Règles de sous-traitance en matière de protection des données à caractère personnel

  • Préambule

    La présente Annexe, établie en application de l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, a pour objet de définir les conditions dans lesquelles Ealico s’engage, en tant que Sous-Traitant, à effectuer, les opérations de traitement de données à caractère personnel définies en Appendice 1 et sur demande.

    Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de Données personnelles et, en particulier, le règlement (UE) 2016/679 précité applicable depuis le 25 mai 2018 (ci-après, le « Règlement européen sur la protection des Données »), la loi « Informatique et libertés » n°78-17 du 6 janvier 1978 modifiée.

  • Article 1. Définitions

    Pour les besoins des présentes, les termes suivants auront le sens qui est donné ci-dessous :

    • « Accord » ou « Annexe » : désigne le présent accord sur la protection des données conclu entre les Parties ;
    • « Autorité de régulation » : désigne toute autorité compétente en matière de protection des Données Personnelles ;
    • « Contrat » : désigne le contrat définissant les conditions dans lesquelles Ealico s’engage à fournir les Services au Client ;
    • « Destinataire(s) autorisé(s) » : désigne un administrateur, un employé, un Sous-traitant Ultérieur ou un Tiers qui a un besoin légitime d’accéder aux Données Personnelles dans le cadre de l’exécution du Contrat ;
    • « Documentation sur Demande » : désigne la documentation contractuelle mise à disposition du Client par Ealico sur demande, faisant partie intégrante du présent Accord et étant susceptible d’évoluer dans les conditions définies aux présentes. La Documentation sur Demande comprend notamment :
      • La liste des finalités autorisées, disponible sur le compte administrateur du Client ;
      • La liste des Sous-Traitants Ultérieurs, disponible sur le compte administrateur du Client.
    • « Données Personnelles » : désigne toute information relative à une personne physique identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, par référence à un numéro d’identification ou à des éléments qui lui sont propres ;
    • « Données sensibles » : désigne les catégories particulières de Données personnelles dont le Traitement est par principe interdit. Il s’agit des Données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le Traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Les Données sensibles sont expressément exclues du Traitement ;
    • « Finalité(s) autorisée(s) » : désigne l’objet du Traitement de Données personnelles mis en œuvre par Ealico conformément à l’Appendice 1 et/ou à la Documentation sur Demande ;
    • « Intégration » : désigne l’interfaçage de l’application éditée par Ealico avec une ou plusieurs solution(s) éditée(s) par un Tiers dans les conditions prévues par le Contrat et selon les Services souscrits par le Client.
    • « Instructions » : désigne l’ensemble des instructions écrites par le Responsable du Traitement à destination de Ealico. Ces instructions peuvent prendre la forme du présent Accord sur la protection des données et de la Documentation sur Demande ou d’échanges écrits, y compris par voie électronique ;
    • « Loi sur la Protection des Données » : désigne la réglementation en vigueur applicable au Traitement de Données Personnelles et, en particulier :
      1. le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 dit « Règlement Général sur la Protection des Données »;
      2. la loi « Informatique et libertés » n°78-17 du 6 janvier 1978 modifiée ;
      3. toute législation entrant en vigueur et susceptible d’affecter les Traitements visés par le présent Accord.
    • « Parties » : au singulier désigne Ealico ou le Client. Au pluriel désigne chacune des deux Parties ;
    • « Pays tiers » : désigne tout pays non-membre de l’Espace Economique Européen ;
    • « Période d’Auditabilité » : désigne la période pendant laquelle le Client pourra exercer son droit d’audit tel que prévu à l’article 15 du présent Accord. La Période d’Auditabilité débute le 01 mai et s’achève le 31 juillet de chaque année.
    • « Personne concernée » : désigne toute personne physique dont les Données personnelles font l’objet d’un Traitement dans le cadre du présent Accord ;
    • « Responsable du Traitement » ou « Client » : désigne la personne qui détermine les moyens et les finalités du Traitement décrit en Appendice 1 et/ou sur la Documentation sur Demande ;
    • « Services » : désigne les services fournis par Ealico au Client conformément au Contrat ;
    • « Sous-traitant » : désigne Ealico qui traite les Données personnelles pour le compte du Responsable du Traitement et selon les Instructions décrites en Appendice 1 et/ou sur la Documentation sur Demande ;
    • « Sous-traitant Ultérieur » : désigne le sous-traitant de Ealico qui effectue des Traitements de Données personnelles en suivant strictement les Instructions délivrées par le Responsable du Traitement ;
    • « Tiers » : désigne tout tiers autorisé par le Client à recevoir les Données Personnelles dans le cadre des finalités autorisées et traitant les Données Personnelles en qualité de responsable du traitement distinct ou de sous-traitant distinct. Au sein du présent Accord, les Tiers désignent notamment les organismes de contrôle, entreprises de maintenance, ainsi que toute autre entreprise habilitée par le Client à recevoir ces informations ou les éditeurs tiers auxquels les Données Personnelles sont communiquées dans le cadre d’une Intégration. Ealico n’est pas responsable du traitement des Données Personnelles effectué par les Tiers.
    • « Traitement » : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. Le Traitement est détaillé en Appendice 1 et/ou sur la Documentation sur Demande ;
    • « Violation de Données Personnelles » : désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles soumises par ou pour le Client.

