, qu’ils soient employés au singulier ou au pluriel.

2. Principes généraux

2.1. Il est rappelé qu’au sens de la Règlementation Applicable et dans le cadre de l’exécution du Contrat :

  • le Client agit en qualité de responsable du traitement de Données Personnelles ou, le cas échéant, sous-traitant de ses clients ;
  • Cegid agit en qualité de sous-traitant pour le compte et sur les instructions documentées et licites du Client.

A cet égard, il est entendu entre les Parties que l’expiration du contrat passé entre le Client et un ou la totalité de ses clients ultérieurs n’aurait aucune incidence sur la durée du Contrat.

2.2. Les Parties reconnaissent que la réalisation de l’objet du Contrat l’utilisation du Service et de ses fonctionnalités conformément à sa Documentation, constituent les instructions documentées du Client.

Toute instruction supplémentaire du Client devra être faite par écrit, préciser la finalité concernée et l’opération à effectuer. La mise en œuvre de toute instruction supplémentaire donnera lieu à l’établissement préalable d’un devis accepté par le Client si celle-ci excède les obligations de Cegid aux termes du Contrat.

Cegid s’engage à informer le Client par tout moyen dans un délai de cinq (5) jours à compter de la prise de connaissance par Cegid de l’instruction si elle considère qu’elle constitue une violation de la Règlementation Applicable. Cegid se réserve le droit de ne pas mettre en œuvre les instructions qu’elle considère contrevenir à la Règlementation Applicable.

2.3. Il est entendu que le Client est le seul à disposer de la maitrise et de la connaissance des Données Personnelles traitées lors de l’exécution du Contrat. Le Client garantit ainsi respecter l’ensemble des obligations qui lui incombent en qualité de responsable du traitement ou, le cas échéant, de sous-traitant.

2.4. À moins que le droit applicable n’exige la conservation de ces Données Personnelles et conformément aux conditions prévues au Contrat, Cegid supprimera les Données Personnelles et leurs éventuelles copies au terme du Service ou de la prestation dans les conditions indiquées au Contrat.

2.5. Cegid pourra être amenée à transférer les Données Personnelles pour les stricts besoins de l’exécution du Contrat sous réserve d’en informer préalablement le Client comme décrit à l’article 5 « sous-traitance » de la présente Annexe. Dans tous les cas, Cegid s’interdit de transférer les Données Personnelles, sans mettre en place les outils adéquats d’encadrement de ces transferts en application de l’article 46 du RGPD, en dehors :

  • de l’Union Européenne, ou
  • de l’Espace Economique Européen, ou
  • des pays reconnus comme disposant d’un niveau de sécurité adéquat par la Commission Européenne.

2.6. Cegid déclare tenir un registre des traitements tel que défini à l’article 30.2. du RGPD en qualité de sous- traitant.

3. Sécurité des Données Personnelles

3.1. En application de l’article 32.1 du RGPD, Cegid met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. Les moyens mis en œuvre par Cegid sont listés dans un document dédié dont la dernière version à jour est mise à disposition du Client sur demande ou sur le site internet de Cegid.

3.2. Il est rappelé que le Client demeure responsable de la sécurité et de la confidentialité de ses systèmes et de sa politique d’accès au Service. Il lui appartient de s’assurer que les usages et les choix de configuration du Service à sa disposition répondent aux exigences de la Règlementation Applicable. Il est entendu que Cegid n’a aucune obligation de protéger des données personnelles qui sont stockées ou transférées hors du Service par le Client ou par Cegid sur instruction du Client et en dehors de l’exécution du Service.

3.3. Cegid veille à ce que son personnel autorisé à traiter des Données Personnelles s’engage à en respecter la confidentialité conformément aux termes de la présente annexe.

4. Coopération avec le Client

4.1. Cegid s’engage à communiquer au Client dans les meilleurs délais après réception, toute demande, requête ou plainte qui lui serait adressée par toute personne physique concernée par le traitement de ses Données Personnelles réalisé dans le cadre du Contrat.

