Accord de sous-traitance (DPA)
Dernière mise à jour : [DATE]
Parties et objet
Le présent accord de sous-traitance (« DPA ») est conclu entre le Client professionnel utilisateur du Service (« le Responsable de traitement ») et [RAISON SOCIALE], éditeur du logiciel Mon Carnet Client (« le Sous-traitant »). Il encadre, au sens de l'article 28 du RGPD, le traitement par le Sous-traitant des données personnelles des clients finaux du Responsable, pour le compte et sur instruction de ce dernier, dans le cadre de la fourniture du Service. Il fait partie intégrante des conditions générales d'utilisation professionnelles.
Rôles des parties
Le Responsable de traitement détermine les finalités et les moyens du traitement des données de ses clients finaux et en répond. Le Sous-traitant traite ces données uniquement pour fournir le Service, conformément aux instructions documentées du Responsable. Le Sous-traitant n'agit jamais comme responsable de ces données et ne les utilise pas à ses propres fins.
Nature, finalité et durée du traitement
Le traitement a pour nature la collecte, l'enregistrement, l'hébergement, la consultation, l'organisation et, en fin de contrat, la suppression des données. Sa finalité est la gestion d'un programme de fidélité dématérialisé : émission et gestion de cartes Apple/Google Wallet, comptabilisation des tampons, points et visites, attribution des récompenses et, sous réserve du consentement recueilli par le Responsable, diffusion de communications marketing par notification poussée sur le wallet, à l'exclusion de tout e-mail ou SMS marketing. Le traitement dure le temps de la relation contractuelle entre les parties.
Catégories de données et de personnes concernées
Les personnes concernées sont les clients finaux (consommateurs) du Responsable. Les catégories de données traitées sont : prénom, nom, date de naissance, langue préférée, solde de fidélité (tampons, points, visites), et les consentements (acceptation des conditions et consentement marketing) avec leur horodatage et leur source. Aucune donnée relevant de catégories particulières au sens de l'article 9 du RGPD n'est requise par le Service ; le Responsable s'interdit d'en introduire.
Instructions documentées
Le Sous-traitant ne traite les données que sur instruction documentée du Responsable, telle qu'exprimée par l'utilisation des fonctionnalités du Service, par le présent DPA et par les conditions générales. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition applicable, il en informe le Responsable. Le Sous-traitant informe le Responsable s'il est tenu par le droit de l'Union ou d'un État membre de procéder à un traitement, sauf interdiction légale.
Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès aux données est limité aux membres du personnel qui en ont besoin pour fournir le Service.
Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, notamment : chiffrement des données en transit, contrôle et journalisation des accès, cloisonnement des environnements, gestion des habilitations, sauvegardes régulières, et procédures de continuité et de reprise. L'effacement des données des clients finaux est mis en œuvre par anonymisation : suppression des données identifiantes (nom, e-mail, téléphone) et gel du compte, l'historique non nominatif (visites, récompenses) pouvant être conservé à des fins statistiques pour le Responsable. La liste détaillée des mesures figure en [ANNEXE SÉCURITÉ À COMPLÉTER].
Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir à des sous-traitants ultérieurs pour fournir le Service. À la date des présentes, ceux-ci sont : Stripe (facturation), Cloudinary (hébergement des images des passes), [FOURNISSEUR D'E-MAILS TRANSACTIONNELS], Apple Wallet et Google Wallet (émission et notifications des cartes), et [HÉBERGEUR] (base de données PostgreSQL). Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations de protection équivalentes à celles du présent DPA et reste responsable envers le Responsable de leur exécution. Il informe le Responsable de tout changement envisagé de sous-traitant ultérieur, lui permettant d'émettre des objections.
Transferts hors Union européenne
Certains sous-traitants ultérieurs peuvent traiter des données en dehors de l'Union européenne. Dans ce cas, le Sous-traitant veille à ce que de tels transferts soient encadrés par un mécanisme reconnu par le RGPD (décision d'adéquation, clauses contractuelles types de la Commission européenne, ou garanties équivalentes assorties des mesures supplémentaires nécessaires). [TRANSFERTS HORS UE ET GARANTIES À CONFIRMER PAR SOUS-TRAITANT]
Assistance aux demandes des personnes concernées
Le Sous-traitant aide le Responsable, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement marketing). Le Service intègre à cet effet des fonctionnalités permettant la désinscription marketing et l'effacement par anonymisation, déclenchables par le client final depuis sa carte (page d'effacement dédiée) ou par le Responsable depuis le back-office.
Assistance à la conformité
Le Sous-traitant aide le Responsable à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violation, communication aux personnes concernées, analyse d'impact et consultation préalable), compte tenu de la nature du traitement et des informations à sa disposition.
Notification de violation de données
Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dont il a connaissance dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai de [DÉLAI DE NOTIFICATION, p. ex. 48 ou 72 heures]. La notification décrit, dans la mesure du possible, la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées. Il appartient au Responsable d'effectuer, le cas échéant, la notification à la CNIL et l'information des personnes concernées.
Sort des données en fin de contrat
Au terme de la prestation, et au choix du Responsable, le Sous-traitant restitue les données dans un format exploitable ou les supprime, ainsi que les copies existantes, dans un délai de [DÉLAI DE RESTITUTION/SUPPRESSION] après la fin du contrat, sauf obligation légale de conservation. Une fois ce délai écoulé et les données restituées le cas échéant, le Sous-traitant procède à leur suppression définitive.
Audits
Le Sous-traitant met à la disposition du Responsable les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD et permet la réalisation d'audits, y compris des inspections, par le Responsable ou un auditeur mandaté, dans des conditions raisonnables, sous réserve d'un préavis raisonnable, du respect de la confidentialité et de la sécurité du Service, et des modalités précisées en [MODALITÉS D'AUDIT À COMPLÉTER].