Registre de traitements des données personnelles et avenant de protection des données RGPD

Détails du contact:

Nom de l’entreprise : Eclscoaching,  9 rue des lilas domaine de soula 1 97355 Macouria Tonate Guyane Française, mail: eclscoaching@gmail.com.

Responsable du traitement : Alison Vincent , adresse mail : eclscoaching@gmail.com

Délégué à la protection des données : Alison Vincent , adresse mail : eclscoaching@gmail.com

Activité de traitement des données régulières :

Catégories de données personnelles:  Nom, adresse, lieu de résidence adresse email , numéro de téléphone

Catégorie de personnes concernées: Clientsvisiteurs

Base de traitement: le consentement

Finalité du traitement: gestion d’une prestation de service traitement des commandes

Destinataire des données : un service interne de mon entreprise

Durée de conservation des données : 2 ans

Précautions de sécurité: Anonymisation des données personnelles 

Activité de traitement des données personnelles sensibles : Non 

Date de création du registre: 04 Juillet 2022

Date des mises à jour : 04 Juillet 2022

Avenant de protection des données RGPD

Parties : 

Ecls coaching

Entreprise individuelle avec le numéro de siret: 80834352900018

Située 9 rue des lilas domaine de soula 1 97355 Macouria Tonate Guyane Française

ci-après dénommée  » le Responsable « ,

Et

Alison Vincent

Entreprise individuelle avec le numéro de siret: 80834352900018

Située 9 rue des lilas domaine de soula 1 97355 Macouria Tonate Guyane Française

ci-après dénommée « le Sous-traitant »

Considérant que : 

• les parties ont conclu un contrat à Macouria Tonate en date du 04 Juillet 2022 aux termes duquel le Sous-traitant traite les données personnelles fournies par le Responsable visées à l’article 4, paragraphes 1 et 2, RGPD (ci-après « Contrat ») ;
• conformément à l’article 28, paragraphe 3, RGPD, les parties sont tenues de prendre des dispositions nécessaires à la protection des données à caractère personnel et de les fixer dans un avenant, ce qu’elles font dans le présent avenant (ci-après « Avenant ») ; 
• les parties se communiqueront toutes les informations nécessaires en temps utile afin de permettre le respect de la législation et de la réglementation applicables en matière de protection des données à caractère personnel ;
• les dispositions du présent accord sont applicables à tous les autres accords existant entre les parties, en ce qui concerne le traitement des données à caractère personnel. En cas de conflit avec un accord précédent, les dispositions du présent accord priment.

Les parties se sont accordées sur ce qui suit : 

Article 1 – Durée de l’accord

1. Le présent Avenant entre en vigueur à la date de sa signature par les parties et prend fin après que le sous-traitant a effacé et/ou renvoyé toutes les données personnelles auxquelles le présent accord se rapporte conformément aux dispositions de l’article 13.
2. Cet Avenant reste en vigueur tant que le Contrat demeure en vigueur. 
3. Les dispositions décrites à l’article 4 restent en vigueur après l’expiration du présent accord.

Article 2 – Objet de l’Avenant

Le Responsable a fourni au Sous-traitant les informations suivantes pour l’exécution de l’Avenant :

• le service rendu par le sous-traitant ;
• la nature et le but des traitements de données ; 
• les catégories de données personnelles traitées ;
• les catégories de personnes dont les données sont traitées ;
• les catégories de destinataires / utilisateurs de données personnelles. 

Le document contenant ces informations est joint en annexe du présent Avenant.

Article 3 – Traitement et utilisation des données personnelles

1. Le Responsable détermine la finalité du traitement et les données personnelles traitées à cette fin.
2. Le Responsable donne des instructions écrites au Sous-traitant.
3. Le Sous-traitant n’utilise les données personnelles obtenues qu’aux fins pour lesquelles elles ont été fournies et uniquement selon les instructions écrites du Responsable.
4. Si le Responsable ordonne un traitement des données personnelles qui serait contraire aux obligations légales du Sous-traitant, celui-ci en informe le Responsable et trouve une solution avec lui qui ne soit pas en conflit avec ses obligations légales.
5. Le Sous-traitant ne doit pas traiter les données d’une façon contraire aux lois et règlements applicables, sous peine d’engager sa responsabilité.
6. Le Sous-traitant ne fournira pas les données personnelles à des tiers, à moins que cela ne soit fait sur ordre du Responsable ou lorsque cela est nécessaire pour se conformer à une obligation légale.
7. Le Sous-traitant veille à ce que les données à caractère personnel ne soient pas traitées en dehors de l’Espace économique européen, à moins que le Responsable n’ait donné une autorisation écrite préalable.  

