Charte RGPD
La présente charte s'applique à tous les clients Aunéor Conseil, quelque soit le type de contrat signé.
Il a été arrêté et convenu ce qui suit :
1- Préambule
Considérant que le responsable de traitement souhaite recourir au service du sous traitant afin d’opérer le traitement de données personnelles pour son compte. Que cette relation de sous traitance est encadrée strictement par le règlement 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
Les parties s’engagent au respect des obligations définies ci-après.
2- Garanties suffisantes
Le sous traitant certifie présenter les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour répondre aux exigences imposées par le règlement. En particulier le sous traitant, certifie avoir formé ses personnels internes afin que son organisation soit en mesure de respecter l’ensemble des mesures imposées dans ce cadre.
Le sous traitant certifie également disposer des compétences techniques (IT, sécurité, infrastructures…) et juridiques pour appréhender l’ensemble des obligations qui sont imposées par le règlement pour le traitement des données personnelles qui lui seront transmises par le responsable de traitement. Il certifie également avoir les ressources suffisantes pour garantir en permanence son respect. À ces fins, et en tant que de besoin, le sous traitant transmet l’ensemble des éléments probatoires nécessaires à cette démonstration.
3- Obligations juridiques, objet et durée du traitement
Ce contrat lie juridiquement le sous traitant au responsable de traitement dans la fourniture de prestations de service opérant le traitement de données personnelles pour son compte.
L’objet du contrat est l’intégration du logiciel de gestion d’entreprise Odoo, ainsi que tous les services annexes s’y afférant.
La durée du traitement prévue au contrat cours jusqu’à la notification, de l’une ou l’autre des parties, de l’arrêt des services.
4- Nature et finalité du traitement
Les services de traitement des données personnelles fournis par le sous traitant sont opérés pour :
• le support hotline,
• le suivi administratif,
• l’hébergement,
• les développements spécifiques,
• le suivi de projet,
• la formation,
• les audits,
• la tenue et la sauvegarde des bases de données,
• l’envoie de newsletters et mailing,
• le suivi commercial (CRM et vente).
5- Type de données traitées
Les données personnelles traitées seront :
◦ noms,
◦ prénoms,
◦ fonction,
◦ adresse postale,
◦ adresse mail,
◦ coordonnées téléphoniques,
◦ identifiants de connexion,
◦ tout autre information spécifique stockée dans Odoo à la demande du client,
Ces informations peuvent correspondre à des identificateurs d'appareils uniques, des adresses de protocole Internet (« IP »), des caractéristiques de navigateur, des préférences linguistiques, des détails sur les systèmes d'exploitation et des URL de renvoi, ainsi que la durée des visites sur le site web et les pages consultées. Le sous-traitant peut être amenée à utiliser de outils, tels que des Cookies, des balises web, des scripts intégrés, des journaux de serveur web ou d'autres technologies similaires pour recueillir des détails sur les services et les appareils utilisés pour accéder aux sites web du sous-traitant.
6- Catégories de personnes concernées
Les personnes concernées par le traitement sont :
- Les personnes présentes dans la base de contact du client. En fonction de l’activité, ces personnes peuvent être des particuliers ou des entreprises,
- Les prospects du responsable de traitement,
- Ainsi que pour l’accès à la gestion du service, les personnels internes du responsable de traitement opérant le traitement (administrateurs systèmes, service IT, service marketing ou autre...).
7- Obligations et droits du responsable de traitement
Conformément à l’article 28.3 du règlement, il est rappelé que le responsable du traitement assume la responsabilité du traitement des données personnelles et que celui ci dispose des droits, notamment définis à l’article 28 du règlement susvisé.
8- Traitement sur instruction du responsable de traitement
Le sous traitant ne traite les données personnelles que sur instruction documentée du responsable de traitement et uniquement pour la ou les seule(s) finalité(s) qui fait/ font l’objet de la sous traitance.
9- Personnels opérant le traitement des données pour le compte du responsable de traitement
Le sous traitant certifie que l’ensemble des personnes opérant le traitement des données personnelles pour son compte (personnels interne, salariés, intérimaires…) est soumis à une obligation de confidentialité (accord de confidentialité spécifique dans les contrats de travail, charte informatique). Ces documents (ou extraits pertinents) sont mis à disposition du responsable de traitement en tant que de besoin.
10- Respect des obligations de sécurité informatique
Le sous traitant s’engage spécifiquement à respecter l’ensemble des obligations de sécurité (notamment imposées par l’article 32) dans le traitement des données personnelles opérées pour le compte du responsable de traitement.
Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
-
Hébergement des données sur des serveurs basé en France uniquement dans des locaux certifiés ISO-27001 certified
-
Serveur accessibles en SSH, uniquement avec clef publique
-
Utilisation de Bitwarden pour le stockage des mots de passe de façon cryptée intégrant une gestion des droits d’accès (habilitation personnelle par utilisateur)
-
Sauvegardes des bases de données client (si un contrat d’hébergement est en cours) sur 5 ans permettant de remonter une base de données en cas de crash du serveur, via l’outil de sauvegarde bacula
-
Pilotage de la disponibilité serveur via l’outil de supervision centreon
-
Journalisation quotidienne sur 1 mois (sur le serveur hébergeant Odoo), via fichiers de logs : la date et l’heure de leur connexion, le détail de certaines actions effectuées par l’utilisateur.
Le sous-traitant ne pourra pas être tenu pour responsable si un login et mot de passe a été subtilisé à la société du responsable de traitement. Le sous-traitant rappelle la nécessité de mettre en place des mots de passe avec une sécurité ‘forte’ et d’utiliser des gestionnaires de mot de passe type ‘bitwarden’ pour se prémunir du vol de mot de passe. Vous pouvez retrouver plus d'informations sur les authentifications sécurisées sur le site de la CNIL : https://www.cnil.fr/fr/securite-utilisez-lauthentification-multifacteur-pour-vos-comptes-en-ligne
Le responsable de traitement est informé que le sous traitant est en mesure de lui proposer des services de sauvegardes de mots de passe via l’outil Bitwarden.
11- Assistance
Le sous traitant s’engage à aider le responsable de traitement par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du règlement.
Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à Jean-Marc LE GOFF – rgpd@auneor-conseil.fr
Afin d’accéder à vos données, de les modifier ou de les supprimer vous pouvez cliquez sur le lien ci-dessous :
https://www.auneor-conseil.fr/gdpr/profile
Ce lien vous permettra de générer une demande d’accès ou de suppression de vos données, qui sera envoyée aux services d’Aunéor Conseil qui veilleront au respect de vos données en vous les transmettant ou en les supprimant selon votre requête.
12- Délégué à la protection des données
Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
Dans le cas où le délégué à la protection des données n’est pas obligatoire, le responsable de traitement peut s’adresser au responsable de traitement du sous traitant : M. Jean Marc LE GOFF – rgpd@auneor-conseil.fr
13- Obligations des articles 32 à 36
Le sous traitant s’engage à aider le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 :
- le sous traitant s’engage à respecter son obligation de sécurisation du traitement par la mise en place de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
- le responsable de traitement s’engage, en cas de violation de données à caractère personnel à notifier la violation en question à l’autorité de contrôle compétente.
- lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable de traitement s’engage à communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
- lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement s’engage à effectuer, avant le traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
- le responsable de traitement s’engage à consulter l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuées indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque.
14- Fin de prestation
Le présent contrat entre en vigueur pour la durée de chaque prestation effectuée par le sous traitant.
Selon le choix défini par le responsable du traitement en accord avec le sous traitant, ce dernier s’engage à archiver toutes le données à caractère personnel ou les renvoyer au responsable du traitement au terme de la prestation de service.
15- Démonstration du respect des exigences du RGPD
Le sous traitant s’engage à mettre à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le règlement susvisé et permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Le sous traitant s’engage également à informer le responsable si une instruction constitue une violation du règlement ou une autre disposition relative à la protection des données.
16- Sous sous traitance
Le responsable du traitement confère une autorisation générale de sous-sous-traitance au sous-traitant, afin qu’il puisse mener ses missions à bien dans le cadre de la présente prestation de service.
En cas de sous-sous-traitance, le sous-traitant informe le responsable du traitement de tout changement concernant l’ajout ou le remplacement d’autres sous-traitants, au moins un mois avant le changement, afin de donner au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
Lorsque le sous-traitant recrute un autre sous-traitant, le sous-traitant s’engage à s’assurer que les mêmes obligations soient imposés à ce sous-traitant que celles fixées au présent contrat, relativement à la protection des données personnelles et afin que ce sous-sous-traitant réponde aux exigences du règlement susvisé.
17- Notification de violation de données à caractère personnelle
Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures ouvrées après en avoir pris connaissance et par mail à l’adresse du responsable de traitement.
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
-
la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
-
le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
-
la description des conséquences probables de la violation de données à caractère personnel ;
-
la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations détaillées ci-dessus.
18- Droit applicable et juridiction compétence
Le présent contrat est assujettis au droit français. Tout litige qui résulterait de son exécution sera soumis au tribunal d’Avignon.