Au titre des relations contractuelles entre les Parties, le Client est responsable de traitement et AGORINFO a la qualité de sous-traitant.


1.   RÔLE ET RESPONSABILITÉ DU SOUS-TRAITANT
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant AGORINFO s’engage à effectuer pour le compte du client les opérations de traitement de données à caractère personnel définies ci-dessous.

1.1   Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « RGPD »).

1.2   AGORINFO, prestataire ayant un rôle de sous-traitant au titre du RGPD, est autorisée à traiter pour le compte du client les données à caractère personnel nécessaires pour fournir le ou les service(s) tel que décrit ci-dessous précisant : la nature des opérations réalisées sur les données, la finalité du traitement, les types de données traitées ayant un caractère personnel et les catégories type des personnes concernées.

1.3   AGORINFO, prestataire ayant un rôle de sous-traitant au titre du RGPD, s’impose les obligations suivantes :

a.  traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
b.  traiter les données conformément aux instructions documentées du client, décrites ci-dessous. Si Agorinfo considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Client. En outre, si Agorinfo est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le client de cette obligation légale avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public
c.   garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat
d.   veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
     -  S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
     -  Reçoivent la formation nécessaire en matière de protection des données à caractère personnel
e.   prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
f.   Agorinfo peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement. Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du client. AGORINFO s'assure que le sous-traitant ultérieur présente les garanties suffisantes, de même niveau, quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.
Le Client est informé des sous-traitants ultérieurs existants pour l’exécution de la prestation à l’article 6 ci-dessous. En cas de recrutement d’autres sous-traitants ultérieurs, le Client en sera informé.

2 . OBLIGATION DU CLIENT, RESPONSABLE DE TRAITEMENT
Le Client reste seul responsable du traitement des informations et des instructions communiquées à AGORINFO. Le client a la responsabilité de s’assurer que :
a.   le traitement des Données personnelles du client dans le cadre de l’exécution du service a une base juridique appropriée (par exemple, le consentement de la personne concernée, les intérêts légitimes du responsable de traitement, etc.),
b.   toutes les procédures et formalités requises (telles qu’analyse d’impact relative à la protection des données, notification et demande d’autorisation à l’autorité de contrôle compétente en matière de traitement de données personnelles ou à tout autre organisme compétent, le cas échéant) ont été effectuées,
c.   la personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,
d.   les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD directement auprès du Client.
Le Client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité d’AGORINFO tel que prévu au Contrat (notamment tous les systèmes et logiciels déployés et exploités par le Client ou les utilisateurs).
Le client est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.
AGORINFO fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à :
     - communiquer au Client toute demande reçue directement de la personne concernée.
     - permettre au client de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.
Le client est seul responsable des réponses à ces demandes.
Le client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part d’AGORINFO, cela pourra être facturé au client à condition de le lui notifier et d’obtenir son accord au préalable.

3.  OBLIGATION DU SOUS-TRAITANT
3.1  Le Client utilise la solution logicielle mise à disposition par Agorinfo pour traiter les informations nécessaires à la bonne gestion de son entreprise. Les données présentes dans la solution sont la propriété exclusive du Client et de lui seul.
3.2  AGORINFO ne réalise jamais de traitements sur les données personnelles de sa propre initiative, excepté les traitements listés à l’article 5 ci-dessous. Pour le reste, seul le Client est habilité à faire des traitements sur les données personnelles.
3.3  Pour la sauvegarde des données clients, AGORINFO peut faire appel dans certains cas à un sous-traitant. Si c’est le cas, le nom du sous-traitant figure à l’article 6 ci-dessous intitulé « sous-traitant ultérieur».
3.4  AGORINFO s’engage en outre aux obligations suivantes :
  a.  Mise en œuvre de système numérique de protection des données contre les intrusions. C’est un engagement de moyen et non de résultat.
   b.  Mise en œuvre d’une veille des vulnérabilités.
   c.  Nomination d’un DPO en charge de veiller à la mise en œuvre vis-à-vis des clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits de la personne concernée » (article 28 du RGPD).
   d.  Mise en place du registre de suivi des traitements réalisés en tant que sous-traitant.

