Annexe RGPD

​

Les dispositions de la présente Annexe, s’appliquent au(x) traitement(s) de Données Personnelles réalisé(s) dans le cadre du présent Contrat.

Il est entendu que la présente annexe complète les dispositions du Contrat.

​

 

1.  PRINCIPES GÉNÉRAUX

1.1. Il est rappelé qu'au sens de la Règlementation Applicable et dans le cadre de l’exécution du Contrat :

-  le Client agit en qualité de responsable du traitement de Données Personnelles ou, le cas échéant, sous-traitant de ses clients ;

-  SIGECO agit en qualité de sous-traitant uniquement pour le compte et sur les instructions documentées et licites du Client.

1.2. Les Parties reconnaissent que la réalisation de l’objet du Contrat ainsi que, si le Contrat porte sur une solution SaaS, l’utilisation du Service et de ses fonctionnalités conformément à sa Documentation, constituent les instructions documentées du Client.

Toute instruction supplémentaire du Client devra être faite par écrit, préciser la finalité concernée et l’opération à effectuer. La mise en œuvre de toute instruction supplémentaire sera conditionnée à l’acceptation par le Client du devis correspondant émis par SIGECO si celle-ci excède les obligations contractuelles de SIGECO en qualité de sous-traitant ou celles imposées par la Règlementation Applicable.

SIGECO s’engage à informer le Client par tout moyen dans un délai de cinq (5) jours à compter de la prise de connaissance par SIGECO de l’instruction si, selon elle, cette instruction constitue une violation de la Règlementation Applicable. SIGECO se réserve le droit de ne pas mettre en œuvre les instructions contrevenant à la Règlementation Applicable.

1.3. Il est entendu que le Client est le seul à disposer de la maitrise et de la connaissance, notamment de l'origine, des Données Personnelles traitées lors de l’exécution du Contrat. Le Client garantit ainsi respecter l’ensemble des obligations qui lui incombent en qualité de responsable du traitement ou, le cas échéant, de sous-traitant.

1.4. À moins que le droit applicable n’exige la conservation de ces Données Personnelles, SIGECO supprimera les Données Personnelles et leurs éventuelles copies au terme du Service ou de la prestation dans les conditions indiquées au Contrat.

1.5. SIGECO pourra être amené à transférer les Données Personnelles pour les stricts besoins de l’exécution du Contrat sous réserve d’en informer préalablement le Client comme décrit à l’article 5 « sous-traitance » de la présente Annexe. Dans tous les cas, SIGECO s'interdit de transférer les Données Personnelles, sans mettre en place les outils adéquats d'encadrement de ces transferts en application de l'article 46 du RGPD, en dehors :

- de l'Union Européenne, ou

- de l'Espace Economique Européen, ou

​- des pays reconnus comme disposant d'un niveau de sécurité adéquat par la Commission Européenne.

1.6. SIGECO déclare tenir un registre des traitements tel que défini à l’article 30.2. du RGPD en qualité de sous-traitant.

​

​

2.  SÉCURITÉ DES DONNÉES PERSONNELLES

2.1. En application de l’article 32.1 du RGPD, le Client reconnait que SIGECO met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques. Les moyens mis en œuvre par SIGECO sont listés dans un document dédié dont la dernière version à jour est mise à disposition du Client sur demande.

Conformément à la Règlementation Applicable, le Client s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

2.2. Si le Contrat porte sur une solution SaaS, il est entendu que SIGECO est responsable de la sécurité du Service uniquement pour les aspects relevant de son contrôle. Ainsi, le Client demeure responsable de la sécurité et de la confidentialité de ses systèmes et de sa politique d'accès au Service. Il lui appartient de s'assurer que les usages et les choix de configuration du Service à sa disposition répondent aux exigences de la Règlementation Applicable. Il est entendu que SIGECO n'a aucune obligation de protéger des données personnelles qui sont stockées ou transférées hors du Service par le Client ou par SIGECO sur instruction du Client et en dehors de la stricte exécution du Service.

2.3. SIGECO veille à ce que son personnel autorisé à traiter des Données Personnelles s’engage à en respecter la confidentialité.