  • Article 2 – Objet et documents contractuels


    2.1. Objet de l’Accord


    2.1.1. Le présent Accord a pour objet de définir les rôles et obligations respectifs de chacune des Parties dans le cadre du Traitement de Données Personnelles mentionné en Appendice 1 et/ou sur la Documentation sur Demande pour lequel Ealico agit en qualité de Sous-Traitant.

    2.1.2. Le présent Accord se substitue à toute clause applicable en matière de protection des Données personnelles pouvant se trouver dans le Contrat. En cas de contradiction, les Parties conviennent expressément que la présente Annexe prévaudra sur le Contrat.

  • 2.2. Documents contractuels


    2.2.1. Le présent Accord est composé, par ordre de préséance, des documents suivants :

    • Du présent Accord ;
    • De la Documentation sur Demande ;
    • De ses appendices.

    2.2.2. En cas de contradiction entre les documents contractuels susvisés, il est expressément convenu que le document de rang supérieur prévaudra.

  • Article 3 – Modification de l’Annexe


    3.1. Cette Annexe ne peut être modifiée, sauf par écrit signé par les représentants dûment autorisés de chacune des Parties. En cas de modification de la Loi sur la Protection des Données, il est convenu que les Parties pourront réviser les dispositions du présent Accord et négocier de bonne foi pour se conformer à la Loi sur la Protection des Données mise à jour.

    3.2. Nonobstant ce qui précède, le Client reconnaît que les informations figurant au sein de l’Appendice sont susceptibles d’évoluer au cours du Contrat directement sur la Documentation sur Demande, à savoir notamment :

    • Les finalités autorisées, lesquelles dépendent directement des Services souscrits par le Client et des éventuelles mises à jour des Services par Ealico ;
    • Le Client reconnaît par ailleurs que les Services sont susceptibles d’évoluer en cours de Contrat d’Abonnement, ce qui constituerait ainsi de nouveaux traitements justifiés par leurs finalités ;
    • La liste des Sous-Traitants Ultérieurs et des transferts de Données personnelles, dont l’évolution est prévue à l’article 10 des présentes.

    3.3. En conséquence, le Client autorise Ealico à modifier les informations figurant à l’Appendice 1 du présent Accord en mettant à jour la Documentation sur Demande au fur et à mesure, pendant toute la durée du Contrat, étant précisé que :

    • Le Client pourra accéder aux différentes versions de la Documentation sur Mesure classées par date de publication sur un support durable ;
    • Ealico notifiera au Client toute modification de ces informations par tout moyen.

    3.4. Les Parties reconnaissent expressément que la Documentation sur Demande fait partie intégrante du présent Accord.

  • Article 4 – Durée


    Le présent Accord entre en vigueur à compter de la date de signature du Contrat par le Client et reste applicable durant toute la durée du Contrat.

  • Article 5 – Désignation et rôle de Ealico


    5.1. Désignation de Ealico en qualité de Sous-Traitant


    5.2.1. Le présent Accord s’applique aux Traitements réalisés par Ealico en qualité de Sous-Traitant du Client.

    5.2.2. Nonobstant ce qui précède, le Client autorise expressément Ealico à traiter les Données Personnelles objet du Traitement en qualité de responsable du traitement pour ses finalités propres.

