Contrat de Processeur de données

Cette version est une traduction de la version anglaise, fournie à titre d’information uniquement. En cas de divergence, la version anglaise prévaut.

Contrôleur de données : Client situé dans l’UE (le « Contrôleur de données ») et

Société:N° Sté.Ville:Pays d’enregistrement :

(le « Processeur de données »)(dénommés séparément une « Partie » et collectivement les « Parties »)ont conclu le présent

Contrat de Processeur de données

(Le « Contrat »)

concernant le traitement des données personnelles par le Processeur de données pour le compte du Contrôleur de données.

1. Les données personnelles traitées

1.1 Le présent accord (le «Contrat») a été conclu dans le cadre de l’utilisation par le Responsable du traitement des données des services du Sous-traitant des données dans le cadre de l’abonnement et des services supplémentaires tels que décrits dans les conditions générales de One.com (le « Contrat principal »).

1.2 Le sous-traitant traite les types de données personnelles pour le compte du responsable du traitement des données en relation avec les personnes concernées, comme spécifié à l’Annexe 1.Les données personnelles concernent les personnes concernées énumérées à l’Annexe 1.

1.3 Le Sous-traitant peut initier le traitement des données personnelles pour le compte du Responsable du traitement après l’entrée en vigueur du Contrat principal. À la résiliation du Contrat principal, le traitement cessera et les données personnelles seront supprimées conformément aux instructions de l’Annexe 1 du Contrat.

1.4 Le Contrat et le Contrat principal sont interdépendants et ne peuvent être résiliés séparément. Toutefois, le Contrat peut être remplacé par un autre Contrat de sous-traitance des données valide sans résilier le Contrat principal.

2. Objectif

2.1 Le Processeur de données ne doit traiter les données personnelles qu’aux fins qui sont nécessaires pour remplirles obligations des Processeurs de données et, ce faisant, fournir les services définis dans le Contrat principal.

3. Obligations du Contrôleur de données

3.1 Le Contrôleur de données garantit que les données personnelles sont traitées à des fins légitimes et objectiveset que le Processeur de données ne traite pas plus de données personnelles que nécessaire pour atteindre cesobjectifs.

3.2 Le Contrôleur de données est responsable de l’existence d’une base juridique valable pour le traitement au moment du transfert des données personnelles au Processeur de données. À la demande du Processeur de données, le Contrôleur de données s’engage, par écrit, à rendre compte de la base du traitement et/ou à fournir les documents nécessaires.

3.3 En outre, le Contrôleur de données garantit que les personnes concernées auxquelles appartiennent les données personnelles disposent d’informations suffisantes sur le traitement de leurs données personnelles.

4. Obligations du Processeur de données

4.1 Tout traitement par le Processeur de données personnelles fournies par le Contrôleur de données doit être conforme à ces instructions du Contrôleur de données, et le Processeur de données est en outre tenu de se conformer à toutes les lois en matière de protection des données en vigueur au moment considéré. Si le droit de l’Union européenne ou la législation d’un État membre de l’UE auquel le Processeur de données est soumis stipule que le Processeur de données est tenu de traiter les données personnelles énumérées au point 1.2, le Processeur de données doit informer le Contrôleur de données d’une telle exigence juridique avant de procéder au traitement. Toutefois, cela ne s’applique pas si cette législation interdit de telles informations pour des raisons importantes d’intérêt public. Le Processeur de données doit immédiatement informer le Contrôleur de données si, de l’avis du Processeur de données, une instruction enfreint le Règlement général sur la protection des données de l’UE ou les dispositions relatives à la protection des données d’un État membre.

4.2 Le Processeur de données doit prendre toutes les mesures de sécurité techniques et organisationnelles nécessaires, y compris toute mesure supplémentaire requise pour garantir que les données personnelles spécifiées au paragraphe 1.2 ne soient pas détruites accidentellement ou illégalement, ni perdues ou altérées ou portées à la connaissance de tiers non autorisés, dénaturées ou traitées d’une manière contraire à la législation danoise sur la protection des données en vigueur à tout moment. Ces mesures sont décrites plus en détail à l’Annexe 1.

4.3 Le Processeur de données doit s’assurer que les employés autorisés à traiter les données personnelles se sont engagés à respecter la confidentialité ou sont soumis à l’obligation légale de confidentialité appropriée.

4.4 Si le Contrôleur de données le demande, le Processeur de données doit indiquer et/ou documenter le fait que le Processeur de données respecte les exigences de la législation applicable en matière de protection des données, y compris la documentation relative aux flux de données du Processeur de données ainsi que les procédures/politiques de traitement des données personnelles.