​

​

3.  COOPÉRATION AVEC LE CLIENT

3.1. SIGECO s’engage à communiquer au Client dans les meilleurs délais après réception, toute demande, requête ou plainte qui lui serait adressée par toute personne physique concernée par le traitement de ses Données Personnelles réalisé dans le cadre du Contrat.

En qualité de responsable du traitement, le Client reste responsable de la réponse à apporter aux personnes physiques concernées et SIGECO s’engage à ne pas répondre à de telles demandes. Cependant, compte tenu de la nature du traitement de Données Personnelles, SIGECO s’engage, par des mesures techniques et organisationnelles appropriées et dans toute la mesure du possible, à aider le Client à s’acquitter de son obligation de donner suite à de telles sollicitations.

3.2. Sur demande écrite du Client, SIGECO fournit au Client, aux frais de ce dernier si cette demande excède les obligations contractuelles de SIGECO en qualité de sous-traitant ou celles imposées par la Règlementation Applicable, toute information utile en sa possession afin de l'aider à satisfaire aux exigences de la Règlementation Applicable qui incombent au Client en qualité de responsable du traitement concernant les analyses d'impact relatives à la protection des Données Personnelles menées par et sous la seule responsabilité du Client ainsi que les consultations préalables auprès de la CNIL qui pourraient en découler.

 

​

4.  NOTIFICATION DES VIOLATIONS DE DONNÉES PERSONNELLES

4.1. SIGECO notifie au Client dans les meilleurs délais après en avoir pris connaissance toute violation de la sécurité des Données Personnelles entrainant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données Personnelles.

4.2. SIGECO fournit au Client dans les meilleurs délais à compter de la notification de la violation de la sécurité des Données Personnelles et dans la mesure du possible les informations suivantes :

- la nature de la violation ;

- les catégories et le nombre approximatif de personnes concernées par la violation ;

- les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

- la description des conséquences probables de la violation de données à caractère personnel ;

- la description des mesures prises ou que SIGECO propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

​

​

5.  SOUS-TRAITANCE ULTÉRIEURE

5.1. Le Client autorise SIGECO à faire appel à des sous-traitants ultérieurs pour mener les activités de traitement de Données Personnelles pour le compte du Client strictement nécessaires à l’exécution du Contrat.

5.2. SIGECO s’engage à faire appel à des sous-traitants ultérieurs présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à répondre aux exigences de la Règlementation Applicable.

5.3. SIGECO s’engage à imposer contractuellement à ses sous-traitants ultérieurs un niveau d’obligation au moins aussi équivalent en matière de protection des Données Personnelles à celui fixé dans le présent Contrat et par la Règlementation Applicable. SIGECO demeure responsable devant le Client de l’exécution par ledit sous-traitant ultérieur de ses obligations.

5.4. SIGECO s’engage à faire appel uniquement à un sous-traitant ultérieur :

-  établi dans un pays de l'Union Européenne ou de l'Espace Economique Européen, ou

- établi dans un pays disposant d'un niveau de protection suffisant par décision de la Commission Européenne au regard de la Règlementation Applicable, ou disposant des garanties appropriées en application de l'article 46 du RGPD.

5.5. La liste des sous-traitants ultérieurs de SIGECO est fournie sur demande écrite du Client. SIGECO s’engage à informer le Client de tout ajout ou remplacement de sous-traitants ultérieurs dans les plus brefs délais.

Le Client pourra formuler ses objections par écrit dans un délai de dix (10) jours ouvrés à compter de la réception de l’information. Le Client reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation de sa part du sous-traitant ultérieur.

En cas d’objection, SIGECO dispose de la possibilité de répondre au Client pour apporter des éléments de nature à lever ces objections. Si le Client maintient ses objections, les Parties s’engagent à se rencontrer et à échanger de bonne foi concernant la poursuite de leur relation.

​

​

6.  CONFORMITÉ ET AUDIT

SIGECO met à la disposition du Client, par courriel et à la demande de celui-ci, tout document nécessaire permettant de démontrer le respect des obligations de SIGECO en qualité de sous-traitant au titre du Contrat. Tout autre mode de transmission payant de ces documents demandé par le Client s’effectuera aux frais de celui-ci.

