Annexe Relative au Traitement des Données Personnelles
Cette Annexe fait partie intégrale des Conditions d’Utilisation de LumApps (ci-après dénommées les “Conditions”) pour le Traitement des Données Personnelles du Client (“Client” ou “Responsable de traitement”) entre l’entité LumApps partie aux Conditions (ci-après dénommée le « Sous-traitant » ou « LumApps ») et le Client.
Ensemble, les « Parties » ou individuellement, une « Partie ».
1. Définitions
Toutes les définitions utilisées dans l’Annexe ont le même sens que celles utilisées dans les Conditions, sauf disposition contraire de l’Annexe.
“Données Personnelles” désigne toute information relative à une personne physique identifiée ou identifiable partagée sur l’Application LumApps ;
“Évaluation d’impact sur la protection des données” signifie une évaluation par le Responsable de traitement de l’impact du Traitement envisagé sur la protection des Données Personnelles ;
“Lois applicables” signifie le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du Traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le “Règlement” ou le « RGPD »)
Responsable de Traitement, Sous-traitant, Personne concernée, Données Personnelles, violation de données personnelles, prennent la signification donnée dans le RGPD ;
“Sous-traitant ultérieur” désigne toute tierce partie désignée pour traiter les Données Personnelles au nom de LumApps en lien avec les présentes Conditions ;
« Traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation.
2. Données Personnelles
Le Traitement des Données Personnelles est décrit en Annexe 1.
3. Obligations du Sous-traitant
3.1. En ce qui concerne les Données Personnelles traitées dans le cadre de ses obligations en vertu du présent Annexe, LumApps doit :
(a) veiller à ce que son personnel, ou celui de ses éventuels Sous-traitant ultérieurs, autorisé à traiter les Données Personnelles, respecte la confidentialité ou soit soumis à une obligation légale appropriée de confidentialité ;
(b) traiter les Données Personnelles uniquement en conformité avec les instructions raisonnables données par le Responsable de traitement. Le Responsable du traitement et le Sous-traitant conviennent que la présente Annexe ainsi que l’utilisation des Services par le Client conformément aux Conditions, constituent les instructions complètes et finales du Responsable de traitement à LumApps en ce qui concerne le Traitement des Données Personnelles, un accord écrit préalable entre les Parties sera nécessaire pour les instructions supplémentaires en dehors du champ d’application de ces instructions ;
(c) si une instruction enfreint le RGPD, LumApps en informera immédiatement le Responsable de traitement. Une fois informé, le Responsable de traitement évaluera la situation et déterminera si l’instruction viole effectivement le RGPD. Si le Responsable de traitement persiste avec une instruction illégale, LumApps sera en droit de résilier l’Annexe et/ou la Commande ;
(d) si cela est requis, LumApps doit informer rapidement le Responsable de traitement avant de traiter les Données Personnelles, sauf si cela est interdit par la loi ;
(e) implémenter et maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre les violations ;
(f) ne traiter les Données Personnelles que sur instruction du Responsable de traitement, y compris en ce qui concerne les transferts des Données Personnelles vers des pays tiers à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le Sous-traitant est soumis ; dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
(g) sur demande écrite du Responsable de traitement, supprimer ou retourner les Données Personnelles (et toutes copies de celles-ci) au Responsable de Traitement, à la résiliation de la Commande, à moins que LumApps ne soit légalement tenu de conserver les Données Personnelles;
(h) mettre à la disposition du Responsable de traitement, la documentation raisonnablement nécessaire pour démontrer le respect de toutes ses obligations par des moyens appropriés;
(i) notifier le Responsable de traitement, après avoir pris connaissance d’une violation de données à caractère personnel concernant les Données Personnelles ;
(j) sur demande expresse du Responsable de traitement, aider le Responsable de traitement à réaliser des Évaluations d’impact sur la protection des données lorsque cela est nécessaire, et à consulter l’autorité de contrôle lorsque le résultat révèle l’existence d’un risque élevé qui ne peut être atténué ;
(k) aider le Responsable de traitement à respecter l’obligation d’adopter des mesures techniques et organisationnelles adéquates pour garantir la sécurité du Traitement.
4. Sous-traitance
4.1. Le Responsable de traitement autorise LumApps à faire appel à des sous-traitants externes (« Sous-traitants ultérieurs ») pour l’assister dans la fourniture des Services.
4.2. LumApps a actuellement désigné, en tant que Sous-traitants ultérieurs, les sociétés énumérées dans l’Annexe 1.
4.3. Le Sous-traitant informe le Responsable de traitement de toute intention d’ajouter ou de remplacer un Sous-traitant ultérieur dans un délai raisonnable avant la mise en œuvre de la modification. Le Responsable de traitement aura la possibilité de s’opposer à l’engagement d’un nouveau Sous-traitant ultérieur pour des motifs légitimes liés à la protection des Données Personnelles dans un délai de 10 jours après avoir été informé de ce changement. En cas d’objection, les Parties discuteront de bonne foi des préoccupations du Responsable de traitement en vue de parvenir à un accord amiable.