4.5 Compte tenu de la nature du traitement, le Processeur de données doit, dans la mesure du possible, aider le contrôleur par des mesures techniques et organisationnelles appropriées pour satisfaire à l’obligation qu’a le Contrôleur de données de répondre aux demandes d’exercice des droits de la personne concernée, tels qu’indiqués au chapitre 3 du Règlement général sur la protection des données.

4.6 Le Processeur de données ou un autre Processeur de données (Processeur de données auxiliaire) doit envoyer les demandes et les objections des personnes concernées aux Contrôleurs des données pour traitement ultérieur par celui-ci, sauf si le Processeur de données est habilité à traiter lui-même cette demande. Si le Contrôleur de données le demande, le Processeur de données doit aider le Contrôleur de données à répondre à de telles demandes et/ou objections.

4.7 Si le Processeur de données traite les données personnelles dans un autre État membre de l’UE, le Processeur de données doit se conformer à la législation concernant les mesures de sécurité dans cet État membre.

4.8 Le sous-traitant doit informer le responsable du traitement en cas d’interruption de fonctionnement, de suspicion de violation des règles de protection des données ou d’autres irrégularités liées au traitement des données personnelles. Le sous-traitant dispose d’un délai de 48 heures pour notifier au responsable du traitement une faille de sécurité à compter de sa connaissance. À la demande du responsable du traitement, le sous-traitant doit l’aider à clarifier l’étendue de la faille de sécurité, y compris à préparer toute notification à l’agence de protection des données compétente et/ou aux personnes concernées.

4.9 Le Sous-traitant doit mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l’article 28 du Règlement général sur la protection des données et du Contrat. À cet égard, le Sous-traitant autorise et contribue aux audits, y compris aux inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par celui-ci. Le Responsable du traitement prend en charge les frais de tout audit ou inspection.

4.10 En plus de ce qui précède, le Processeur de données doit aider le Contrôleur de données à respecter les obligations du Contrôleur de données en vertu des articles 32-36 du Règlement général sur la protection des données. Cette assistance tiendra compte de la nature du traitement et des informations dont dispose le Processeur de données.

5. Transfert des données à des Processeur de données auxiliaires ou à des tiers

5.1 Le Processeur de données doit respecter les conditions énoncées à l’article 28, paragraphes 2 et 4, du Règlement général sur la protection des données pour l’embauche d’un autre Processeur de données (Processeur de données auxiliaire). Cela implique que le Processeur de données ne peut pas embaucher un autre Processeur de données (Processeur de données auxiliaire) pour l’exécution de l’accord sans l’approbation écrite préalable spécifique ou générale du Contrôleur de données.

5.2 Le Contrôleur de données accorde par la présente au Processeur de données une autorisation générale pour conclure des accords avec les Processeurs de données auxiliaires. Le Processeur de données doit informer le Contrôleur de données de tout changement concernant l’ajout ou le remplacement de données auxiliaires. Le Contrôleur de données peut formuler des objections raisonnables et pertinentes contre de tels changements. Si le Contrôleur de données continue d’utiliser un Processeur de données auxiliaire auquel le Contrôleur de données s’est opposé, les Parties ont le droit de résilier le Contrat et, le cas échéant, le Contrat principal avec un préavis plus court, cf. 7.2. Pendant cette période, le Contrôleur de données ne doit pas exiger que le Processeur de données n’utilise pas le Processeur de données auxiliaire en question.

5.3 Le Processeur de données doit imposer les mêmes obligations au Processeur de données auxiliaire que celles définies dans le Contrat. Ceci est exécuté moyennant un contrat ou un autre acte juridique en vertu du droit de l’UE ou de la loi d’un État membre. Il faut s’assurer que le Processeur de données auxiliaire dispose des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement général sur la protection des données (les conditions dites « back-to-back »).

5.4 Si le Processeur de données auxiliaire ne remplit pas ses obligations en matière de protection des données, le Processeur de données demeure responsable envers le Contrôleur de données de l’exécution des obligations du Processeur de données auxiliaire.

5.5 Le Processeur de données doit, au nom du Contrôleur de données, conclure des accords avec des Processeur de données auxiliaires dans l’UE/EEE. En ce qui concerne les Processeur de données auxiliaires en dehors de l’UE/EEE, le Processeur de données doit conclure des accords types conformément à la Décision de la Commission 2010/87/UE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données personnelles à des processeurs établis dans des pays tiers (« Contrats standard ») ou conformément au Bouclier de confidentialité UE/US.

5.6 Le Contrôleur de données accorde par la présente au Processeur de données une procuration générale pour conclure des contrats types avec des Processeur de données auxiliaires en dehors de l’UE/EEE pour le compte du Contrôleur de données.

