ADDENDUM AU CONTRÔLEUR DES DONNÉES
NOMINATION DU CONTRÔLEUR DES DONNÉES
L'Utilisateur (ci-après "Propriétaire" ou "Client" ou "Contrôleur des Données"),
par acceptation expresse des Conditions Générales de "Revietech" (ci-après "Fournisseur" ou "Sous-Traitant"), accepte ce supplément sur le traitement des données personnelles, qui constitue une partie intégrante de la relation entre les Parties. Cet Addendum est signé conformément à l'Article 28 du Règlement 679/2016 et régit la manière dont le Sous-Traitant traitera les données personnelles pour le compte du Contrôleur des Données. Le Contrôleur des Données et le Sous-Traitant peuvent également être désignés individuellement comme la "Partie" et conjointement comme les "Parties".
CONSIDÉRANT.
les opérations de traitement des données personnelles effectuées par le Contrôleur des Données sont listées dans le registre des opérations de traitement tenu par le Contrôleur des Données ;
pour certaines opérations de traitement, le Contrôleur des Données fait appel à la coopération du Fournisseur ;
le Fournisseur, dans le cadre des services offerts au Contrôleur des Données, comme détaillé dans le contrat spécifique en vigueur, peut effectuer le traitement des données personnelles pour le compte du Contrôleur des Données ;
le Contrôleur des Données et le Fournisseur ont signé un accord pour la fourniture d'une plateforme web et tablette intégrée pour la création, la gestion et l'envoi de demandes d'avis ("Service"), dont ce document fait partie intégrante ;
en référence au Service mis à disposition par le Fournisseur, ce dernier peut traiter des données personnelles appartenant au Contrôleur et, plus précisément, des données courantes (prénom, nom, coordonnées) des clients finaux du Propriétaire ;
l'objectif du traitement est de fournir une solution technologique permettant au Propriétaire de pouvoir profiter du Service ;
conformément à l'Article 28.1 du Règlement (UE) 2016/679, Règlement Général sur la Protection des Données (ci-après "RGPD"), "lorsqu'un traitement doit être effectué pour le compte du Contrôleur du Traitement, ce dernier doit uniquement utiliser des contrôleurs de données."
le Contrôleur des Données a vérifié que le Fournisseur, conformément à l'Article 28.1 du RGPD, présente "des garanties suffisantes pour mettre en place des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du Règlement et assure la protection des droits de la personne concernée."
Le Contrôleur des Données nomme le Fournisseur comme "RESPONSABLE DU TRAITEMENT DES DONNÉES PERSONNELLES" (ci-après également simplement "Responsable" ou "Sous-Traitant"), en ce qui concerne les données personnelles que le Fournisseur peut traiter dans l'exercice de ses activités et celles qui peuvent être confiées au Fournisseur à l'avenir.
Conformément au RGPD, l'activité exercée par le Sous-Traitant sera régie comme suit :
DURÉE. Cette nomination prend effet pour la durée de la relation du Sous-Traitant avec le Contrôleur et sera considérée comme automatiquement révoquée en cas de résiliation de celle-ci.
FINALITÉ DU TRAITEMENT. Les données confiées au Responsable, dans le cadre des activités qui lui sont confiées pour l'utilisation du Service, peuvent être traitées uniquement aux fins indiquées dans le mandat confié et/ou dans le contrat conclu avec le Propriétaire. En particulier, les données seront traitées par le Fournisseur uniquement dans le but de garantir la fourniture du Service au Propriétaire qui, en tout état de cause, restera le seul responsable de devoir communiquer au client final les finalités et obtenir son consentement au traitement, ainsi que la communication des données à des tiers.
MODALITÉS DE TRAITEMENT. Les données peuvent être traitées sur support papier ou numérique, selon les activités effectuées, à condition que les outils soient correctement identifiés et inventoriés par le Responsable et systématiquement communiqués au Propriétaire pour son approbation. En particulier, les données seront traitées via la plateforme logicielle "Revietech".
