Accord sur le traitement des données

ACCORD SUR LE TRAITEMENT DES DONNÉES

Dernière mise à jour le 30 mars 2023.

  1. En contrepartie du fait que vous, le client, fassiez appel aux services de TCCHE LTD pour traiter des données à caractère personnel en votre nom, nous nous engageons à respecter les obligations de sécurité, de confidentialité et autres qui nous sont imposées en vertu du présent accord et de toute législation applicable en matière de protection des données. 

Parties à cet accord : 

(1) Le client (ou vous), qui est la personne morale ou l'entité qui a demandé les services conformément à la commande (le "contrôleur") ; 

et 

(2) TCCHE LTD, société immatriculée en Angleterre et au Pays de Galles sous le numéro 08223171, dont le siège social est situé à Unit 104 of 1 Riverbank Business Park, Dye House Lane, London, E3 2TB (le "responsable du traitement"). 

Contexte et champ d'application 

(A) Le contrôleur détermine les finalités et les moyens du traitement des données personnelles dans le cadre de ses activités commerciales ; 

(B) Le sous-traitant traite les données à caractère personnel pour le compte du contrôleur ; 

(C) Le contrôleur souhaite faire appel aux services du sous-traitant pour traiter les données à caractère personnel en son nom ; 

(D) Le GDPR britannique prévoit que, lorsque le traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci ne doit faire appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du GDPR britannique et assure la protection des droits de la personne concernée ; 

(E) Le GDPR britannique prévoit en outre que le sous-traitant n'engage pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité de s'opposer à ces modifications ; 

(F) Le GDPR britannique prévoit en outre que le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou du sous-traitant, qui a accès aux données à caractère personnel, ne traite ces données que sur instruction du responsable du traitement, à moins que la loi ne l'y oblige ; 

(G) Conformément aux dispositions susmentionnées du GDPR britannique, le contrôleur et le sous-traitant souhaitent conclure le présent accord de traitement. 

Les parties conviennent mutuellement de ce qui suit : 

    1. Définitions et interprétation 
    2. Considération 
    3. Détails du traitement 
    4. Obligations du sous-traitant 
    5. Obligations des deux parties 
    6. Confidentialité 
    7. Engagement d'un sous-traitant 
    8. Audits et inspections 
    9. Durée et résiliation 
    10. Droits de propriété intellectuelle 
    11. Droit applicable 
    12. Intégralité de l'accord 
    13. Indemnité de départ 
    14. Annexe 1 
    15. Annexe 2 

 

  1. DÉFINITIONS ET INTERPRÉTATION

1.1 Dans le présent accord, les mots et expressions suivants ont la signification suivante, sauf incompatibilité avec le contexte ou spécification contraire : 

"Annexe 1 désigne l'annexe au présent accord, qui fait partie intégrante de celui-ci ; 

"Annexe 2 désigne l'annexe au présent accord, qui fait partie intégrante de celui-ci ; 

"GDPR" (ROYAUME-UNI) ci-après dénommé le règlement, désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, tel qu'il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) ; 

"Contrôleur, responsable du traitement, sous-traitant, personne concernée, données à caractère personnel, catégories particulières de données à caractère personnel, violation de données à caractère personnel, autorité de contrôle, traitement et mesures techniques et organisationnelles appropriées".Les données sont conservées dans le cadre de la législation sur la protection des données en vigueur à l'époque ; 

"Informations confidentielles" désigne toutes les informations divulguées par une partie à l'autre partie en vertu du présent accord, qui sont désignées comme exclusives et/ou confidentielles ou qui, de par leur nature ou la nature des circonstances entourant la divulgation, devraient raisonnablement être considérées comme confidentielles, y compris (mais sans s'y limiter) les informations sur les produits, les listes de clients, les listes de prix et les informations financières ; 

"Législation sur la protection des données" désigne la législation sur la protection des données et de la vie privée en vigueur au Royaume-Uni et comprend la loi sur la protection des données de 2018, le GDPR du Royaume-Uni et le règlement sur la protection de la vie privée et les communications électroniques de 2003 ; 

"Ordre" désigne la demande d'achat de services auprès de TCCHE Ltd sous réserve des conditions du présent accord ; 

"Services" désigne les services fournis par TCCHE Ltd au contrôleur dans le cadre de cet accord, y compris, mais sans s'y limiter, la fourniture de tout ou partie des services suivants : image de marque et conception, conception et développement du site web, maintenance et assistance du site web, hébergement et conseil ; 

"Sous-contrat" et "sous-traitance" On entend par là le processus par lequel l'une ou l'autre des parties fait en sorte qu'un tiers s'acquitte des obligations qui lui incombent en vertu du présent accord ; 

"Sous-processeur désigne la partie à laquelle les obligations sont sous-traitées. 

