Article 1. Objet
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après, « le Règlement européen sur la protection des données » ou « RGPD »).Article 2. Description des traitements
Dans le cadre de l’exécution de ses prestations telles que définies ci-dessous, SEPTEO DIGITAL & SERVICES est susceptible de traiter des données personnelles au sens du RGPD relatives à ses prospects ou au Client et à ses Utilisateurs ; à ce titre, SEPTEO DIGITAL & SERVICES est Responsable de traitement pour son propre compte.Le Client demeure seul Responsable de traitement, au sens du RGPD, des données personnelles de ses propres clients (ci-après les “Clients Finaux”), et/ou employés et/ou partenaires, qu’il traite dans l’exercice de son activité professionnelle et dont SEPTEO DIGITAL & SERVICES peut être amenée à en avoir accès. Dans ce cas, SEPTEO DIGITAL & SERVICES est alors Sous-traitant au sens de la Règlementation.
2.1. Liste des traitements pour lesquels SEPTEO DIGITAL & SERVICES agit en qualité de Responsable de traitement
Finalité |
Type de données |
Base légale |
Durée de conservation |
Gestion de la relation contractuelle |
- Nom, Prénom - Adresse postale et/ou électronique, numéro de téléphone - Fonction - Données de connexion - Données bancaires et financières |
Exécution du contrat |
Durée de la relation contractuelle augmentée de 5 ans |
Anonymisation et/ou agrégation des données à des fins de communication de statistiques et/ou amélioration ou développement des offres |
- Nom, Prénom - Adresse postale - Email, numéro de téléphone - Fonction - Statistiques d’utilisation du service Toute donnée constituant le dossier du client final nécessaire à l’exercice de la profession du Client |
Intérêt légitime |
Durée de l’opération d’anonymisation dans la limite de la durée de la relation contractuelle |
Prospection commerciale (Client) |
- Nom, Prénom - Adresse postale et/ou électronique, numéro de téléphone |
Intérêt légitime |
3 ans après le dernier contact avec la personne Ou demande d’opposition de la personne concernée. |
2.2. Liste des traitements pour lesquels SEPTEO DIGITAL & SERVICES agit en qualité de Sous-traitant
Finalité du traitement |
Type de données |
Base légale |
Durée de conservation |
Support Utilisateur Traitement des demandes Utilisateurs liées à l’utilisation des services |
- Nom, Prénom - Adresse électronique, numéro de téléphone - Enregistrement vocaux |
Exécution du contrat |
Durée de la relation contractuelle augmentée de 5 ans 6 mois pour les enregistrements vocaux |
Formation des utilisateurs Formation à l’utilisation du logiciel |
- Nom, Prénom - Adresse électronique, numéro de téléphone - Données de connexion - Enregistrement vocaux |
Exécution du contrat |
Durée de la relation contractuelle augmentée de 5 ans 6 mois pour les enregistrements vocaux |
Hébergement des bases de données et applications incluant le cas échéant des modules intégrant de l’intelligence artificielle |
- Nom, Prénom - Adresse postale - Email, numéro de téléphone - Fonction - Statistiques d’utilisation du service Toute donnée constituant le dossier du client final nécessaire à l’exercice de la profession du Client |
Exécution du contrat |
Durée de la relation contractuelle avec le Client jusqu’à achèvement de l’opération de réversibilité |
Maintenance applicative Correction des anomalies |
- Nom, Prénom - Adresse postale - Email, numéro de téléphone - Fonction - Statistiques d’utilisation du service Toute donnée constituant le dossier du client final nécessaire à l’exercice de la profession du Client |
Exécution du contrat |
Durée de la relation contractuelle augmentée de 5 ans |
Nature des opérations de traitement
Toute opération requise pour atteindre les finalités susmentionnées, notamment la collecte, l'enregistrement, l'organisation, la conservation, la consultation, l'utilisation, la communication par transmission, l’anonymisation, l'effacement ou la destruction.