DEVOIRS ET TÂCHES DU RESPONSABLE. Le Sous-Traitant, comme stipulé à l'Article 28 du RGPD, s'engage à :
a. traiter les données personnelles confiées uniquement sur instruction documentée du Contrôleur, même en cas de transfert de données personnelles vers un pays tiers, sauf disposition contraire de la loi. Dans ce cas, le Responsable est toujours tenu d'informer le Contrôleur ;
b. s'assurer que les personnes autorisées à traiter les données se sont engagées à la confidentialité, ou ont une obligation légale de confidentialité appropriée. À cette fin, le Responsable doit vérifier périodiquement que les personnes en charge : (i) effectuent le traitement de manière légale et correcte, exclusivement dans le but de fournir les services couverts par la relation contractuelle entre les Parties ; (ii) traitent les données personnelles uniquement à des fins inhérentes aux tâches qui leur sont assignées ; (iii) ne communiquent ni ne diffusent les données personnelles sans l'autorisation préalable du Contrôleur des Données ; (iv) vérifient, en cas d'interruption même temporaire du travail, que les données personnelles traitées ne sont pas accessibles à des tiers non autorisés ; (v) gardent et maintiennent strictement confidentielles les informations d'authentification ; (vi) respectent les mesures de sécurité requises par le Contrôleur des Données et/ou le Contrôleur des Données ;
c. assurer une formation adéquate et prouvée pour les personnes autorisées à traiter les données, conformément à l'Article 29 du RGPD ;
d. prendre, conformément à l'Article 32 du RGPD, toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, en tenant compte de l'état de la technique et des coûts de mise en œuvre, ainsi que de la nature, de l'objet, du contexte et des finalités du traitement, ainsi que du risque de probabilité variable et de gravité pour les droits et libertés des personnes physiques, de manière à minimiser les risques de destruction ou de perte, y compris la perte accidentelle des données elles-mêmes, d'accès non autorisé ou de traitement non autorisé ou non conforme aux finalités de la collecte ;
e. informer le Contrôleur des Données, conformément à l'Article 28 du RGPD, s'il est nécessaire d'utiliser un autre Sous-Traitant ;
f. assister le Contrôleur dans le respect des obligations légales en vertu des Articles 32 (Sécurité du Traitement), 33 (Notification d'une Violation de Données Personnelles à l'Autorité de Contrôle), 34 (Notification d'une Violation de Données Personnelles à la Personne Concernée), 35 (Évaluation d'Impact sur la Protection des Données), 36 (Consultation Préalable), en tenant compte de la nature du traitement et des informations disponibles pour le Contrôleur ;
g. prévoir la mise à jour, la modification, la rectification des données personnelles si cela est nécessaire en relation avec les finalités du traitement, et supprimer ou retourner rapidement, sur demande du Contrôleur, toutes les données personnelles et copies existantes en possession du Responsable sans pouvoir conserver des copies, sauf accord contraire exprès ou disposition légale. En tout état de cause, supprimer et/ou détruire, comme l'exige la loi (comme le "wiping" pour les données numériques), les données personnelles lorsque les finalités pour lesquelles les données ont été collectées et traitées ont été atteintes en l'absence d'une obligation légale ou de la nécessité d'une rétention ultérieure ;
h. permettre au Contrôleur d'exercer le pouvoir de contrôle en vertu de l'Article 28 du RGPD : dans ce contexte, mettre à la disposition du Contrôleur toutes les informations nécessaires pour démontrer le respect des obligations de cet Addendum et démontrer le respect des obligations légales et permettre des activités de vérification (Audit), effectuées par le Contrôleur ou par des tiers désignés par le Contrôleur, afin de vérifier l'observation de ces méthodes de traitement des données et la conformité aux exigences légales. Le Contrôleur des Données aura le droit de vérifier, avec un préavis d'au moins 20 (vingt) jours ouvrables, également dans les locaux du Contrôleur des Données, la conformité des procédures adoptées par ce dernier avec ce qui est indiqué dans cet Addendum ou exigé par la loi ;
i. s'engager à respecter la Disposition Générale du Garant pour la Protection des Données Personnelles du 27 novembre 2008 "Mesures et dispositifs prescrits pour les titulaires de traitement des données effectuées avec des instruments électroniques en relation aux attributions des fonctions d'administrateur système" telle que modifiée par l'Ordonnance du Garant du 25 juin 2009 "Modifications de l'ordonnance du 27 novembre 2008 sur les prescriptions aux titulaires de traitement effectué avec des instruments électroniques concernant les attributions de l'administrateur système et extension des délais pour leur accomplissement", telle qu'elle peut être modifiée ou remplacée par le même Garant, et à toute autre de l'Autorité ;
j) coopérer aux fins de l'application exacte de la loi, y compris par des réunions périodiques et agir dans le cadre et les limites de leurs fonctions, de manière autonome, mais toujours en conformité avec les directives établies par le Contrôleur.
SUPERVISION. Le Contrôleur des Données peut surveiller la conformité stricte avec les instructions données ici au Sous-Traitant et vérifiera le maintien des exigences d'expérience, de capacité et de fiabilité qui ont influencé la désignation du Sous-Traitant.