 

  1. CONSIDÉRATION

2.1 En contrepartie du fait que le contrôleur fait appel aux services du sous-traitant pour traiter des données à caractère personnel en son nom, le sous-traitant se conforme aux obligations de sécurité, de confidentialité et autres qui lui sont imposées en vertu du présent accord et de toute législation applicable en matière de protection des données. 

 

  1. DÉTAILS DE LA TRANSFORMATION

3.1 Le contrôleur peut soumettre au sous-traitant des données à caractère personnel, dont l'étendue est déterminée et contrôlée par le contrôleur à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données à caractère personnel relatives aux catégories suivantes de personnes concernées : 

- Les prospects, clients, partenaires commerciaux et fournisseurs du contrôleur (qui sont des personnes physiques) ; 
- les employés, les agents, les conseillers et les indépendants du contrôleur (qui sont des personnes physiques) 

Elles peuvent inclure, sans s'y limiter, des données à caractère personnel concernant les catégories suivantes de personnes concernées : 

- Prénom et nom, fonction, employeur, coordonnées (entreprise, courriel, téléphone, adresse professionnelle physique), données d'identification, données relatives à la vie professionnelle, données relatives à la vie personnelle, données de localisation. 

Le sous-traitant conservera ces données personnelles jusqu'à ce que le contrôleur, une personne ou une entreprise lui demande de les supprimer ou de prendre toute autre mesure conformément au GDPR britannique. 

3.2 Sans préjudice du caractère général de la clause 5.2, le responsable du traitement s'assurera qu'il dispose de tous les consentements et avis appropriés nécessaires pour permettre le transfert légal des données à caractère personnel au sous-traitant pendant la durée et aux fins du présent accord. 

 

  1. A) OBLIGATIONS DU SOUS-TRAITANT

Le sous-traitant s'engage à : 

4.1 traiter les données personnelles uniquement sur instructions documentées du responsable du traitement, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis l'exige ; dans ce cas, le sous-traitant informe le responsable du traitement de cette exigence légale avant le traitement, à moins que ce droit n'interdise une telle information pour des raisons importantes d'intérêt public. 

4.2 tenir compte de la nature du traitement et aider le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir l'obligation du responsable du traitement de répondre aux demandes d'exercice des droits de la personne concernée prévues au chapitre III du règlement. En outre, le sous-traitant 

4.2.1 informer rapidement le contrôleur s'il reçoit une demande de la part d'une personne concernée en vertu de la législation sur la protection des données en ce qui concerne les données personnelles du contrôleur ; et 

4.2.2 Veiller à ce que le sous-traitant ne réponde pas à cette demande, sauf sur instructions documentées du contrôleur ou comme l'exige la législation sur la protection des données à laquelle le sous-traitant est soumis, auquel cas le sous-traitant doit, dans la mesure permise par la législation sur la protection des données, informer le contrôleur de cette exigence légale avant que le sous-traitant ne réponde à la demande. 

4.3 Tenir compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, et le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. 

4.4 Tenir compte, lors de l'évaluation du niveau de sécurité approprié, des risques présentés par le traitement, notamment la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. 

4.5 Mettre en place des mesures de sécurité techniques et organisationnelles appropriées, examinées et approuvées par le contrôleur, afin de protéger les données personnelles fournies ou mises à disposition par le contrôleur au sous-traitant dans le cadre du présent accord, comme l'exige la législation sur la protection des données. De plus amples détails, y compris la norme minimale de protection de la sécurité, figurent à l'annexe 1 du présent accord. 

4.6 Pour éviter toute ambiguïté, rien dans le présent accord ne décharge le sous-traitant de ses propres responsabilités directes en vertu du GDPR britannique. 

