Le Règlement européen 2016/679 du 27 avril 2016 (RGPD) entré en vigueur le 25 mai 2018 prévoit un nouveau dispositif en matière de protection des données à caractère personnel. En particulier, l’article 28 du RGPD vient préciser que le responsable de traitement et le sous-traitant doivent prévoir par contrat un certain nombre de mentions spécifiques relatives au traitement des Données Personnelles; lesquelles sont reprises au présent article.

Description du traitement

OPEN-DSI recueille et traite les données que les Utilisateurs fournissent volontairement afin d’accéder à la Solution et d’utiliser la Solution conformément aux présentes CGVU, ainsi que les données relatives aux préférences des Utilisateurs et au trafic :

  • nom, prénom, courriel, adresse, numéro de téléphone, date de naissance, photographie, nom de leurs clients ou prospects, identifiants, adresse IP…

OPEN-DSI peut également traiter ces données afin de proposer à ses Clients et prospects des offres commerciales.

Si le Client utilise les services pour traiter d’autres Données ou catégories de Données à Caractère Personnel ou pour d’autres traitements ou finalités, le Client le fait à ses risques et périls et OPEN-DSI ne peut être tenue pour responsable en cas de manquement à la réglementation.

Les personnes concernées par le traitement sont : le Client, les salariés du Client ; les clients, prospects et fournisseurs du Client, etc.

Obligations des Parties : général

Les Parties reconnaissent que OPEN-DSI, afin d’exécuter ses obligations aux termes des présentes CGVU, aura accès et traitera les Données à Caractère Personnel fournies par le Client en qualité de sous-traitant au sens de la réglementation

OPEN-DSI s’engage à traiter les Données à Caractère Personnel définies à l’article XV.I des présentes pour les seules finalités et dans les conditions convenues dans les CGVU, afin de fournir les services et remplir ses obligations au titre des présentes CGVU.

  • En sa qualité de responsable de traitement, le Client est responsable du respect de ses propres obligations légales et réglementaires en matière de traitement de Données à Caractère Personnel. Le Client s’engage à se conformer à tout moment aux lois et règlements en vigueur en la matière.
  • En sa qualité de sous-traitant, OPEN-DSI se limite à suivre les instructions documentées du Client en matière de traitements, sous réserve d’alerter le Client en cas d’instructions données non conformes à la réglementation.

Les Parties reconnaissent que la réalisation de l’objet des présentes CGVU et l’utilisation des Services constituent les instructions documentées du Client. Il est précisé que toute instruction non documentée par écrit, ou non conforme à la réglementation n’est pas prise en compte par OPEN-DSI.

OPEN-DSI informe immédiatement le Client si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des Données à Caractère Personnel.

Il est entendu que OPEN-DSI ne saurait être tenue pour responsable des décisions prises par le Client en tant que responsable du traitement et que l’objet des présentes CGVU n’est pas la prestation de conseils juridiques.

Le Client s’engage à alerter sans délai le prestataire en cas d’évolution des services demandés par le Client, entraînant ou risquant d’entraîner un changement de statut de OPEN-DSI au regard de la réglementation.

Coopération et assistance

Le Client reconnaît que les diligences suivantes satisfont à l’obligation de coopération et d’assistance de OPEN-DSI pour lui permettre d’assurer la conformité du traitement à la réglementation, s’agissant notamment :

  • des notifications de violations, qui lui seront transmises par OPEN-DSI dans les meilleurs délais après avoir pris connaissance de ladite violation;
  • des demandes d’exercice des droits des clients du Client (accès, rectification, opposition, portabilité). En sa qualité de sous-traitant, OPEN-DSI se limite en effet à assister le Client pour lui permettre de remplir ses propres obligations. Ainsi, OPEN-DSI ne répond jamais aux demandes d’exercice qui sont adressées directement : dans l’hypothèse où OPEN-DSI viendrait à être destinataire d’une telle demande, elle sera transmise au Client dans les meilleurs délais afin que ce dernier puisse gérer les suites à lui donner ;

