Accord de Protection des Données (DPA)

1. Introduction

L'Accord de protection des données (ci-après « Accord ») vise à régir l'utilisation des Données à caractère personnel des clients (ci-après le « Client ») de Eurécia (ci-après le « Sous-traitant » ou « Eurécia ») lorsqu'ils utilisent le service Zelkia (ci-après le « Service »).

2. Définitions

Les termes « décision d'adéquation », « mesures techniques et organisationnelles », « personnes concernées », « protection dès la conception », « protection par défaut », « registre », « responsable(s) conjoint(s) », « responsable des activités de traitement », « sous-traitant », « traitement », « violation de données à caractère personnel » présents dans l'Accord ont les significations décrites aux articles 4 et suivants du RGPD.

Les autres termes sont définis ci-après :

« Accord » : désigne l'annexe au Contrat régissant l'utilisation des Données à caractère personnel du Client conformément aux dispositions de l'article 28 du RGPD aussi intitulé « Data Processing Addendum » (« DPA »).
« AIPD » : désigne une analyse d'impact qui permet de vérifier la proportionnalité des traitements de Données à caractère personnel et de prévenir les risques liés à un traitement de Données à caractère personnel.
« Anonymisation » : désigne un traitement visant à rendre impossible l'identification des personnes concernées par les traitements réalisés dans le cadre du Service, et ce de manière irréversible.
« Autorité de contrôle » : désigne l'autorité de contrôle en matière RGPD compétente pour le Service fourni par le Sous-traitant.
« Client » : désigne l'entité ayant souscrit au Service fourni par le Sous-traitant.
« Contrat » : désigne le contrat conclu entre le Sous-traitant et le Client afin d'utiliser le Service auquel est annexé le présent Accord.
« Demande(s) de droit » : désigne le ou les droits fondamentaux créés par le RGPD aux articles 15 et suivants (ex : droit d'accès, droit d'effacement, etc.).
« Données à caractère personnel du Client » : désigne toute donnée se rapportant à une personne physique identifiée ou identifiable transmise au Sous-traitant et traitée par celui-ci pour le compte du Client dans le cadre du Service et dont la liste détaillée est présentée en annexe.
« Partie(s) » : désigne conjointement le Client et le Sous-traitant.
« RGPD » : désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données également intitulé « Règlement général sur la protection des données ».
« Réglementation applicable en matière de protection des données à caractère personnel » : désigne ensemble la Loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et le RGPD.
« Réversibilité » : désigne l'opération visant à permettre le transfert et l'intégration, dans un format utilisable et reconnu, des Données à caractère personnel du Client du Service du Sous-traitant vers un service équivalent proposé par un autre prestataire.
« Service SaaS » : désigne un logiciel hébergé par le Sous-traitant et pouvant être utilisé simultanément par un nombre infini de clients.
« Sous-traitant ultérieur » : désigne les sous-traitants recrutés par le Sous-traitant pour traiter les Données à caractère personnel du Client dans le cadre exclusif du Service.
« Utilisateurs finaux » : désigne les personnes dont les Données à caractère personnel sont traitées par le Sous-traitant pour le compte du Client.

3. Relations contractuelles et durées

L'Accord est une annexe indivisible au Contrat signé entre le Client et le Sous-traitant pour l'utilisation du Service.

En cas de contradiction entre le Contrat conclu pour l'utilisation du Service et l'Accord, les obligations prévues dans l'Accord prévalent sur le Contrat en ce qui concerne le RGPD dans son ensemble.

L'Accord est applicable pendant toute la durée du Contrat conclu dans le cadre de l'utilisation du Service et peut se poursuivre au-delà tant que toutes les obligations prévues aux présentes restent applicables.

4. Rôle des Parties et champ d'application

Le Client agit, dans le cadre de l'Accord, comme responsable des activités de traitement et Eurécia agit en tant que sous-traitant au sens de l'article 28 du RGPD.

En aucun cas, les Parties ne peuvent être considérées comme étant responsables conjoints dans le cadre du Service. Toutefois, les Parties conviennent qu'en cas d'erreur ou de modification de leur qualification, les Parties devront se réunir, dans les meilleurs délais, pour modifier l'Accord et prendre toutes les mesures relatives à une telle situation pour se conformer aux exigences de la Réglementation applicable en matière de protection des données à caractère personnel.

L'Accord régit exclusivement les traitements des Données à caractère personnel du Client réalisés dans le cadre du Service en tant que Sous-traitant au sens de l'article 28 du RGPD à l'exclusion des traitements réalisés en tant que responsable du traitement par Eurécia qui sont encadrés dans le Contrat.

