Donnée(s) Personnelle(s)

Charte Données Personnelles 2023

BougeTesMains, dont le siège social est situé au 50 chemin de la parouquine 06600 Antibes et représentée par Marie-Antoinette Navarro.

CHAPITRE 1. Glossaire

DonnĂ©e(s) Personnelle(s) ou DonnĂ©e(s) Ă  Caractère Personnel ou DonnĂ©e(s):information relative Ă  une personne physique, identifiĂ©e ou qui peut Ăªtre identifiĂ©e, directement ou indirectement, par rĂ©fĂ©rence Ă  un nom, un numĂ©ro d’identification, ou Ă  un ou plusieurs Ă©lĂ©ments qui lui sont propres, telle que dĂ©finie par la Règlementation, y compris les mĂ©tadonnĂ©es.

Personne ConcernĂ©e :personne physique Ă  laquelle sont relative les DonnĂ©es Personnelles.

Prestation : prestation(s) confiée(s) au Prestataire par le Client au titre du Contrat.

Parties : le Client et le Prestataire tels que définis dans le Contrat.

Prestataire : personne morale ou physique pouvant Ăªtre amenĂ©e Ă  participer Ă  un Traitement de DonnĂ©es Personnelles en relation avec le Contrat.

Règlementation : désigne l’ensemble des lois et règlements applicables en France en matière de protection des Données Personnelles, y compris la loi dite « Informatiques et Libertés » n°78-17 du 6 janvier 1978 modifiée en 2004, le RGPD et leurs textes subséquents.

RGPD : Règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es applicables Ă  compter du 25 mai 2018.

Traitement : toute(s) opĂ©ration(s) ou tout ensemble d’opĂ©rations concernant les DonnĂ©es Personnelles, quel que soit le procĂ©dĂ© utilisĂ©, et notamment la collecte, l’enregistrement, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise Ă  disposition le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ou toute opĂ©ration dĂ©signĂ©e comme « Traitement Â» par la RĂ©glementation.

Violation des DonnĂ©es Personnelles : violation de la sĂ©curitĂ© entraĂ®nant, de manière accidentelle ou illicite, la destruction, la perte, l’altĂ©ration, la divulgation non autorisĂ©e de DonnĂ©es Personnelles transmises, conservĂ©es ou traitĂ©es d’une autre manière, ou l’accès non autorisĂ© Ă  de telles DonnĂ©es.

CHAPITRE 2. OBJET

La présente Charte définit les conditions dans lesquelles le Prestataire peut réaliser des Traitements dans le cadre de l’exécution du Contrat, qu’il s’agisse (i) de Données Personnelles obtenues auprès du Client ou (ii) de données collectées auprès de tiers ou directement auprès des Personnes Concernées.

La signature de cette Charte n’emporte aucun engagement du Client de confier des Prestations au Prestataire.

La présente Charte entre en vigueur dès sa signature et à défaut dès réception de toutes Données Personnelles ou accès auxdites Données par le Prestataire ou par toute personne agissant pour son compte et demeure applicable jusqu’au terme du ou des Traitements, matérialisé par la suppression définitive des Données Personnelles, dans les conditions prévues à la présente Charte, ou à défaut avec l’accord préalable, exprès et écrit du responsable de Traitement au sens de la Réglementation.

La Charte prĂ©vaudra le cas Ă©chĂ©ant, sur tous les autres documents contractuels encadrant le Traitement de DonnĂ©es personnelles signĂ©s ou mĂªme simplement Ă©changĂ©s entre les Parties.

Dans le cadre de leurs relations contractuelles, les parties s’engagent Ă  respecter la rĂ©glementation en vigueur applicable au traitement de donnĂ©es Ă  caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 applicable Ă  compter du 25 mai 2018 (ci-après, « le règlement europĂ©en sur la protection des donnĂ©es Â»).

CHAPITRE 3. RESPECT DES FINALITES

Le Prestataire traite les Données exclusivement dans le cadre des finalités définies au Contrat ou rendues nécessaires par son exécution, et doit respecter les obligations qui lui incombent en vertu de la Réglementation et de la Charte.

