Données à
caractère personnel Silogisme V2
Janvier 2022
La présente
annexe (ci-après « l’Annexe ») constitue une partie intégrante du Contrat de
licence SaaS SILOGISME.
Dans le
cadre de la mise à disposition de la Solution, SILOGISME (ci-après « SILOGISME
» ou « le Sous-traitant ») pourra être amenée à traiter des Données
personnelles, définies ci-après, pour le compte du Client (ci-après « le Client
» ou « le Responsable du traitement »).
L’Annexe a
pour objet de :
Les termes
commençant par une majuscule ont le sens suivant :
« Données
personnelles » : désigne toute information se rapportant à une personne
physique identifiée ou identifiable (ci-après dénommée « Personne concernée »).
Est réputée « personne physique identifiable » une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence à un
identifiant, tel qu’un nom, un numéro d’identification, des données de
localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques
propres à son identité physique, physiologique, génétique, psychique,
économique, culturelle ou sociale.
Les Données
personnelles sont celles traitées par le Sous-traitant (SILOGISME) pour le
compte du Responsable du traitement (le Client) dans le cadre de la mise à
disposition de la Solution. Elles figurent à l’Appendice A « Description
du traitement ».
« Traitement
» désigne toute opération ou tout ensemble d’opérations effectuées ou non
à l’aide de procédés automatisés et appliquées à des données ou des ensembles
de Données Personnelles, telles que la collecte, l’enregistrement,
l’organisation, la structuration, la conservation, l’adaptation ou la
modification, l’extraction, la consultation, l’utilisation, la communication
par transmission, la diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l’interconnexion, la limitation, l’effacement ou la
destruction.
«
Responsable du traitement » : désigne la personne physique ou morale,
l’autorité publique, le service ou un autre organisme qui, seul ou
conjointement avec d’autres, détermine les finalités et les moyens du
Traitement. En l’espèce, il s’agit du Client.
«
Sous-traitant » : désigne la personne physique ou morale, l’autorité publique,
le service ou un autre organisme qui traite des Données personnelles pour le
compte du Responsable de traitement. En l’espèce, il s’agit de SILOGISME.
« Violation
de Données personnelles » : désigne toute violation de la sécurité entraînant,
de manière accidentelle ou illicite, la destruction, la perte, l’altération, la
divulgation non autorisée à des tiers de Données personnelles transmises,
conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles
données.
« Loi
Applicable » désigne les lois et règlements relatifs au traitement et à la
protection des Données personnelles, applicables dans le pays où SILOGISME est
établie. Loi Applicable signifie en particulier : (a) le Règlement (UE)
2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à
compter du 25 mai 2018 (ci-après « le Règlement ») ; (b) la Loi Informatique et
Libertés n°78-17 du 6 janvier 1978 modifiée.
Le
Responsable du traitement (Le Client) confie au Sous-traitant (La Société)
le(s) Traitement(s) dont les caractéristiques sont définies à l’Appendice
A. Cet appendice sera complété conjointement par les Parties lors de la
signature du Contrat.
Le
Sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre
de mesures techniques et organisationnelles appropriées de manière à ce que le
Traitement réponde aux exigences du Règlement et garantisse la protection des
droits de la Personne concernée.
Le Sous-traitant
s’engage à :
Le
Sous-traitant peut faire appel à un autre sous-traitant (ci-après «
Sous-traitant ultérieur ») pour mener des activités de Traitements spécifiques.
L’identité et les coordonnées des Sous-traitants ultérieurs sont précisées à
l’Appendice A.
Le
Sous-traitant informe préalablement et par écrit le Responsable du traitement
de tout changement envisagé concernant l’ajout ou le remplacement d’autres
Sous-traitants ultérieurs.
Cette
information doit indiquer les activités de Traitement sous-traitées, l’identité
et les coordonnées du Sous-traitant ultérieur et les dates du contrat de
sous-traitance.
Le
Responsable du traitement dispose d’un délai de quinze (15) jours à compter de
la date de réception de cette information pour présenter ses objections. Cette
sous-traitance ne peut être effectuée que si le Responsable du traitement n’a
pas émis d’objection pendant le délai convenu.
Dans une
telle hypothèse, le Sous-traitant s’engage à conclure un contrat écrit avec le
Sous-traitant ultérieur.
Il
appartient au Sous-traitant de s’assurer que le Sous-traitant ultérieur
présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures
techniques et organisationnelles appropriées, de manière à ce que le Traitement
réponde aux exigences du Règlement.
Si le
Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection
des données, le Sous-traitant demeure responsable devant le Responsable du
traitement de l’exécution, par le Sous-traitant ultérieur, de ses obligations.