5. Instructions et engagements

Le Sous-traitant s'engage à n'utiliser les Données à caractère personnel du Client dans le cadre de l'utilisation du Service que sur instructions documentées en annexe de l'Accord. Le Sous-traitant informe immédiatement le Client s'il estime qu'une instruction apportée par ce dernier est illégale au regard de la Réglementation applicable en matière de protection des données à caractère personnel. La responsabilité du Sous-traitant ne saurait être engagée si, après information sur l'illégalité d'une instruction, le Client maintient cette instruction.

Le Sous-traitant s'engage à respecter les dispositions du RGPD et, en particulier, à tenir un registre des activités de traitement spécifique au Service et à développer son Service dans le respect des règles de « Protection dès la conception » et de « Protection par défaut ».

Le Sous-traitant applique la sécurité des données à caractère personnel dans la limite de ce qui relève de son contrôle effectif sur le Service SaaS. Le Sous-traitant s'engage à ne transférer les Données à caractère personnel du Client que sur instruction du Client, ou si cela est strictement nécessaire à la fourniture du Service conformément au Contrat.

Le Sous-traitant s'engage à ne jamais transférer les Données à caractère personnel du Client, pour d'autres raisons que la fourniture du Service et s'engage à ne jamais utiliser les Données à caractère personnel du Client pour son propre intérêt, en tant que responsable du traitement.

Tout transfert imposé par la loi ou une autorité compétente ne sera effectué qu'après notification préalable au Client, sauf interdiction légale.

Le Sous-traitant ne saurait être responsable de la légalité des transferts ou de leur nécessité, dès lors qu'il agit en stricte exécution des instructions écrites du Client ou d'une obligation légale.

Le Sous-traitant s'engage à garantir la sécurité des Données à caractère personnel du Client et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour son Service dont le détail est présenté en annexe de l'Accord.

En revanche, le Sous-traitant n'est jamais responsable des manquements du Client concernant la Réglementation applicable en matière de protection des données à caractère personnel lorsqu'il utilise le Service en tant que responsable du traitement.

Toute assistance supplémentaire du Sous-traitant fera l'objet d'un accord spécifique et pourra donner lieu à facturation.

6. Assistance pour la réalisation des AIPD

Les AIPD doivent être réalisées par le Client, conformément aux dispositions du RGPD. Néanmoins, le Sous-traitant s'engage à communiquer, sur demande écrite du Client, les informations nécessaires et requises pour que le Client puisse assurer la réalisation d'une AIPD.

Le Sous-traitant n'est en revanche pas tenu de réaliser les AIPD à la place et pour le compte du Client. Toute demande complémentaire à la communication d'informations peut faire l'objet d'un refus.

7. Assistance pour les Demandes de droit

Les Demandes de droit envoyées par les Utilisateurs finaux sont transférées au Client dans les meilleurs délais. Le Sous-traitant n'est pas tenu de tenir un inventaire des Demandes de droit pour le compte du Client, ni de gérer ou de répondre pour le compte du Client aux demandes et n'est pas responsable des manquements du Client dans la gestion des Demandes de droit.

Le Sous-traitant exécute, sur demande écrite du Client, les actions techniques à entreprendre pour que le Client puisse s'acquitter de son obligation de donner suite aux demandes des personnes concernées, et dont le Client ne serait pas en mesure de le réaliser.

Le Client accepte et comprend que le Sous-traitant n'est pas tenu de gérer les Demandes de droits des personnes effectuées dans le cadre du Service à la place et pour le compte du Client. Toute demande complémentaire visant à assurer une telle gestion fera l'objet d'un refus.

Les Demandes de droit envoyées au Sous-traitant en tant que responsable du traitement sont traitées exclusivement par le Sous-traitant et ne sont pas transférées au Client.

Toute assistance supplémentaire du Sous-traitant fera l'objet d'une étude préalable.

8. Assistance sur les mesures de sécurité

Le Sous-traitant s'engage à communiquer, sur demande, toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre pour garantir la sécurité des Données à caractère personnel du Client dans le cadre de la fourniture du Service.

9. Violations de Données à caractère personnel

Le Sous-traitant s'engage à notifier au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel en lien avec le Service susceptible de concerner les Données à caractère personnel du Client ainsi que toutes les informations nécessaires et requises en sa possession pour réduire les effets de la violation de données à caractère personnel. Le Client accepte et reconnaît que le délai de 72h s'appliquant à lui ne démarre qu'à compter de la connaissance de la violation de données à caractère personnel.

