Conformément à l’article 28 (3) du Règlement (UE) 2016/679 du Parlement européen et du Conseil (le RGPD), et dans le but d’encadrer le traitement des données personnelles par le Sous-traitant, le présent Accord de Traitement des Données (ci-après « ATD ») constitue une annexe aux Conditions Générales de Service conclues entre la Plateforme Shine et l’Abonné.
L’ATD est réputé signé par le Responsable du traitement lors de la signature des Conditions Générales de Service.
“Sous-traitant” désigne la Plateforme Shine telle que définie dans les Conditions Générales de Service, c’est-à-dire la société du Groupe Shine avec laquelle le Client a conclu lesdites Conditions Générales de Service.
“Responsable du traitement” désigne le client de la Plateforme Shine.
La version actuelle du présent document est applicable à compter du 2025-11-06. Les versions antérieures peuvent être consultées ici.
En utilisant les Services et toute fonctionnalité additionnelle ou intégration disponible en lien avec la Plateforme (ci-après les « Services »), le Sous-traitant sera responsable du traitement des données personnelles sur la Plateforme.
Le Sous-traitant traite les données personnelles uniquement sur instructions documentées du Responsable du traitement et conformément à la Politique de Données Personnelles du Sous-traitant, pour autant que ladite politique ne contredise pas les instructions du Responsable du traitement au titre du présent Accord ou du RGPD.
Le présent Accord de Traitement des Données est conclu entre les Parties afin de permettre à celles-ci de se conformer à la législation nationale relative à la protection des données, y compris le RGPD, ainsi qu’à la protection de la vie privée et des droits fondamentaux des personnes physiques. Le présent ATD définit les instructions sur la base desquelles le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement.
Le présent ATD utilise les définitions figurant dans la législation nationale sur la protection des données et dans le RGPD.
Le Responsable du traitement est responsable de veiller à ce que le traitement des données personnelles soit effectué conformément au RGPD, cf. article 24, et aux règles nationales de protection des données.
Le Responsable du traitement est habilité et tenu de prendre les décisions concernant la ou les finalités pour lesquelles, ainsi que les outils techniques au moyen desquels, les données personnelles sont traitées. En outre, le Responsable du traitement est responsable de garantir une base légale au traitement et au transfert des données personnelles que le Sous-traitant est chargé d’exécuter.
En tant que Responsable du traitement, il doit satisfaire à toutes les obligations d’information à l’égard des personnes concernées concernant le traitement de leurs données personnelles, ainsi qu’apporter les garanties appropriées concernant toutes les mesures techniques et de sécurité pour protéger les données personnelles des personnes concernées.
En utilisant la Plateforme, le Responsable du traitement est seul responsable de fournir les données personnelles spécifiées à l’Annexe A, et de limiter le traitement de données en dehors de la spécification qui y figure, y compris les catégories particulières de données personnelles telles que définies à l’article 9 du RGPD.
Le Responsable du traitement donne son consentement explicite au Sous-traitant pour agir en tant que Prestataire de Services d’Information sur les Comptes (AISP), conformément à la législation nationale applicable mettant en œuvre la Directive (UE) 2015/2366 relative aux services de paiement dans le marché intérieur (DSP2).
Ce consentement est nécessaire pour que le Sous-traitant accède aux données personnelles issues des comptes de paiement du Responsable du traitement et les traite, uniquement aux fins de fournir les services demandés, tels que l’agrégation de comptes, l’historique des transactions et les fonctionnalités d’automatisation financière.
Le Responsable du traitement peut retirer ce consentement à tout moment. En cas de retrait, les Services liés à l’information sur les comptes seront automatiquement résiliés et le Sous-traitant cessera toutes les activités de traitement associées, sauf si la loi applicable autorise ou exige leur poursuite.
Le Sous-traitant veillera à ce que l’accès aux informations de compte soit limité à ce qui est strictement nécessaire à l’exécution du service demandé et que tous les traitements soient réalisés conformément au RGPD et aux réglementations nationales applicables en matière de paiements.