 

  1. B) OBLIGATIONS SUPPLÉMENTAIRES DU SOUS-TRAITANT

Le sous-traitant s'engage en outre, en tenant compte de la nature du traitement et des informations dont il dispose, à : 

4.7 Aider le contrôleur à respecter son obligation de sécuriser les données à caractère personnel ; 

4.8 Aider le contrôleur à respecter son obligation de notifier les violations de données à caractère personnel à l'autorité de contrôle, ce qui inclut : 

4.8.1 Notifier le contrôleur dans les meilleurs délais lorsque le sous-traitant ou tout soustraitant prend connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel du contrôleur. 

4.8.2 Cette notification doit au minimum 

a) Décrire la nature de la violation de données à caractère personnel, les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d'enregistrements de données à caractère personnel concernés ; 
b) communiquer le nom et les coordonnées du délégué à la protection des données du sous-traitant ou de toute autre personne compétente auprès de laquelle de plus amples informations peuvent être obtenues ; 
c) décrire les conséquences probables de la violation de données à caractère personnel ; et 
d) Décrire les mesures prises ou proposées pour remédier à la violation de données à caractère personnel. 

4.8.3 En outre, coopérer avec le contrôleur et prendre les mesures commerciales raisonnables demandées par le contrôleur pour contribuer à l'enquête, à l'atténuation et à la réparation de chaque violation de données à caractère personnel. 

4.9 Aider le contrôleur à respecter son obligation d'informer les personnes concernées en cas de violation de données à caractère personnel ; 

4.10 aider le contrôleur à respecter son obligation de procéder à des évaluations de l'impact sur la protection des données (DPIA) ; et 

4.11 aider le responsable du traitement à respecter son obligation de consulter l'autorité de contrôle lorsqu'une DPIA indique que le traitement présente un risque élevé non atténué. 

 

  1. AUTRES OBLIGATIONS POUR LES DEUX PARTIES

5.1 Le responsable du traitement et le sous-traitant prennent des mesures pour garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou du sous-traitant qui a accès à des données à caractère personnel ne les traite que sur instruction du responsable du traitement, à moins qu'elle ne soit tenue de le faire en vertu de la loi. 

5.2 Les deux parties se conformeront à toutes les exigences applicables de la législation sur la protection des données. La présente clause 5.2 s'ajoute aux obligations d'une partie en vertu de la législation sur la protection des données et ne les soulage pas, ne les supprime pas et ne les remplace pas. 

 

  1. CONFIDENTIALITÉ

6.1 Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; 

6.2 En particulier, le sous-traitant convient que, sauf autorisation écrite préalable du responsable du traitement, il ne divulguera à aucun tiers les données à caractère personnel qui lui ont été fournies par le responsable du traitement, pour son compte ou en son nom. 

6.3 Le sous-traitant n'utilise pas les données à caractère personnel qui lui sont fournies par le responsable du traitement autrement que dans le cadre de la fourniture de services au responsable du traitement et comme convenu dans le présent accord. 

6.4 Les obligations énoncées aux points 6.1, 6.2 et 6.3 ci-dessus sont maintenues pendant une période de cinq ans après la cessation de la fourniture de services par le sous-traitant au responsable du traitement. 

6.5 Aucune disposition du présent accord n'empêche l'une ou l'autre des parties de se conformer à une obligation légale imposée par une autorité de régulation ou un tribunal. Les deux parties doivent cependant, dans la mesure du possible, discuter ensemble de la réponse appropriée à toute demande de divulgation d'informations émanant d'une autorité de régulation ou d'un tribunal. 

 

  1. L'ENGAGEMENT D'UN SOUS-TRAITANT

7.1 En concluant le présent accord, le contrôleur autorise par la présente le sous-traitant à nommer des sous-traitants secondaires de données personnelles et, pendant la durée de validité du présent accord, il a le droit général de nommer des sous-traitants secondaires de données personnelles. Le sous-traitant fournira au contrôleur une notification préalable avant de nommer des sous-traitants secondaires pour toutes les données personnelles qui s'ajoutent à celles mentionnées dans l'annexe 2. 

