Aller au contenu
Rivadesk Rivadesk.
Commencer gratuitement

Mentions légales

Accord de traitement des données

Le présent projet d'Accord de traitement des données (« DPA ») régit le traitement des données à caractère personnel effectué par File system pour le compte de clients professionnels utilisant le service Rivadesk, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). Il fait partie intégrante du contrat de service entre le client et File system et s'applique dans la mesure où File system traite des données à caractère personnel en qualité de sous-traitant pour le compte du client.

1. Rôles des parties, objet et durée

En relation avec les données à caractère personnel traitées dans le cadre du service Rivadesk, le client agit en qualité de responsable du traitement et File system en qualité de sous-traitant. Lorsque le client traite à son tour des données pour le compte de tiers, il peut agir en qualité de sous-traitant et File system en qualité de sous-traitant ultérieur : dans ce cas, les présentes dispositions s'appliquent en conséquence.

L'objet du traitement est la fourniture du service Rivadesk conformément au contrat. La durée du traitement coïncide avec la durée du contrat de service, sans préjudice des obligations légales de conservation et de la section 9 (effacement et restitution).

2. Nature et finalité du traitement, catégories de personnes concernées et de données

La nature et la finalité du traitement consistent en les opérations nécessaires pour fournir les fonctionnalités de Rivadesk demandées par le client (p. ex. collecte, enregistrement, organisation, stockage, consultation et effacement de données), uniquement conformément aux instructions du responsable.

Les catégories de personnes concernées et de données à caractère personnel sont déterminées par le client selon son utilisation du service et peuvent inclure, à titre d'exemple :

• catégories de personnes concernées : utilisateurs et personnel du client, clients ou contacts du client et autres personnes dont les données sont introduites ou gérées par le client dans le service ;

• catégories de données : données d'identification et de contact, données de compte et identifiants, contenus et documents chargés par le client, données d'utilisation et journaux techniques nécessaires à la fourniture du service.

Le traitement de catégories particulières de données (art. 9 RGPD) n'est pas une finalité du service ; si le client décide de les introduire, il reste responsable en qualité de responsable du traitement et doit évaluer la base légale.

3. Instructions documentées du responsable

File system traite les données à caractère personnel uniquement sur la base d'instructions documentées du responsable, y compris celles relatives aux transferts vers des pays tiers, sauf si le droit de l'Union ou d'un État membre l'exige ; dans ce cas, File system informe le responsable avant le traitement, sauf si la loi interdit cette information pour des motifs importants d'intérêt public. Le contrat de service, la configuration produit et la documentation technique constituent les instructions documentées initiales du responsable. File system informe le responsable s'il estime qu'une instruction enfreint le RGPD ou d'autres dispositions applicables en matière de protection des données.

4. Confidentialité du personnel autorisé

File system garantit que les personnes autorisées à traiter des données à caractère personnel sont soumises à une obligation de confidentialité ou disposent d'une obligation légale appropriée de confidentialité, et que l'accès aux données est limité au personnel qui en a besoin pour fournir le service (principe du besoin d'en connaître).

5. Mesures de sécurité (art. 32 RGPD)

File system met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 RGPD, en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement. Ces mesures peuvent inclure, le cas échéant, le contrôle d'accès, le chiffrement des données en transit, des procédures de sauvegarde et de restauration, l'enregistrement des événements et l'évaluation périodique de l'efficacité des mesures. Les détails actualisés des mesures sont décrits dans la documentation de sécurité mise à disposition du client. La zone d'hébergement et de stockage des données est indiquée dans —.

6. Sous-traitants ultérieurs

Le responsable autorise en général File system à faire appel à des sous-traitants ultérieurs (p. ex. fournisseurs d'hébergement et d'infrastructure) pour fournir le service. File system impose à chaque sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent accord et reste pleinement responsable envers le responsable des actes de ses sous-traitants ultérieurs.

La liste des sous-traitants ultérieurs est disponible, lorsqu'elle est publiée, sur —. File system informe le responsable de tout changement relatif à l'ajout ou au remplacement de sous-traitants ultérieurs, en donnant au responsable la possibilité de s'opposer pour des motifs légitimes et raisonnables de protection des données.

7. Assistance au responsable

Compte tenu de la nature du traitement, File system assiste le responsable par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour :

• répondre aux demandes d'exercice des droits de la personne concernée (arts. 12–23 RGPD) ;

• garantir le respect des obligations de sécurité (art. 32), de notification des violations de données à caractère personnel à l'autorité de contrôle (art. 33) et de communication aux personnes concernées (art. 34), ainsi que des analyses d'impact relatives à la protection des données (AIPD, art. 35) et de la consultation préalable (art. 36).

File system informe le responsable sans retard indu après avoir pris connaissance d'une violation de données à caractère personnel affectant des données traitées pour son compte, en fournissant les informations raisonnablement disponibles pour permettre au responsable de respecter ses obligations.

8. Transferts hors UE/EEE

Tout transfert de données à caractère personnel vers des pays hors de l'Union européenne ou de l'Espace économique européen n'a lieu que lorsque des garanties appropriées existent conformément au chapitre V RGPD, notamment les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, ou sur la base d'une décision d'adéquation ou d'un autre mécanisme prévu par la loi. Les zones de traitement sont indiquées dans —, de manière cohérente avec la Politique de confidentialité.

9. Effacement et restitution des données

À la fin du service, au choix du responsable, File system efface ou restitue au responsable toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes, sauf si le droit de l'Union ou d'un État membre exige leur conservation. Les méthodes et délais d'effacement ou de restitution sont décrits dans la documentation du service, conformément au principe de minimisation des données (art. 5 RGPD).

10. Audits et inspections

File system met à disposition du responsable les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD et permet et contribue aux activités d'audit, y compris les inspections, menées par le responsable ou une autre personne désignée par le responsable, selon des accords raisonnables entre les parties (p. ex. mise à disposition de documentation, certifications ou rapports d'audit tiers, lorsqu'ils sont disponibles), en respectant la confidentialité et la sécurité des autres clients.

11. Exécution, modifications et contacts

Le présent brouillon est un modèle informatif et ne remplace pas un accord signé : la version applicable est celle référencée dans la commande ou dans un accord séparé conclu entre le client et File system, qui prévaut en cas de divergence. File system peut mettre à jour ce modèle pour refléter des changements réglementaires, techniques ou organisationnels ; la dernière mise à jour est indiquée ci-dessous. Dernière mise à jour : —.

Pour l'exécution du DPA, pour la liste actualisée des sous-traitants ultérieurs ou pour des demandes relatives au traitement des données, les clients professionnels peuvent contacter File system à allbrand.italia@gmail.com ; lorsqu'il est désigné, le Délégué à la protection des données est — (allbrand.italia@gmail.com). Les personnes concernées conservent le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (Garante per la protezione dei dati personali).