    5.2.3. A cet effet, Ealico s’engage à :

    • S’assurer que les Finalités Propres ne sont pas incompatibles avec les finalités autorisées ;
    • A défaut, recueillir le consentement préalable des Personnes Concernées au traitement de leurs Données Personnelles pour les Finalités Propres.

    5.2.4. Dans le cadre des traitements des Données Personnelles réalisés par Ealico en qualité de responsable du traitement, Ealico s’engage à respecter ses obligations qui lui incombent en qualité de responsable du traitement et notamment ses obligations d’informer les Personnes concernées, de gérer leurs demandes d’exercice de droit et, le cas échéant, d’obtenir leur consentement.

  • Article 6 – Obligations générales des Parties


    6.1. En sa qualité de Sous-Traitant, Ealico s’engage à :

    • Respecter la Loi sur la Protection des Données ;
    • Traiter les Données personnelles conformément aux finalités autorisées et aux Instructions. En particulier, Ealico s’interdit de traiter les Données Personnelles pour des finalités autres que les finalités autorisées ou en dehors des Instructions du Responsable du Traitement sans l’accord préalable de ce dernier ou des Personnes concernées ;
    • Sensibiliser son personnel sur les problématiques relatives à la protection des Données Personnelles y compris aux principes de privacy by design et de privacy by default ;
    • Informer immédiatement le Client si, selon lui, une Instruction constitue une violation de la Loi sur la Protection des Données.

    6.2. Le Client, en sa qualité de Responsable du Traitement, s’engage à :

    • Respecter la Loi sur la Protection des Données ;
    • Fournir à Ealico les Données Personnelles mentionnées à l’Appendice 1 en vue de lui permettre d’atteindre les finalités autorisées ;
    • Superviser le Traitement, y compris en réalisant tout audit conformément à l’article 15 du présent Accord;
    • Documenter par écrit toute Instruction concernant le Traitement décrit en Appendice 1 des présentes ;
    • Veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par la Loi sur la Protection des Données ;
    • Respecter l’ensemble des obligations dont il est tenu en sa qualité de Responsable du Traitement en vertu de la Loi sur la Protection des Données relatives notamment à l’information des Personnes Concernées et, le cas échéant, à la collecte de leur consentement.

    6.3. Ealico n’a pas vocation à héberger des Traitements de Données sensibles et notamment des données de santé, et ne dispose pas de surcroît de l’agrément « Hébergeur Agréé de Données de Santé » prévu à l’article Article L1111-8 du Code de la santé publique. Le Client qui procédera à des Traitements de Données sensibles et notamment des données de santé assumera à lui seul la pleine et entière responsabilité de ses actes, sans que la responsabilité de Ealico ne puisse être engagée à ce titre.

  • Article 7 – Coopération et Assistance


    7.1. Ealico s’engage à :

    • Désigner un interlocuteur privilégié chargé de le représenter auprès du Client : le délégué à la Protection des Données tel qu’indiqué à l’Appendice 1;
    • Adhérer et participer à une logique de coopération afin de s’assurer du respect de la Loi sur la protection des Données personnelles et des Instructions. En particulier, Ealico fournira au Client une pleine coopération, des informations et une assistance en cas de plainte, de demande d’avis, de communication ou Violation de Données Personnelles. Ealico s’engage en outre à ne faire aucune déclaration ou annonce publique relative à une Violation de Données Personnelles à un tiers, y compris à une Autorité de régulation, sans avoir, au préalable, consulté le Client concernant le contenu d’une telle déclaration ou annonce publique ;
    • Modifier, transférer et / ou supprimer les Données Personnelles détenues par lui ou en son nom par un Sous-traitant Ultérieur, conformément à toute Instruction écrite du Client dans le cadre d’une demande d’exercice de droit d’une Personne concernée ;
    • Informer le Client dans les meilleurs délais :
      • Si Ealico considère qu’une Instruction constitue une violation de la Loi sur la Protection des Données ;
      • En cas de survenance d’une Violation de Données Personnelles, et ce dans les conditions prévues à l’article 8.2 du présent Accord ;
      • Si Ealico ou un Sous-traitant Ultérieur reçoit une plainte, un avis ou une communication d'une Autorité de régulation qui concerne directement ou indirectement le Traitement ou la conformité de l'une ou l'autre Partie à la Loi sur la protection des données et,
      • Si Ealico ou un Sous-traitant Ultérieur reçoit une plainte, un avis ou une communication d’une Personne concernée dans le cadre de l’exercice de ses droits.