7.2 Le sous-traitant informera le contrôleur de l'utilisation de tout nouveau sous-traitant secondaire avant l'adoption du sous-traitant secondaire et le transfert des données du contrôleur ou la fourniture de toute forme d'accès aux données du contrôleur, donnant ainsi au contrôleur la possibilité de s'opposer à un tel changement et de résilier l'accord à la suite de ce changement. Le responsable du traitement doit s'assurer que tous les consentements nécessaires à la protection des données sont obtenus ou que d'autres motifs légitimes de traitement des données personnelles sont établis. L'utilisation continue des services par le contrôleur constitue une approbation de l'utilisation de ce nouveau sous-traitant et une confirmation par le contrôleur que l'utilisation de tous les sous-traitants est légale en vertu des lois sur la protection des données applicables. 

7.3 Lorsque le sous-traitant fait appel à un sous-traitant ultérieur pour s'acquitter des obligations qui lui incombent en vertu du présent accord ou d'un autre acte juridique, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au contrôleur au moins le même niveau de protection que celui prévu dans le présent accord ou dans un autre acte juridique, y compris, mais sans s'y limiter, en fournissant au sous-traitant ultérieur des garanties suffisantes en ce qui concerne la sécurité du traitement que celles qui sont imposées au sous-traitant en vertu du présent accord. 

7.4 Le sous-traitant accepte de fournir au contrôleur, pour examen, les copies de l'accord écrit entre le sous-traitant et le soustraitant (qui peuvent être expurgées pour supprimer les informations commerciales confidentielles qui ne sont pas pertinentes pour les exigences du présent accord) que le contrôleur peut demander de temps à autre. 

7.5 Pour éviter toute ambiguïté, si le sous-traitant secondaire ne remplit pas ses obligations en matière de protection des données, le sous-traitant sera responsable envers le responsable du traitement de l'exécution des obligations de cet autre sous-traitant. 

 

  1. AUDITS ET INSPECTIONS

Le sous-traitant s'engage à : 

8.1 Mettre à la disposition du contrôleur toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent accord et dans la législation sur la protection des données ; 

8.2 Autoriser les audits, y compris les inspections, effectués par le contrôleur ou un autre auditeur mandaté par celui-ci, et y contribuer. 

8.3 Le sous-traitant informe immédiatement le contrôleur si, à son avis, une instruction donnée conformément à la présente section 8 enfreint la législation sur la protection des données. 

 

  1. DURÉE ET RÉSILIATION

9.1 Le présent accord prend effet à la date de la commande et reste pleinement en vigueur jusqu'à ce qu'il soit résilié conformément aux conditions générales applicables à la fourniture de services. 

9.2 Chaque partie a le droit de résilier l'accord, en tout ou en partie, immédiatement en envoyant à l'autre partie une notification écrite de résiliation précisant les motifs de la résiliation, si l'un des événements suivants se produit : 

9.2.1 L'autre partie viole matériellement l'une des obligations qui lui incombent en vertu du présent accord ; 

9.2.2 L'autre partie manque à l'une des obligations qui lui incombent en vertu du présent accord et, nonobstant une demande écrite de la partie non fautive de remédier à ce manquement, ne se conforme pas à cette demande dans un délai de trente (30) jours suivant cette notification ; 

9.2.3 Un cas de force majeure prévaut pendant une période supérieure à trois (3) mois ; ou 

9.2.4 L'autre partie devient insolvable ou entre en liquidation, une demande de mise en faillite est déposée pour elle ou un administrateur judiciaire est nommé. 

9.3 En cas de résiliation ou d'expiration du présent accord, les droits et obligations des parties nés avant la résiliation ou l'expiration du présent accord subsistent. 

9.4 Dans les trente (30) jours suivant la résiliation du présent accord, le sous-traitant, sur instruction du responsable du traitement, soit (a) restitue toutes les données à caractère personnel que le responsable du traitement lui a transmises en vue de leur traitement, soit (b) à la réception d'instructions du responsable du traitement, détruit toutes ces données, à moins que le sous-traitant n'en ait l'interdiction en vertu d'une loi applicable. 

9.5 Le sous-traitant peut conserver les données personnelles du contrôleur dans la mesure requise par la législation sur la protection des données et uniquement dans la mesure et pour la période requises par la législation sur la protection des données et toujours à condition que le sous-traitant et tout soustraitant garantissent la confidentialité de toutes ces données personnelles du contrôleur et veillent à ce que ces données personnelles du contrôleur ne soient traitées que dans la mesure nécessaire aux fins spécifiées dans la législation sur la protection des données exigeant leur stockage et à aucune autre fin. 