Le Client pourra réclamer auprès de SIGECO des explications complémentaires si les documents fournis ne lui permettent pas de vérifier le respect des obligations de SIGECO en qualité de sous-traitant au titre du Contrat. Le Client formule alors une demande écrite auprès de SIGECO, par lettre recommandée avec accusé de réception, dans laquelle il justifie et documente sa demande d’explication complémentaire. SIGECO s’engage à apporter une réponse au Client dans les meilleurs délais.

Si malgré la réponse de SIGECO, le Client remet en cause la véracité ou la complétude des informations transmises, le Client pourra procéder à un audit à distance sous réserve du respect des conditions suivantes :

(i) le Client formule une demande écrite d’audit auprès de SIGECO, par lettre recommandée avec accusé de réception, en justifiant et en documentant sa demande ;

(ii) SIGECO s’engage à apporter une réponse au Client dans les trente (30) jours à compter de la réception de la demande en précisant le périmètre et les conditions de réalisation de l’audit. Les vérifications effectuées au titre du présent audit pourront avoir lieu à distance. La durée de l’audit ne devra pas dépasser deux (2) jours ouvrés qui seront facturés par SIGECO au Client selon le tarif des prestations en vigueur au moment du déroulement de l’audit. Dans le cas où un autre audit serait prévu sur la date fixée par le Client, SIGECO pourra décaler l’audit à une date ultérieure sans dépasser quinze (15) jours ouvrés à compter de la date initialement fixée.

Les Parties conviennent qu’un audit ne pourra intervenir les mois de juin et décembre de chaque année;

(iii) Cette mission d’audit peut être réalisée par les auditeurs internes du Client ou peut être confiée à tout prestataire au choix du Client, non concurrent de SIGECO ;

(iv) Les auditeurs devront prendre un engagement formel de non divulgation des informations recueillies chez SIGECO quel qu’en soit le mode d’acquisition. La signature de l’accord de confidentialité par les auditeurs devra être préalable à l’audit et communiquée à SIGECO.

Dans le cadre de l’audit, SIGECO donnera accès aux documents et aux personnes nécessaires afin que les auditeurs puissent conduire l’audit dans des conditions satisfaisantes. Il est entendu que cet audit ne doit pas avoir pour conséquence de perturber l’exploitation du Service.

Le rapport d’audit sera mis à la disposition de SIGECO par les auditeurs avant d’être finalisé, de telle sorte que SIGECO puisse formuler toutes ses observations, le rapport final devant tenir compte et répondre à ces observations. Le rapport d’audit sera ensuite adressé au Client et fera l’objet d’un examen dans le cadre d’une réunion entre les Parties.

Le rapport d’audit final sera ensuite envoyé à SIGECO dès que possible.

Au cas où le rapport d’audit final révèlerait des manquements aux engagements pris au titre de l’exécution du Service, SIGECO devra proposer un plan d’actions correctives dans un délai de vingt (20) jours ouvrés maximum à compter de la réunion entre les Parties.

Il est entendu qu’au sens de la présente clause, jour ouvré désigne un jour compris entre le lundi et le vendredi et qui n’est pas un jour férié en France métropolitaine.

Sauf changement de circonstance et événement légitimant la mise en œuvre d’un audit dans un délai plus court, tel qu’une demande d’une autorité de contrôle, les audits ne pourront être réalisés par le Client, qu’une fois pendant la période initiale du Contrat, puis une fois tous les trois (3) ans.

​

​

7.  DESCRIPTION DU TRAITEMENT

La nature des opérations réalisées sur les Données Personnelles, la ou les finalité(s) du traitement, les Données Personnelles traitées, les catégories de personnes concernées et la durée du traitement sont décrits dans un document dédié disponible sur demande du Client ou, le cas échéant, sur le portail client en ligne.

Cette description correspond au fonctionnement standard du Service. Il est de la responsabilité du Client, en qualité de responsable de traitement, de vérifier si cette description correspond aux finalités et traitements effectivement réalisés et aux données personnelles effectivement traitées.