    7.2. Ealico s’engage à aider le Client à respecter les obligations énoncées aux articles 32 à 36 du Règlement Général sur la Protection des Données en tenant compte de la nature du Traitement et des informations mises à la disposition de Ealico. Il est précisé que dans le cadre de cet accompagnement, certaines mesures demandées par le Client pourront faire l’objet d’une facturation complémentaire proportionnelle au temps passé par les équipes de Ealico dans la prise en charge de la demande du Client.

  • Article 8 – Sécurité


    8.1. Ealico s'engage auprès du Client à mettre œuvre des mesures techniques et organisationnelles appropriées au regard de la nature des Données personnelles et des risques présentés par le Traitement contre la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès aux Données Personnelles détenues ou traitées par elle, y compris toutes les mesures nécessaires pour assurer la conformité avec les exigences de sécurité des données dans la Loi sur la protection des données. Les mesures de sécurité mises en place par Ealico dans le cadre du Traitement sont détaillées sur son site Internet à l’adresse https://ealico.com/fr-fr/securite. Le Client reconnaît que Ealico pourra mettre à jour ses mesures de sécurité organisationnelles et techniques, notamment à fin de se conformer à toute nouvelle exigence découlant de la Loi sur la Protection des Données, pendant toute la durée du présent Accord, sous réserve de ne pas les dégrader.

    8.2. En cas de survenance d’une Violation de Données Personnelles affectant les Services de Ealico ou d’un Sous-traitant Ultérieur, Ealico s’engage à :

    • Notifier au Client toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance par message électronique ou par courrier avec accusé de réception ;
    • Dans la mesure du possible et au regard des informations portées à sa connaissance, accompagner la notification de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’Autorité de régulation ou à la Personne concernée.

    A ce titre, Ealico indiquera les points suivants :

    • La description de la nature de la Violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées par la Violation et les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés ;
    • Le cas échéant, le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
    • Dans la mesure du possible, la description des conséquences probables de la Violation de Données Personnelles ; et
    • La description des mesures prises ou que Ealico propose de prendre pour remédier à la Violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

    Dans le cas où il n’est pas possible de fournir toutes les informations précisées au présent article en même temps, Ealico les communiquera de manière échelonnée et dans les meilleurs délais.

    8.3. Le présent article s’entend sans préjudice des obligations propres du Responsable du Traitement en matière de sécurisation des Données Personnelles.

  • Article 9 - Obligations


    Chaque Partie s’engage à :

    • Tenir régulièrement à jour le registre des activités de traitements tel que prévu à l’article 30 du Règlement Général sur la Protection des Données, et conserver une trace écrite de tout Traitement et Instruction relative aux Traitements effectués pour le compte du Client ;
    • Tenir régulièrement à jour le registre des Violations de Données personnelles qui devra être complété dès la survenance d’une Violation de Données Personnelles, que cette violation ait, ou non, fait l’objet d’une notification auprès des services de l’Autorité de régulation ;
    • Conserver la documentation relative à la formation ou à la sensibilisation de leurs salariés à la protection des Données personnelles ; et
    • Documenter, dans la mesure du possible, l’ensemble des procédés mis en place en matière de protection des Données personnelles au travers de leur Politique de sécurité.

  • Article 10 – Destinataires autorisés


    10.1. Stipulations Générales

    Ealico garantit au Client qu’elle :

    • Restreint l'accès aux Données personnelles aux seuls Destinataires autorisés ayant besoin d'avoir accès aux Données ;
    • Ne divulgue aucune Donnée Personnelle à une autre personne sans en avoir préalablement informé le Client, sauf lorsque la loi ou une décision de justice le requiert.

    10.2. Sous-Traitants Ultérieurs


    10.2.1. S’agissant des Sous-Traitants Ultérieurs, Ealico garantit au Client qu’elle :

    • Impose aux Sous-traitants Ultérieurs des obligations de confidentialité et de sécurité au moins équivalentes à celles contenues dans la présente Annexe ;
    • Prend toutes les précautions utiles pour s'assurer que les Sous-traitants ultérieurs respectent la Loi sur la protection des données, et
    • Prend des mesures raisonnables pour assurer la fiabilité de tous les Sous-Traitants Ultérieurs ayant accès aux Données.

