La présente annexe (ci-après dénommée « DPA » en référencement à l’acronyme de l’appellation anglaise « Data Processing Agreement ») fait partie intégrante du contrat (le « Contrat ») conclu entre Adion S.A.S. (« Adion ») et le Client, et ayant pour objet de définir les conditions applicables aux Services fournis par Adion (les « Services »). Le DPA et le Contrat sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, le DPA prévaut.
Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans le Contrat.
Les termes « Règles d’entreprise contraignantes », « Responsable du traitement », « Données », « Violation de données », « Traitement », « Sous-traitant » et « Autorité de contrôle » ont le sens qui leur est donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ("Règlement général sur la protection des données" ou "RGPD").
La présente partie a pour objet de définir, conformément à l’article 28 du RGPD, les conditions dans lesquelles Adion, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite des Données à caractère personnel sur instruction du Client.
Aux fins de la présente partie, le Client est présumé agir en qualité de Responsable du traitement. Si le Client agit en tant que Sous-traitant pour le compte d’un tiers Responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :
Le Client doit s’assurer que:
Adion:
Adion est autorisé, en tant que Sous-traitant agissant selon les instructions du Client, à traiter les Données à caractère personnel du Responsable du traitement dans la mesure nécessaire à la fourniture des Services.
La nature des opérations menées par Adion concernant les Données à caractère personnel peut être le calcul de données, le stockage et/ou tout autre Service tel que décrit dans le Contrat.
Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.
Les activités de traitement sont effectuées par Adion pour la durée prévue au Contrat.
Le Client est seul responsable du choix des Services. Le Client doit s’assurer que les Services choisis ont les caractéristiques et les conditions requises compte tenu des activités et traitements du Responsable du traitement, ainsi que du type de Données à caractère personnel à traiter dans le cadre des Services, notamment, mais non-limitativement, lorsque les Services sont utilisés pour traiter des Données à caractère personnel soumises à des réglementations ou des normes spécifiques (par exemple, dans certains pays, des données relatives à la santé ou des données bancaires). Le Client est informé que Adion propose certains Services intégrant des mesures techniques et organisationnelles, notamment en matière de sécurité, spécifiquement conçues pour le traitement de données de santé ou de données bancaires.
Si le traitement effectué par le Responsable du traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le Client doit choisir ses Services avec précaution. Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques ; prise de décision automatisée ayant des effets juridiques ou pouvant affecter de manière significative la personne concernée ; suivi systématique des personnes concernées ; traitement de catégories particulières de données ou de données sensibles ; traitement à grande échelle ; croisement de données ; combinaison de données ; traitement de données concernant des personnes vulnérables ; utilisation de nouvelles technologies innovantes méconnues du public pour le traitement.
Adion met à la disposition du Client, dans les conditions prévues à l’article "Audits", les informations relatives aux mesures de sécurité mises en œuvre dans le cadre des Services, afin qu’il puisse évaluer la conformité de ces mesures aux traitements de données personnelles du Responsable du traitement.
Chaque partie respecte la réglementation applicable en matière de protection des données (y compris le Règlement Général sur la Protection des Données).
Adion s’engage à :
Sur demande écrite du Client, Adion fournit au Client une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données et la consultation de l’autorité de contrôle compétente, dans la mesure où le Client est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux traitements de Données à caractère personnel opérés par Adion en vertu du Contrat. Cette assistance consiste à assurer la transparence des mesures de sécurité mises en œuvre par Adion pour ses Services.
Adion s’engage à mettre en place les mesures techniques et organisationnelles suivantes :
Ces mesures techniques et organisationnelles sont détaillées sur le Site Internet de Adion.
Si Adion a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès non autorisé, perte, divulgation ou altération de données), Adion en informe le Client dans les meilleurs délais.
La notification doit :
Lorsque les Services permettent au Client de stocker des Contenus et notamment des Données à caractère personnel, la ou les localisation(s), ou zone(s) géographique(s) du ou des centre(s) de donnée(s) disponible(s) sont précisées sur le Site Internet de Adion. Si plusieurs localisations ou zones géographiques sont disponibles, le Client sélectionne celle(s) de son choix au moment de la Commande.
Les Données à caractère personnel stockées par le Client dans le cadre des Services ne sont en aucun cas transférées vers des pays n’étant pas reconnus par la Commission Européenne comme offrant un niveau adéquat de protection des données à caractère personnel (« Décision d’adéquation »), sauf :
Sans préjudice des dispositions qui précèdent concernant la localisation des centres de données, Adion ainsi que les Sous-traitants autorisés conformément à la section 7 ci-dessous, peuvent, à l’exclusion des entités localisées aux Etats-Unis d’Amérique, traiter à distance les Données à caractère personnel objet de la présente partie si cela est nécessaire à l’exécution des Services, en particulier, afin d’assurer la sécurité des Services ou de gérer des incidents.