Le Sous-traitant ne peut traiter des données personnelles que sur instructions documentées du Responsable du traitement et traite celles-ci pour le compte du Responsable du traitement. Le Responsable du traitement instruit le Sous-traitant de traiter les données personnelles i) conformément à la législation applicable, ii) afin de remplir ses obligations énoncées dans l’accord conclu entre le Responsable du traitement et le Sous-traitant, et iii) comme décrit dans le présent Accord.
Le Sous-traitant est responsable d’informer le Responsable du traitement si une instruction, de l’avis du Sous-traitant, contrevient au RGPD ou à la législation nationale en matière de protection des données.
Dans le cas où le Sous-traitant estime qu’une instruction du Responsable du traitement est illégale ou contraire à la législation applicable, le Sous-traitant est tenu d’en informer le Responsable du traitement, lequel doit rectifier l’instruction en temps utile. Si le Responsable du traitement n’est pas en mesure de rectifier l’instruction, le Sous-traitant est en droit de cesser le contrat de services entre les Parties.
Le Sous-traitant assiste le Responsable du traitement dans la mise en œuvre de mesures techniques et de sécurité appropriées, compte tenu de la nature du traitement et de la catégorie de données personnelles.
En outre, le Sous-traitant assiste le Responsable du traitement dans le traitement des demandes des personnes concernées relatives à l’exercice de leurs droits au titre du RGPD. Le Sous-traitant ne répond pas à ces demandes, sauf autorisation du Responsable du traitement.
Sur demande du Responsable du traitement concernant des informations ou une assistance au regard des mesures de sécurité du Responsable du traitement ou du traitement des données personnelles de manière générale, et si une telle demande excède ce qui est nécessaire au regard de la législation applicable en matière de protection des données, le Sous-traitant est en droit de réclamer le paiement de ces prestations supplémentaires.
Le Sous-traitant assure la confidentialité en lien avec le traitement des données personnelles, y compris à l’égard des employés du Responsable du traitement. Cette obligation s’applique après la résiliation du présent Accord de Traitement des Données.
Le Sous-traitant ne saurait être responsable de tout dommage indirect, accessoire, spécial, consécutif ou punitif, y compris la perte de profits, de chiffre d’affaires ou de données, même s’il a été informé de la possibilité de tels dommages. La responsabilité totale et cumulative du Sous-traitant découlant de ou en lien avec le présent Accord, qu’elle soit contractuelle, délictuelle ou autre, est limitée au montant total payé par le Responsable du traitement au Sous-traitant au titre des Conditions de Service au cours des douze (12) mois précédant l’événement à l’origine de la réclamation. Cette limitation s’applique indépendamment du nombre ou de la nature des réclamations et de la cause de l’action, sauf en cas de dol ou de faute lourde du Sous-traitant prouvés devant un tribunal compétent.
Le Sous-traitant doit satisfaire aux conditions énoncées à l’article 28 (2) et (4) du RGPD pour recourir à un autre sous-traitant (« sous-traitant ultérieur »).
Le Sous-traitant recourt à des sous-traitants, y compris des entités du Groupe Shine et des prestataires tiers situés à l’intérieur ou à l’extérieur de l’UE/EEE, pour fournir ses Services.
Le Sous-traitant a conclu des accords de traitement des données avec tous les sous-traitants, et une liste exhaustive de ceux-ci figure à l’Annexe B. Le Sous-traitant s’assure que tous les sous-traitants se conforment aux obligations et exigences correspondantes du présent Accord de Traitement des Données et de la législation sur la protection des données.
Le présent Accord est réputé constituer l’autorisation écrite générale du Responsable du traitement pour le recours à des sous-traitants, conformément à l’article 28(2) du RGPD.
Le Sous-traitant transfère des données à des partenaires dans le cadre de la prestation de service au Responsable du traitement. En acceptant les conditions du contrat de service, le Responsable du traitement est informé que les partenaires du Sous-traitant recevront les données personnelles afin de formuler une offre en réponse à la demande de service du Responsable du traitement.
En cas de transfert de données personnelles en dehors de l’UE/EEE, le Sous-traitant s’assure que ces transferts sont effectués conformément au Chapitre V du RGPD et qu’un niveau de protection adéquat est garanti.