9.6 Le sous-traitant certifie par écrit au contrôleur que lui-même et tout sous-traitant ultérieur se sont pleinement conformés au présent article 10 dans un délai de trente (30) jours à compter de la date de résiliation. 

 

  1. DROITS DE PROPRIÉTÉ INTELLECTUELLE

10.1 Le sous-traitant est et reste propriétaire de tout matériel utilisé ou mis à disposition dans le cadre de la fourniture des services. 

10.2 Le sous-traitant accorde au responsable du traitement un droit limité, personnel, non exclusif et non transférable d'utiliser tout matériel fourni dans le cadre de la prestation des services. Cette licence est valable pour la durée de l'accord. 

10.3 Le contrôleur est et reste le propriétaire de toutes les données à caractère personnel fournies au sous-traitant ou mises à sa disposition dans le cadre du présent accord. 

10.4 Le responsable du traitement accorde au sous-traitant un droit limité, personnel, non exclusif et non transférable d'utiliser les données personnelles fournies uniquement dans le cadre de la prestation des services. Cette licence est valable pour la durée de l'accord. 

 

  1. DROIT APPLICABLE

11.1 Le présent accord est régi et interprété exclusivement selon les lois de l'Angleterre et du Pays de Galles. 

 

  1. INTÉGRALITÉ DE L'ACCORD

12.1 Le présent accord contient l'intégralité de l'accord et de la compréhension entre les parties en ce qui concerne l'objet du présent accord et annule et remplace tous les accords ou compréhensions antérieurs, écrits ou oraux, relatifs au même objet qui sont encore en vigueur entre les parties. 

12.2 Toute modification du présent accord, ainsi que tout ajout ou suppression, doit faire l'objet d'un accord écrit entre les deux parties. 

12.3 Dans la mesure du possible, les dispositions du présent accord doivent être interprétées de manière à être valides et applicables en vertu de la loi applicable, conformément à la clause 11 ci-dessus. 

 

  1. SEVERANCE

13.1 Si l'une des dispositions du présent accord est invalide ou inapplicable, le reste de l'accord reste valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour assurer sa validité et son applicabilité, tout en préservant au mieux les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'avait jamais été contenue dans le présent accord. 

 

  1. ANNEXE 1

Mesures techniques et organisationnelles 

Conformément aux obligations qui lui incombent en vertu de la clause 4 concernant le traitement des données à caractère personnel pour le compte du responsable du traitement, le sous-traitant doit, au minimum, mettre en œuvre les mesures techniques et organisationnelles appropriées pour se conformer aux exigences du règlement. Cela inclut les exigences énoncées dans la législation sur la protection des données, à savoir 

- La pseudonymisation et le cryptage des données personnelles ; 
- La capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ; 
- La capacité à rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique ; 
- un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement. 

 

15. ANNEXE 2

Sous-processeurs 

TCCHE Ltd utilise un petit nombre de sous-traitants de données afin de fournir des services au contrôleur. La liste suivante des sous-traitants de données qui peuvent être utilisés pour fournir des services sera mise à jour de temps à autre pour refléter la situation opérationnelle actuelle : 

Courriel, marketing et communication 

    1. Microsoft Ltd - fourniture des services de courrier électronique de la TCCHE utilisés pour les communications avec le contrôleur 
    2. HubSpot, Inc - fourniture du système de CRM et d'emailing de TCCHE 
    3. WordPress, Inc - fourniture du système CMS de la TCCHE 

Serveurs et hébergement 

    1. Kinsta, Inc - fourniture de serveurs pour l'hébergement de sites web et le stockage de données de sauvegarde 
    2. Amazon Web Services, Inc - fourniture de serveurs pour l'hébergement de sites web et le stockage de données de sauvegarde 
    3. GoDaddy Operating Company, LLC - fourniture de services d'enregistrement de domaines et de SSL 
    4. Cloudflare, Inc - fourniture de services de gestion DNS 

Autres 

    1. ManageWP, LLC - fourniture d'outils de gestion et de fonctions de sécurité pour WordPress