Si, en application du Contrat, des Données à caractère personnel objet de la présente partie sont transférées en dehors de l’Union européenne vers un pays qui ne fait pas l’objet d’une Décision d’adéquation, ou accessibles à distance depuis un tel pays, un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°210/87/EU de la Commission européenne du 5 février 2010 (les « Clauses Contractuelles Types ») ou, à la discrétion de Adion, toute autre garantie appropriée prévue au chapitre V «Transferts de données à caractère personnel vers des pays tiers ou des organisations internationales » du RGPD est mise en œuvre. Par la présente, le Client donne à Adion un mandat lui permettant de conclure les clauses contractuelles types susmentionnées avec l’importateur de données, au nom et pour le compte de l’exportateur de données et déclare disposer de toutes les autorisations nécessaires.
Lorsque les Clauses Contractuelles Types sont mises en œuvre, les conditions suivantes s’appliquent :
Si la responsabilité de l'importateur de données est engagée du fait du non-respect des obligations qui lui incombent en vertu des Clauses Contractuelles Types, toutes les dispositions du Contrat relative à la responsabilité, notamment, mais non-limitativement, la section « Responsabilité » de la présente Annexe, sont pleinement applicables entre l'importateur de données et l'exportateur de données.
Le paragraphe précédent a pour objet de spécifier les modalités selon lesquelles les Parties conviennent d'appliquer les Clauses Contractuelles Types et non de déroger ou d'entrer en conflit avec celles-ci. En cas de conflit, les Clauses Contractuelles Types signées prévalent.
Le Responsable du traitement doit accomplir toutes les formalités et obtenir toutes les autorisations nécessaires (y compris, le cas échéant, auprès des personnes concernées et des autorités compétentes en matière de protection des données) pour transférer des données à caractère personnel dans le cadre du Contrat.
Sous réserve des dispositions de la section "Localisation et transfert des Données à caractère personnel" ci-dessus, Adion est autorisé à recourir à des Sous-traitants pour l’assister dans la fourniture des Services. Dans le cadre de cette assistance, les Sous-traitants peuvent participer aux activités de traitement des Données à caractère personnel effectuées par Adion sur instruction du Client.
La liste des sous-traitants susceptibles d’intervenir dans le cadre des traitements de données à caractère personnel réalisés par Adion sur instruction du Client (« Sous-traitants ultérieurs »), ainsi que leur localisation et les Services concernés, sont détaillés :
Si Adion décide de changer de Sous-traitant ultérieur ou d’ajouter un nouveau Sous-traitant ultérieur (« Changement de Sous-traitant »), Adion en informe le Client par courrier électronique (à l’adresse e-mail enregistrée dans le compte client) :
Adion veille à ce que ses Sous-traitants ultérieurs soient, au minimum, en mesure de remplir les obligations mises à la charge de Adion dans le présent Contrat concernant le traitement des Données à caractère personnel effectué par le Sous-traitant ultérieur. À cette fin, Adion conclut un accord avec le Sous-traitant ultérieur. Adion reste vis-à-vis du Client entièrement responsable de l’exécution de toute obligation que le Sous-traitant ultérieur ne remplit pas.
Adion est expressément autorisé à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des gestionnaires de points d’interconnexion de réseaux ou des centres de données colocalisés, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer le Client ou obtenir son autorisation préalable, dans la mesure où ces fournisseurs tiers ne traitent pas les Données à caractère personnel objet de la présent partie
Pour le traitement des Données à caractère personnel conformément au Contrat, le client doit fournir à Adion par écrit :
Le Client reste seul responsable du traitement des informations et instructions communiquées à Adion.
Le Client a la responsabilité de s’assurer que :
Le Client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité de Adion tel que prévu au Contrat (notamment tous les systèmes et logiciels déployés et exploités par le Client ou les Utilisateurs au sein des Services).
Le Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.
Adion fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à :
Le Responsable du traitement est seul responsable des réponses à ces demandes.
Le Client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de Adion, cela pourra être facturé au Client à condition de le lui notifier et d’obtenir son accord au préalable.
À la fin du Service (notamment en cas de résiliation ou de non-renouvellement), Adion s’engage à supprimer dans les conditions prévues au Contrat, tout Contenu (notamment les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement.
Le Client est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des Services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des Services.
À cet égard, le Client est informé que la résiliation et l’expiration d’un Service pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour ou de réinstallation des Services, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, ce compris toute sauvegarde potentielle.
Adion ne peut être tenu responsable que des dommages causés par un traitement pour lequel :
Lorsque Adion et le Client sont impliqués dans un traitement dans le cadre du présent Contrat qui a causé un dommage à une personne concernée, le Client prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à Adion la part de la réparation correspondant à la part de responsabilité de Adion dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par le Contrat demeurent applicables.
Adion met à la disposition du Client toutes les informations nécessaires pour :
Ces informations sont disponibles dans la documentation standard sur le site internet de Adion. Des informations supplémentaires peuvent être communiquées au Client sur demande faite au Support Adion.