Article 4 – Confidentialité

1. Le Sous-traitant doit prendre toutes les mesures nécessaires pour assurer la confidentialité des données du Responsable.
2. L’obligation énoncée au paragraphe 1 ne s’applique pas si le Responsable a donné l’autorisation écrite préalable de fournir les données personnelles à un tiers ou si le Sous-traitant est légalement tenu de le faire.
3. Le Sous-traitant imposera la même obligation de confidentialité à son personnel, ainsi qu’aux personnes ou sous-traitants engagés à cet effet.  

Article 5 – Sécurité

1. Le Responsable et le Sous-traitant prendront les mesures techniques et organisationnelles appropriées visées à l’article 32 du RGPD afin de garantir un niveau de sécurité adapté aux risques.
2. La Responsable informe le Sous-traitant des exigences juridiques de fiabilité applicables au traitement en fonction des conséquences possibles pour les parties concernées, telles que la perte, la corruption ou le traitement illicite, et fournit toutes les informations nécessaires pour permettre au Sous-traitant de s’y conformer.
3. Si le Responsable veut un niveau de sécurité supérieur à celui requis par la loi, le Sous-traitant peut facturer les coûts supplémentaires au Responsable.
4. Le Sous-traitant, lorsqu’il prend des mesures de sécurité, tient compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte, des objectifs de traitement, de la probabilité et de la gravité des différents risques pour les personnes prévus à l’article 28, paragraphe 3, du RGPD.
5. Si le Responsable souhaite procéder à une évaluation des traitements prévus par l’Avenant, le Sous-traitant doit coopérer pour effectuer cette évaluation conformément à la législation et à la réglementation applicables.
6. Le Sous-traitant coopère dans le cadre d’une consultation préalable avec l’autorité française de protection des données.

Article 6 – Audit 

1. Le Responsable a le droit d’effectuer un audit annuel à ses propres frais afin de vérifier l’application conforme de cet Avenant par le Sous-traitant.
2. Le Sous-traitant accorde toute l’aide nécessaire à la réalisation de l’audit visé à l’alinéa 1 ci-dessus, par exemple en accordant l’accès aux bases de données et en mettant à disposition toutes les informations pertinentes.  
3. Le Sous-traitant devra exécuter les recommandations issues de l’audit du Responsable dès que possible.
4. Si les ajustements prévus à l’alinéa 3 ci-dessus résultent d’une modification des connaissances techniques ou de la législation, les coûts raisonnables pour ces ajustements sont supportés par le Responsable.
5. Si les ajustements prévus à l’alinéa 3 ci-dessus résultent d’une lacune dans le respect des exigences de sécurité convenues, les coûts sont supportés par le Sous-traitant.
6. Si l’autorité française de protection des données ou une autre autorité compétente souhaite mener une enquête, le Sous-traitant doit coopérer avec elle et informer le Responsable dans les meilleurs délais.

Article 7 – Violation de données à caractère personnel 

1. Si une violation de données, telle que définie à l’article 4, alinéa 12 du RGPD, survient, le Sous-traitant en informe le Responsable de la manière prévue à l’article 8.
2. Dans le cas d’une violation de données, le Sous-traitant prend toutes les mesures raisonnables et nécessaires pour limiter les conséquences et prévenir une nouvelle fuite.
3. Le Sous-traitant fournit au Responsable toute l’assistance nécessaire pour évaluer l’ampleur et les conséquences de la violation de données et pour se conformer à l’obligation de déclaration concernant les atteintes à la protection des données et au devoir d’information des personnes concernées.
4. Les parties ont convenu de la procédure à suivre en cas de violation de données dans une procédure de déclaration des fuites de données décrite à l’article 8. Cette procédure peut être adaptée si l’état de la technique l’exige ou si la réglementation relative à l’obligation de déclaration change.

Article 8 – Procédure de signalement des fuites de données

En cas de fuite de données, la procédure suivante s’applique :

• le Sous-traitant enregistre tous les incidents de sécurité d’une manière claire pour le Responsable ;
• cet enregistrement doit contenir au moins les informations suivantes : une description de l’incident ; le nombre de personnes (environ) qui ont été touchées par l’incident ; le ou les groupes de personnes touchés par l’incident ; la date et l’heure de l’incident ; la nature de l’infraction ; le type de données qui a été compromises ; les conséquences possibles pour les personnes impliquées ; les mesures techniques et organisationnelles prises en réponse à l’incident ; comment les données divulguées sont protégées ; si les données ont été chiffrées, rendues inaccessibles ou peuvent être effacées ou supprimées à distance ; et si c’est le cas, quelles données de personnes dans d’autres pays de l’UE ont été affectées par la violation de données ;
• le Sous-traitant informe le Responsable dans les 24 heures qui suivent la notification de l’incident en lui remettant simultanément l’enregistrement, comme décrit ci-dessus ;
• le Sous-traitant se tient disponible en permanence, pendant les 24 heures après avoir informé le Responsable d’une violation de données, pour toute consultation avec le Responsable ou un expert désigné par le Responsable ;
• le Responsable consulte le Sous-traitant afin d’évaluer si l’incident doit être signalé à la Cnil ;
• le Responsable informe à l’avance le Sous-traitant lorsqu’il décide de signaler la fuite à la Cnil ;
• le Sous-traitant coopère avec le Responsable pour que ce dernier puisse transmettre les informations nécessaires à la Cnil dans le respect des exigences légales ;
• le Sous-traitant coopère avec le Responsable pour informer les personnes concernées par la violation de données à caractère personnel conformément à l’article 34 du RGPD.