Le Sous-traitant n'est pas autorisé à prendre en charge les notifications de violation de données à caractère personnel auprès de l'Autorité de contrôle et à informer, pour le compte du Client, les Utilisateurs finaux. Toute demande en ce sens de la part du Client fera l'objet d'un refus.

10. Sous-traitants ultérieurs

Le Client octroie au Sous-traitant l'autorisation générale de recruter des Sous-traitants ultérieurs à condition d'être informé de tout changement sur ces Sous-traitants ultérieurs dans les meilleurs délais afin de permettre au Client d'émettre des objections. Le Client accepte et reconnaît qu'une autorisation spécifique, pour un outil SaaS, n'est pas applicable et pourrait mener à un blocage du Service.

A défaut d'objections soulevées par le Client sous huit (8) jours à compter de la notification, le nouveau Sous-traitant ultérieur est définitivement recruté sans que le Client puisse émettre ses objections, réclamer des dommages intérêts ou demander la résiliation du Contrat.

Pour être considérées comme recevables par le Sous-traitant, les objections doivent être objectives et sérieuses et être dûment démontrées.

Le Sous-traitant s'engage à ne recruter que des Sous-traitants ultérieurs qui, après contrôle, présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des Données à caractère personnel du Client. La relation entre le Sous-traitant et le Sous-traitant ultérieur doit être encadrée dans un accord présentant des obligations similaires au présent Accord.

Le Sous-traitant reste responsable, dans les limites de responsabilité prévues au Contrat, des manquements au RGPD que pourraient réaliser ses Sous-traitants ultérieurs dans le cadre du Service.

11. Hébergement et transferts en dehors de l'Union européenne

a) Hébergement des données

Le Sous-traitant s'engage à faire son nécessaire pour héberger les Données à caractère personnel du Client au sein d'un Etat membre de l'Union européenne. Le Client octroie l'autorisation au Sous-traitant de choisir l'Etat membre de l'Union européenne de son choix. En cas d'hébergement des Données à caractère personnel au sein d'un pays situé en dehors de l'Union européenne, le Sous-traitant s'engage à informer, préalablement le Client et à mettre en œuvre tous les mécanismes requis pour encadrer ce transfert comme conclure des Clauses contractuelles types et, le cas échéant, à mettre en œuvre des mesures techniques complémentaires visant à renforcer la sécurité des Données à caractère personnel du Client.

b) Transferts des données

Le Client octroie au Sous-traitant une autorisation générale de transferts en dehors de l'Union européenne si, de manière cumulative, i) les transferts sont effectués exclusivement auprès de Sous-traitants ultérieurs conformes au RGPD et que ii) les transferts sont effectués exclusivement vers un pays bénéficiant d'une décision d'adéquation ou sont encadrés par des garanties appropriées comme, en particulier, des Clauses contractuelles types. Si ces conditions ne sont pas respectées, les transferts hors de l'Union européenne ne sont autorisés qu'avec l'accord préalable du Client. Des mesures de sécurité techniques complémentaires visant à renforcer la sécurité des Données à caractère personnel du Client doivent être obligatoirement mises en œuvre dans le cas où les Données à caractère personnel seraient transférées vers un pays non démocratique.

12. Durées de conservation et sort des Données à caractère personnel du Client

Le Sous-traitant s'engage à ne conserver les Données à caractère personnel du Client que pour la durée de l'utilisation du Service, conformément aux instructions détaillées en annexe, et à les supprimer à la fin du Contrat. Le Sous-traitant atteste, sur demande écrite, de la suppression des Données à caractère personnel et de toutes les copies existantes.

Le Client est informé qu'il doit récupérer ses Données à caractère personnel avant la fin de l'Accord. A défaut, le Client ne peut plus récupérer ses Données à caractère personnel, la suppression des données à caractère personnel étant irréversible et définitive. Le Sous-traitant ne pourra être tenu responsable d'une perte des Données à caractère personnel après leur suppression, le Client en assumant l'entière responsabilité. Le Client accepte que l'anonymisation totale et irréversible et définitive des Données à caractère personnel du Client soit utilisée comme moyen de suppression et que le Sous-traitant conserve les données anonymisées pour l'amélioration du Service, comme cela est accepté pour les Autorités de contrôle.

Le Sous-traitant informe le Client que la restitution des Données à caractère personnel prévue dans le RGPD ne constitue pas une Réversibilité des données vers un nouveau sous-traitant.

13. Audits

Le Client dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. Le questionnaire a la force d'un engagement sur l'honneur qui engage le Sous-traitant. Le questionnaire peut être communiqué, à l'adresse mail [email protected], au Sous-traitant qui s'engage à y répondre dans les meilleurs délais à compter de sa réception.