Si un Service est certifié, qu’il respecte un code de conduite ou fait l’objet de procédures de contrôles spécifiques, Adion met à disposition, sur demande écrite du Client, les certificats et rapports des contrôles correspondants.
Si les informations, les rapports et les certificats susmentionnés s’avèrent insuffisants pour permettre au Client de démontrer que les obligations prévues par le RGPD sont remplies, Adion et le Client se réunissent alors pour convenir des conditions opérationnelles, sécuritaires et financières d’une inspection technique sur site. En toutes hypothèses, les conditions de cette inspection ne doivent pas affecter la sécurité des autres clients de Adion.
L’inspection sur site susmentionnée, ainsi que la communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable.
Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible sur le Site Internet de Adion est considérée comme une information confidentielle de Adion en vertu du Contrat. Avant de communiquer ces informations, Adion peut exiger la signature d’un accord de confidentialité spécifique.
Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter Adion au sujet de toute divulgation requise.
Pour toutes questions concernant ses données à caractère personnel (incident, conditions d’utilisation, etc.), le Client peut contacter Adion par l’un des moyens suivants :
Par courrier postal à l’adresse : Adion SAS, Délégué à la Protection des Données, 97 Rue Reguelongue, 31100 Toulouse (France).
La présente partie a pour objet de définir les conditions dans lesquelles Adion traite en exécution du Contrat des données à caractère personnel en qualité de responsable de traitement.
Dans le cadre de l’exécution du Contrat, des données à caractère personnel relatives au Client et à l’utilisation des Services sont traitées par Adion en qualité de responsable de traitement afin de :
Les données ainsi traitées par Adion sont :
Ces traitements sont réalisés conformément à la réglementation en vigueur, notamment le RGDP, et la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la Loi n°2019-828 du 6 août 2019.
Les Sociétés Apparentées de Adion peuvent participer aux activités de traitement de données susmentionnées et Adion peut avoir recours à des prestataires tiers tels que des services de sécurité, fournisseurs réseaux, prestataires de services paiement, et autres prestataires de services (courrier, emailing, enquêtes, transporteurs, analyses marché, analyses d’activités des sites web du groupe Adion, etc.) intervenant en qualité de sous-traitants et agissant sur instruction de Adion. Dans ce cas, un contrat conforme à la réglementation en vigueur est établi entre Adion et le sous-traitant, et des mesures techniques et organisationnelles appropriées sont mises en place conformément aux articles 28 et 32 du RGPD.
Lorsque des données à caractère personnel sont transférées (y compris en cas d’accès à distance) vers un pays tiers à l’Union Européenne qui ne fait pas l’objet d’une Décision d’Adéquation, des garanties appropriées conformes au Chapitre V du RGPD sont mises en place notamment, au choix de Adion, un contrat conforme aux clauses contractuelles types de protection des données adoptées par une autorité de protection des données et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93(2) du RGPD ou adoptées par la Commission en conformité avec la procédure d’examen visée au même article, ou des Règles d’entreprise contraignantes approuvées par l’Autorité de contrôle compétente.
Les conditions des traitements de données susvisés sont détaillées sur le site Internet de Adion. Adion met régulièrement à jour ces conditions et communique sur le contenu desdites mises à jour.
Adion s’engage à ne pas utiliser les données précitées à des fins non-compatibles à celles évoquées au présent article, étant toutefois précisé que Adion peut devoir communiquer lesdites données en réponse à des requêtes ou décisions d’autorités telles que les autorités judiciaires ou administratives. Dans ce cas, Adion s’engage à en informer le Client (sauf si ceci n’est pas autorisée par la loi ou par l’autorité requérante), et à limiter la communication aux seules données requises.
Nonobstant ce qui précède, Adion se réserve le droit de procéder à l’anonymisation des Données objet de la présente partie. Les données ainsi anonymisées sont conservées et traitées sous cette forme à quelque fin que ce soit (notamment mais non limitativement à des fins statistiques, de développement et d’amélioration des Services, d’analyse marketing ou de développement commercial, etc.).
Conformément au RGDP, l’Utilisateur dispose du droit d’effectuer un recours auprès de l’autorité de protection des données. Le Client dispose également du droit d’accéder aux Données à caractère personnel susvisées le concernant, du droit de les rectifier, d’en demander la suppression et la portabilité, ainsi que du droit de limiter ou de s’opposer à certains de leurs traitements.
Ces droits peuvent être exercés en utilisant le formulaire prévu à cet effet sur le Site Internet de Adion, ou par courrier postal à l’adresse : Adion SAS, Délégué à la Protection des Données, 97 Rue Reguelongue, 31100 Toulouse (France). Chaque demande doit être impérativement accompagnée d’un justificatif d’identité. Il y sera répondu dans un délai de trente (30) jours suivant réception.