CONTRAT DE SOUS-TRAITANCE DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL

ENTRE LES SOUSSIGNEES :

La société Archireport
Société par Actions Simplifiée au capital de 49 210 €
Dont le siège social est situé au 61 Rue Jean Guéhenno, 35700 Rennes
Immatriculée au RCS de Rennes sous le numéro 531 980 605

Ci-après désignée « Archireport »

L’Utilisateur de la solution Archireport

Ci-après désignée le « Client »

Les soussignées étant ci-après désignées individuellement par la « Partie » ou collectivement par les « Parties ».

1 – Objet

Le présent contrat (ci-après le « Contrat ») définit les modalités selon lesquelles Archireport s’engage à réaliser les opérations de traitement de données à caractère personnel définies ci-après, pour le compte et conformément aux instructions du Client.
Les Parties s’engagent à respecter la réglementation applicable au traitement des données personnelles et notamment la Loi Informatique et Libertés du 6 janvier 1978 et le Règlement Européen sur la Protection des Données (ci-après « RGPD »).

2 – Description des traitements

Le Client, en qualité de responsable de traitement, autorise Archireport à traiter pour son compte les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Suivi de chantier avec l’application Archireport et plus généralement tout usage de l’Application ou du Site.

  • Les données personnelles traitées sont les suivantes :
    Informations des projets des clients (nom, adresse), coordonnées des clients et des prestataires (nom, prénom, email, téléphone et adresse)
  • Les opérations réalisées sur les données personnelles sont les suivantes : stockage/intégration dans une base de données/analyse/anonymisation.
  • Le traitement de ces données personnelles a pour finalités :
  • Permettre le déroulement du Suivi de chantier et la gestion du projet via l’Application ou le Site
  • Gestion des données et des projets clients
  • Restauration des projets des clients
  • Gérer l’accès à certains services accessibles sur le Site et/ou l’Application, et leurs utilisations
  • Effectuer les opérations relatives à la gestion des clients concernant les contrats, commandes, livraisons, factures, programmes de fidélité, suivis de la relation avec les clients
  • Constituer un fichier de membres inscrits, d’utilisateurs, de clients
  • Respecter nos obligations légales et réglementaires.
  • Les personnes concernées par le traitement de leurs données personnelles sont les suivantes : clients et prestataires des projets du Client

3 – Durée de la sous-traitance

La sous-traitance mise en place prend effet à compter de la création du compte Client sur le Site ou dans l’Application pour toute la durée d’utilisation du Site et de l’Application.

4 – Obligations de Archireport

4.1. Obligations relatives au traitement des données personnelles

Archireport s’engage à réaliser les prestations de sous-traitance prévues dans les présentes conformément aux obligations ci-après mentionnées, et notamment :

  • Traiter les données exclusivement pour les finalités mentionnées à l’Article 2 du présent Contrat ;
  • Traiter les données personnelles conformément aux instructions documentées du Client prévue à l’Article 8 du présent Contrat. En outre, Archireport s’engage à informer immédiatement le Client s’il considère qu’une de ses instructions constituent une violation de la législation relative à la protection des données personnelles et notamment du RGPD ;Dans l’hypothèse où Archireport est tenue de procéder à un transfert de données vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit en informer le Client avant tout traitement, sauf si le droit concerné interdit une telle information pour des motifs d’intérêt public ;
  • Mettre en place toutes les mesures nécessaires afin de garantir la confidentialité des données personnelles traitées. Cette obligation de confidentialité est étendue à l’ensemble des personnes autorisées à traiter les données personnelles objet des présentes. A cette fin, la désignation des personnes autorisées à traiter les données personnelles doit être strictement limitée aux nécessités liées à l’exécution des présentes et recevoir une formation en matière de protection des données à caractère personnel ;
  • Prendre en compte, s’agissant de ses outils, produits, applications et/ou services, les principes de protection des données dès la conception et de protection des données par défaut ;
  • Archireport s’engage à mettre en place les mesures de sécurités suivantes :

(i) Mesures de sécurité organisationnelles

  • 2 administrateurs au sein de Archireport sont en mesure de donner accès à la plateforme en renseignant les IP autorisées.

(ii) Mesures de sécurité techniques

  • La pseudonymisation et le chiffrement des données à caractère personnel. Nous n’avons accès qu’au hash des mots de passe de nos clients
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Confidentialité : L’accès à notre interface d’administration de la base de données est restreinte à une liste d’IPs.
  • Intégrité : Des backup automatiques de nos bases de données sont réalisés fréquemment et automatiquement.
  • Disponibilité : Un export des données clients au format json peut être fourni à la demande
  • Résilience : Les données peuvent être rétablies dans l’heure
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • En cas d’incident mineur, un backup de notre serveur peut être rétabli à la volée dans le quart d’heure. En cas d’événement plus incapacitant, un backup de la base de données existe chez un prestataire différent garantissant une bonne résilience des données clients.
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
  • Nous organisons annuellement un audit de sécurité par la société SEKOIA (société en cours de certification PASSI, voir sur le site de l’ANSSI) garantissant un niveau de sécurité exigeant pour nos utilisateurs et leurs données.

