Accord avec le responsable du traitement des données
conformément à l’article 28 du GDPR
Par et entre
“Client”
Contrôleur des données
et
Culture Exploit AS
Responsable du traitement des données
Culture Exploit AS, Gaustadalléen 21, 0349 Oslo, Norvège, Org.no. 918 415 823, ci-après dénommée “CE”, et les affiliés de CE reconnaissent l’importance de sécuriser et de protéger toutes les données collectées auprès des personnes par le biais de notre plateforme, et de ses produits et services connexes, ainsi que de toute autre fonctionnalité trouvée sur www.xientia.com (collectivement dénommée la “Plateforme”).
1. Objet et durée du traitement
Le présent accord s’applique au traitement des données à caractère personnel par Culture Exploit AS en tant que sous-traitant (ci-après dénommé “le sous-traitant”) pour le compte du client (ci-après dénommé “le contrôleur”) dans le cadre de l’accord de service conclu entre les deux parties le xx.xx.xxxx.
Le présent accord relatif au traitement des données (l’accord) a pour objet de garantir le respect des exigences du GDPR et de réglementer le traitement des données à caractère personnel par le sous-traitant pour le compte du contrôleur, y compris la collecte, l’enregistrement, l’alignement, le stockage et la divulgation ou une combinaison de ces éléments.
Le sous-traitant peut traiter des données à caractère personnel pour le compte du contrôleur tant que l’accord de service entre les parties est valide. En cas de violation du présent accord ou du GDPR, le contrôleur peut demander au sous-traitant de cesser le traitement des données à caractère personnel avec effet immédiat.
2. La nature et la finalité du traitement
Le contrôleur a conclu un accord de service avec le sous-traitant en date du xx.xx.xxxx, qui couvre l’évaluation culturelle dans Culture Exploit.
L’accord de service implique le traitement de données à caractère personnel par le sous-traitant pour le compte du contrôleur. L’objectif du traitement des données personnelles couvert par cet accord est le développement des employés de l’organisation.
3. Te type de donnees a caractere personnel et les categories de personnes concernees
Lors de l’exécution des services convenus dans le contrat de service, le sous-traitant peut traiter des données à caractère personnel telles que le nom et l’adresse électronique.
Les types de données à caractère personnel suivants peuvent être traités dans le cadre du présent accord ;
NOTE : CETTE LISTE N’EST PAS EXHAUSTIVE ET DOIT ÊTRE COMPLÉTÉE LE CAS ÉCHÉANT. EN OUTRE, CERTAINS TYPES DE DONNÉES À CARACTÈRE PERSONNEL PEUVENT NE PAS S’APPLIQUER À CET ACCORD ET DOIVENT ÊTRE SUPPRIMÉS DE LA LISTE.
- Nom
- Coordonnées (e-mail)
- Né (année)
- Ancienneté (a commencé à travailler pour l’année du client)
4. Obligations et droits du responsable du traitement
Le sous-traitant ne peut traiter les données à caractère personnel d’une manière autre que celle prévue par le présent accord. Le sous-traitant ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, sauf si le droit de l’Union ou de l’État membre auquel le sous-traitant est soumis l’exige. Dans ce cas, le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que cette loi n’interdise une telle information pour des raisons importantes d’intérêt public.
Le sous-traitant est tenu de donner au responsable du traitement l’accès aux mesures de sécurité techniques et organisationnelles écrites et de fournir une assistance afin que le responsable du traitement puisse s’acquitter de ses responsabilités conformément au GDPR.
Sauf accord contraire ou en vertu de dispositions légales, le contrôleur a le droit d’accéder à toutes les données à caractère personnel traitées par le sous-traitant pour le compte du contrôleur, ainsi qu’aux systèmes utilisés à cette fin. Le sous-traitant fournit l’assistance nécessaire à cet effet.
Le sous-traitant est tenu au secret professionnel concernant la documentation et les données à caractère personnel auxquelles il a accès en vertu du présent accord. Cette disposition s’applique également après la résiliation de l’accord.
Le sous-traitant aide le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir l’obligation du responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée conformément au GDPR. Toute demande d’accès, de suppression et/ou de rectification reçue par le sous-traitant est transmise au responsable du traitement dans les meilleurs délais.
Les données personnelles ne sont pas conservées plus longtemps qu’il n’est nécessaire pour atteindre l’objectif du traitement. Chaque employé a la possibilité de supprimer toutes ses données personnelles lorsqu’il le souhaite.
