TarifsBlog
Se connecter
Politique de confidentialité
abstract image

Saviez-vous qu'à l'origine d'Ataden, nous avions pour but d'aider les particuliers à préserver leur vie privée numérique ?
Vous l'aurez compris, nous prenons vos données personnelles très sérieusement aussi bien en amont pour les aspects marketing et commerciaux que lors de nos missions de stockage de vos données.
Ci-dessous la définition complète de notre engagement.

1. OBJET – DUREE DES TRAITEMENTS – CATEGORIES DE PERSONNES CONCERNEES

Au sens du RGPD, et pour la bonne application des présentes, le Client est qualifié de « Responsable de traitement » et le Prestataire est qualifié de « Sous-traitant de données personnelles ».

Dans le cadre de la fourniture de la Prestation, le Prestataire pourra avoir accès, en qualité de sous-traitant, à des données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel (ci-après dénommé « Règlement »). Le Prestataire pourra ainsi être amenée à procéder à des traitements de telles données pour le compte du Client, responsable de traitement, aux seules fins de fourniture des Prestations et pour la durée prévue au Contrat.

2. TABLEAU DES OPERATIONS DE TRAITEMENTS REALISEES

Nature des opérations de traitement

Accès, collecte, utilisation, sauvegarde, suppression

Finalité(s) de traitement

Exécution de la Prestation, notamment au cours des missions réalisées dans les locaux du Client

Catégories de Données Personnelles

Données d’identification:

- nom et prénom pour communiquer avec vous et pour la facturation

- adresse postale pour la facturation

- courriel pour les notifications liées aux services et à la vie de l'entreprise (configurable)

- numéro de téléphone pour communiquer avec vous (optionel)

- vos IPs de connexion


Données bancaires:

- type de moyen de paiement (carte ou RIB)

- expiration des moyens de paiement


Données d'usage :

- services utilisés / consommés

- pages visitées


Données de suivi de la relation Client :

- vos tickets de support

- communications avec vous

3. REGISTRE

Le Prestataire tient tous les registres requis et dont le contenu est défini par l’article 30(2) du Règlement et les met à disposition sur demande.

4. REFERENT A LA PROTECTION DES DONNEES PERSONNELLES

Le service responsable de la protection des Données personnelles du Prestataire peut être contacté à l’adresse e-mail figurant à l’article 26 des Conditions Générales de Vente.

5. OBLIGATIONS DU CLIENT VIS-A-VIS DU PRESTATAIRE

Le Client s’engage à :

  • respecter les obligations qui lui incombent en sa qualité de responsable de traitement, en vertu des dispositions du Règlement.
  • documenter par écrit toute instruction concernant le traitement des données par le Prestataire ;
  • fournir au Prestataire toute information nécessaire à la création du registre des activités de traitement du Prestataire. Le Client reste seul responsable du traitement des informations et instructions communiquées au Prestataire ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité du Prestataire tel que prévu au Contrat ;
  • veiller au préalable et pendant toute la durée du traitement au respect des obligations prévues par le Règlement de la part du Prestataire ;
  • s’engage à répondre dans un délai de quinze (15) jours à toute demande du Prestataire relative au traitement des données personnelles dans le cadre de la fourniture de la Prestation.

6. OBLIGATIONS DU PRESTATAIRE VIS-A-VIS DU CLIENT

Le Prestataire garantit qu’il met en œuvre toutes les mesures nécessaires pour préserver la sécurité, l’intégrité, la disponibilité, la résilience et la confidentialité de ces données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat. Aussi, le Prestataire s’engage à prendre toutes les mesures requises en vertu de l’article 32 du Règlement et notamment les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, d’intégrité et de confidentialité, et notamment à :

  • ne traiter, consulter ces données à caractère personnel et fichiers que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou de la législation française ; dans ce cas, le Prestataire informera le Client de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  • ne pas traiter, consulter lesdites données à caractère personnel ou les fichiers dans lesquelles elles figurent à d’autres fins que l’exécution des Prestations qu’elle effectue pour le Client au titre du Contrat ;
  • ne pas insérer dans les traitements de données à caractère personnel des données étrangères auxdits traitements ;
  • prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel et des fichiers ;
  • prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;
  • prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;
  • s’interdire la consultation et le traitement des données à caractère personnel autres que celles concernées par les présentes et ce, même si l’accès à ces données à caractère personnel est techniquement possible ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent par écrit à respecter la confidentialité de ces dernières ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;
  • ne pas prendre copie ou stocker, quelles qu'en soit la forme et la finalité, tout ou partie desdites données à caractère personnel contenues sur les supports ou documents qui lui ont été confiés ou recueillies par lui au cours de l'exécution du Contrat (outre les opérations techniques strictement nécessaires à l’exécution du Contrat).

