Règlement général sur la protection des données (RGPD)

Imprimer

  1. Objectif

    Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s'engage à réaliser pour le compte du responsable de traitement les traitements de données à caractère personnel définis ci-après. Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable aux traitements de données à caractère personnel et notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. applicable à compter du 25 mai 2018 (ci-après, " le règlement européen sur la protection des données ").

  2. Description du traitement faisant l'objet de la sous-traitance

    Le sous-traitant est autorisé à traiter, pour le compte du responsable du traitement, les données à caractère personnel nécessaires à la fourniture des services décrits ci-dessous :

    Service Vérification des documents d'identité (carte d'identité, passeport, titre de séjour) et autres documents personnels (RIB, justificatif de domicile, bulletin de salaire, avis d'imposition, permis de conduire, etc.)
    Nature des opérations Capture de l'image du document, réception, extraction des données du document, contrôle sur la base de règles définies, retour des résultats du contrôle.
    Finalité du traitement Vérification des documents communiqués par les clients finaux.
    Catégories de personnes concernées Clients finaux
    Informations mises à la disposition du sous-traitant par le responsable du traitement pour l'exécution du service couvert par le présent contrat Image de la pièce d'identité ou du document, éventuellement acquise directement auprès du client final.
    Service Reconnaissance faciale pour identifier le titulaire du document d'identité
    Nature des opérations Capturez une photo de type selfie, recevez le selfie et comparez-le automatiquement avec le visage figurant sur le document d'identité.
    Finalité du traitement Vérification des documents communiqués par les clients finaux.
    Catégories de personnes concernées Clients finaux
    Informations mises à la disposition du sous-traitant par le responsable du traitement pour l'exécution du service couvert par le présent contrat Image de la carte d'identité et selfie du client final éventuellement acquis directement auprès du client final.

  3. Durée du contrat

    Le présent contrat est valable pendant la période de service définie dans le contrat.

  4. Obligations du sous-traitant à l'égard du responsable du traitement

    Le sous-traitant s'engage à :

    • Traiter les données uniquement pour la (les) seule(s) finalité(s) qui fait (font) l'objet de la sous-traitance

    • Traiter les données conformément à la description du service communiquée au responsable du traitement dans l'annexe au présent contrat. Si le sous-traitant est tenu de transférer des données à un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis, il doit informer le responsable du traitement de ses obligations légales avant le traitement, à moins que la loi concernée n'interdise une telle information pour des raisons importantes d'intérêt public.

    • Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat

    • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel dans le cadre du présent contrat :

      • s'engagent à respecter la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité
      • recevoir la formation nécessaire en matière de protection des données à caractère personnel

    • Sous-traitance : Le sous-traitant peut faire appel à un autre sous-traitant (ci-après "le sous-traitant ultérieur") pour effectuer des activités de traitement spécifiques. Dans ce cas, il informe le responsable du traitement à l'avance et par écrit de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable du traitement dispose d'un délai minimum de 15 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable du traitement n'a pas formulé d'objection dans le délai convenu.

    • Droit à l'information des personnes concernées : Selon que les informations sont collectées par le responsable du traitement ou par le sous-traitant, il incombe au responsable du traitement ou au sous-traitant, respectivement, de fournir les informations aux personnes concernées par les opérations de traitement au moment de la collecte des données.

    • Exercice des droits personnels : Dans la mesure du possible, le sous-traitant doit aider le responsable du traitement à remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).
      Lorsque les personnes concernées adressent au sous-traitant des demandes d'exercice de leurs droits, le sous-traitant doit envoyer ces demandes, dès leur réception, par courrier électronique à un contact au sein du responsable du traitement dont les coordonnées figurent dans l'annexe au contrat.

    • Notification des violations de données à caractère personnel : Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par courrier électronique envoyé à un contact au sein du responsable du traitement dont les coordonnées figurent en annexe du contrat. . Cette notification est accompagnée de toute documentation utile pour permettre au responsable du traitement, le cas échéant, de notifier cette violation à l'autorité de contrôle compétente.
      Après accord du responsable du traitement, le sous-traitant notifie à l'autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable du traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation en question n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.
      La notification contient au moins :

      • description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
      • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ;
      • description des conséquences probables de la violation de données à caractère personnel ;
      • une description des mesures prises ou que le responsable du traitement se propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer les conséquences négatives.
        S'il n'est pas possible de fournir toutes ces informations en même temps, et dans la mesure où il n'est pas possible de le faire, les informations peuvent être communiquées par étapes, sans retard injustifié.