    10.2.2. Ealico garantit au Client :

    • En cas d’ajout ou de remplacement d’un Sous-traitant ultérieur, Ealico en informera le Client qui dispose d’un délai de dix (10) jours à compter de la notification susvisée pour présenter ses objections sur un motif valable relatif à la protection des Données Personnelles. A défaut d’objection du Client dans ce délai, le Sous-Traitant Ultérieur sera considéré comme ayant été accepté par le Client ;
      • A condition qu'un contrat de sous-traitance ultérieure soit conclu avec le Sous-traitant Ultérieur avant qu’il ne transfère ou n'accède à des Données personnelles et que ledit contrat contienne des obligations contraignantes en matière de respect de la Loi sur la Protection des Données ; et
      • A condition que Ealico veille à ce que le Sous-traitant respecte les obligations en matière de confidentialité, énoncées dans le contrat de sous-traitance ultérieure.

    10.2.3. Dans le cas où le Responsable du Traitement s'opposerait la désignation d’un Sous-Traitant Ultérieur dans les conditions détaillées à l’article 10.2 des présentes, chacune des Parties pourra résilier le Contrat avec un (1) mois de préavis.

    10.2.4. Jusqu'à l’expiration du Contrat, Ealico se réserve le droit de suspendre l’accès aux Services concernés par l'objection du Responsable du Traitement sans que le Responsable du Traitement ne soit fondé à obtenir un remboursement à ce titre.

    10.2.5. Les Parties reconnaissent qu’en respectant ses obligations au titre du présent article, Ealico se conforme à ses obligations au titre de l’article 28.2 du RGPD.

    10.2.6. Toute sous-traitance ultérieure des Traitements réalisés par Ealico en sa qualité de Sous-traitant ne libère pas Ealico de ses responsabilités et obligations envers le Client en vertu du présent Accord. Ealico demeure pleinement responsable devant le Responsable du Traitement de l’exécution, par le Sous-traitant ultérieur, de ses obligations.

    10.3. Tiers


    10.3.1. Afin d’exécuter les Services souscrits au titre du Contrat et/ou sur instruction du Client, Ealico pourra transférer les Données Personnelles aux Tiers, à savoir notamment :

    • Aux organismes de contrôle, entreprises de maintenance ainsi que toute autre entreprise habilitée par le Client à recevoir ces informations dans le cadre de la gestion contrôles ;
    • Aux éditeurs tiers dans le cadre d’une Intégration ou d’un partenariat.

    10.3.2. Il est rappelé que Ealico n’est pas responsable du traitement des Données Personnelles réalisé par les Tiers sous leur entier contrôle ou, le cas échéant, sous le contrôle du Client.

    10.3.3. En particulier, dans le cas d’une Intégration, le Client reconnaît que Ealico pourra également recevoir des Données Personnelles provenant des Tiers. Ces Données Personnelles seront traitées par Ealico pour les besoins des finalités autorisées. Le Client s'engage à ce que ses Données Personnelles, communiquées par les Tiers, soient exactes, à jour et complètes. Ealico ne pourra être responsable en cas d’erreurs dans la fourniture des Services qui seraient dues à des données inexactes, non à jour et incomplètes.

  • Article 11 – Personnes concernées

    Il est précisé que Ealico n’est pas responsable, à quelque titre que ce soit, des obligations prévues au présent article, lesquelles pèsent exclusivement sur le Responsable du Traitement.


    11.1. Information des Personnes concernées

    Dans le cadre de l’utilisation des Services, le Client, en qualité de Responsable du Traitement, s’engage à informer préalablement les Personnes concernées de la mise en place des opérations de Traitement.


    11.2. Demandes d’exercice de droits

    Dans le cas où Ealico recevrait une demande d’une Personne concernée souhaitant exercer ses droits en vertu de la Loi sur la Protection des Données dans le cadre du Traitement figurant en Appendice 1 et/ou sur la Documentation sur Demande :

    • Ealico en avisera le Client dans les meilleurs délais ;
    • Ealico n’agira que sur instruction écrite du Client ;
    • Le Client, en qualité de Responsable du Traitement, apportera une réponse à la Personne Concernée dans les délais prévus par la Loi sur la Protection des Données sous sa seule responsabilité ;
    • Ealico ne divulguera pas à la Personne concernée de Données Personnelles sans avoir préalablement consulté et obtenu le consentement écrit du Client ;
    • Toute opération réalisée par Ealico dans le cadre d’une demande d’exercice de droit pourra, le cas échéant, donner lieu à une facturation complémentaire compte tenu notamment des investigations techniques réalisées à la demande du Client.