Sécurité et confidentialité

Le Client reconnaît que les diligences suivantes satisfont à l’obligation de sécurité et de confidentialité nécessaires à la conformité du traitement à la réglementation :

  • Les Données du Client et les Services sont hébergés sur les infrastructures d’OVH Cloud Public situées en France (certifié ISO/IEC 27001 : 2013), l’un des premiers hébergeurs professionnels européens ;
  • OPEN-DSI emploie le protocole TLS-SSL pour chiffrer les transferts de données. Ce procédé de chiffrement protège les données par le brouillage systématique de l’information avant son transfert vers OPEN-DSI.
  • OPEN-DSI ne permet l’accès aux Services et aux Données du Client qu’aux personnes spécifiquement autorisées par OPEN-DSI et par le Client.
  • Aucun employé de OPEN-DSI n’a accès aux Données du Client, sauf si l’accès à ces informations est nécessaire pour la Souscription ou pour la mise en œuvre des Services. A la demande du Client ou des Utilisateurs et sous réserve de la Souscription aux Services d’assistanceou de support , OPEN-DSI pourra se connecter à distance à leurs Comptes, après formalisation de l’accord de l’Utilisateur dans un ticket de support, pour les assister dans le paramétrage ou l’utilisation des Modules.
  • Chaque collaborateur de OPEN-DSI est tenu par un engagement relatif à la protection des Données à Caractère Personnel ;
  • OPEN-DSI préviendra le Client de toute violation des Données à Caractère Personnel qui lui sont confiées par le Client, dans les meilleurs délais après en avoir pris connaissance compte tenu du délai de notification imparti au responsable de traitement par les articles 33 et 34 du RGPD.
  • OPEN-DSI enquêtera rapidement sur toute violation des Données à Caractère Personnel afin de remédier à une telle violation.
  • OPEN-DSI informera le Client rapidement des mesures correctives et des mesures mises en place pour y remédier.

Sous-traitance ultérieure

Le Client accepte que OPEN-DSI puisse faire appel à des sous-traitants ultérieurs agissant en son nom et pour son compte, afin de l’assister dans les opérations de traitement des Données à Caractère Personnel du Client.

Ainsi, OPEN-DSI fait appel aux prestataires suivants :

  • OVH Cloud Public (hébergement)
  • IVELEM Plateforme EDEDOC (Dématérialisation de document)
  • Budget Insight (rapprochement bancaire)

OPEN-DSI informe le Client de tout changement prévu concernant l’ajout ou le remplacement d’un sous-traitant ultérieur par tout moyen écrit à sa convenance.

Le Client peut s’opposer à un tel ajout ou remplacement en le notifiant à OPEN-DSI par écrit dans les dix (10) jours suivant la réception de l’avis d’ajout ou de remplacement envoyé par OPEN-DSI. Le Client reconnaît et accepte que l’absence d’objection dans le délais susvisé équivaut à une acceptation de sa part d’un nouveau sous-traitant. Dans le cas où le Client s’oppose à la désignation d’un sous-traitant ultérieur, les Parties conviennent de ce que l’une ou l’autre des Parties peut résilier la Souscription.

OPEN-DSI demeure pleinement responsable à l’égard du Client pour tout traitement effectué par le sous-traitant ultérieur en violation des obligations des présentes CGVU.

Localisation – Transferts des données

Les Données Personnelles des Utilisateurs sont stockées en France sur les infrastructures de la société OVH dans les centres d’hébergement situé en France.

OPEN-DSI s’engage à ne pas transférer les Données à Caractère Personnel traitées dans le cadre des CGVU hors de l’Union Européenne sauf accord préalable du Client.

OPEN-DSI s’assure que les garanties appropriées sont apportées pour encadrer tout transfert éventuel de Données à Caractère Personnel.

Restitution, destruction de données à caractère personnel

A la fin du présent Contrat , au choix du Client et dans un délai de ​30 jours​ à compter de la demande adressée par le Client à OPEN-DSI à cette fin, OPEN-DSI rendra immédiatement au Client toutes les Données à Caractère Personnel et toutes les copies de celles-ci, ou bien, supprimera ou détruira en toute sécurité les Données à Caractère Personnel.