Le Sous-traitant peut s’appuyer sur divers mécanismes juridiques de transfert prévus par le RGPD, notamment, sans s’y limiter :
Le cas échéant, le Sous-traitant met en œuvre des mesures complémentaires techniques, organisationnelles et contractuelles pour s’assurer que les données personnelles transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE/EEE.
Si le Sous-traitant modifie ses sous-traitants, le Responsable du traitement en sera informé et a le droit de s’opposer à un tel changement si le nouveau sous-traitant ne traite pas les données personnelles conformément à la législation applicable en matière de protection des données. Si le Responsable du traitement s’oppose à l’utilisation d’un nouveau sous-traitant pour des motifs valables et documentés en matière de protection des données, les Parties engagent des discussions de bonne foi pour résoudre la question. À défaut de résolution dans un délai de trente (30) jours, le Sous-traitant se réserve le droit de continuer à utiliser le sous-traitant, à moins que le Responsable du traitement ne choisisse de résilier la partie des services concernée par l’objection. Une telle résiliation n’ouvrira droit à aucune indemnisation, dommages et intérêts, ni responsabilité à la charge du Sous-traitant.
Le Sous-traitant est responsable d’exiger des sous-traitants le respect des obligations du Sous-traitant énoncées dans le présent Accord de Traitement des Données, ainsi que dans le RGPD.
Sur demande raisonnable, le Sous-traitant fournit au Responsable du traitement des informations pertinentes démontrant que les sous-traitants sont soumis à des obligations équivalentes en matière de protection des données, y compris un résumé ou un extrait des clauses de protection des données des contrats de sous-traitance, lorsque cela est nécessaire pour démontrer la conformité. La fourniture de copies intégrales des contrats de sous-traitance n’est pas exigée, sauf si la loi applicable ou une autorité de contrôle l’impose.
En cas de manquement d’un sous-traitant aux règles de protection des données, le Sous-traitant est pleinement responsable de s’assurer que le sous-traitant s’acquitte de ses obligations envers le Responsable du traitement.
Le Responsable du traitement reconnaît et accepte que le Sous-traitant puisse autoriser l’accès aux données personnelles traitées dans le cadre du présent Accord à d’autres entités du Groupe Shine, y compris les sociétés affiliées, sociétés mères et filiales, dans la mesure nécessaire à l’exécution, à la maintenance, à la sécurité et à l’amélioration des Services.
Ces entités du groupe peuvent opérer à l’intérieur ou à l’extérieur de l’UE/EEE. Dans ce cas, le Sous-traitant veille à ce que tous les transferts de données soient conformes au Chapitre V du RGPD et que des garanties appropriées soient en place. Une liste des entités du groupe concernées et de leurs rôles peut être mise à disposition du Responsable du traitement sur demande.
L’accès par les entités du groupe n’est pas considéré comme le recours à de nouveaux sous-traitants nécessitant une notification distincte.
Le Sous-traitant ne peut accorder l’accès aux données personnelles traitées pour le compte du Responsable du traitement qu’aux personnes placées sous son autorité qui se sont engagées à la confidentialité.
Sur demande du Responsable du traitement, le Sous-traitant doit démontrer les mesures de confidentialité applicables aux personnes concernées.
Le Responsable du traitement est responsable de définir les exigences générales de sécurité, et le Sous-traitant met en œuvre les mesures en conséquence.
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, telles qu’exigées par l’article 32, en tenant compte de l’état de l’art, des coûts de mise en œuvre et des risques spécifiques associés aux opérations de traitement qu’il effectue pour le compte du Responsable du traitement.
Sur demande documentée, le Sous-traitant assiste le Responsable du traitement, dans le cadre des activités de traitement relevant du présent Accord et dans la mesure raisonnablement possible, pour assurer le respect des obligations au titre de l’article 32 du RGPD.
Le Sous-traitant ne transfère des données personnelles vers un pays tiers ou une organisation internationale que sur instructions documentées du Responsable du traitement, et toujours en conformité avec le Chapitre V du RGPD.
Le Sous-traitant peut effectuer de tels transferts lorsque la législation de l’Union ou d’un État membre à laquelle il est soumis l’exige. Dans ce cas, le Sous-traitant informe le Responsable du traitement de l’exigence légale avant le traitement, sauf si une telle divulgation est interdite pour des raisons d’intérêt public en vertu de la législation applicable.