Le Prestataire fait respecter la présente Charte par son personnel et par ses propres sous-traitants ou responsables conjoints qui auront été préalablement soumis au Client et autorisés par celui-ci.

Il fournira la liste des sous-traitants ou responsables conjoints intervenant dans le Traitement au Client, à première demande de celui-ci.

CHAPITRE 4. REGLES D’UTILISATION DES DONNEES PERSONNELLES

4.1 – Règlement sur les Données Personnelles

Le Prestataire (i) reconnait avoir connaissance de la Règlementation applicable au jour de la signature de la prĂ©sente Charte, (ii) veille Ă  se tenir informĂ© des modifications de la Règlementation pendant toute la durĂ©e de la relation avec le Client et (iii) assure s’y conformer. En particulier, le Prestataire dĂ©clare :

  • avoir dĂ©signĂ© un dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (« DPO Â») et s’engage Ă  indiquer son nom au Client et Ă  l’autoritĂ© de contrĂ´le lorsque la RĂ©glementation lui en fait l’obligation. Dans tous les autres cas, le Prestataire dĂ©clare avoir dĂ©signĂ© un point de contact DonnĂ©es Personnelles unique Ă  mĂªme de rĂ©pondre au Client sur toute problĂ©matique relative aux DonnĂ©es Personnelles ; et
  • tenir Ă  jour un registre pour toutes les catĂ©gories de Traitements des DonnĂ©es Personnelles effectuĂ©s pour le compte Client avec la description des mesures de sĂ©curitĂ© techniques et organisationnelles.

4.2 – Finalité du traitement

Le Prestataire s’interdit d’utiliser les Données Personnelles traitées à des fins autres que celles attendues et spécifiées par le Client dans l’Addendum 1 de la présente Charte.

4.3 – Confidentialité des Données Personnelles

Le Prestataire prend toutes les précautions utiles afin de préserver la confidentialité des Données Personnelles, et s’interdit notamment de :

  • Copier des documents et supports d’information qui lui sont confiĂ©s, Ă  l’exception de ceux nĂ©cessaires aux Traitements des DonnĂ©es Personnelles, auquel cas, le Prestataire en informe le Client,
  • Divulguer les DonnĂ©es Personnelles Ă  d’autres personnes, qu’il s’agisse de personnes privĂ©es ou publiques, physiques ou morales sauf sur demande de tiers autorisĂ©s selon une dĂ©marche officielle justifiĂ©e, et uniquement après en avoir vĂ©rifiĂ© les bases lĂ©gales et informĂ© le Client,
  • CĂ©der, louer, transmettre, ou mettre Ă  disposition d’un tiers, Ă  quelque titre et pour quelque motif que ce soit, les DonnĂ©es Personnelles qui lui sont remises par le Client ou par un tiers sur ordre du Client.

4.4 – Intégrité et sécurité des Données Personnelles

4.4.1. Mesures de sécurité

ConformĂ©ment Ă  la Règlementation, le Prestataire s’engage Ă  prendre toutes mesures de sĂ©curitĂ© et toutes les prĂ©cautions utiles, pour assurer la sauvegarde, la conservation et l’intĂ©gritĂ© des DonnĂ©es Personnelles traitĂ©es tant au niveau des flux que dans ses bases de donnĂ©es et systèmes de fichiers. Parmi ces mesures, le Prestataire mettra en place et maintiendra pendant toute la durĂ©e du Contrat tous les moyens techniques, logiques, organisationnels, physiques de sĂ©curitĂ© permettant de garantir aux Traitements des DonnĂ©es Personnelles mis en Å“uvre un niveau de sĂ©curitĂ© adaptĂ© au risque et conformes Ă  l’état de l’art, permettant entre autres, selon les besoins de:

  • pseudonymiser et chiffrer les DonnĂ©es Personnelles;
  • garantir la confidentialitĂ©, l’intĂ©gritĂ©, la disponibilitĂ© et la rĂ©silience constantes des systèmes et des services de traitement;
  • rĂ©tablir la disponibilitĂ© des DonnĂ©es Personnelles et les Traitements dans des dĂ©lais appropriĂ©s en cas d’incident physique ou technique;
  • tester, analyser et Ă©valuer rĂ©gulièrement l’efficacitĂ© des mesures techniques et organisationnelles pour assurer la sĂ©curitĂ© du traitement ;
  • prĂ©server et garantir la sĂ©curitĂ© des accès et interfaces en cas d’accès ou d’échange avec le Système
    d’Information du client ;
  • empĂªcher que les DonnĂ©es Personnelles ne soient dĂ©formĂ©es, utilisĂ©es de manière dĂ©tournĂ©e ou
    frauduleuse, endommagées ou communiquées à des personnes non autorisées.

Le Prestataire déclarera au Client toute faille ou toute Violation de Données (en ce compris les tentatives d’intrusion) de sécurité dont il a été victime, sous un délai de 24 heures, sous peine de résiliation du Contrat, sans qu’aucune indemnité ne lui soit due et sans préjudice du droit pour le Client de réclamer réparation de son entier préjudice.

Le Prestataire indiquera dans tous les cas au Client les conséquences de cet événement ainsi que les mesures prises pour remédier à la situation.

Le Prestataire dĂ©clare avoir mis en Å“uvre et continuer de mettre des mesures techniques et organisationnelles de sĂ©curitĂ© afin de garantir un niveau de sĂ©curitĂ© adaptĂ© aux risques encourus dans le cadre d’une PSSI (Politique de SĂ©curitĂ© des Systèmes d’Informations).

Sur simple demande du Client, le Prestataire soumettra au Client une copie de sa politique interne de sensibilisation et de protection des DonnĂ©es Personnelles, visant en particulier (i) Ă  garantir que les personnes autorisĂ©es Ă  traiter les DonnĂ©es Personnelles s’engagent Ă  en respecter la confidentialitĂ© et la sĂ©curitĂ©, et (ii) dĂ©crivant les conditions dans lesquelles sont Ă©valuĂ©s les risques des Traitements demandĂ©s par le Client afin de dĂ©terminer le niveau de sĂ©curitĂ© le plus adaptĂ© compte tenu de l’Ă©tat des connaissances et des coĂ»ts de mise en Å“uvre par rapport aux risques et Ă  la nature des DonnĂ©es Personnelles Ă  protĂ©ger, en particulier en cas de Violation de DonnĂ©es.

4.4.2. Mesures de contrĂ´le

Le Client se réserve le droit, dans les conditions indiquées ci-après, de procéder à toute vérification qui lui paraîtrait utile via (a) un questionnaire, (b) un audit sur site, (c) un test d’intrusion, pour constater le respect des règles précitées par le Prestataire et permettre au Client de réaliser une étude d’impact sur la vie privée des personnes dont les Données Personnelles sont concernées par le Traitement.

  1. Questionnaire

Le Client peut adresser au Prestataire, avant et pendant l’exĂ©cution du Contrat, un questionnaire ou un Ă©tat rĂ©capitulatif Ă  complĂ©ter, destinĂ© Ă  collecter les informations relatives au Traitement. Cette demande devra Ăªtre motivĂ©e par :

  • la comprĂ©hension des systèmes d’information et des processus susceptibles d’avoir un impact sur toute DonnĂ©e Personnelle ;
  • et/ou des besoins de sĂ©curitĂ© ou de fiabilitĂ© requis pour le Traitement de DonnĂ©es Personnelles.

Le Prestataire complétera le questionnaire ou l’état récapitulatif de manière sincère et exacte et le retournera au Client dans un délai maximum de trente (30) jours calendaires à compter de sa réception.

  1. Audit sur site

Tout au long de l’exécution du Contrat, le Prestataire conservera et préservera, selon les règles de l’art, les informations et documents nécessaires pour répondre à une demande d’audit telle que décrite ci-après. Ces informations et documents seront conservés et archivés de manière à ce que le Client puisse au maximum une fois par an, et sous réserve d’un préavis d’au moins trente (30) jours calendaires, mandater tout auditeur tiers indépendant désigné par les Parties afin de procéder à un audit. L’auditeur désigné devra, par déclaration expresse et écrite, signer un engagement de confidentialité.

