Fournisseurs – Conditions de Traitement des Données

1. Contexte and Intention
L’entreprise qui accepte les présentes conditions (le “Fournisseur”) et Quartix Holdings plc, Quartix Limited, Quartix Inc ou toute autre entité directement ou indirectement contrôlée par Quartix Holdings plc (selon le cas, “Quartix”) ont conclu un accord en vertu duquel le Fournisseur fournira certains Services à Quartix (l’”Accord”).
Dans le cadre de cet Accord, Quartix pourra, de temps en temps, partager des Données avec le Fournisseur. Quartix peut agir en qualité de Responsable du traitement, auquel cas le Fournisseur sera considéré comme un Sous-traitant. Quartix peut également agir en qualité de Sous-traitant des données pour le compte d’un Responsable du traitement, auquel cas le Fournisseur sera considéré comme un Sous-traitant ultérieur.
Ces conditions de traitement et de sécurité des données, y compris leurs annexes (les “Conditions”) sont entrées en vigueur le 25 mai 2018 (la “Date d’Entrée en Vigueur”) et remplacent toutes Conditions relatives à l’utilisation et à la protection des données personnelles précédemment applicables. En cas de contradiction entre ces Conditions et des conditions précédemment applicables, y compris celles stipulées dans cet Accord, les présentes Conditions prévaudront.
L’objectif de ces Conditions est d’assurer la mise en place de dispositions appropriées relatives aux Données transmises par Quartix au Fournisseur. Tout transfert de Données du Fournisseur à Quartix est couvert par les Conditions de Traitement des Données de Quartix, qui font partie de cet Accord et peuvent être consultées à l’adresse ci-dessous :
https://www.quartix.fr/conditions-de-traitement-des-donnees-quartix/
En cas d’expiration de ce lien, les Conditions de Traitement des Données sont disponibles sur demandes ou sont facilement accessibles sur le site web de Quartix.

2. Définitions et Interprétation
Aux fins des présentes Conditions :
« Législation sur la Protection des Données » désigne toutes les sources telles que loi, règlements, décrets et directives applicables émanant d’une Autorité de Contrôle (ou son équivalent britannique) et relatif à la vie privée, la confidentialité, la sécurité, le marketing direct ou la protection des Données à Caractère Personnel ou des données d’entreprise (y compris toute loi nationale transposant et mettant en œuvre une telle législation (dont les Directives 95/46/EC, 2002/58/EC et 97 /66/EC)), y compris le Data Protection Act 1998, le Privacy and Electronic Communications Regulations 2003 (Directive CE 512003/2426), le Regulation of Investigatory Powers Act 2000, l’Investigatory Powers Act 2016, les Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000 (SI 2000/2699) et le Règlement Général sur la Protection des Données.
« Données » désigne toute donnée pouvant être concernée par la Législation sur la Protection des Données, comprenant, sans s’y limiter, les données à caractère personnel et les données sensibles telles que définies dans le RGPD.
« RGPD » désigne le Règlement Général sur la Protection des Données.
« Services » désigne les services fournis par le Fournisseur dans le cadre de cet Accord.
 » Responsable du traitement » a le sens qu’en donne la Législation sur la Protection des Données.
« Personne concernée » a le sens qu’en donne la Législation sur la Protection des Données.
 » Données à caractère personnel » a le sens qu’en donne la Législation sur la Protection des Données.
« Sous-traitant » a le sens qu’en donne la Législation sur la Protection des Données.
« Sous-traitant de second rang » a le sens qu’en donne la Législation sur la Protection des Données.
« Autorité de contrôle » a le sens qu’en donne la Législation sur la Protection des Données.