Une fois la prestation de service relative au traitement des données personnelles terminée, Archireport s’engage à :

4.2. Obligations relatives aux droits des personnes

  • Information des personnes concernées :

Les personnes dont les données personnelles font l’objet d’un traitement doivent en être informées au moment de la collecte de celles-ci. Il appartient au Client en sa qualité de responsable de traitement, de fournir l’ensemble des informations à adresser aux personnes concernées, conformément aux dispositions de l’Article 13 du RGPD.

  • Exercice des droits des personnes :

Conformément aux dispositions du RGPD, le Client a l’obligation de donner suite aux demandes d’exercice des droits des personnes concernées à savoir, le droit d’accès, de rectification, d’effacement et d’opposition, le droit à la limitation du traitement, le droit à la portabilité des données, le droit de ne pas faire l’objet d’une décision individuelle automatisée.

Afin de garantir l’exercice de ces droits, Archireport est tenue de mettre en œuvre toutes les mesures possibles pour aider le Client à s’acquitter de ses obligations.

En cas de demande d’exercice de leurs droits auprès de Archireport, cette dernière doit adresser ces demandes au Client dès leur réception. Cette signification doit avoir lieu par mail à l’adresse suivante dpo@archireport.com.

4.3. Obligations envers le Client

  • Notification des violations de données personnelles

Le RGPD impose de notifier à l’autorité compétente, dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, toutes violations de données personnelles.

Afin de respecter cette obligation, Archireport notifie au Client toute violation des données personnelles dans un délai maximal de 72 heures après en avoir eu connaissance. Cette notification est accompagnée de toute documentation utile afin de déterminer la nature, l’étendue et l’impact sur les personnes de la violation et permettre au Client de notifier cette violation à l’autorité compétente. La notification pourra être réalisée par Archireport sous réserve de l’accord préalable du Client.

La notification contient a minima :
(i) La description de la nature de la violation des données personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d’enregistrements de données personnelles ;
(ii) Le nom et les coordonnées du Délégué à la Protection des Données ou d’un autre point de contact ;
(iii) La description des conséquences probables de la violation des données personnelles ;
(iv) La description des mesures prises ou que le Client souhaite prendre pour remédier à la violation des données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Le RGPD impose également une notification à la personne concernée par la violation de ses données personnelle, lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

Cette notification doit être écrite dans des termes clairs et simples, et doit contenir l’ensemble des informations mentionnées ci-dessus. Archireport peut procéder à ladite notification après accord du Client et en agissant au nom pour le compte de ce-dernier.

  • Assistance du Client

Le cas échéant, Archireport assiste le Client pour la réalisation d’une analyse d’impact et pour la consultation préalable de l’autorité de contrôle.

Il met à la disposition du Client la documentation nécessaire pour démontrer le respect de ses obligations et permettre la réalisation d’audit et/ou d’inspections.

  • Délégué à la Protection des Données

En cas de désignation d’un Délégué à la Protection des Données par Archireport, il communique au Client le nom et les coordonnées de celui-ci.

5 – Obligations du Client

Le Client s’engage à :

  • Fournir à Archireport l’ensemble des données visées à l’Article 2 du présent Contrat ;
  • Documenter par écrit toute instruction concernant le traitement des données personnelles par Archireport ;
  • Veiller au respect par Archireport de l’ensemble des obligations posées par le RGPD et à superviser le traitement, y compris réaliser les audits et les inspections nécessaires auprès de Archireport

6 – Sous-traitance

Archireport peut faire appel à un sous-traitant (ci-après « Sous-traitant ultérieur ») exclusivement pour les traitements suivants : stockage/intégration dans une base de données.
Tout Sous-traitant ultérieur est tenu de respecter les obligations prévues dans les présentes. Les traitements à sa charge se font pour le compte et selon les instructions du Client.

Archireport garantit que le Sous-traitant spécifique met en place les mesures techniques et organisationnelles nécessaires afin de garantir la sécurité des données personnelles traitées et le respect de la législation relative à la protection des données personnelles.

7 – Registre des traitements

Conformément aux dispositions de l’Article 30 du RGPD, Archireport doit tenir un registre des traitements effectués pour le compte du Client comprenant notamment :

  • Le nom et les coordonnées du Client pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du Délégué à la Protection des Données ;
  • Les catégories de traitements effectués pour le compte du Client ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’Article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    – la pseudonymisation et le chiffrement des données personnelles ;
    – des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    – des moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
    – une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.