Le
Sous-traitant notifie au Responsable du traitement toute Violation de Données
personnelles dans un délai de 72 heures ouvrées à compter de sa connaissance,
par email à l’adresse suivante : rgpd@Silogisme.fr.
Cette
notification est accompagnée de toute documentation utile afin de permettre au
Responsable du traitement, si nécessaire, de notifier cette Violation à
l’autorité de contrôle compétente.
Aide du
Sous-traitant dans le cadre du respect par le Responsable du traitement de ses
obligations
Dans la
mesure du possible, le Sous-traitant doit aider le Responsable du traitement à
s’acquitter de son obligation de donner suite aux demandes d’exercice des
droits des Personnes concernées : droit d’accès, de rectification, d’effacement
et d’opposition, droit à la limitation du Traitement, droit à la portabilité
des Données personnelles, droit de ne pas faire l’objet d’une décision individuelle
automatisée (y compris le profilage).
Lorsque les
Personnes concernées exercent auprès du Sous-traitant des demandes d’exercice
de leurs droits, le Sous-traitant doit adresser ces demandes au Responsable du
traitement, dès réception, par email à l’adresse indiquée par le Responsable de
traitement lors de sa souscription à la Solution.
Sur demande
et dans la mesure du possible, le Sous-traitant peut aider le Responsable du
traitement pour la réalisation d’analyses d’impact relative à la protection des
Données personnelles et lors de la consultation préalable de l’autorité de
contrôle concernée.
Le
Sous-traitant prendra les mesures techniques et organisationnelles appropriées.
Il s’engage à mettre en œuvre les mesures de sécurité reprises en Appendice A
et à les maintenir pendant toute la durée du Contrat.
Le
Sous-Traitant s’engage, en cas de changement des moyens visant à assurer la
sécurité et la confidentialité des Données personnelles, à en informer le
Responsable du traitement et à les remplacer par des moyens d’une performance
équivalente ou supérieure. Aucune évolution ne pourra conduire à une régression
du niveau de sécurité.
Le
Sous-traitant s’engage à ce que pendant toute la durée du Contrat, et dans la
mesure du possible, les Données Personnelles soient hébergées et traitées au
sein de datacenters situés dans l’Union Européenne.
Le
Sous-traitant s’interdit tout flux transfrontalier de Données Personnelles,
quel qu’il soit, en dehors du territoire de l’Union Européenne, sauf
autorisation écrite et préalable du Responsable du traitement.
Si le
Sous-traitant est tenu de procéder à un transfert des Données personnelles vers
un pays tiers ou à une organisation internationale, en vertu du droit de
l’Union Européenne ou du droit de l’Etat membre auquel il est soumis, il doit
informer le Responsable du traitement de cette obligation juridique avant le
Traitement, sauf si le droit concerné interdit une telle information pour des
motifs importants d’intérêt public.
Au terme de
l’exécution des Services relatifs au Traitement objet de la sous-traitance, le
Sous-traitant s’engage à détruire toutes copies des Données personnelles
existantes dans ses systèmes d’information dans un délai maximum de trente (30)
jours. Le Sous-traitant devra justifier par écrit de la destruction des Données
personnelles.
Le
Sous-traitant communique au Responsable du traitement le nom et les coordonnées
de son délégué à la protection des données, s’il en a désigné un conformément à
l’article 37 du Règlement.
Le
Sous-traitant déclare tenir par écrit un registre de toutes les catégories
d’activités de Traitement effectuées pour le compte du Responsable de
traitement.
Le
Sous-traitant met à la disposition du Responsable de traitement la
documentation nécessaire pour démontrer le respect de l’ensemble de ses
obligations et pour permettre la réalisation d’audits, y compris des
inspections, par le Responsable de traitement ou un autre auditeur qu’il a
mandaté, et contribuer à ces audits.
Le
Responsable du traitement s’engage à fournir au Sous-traitant les Données
personnelles visées à l’Appendice A.
Le
Responsable du traitement fournira au Sous-traitant, lors de la signature du
Contrat, des instructions expresses concernant le Traitement des Données
personnelles, à documenter par écrit. Le Responsable du traitement reconnaît
que ces instructions sont nécessaires afin que le Sous-traitant puisse
l’assister, de manière adéquate, dans le respect de ses obligations au titre de
la Loi applicable.
Les
instructions du Responsable du traitement comprendront, a minima, les
informations reprises en Appendice A “Description du traitement”.