Catégories de personnes concernées dont les données à caractère personnel sont traitées :
- Client
- Clients Finaux
- Utilisateurs
- Partenaires
Catégories des personnes ayant accès aux données personnelles
- SEPTEO DIGITAL & SERVICES et ses sociétés affiliées au sens de l’article L 233-3 du Code de Commerce
- Les prestataires auxquels a recours SEPTEO DIGITAL & SERVICES (hébergeur, prestataires informatiques, etc.)
Article 3. Obligations des Parties
3.1. Obligations de SEPTEO DIGITAL & SERVICES
SEPTEO DIGITAL & SERVICES en sa qualité de Sous-traitant s’engage à :- Traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
- Traiter les données conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Responsable de traitement ;
- Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent Contrat ;
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- Prendre en compte, s’agissant de ses outils, produits, applications, les principes de protection des données dès la conception et de protection des données par défaut.
- Tenir un registre par écrit (y compris sous forme électronique) de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de Traitement.
3.2. Obligations du Client
Le Client s’engage, en sa qualité de Responsable de traitement à :- Documenter par écrit toute instruction concernant le traitement des données par SEPTEO DIGITAL & SERVICES ;
- garantir la licéité, la qualité et l’exactitude des données personnelles transmises à SEPTEO DIGITAL & SERVICES , ainsi que la validité de leur collecte et du fondement juridique applicable ;
- informer les personnes concernées et traiter leurs demandes d’exercice de droits conformément aux dispositions du RGPD ;
- notifier à l’autorité de contrôle compétente et, le cas échéant, aux personnes concernées, toute violation de données relevant de sa responsabilité.
Article 4. Destinataire des données
Le Client déclare accepter que :- SEPTEO DIGITAL & SERVICES sous-traite l’exécution du Contrat à l’une quelconque des sociétés du groupe Septeo auquel il appartient ;
- SEPTEO DIGITAL & SERVICES sous-traite l’exécution du Contrat à d’autres sous-traitants
SEPTEO DIGITAL & SERVICES s’engage à ce que chacun de ses Sous-Traitants Ultérieurs présente les mêmes garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du Règlement européen sur la protection des données.
SEPTEO DIGITAL & SERVICES s’engage à imposer contractuellement à ses Sous-Traitants Ultérieurs le respect des obligations de la présente clause de sous-traitance.
SEPTEO DIGITAL & SERVICES s’engage à ne faire appel uniquement qu’à des Sous-Traitants Ultérieurs :
- Établis dans un pays de l’Union Européenne ou,
- Établis dans un pays présentant un niveau de protection dit adéquat au sens des autorités européennes de protection des données ou,
- Disposant de garanties appropriées en application de l’article 46 du Règlement européen.
SEPTEO DIGITAL & SERVICES s’engage à informer le Client de l’ajout ou du changement de Sous-Traitant Ultérieur par courrier postal ou électronique dans les plus brefs délais.
Le Client disposera alors d’un délai de 15 jours pour faire part de ses éventuelles réserves. Au-delà de ce délai et sans réponse de sa part, le Client reconnait avoir autorisé ledit Sous-Traitant Ultérieur.
Article 5. Sécurité des données
Conformément aux dispositions de l’article 32 du Règlement européen 2016/679, compte tenu de l’état des connaissances, des couts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Client et SEPTEO DIGITAL & SERVICES reconnaissent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.SEPTEO DIGITAL & SERVICES tient à la disposition du client sur demande écrite de ce dernier la liste détaillée des mesures et moyens de sécurité qu’il a mis en œuvre.
A la demande du Client et en toute hypothèse à l’expiration des durées mentionnées ci-dessous, SEPTEO DIGITAL & SERVICES s’engage à détruire toutes les données à caractère personnel ou les envoyer au Client à sa demande et à détruire les copies existantes sauf obligation légale de les conserver.
SEPTEO DIGITAL & SERVICES s’engage également à ce que tout sous-traitant ultérieur avec qui il traite dans le cadre de l’application du Contrat soit lié par des obligations de suppression des données à caractère personnel similaires.