3. Traitement des Données
Quartix conserve le contrôle des Données dans tous les cas de figure. Le Fournisseur maintiendra la confidentialité des Données et accepte de traiter les Données uniquement en accord avec la Législation sur la Protection des Données et les dispositions suivantes :
a. Le Fournisseur traitera les Données :
(i) uniquement en accord avec les instructions écrites fournies par Quartix ;
(ii) uniquement dans la mesure et de manière à assurer la réalisation des Services ;
(iii) uniquement dans l’Espace Économique Européen ou le Royaume-Uni, à moins que le transfert ait été autorisé par écrit par Quartix, ou s’effectue vers un pays dont le niveau de protection a été jugé habituellement adéquat par la Commission Européenne conformément à la Législation sur la Protection des Données ;
(iv) le cas échéant, conformément aux Clauses Contractuelles Types (Sous-traitants) approuvées par la Commission Européenne dans sa décision C(2010)593 ;
(v) le cas échéant, conformément aux exigences du Bouclier vie privée UE – États-Unis (ou tout accord ultérieur habituellement approuvé par la Commission Européenne) et doit être en possession d’une inscription valide auprès du Département du Commerce des États-Unis à cet effet.
b. Le Fournisseur s’assurera que tous les employés et autres représentants du Fournisseur accédant aux données
(i) aient pris connaissance de ces Conditions ; et
(ii) aient été formés à la Législation sur la Protection des Données et aux bonnes pratiques concernées ; et
(iii) soient tenus par des obligations de confidentialité ;
c. Quartix et le Fournisseur ont convenu de mettre en œuvre des mesures techniques et organisationnelles appropriées assurant un niveau de sécurité adapté au risque. Ces mesures sont détaillées dans l’Annexe A des présentes Conditions et le Fournisseur devra implémenter ces mesures ;
d. le Fournisseur ne devra pas faire appel à des parties tierces (y compris agents et sous-traitants) pour traiter les données sans le consentement écrit de Quartix. Ce consentement peut être refusé par Quartix à sa discrétion absolue, ou peut faire l’objet de conditions que Quartix peut exiger à sa discrétion absolue, incluant la nécessité d’approuver l’Accord de Traitement des Données entre le Fournisseur et la partie tierce;
e. étant donné la nature du traitement, le Fournisseur adoptera les mesures techniques et organisationnelles nécessaires pour lui permettre, dans la mesure de ses capacités, d’aider Quartix à satisfaire son obligation de répondre aux demandes des Personnes Concernées exerçant leurs droits énoncés dans le Chapitre III du RGPD : droit à l’effacement, droit de rectification, droit d’accès, droit à la limitation du traitement, droit à la portabilité, droit d’opposition et droit de ne pas faire l’objet de décisions automatisées, etc ;
f. le Fournisseur devra apporter son assistance à Quartix pour permettre à Quartix de répondre à ses obligations énoncées dans les Articles 32 à 36 du RGPD : sécurité, notification de violations des données, communication aux Personnes Concernées des violations de données, analyses d’impact relatives à la protection des données et, le cas échéant, consultation de l’Autorité de Contrôle compétente ;
g. le Fournisseur devra conserver un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte de Quartix, contenant toutes les informations requises par la Législation sur la Protection des Données, et devra, sur demande de Quartix, mettre ce registre à la disposition de Quartix ou toute autorité de contrôle compétente au sein de l’Union Européenne ou de l’État Membre (et/ou son équivalent britannique) ;
h. le Fournisseur devra supprimer les Données aussitôt que celles-ci ne seront plus nécessaires à la réalisation des Services, ou à tout moment sur instruction de Quartix. Lorsque le Fournisseur doit supprimer les Données, la suppression devra comprendre la destruction de toute copie existante. Le Fournisseur devra fournir un certificat de destruction des Donnés si Quartix le lui demande ;
i. à la demande de Quartix, le Fournisseur devra adhérer à tout code de conduite applicable ou à toute méthode de certification approuvée dans le cadre du RGPD ;
j. le Fournisseur devra, à tout moment sur instruction de Quartix, mettre à la disposition immédiate de Quartix toutes les informations nécessaires pour prouver sa conformité aux obligations énoncées dans les présentes Conditions et permettre et contribuer à tout audit, inspection ou autre exercice de vérification requis par Quartix ;
k. le Fournisseur devra observer les dispositifs adéquats relatifs au transfert sécurisé des Données de Quartix au Fournisseur ainsi qu’à la conservation sécurisée des Données par le Fournisseur détaillés dans l’Annexe A des présentes Conditions ;
l. le Fournisseur devra maintenir l’intégrité des Données, sans altération, en s’assurant que les Données peuvent être séparées de toute autre information créée ;
m. le Fournisseur devra, sur instruction de Quartix, rendre, modifier, transférer, copier ou supprimer promptement toute Donnée dans un format ou sur un média spécifiés de manière raisonnable par Quartix.

4. Obligations de Notification etc.
Le Fournisseur devra notifier à Quartix et devra faire en sorte que ses agents et sous-traitants notifient à Quartix :
a) rapidement de toute demande reçue de la part d’une Personne Concernée exerçant ses droits dans le cadre de la Législation sur la Protection des Données et répondre à toute demande de ce type si exigé par Quartix ;
b) immédiatement après avoir pris connaissance de toute perte, fuite, divulgation ou de tout traitement non-autorisé de toute Donnée, réel, suspecté ou supposé. Le Fournisseur accepte et reconnaît que Quartix devra gérer, à sa discrétion absolue, toute étape et mesure prise pour remédier à une telle violation de la Législation sur la Protection des Données par le Fournisseur, incluant mais ne se limitant pas aux communications avec les organismes de réglementation. Le Fournisseur accepte de ne pas agir de la sorte lors d’une telle divulgation sans le consentement écrit préalable de Quartix ;
La notification est accompagnée de toute documentation utile afin de permettre à Quartix de traiter, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. La notification contient au moins :
– la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
– le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
– la description des conséquences probables de la violation de données à caractère personnel ;
– la description des mesures prises ou que le Fournisseur propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

c) immédiatement après avoir reçu, de la part de toute Autorité de Contrôle, un préavis directement ou indirectement relatif au traitement des Données à caractère personnel et devra coopérer avec ladite Autorité de Contrôle ;
d) rapidement si toute Donnée à caractère personnel possédée et/ou contrôlée par le Fournisseur est perdue, corrompue ou rendue inutilisable pour toute raison, et devra restaurer ces Données à caractère personnel, y compris en utilisant ses sauvegardes et/ou ses procédures de secours en cas de catastrophe, sans aucun frais pour Quartix.