En qualité de responsable du traitement, le Client ou le cas échéant, ses clients finaux, sont seuls responsables de la réponse à apporter aux personnes physiques concernées et Cegid s’engage à ne pas répondre à leurs demandes. En outre, compte tenu de la nature du traitement de Données Personnelles, Cegid s’engage par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à fournir au Client les informations en sa possession afin de l’aider à s’acquitter à ses obligations d’y donner suite.

4.2. Sur demande écrite du Client, Cegid fournit au Client, aux frais de ce dernier si cette demande excède les obligations de Cegid en qualité de sous-traitant imposées par la Règlementation Applicable et notamment celles prévues à l’article 28 du RGPD, toute information utile en sa possession afin que le responsable de traitement satisfasse aux exigences de la Règlementation Applicable concernant les analyses d’impact ainsi que les consultations préalables de la CNIL qui pourraient en découler.

5. Notification des violations de Données Personnelles

5.1. Cegid notifie au Client dans les meilleurs délais après en avoir pris connaissance toute violation de la sécurité des Données Personnelles entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles Données Personnelles.

5.2. Cegid fournit au Client dans les meilleurs délais à compter de la notification de la violation de la sécurité des Données Personnelles et dans la mesure du possible les informations suivantes :

  • la nature de la violation ;
  • les catégories et le nombre approximatif de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • la description des conséquences probables de la violation de données à caractère personnel ;
  • la description des mesures prises ou que Cegid propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

6. Sous-traitance ultérieure

6.1. Le Client autorise Cegid à faire appel à des sous-traitants ultérieurs pour mener les activités de traitement de Données Personnelles nécessaires à l’exécution du Contrat.

6.2. Cegid s’engage à faire appel à des sous-traitants ultérieurs présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à répondre aux exigences de la Règlementation Applicable.

6.3. Cegid s’engage à imposer contractuellement à ses sous-traitants ultérieurs un niveau d’obligation au moins équivalent en matière de protection des Données Personnelles à celui fixé par le présent Contrat et par la Règlementation Applicable. Cegid demeure responsable à l’égard du Client de l’exécution par ledit sous-traitant ultérieur de ses obligations.

6.4. Cegid s’engage à faire appel uniquement à des sous-traitants ultérieurs :

  • établis dans un pays de l’Union Européenne ou de l’Espace Economique Européen, ou
  • établis dans un pays disposant d’un niveau de protection suffisant par décision de la Commission Européenne au regard de la Règlementation Applicable, ou
  • si les deux conditions précédentes font défaut, après la mise en place de garanties appropriées en application de l’article 46 du RGPD.

6.5. La liste des sous-traitants ultérieurs de Cegid est fournie au Client à la signature du Contrat. Cegid s’engage à informer le Client de tout ajout ou remplacement de sous-traitants ultérieurs préalablement à cet ajout ou remplacement.

Le Client pourra formuler ses objections par écrit dans un délai de dix (10) jours ouvrés à compter de la réception de l’information. Le Client reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation de sa part du sous-traitant ultérieur.

En cas d’objection et après réponse de Cegid, si le Client maintient sa position, les Parties s’engagent à se rencontrer et à échanger de bonne foi pour dégager une solution.

7. Conformité et audit

Cegid met à la disposition du Client, par courriel ou moyen équivalent n’entrainent pas de coûts supplémentaires pour Cegid et à la demande de celui-ci, tout document nécessaire permettant de démontrer le respect des obligations de Cegid en qualité de sous-traitant au titre du Contrat. Les frais de tout autre mode de transmission souhaité par le Client seront à la charge de de celui-ci.

