Le présent Accord fait partie intégrante des conditions générales de vente ("Conditions générales") ou de tout autre accord (les conditions générales de vente, les conditions particulières ou tout autre accord sont ci-après dénommés "le Contrat") conclu entre SMSFactor tel que défini dans l'accord respectif ("SMSFactor" ou “Sous-Traitant) et vous ("Partenaire" ou “Responsable de Traitement”). Le présent Accord complète les termes du Contrat conclu entre SMSFactor et le Partenaire ; en cas de conflit entre l'accord et le présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.
Le présent Accord définit les conditions dans lesquelles le Sous-Traitant effectue pour le compte du Responsable du Traitement des opérations de traitement de données à caractère personnel, conformément à la réglementation applicable aux traitements de données à caractère personnel applicable en France (ci-après la « Réglementation applicable »), principalement composée du Règlement 2016/679 du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») et de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
2.1. Définitions
Lorsque des termes définis dans la Réglementation applicable figurent dans le présent Accord (par exemple autorité de contrôle, donnée à caractère personnel, personne concernée ou violation) ils s’entendent comme dans la Réglementation applicable.
2.2. Coordonnées des DPO
Le Sous-Traitant a désigné un DPO, qui peut être contacté aux coordonnées suivantes : [email protected]
Les communications prévues au sein du présent Accord devront en priorité être réalisées auprès des DPO et de l’interlocuteur privilégié.
3.1. Description du ou des traitements
Le présent Accord est applicable aux opérations de traitement suivantes :
| Nature du Traitement | La nature des opérations réalisées sur les données est : collecte d’information de connexions, analyse automatisée des messages, transfert des données (message, numéro de téléphone) aux opérateurs, historisation avec durée paramétrable par le client. |
| Finalité(s) du Traitement | Les services de traitement de données personnelles fournis par le Sous-Traitant sont opérés pour assurer la sécurité, l’analyse antifraude, l’envoi du sms à l’opérateur de l’utilisateur final, l’analyse des taux de livraison. |
| Objet du Traitement | Le Sous-Traitant est autorisé à traiter pour le compte du Responsable du Traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : envoi de sms. |
| Catégorie(s) de données à caractère personnel | Les données personnelles traitées seront : le numéro de téléphone et toute autre donnée personnelle contenue dans les messages sms adressés à la demande du Responsable du Traitement.
Rappel : si le Responsable du Traitement intègre d’autres données, et plus particulièrement des données sensibles au sein du message sms, il doit prendre les mesures adéquates et donner des instructions adéquates au Sous-traitant. Rappel : si le Responsable du Traitement intègre des données sensibles au sein du message sms, il doit prendre les mesures adéquates et donner des instructions adéquates au Sous-traitant. |
| Catégorie(s) de personnes concernées / personnes dont les données personnelles sont traitées | Les personnes concernées par le traitement sont : les contacts transmis par le Responsable du Traitement afin d’envoyer le message demandé. |
| Durée de conservation | Le Responsable du Traitement détermine directement la durée de conservation pour chaque finalité au sein de l’outil de gestion sur la plateforme du Sous-traitant. |
3.2. Responsabilités
Le Sous-traitant traite les données pour le compte du Responsable du Traitement, conformément au présent Accord, à ses annexes, ou à toute autre instruction donnée par le Responsable du Traitement.
Le Responsable du Traitement s’engage à :
a. Traiter les données personnelles conformément aux exigences de la législation sur la protection des données. Le partenaire est seul responsable de l’exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels il les a acquises. En particulier, le Responsable du Traitement s’engage à veiller au respect des obligations à sa charge telles que l’information fournie aux personnes concernées relative au traitement de leurs données et, le cas échéant, le recueil de leur consentement ;
b. Fournir au Sous-Traitant les données à caractère personnel objet du traitement (notamment en téléchargeant les données au sein de la plateforme du Sous-Traitant ou par transfert API) ;
c. Documenter toute instruction concernant le traitement des données à caractère personnel par le Sous-Traitant.
5.1. Instructions détaillées
Le Sous-Traitant ne traite les données à caractère personnel que sur instruction documentée du Responsable du Traitement. Le Sous-Traitant informe le Responsable du Traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Responsable du Traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.