  • Article 12 – Transfert de Données Personnelles vers des Pays Tiers


    12.1. Ealico s’engage à :

    • N’effectuer aucun transfert de Données Personnelles vers des Pays tiers sans le consentement préalable et écrit du Client ;
    • Se conformer aux Instructions délivrées par le Client concernant les transferts de Données vers des Pays tiers, sauf dans l’hypothèse où Ealico serait tenue, conformément aux lois applicables, de transférer des Données personnelles vers un Pays tiers. Dans ce cas précis, Ealico en informera le Client par écrit avant qu'un tel transfert n'ait lieu, à moins que la loi applicable n'interdise une telle notification.

    12.2. Le Client consent par les présentes au transfert de Données personnelles aux entités et aux emplacements mentionnées en Appendice 1 et/ou sur la Documentation sur Demande aux fins de la stricte exécution des Services par Ealico en sa qualité de Sous-traitant, et à condition que :

    • Le Pays tiers soit un pays qui, selon la Commission européenne, justifie d’un niveau adéquat de protection des Données Personnelles ; ou
    • Ealico satisfait à l’une des conditions suivantes :
      • Ealico conclut ou obtient de l’entité identifiée en Appendice 1 et/ou sur la Documentation sur Demande un accord sur le transfert de données reprenant les modèles de Clauses Contractuelles Types élaborés par la Commission européenne, le cas échéant complétées de mesures contractuelles ou techniques complémentaires ;
      • Les transferts effectués avec l’entité visée en Appendice 1 et/ou sur la Documentation sur Demande s’inscrivent dans le régime des garanties appropriées visé à l’article 46 du Règlement Général sur la Protection des Données et / ou toute autre garantie appropriée ultérieure jugée adéquate par la Commission européenne ;
      • Les transferts effectués avec l’entité visée en Appendice 1 et/ou sur la Documentation sur Demande s’inscrivent dans le régime d’exception visé à l’article 49 du Règlement Général sur la Protection des Données.

    12.3. En sa qualité de Sous-traitant, Ealico veille à ce qu'aucun transfert ultérieur de Données personnelles vers un autre Pays tiers n’ait lieu à moins que le Client n'accorde son consentement préalablement à ce transfert, ou que ce transfert ultérieur réponde aux exigences posées par l’article 10 des présentes.

  • Article 13 – Responsabilité


    La responsabilité de Ealico dans le cadre des opérations de Traitement pour le compte du Client est soumise à la limitation de responsabilité prévue au Contrat.

  • Article 14 – Sort des données


    14.1. A l’expiration du Contrat pour quelque motif que ce soit, Ealico s’engage restituer les Données Personnelles au Client et à ne conserver les copies existantes à des fins probatoires pour les délais de prescription légale applicables, à moins que le droit de l’Union Européenne ou le droit français n’exige la conservation de certaines Données personnelles.

    14.2. Nonobstant ce qui précède, le Client reconnaît que, sous réserve d’avoir collecté le consentement préalable des Personnes concernées ou autre base légale applicable, Ealico pourra conserver les Données Personnelles des Personnes concernées à l’issue du Contrat ou du contrat de travail des Personnes concernées. Ealico agira alors en qualité de responsable du traitement et sera seule responsable du respect de ses obligations à ce titre.

  • Article 15 – Information et audit


    15.1. Ealico s'engage, à ses frais, à fournir sur demande et dans les meilleurs délais, les informations que le Client peut raisonnablement demander pour confirmer que Ealico agit conformément à la Loi sur la protection des données.

    15.2. Le Client reconnaît que la réalisation d’un audit à certaines périodes de forte activité est susceptible porter atteinte à la bonne exécution des Services par Ealico et de désorganiser de manière substantielle ses activités auprès de l’ensemble de ses clients. En conséquence, le Client ne pourra exercer son droit d’audit que pendant la Période d’Auditabilité.