Le Client pourra réclamer auprès de Cegid des explications complémentaires si les documents fournis ne lui permettent pas de vérifier le respect des obligations de Cegid en qualité de sous-traitant au titre du Contrat. Le Client formule alors une demande écrite auprès de Cegid, par lettre recommandée avec accusé de réception, dans laquelle il justifie et documente sa demande d’explication complémentaire. Cegid s’engage à apporter une réponse au Client dans les meilleurs délais.
Si malgré la réponse de Cegid, le Client souhaite procéder à un audit sur site, les conditions et modalités de cet audit seront les suivantes :

(i) le Client formule une demande écrite d’audit sur site auprès de Cegid par lettre recommandée avec accusé de réception prévoyant un délai de préavis d’au moins trente (30) jours avant le début de la période au cours de la laquelle la date de l’audit sera fixée (ci-après la « Période »). Le Client devra indiquer dans cette demande les dates de début et de fin de la Période. Cette Période devra être d’une durée d’au moins trois (3) semaines Cegid proposera au Client une date au cours de cette Période pour la réalisation de l’audit demandé par le Client. Les Parties conviennent par ailleurs qu’un audit ne pourra intervenir ni en juin ni en décembre de chaque année ;
(ii) les vérifications effectuées au titre de l’audit pourront avoir lieu dans les locaux de Cegid où sont installés les moyens informatiques de l’infrastructure permettant d’opérer le Service et/ou les prestations en qualité de sous-traitant et dès lors que ces vérifications n’ont pas pour conséquence de perturber l’exploitation du Service et/ou le déroulement des prestations. La durée de l’audit ne devra pas dépasser deux (2) jours ouvrés qui seront facturés par Cegid au Client selon le tarif des prestations en vigueur au moment du déroulement de l’audit.

(iii) l’audit peut être réalisé par les auditeurs internes du Client ou confié à tout prestataire au choix du Client, non concurrent de Cegid ;

(iv) Les auditeurs devront prendre un engagement formel de non-divulgation des informations recueillies chez Cegid quel qu’en soit le mode d’acquisition. La signature de l’accord de confidentialité par les auditeurs devra être préalable à l’audit et l’accord communiqué à Cegid.

Dans le cadre de l’audit, Cegid donnera accès à ses locaux, et d’une manière générale aux documents et aux personnes nécessaires afin que les auditeurs puissent conduire l’audit dans des conditions satisfaisantes. Il est entendu que cet audit ne doit pas avoir pour conséquence de perturber l’exploitation du Service ou la réalisation des prestations dues aux clients ou à un tiers.

Le rapport d’audit sera mis à la disposition de Cegid par les auditeurs avant d’être finalisé, de telle sorte que Cegid puisse formuler toutes ses observations Celles-ci figureront au rapport final qui devra y répondre.

Le rapport final sera ensuite adressé à Cegid et fera l’objet d’un examen contradictoire entre les Parties.

Au cas où le rapport final révèlerait des manquements aux engagements pris au titre de l’exécution du Service, Cegid devra proposer un plan d’actions correctives dans un délai de vingt (20) jours ouvrés maximum à compter de la réunion entre les Parties.

Il est entendu qu’au sens de la présente clause, jour ouvré désigne un jour compris entre le lundi et le vendredi et qui n’est pas un jour férié en France métropolitaine.
Sauf évènement accidentel tel qu’une violation de Données Personnelles ou contrôle de la CNIL, les audits pourront être réalisés par le Client une fois pendant la Période Initiale du Contrat si applicable puis une fois tous les trois (3) ans.

8. Description du traitement

La nature des opérations réalisées sur les Données Personnelles et la ou les finalité(s) du traitement sont celles visées au Contrat. La durée du traitement est celle du Contrat augmenté de la période de réversibilité le cas échéant. Le type Données Personnelles traitées et les catégories de personnes concernées sont décrits dans un document dédié disponible sur demande du Client.

Cette description correspond au fonctionnement standard du Service. Il est de la responsabilité du Client de vérifier si cette description correspond aux finalités et traitements effectivement réalisés et aux données personnelles effectivement traitées.