Le Sous-traitant tient une documentation des instructions du Responsable du traitement dans les situations suivantes :
- transferts de données personnelles vers un Responsable du traitement ou un sous-traitant dans un pays tiers ou une organisation internationale ;
– engagement d’un sous-traitant situé dans un pays tiers ;
– activités de traitement effectuées dans un pays tiers.
Le Responsable du traitement reconnaît et accepte, par la signature du présent Accord, l’utilisation par le Sous-traitant de sous-traitants situés dans des pays tiers tels qu’énoncés à l’Annexe B. Le Sous-traitant s’assure que tous ces transferts reposent sur un mécanisme valide au titre du Chapitre V du RGPD, ce qui peut inclure :
– une décision d’adéquation de la Commission européenne ;
– des Clauses Contractuelles Types (CCT) adoptées par la Commission ;
– des Règles d’Entreprise Contraignantes (BCR) ; ou
– d’autres garanties appropriées autorisées par l’article 46 du RGPD.
Le cas échéant, le Sous-traitant met en œuvre des mesures techniques, organisationnelles ou contractuelles complémentaires pour s’assurer que le niveau de protection des données personnelles est essentiellement équivalent à celui en vigueur au sein de l’UE/EEE, conformément aux orientations juridiques applicables (par ex. Recommandations du CEPD et attentes des autorités nationales).
Le Sous-traitant ne saurait être tenu responsable des transferts effectués conformément aux instructions du Responsable du traitement et aux exigences du Chapitre V du RGPD, sauf si le Sous-traitant a omis de mettre en place les garanties convenues. Toute obligation relative à l’évaluation du cadre juridique du pays de destination ou à la réalisation d’une analyse d’impact relative au transfert (TIA) sera coordonnée conjointement par les Parties, le Responsable du traitement assumant la responsabilité principale de la décision de procéder.
Le Sous-traitant a conclu des accords écrits de traitement des données avec tous les sous-traitants et s’est assuré que toutes les garanties et engagements contractuels pertinents sont en place afin de garantir la conformité à la législation applicable en matière de protection des données dans le contexte des transferts de données hors UE/EEE.
Le Sous-traitant assiste le Responsable du traitement, dans la mesure raisonnablement possible et compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant, pour s’acquitter des obligations du Responsable du traitement au titre des lois applicables en matière de protection des données, y compris le RGPD et les législations nationales pertinentes en France, en Allemagne, aux Pays-Bas et au Danemark.
Cette assistance peut inclure, sur demande écrite et documentée du Responsable du traitement :
Le Sous-traitant ne répond pas directement aux personnes concernées et ne communique pas avec une autorité de contrôle sauf instruction écrite explicite du Responsable du traitement. Toute assistance dépassant le périmètre requis par l’article 28 du RGPD peut faire l’objet d’une rémunération supplémentaire convenue entre les Parties.
Le Sous-traitant notifie au Responsable du traitement, sans retard indu, dès qu’il a connaissance d’une violation de données personnelles affectant les données personnelles traitées au titre du présent Accord.
La notification inclut, dans la mesure des informations disponibles au moment de la notification, les informations pertinentes pour aider le Responsable du traitement à remplir ses obligations au titre de l’article 33 et, le cas échéant, de l’article 34 du RGPD.
Le Sous-traitant apporte une coopération et une assistance raisonnables au Responsable du traitement dans l’enquête et l’atténuation de la violation ainsi que dans la préparation des notifications exigées aux autorités de contrôle ou aux personnes concernées, compte tenu de la nature du traitement et des informations disponibles pour le Sous-traitant.
Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le Sous-traitant assiste le Responsable du traitement dans la préparation de toute communication aux personnes concernées, comme l’exige la législation applicable en matière de protection des données.
À la résiliation du service incluant le traitement de données personnelles, le Sous-traitant est tenu d’effacer toutes les données personnelles traitées pour le compte du Responsable du traitement et de confirmer au Responsable du traitement que les données personnelles ont été effacées.