3.5  AGORINFO assiste et conseille le Client dans sa conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits).
Concrètement, cela implique :
    a.  Une obligation de transparence et de traçabilité :
Le présent contrat précise les obligations de chaque partie en lien avec les dispositions de l’article 28 du RGPD.
Pour prouver qu’AGORINFO agit sur instruction documentée du client concernant les traitements de ses données, ce dernier s’engage à :
     -  Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d’audits.
     -  Tenir un registre qui recense les traitements effectués pour le compte du Client.
  b.  La prise en compte des principes de protection des données dès la conception et de protection des données par défaut
AGORINFO offre au Client les garanties nécessaires afin que les traitements mis en œuvre pour le compte du Client répondent aux exigences du RGPD et protègent les droits des personnes concernées. Cela signifie notamment que :
     -   Dès leur conception, les outils, produits, applications ou services qu’AGORINFO offre à ses clients intègrent de façon effective les principes relatifs à la protection des données.
    -  Par défaut, les outils, produits, applications ou services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes habilitées par le Client lui-même qui y ont accès.
 c.  Une obligation de garantir la sécurité des données traitées
    -  Les employés d’AGORINFO qui traitent les données du Client sont soumis à une obligation de confidentialité.
    -  AGORINFO s’engage à notifier au Client toute violation de ses données, dans les 72 heures après qu’AGORINFO en ait eu connaissance. La notification se fera immédiatement par tout moyen de communication et sera confirmée par courrier en LRAR sous 8 jours.
    -  AGORINFO prend toute mesure pour garantir un niveau de sécurité adapté aux risques.
d.  Suppression et restitution des Données à caractère personnel
   -   Au terme de la prestation et selon les instructions du Client, AGORINFO peut :
   -  supprimer toutes les données ou les renvoyer au Client
   -  détruire les copies existantes sauf obligation légale de les conserver.
e.  Une obligation d’assistance, d’alerte et de conseil
   -  Si, selon AGORINFO, une instruction du Client constitue une violation des règles en matière de protection des données, le Client doit l’en informer immédiatement.
   -  Lorsqu’une personne exerce ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) AGORINFO doit, dans toute la mesure du possible, aider le Client à donner suite à cette demande.
   - Compte tenu des informations traitées, AGORINFO doit aider le Client à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données Demande d’action spécifique sur les données personnelles par le Client à AGORINFO :
   -  Toute demande de traitement des données nécessitera l’expression d’un besoin précis de la part du Client,
   -  AGORINFO émettra un devis précisant le plan d’action et son délai en conformité à l’expression du besoin et de ces finalités,
   -  La validation de la commande par le Client confirmera l’ordre de sous-traitance du plan d’action
   -  AGORINFO conduira un projet limité dans le temps et un compte rendu du projet. AGORINFO précise que ses collaborateurs sont soumis à un devoir de réserve, en aucun cas les données traitées ne sont conservées sur les systèmes d’AGORINFO hors de l’espace dédié au Client. Ces données sont systématiquement remises au Client et supprimées dans les systèmes internes à AGORINFO.

4.  LISTE DES DONNÉES PERSONNELLES QUE LES LOGICIELS D'AGORINFO PERMETTENT AU CLIENT DE COLLECTER
 Le tableau ci-après présente les données personnelles ou sensibles par catégorie de personne :

Type de données

Données des salariés

Données des tiers

- État civil,identité, données d'identification, images, ...

OUI

OUI

- Vie personnelle (habitudes de vie, situation familiale, ...)

NON

OUI

- Information d'ordre économique et financier (revenus, situation financière, situation fiscale, ...)

NON

OUI

- Données de connexion (adresse IP, logs, ...)

OUI

OUI

- Données de localisation (déplacements, données GPS, GSM, ...)

NON

OUI

- Données révélant l'origine raciale ou ethnique

NON

NON

- Données révélant les opinions politiques

NON

NON

- Données révélant les convictions religieuses ou philosophiques

NON

NON

- Données révélant l'appartenance syndicale

NON

NON

- Données génétiques

NON

NON

- Données biométriques aux fins d'identifier une personne physique de manière unique

NON

NON

- Données concernant la santé

NON

NON

- Données concernant la vie sexuelle ou l'orientation sexuelle

NON

NON

- Données relatives à des condamnations pénales ou infractions

NON

NON

- Numéro d'identification national unique (NIR pour la France)

NON

NON

5.  LISTE DES TRAITEMENTS CONCERNÉS
En tant que sous-traitant, AGORINFO réalise les traitements suivants :
     -  Sauvegarde des données traitées par les applications fournies par AGORINFO.
     -  Accès à distance aux logiciels dans un but de maintenance ou de support.

6.  SOUS-TRAITANT ULTÉRIEUR
AGORINFO fait appel au(x) sous-traitant(s) suivants :
    - OVH pour l’hébergement des données dans un datacenter dont la sécurité d’accès physique et électronique est assurée.

7.   AUDITS
AGORINFO met à la disposition du Client toutes les informations nécessaires pour démontrer sa conformité aux exigences du RGPD et mener des audits.
Les audits menés par le Client sont à ses frais, AGORINFO pourra le cas échéant refacturer tout ou partie des frais qu’un audit lui aurait engendrés.
Des informations supplémentaires peuvent être communiquées au Client après demande auprès du DPO de AGORINFO et accord sur les modalités de communication. AGORINFO pourra, de manière raisonnable, facturer le Client de tout ou partie des frais engagés.
En toutes hypothèses, les conditions de cet audit ne doivent pas affecter la sécurité des autres clients d’AGORINFO.
Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible dans la documentation standard d’AGORINFO est considérée comme une information confidentielle d’AGORINFO en vertu du Contrat. Avant de communiquer ces informations, AGORINFO peut exiger la signature d’un accord de confidentialité spécifique.
Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter AGORINFO au sujet de toute divulgation requise.