Lorsque le Sous-traitant estime raisonnablement qu’une instruction du Responsable du Traitement est contraire à : (a) aux lois et règlements applicables ou (b) aux dispositions de l’Accord, le Sous-Traitant s’efforcera d’en informer le Partenaire, et est autorisé à différer l’instruction concernée jusqu’à ce qu’elle ait été modifiée par le Responsable du Traitement pour permettre au Sous-Traitant de s’assurer de la légalité de cette instruction, ou jusqu’à ce que le Responsable du Traitement et le Sous-Traitant aient mutuellement convenu de la légalité de cette instruction.
5.2. Documentation et audit
Le Sous-Traitant met à la disposition du Responsable du Traitement, dans un délai de 15 jours après demande, toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Accord.
Le Responsable du Traitement peut effectuer un audit afin de vérifier que le Sous-Traitant respecte ses obligations énoncées dans l’article 28 du RGPD et dans le présent Accord. Le Sous-Traitant autorise le Responsable du Traitement à effectuer l’audit dans les conditions suivantes :
a. Le Responsable du Traitement doit demander au Sous-traitant de réaliser l’audit par le biais d’une notification écrite au moins 30 (trente) jours à l’avance ;
b. Le Responsable du Traitement précisera les modalités de l’audit dans la notification visée au point (a) ;
c. L’audit n’aura lieu qu’une seule fois par an, maximum ;
d. Tous les coûts et dépenses associés à l’audit sont supportés par le Responsable du Traitement et remboursés au Sous-Traitant sur demande ;
e. L’audit ne peut pas durer plus de l’équivalent d’une journée de travail (8 heures) du représentant du Sous-Traitant.
Dans le cas où le Responsable du Traitement demande l’audit par l’intermédiaire d’un tiers indépendant (auditeur externe agréé), le Sous-Traitant peut s’opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l’audit si l’auditeur n’est, selon l’avis raisonnable du Sous-Traitant, pas suffisamment qualifié ou indépendant, s’il est un concurrent du Sous-Traitant, ou s’il est manifestement inadapté pour d’autres raisons. Une telle objection obligera le Responsable du Traitement à nommer un autre auditeur. Si le Responsable du Traitement a besoin de plus d’un seul audit au cours d’une année civile, il doit obtenir l’autorisation écrite préalable du Sous-Traitant, supporter les coûts liés à ces audits et rembourser au Sous-Traitant tous les coûts raisonnablement encourus pour ces audits.
Le Sous-Traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement objet du présent Accord adapté au risque.
Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.
Les mesures de sécurité sont détaillées dans l’annexe I du présent Accord.
Le Sous-traitant s’assure que ses Collaborateurs chargés du traitement des données personnelles sont informés de leurs obligations et responsabilités en vertu de la Réglementation relative à la protection des données personnelles, qu’ils ont reçu une formation appropriée et qu’ils sont informés de la nature confidentielle des données personnelles. Le terme “Collaborateurs” désigne les salariés, agents, consultants, sous-traitants ou autre tiers :
a. Qui sont engagés par le Sous-traitant afin qu’il puisse remplir ses obligations envers le Responsable du Traitement en vertu du présent Accord ; et
b. Qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle prévue par le présent Accord.
Le Sous-Traitant veille à ce que l’accès des Collaborateurs aux données personnelles soit limité à ceux qui exécutent les services souscrits par le Responsable du Traitement.
Le Sous-Traitant ne peut autoriser un tiers (Sous-traitant ultérieur) à traiter les données personnelles qu'avec l'Accord préalable du Responsable du Traitement et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du Sous-traitant ultérieur concernant les données personnelles soient rédigées dans des termes qui sont substantiellement les mêmes que celles énoncées dans le présent Accord. Aux fins des présentes, les organismes suivants sont approuvés par le Responsable du Traitement en signant le présent Accord : (i) les Sous-Traitants ultérieurs énumérés à l'annexe II des présentes et (ii) les sociétés affiliées du Sous-Traitant.
Le Sous-Traitant peut, pendant la durée de l'Accord, impliquer de nouveaux Sous-Traitants dans le Traitement, à condition que ces Sous-Traitants n'accèdent et n'utilisent les Données Personnelles qu’aux fins nécessaires à l'exécution des obligations qui leur sont sous-traitées.