Article 9 – Demandes des parties intéressées

1. Toute demande d’accès, de rectification, d’effacement des données, de limitation ou d’opposition au traitement, ainsi que de portabilité des données, telle que visée aux articles 15 à 21 du RGPD que le Sous-traitant reçoit, doit immédiatement être transmise au Responsable.
2. Le Sous-traitant coopère avec le Responsable pour que celui-ci puisse se conformer à la demande visée à l’alinéa 1 ci-dessus dans les délais légaux impartis.
3. Le Responsable remboursera au Sous-traitant les coûts raisonnables que cette coopération implique.

Article 10 – Sous-traitants

1. Le Sous-traitant n’a pas le droit d’engager des sous-traitants pour traiter les données personnelles prévues dans le cadre de cet Avenant, à moins qu’il n’ait reçu une autorisation écrite préalable du Responsable.
2. Le Sous-traitant est responsable des actions des sous-traitants qu’il engage.
3. Si un de ses sous-traitants engage un sous-traitant, il est obligé de stipuler que ce nouveau sous-traitant devra remplir toutes les obligations imposées au Sous-traitant par le présent accord et conclura un accord avec les sous-traitants concernés conformément à cet accord.

Article 11 – Accès aux données personnelles

Le Sous-traitant veille à ce que le Responsable conserve à tout moment l’accès aux données personnelles pertinentes, même en cas de faillite ou de suspension des paiements.

Article 12 – Responsabilité et indemnité

1. Le Sous-traitant n’est pas responsable des dommages résultant de violations de ses obligations légales par le Responsable.
2. Le Responsable indemnise le Sous-traitant des réclamations de tiers et des frais encourus par le Sous-traitant à la suite d’une violation visée au paragraphe 1.
3. Le Responsable n’est pas responsable des dommages résultant de la violation de ses obligations légales par le Sous-traitant.
4. Le Sous-traitant indemnise le Responsable contre les réclamations de tiers et les frais encourus par le Responsable du fait d’une violation visée au paragraphe 3.

Article 13 – Résiliation et conséquences de la résiliation 

1. En cas de non-respect des obligations contractuelles par l’une ou l’autre des parties, le présent Avenant et le Contrat pourront être résiliés de plein droit, TRENTE (30) jours après l’envoi d’une lettre recommandée avec accusé de réception de mise en demeure restée infructueuse, et ce sans préjudice de tous dommages et intérêts qui pourraient être réclamés à la partie défaillante.
2. Le Sous-traitant devra transmettre à titre gratuit toutes les données personnelles qui lui ont été fournies au Responsable ou à un tiers prévu par le Responsable, ainsi que toutes ses données restantes et de celles de ses éventuels Sous-traitants.
3. À la demande du Responsable, le Sous-traitant met les données à caractère personnel qui lui sont fournies à disposition dans un format différent de celui dans lequel elles ont été fournies contre le paiement des frais raisonnables.
4. Après avoir transféré les données au Responsable, le Sous-traitant devra les détruire. 
5. Au lieu de transférer les données, le Responsable peut également demander au Sous-traitant de détruire les données.
6. La destruction des données visées au paragraphe 3 ne peut avoir lieu qu’après autorisation préalable écrite du Responsable.
7. Toutefois, les dispositions de l’article 4 restent pleinement en vigueur.                                      

Article 14 – Conséquences de la nullité ou de l’annulation

Si un article de l’Avenant est écarté ou réputé non écrit, cela n’affectera pas les autres dispositions de l’Avenant. L’article sera dans ce cas remplacé par une disposition qui se rapproche le plus de la volonté des parties lors de la conclusion de l’Avenant.

Article 15 – Loi applicable et tribunal compétent

1. La loi française s’applique à cet Avenant. 
2. Tous les litiges survenant dans le cadre du présent accord, qui ne peuvent être résolus à l’amiable, sont renvoyés devant le tribunal compétent.

Fait à Macouria Tonate, le 04 Juillet 2022

Un exemplaire est remis à chacune des parties.

Le client

Ecls coaching

___________________________
___________________________

Le sous-traitant 

Alison Vincent

___________________________
___________________________