Yes indeed! est engagé dans le respect de la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ou RGPD.
Les données étant le cœur de notre métier, Yes indeed! atteste depuis le 25 mai 2018, être en conformité avec le RGPD, et traite vos données de façon pertinente, non excessive et strictement nécessaire à l’atteinte de nos finalités.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
Les Parties reconnaissent que le Client est le seul responsable de la détermination des finalités et moyens relatifs au traitement des données personnelles et qu’il intervient en tant que responsable de traitement au sens de la loi 78-17 du 6 janvier 1978 modifiée et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Yes indeed! attire l’attention du Client sur les obligations qui incombent aux responsables de traitement au titre des dispositions légales et réglementaires précitées et consistant notamment à :
- Assurer une collecte loyale et licite des données à caractère personnel ;
- Informer et le cas échéant recueillir le consentement des personnes concernées ;
- S’assurer du respect des droits d’accès, de rectification, d’effacement, de limitation de portabilité et d’opposition au traitement des données et de permettre aux personnes la possibilité de définir des directives anticipées sur le devenir des données après le décès ;
- Définir une durée de conservation des données adéquate et pertinente ;
- Assurer la protection, la confidentialité, l’intégrité et la sécurité des données à caractère personnel collectées
- Lorsque le responsable de traitement souhaite procéder à un transfert de données hors de l’Union Européenne, celui-ci doit mettre en œuvre, en l’absence d’une décision d’adéquation de la Commission Européenne au sens de l’article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, les garanties appropriées au sens de l’article 46 du même règlement, notamment par la mise en place de CCT ou BCR. Yes indeed! se réserve la possibilité de demander la transmission des garanties appropriées mises en place par le Client pour l’encadrement du transfert des données hors de l’Union Européenne.
Yes indeed!, en sa qualité de Sous-traitant, s’engage à prendre toutes mesures appropriées pour assurer la protection, la confidentialité, l’intégrité et la sécurité des données qui seraient transmises par le Client, ce dans le respect des dispositions légales.
A cet effet, Yes indeed! traite les données à caractère personnel des Partenaires pour le compte du Client, dans le cadre défini par lui et conformément à ses instructions.
Yes indeed! s’engage notamment à :
- Mettre en œuvre les mesures de sécurité physiques, logiques, organisationnelles et contractuelles afin de préserver la sécurité des données et notamment afin d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées ;
- Détailler les mesures prises ou à prendre à cette occasion dans une politique de sécurité formalisée qui est à la disposition du Client ;
- Prendre les mesures techniques et organisationnelles nécessaires et appropriées afin de garantir la détention et le traitement séparés des données du Client de ceux d’autres Clients ;
- Donner son accord pour que le Client soit autorisé à tout moment à contrôler le respect des prescriptions relatives à la protection des données et des instructions qu’il a données ;
- Ne pas utiliser, céder ou mettre à disposition de tiers, pour quelque cause que ce soit, les données personnelles qu’il serait amené à traiter pour le compte du Client au titre du Contrat;
- N’accéder à des données et programmes du Client que dans le cadre des instructions et autorisations données ; il en est de même pour des accès éventuellement nécessaires de tiers ou de sous-traitants ;
- Ne pas utiliser les données qui lui sont transmises pour le traitement de ses propres finalités, ni pour des finalités de tiers, et à ne pas les conserver plus longtemps que le temps défini par le Client ;
- Supprimer les données personnelles confiées lorsqu’elles ne sont plus utiles pour réaliser la finalité du traitement pour lequel il a été sollicité et au plus tard à l’issue du contrat.
Yes indeed! devra :
- Sur demande, fournir une attestation de destruction des données ;
- N’engager pour le traitement des données personnelles relevant du Contrat que du personnel qui s’est engagé à respecter le secret des données et qui a reçu une formation concernant les obligations législatives ;
- Ne pas sous-traiter l’exécution des prestations confiées par le Client à une société tierce sans en informer préalablement le Client ou sans avoir prévu cette possibilité dans le contrat.
- Protéger les données du Client, à chaque transmission, contre des accès non autorisés et contre leur perte en employant des moyens sécurisés ;
- Soumettre ses sous-traitants aux mêmes obligations Informatique et Libertés que les siennes et contrôler régulièrement le respect de ces obligations par des exigences en matière de politique de sécurité, d’existence de charte d’utilisation des ressources informatique, éventuellement de délégué à la protection des données ;
- Effectuer la sauvegarde, l’hébergement et le traitement des données dans un pays assurant un niveau de protection adéquat des données, au sens de la loi Informatique et Libertés modifiée et de la Commission européenne ;
- Transmettre au Client toute demande d’exercice des droits d’accès, de rectification, d’effacement, de limitation de portabilité, d’opposition et d’édiction de directives anticipées sur le devenir des données après le décès et s’engage à coopérer pour la pleine réalisation de celles-ci.
- Notifier dans les 72 heures au Responsable de traitement toute violation de données à caractère personnel par tout moyen adéquat. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
- Veiller à ce que les personnes autorisées à traiter les données à caractère personnel respectent la confidentialité et soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
- Garantir la confidentialité des données à caractère personnel traitées.
- Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
- Communiquer au Responsable de traitement, la source des données mises à disposition
- Aider le responsable de traitement à respecter ses obligations relatives au traitement de données à caractère personnel.