En cas de violation de données à caractère personnel, le sous-traitant notifie la violation au responsable du traitement dans un délai raisonnable et, dans la mesure du possible, au plus tard 24 heures après en avoir pris connaissance. Le responsable du traitement est chargé de signaler la violation à l’inspection nationale des données compétente.
5. Recours à un sous-traitant
Supprimez la section non pertinente :
*Le contrôleur accorde au sous-traitant une autorisation générale d’engager un autre sous-traitant à condition que le sous-traitant informe le contrôleur de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au contrôleur la possibilité de s’opposer à ces changements.
Toute personne qui exécute des missions pour le compte du sous-traitant qui comprennent le traitement ultérieur des données à caractère personnel pertinentes qui sont couvertes par le présent accord doit connaître les obligations contractuelles et légales du sous-traitant et en respecter les exigences.
Le sous-traitant doit satisfaire aux exigences en matière de sécurité du traitement énoncées à l’article 32 du GDPR. La documentation est disponible à la demande du contrôleur.
Le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, entre autres, le cas échéant :
NOTE : CETTE LISTE N’EST PAS EXHAUSTIVE ET DOIT ÊTRE COMPLÉTÉE LE CAS ÉCHÉANT
- La pseudonymisation et le cryptage des données personnelles ;
- La capacité à assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.
- La capacité à rétablir la disponibilité et l’accès aux données à caractère personnel en temps utile en cas d’incident physique ou technique ;
- un processus permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.
Le sous-traitant assure la sécurité physique afin d’empêcher l’accès non autorisé aux zones où sont stockées les données à caractère personnel. Le sous-traitant doit en outre veiller à ce que les contrôles d’accès nécessaires à toutes les données à caractère personnel et aux systèmes informatiques pertinents soient mis en place. L’accès doit être basé sur le besoin d’accès des employés, en tenant compte des tâches professionnelles pertinentes. L’utilisation des systèmes informatiques couverts par le présent accord doit être consignée. Les informations stockées électroniquement qui contiennent des informations à caractère personnel doivent être protégées par des mots de passe et d’autres mesures de sécurité technique similaires afin de garantir que les informations stockées électroniquement ne sont pas accessibles au personnel non autorisé et qu’il n’existe aucun risque de modification/suppression indésirable des données. La sécurité doit être conforme aux méthodes généralement reconnues, ou meilleure.
7. Audits de sécurité
Le sous-traitant effectue chaque année des audits de sécurité pour les systèmes, etc. couverts par le présent accord. Le contrôleur reçoit, sur demande, la documentation relative à ces audits de sécurité.
L’audit peut comprendre un examen des routines et des politiques, des contrôles aléatoires, des inspections plus approfondies des sites et d’autres mesures de contrôle appropriées. Le responsable du traitement a le droit d’accéder à la documentation détenue par le sous-traitant qui est pertinente pour le présent accord. Le sous-traitant est donc tenu, après avoir reçu un préavis raisonnable, de mettre cette documentation à la disposition du responsable du traitement.
Dans les cas où le responsable du traitement souhaite effectuer une inspection sur place ou des contrôles ponctuels, le sous-traitant en est informé par écrit, avec un préavis raisonnable avant l’inspection sur place.
L’accord est valable aussi longtemps que le sous-traitant traite des données à caractère personnel pour le compte du responsable du traitement. En cas de violation de cet accord ou de la loi sur les données à caractère personnel, le responsable du traitement peut demander au sous-traitant de cesser le traitement des informations avec effet immédiat.
9. Résiliation
En cas de résiliation du présent accord, le sous-traitant est tenu de supprimer toutes les données à caractère personnel reçues au nom du responsable du traitement et couvertes par le présent accord dans un délai d’un jour ouvrable. Cette obligation s’applique également à toute copie de sauvegarde. Le sous-traitant documente par écrit que la suppression a eu lieu conformément à l’accord.
10. Notifications
Les notifications au titre du présent accord sont soumises par écrit à l’adresse suivante :
Contrôleur :
Processeur : Exploitation de la culture par le PDG
11. Choix de la loi et du lieu de juridiction
L’accord est soumis à la juridiction norvégienne et les parties conviennent que le tribunal de district d’Oslo est le lieu de juridiction. Cette disposition s’applique également après la résiliation de l’accord.
***
Cet accord a été rédigé en 2 – 2 exemplaires, dont les parties conservent chacune un exemplaire.
Oslo, Mois xxth – 20xx
Contrôleur Processeur
Xxxx Xxxx par prokura
PDG
Culture Exploit AS
Culture Exploit AS Gaustadalléen 21, Startup Lab – 0349 Oslo – Norvège