Le Responsable du Traitement peut s’opposer à l’utilisation par le Sous-Traitant d’un Sous-Traitant ultérieur en notifiant SMSFactor par écrit dans les 60 (soixante) jours ouvrables suivant la réception de la notification et en précisant les lacunes. Si le partenaire s'oppose à un nouveau sous-traitant ultérieur, le Sous-Traitant s'efforcera d'ajouter des garanties supplémentaires couvrant les lacunes spécifiées ou de changer le sous-traitant ultérieur ; si le Sous-Traitant n’est pas en mesure de le faire dans un délai raisonnable, qui n'excède pas trente (30) jours, le partenaire peut résilier uniquement la partie des services qui ne peut être fournie par le Sous-Traitant sans l'utilisation du nouveau sous-traitant ultérieur en opposition, en adressant une notification écrite au Sous-Traitant. Le Sous-Traitant remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui constitue le seul et unique recours du partenaire en ce qui concerne l'introduction du nouveau sous-traitant.
Tout transfert de données vers un pays tiers ou une organisation internationale par le Sous- Traitant n’est effectué que sur la base d’instructions documentées du Responsable du Traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le Sous-Traitant est soumis et s’effectue conformément à la Réglementation applicable.
Le Responsable du Traitement convient que lorsque le Sous-Traitant recrute un sous- traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du Responsable du Traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel, le Sous-Traitant et le sous-traitant ultérieur peuvent garantir le respect de la Réglementation applicable notamment en utilisant les clauses contractuelles types adoptées par la Commission, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.
10.1. Droits des personnes concernées
a. Notification de demandes: Le Sous-Traitant s'engage à notifier par écrit au Responsable du Traitement, dans un délai raisonnable et commercialement acceptable, toute demande reçue directement d'une personne concernant :
10.2. Violations de données
En cas de violation de données à caractère personnel, le Responsable du Traitement :
a. Notifie sans retard excessif et, si possible, au plus tard 72 heures après en avoir pris connaissance, la violation de données à caractère personnel à la CNIL, sauf si la violation de données à caractère personnel n'est pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques ;
b. Communique sans délai indu la violation des données personnelles à la personne concernée, lorsque la violation des données personnelles est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ;
Le Sous-traitant notifie au Responsable du Traitement, sans retard injustifié après en avoir pris connaissance, ladite violation. La notification du Sous-traitant au Responsable du traitement a lieu, si possible, dans les 24 heures après que le Sous-traitant a pris connaissance de la violation de données à caractère personnel afin de permettre au Responsable du traitement de se conformer à l'obligation du Responsable du traitement de notifier la violation de données à caractère personnel à la CNIL, cf. article 33 du RGPD.
Conformément à la clause 9, paragraphe 2, point a), le Sous-traitant doit assister le Responsable du Traitement dans la notification de la violation de données à caractère personnel à la CNIL, ce qui signifie que le Sous-traitant est tenu d'aider à obtenir les informations énumérées ci-dessous qui, conformément à l'article 33, paragraphe 3, du RGPD, doivent être mentionnées dans la notification du Responsable du Traitement à la CNIL :
10.3. Assistance
En cas de violation de données à caractère personnel, le Responsable du Traitement :
Le Sous-Traitant doit aider le Responsable du Traitement à remplir ses obligations de :
a. Procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel (« analyse d’impact relative à la protection des données ») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques, conformément à l’article 35 du RGPD.
b. Consulter l’autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le Responsable du Traitement ne prenait pas de mesures pour atténuer le risque, conformément à l’article 36 du RGPD.
c. Se soumettre aux différentes opérations de contrôle de conformité effectuées par l’autorité de contrôle compétente/les autorités de contrôle compétentes.
À la suite de la résiliation du contrat, le Sous-Traitant supprime, à la demande du Responsable du Traitement, toutes les données à caractère personnel traitées pour le compte du Responsable du Traitement, ou renvoie toutes les données à caractère personnel au Responsable du Traitement et détruit les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps.
Description des mesures techniques et organisationnelles mises en œuvre par le Sous-Traitant (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
SMSFactor met en œuvre des mesures de sécurité équivalentes à celles requises en vertu de l'Accord et de tout document auxiliaire conclu conformément à l'Accord. Les mesures de sécurité mises en œuvre sont disponibles sur demande à l'adresse suivante : [email protected]
La liste des sous-traitants agréés de SMSFactor est disponible sur demande à l'adresse suivante : [email protected]