La mission d’audit portera sur la vérification de la conformité du Traitement aux dispositions de la présente Charte dans l’un des domaines suivants :

  • application des procĂ©dures de sĂ©curitĂ© et de sauvegarde des DonnĂ©es Personnelles ;
  • contrĂ´le de la sĂ©curitĂ© physique et logique des serveurs sur lesquels sont traitĂ©es les DonnĂ©es ;
  • traçabilitĂ© des flux de DonnĂ©es Personnelles et localisation de leurs sites d’hĂ©bergement, de sauvegarde et de traitement.

En cas de constat d’anomalies, l’audité s’engage à les corriger, à ses frais, afin de rendre le Traitement conforme à l’état de l’art du moment et à la Réglementation applicable, sous un délai raisonnable.

4.5 – Transfert des Données Personnelles hors Union Européenne

Sauf autorisation expresse du Client issues de mise en place de garanties conformes Ă  la RĂ©glementation, aucun transfert, ni Traitement de DonnĂ©es Personnelles hors de l’Union EuropĂ©enne ne peut Ăªtre effectuĂ© par le Prestataire en ce compris l’hĂ©bergement, la sauvegarde et l’archivage de la base de donnĂ©es contenant les DonnĂ©es Personnelles.

Ainsi, les serveurs et tous les outils utilisĂ©s dans le cadre du Traitement des DonnĂ©es Personnelles, incluant la console d’administration et d’accès, qui seraient mis en Å“uvre dans le cadre du Traitement doivent Ăªtre situĂ©s en Union EuropĂ©enne. A dĂ©faut, le Client se rĂ©serve le droit de rĂ©silier le Contrat avec effet immĂ©diat.

4.6 – Durée du Traitement

Le Prestataire s’interdit de conserver les Données Personnelles au-delà de la durée raisonnable conforme à la Réglementation ou de celle indiquée par le Client dans l’Addendum 1 de la présente Charte.

Au-delĂ  de ce dĂ©lai, et uniquement après avoir restituĂ© au Client les DonnĂ©es Personnelles recueillies dans le cadre du Traitement, le Prestataire s’oblige Ă  supprimer lesdites DonnĂ©es sauf si celles-ci doivent Ăªtre archivĂ©es conformĂ©ment aux dispositions en vigueur et notamment celles prĂ©vues par le code de commerce, le code civil et le code de la consommation. Le Prestataire transmettra un certificat de destruction au Client sous sept (7) jours calendaires suivants ladite opĂ©ration.

Le Prestataire se réfère sans délai au Client en cas de doute sur les règles de conservation, et lui fournira toutes les informations nécessaires à une prise de décision rapide.

4.7– Restitution des Données Personnelles

A tout moment, sur simple demande du Client, le Prestataire lui restitue les Données Personnelles, quelque soient leurs supports ainsi que les copies et tout document s’y rapportant et, en particulier (i) la documentation nécessaire à l’exploitation desdites données et (ii) aux Traitements sous réserve des droits de propriété intellectuelle du Prestataire sur lesdits Traitements.

CHAPITRE 5. OBLIGATION DE NOTIFICATIONS

  1. – Obligation de notification en cas de manquements aux instructions du Client

Si le Prestataire est dans l’incapacité de se conformer aux instructions du Client pour quelque raison que ce soit, il devra informer sans délai le Client, auquel cas ce dernier disposera de la faculté de résilier le Contrat sans indemnité ni préavis si la gravité du manquement le justifie.

  1. – Obligation de notification en cas de manquements du Client Ă  la Règlementation

Si le Prestataire considère que les instructions du Client constituent une violation de la Règlementation, il devra en informer le Client sans délai.

  1. – Obligation de notification en cas de Violation de DonnĂ©es Personnelles

En cas de Violation de Données Personnelles, le Prestataire s’engage à informer le Client dans les meilleurs délais après en avoir eu connaissance par courrier électronique dans le respect des procédures de notifications prévues aux articles 33 et 34 du RGPD et en joignant au Client l’ensemble de la documentation utile afin de lui permettre, si nécessaire, de notifier cette Violation de Données Personnelles à l’autorité de contrôle compétente.