Le Client pourra faire procéder, à ses frais pendant la durée du Contrat, à un audit par an d'une durée maximale de deux jours calendaires portant sur les mesures de sécurité et de confidentialité mises en place par le Sous-traitant, moyennant le respect d'un préavis minimum de soixante (60) jours, et sans perturber le bon fonctionnement de la Solution et des infrastructures utilisées par le Sous-traitant, en cas de violation de données due à un manquement avéré et démontré du Sous-traitant ayant entraîné un préjudice dûment justifié au Client. Le Sous-traitant accepte de se soumettre à un tel audit, effectué par un auditeur indépendant choisi par le Client et accepté par le Sous-traitant. Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent direct ou indirect du Sous-traitant, ii) en situation de conflit d'intérêts avec le Sous-traitant (ex : conseil d'un concurrent du Sous-traitant) ou iii) en précontentieux ou contentieux avec le Sous-traitant. Dans ce cas, le Client s'engage à choisir un nouveau tiers indépendant pour réaliser l'audit. Le Sous-traitant peut refuser l'accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l'audit dans ces zones et communique les résultats au Client. L'auditeur indépendant doit posséder les qualifications professionnelles requises et est soumis à un accord de confidentialité. Les Parties reconnaissent que tous rapports et information obtenues dans le cadre de cet audit sont des informations confidentielles. L'audit ne comporte pas d'accès à tous systèmes, information, données non liées aux traitements effectués en vertu de ce Contrat et pour le compte du Client, ni d'accès physique aux serveurs sur lesquels est sauvegardé le Logiciel. Le Client prend à sa charge tous les frais occasionnés par l'audit, incluant de manière non limitative les honoraires de l'auditeur et rembourse au Sous-traitant toutes les dépenses et frais occasionnés par cet audit, y compris le temps consacré à l'audit en fonction du taux horaire moyen du personnel du Sous-traitant ayant collaboré à l'audit.

En cas d'écart constaté dans le cadre de l'audit, le Sous-traitant s'engage à mettre en œuvre, sans délai et à ses frais, les mesures nécessaires pour être en conformité avec le présent Accord. Les écarts ne peuvent concerner que la Réglementation applicable en matière de Données à caractère personnel du Client et ne sauraient concerner des procédures ou des mesures internes mises en œuvre par le Client à titre spécifique. Les écarts doivent être dûment démontrés, justifiés et documentés.

En cas de contestation par le Sous-traitant des écarts identifiés, le Sous-traitant peut, au choix et sur acceptation écrite et préalable du client, proposer de i) se réunir afin de trouver une solution amiable et un compromis, ii) saisir l'Autorité de contrôle afin d'obtenir un arbitrage sur le litige, et iii) saisir un expert indépendant pour arbitrer le litige.

14. Coopération avec les autorités

Le Sous-traitant s'engage à coopérer avec la CNIL, l'Autorité de contrôle compétente, en cas de contrôle concernant les traitements réalisés dans le cadre du Service et s'engage à notifier dans les plus brefs délais le Client en cas de demandes concernant ses Données à caractère personnel formulées par l'Autorité de contrôle ou par une autorité administrative, judiciaire ou policière.

15. Contact

Le Client et le Sous-traitant désignent chacun un interlocuteur chargé du présent Accord qui sera le destinataire des différentes notifications et communications devant intervenir dans le cadre de l'Accord.

Le Sous-traitant informe le Client qu'il a nommé la société Dipeeo SAS comme Délégué à la protection des données qui peut être contactée à l'adresse email : [email protected].

16. Révisions

Le Sous-traitant se réserve la possibilité de modifier le présent Accord en cas d'évolution des règles applicables en matière de protection des Données à caractère personnel ou en cas de modification du Service qui auraient pour effet de modifier l'une de ses dispositions.

Annexe 1 — Instructions détaillées du Client

1. Liste des traitements

1.1. Finalités et fondements légaux

Le Service fourni par le Sous-traitant a pour objectif de fournir un service de Coaching Managérial IA avec notamment chat, analyse one to one, jeu de rôle et dashboard de suivi. A ce titre, le Sous-traitant met en place les traitements suivants :

Gestion des Données à caractère personnel du Client dans le cadre du Service
Gestion des fonctionnalités utilisant de l'intelligence artificielle
Gestion de la sécurité et de la maintenance du Service
Gestion des zones de commentaires libres et de leur contenu
Hébergement de la base des Données à caractère personnel du Client
Téléchargement et importation de documents

Les traitements mis en œuvre sont réalisés exclusivement dans le cadre de l'exécution du Contrat.