Article 6. Contrôle et audit
Dans la limite d’une fois par an et dès lors que le Client justifie, de manière documentée et objective, la nécessité d’effectuer un audit visant à vérifier la permanence des dispositifs et procédures de protection internes des données personnelles, il se rapprochera de SEPTEO DIGITAL & SERVICES afin de définir, si l’audit doit être réalisé et, le cas échéant, comment il sera exécuté.Dans l’affirmative, il est entendu par les Parties qu’un tel audit devra être effectué par un auditeur indépendant, réputé et non-concurrent des activités de SEPTEO DIGITAL & SERVICES. L'audit ne pourra porter que sur les seuls traitements effectués pour le compte du Client et dans le cadre de l'exécution du Contrat, à l'exclusion de toutes autres finalités ; à ce titre, il ne saurait comporter un accès aux systèmes, informations ou données non liées à l’exécution du présent Contrat.
Le Client enverra à SEPTEO DIGITAL & SERVICES sa demande documentée d’audit par lettre recommandée avec avis de réception adressée à son siège.
Après réception de la demande, au moins 30 jours avant la date de démarrage souhaitée, SEPTEO DIGITAL & SERVICES et le Client confirmeront ensemble, dans le cadre d’un protocole d’accord signé par les Parties, l’identité de l’auditeur, le périmètre et la durée de l’audit ainsi que les contrôles de sécurité et de niveaux de confidentialité applicables à toute vérification.
A ce titre, il est entendu que tout intervenant diligenté pour réaliser cet audit souscrira formellement et préalablement à son intervention à l’égard de SEPTEO DIGITAL & SERVICES un engagement de confidentialité et de non-divulgation des informations dont il pourrait avoir connaissance dans le cadre de sa mission d’audit.
Le Client prend à sa charge tous les frais occasionnés par l’audit, incluant de manière non limitative les honoraires de l’auditeur et rembourse à SEPTEO DIGITAL & SERVICES toutes les dépenses et frais occasionnés sur présentation de justificatifs par SEPTEO DIGITAL & SERVICES. Un rapport d’audit sera rédigé par l’auditeur et remis gratuitement à chaque Partie.
Chaque Partie pourra formuler ses remarques et observations sur ce rapport, lesquelles devront être examinées par l’auditeur.
A l’issue de cet échange contradictoire, l’auditeur devra, le cas échéant, rectifier le rapport initial ou établir un rapport rectificatif tenant compte des observations formulées par les Parties.
Les Parties se rapprocheront ensuite pour discuter des conséquences éventuelles à donner au rapport d’audit, notamment les actions correctrices préconisées, leur coût et la répartition de celui-ci. Les informations, fichiers ou documents collectés par le Client ou le cabinet d’audit, originaux ou copies, sont soumis à l’obligation de confidentialité prévue au Contrat.
Article 7. Coopération
SEPTEO DIGITAL & SERVICES s’engage à coopérer avec le Client et à l’aider à satisfaire aux exigences de la Règlementation qui incombe à ce dernier en sa qualité de Responsable de traitement notamment pour la réalisation d’analyse d’impact et des consultations préalables de l’autorité de contrôle. Sur demande du Client, SEPTEO DIGITAL & SERVICES fournira à ce titre toute information utile en sa possession.SEPTEO DIGITAL & SERVICES s’engage à adresser au Client, dans les meilleurs délais après réception, toute demande de quelque nature qu’elle soit émanant d’une personne physique concernée par le traitement de ses données personnelles réalisé dans le cadre de l’exécution du contrat.
Il appartient au Client, du fait de sa qualité de seul Responsable de traitement, d’apporter la réponse à la personne concernée, SEPTEO DIGITAL & SERVICES s’engage dans la mesure du possible à aider le Client à respecter son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : accès, rectification, effacement, opposition, limitation et portabilité.
Article 8. Notification des violations de données
Le Sous-traitant notifiera, par email, au Responsable de traitement, toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.Cette notification sera accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Article 9. Exercice des droits
S’agissant des informations le concernant directement, le Client dispose d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Ce droit peut être exercé :- Par mail : dpo@septeo.com
- Par courrier : DPO – Septeo, Font de la Banquière, 194 Avenue de la Gare Sud de France, 34970, LATTES