    • Aide du sous-traitant dans le cadre du respect par le responsable du traitement de ses obligations : Le sous-traitant aide le responsable du traitement des données à effectuer :

      • les analyses d'impact relatives à la protection des données
      • consultation préalable de l'autorité de contrôle.

    • Mesures de sécurité : Le sous-traitant s'engage à mettre en œuvre les mesures de sécurité suivantes :

      • Les données personnelles stockées dans la base de données sont cryptées à l'aide de la norme AES256.
      • Les données stockées sous forme d'image sur le système de fichiers sont cryptées à l'aide de l'algorithme AES256.
      • Dès que les données ne sont plus nécessaires, elles sont immédiatement effacées.
      • Les traces techniques ne contiennent pas d'informations personnelles.
      • Les données en transit sont protégées par des connexions TLS.
      • L'accès externe au service est protégé par des équipements de sécurité dont les configurations sont périodiquement auditées.
      • Les données conservées dans la base de données (pendant la durée de leur traitement ou pendant leur période d'utilisation par le responsable du traitement) sont conservées dans une base de données répliquée, ce qui permet de reconstituer le service en cas de défaillance de l'un des nœuds. En cas de défaillance de tous les nœuds, un plan de continuité des activités est déclenché et utilise la dernière sauvegarde quotidienne des données cryptées.
      • Les nœuds de traitement des données sont redondants, de sorte que le service peut être fourni même en cas de défaillance de l'un des nœuds.
      • Le service dans son ensemble est supervisé en temps réel et un système d'alerte automatique est en place pour informer les administrateurs du système de toute anomalie dans la prestation du service.
      • L'accès aux serveurs est limité au personnel identifié. Toutes leurs actions sur ces serveurs sont enregistrées dans des journaux inaltérables.
      • Un audit annuel du service vérifie le respect des procédures et des mesures de vigilance.
      • Note : les données ne sont pas anonymisées / pseudonymisées puisque l'objectif du service est de valider l'identité de l'utilisateur final.

    • Le sort des données : A la fin de la prestation de services relative au traitement de ces données, le sous-traitant s'engage à restituer puis à détruire toutes les données à caractère personnel au responsable du traitement.
      La restitution doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du sous-traitant.
      Le sous-traitant utilisant des algorithmes d'apprentissage et de traitement automatique qu'il développe lui-même, il est autorisé par le responsable du traitement à conserver les données à des fins d'amélioration de ces algorithmes. Les données stockées sont utilisées par une équipe dédiée du sous-traitant, dont tous les membres ont signé une obligation de confidentialité spécifique. Les données stockées ne sont pas accessibles en dehors du système d'information interne du sous-traitant.

    • Délégué à la protection des données : Le sous-traitant communique au responsable du traitement le nom et les coordonnées de son délégué à la protection des données, s'il en a désigné un conformément à l'article 37 du règlement européen sur la protection des données.

    • Registre des catégories d'activités de traitement : Le sous-traitant déclare conserver par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, y compris :

      • le nom et les coordonnées du responsable du traitement pour le compte duquel ils agissent, de tout sous-traitant et, le cas échéant, du délégué à la protection des données ;
      • les catégories de traitement effectuées pour le compte du responsable du traitement ;
      • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées
      • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris, mais sans s'y limiter, les mesures requises :
        • la pseudonymisation et le cryptage des données à caractère personnel ; ou les moyens de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
        • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; ou une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

    • Documentation: Le sous-traitant fournit au responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

  5. Obligations du responsable du traitement à l'égard du sous-traitant

    Le responsable du traitement des données s'engage à :

    • Fournir au sous-traitant les données visées au point II des présentes clauses

    • Consigner par écrit toute instruction concernant le traitement des données par le sous-traitant

    • Assurer, préalablement et pendant toute la durée du traitement, le respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant

    • Superviser le traitement, y compris en effectuant des audits et des inspections auprès du sous-traitant