Le Sous-traitant n'utilise pas les Données à caractère personnel traitées pour le compte du Responsable de traitement pour entraîner, réentraîner ou affiner des modèles d'intelligence artificielle, ni pour constituer des jeux de données d'entraînement. Les modèles d'intelligence artificielle tiers auxquels le Sous-traitant recourt sont mis en œuvre dans des conditions excluant tout entraînement sur ces données et toute rétention non autorisée.

Seules des données anonymisées, ne permettant pas, par des moyens raisonnables, la réidentification des personnes concernées, peuvent être conservées et utilisées par le Sous-traitant aux fins d'amélioration du Service, de production de statistiques et de sécurité.

1.2. Personnes concernées

Les personnes concernées dans le cadre du Service sont :

Les Utilisateurs finaux

1.3. Opérations de traitements

Les opérations de traitement réalisées dans le cadre du Service sont détaillées ci-après :

Adaptation
Communication aux Sous-traitants ultérieurs
Conservation
Collecte
Enregistrement
Extraction
Modification
Organisation
Suppression
Utilisation

1.4. Catégories de données traitées

Les Données à caractère personnel du Client traitées dans le cadre du Service sont les suivantes :

Données « standards » des Utilisateurs finaux :

Données d'identification et coordonnées

Données « spécifiques » des Utilisateurs finaux :

Voix : enregistrements vocaux des Utilisateurs lors des simulations, traités aux seules fins de transcription en texte et supprimés immédiatement après transcription. La voix n'est pas utilisée à des fins d'identification biométrique et ne constitue pas une donnée biométrique au sens de l'article 9 du RGPD.

1.5. Durées de conservation

Les Données à caractère personnel du Client sont conservées pour la durée d'exécution du contrat, à l'exception de la voix, laquelle est supprimée immédiatement à la fin de la transcription.

A l'issue de l'essai gratuit de quatorze jours, nous conservons vos données 30 jours afin de vous permettre de souscrire au service en conservant vos informations.

2. Mesures de sécurité

Mesures de sécurité techniques	Mesures de sécurité organisationnelles
Chiffrement des mots de passe des utilisateurs du Service Déconnexion automatique du compte utilisateur du Service après une certaine période d'inactivité Mots de passe complexes imposés aux utilisateurs du Service à la connexion Chiffrement des mots de passe des Utilisateurs en Back-office Déconnexion automatique du compte Utilisateur en Back-office après une certaine période d'inactivité Mots de passe complexes imposés aux Utilisateurs en Back-office à la connexion Chiffrement de la base de données Plateforme en HTTPS Anti-spam pour les salariés Antivirus et firewall pour les salariés Mots de passe complexes pour les salariés Monitoring de la réputation de notre domaine	Badges d'accès Charte des systèmes d'information Clause dédiée à la protection des données dans les contrats de travail Procédure d'habilitation Procédure en cas de demandes de droit des Utilisateurs finaux Procédure en cas de violation de données à caractère personnel Règles de bonne conduite Sensibilisation deux fois par an Vidéoprotection dans les locaux Armoires fermées à clés et sensibilisation collaborateurs à la cybersécurité

Mesures de sécurité techniques

Mesures de sécurité organisationnelles

Chiffrement des mots de passe des utilisateurs du Service
Déconnexion automatique du compte utilisateur du Service après une certaine période d'inactivité
Mots de passe complexes imposés aux utilisateurs du Service à la connexion
Chiffrement des mots de passe des Utilisateurs en Back-office
Déconnexion automatique du compte Utilisateur en Back-office après une certaine période d'inactivité
Mots de passe complexes imposés aux Utilisateurs en Back-office à la connexion
Chiffrement de la base de données
Plateforme en HTTPS
Anti-spam pour les salariés
Antivirus et firewall pour les salariés
Mots de passe complexes pour les salariés
Monitoring de la réputation de notre domaine

Badges d'accès
Charte des systèmes d'information
Clause dédiée à la protection des données dans les contrats de travail
Procédure d'habilitation
Procédure en cas de demandes de droit des Utilisateurs finaux
Procédure en cas de violation de données à caractère personnel
Règles de bonne conduite
Sensibilisation deux fois par an
Vidéoprotection dans les locaux
Armoires fermées à clés et sensibilisation collaborateurs à la cybersécurité

Annexe 2 — Inventaire des Sous-traitants ultérieurs et des transferts hors UE

L'inventaire des sous-traitants ultérieurs et des transferts hors Union européenne est disponible sur demande auprès du délégué à la protection des données, à l'adresse [email protected].