S’il n’est pas possible pour le Prestataire de fournir toutes les informations simultanément au Client, le Prestataire fournira lesdites informations progressivement sans délai injustifié.

Le Prestataire n’est pas autorisé à notifier la Violation de Données Personnelles à la CNIL ou toute autorité de contrôle compétente sauf accord écrit du Client.

Le Prestataire n’est pas autorisé à notifier la Violation de Données Personnelles à la personne concernée par la Violation de ses Données Personnelles sauf accord écrit du Client.

Néanmoins, sur instruction écrite du Client, le Prestataire pourra notifier à l’autorité de contrôle compétente (la CNIL en France), la Violation de Données Personnelles dans les meilleurs délais et 72 heures au plus tard après en avoir eu connaissance.

Cette notification réalisée par le Prestataire contiendra au moins tous les éléments décrits à l’article 33 du RGPD.

De mĂªme, sur demande Ă©crite du Client, le Prestataire informera de la Violation de DonnĂ©es Personnelles Ă  la personne concernĂ©e dans les meilleurs dĂ©lais, lorsque cette violation est susceptible d’engendrer un risque Ă©levĂ© pour les droits et libertĂ©s d’une personne physique.

Cette notification Ă  la personne concernĂ©e devra Ăªtre effectuĂ©e dans un langage clair, simple et contiendra au moins tous les Ă©lĂ©ments dĂ©crits Ă  l’article 34 du RGPD.

  1. Obligation de notification en cas de demande des autorités compétentes sur les Traitements

En cas de demande émanant des autorités compétentes portant sur les Traitements, sauf prescription impérative d’ordre public, le Prestataire s’engage (i) à informer le Client sans délai et au plus tard dans un délai de quarante-huit (48) heures et (ii) à ne pas transmettre d’informations sans en avoir préalablement échangé avec le Client et obtenu son autorisation expresse.

Le Prestataire s’engage Ă©galement Ă  informer le Client de :

  • tout contrĂ´le de son activitĂ© relative aux Prestations par une autoritĂ© administrative, fiscale et ou judiciaire. Le cas Ă©chĂ©ant, les rĂ©sultats d’un tel contrĂ´le devront Ăªtre communiquĂ©s au Client dans les meilleurs dĂ©lais ;
  • toute demande ou rĂ©clamation reçue directement d’une personne dont les DonnĂ©es Personnelles ont fait l’objet d’un Traitement par le Prestataire

Plus gĂ©nĂ©ralement, devra Ăªtre notifiĂ©e au Client sans dĂ©lai toute sanction relative aux modalitĂ©s de Traitement des DonnĂ©es Personnelles affectant le Prestataire ou un sous-traitant UltĂ©rieur.

CHAPITRE 6. CAS DE DONNEES PERSONNELLES FOURNIES PAR LE PRESTATAIRE ET PRIVACY BY DESIGN

6.1. Dans le cas oĂ¹ le Prestataire fournit des DonnĂ©es Personnelles au Client, quel qu’en soit le but ou le motif, celui-ci garantit que le Traitement de celles-ci a Ă©tĂ© rĂ©alisĂ© dans le respect de la Règlementation.

A ce titre, le Prestataire garantit notamment :

  • respecter la RĂ©glementation pour la mise en Å“uvre du Traitement ;
  • avoir recueilli ou disposer du consentement exprès et spĂ©cifique de la personne concernĂ©e pour les finalitĂ©s du Traitement effectuĂ© par le Prestataire et par le Client ;
  • que les DonnĂ©es fournies au Client sont exactes et mises Ă  jour ;
  • qu’il a procĂ©dĂ© aux opĂ©rations de conformitĂ© prĂ©alables qui lui incombent auprès de la CNIL et /ou de toute autre AutoritĂ© compĂ©tente.

