Eurécia, située 3 Chemin des Canelles 31320 Castanet-Tolosan et immatriculée au registre des sociétés de Toulouse sous le numéro 487820268 propose de conclure l'Accord de protection des données (ci-après "Accord") qui vise à régir l'utilisation des données personnelles dans le cadre du service Engagement Eurécia.

1. Définitions

Tous les termes relatifs à la règlementation applicable en matière de protection des données à caractère personnel utilisés dans l'Accord sont définis à l'article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "RGPD").

2. Rôle des Parties

Dans le cadre de l'Accord, Eurécia, située 3 Chemin des Canelles 31320 Castanet-Tolosan et immatriculée au registre des sociétés de Toulouse sous le numéro 487820268 agit en tant que sous-traitant au sens de l’article 28 du RGPD (ci-après le "Sous-traitant")

L’administrateur agit en tant que responsable du traitement de données à caractère personnel. 

3. Documents contractuels et durée

L'Accord, qui est une annexe indivisible au contrat signé entre le Sous-traitant et l’Utilisateur au sens des conditions générales d’utilisation pour l'utilisation du Service (ci-après le "Contrat"), est applicable pendant toute la durée de la relation contractuelle existante entre les Parties.

En cas de contradiction entre le Contrat conclu pour l'utilisation du Service et l'Accord, les obligations prévues dans l'Accord prévalent sur le Contrat en ce qui concerne les règles applicables en matière de protection des données.

4. Déclarations et engagements

Le Sous-traitant déclare respecter l’intégralité des règles applicables en matière de protection des données à caractère personnel et présenter toutes les garanties suffisantes pour répondre aux exigences du RGPD dans le cadre de la fourniture du Service Engagement.

Le Sous-traitant déclare que l’intégralité du personnel interne ou externe amené à traiter les données à caractère personnel de l’Administrateur est engagé par une clause de confidentialité, une charte des systèmes d'information ou par tout autre acte juridique contraignant et fait l'objet régulièrement de formation et de sensibilisation.

Le Sous-traitant déclare que le Service est accompagné des fonctionnalités permettant au Client de respecter ses obligations en tant que responsable du traitement.

5. Instructions documentées

Le Sous-traitant s’engage à n’utiliser les données à caractère personnel de l’Administrateur dans le cadre de l'utilisation du Service que sur instructions documentées de ce dernier.

La liste des traitements réalisés est détaillée fournie sur simple demande.

6. Sécurité

Le Sous-traitant s’engage à garantir la sécurité des données à caractère personnel de l’Administrateur et à mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour son Service Engagement.

L'intégralité de mesures de sécurité techniques et organisationnelles sont fournies sur demande du Client.

7. Violation de données à caractère personnel

Le Sous-traitant s’engage à notifier à l’Administrateur, conformément aux obligations prévues par l'article 28 du RPGD, dans les meilleurs délais après en avoir pris connaissance, toute violation de données à caractère personnel qui serait susceptible de concerner les données à caractère personnel des Utilisateurs.

Le Sous-traitant s'engage à communiquer, dans les meilleurs délais après en avoir pris connaissance, toutes les informations nécessaires et requises en sa possession pour réduire les effets de la violation de données à caractère personnel subie et pour permettre à l’Administrateur de prendre les mesures de sauvegarde et de protection adéquates.

Sauf accord entre les Parties, le Sous-traitant n’est pas autorisé à prendre en charge les notifications de violation de données à caractère personnel auprès de l'autorité de contrôle concerné et à informer, pour le compte de l’Administrateur, les personnes concernées par les traitements réalisés dans le cadre du Contrat.

8. Information des personnes concernées 

Le Sous-traitant communique à l’Administrateur, sur demande écrite, toutes les informations nécessaires et requises sur les mesures de sécurité techniques et organisationnelles à mettre en œuvre pour garantir la sécurité de ses données à caractère personnel.

Le Sous-traitant communique à l’Administrateur, sur demande écrite, toutes les informations nécessaires et requises pour assurer la réalisation d’une analyse d’impact (“AIPD”).

Le Sous-traitant s’engage à notifier à l’Administrateur, dans les meilleurs délais après en avoir pris connaissance, toute demande de droit à destination de l’Administrateur.

Le Sous-traitant communique à l’Administrateur, sur demande écrite, toutes les informations nécessaires et requises visant à ce que l’Administrateur puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.

Le Sous-traitant exécute, sur demande écrite de l’Administration, les actions à entreprendre pour que l’Administrateur puisse s’acquitter de son obligation de donner suite aux demandes des personnes concernées.

9. Responsabilité

Le Sous-traitant n’est jamais responsable de l’utilisation non-conforme aux règles applicables en matière de protection des données à caractère personnel réalisée par les Utilisateurs à l'aide du Service.

Le Sous-traitant n’est pas tenu de gérer les demandes de droits des personnes à la place et pour le compte de l’Administrateur. Toute demande complémentaire visant à assurer une telle gestion peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.

Le Sous-traitant n’est pas tenu d’assurer ou d’auditer la sécurité de l’Administrateur ou encore de réaliser les AIPD à la place et pour le compte de l’Administrateur. Toute demande complémentaire à la communication d’informations peut faire l’objet d’un refus et, éventuellement, d’une prestation complémentaire tarifée.