7. COLLABORATION

Le Prestataire s’engage également à coopérer avec le Client en vue :

  • de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecter ses obligations en vertu du Règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que le Prestataire fournira au regard du respect de telles obligations ;
  • du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;
  • du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel. Le Prestataire notifiera par tous moyens écrits au Client toute violation de données personnelles dans les plus brefs délais après en avoir pris connaissance, et au plus tard dans un délai de 72 heures. La notification (i) décrira la nature de l’incident, (ii) décrira les conséquences probables de l’incident, (iii) décrira les mesures prises ou proposées par Le Prestataire et/ou son Sous-traitant ultérieur en réponse à l’incident et (iv) précisera qui est l’interlocuteur chez le Prestataire.
  • d’informer dans les meilleurs délais le Client si, selon lui, une instruction constitue une violation du Règlement ou d’autres dispositions du droit de l’Union européenne ou du droit des Etats membres relatives à la protection des données ;
  • de la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client.

8. SOUS-TRAITANTS ULTERIEURS

Aux termes des présentes, le Prestataire peut faire appel à un autre sous-traitant (ci-après « le Sous-traitant ultérieur ») pour lui confier tout ou partie des missions qui lui sont confiées au titre du Contrat. Le Client est informé par tout moyen de l’identité, des coordonnées ainsi que des activités confiées au Sous-traitant ultérieur. Les éventuels changements de Sous-traitants ultérieurs seront notifiés dans les meilleurs délais au Client.

Le Sous-traitant ultérieur est tenu de respecter les obligations du Contrat pour le compte et selon les instructions du Client. À ce titre, le Prestataire s’engage à répercuter l’ensemble de ses obligations au Sous-traitant ultérieur et à vérifier qu’il présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles, de manière à ce que le traitement de données personnelles réponde aux exigences de la Règlementation.

9. SECURITE ET CONFIDENTIALITE

Au titre de la sécurité et de la confidentialité des données personnelles, le Prestataire s’engage à (i) garder les données personnelles strictement confidentielles, (ii) mettre en œuvre au sein de ses services en ce compris son infrastructure d’Hébergement, les mesures organisationnelles et techniques appropriées afin de protéger les données personnelles, et (iii) établir, maintenir et fournir sur demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en place des mesures techniques et organisationnelles appropriées, afin d'assurer un niveau de sécurité adapté aux risques, incluant notamment, selon les besoins ;

  • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à ces dernières en temps utile en cas d’incident physique ou technique ; et
  • une procédure permettant de tester, d’analyser et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles, afin d’assurer la sécurité du traitement.

Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite. Les Parties prendront des mesures pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de sa part, sauf si elle est tenue de les traiter par le droit de l'Union ou d'un État membre.

10. CONTROLE ET AUDIT

Le Client se réserve le droit de procéder, à ses frais, à toute vérification qui lui paraîtrait utile pour constater le respect par le Prestataire de ses obligations au titre des présentes, notamment au moyen d’audits ou d’inspections. Ces vérifications pourront être réalisées maximum une fois par an, par le Client lui-même ou par un tiers qu’il aura sélectionné, missionné et mandaté à cette fin, non concurrent du Prestataire. Dans ce cadre, le Prestataire mettra à la disposition du Client ou dudit tiers les informations nécessaires pour apporter la preuve du respect des obligations prévues au sein du présent Contrat, et s’engage à contribuer auxdites vérifications. Les audits doivent permettre une analyse du respect par le Prestataire des présentes et des dispositions applicables en matière de protection des données à caractère personnel, et notamment de s’assurer que des mesures techniques et organisationnelles de sécurité et de confidentialité adéquates sont mises en œuvre, qu’elles ne peuvent pas être contournées sans que cela ne soit détecté et que, dans une telle hypothèse ou dans toute autre hypothèse de survenance d’une violation de données à caractère personnel, une procédure de notification et de traitement par le Prestataire est mise en œuvre afin d’y remédier sans délai. Plus généralement, chacune des Parties garantit à l’autre le respect des obligations légales et règlementaires lui incombant en matière de protection des données à caractère personnel.

11. TRANSFERT DES DONNEES

Par principe, les données collectés par le Prestataire n’ont pas vocation à être transférées en dehors de l’Union Européenne. Toutefois, dans l’hypothèse où le Prestataire et/ou ses Sous-traitants Ultérieurs étaient amenés à procéder à des traitements de données personnelles en dehors de l’Union Européenne dans le cadre de la réalisation des Prestations, le Prestataire veillera en tout état de cause à ce que ce transfert soit opéré vers un pays ayant fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, ou à défaut, qu’un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

12. DONNEES PERSONNELLES SENSIBLES

Le Client s’engage à recueillir, conformément au Règlement et à la loi « Informatique et libertés », le consentement des personnes dont il est amené à recueillir ou traiter des Données personnelles sensibles, et plus généralement à satisfaire à toutes les obligations relatives à cette catégorie de Données personnelles, afin que le Prestataire ne puisse jamais être inquiété à ce sujet.

13. RESPONSABILITE

En toute hypothèse, il est rappelé que les Prestations fournies par le Prestataire constituent un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité du Prestataire en matière de conformité à la réglementation est strictement limitée au périmètre des Prestations opérées par ses soins. Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité. En aucun cas la responsabilité du Prestataire ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des services, des finalités poursuivies et des traitements mis en œuvre par ses soins ou à sa demande.