5. Résiliation
À l’expiration ou la résiliation des présentes Conditions ou de l’Accord (si cette dernière date est antérieure), le Fournisseur devra immédiatement cesser d’utiliser, et devra faire en sorte que ses agents et sous-traitants cessent d’utiliser, les Données et devra organiser leur retour sécurisé ou leur destruction (selon le choix de Quartix) au moment opportun (sauf si l’Union Européenne, l’État Membre et/ou la loi britannique exige le stockage des Données à caractère personnel).

6. Droits des données à caractère personnel
Ni le Fournisseur ni ses agents ou sous-traitants ne pourront acquérir de droits relatifs aux Données, et le Fournisseur ne devra pas utiliser les Données autrement que dans le cadre de ce qui est autorisé par les présentes Conditions.

7. Responsabilité
Le Fournisseur accepte d’indemniser Quartix et de le garantir contre toute action, coût, procédure, responsabilité, perte, préjudice et dépense que Quartix ou toute entreprise liée à Quartix en tant que société holding, succursale ou filiale indirecte de sa société mère pourrait subir ou encourir à la suite de toute violation des présentes Conditions par le Fournisseur et/ou ses agents et/ou ses sous-traitants.

8. Dispositions générales
a. Ces Conditions resteront en vigueur même après que le Fournisseur ait fini de fournir les Services dans le cadre de l’Accord, et ne peuvent être résiliées qu’avec le consentement écrit des deux parties.
b. Le Fournisseur consent à ce que sa raison sociale (sous la forme d’une entreprise individuelle, d’une société ou de toute autre forme juridique) soit référencée sur le site web de Quartix en tant que Sous-traitant ou Sous-traitant de second rang des Données.
c. Les présentes Conditions ne peuvent être modifiées qu’avec le consentement écrit des deux parties.
d. Les présentes Conditions constituent l’entente indivisible des parties relative aux protections juridiques nécessaires découlant de leur relation dans le cadre de la Législation sur la Protection des Données.
e. Chaque partie consent irrévocablement à ce que les tribunaux d’Angleterre et du Pays de Galle aient la compétence exclusive pour régler tout différend ou réclamation (y compris les différends ou réclamations non-contractuels) découlant de ou lié à ces Conditions, leur sujet ou leur formation.
f. Les titres et sous-titres des présentes Conditions ont pour seul objectif d’en faciliter la consultation et ne constituent ni n’affectent l’interprétation de ces Conditions.
g. Si toute disposition contenue dans ces Conditions est tenue pour inapplicable ou déraisonnable, celle-ci devra, dans la mesure de cette inégalité, invalidité, nullité, inapplicabilité ou de ce caractère déraisonnable, être jugée comme ne faisant pas partie des présentes Conditions. Les dispositions restantes contenues dans les Conditions et le reste de cette disposition devront alors rester en vigueur.

ANNEXE A
Conformité à l’Article 32, alinéa 1 du RGPD
1. Prise en considération de l’anonymisation, de la pseudonymisation et du chiffrement.
2. La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résistancelience continue des systèmes de traitement et des services liés.
3. La capacité de restaurer la disponibilité et l’accès aux données à caractère personnel dans un délai convenable dans le cas d’un incident physique ou technique.
4. Un procédé permettant de tester, d’apprécier et d’évaluer l’efficacité des mesures techniques et organisationnelles assurant la sécurité du traitement.
Conformité à l’Article 32, alinéa 2 du RGPD
5. En appréciant les niveaux de sécurité appropriés, il y a lieu de tenir compte en particulier des risques que présentent le traitement, en particulier par la destruction, la perte, l’altération, le dévoilement non-autorisé ou l’accès accidentel ou illicite aux données transmises, conservées ou autrement traitées.
Conformité à l’Article 32, alinéa 3 du RGPD
6. L’adhésion à un code de conduite approuvé visé à l’article 40 (RGPD) ou à un mécanisme de certification approuvé visé à l’article 42 (RGPD) peut être utilisé comme élément servant à démontrer la conformité avec les exigences détaillées au paragraphe 1 du RGPD — voir ci-dessus.
Conformité à l’Article 32, alinéa 4 du RGPD
7. Le Fournisseur doit assurer que toute personne agissant pour son compte ne traite aucune des Données à moins de suivre des instructions transmises par Quartix ou à moins d’y être contraint par la Législation sur la Protection des Données.