    15.3. Le Client peut commander la réalisation d’audits sur pièce afin de s’assurer du bon niveau de conformité des Traitements réalisés par Ealico en sa qualité de Sous-Traitant en adressant à Ealico une lettre recommandée avec accusé de réception,dans la limite d’un (1) audit par an et pendant la Période d’Auditabilité. Ealico disposera d’un délai de trois (3) mois pour adresser au Client les pièces demandées. Ne sont pas concernées par l’audit sur pièces les éléments confidentiels confiés à Ealico par d’autres clients.

    15.4. Le Client peut commander la réalisation d’audits objectifs de conformité à la Loi sur la protection des données sur les opérations de Traitement réalisées par Ealico en sa qualité de Sous-traitant aux fins de l’exécution des Services dans les conditions définies ci-après :

    • L’audit devra obligatoirement être précédé d’un audit sur pièce dans les conditions de l’article 15.3. ayant révélé des points de non-conformité substantiels de Ealico ;
    • L’audit devra être réalisé pendant la Période d’Auditabilité ;
    • L’audit est diligenté par un auditeur extérieur sélectionné ensemble par les Parties pour son expertise, son indépendance et son impartialité et qui n’est, en tout état de cause, pas un concurrent de Ealico ;
    • L’auditeur sélectionné est lié au Parties par un accord de confidentialité et/ou par le secret professionnel ;
    • Le Client avise, par écrit et moyennant le respect d’un préavis minimum de trente (30) jours ouvrés, Ealico de son intention de faire procéder à un audit de conformité ;
    • En aucune manière, l’audit réalisé ne saurait détériorer ou ralentir les Services proposés par Ealico ou porter atteinte à la gestion organisationnelle de Ealico ;
    • Un exemplaire du rapport d’audit identique est remis au Client ainsi qu’à Ealico des suites de la réalisation de la mission d’audit et pour lequel des observations pourront être apportées par les Parties. Ce rapport pourra, le cas échéant, faire l’objet d’un examen approfondi dans le cadre d’un comité de pilotage ;
    • Les frais de l’audit de conformité seront portés à la charge exclusive du Client ;
    • Le Client ne saurait commander des audits de conformité que dans la limite de un (1) audit par an ; et
    • Ealico disposera d’un délai de six (6) mois à compter de la communication du rapport d’audit pour corriger à ses frais les manquements et/ou non-conformités constatés. Le cas échéant, Ealico pourra de façon exceptionnelle allonger ce délai de trois (3) mois après avoir expressément informé le client et justifié objectivement un tel allongement.

    15.5. Ealico s'engage à permettre l’accès des auditeurs sélectionnés à ces sites, installations, documents et informations nécessaires en vue d’évaluer son bon niveau de conformité, et coopère pleinement avec eux en vue de la bonne réalisation de leur mission.

    15.6. Dans l’hypothèse d’un contrôle réalisé par une Autorité de régulation compétente pouvant intéresser les Traitements du Client, Ealico s’engage à coopérer pleinement avec l’Autorité de régulation.

    15.7. Dans l’hypothèse d’un contrôle réalisé par une Autorité de régulation compétente à l’égard du Client, Ealico s’engage à assister pleinement celui-ci concernant les Traitements réalisés.

    15.8. L’ensemble des Données collectées au titre des audits, inspections et contrôles sont considérées comme des Données confidentielles protégées par le secret des affaires.

  • Article 16 – Droit applicable et juridiction compétente


    La présente Annexe est soumise au droit applicable et à la juridiction compétente identifiés au sein du Contrat.

  • APPENDICE 1 : Instructions relatives au Traitement


    Préambule

    Instructions du Responsable du Traitement. Ealico, en sa qualité de Sous-Traitant, est autorisée à traiter pour le compte du Client les Données Personnelles nécessaires pour fournir les Services souscrits par le Client au titre du Contrat. Pour l’exécution du ou des Services objet du Contrat, le Client met à la disposition de Ealico, en sa qualité de Sous-Traitant, les informations nécessaires détaillées dans le présent Appendice.

    Evolution des Instructions et ressources numériques. Les Services souscrits par le Client étant en évolution permanente, le Client reconnaît que les informations relatives au Traitement sont susceptibles d’évoluer au fur et à mesure de l’évolution des Services et, le cas échéant, de la souscription du Client à de nouveaux Services. Ealico met à disposition du Client :

    • La liste à jour des finalités autorisées disponible sur demande ;
    • La liste à jour des Sous-Traitants Ultérieurs disponible sur demande.