Ce qui précède ne s’applique pas si la législation de l’UE ou nationale exige la conservation des données personnelles après la résiliation du service. En outre, ce qui précède ne s’applique pas aux données personnelles traitées par le Sous-traitant en tant que Responsable du traitement dans la relation client entre les Parties. Cela inclut la conservation conformément à des législations spécifiques, y compris la législation danoise sur la comptabilité.
Le Sous-traitant fournit au Responsable du traitement, sur demande, les informations strictement nécessaires pour démontrer le respect des obligations énoncées dans le présent Accord et au titre de la législation applicable en matière de protection des données, y compris le RGPD.
Le Sous-traitant accorde également l’accès aux autorités de contrôle compétentes à ses installations ou à sa documentation, lorsque la loi applicable l’exige.
Le Sous-traitant se réserve le droit de modifier le présent ATD à tout moment. Le Responsable du traitement sera informé de ces modifications par e-mail ou via la plateforme.
À l’exception des modifications relatives aux sous-traitants régies par l’Annexe B de l’ATD, les modifications du présent ATD s’appliquent au Responsable du traitement, même si sa relation a débuté antérieurement aux modifications, quinze (15) jours après la notification.
Si les modifications portent préjudice de manière substantielle au Responsable du traitement et ne sont pas requises par des lois, règlements, directives, orientations ou décisions d’une autorité européenne de protection des données, ou par une décision judiciaire, le Responsable du traitement peut formuler une objection écrite dans les quinze (15) jours suivant l’information, en fournissant les motifs d’une telle objection.
Si les Parties ne parviennent pas à un accord dans les trente (30) jours suivant la réception de l’objection du Responsable du traitement, celui-ci peut résilier sans pénalité le Service affecté en envoyant une notification écrite au Sous-traitant.
Toute utilisation continue du Service après la notification est réputée constituer l’acceptation par le Responsable du traitement de l’ATD mis à jour.
Les Parties peuvent convenir d’autres dispositions relatives au service fourni par le Sous-traitant au Responsable du traitement, pour autant que ces dispositions ne contredisent pas, directement ou indirectement, les stipulations du présent Accord de Traitement des Données relatives au traitement de données personnelles, ni ne portent atteinte de quelque manière que ce soit aux droits fondamentaux des personnes concernées prévus par la législation sur la protection des données.
Les dispositions du présent Accord de Traitement des Données entrent en vigueur à la date de signature des Conditions Générales de Service entre les Parties.
L’Accord de Traitement des Données est applicable pendant toute la durée du contrat de services. Durant cette période, l’Accord ne peut être résilié par l’une ou l’autre des Parties, sauf résiliation concomitante du contrat de services. La résiliation du contrat de services peut intervenir conformément aux stipulations relatives à la résiliation figurant audit contrat.
Le présent Accord est régi par le droit danois et tout litige sera soumis aux juridictions danoises.
A.1. Catégories de personnes concernées
A.2. Catégories de données personnelles
Le Sous-traitant ne traite pas de catégories particulières de données personnelles, sauf instruction spécifique du Responsable du traitement.
Dans le cas où le traitement de catégories particulières de données personnelles ne ferait pas naturellement partie des catégories susmentionnées, il est vivement recommandé au Responsable du traitement d’anonymiser les données avant d’en permettre l’accès au Sous-traitant, comme indiqué dans le présent Accord.
A.3. Finalités du traitement des données personnelles
Les finalités de traitement décrites dans le présent Accord sont poursuivies de manière cohérente dans l’ensemble des pays où le Sous-traitant exerce ses activités. Toutefois, certaines opérations de traitement peuvent n’être effectuées que dans les juridictions où les services ou capacités techniques correspondants sont disponibles.
La nature du traitement comprend la collecte, la conservation, l’organisation, la consultation, l’utilisation, l’analyse, la divulgation par transmission, l’effacement et la destruction.
Les données personnelles seront traitées pendant la durée de la relation client, jusqu’à la résiliation des Conditions de Service par le Responsable du traitement ou le Sous-traitant. Après la résiliation des Conditions de Service, les données personnelles seront conservées conformément à la Période de conservation du Sous-traitant.