5.7 Le sous-traitant est tenu de conclure des accords écrits de traitement des données avec ses sous-traitants au sein de l’UE/EEE. Pour les sous-traitants hors UE/EEE, le sous-traitant doit mettre en place les garanties appropriées, par exemple la dernière version des clauses contractuelles types de la Commission européenne, et conclure un accord de traitement des données.

5.8 Au moment de la signature du présent Accord, le Sous-traitant engage les sous-traitants énumérés à l’ Annexe 3.

6. Responsabilités

6.1 La responsabilité des Parties est régie par le Contrat principal.

6.2 La responsabilité des Parties en matière de dommages-intérêts en vertu du présent Contrat est régie par le Contrat principal.

7. Date d’entrée en vigueur et résiliation

7.1 Le présent Contrat entrera en vigueur en même temps que le Contrat principal. En cas de résiliation du Contrat principal, le présent Contrat prendra également fin. Toutefois, le Processeur de données reste soumis aux obligations stipulées dans le présent Contrat, dès lors qu’il traite les données personnelles au nom du Contrôleur de données.

7.3 À la fin des services de traitement, le Processeur de données est tenu de supprimer ou de renvoyer toutes les données personnelles au Contrôleur de données, à la demande du Processeur de données, et de supprimer les copies existantes, sauf si la conservation des données personnelles est prescrite par une loi de l’UE ou une loi nationale.

8. Droit applicable et juridiction

8.1 Toute réclamation ou tout litige découlant du présent Contrat ou en relation avec celui-ci doit être réglé par un tribunal compétent de première instance dans la même juridiction que celle indiquée dans le Contrat principal.

Annexe 1

Catégories de personnes concernées, types de données personnelles et instructions

1. Catégories de personnes concernées :

Le sous-traitant traitera les informations de contact des visiteurs du site Web du responsable du traitement des données et des clients et/ou membres, employés, fournisseurs, partenaires commerciaux et de collaboration et affiliés actuels, potentiels ou anciens du responsable du traitement des données.
Le sous-traitant met son système à la disposition du responsable du traitement sous forme de service hébergé, et il ne lui est pas possible de déterminer toutes les catégories de personnes concernées. Si le responsable du traitement héberge des données sur d’autres catégories de personnes concernées, il est tenu d’enregistrer ces informations.

2. Types de données personnelles :

En général, toutes les données personnelles traitées via l’espace web du Responsable du traitement sont traitées par le Sous-traitant. La liste non exhaustive ci-dessous présente les types de données personnelles les plus courants traités via les espaces web. Le Responsable du traitement décide quelles données personnelles il souhaite traiter via l’infrastructure du Sous-traitant. Cela peut inclure des catégories particulières de données personnelles énumérées à l’article 9 du RGPD.

Informations de contact et d’identification, y compris e-mail
Adresses IP
Noms de domaine
Noms d’utilisateur
Informations sur l’adhésion
Analyses et données d’utilisation
Historique des commandes et informations
Contrats
Communication
Assistance
Photos
Statut du consentement marketing
Données personnelles incluses dans les e-mails
D’autres types de données personnelles peuvent survenir

3. Instructions

Service

Le sous-traitant peut traiter les données personnelles concernant les personnes concernées dans le but de fournir, développer, gérer, administrer et gérer les services de l’accord principal, notamment en garantissant la stabilité et la disponibilité de nos serveurs et en répondant aux exigences légales.

Durée de conservation

Les données personnelles stockées/hébergées dans nos systèmes sont supprimées ou anonymisées dans un délai raisonnable après que le responsable du traitement des données a complètement résilié le contrat principal.

Lieu de traitement

Le traitement des données personnelles couvertes par l’Accord ne doit pas être effectué sans le consentement écrit préalable du Responsable du traitement des données dans des lieux autres que le centre de données du Sous-traitant des données à Copenhague et l’emplacement des sous-traitants des données tels qu’énumérés à l’Annexe 3.

Contrat de Processeur de données

Contrat de Processeur de données

1. Les données personnelles traitées

2. Objectif

3. Obligations du Contrôleur de données

4. Obligations du Processeur de données

5. Transfert des données à des Processeur de données auxiliaires ou à des tiers

6. Responsabilités

7. Date d’entrée en vigueur et résiliation

8. Droit applicable et juridiction

Annexe 1

3. Instructions

Service

Durée de conservation

Lieu de traitement

Annexe 2

Annexe 3

Produit – Mass hosting

VPS non géré

Managed VPS

Website Builder

Premium Care

WP.one