    Ealico en qualité de responsable du traitement. La présente Appendice ne concerne pas les traitements réalisés par Ealico en qualité de responsable du traitement.


    1. Coordonnées du Délégué à la Protection des Données

    Délégué/Représentant à la protection des données de Ealico
    Mail [email protected]
    Courrier Ealico - À l'attention du DPO - 128 rue la Boetie, 75008 Paris

    2. Description du Traitement réalisé par Ealico en qualité de Sous-Traitant

    Catégories de personnes concernés

    Membres du personnel du Client. Personnes externes (consultants, inspecteurs, mainteneurs, ou toutes autres personnes externes susceptibles d’intervenir dans la gestion des contrôles).

    Catégories de données

    Données d’identité

    Données professionnelles

    Données de journaux de connexion

    Données communiquées pour le paramétrage de compte par les Clients

    Toutes autres données que les Clients, membres du personnel ou toutes personnes externes habilitées à intervenir dans la gestion des contrôles sont susceptibles de télécharger sur les comptes Clients et employé Ealico.

    Données sensibles

    Aucune. Ealico n’a pas vocation à héberger des Traitements de Données sensibles et notamment des données de santé, et ne dispose pas de surcroît de l’agrément « Hébergeur Agréé de Données de Santé » prévu à l’article L1111-8 du Code de la santé publique.

    Finalités autorisées

    Selon le Contrat et les Services souscrits par le Client à ce titre, Ealico est autorisé à traiter les Données Personnelles pour tout ou partie des Finalités précisées aux présentes. Le Client reconnaît que les Services sont susceptibles d’évoluer au cours du Contrat. La fourniture de tout nouveau Service par Ealico au Client est susceptible de constituer une nouvelle Finalité Autorisée, ce que le Client accepte et reconnaît.

    Pour consulter la liste à jour des finalités autorisées du Traitement, le Client est invité à en faire la demande. Il est rappelé que la liste à jour des finalités autorisées est directement intégrée à l’Accord sur la Protection des Données et prévaut sur le présent Appendice.

    • Gestion administrative du personnel
    • Gestion des accès et sécurisation des comptes
    • Paramétrage
    • Formation et assistance

    Durée de traitement

    Le Traitement est réalisé pendant toute la durée du Contrat. Le Client reconnaît que Ealico pourra continuer à traiter les Données Personnelles à l’issue du Contrat d’abonnement ou du contrat de travail ou assimilé des Personnes Concernées en qualité de responsable du traitement sous réserve d’avoir obtenu le consentement préalable de la Personne concernée ou autre base légale applicable.

    Période de rétention

    Les Données Personnelles sont conservées pendant les durées nécessaires à l’exécution des finalités.

    Transferts Hors-UE

    Les Données Personnelles sont susceptibles de faire l’objet de transferts vers des Pays Tiers (cf. point 3).

    Mesures de sécurité

    Les mesures de sécurité sont listées à l’adresse :https://ealico.com/fr-fr/securite.


    3.Destinataires autorisés


    3.1. Sous-Traitants Ultérieurs

    La liste à jour des Sous-Traitants Ultérieurs est disponible en ligne sur le compte administrateur du Client. Elle pourra être mise à jour par Ealico à tout moment, sous réserve du respect de la procédure de notification prévue à l’article 10 de l’Annexe. Sur demande du Client, Ealico pourra fournir des éléments complémentaires s’agissant de l’emplacement des opérations de traitement.

    Catégorie de traitement Sous-traitants Ultérieurs Emplacement des opérations de traitement
    Hébergement OVH Espace Économique Européen
    Hébergement Scaleway Espace Économique Européen
    Paramétrage et support Notion Labs Inc Pays Tiers
    Paramétrage et support Microsoft Corporation Pays Tiers
    Paramétrage et support Intercom Inc. Pays Tiers
    Paramétrage et support Hubspot Pays Tiers

    3.2. Autres destinataires

    Afin d’exécuter les services objet du Contrat conclu entre les Parties, Ealico est susceptible de transmettre certaines données à caractère personnel à des organismes de contrôle, entreprises de maintenance ainsi que toute autre entreprise habilitée par le Client à recevoir ces informations, ainsi qu’aux éditeurs tiers proposant une application faisant l’objet d’une Intégration.