Outre les sociétés du Groupe Shine, le Sous-traitant a les sous-traitants suivants qui traitent des données pour le compte du Responsable du traitement :
| AccessOwl GmbH | Kurfürstenstraße 56, 10785 Berlin, Germany | Gestion des accès |
| Airtable | 799 Market Street, 8th Floor, San Francisco, CA 94103, United States | Plateforme de gestion de bases de données et de workflows. |
| Fireflies.ai Inc. | 2261 Market Street #4702, San Francisco, CA 94114, United States | Outil de transcription de réunions et de prise de notes. |
| GitHub (GitHub, Inc.) | 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, United States | Plateforme d’hébergement de code source et de gestion de versions. |
| GlobalConnect A/S | Hørskætten 3, 2630 Taastrup, Denmark | Fournisseur de réseau et de connectivité ; garantit une connectivité et des services de télécommunication sécurisés. |
| Google Cloud SDK | Gordon House, Barrow Street, Dublin 4, Ireland | Outils de développement pour Google Cloud. |
| Linear (Linear Orbit, Inc.) | 2261 Market Street #4370, San Francisco, CA 94114, United States | Outil de suivi des tickets et de gestion de projet. |
| Notion Labs, Inc. | 2300 Harrison Street, San Francisco, CA 94110, United States | Plateforme de documentation et de collaboration. |
| Serensia | 128 Rue La Boétie, 75008 Paris, France | Fournisseur de services de protection des données (PDP). |
| Slack Technologies, LLC | 500 Howard Street, San Francisco, CA 94105, United States | Plateforme de communication et de collaboration. |
| Slido (Cisco Systems Slovakia s.r.o.) | Záhradnícka 154A, 821 08 Bratislava, Slovakia | Outil de sondages en direct et de Q&A pour les réunions. |
| Trustpilot A/S | Pilestræde 58, 1112 Copenhagen K, Denmark | Plateforme d’avis clients. |
| Typeform S.L. | Carrer de Bac de Roda 163, 08018 Barcelona, Spain | Créateur de formulaires et d’enquêtes. |
| YouSign | 7 Place de Francfort, 38000 Grenoble, France | Fournisseur de solutions de signature électronique |
C.1 – Nature et finalité du traitement
Le Sous-traitant traite les données personnelles uniquement sur la base des instructions documentées du Responsable du traitement, telles que définies ci-dessous ou communiquées séparément par écrit et approuvées par les deux Parties.
Les activités de traitement effectuées par le Sous-traitant comprennent :
la fourniture d’une plateforme de gestion financière permettant, entre autres, la facturation, la comptabilité, les opérations bancaires et la paie ;
les opérations nécessaires à l’exécution des services sélectionnés par le Responsable du traitement au titre des Conditions Générales de Service ;
l’utilisation de composants logiciels et d’intégrations sélectionnés par le Sous-traitant pour fournir lesdits services.
Le Responsable du traitement est seul responsable de déterminer la base légale des opérations de traitement, y compris au titre des articles 6 et 9 du RGPD.
Tout traitement au-delà de ce périmètre doit faire l’objet d’une instruction documentée distincte du Responsable du traitement.
C.2 – Catégories de données et personnes concernées
Les catégories de données personnelles et les personnes concernées sont détaillées à l’Annexe A.
Les catégories particulières de données (article 9 du RGPD) ne doivent pas être traitées, sauf autorisation explicite et formelle du Responsable du traitement. Il est recommandé au Responsable du traitement d’anonymiser ou de pseudonymiser ces données lorsque cela est possible.
C.3 – Mesures de sécurité
Le Sous-traitant met en place, maintient et, le cas échéant, adapte des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.
Ces mesures tiennent compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de destruction, perte, altération, divulgation non autorisée de données personnelles ou d’accès non autorisé à celles-ci, qu’ils soient accidentels ou illicites.
En particulier, le Sous-traitant s’assure que :
les personnes autorisées à traiter les données sont liées par des obligations de confidentialité ou par une obligation légale de confidentialité adéquate ;
l’accès aux données est limité au personnel autorisé strictement dans le cadre de ses responsabilités ;
les systèmes sont protégés contre les accès non autorisés au moyen de mesures de sécurité physiques, logiques et organisationnelles;
des procédures existent pour tester, apprécier et évaluer régulièrement l’efficacité de ces mesures de sécurité.
