Convention de sous-traitance des données à caractère personnel

 

I. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »), ainsi que la loi modifiée n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et ses textes d’application et toute autre règlementation applicable en la matière, venant s’y ajouter ou s’y substituer ultérieurement.

II. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour remplir ses obligations décrites dans le contrat de prestation liant les parties.

Le sous-traitant ne peut traiter les données à caractère personnel pour d’autres finalités que celles explicitement fournies par le responsable de traitement par écrit.

La durée des traitements mis en œuvre par le sous-traitant pour le responsable de traitement correspond à la durée du contrat liant les deux parties.

La transmission des données à caractère personnel depuis le sous-traitant à destination du responsable de traitement s’effectuera via un transfert sécurisé de type Interface de programmation d’application et selon les principes établis par la CNIL en matière de sécurisation des transferts de données à caractère personnel.

Les finalités du traitement sont : gestion des données d’apprentissage des étudiants et apprenants ; mise à disposition des évaluations pédagogiques ; mise à disposition d’un système de messagerie ; hébergement de documents pédagogique par les intervenants et les étudiants et apprenants.

Les catégories de personnes concernées sont : étudiants et apprenants ; intervenants ; personnel de l’institution académique et sous-traitant de maintenance (équipe support Edunao).Les catégories de données personnelles sont :

–      Adresse électronique (compte d’accès)

–      Vidéo (son et image)

–      Nom prénom

–      Identifiant Moodle

–      Ip

–      Données d’apprentissage telle que : données et les métas donnés d’activité sur moodle et ses extensions journalisées et horodatées de l’activité d’apprentissage, de collaboration et d’évaluation des utilisateurs.

–      Métriques produites par l’analyse des données d’apprentissage.

La localisation(s) des opérations de Traitement :  France

La durée des opérations de traitement : Stocké jusqu’à la fin du contrat au maximum – sauvegarde quotidienne sur la plateforme conservée 30 jours.

III. Durée du contrat

Le présent contrat entre en vigueur à la même date que la prestation pour une durée identique, étant entendu que ce contrat seul n’a aucune portée dès lors que la prestation principale n’existe pas.

IV. Obligations du sous-traitant vis-à-vis du responsable de traitement

Le sous-traitant s’engage sur les points suivants à :

  1. Traitement des données :
  • Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
  • Traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. Le Sous-traitant s’assure qu’aucune donnée à caractère personnel confiée par le Responsable du traitement n’est transférée hors du territoire de l’Union européenne par lui, ses propres sous-traitants, ou les personnes agissant sous son autorité ou pour son compte. Si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit en informer le responsable du traitement préalablement et par écrit.
  • Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
  • S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  • Informer sans délai le Responsable du traitement et si possible, la personne concernée s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel ;
  • Informer le Responsable du traitement par écrit et dans les meilleurs délais de toute modification ou autre fait, notamment en matière de sécurité, pouvant avoir un impact sur les traitements de données réalisées dans le présent Contrat ;

Le Sous-traitant demeure responsable de plein droit à l’égard du Responsable de traitement en cas de manquement à l’une quelconque de ses obligations au titre du présent Accord relatif à la protection des données personnelles, y compris lorsque ce manquement résulte du fait de l’un quelconque de ses Sous-traitants, quand bien même ce dernier aurait été valablement autorisé par le Responsable de traitement conformément à l’Article 3.1.7 ci-avant.

Le Sous-traitant s’engage à ce titre à tenir le Responsable de traitement indemne de tous frais, dépenses, débours et paiements de toutes natures occasionnés par une telle demande, action, réclamation, contestation, sanction ou condamnation.

  1. Sous-traitance :
  • Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, le Sous-traitant informe préalablement le Responsable du traitement, de toute sous-traitance ultérieure et doit recueillir l’autorisation écrite préalable et spécifique du Responsable du traitement. . Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de 1 mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
  • Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
  1. Droit d’information des personnes concernées :
  • Il appartient au responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
  1. Exercice des droits des personnes :
  • Le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
  • Le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.
  1. Notification des violations de données à caractère personnel :
  • Le Sous-traitant notifie au Responsable du traitement par courrier électronique, toute violation de données personnelles dans les meilleurs délais et si possible, dans un délai maximum de 48 heures, après en avoir eu connaissance. Ce délai permet, en tout état de cause, au Responsable du traitement de respecter les délais qui lui sont imposés par la Règlementation Générale sur la protection des données personnelles.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du traitement, de notifier cette violation à l’autorité de contrôle compétente ainsi qu’aux personnes concernées, dès lors que ces notifications sont exigées par la Règlementation données personnelles.

Il convient que le Sous-traitant transmette au Responsable du traitement, au moins :

  • La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

  • Après accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.
  • La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :
  • La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • La description des conséquences probables de la violation de données à caractère personnel ;
  • La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  1. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations :
  • Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle. 
  1. Sécurité : 
  • Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :
  • La pseudonymisation et le chiffrement des données à caractère personnel
  • Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
  • Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité requises
  1. Sort des données : 
  • Au terme de la prestation de services relative au traitement des données personnelles, le Sous-traitant s’engage à restituer les données dans un format structuré, couramment utilisé et lisible par machine et à détruire toutes les copies des données existantes dans ses systèmes d’information dans un délai raisonnable sans en conserver de copie.
  • Une fois les données restituées et détruites, le Sous-traitant attestera des diligences entreprises en communiquant au Responsable du traitement un procès-verbal établissant la restitution ainsi que la destruction des données.
  1. Délégué à la protection des données 
  • Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données
  1. Registre des catégories d’activités de traitement :
  • Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :
  • Le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte du responsable du traitement ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  1. Documentation : 
  • Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

 

V. Obligations du responsable de traitement vis-à-vis du sous-traitant

Le responsable de traitement s’engage à :

  1. Fournir au sous-traitant les données visées au II des présentes clauses
  2. Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant
  3. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
  4. Superviser le traitement, y compris réaliser les audits et les inspections auprès du sous-traitant