6.2. Dans l’hypothèse oĂ¹ le Client confie au Prestataire la mission de concevoir tout ou partie d’une solution comprenant Ă  titre principal ou accessoire le Traitement de DonnĂ©es Personnelles, le Prestataire s’engage :

  • Ă  ce que celle-ci soit conforme aux exigences de la RĂ©glementation et garantisse la protection des droits de la personne concernĂ©e. En particulier, cette solution intègrera de façon effective dès la phase de conception les exigences de la RĂ©glementation et par dĂ©faut, elle garantira que seules les DonnĂ©es Personnelles strictement nĂ©cessaires Ă  la finalitĂ© du traitement envisagĂ© seront traitĂ©es au regard de la quantitĂ© de donnĂ©es collectĂ©es, de l’étendue de leur traitement, de la durĂ©e de conservation et du nombre de personnes qui y ont accès ;
  • Ă  ce qu’elle dispose, d’outils de dĂ©tection des violations et d’une procĂ©dure spĂ©cifique de gestion des Violations de DonnĂ©es Personnelles permettant d’en informer le Client.

CHAPITRE 7. INFORMATION DU CLIENT & COLLABORATION

Le Prestataire assiste le Client, pendant et après l’expiration du Contrat, dans toute dĂ©marche et procĂ©dure imposĂ©e par la RĂ©glementation, notamment dans les situations suivantes :

  • la rĂ©alisation d’une Ă©tude d’impact sur la vie privĂ©e menĂ©e dans le cadre du Traitement ;
  • un contrĂ´le d’une AutoritĂ© compĂ©tente pour rĂ©pondre Ă  toute demande de communication d’informations et de justificatifs relatifs au Traitement ou Ă  toute injonction d’actions de mise en conformitĂ© Ă  la Règlementation ;
  • une demande d’une personne ou d’un ensemble de personnes qui souhaite exercer son droit d’accès Ă  ses DonnĂ©es Personnelles afin de prendre en compte sous un dĂ©lai de cinq (5) jours ouvrĂ©s les demandes de modification, rectification, de suppression, d’opposabilitĂ© et de portabilitĂ© de DonnĂ©es Personnelles qui lui auront Ă©tĂ© adressĂ©es directement ou par l’intermĂ©diaire du Client ;
  • une demande d’une personne ou d’un ensemble de personnes qui souhaite exercer son droit de ne pas Ăªtre soumis Ă  des dĂ©cisions individuelles automatisĂ©es (en ce compris le profilage) ;
  • la notification de toute Ă©ventuelle faille de sĂ©curitĂ© auprès de l’AutoritĂ© compĂ©tente.

Si la personne concernée s’adresse au Prestataire pour l’exercice des droits susvisés, celui-ci communiquera, au plus tard le jour ouvrable suivant, au Client la demande formulée par la personne concernée et toutes les informations pertinentes pour résoudre sa demande.

Le fait que le Prestataire indique Ăªtre conforme Ă  un code de conduite au sens de l’Article 40 du RGPD ou qu’il dispose d’un mĂ©canisme de certification tel que visĂ© Ă  l’Article 42 du RGPD ne le dispense pas des obligations de la prĂ©sente Charte.

En cas de non-respect des dispositions de la présente Charte, le Prestataire en assume la pleine et entière responsabilité au sens de la Réglementation et des articles 226-17 et 226-22 du code pénal.

La rĂ©siliation anticipĂ©e du Contrat pourra intervenir de plein droit, Ă  tout moment, en cas de manquement de l’une des Parties Ă  l’une ou plusieurs des obligations Ă  sa charge dĂ©finies dans la prĂ©sente Charte Ă  laquelle elle n’aura pas apportĂ© remède dans les quinze (15) jours suivant la rĂ©ception d’une mise en demeure adressĂ©e par lettre recommandĂ©e avec accusĂ© de rĂ©ception (ou, si nĂ©cessaire, dans un dĂ©lai infĂ©rieur pour permettre au Client de rĂ©pondre Ă  ses propres obligations du fait d’une mise en demeure ou d’une injonction des autoritĂ©s compĂ©tentes), sans prĂ©judice de tous dommages et intĂ©rĂªts que pourrait rĂ©clamer l’autre Partie.


Accueil

Connexion

Soutien sur Tipeee

Boutique