Sans préjudice des obligations ci-dessus, le détail des mesures de sécurité spécifiques mises en œuvre peut être fourni séparément sur demande, sous réserve des obligations de confidentialité applicables.
C.4 – Conservation et suppression des données
Le Sous-traitant supprime ou restitue les données personnelles à la fin de la relation contractuelle, conformément aux instructions documentées du Responsable du traitement, sauf obligation contraire en vertu du droit de l’Union ou du droit d’un État membre, notamment à des fins comptables ou fiscales.
C.5 – Sous-traitants ultérieurs
Le Sous-traitant dispose de l’autorisation générale du Responsable du traitement pour engager les sous-traitants listés à l’Annexe B.
Le Sous-traitant peut également engager d’autres sous-traitants, sous réserve d’en informer préalablement le Responsable du traitement dans un délai raisonnable avant la mise en œuvre du changement.
Le Responsable du traitement peut formuler une objection motivée par écrit dans les trente (30) jours suivant la notification, uniquement pour des motifs légitimes et documentés relatifs à la protection des données personnelles. En l’absence d’objection, le changement est réputé accepté.
En cas d’objection justifiée, les Parties coopèrent de bonne foi afin de trouver une solution mutuellement acceptable. À défaut de solution dans un délai raisonnable, le Sous-traitant se réserve le droit de poursuivre avec le sous-traitant désigné, auquel cas le Responsable du traitement peut résilier uniquement les services affectés, sans indemnité ni responsabilité du Sous-traitant.
C.6 – Transferts de données en dehors de l’EEE
Les données sont traitées par le Sous-traitant au sein de l’Espace économique européen (EEE) et par ses sous-traitants autorisés énumérés à l’Annexe B.
Des transferts de données personnelles hors de l’EEE peuvent intervenir dans le cadre de l’utilisation de prestataires internationaux. Le Responsable du traitement autorise expressément ces transferts, sous réserve que le Sous-traitant respecte le Chapitre V du RGPD et mette en œuvre des garanties appropriées, telles que :
décisions d’adéquation de la Commission européenne ;
Clauses Contractuelles Types (CCT) ;
Règles d’Entreprise Contraignantes (BCR) ;
ou autres garanties conformes au RGPD.
C.7 – Coopération et instructions de conformité
Le Sous-traitant s’engage à :
assister le Responsable du traitement, sur demande écrite, dans la gestion des demandes d’exercice des droits (articles 12 à 22 du RGPD) ;
soutenir la réalisation d’analyses d’impact (article 35 du RGPD), le cas échéant ;
coopérer avec les autorités de contrôle compétentes, lorsque la loi applicable l’exige.
Le Sous-traitant ne communique pas directement avec les personnes concernées ni avec les autorités de contrôle sans instructions écrites expresses du Responsable du traitement. Toute assistance au-delà de ce qui est strictement requis par l’article 28 du RGPD peut donner lieu à une rémunération supplémentaire convenue entre les Parties.
C.8 – Access and Audit
À la demande du Responsable du traitement et lorsqu’il existe des éléments crédibles de non-conformité, le Sous-traitant permet et contribue à des audits des activités de traitement couvertes par les présentes clauses. Un tel audit peut être réalisé une fois par année civile, sous réserve d’un préavis écrit de soixante (60) jours adressé au Sous-traitant.
L’audit doit être mené de manière à préserver la sécurité et la confidentialité de la documentation et des procédures du Sous-traitant. Il ne doit pas excéder une (1) journée ouvrée et doit avoir lieu durant les heures ouvrables habituelles dans les locaux du Sous-traitant.
Le Responsable du traitement peut réaliser l’audit lui-même ou désigner un auditeur indépendant, agréé d’un commun accord par les Parties et tenu à une obligation de confidentialité. Le Sous-traitant peut rejeter l’auditeur proposé en cas de conflit d’intérêts manifeste ou d’insuffisance de qualification.
Nonobstant toute stipulation contraire, le Responsable du traitement supporte tous les coûts et/ou dépenses engagés du fait d’un tel audit.