VIOLATION. Le Sous-Traitant est informé que s'il viole les dispositions de la loi en déterminant indépendamment les finalités et les moyens du Traitement, ou en ignorant les instructions reçues du Contrôleur, il sera considéré comme le Contrôleur du Traitement en question ;
ASSISTANCE AU CONTRÔLEUR EN CAS DE VIOLATION. En cas de violation des données personnelles, le Fournisseur s'engage à informer le Contrôleur sans délai injustifié à partir du moment où il a connaissance de la violation. Le Fournisseur assistera le Titulaire en entamant une analyse préliminaire visant à recueillir des données concernant l'anomalie et à rédiger une fiche d'événement, contenant toutes les informations recueillies et disponibles à ce moment, telles que, sans s'y limiter :
Date de l'événement, y compris la date présumée de survenue de la violation (dans ce cas, il doit être précisé)
Date et heure de la prise de connaissance de la violation ;
Source de la déclaration ;
Type de violation et informations impliquées ;
Description de l'événement anormal ;
Nombre de personnes concernées impliquées ;
Nombre d'informations personnelles présumées violées ;
Indication de la date, y compris la date présumée, de la violation et du moment où elle est devenue
connaissance ;
Indication du lieu où la violation des données s'est produite, en précisant également si cela s'est produit à la suite de la perte d'appareils ou de supports portables ;
Description concise des systèmes de traitement ou de stockage des données concernés, avec indication de leur emplacement.
CONFIDENTIALITÉ.
Le Sous-Traitant s'engage à garder strictement confidentiel et confidentiel et à n'utiliser que pour l'exécution des obligations prévues par le contrat, toute information relative à l'autre Partie et/ou aux personnes impliquées dans le traitement des données personnelles et/ou des produits, services, organisation, stratégie commerciale ou technique reçue de l'autre Partie ou dont il a connaissance au cours de l'exécution du contrat relatif au Service (ci-après dénommée "Informations Confidentielles"). Le Responsable s'engage à ne pas utiliser les Informations Confidentielles en dehors des finalités prévues par cet accord, ni à les divulguer à des parties non prévues par cet accord, sans l'approbation écrite du Propriétaire. Le Responsable doit prendre toutes les mesures nécessaires pour ne pas divulguer ou rendre accessible de quelque manière que ce soit les Informations Confidentielles du Propriétaire et/ou des personnes concernées à des tiers, et sera en tout cas tenu directement responsable envers le Propriétaire de toute violation par ses employés et/ou sous-traitants des obligations de confidentialité énoncées dans cet article. Les dispositions du présent article ne s'appliquent pas ou cessent de s'appliquer aux informations individuelles que le Contrôleur peut prouver : (i) étaient déjà connues du public pour des raisons autres que la violation par le Contrôleur lui-même ; (ii) étaient déjà connues avant d'avoir été reçues par le Contrôleur ; (iii) ont été divulguées ou révélées en conformité avec un ordre légitime de toute autorité ou en vertu d'une obligation légale. Les Informations Confidentielles divulguées resteront la propriété du Contrôleur des Données. À la demande écrite du Propriétaire lui-même, ces informations seront retournées ou détruites par le Responsable.
MODIFICATIONS ET AJOUTS.
Les Parties ont le droit de modifier et d'ajuster le présent Accord si nécessaire à tout moment, y compris pour se conformer à toute mise à jour réglementaire. Avis de toute demande de modification sera donné au Responsable par lettre recommandée avec accusé de réception ou courriel certifié. Suite à la demande de modification susmentionnée, le Responsable aura 60 jours pour se retirer de l'accord. Après cette période, les modifications seront considérées comme acceptées par le Sous-Traitant. Pour tout ce qui n'est pas expressément prévu dans cet accord, veuillez vous référer aux dispositions générales en vigueur concernant la protection des données personnelles.
LOIS APPLICABLES.
En cas de litige concernant la validité, l'interprétation, l'exécution et la résiliation de cet Addendum, les Parties conviennent de rechercher un règlement équitable et amiable entre elles. Si le litige n'est pas résolu à l'amiable, il sera soumis à la compétence exclusive de l'Autorité Judiciaire du Tribunal de Rome. Pour la résolution de tout litige concernant la validité, l'interprétation, l'exécution et la résiliation de cet accord, le Droit Italien sera appliqué.
Il est entendu que cette nomination n'implique aucun droit pour le Fournisseur à une indemnité spécifique et/ou indemnisation et/ou remboursement découlant de cette nomination, au-delà de ce qui est déjà prévu dans les termes et conditions.