10. Sous-traitants ultérieurs

L’Administrateur accepte que le Sous-traitant recrute des sous-traitants ultérieurs (ci-après "STU") dans le cadre de l’exécution de l'Accord à condition d’informer, par tout moyen, l’Administrateur de tout changement concernant ces STU intervenant par durant l'exécution du Contrat et demeure responsable des actes du Sous-traitant ultérieur dans le cadre de l'Accord.

Le Sous-traitant s’engage à ne recruter que des STU qui présentent les garanties nécessaires et suffisantes pour assurer la sécurité et la confidentialité des données à caractère personnel de l’Administrateur.

Le Sous-traitant s'engage à contrôler ses STU et à ce que le contrat conclu avec le STU utilisé dans le cadre du service contienne des obligations similaires à celles prévues dans l'Accord.

L’administrateur peut émettre des objections par lettre recommandée avec accusé de réception i) si le STU est un de ses concurrents, ii) si le client et le STU sont dans une situation de précontentieux ou de contentieux, et iii) si le STU a fait l’objet d’une condamnation par une autorité de contrôle en matière de protection des données dans l’année de son recrutement.

11. Sort des données à caractère personnel

Le Sous-traitant supprime les données à caractère personnel de l’Administrateur à la fin de la durée d'exécution du Contrat conclu dans le cadre de l'utilisation du Service et accepte que le Sous-traitant anonymise, lorsque cela est techniquement possible, ses données à caractère personnel à des fins de statistiques.

Le Sous-traitant atteste à l’Administrateur, sur demande écrite, de la suppression effective de ses données à caractère personnel et de toutes les copies existantes.

L’administrateur doit récupérer ses données à caractère personnel avant la fin de l'Accord. A défaut, l’administrateur ne peut plus récupérer ses données à caractère personnel, la suppression des données à caractère personnel étant irréversible.

L’administrateur demeure le seul responsable de la perte de ses données à caractère personnel à la suite de la suppression des données intervenant à la fin de l'Accord.

12. Audits

L’administrateur dispose du droit de réaliser un audit sous forme de questionnaire écrit une fois par an pour vérifier le respect du présent Accord. 

Le Client dispose également du droit de réaliser un audit dans les locaux du Sous-traitant, à ses frais, une fois par an uniquement en cas de violation de données ou de manquement avéré et démontré aux règles applicables en matière de protection des données et au présent Accord.

Un audit d'une durée maximale de deux jours calendaires portant sur les mesures de sécurité et de confidentialité mises en place par EURECIA, par un tiers indépendant désigné par l’Administrateur, et accepté par EURECIA, et doit être notifié par écrit au Sous-traitant au minimum soixante (60) jours avant la réalisation de l’audit.

Le Sous-traitant dispose du droit de refuser le choix du tiers indépendant si ce dernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui. Dans ce cas, l’Administrateur s’engage à choisir un nouveau tiers indépendant pour réaliser l’audit.

Le Sous-traitant peut refuser l’accès à certaines zones pour des raisons de confidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’audit dans ces zones à ses frais et communique les résultats à l’Administrateur.

En cas d’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettre en œuvre, dans les meilleurs délais, les mesures nécessaires pour être en conformité avec le présent Accord.

13. Transferts de données hors de l'Union européenne

Le Sous-traitant s’engage à faire son nécessaire pour ne pas transférer de données à caractère personnel de l’Administrateur en dehors de l’Union européenne ou ne pas recruter de STU situé en dehors de l’Union européenne.

Si toutefois cela n'était pas le cas, EURECIA veille scrupuleusement à ce que les garanties appropriées requises pour assurer la confidentialité et la protection de vos données personnelles soit mise en oeuvre.

14. Coopération avec les autorités de contrôle

Lorsque cela concerne les traitements mis en œuvre dans le cadre de l'Accord, le Sous-traitant s’engage à fournir, sur demande, l’intégralité des informations nécessaires à l’Administrateur pour qu’il puisse coopérer avec l’autorité de contrôle compétente.

15. Contact

L’Administrateur et le Sous-traitant désignent chacun un interlocuteur chargé du présent Accord qui sera le destinataire des différentes notifications et communications devant intervenir dans le cadre de l’Accord.

Le Sous-traitant informe l’Administrateur qu'il a nommé la société Dipeeo SAS comme Délégué à la protection des données qui peut être contactée aux coordonnées suivantes :

• Adresse email : [email protected]

• Adresse postale : Société Dipeeo SAS, 95 avenue du Président Wilson, 93100 Montreuil, France

• Numéro de téléphone : 01 59 06 81 85

16. Révision

Le Sous-traitant se réserve la possibilité de modifier le présent Accord en cas d’évolution des règles applicables en matière de protection des données à caractère personnel qui auraient pour effet de modifier l’une de ses dispositions. 

17. Loi et juridiction applicables

Le présent Accord est soumis au droit français. Tout litige relatif à l’exécution du présent Accord est de la compétence exclusive des tribunaux du ressort de la Cour d’appel de Toulouse.