4.4. Dans le cas où le Sous-traitant souhaite sous-traiter les Données Personnelles à des Sous-traitants ultérieurs situés en dehors de l’Espace Economique Européen, le Responsable de traitement autorise d’ores et déjà le Sous-traitant à signer pour le compte du Responsable de traitement des clauses contractuelles types pour le transfert des Données Personnelles aux Sous-traitants ultérieurs dans des pays tiers en vertu de la décision 2010/87/UE de la Commission ou des clauses types équivalentes de protection des données en vertu du droit de l’UE.
4.5. Si LumApps engage un Sous-traitant ultérieur, il imposera à ce Sous-traitant ultérieur des conditions de protection des Données Personnelles au moins équivalentes au niveau de protection des Données Personnelles que celles du présent Annexe dans la mesure applicable à la nature des Services fournis par ces Sous-traitants ultérieurs. LumApps restera responsable du respect par chaque Sous-traitant ultérieur de ses obligations en matière de protection des Données Personnelles.
5. Audit
5.1 Le Sous-traitant permettra la réalisation d’audits, par le Responsable de traitement ou par un auditeur mandaté par le Responsable de traitement, conformément aux procédures suivantes:
(a) à la demande du Responsable de traitement, le Sous-traitant fournira au Responsable de traitement ou à son auditeur mandaté, les certifications et/ou le(s) rapport(s) d’audit(s) le(s) plus récent(s), que le Sous-traitant s’est procuré pour tester, évaluer et apprécier régulièrement l’efficacité des mesures techniques et organisationnelles, dans la mesure prévue par le présent Annexe ;
(b) le Sous-traitant assistera de façon raisonnable le Responsable de traitement en fournissant des informations supplémentaires concernant les mesures techniques et organisationnelles, afin d’aider le Responsable de Traitement à mieux comprendre ces mesures ;
(c) dans la mesure où il n’est pas possible de satisfaire autrement à un droit d’audit mandaté par la loi applicable ou expressément convenu par les Parties, seules les entités légalement mandatées (telles que l’autorité de contrôle à laquelle est soumise le Responsable de traitement), le Responsable de traitement ou son auditeur mandaté peuvent effectuer un audit moyennant le respect d’un préavis de quinze (15) jours ouvrés suivant notification écrite et dans la limite d’un audit maximum par an. Au cours de cet audit, le Sous-traitant s’engage à mettre à la disposition du Responsable de traitement les informations nécessaires pour démontrer le respect des obligations prévues au présent article. Le Responsable de traitement ne doit pas avoir accès aux systèmes, données, enregistrements ou autres informations relatives aux autres clients du Sous-traitant. Les audits relevant de l’application de l’Article 28.3 du RGPD, sont réalisés aux frais du Responsable de traitement. Le Sous-traitant se réserve le droit de facturer au Responsable de traitement des frais des services de support encourus en rapport avec l’audit en dehors du cadre ordinaire des activités, sur la base du temps passé et du matériel fourni. Le Responsable de traitement fournira au Sous-traitant une copie du rapport d’audit qui ne pourra pas être transmis à un tiers (sauf accord préalable écrit).
5.2. Tout auditeur mandaté par le Responsable de traitement ne doit pas être un concurrent direct du Sous-traitant et est soumis à une obligation de confidentialité.
6. Droits des Personnes Concernées
6.1. Le Sous-traitant s’engage à aider le Responsable de traitement à répondre à toute demande d’une Personne Concernée exerçant son droit en vertu du du RGPD, y compris le droit d’accès, de rectification ou de portabilité des données à caractère personnel, la demande ou la plainte d’une personne ou d’une autorité réglementaire en rapport avec le traitement des Données Personnelles. Si une demande de la Personne Concernée ou toute autre communication concernant le traitement des Données Personnelles en vertu du présent Annexe est faite directement à LumApps, LumApps informera rapidement le Responsable de traitement et conseillera à la personne concernée de soumettre sa demande au Responsable de traitement, qui est seul responsable de la réponse substantielle à de telles demandes ou communications.
6.2. Le Responsable de traitement s’engage à :
(a) documenter ses instructions relatives au Traitement des Données Personnelles ;
(b) fournir les informations relatives au Traitement pour remplir l’Annexe 1 « Cartographie des Données Personnelles » ;
(c) garantir au Sous-traitant qu’il a le droit et qu’il a obtenu tous les consentements nécessaires pour utiliser et communiquer les Données Personnelles au Sous-traitant et/ou aux Sous-traitants ultérieurs, en conformité avec le RGPD, telles que l’information préalable et/ou le recueil du consentement des Personnes Concernées lorsque ces exigences sont requises par cette législation.
ANNEXE 1 – Cartographie des Données Personnelles
Description | Détails |
---|---|
Objet | Utilisation des Services et autres services LumApps |
Opérations de Traitement |
|
Durée de l’opération | La durée de l’accord applicable, plus 3 mois afin de donner au client la possibilité de récupérer les données personnelles |
Catégories de données personnelles | Nom, adresse, titre, poste de travail, téléphone, adresse mail, adresse IP, noms d’utilisateur, mot de passe et toute autre donnée personnelle volontairement fournie par les utilisateurs de l’Application et/ou par le Client (exemple: lieu de travail, date de naissance, loisirs, numéro d’enregistrement RH, etc). |
Catégories de personnes concernées | Les utilisateurs tels que décrit dans le Bon de Commande ou dans les Conditions. |
Liste des sous-traitants et leur localisation | https://www.lumapps.com/fr/legal/sous-traitants-plateforme-lumapps/ |