Si le
Responsable du traitement souhaite modifier ses instructions, il devra en
informer le Sous-traitant au moins trente (30) jours à l’avance, afin que les
Parties puisse évaluer les modifications proposées. A cet égard, le Responsable
du traitement reconnait que ces modifications pourront avoir un impact direct
sur :
Le
Responsable du traitement s’engage à veiller, au préalable et pendant toute la
durée du Traitement, au respect des obligations prévues par le Règlement à la
charge du Sous-Traitant.
Le
Responsable du traitement s’engage à superviser le Traitement, y compris réaliser
les audits et les inspections éventuels auprès du Sous-traitant. Les modalités,
le périmètre et la durée de l’audit seront déterminés préalablement par les
Parties.
Mesures de
sécurité
Le
Responsable du traitement reconnaît expressément :
Le
Responsable du traitement garantit au Sous-traitant que les Données
personnelles qui lui sont confiées dans le cadre des présentes ont été
collectées de manière loyale et licite, conformément aux dispositions des
articles 5, 6, 7 et 9 du Règlement.
Le
Responsable du traitement s’engage à respecter les obligations qui lui
incombent au titre de la Loi applicable et notamment, à donner suite aux
demandes d’exercice des droits des Personnes concernées par le Traitement
confié au Sous-traitant.
Dans le
cadre de leurs relations contractuelles, les Parties s’engagent à respecter la
réglementation en vigueur applicable au Traitement de Données personnelles et,
en particulier, le Règlement.
En cas de
contrôle d’une autorité compétente, les Parties s’engagent à coopérer entre
elles et avec l’autorité de contrôle.
Dans le cas
où le contrôle mené chez SILOGISME concernerait les Traitements mis en œuvre au
nom et pour le compte du Client :
En cas de
contrôle d’une autorité compétente chez le Client portant notamment sur les
Services réalisés par SILOGISME :
Chacune des
Parties déclare être assurée pour sa responsabilité civile professionnelle
auprès d’une compagnie notoirement solvable et s’engage à maintenir cette
garantie pendant toute la durée du présent Contrat, afin de couvrir tout
dommage qui pourrait être causé à l’autre Partie ou à tout tiers,
consécutivement à l’exécution ou à l’inexécution du présent Contrat, y compris
en cas de dommage résultant du Traitement de Données Personnelles.
Chacune des
Parties s’engage à fournir, à première demande de l’autre Partie, une
attestation avec le nom de la compagnie, le numéro de la police d’assurance,
ainsi que la nature et le montant des garanties souscrites.
Chacune des
Parties s’engage également à signaler à l’autre Partie toute modification,
suspension ou résiliation desdites polices d’assurance, quelle qu’en soit la
cause, dans les plus brefs délais.
Le
Sous-traitant met à disposition du Responsable du traitement, toutes les
informations nécessaires pour démontrer le respect, par ses soins, de ses
obligations au titre de la Loi applicable.
Pendant
toute la durée du Contrat, le Responsable du traitement pourra, sous réserve du
respect d’un préavis de quarante-cinq (45) jours, contrôler ou faire contrôler
par un tiers soumis à des obligations de confidentialité et non-concurrent du
Sous-traitant, le représentant, à ses frais et une (1) fois par an, le respect
des obligations contenues dans la présente Annexe.
Le périmètre
de l’audit et sa durée seront déterminés préalablement par les Parties.
L’audit sera
alors effectué dans les locaux du Sous-traitant, pendant les heures ouvrables
normales et de manière qu’il n’en résulte pas une gêne excessive pour les
activités du Sous-traitant.
En cas de
constat de défauts de conformité et après notification du rapport d’audit par
le Responsable du traitement au Sous-traitant, les Parties se réuniront pour
étudier les mesures à mettre en œuvre au travers d’un plan d’action proposé par
le Sous-traitant, en réponse aux non-conformités observées.
En tant que
Responsable du traitement, le Client est responsable des dommages causés par le
Traitement effectué en violation de la Loi applicable.
Le
Sous-traitant ne sera tenu pour responsable du dommage causé par le Traitement
que s’il n’a pas respecté les obligations qui lui incombent spécifiquement au
titre de la Loi applicable ou s’il a agi en dehors ou contrairement aux instructions
licites du Responsable du traitement.
Le
Sous-traitant ne saurait engager sa responsabilité en cas : (i) de non-respect,
par le Responsable du traitement, de ses obligations légales, réglementaires ou
contractuelles ; (ii) d’instructions illicites du Responsable du traitement ;
(iii) plus généralement, de tout manquement lié à l’exploitation des Données
personnelles.
Le
Sous-traitant est exonéré de sa responsabilité s’il démontre que le fait qui a
provoqué le dommage ne lui est nullement imputable.
La présente
Annexe ne pourra être modifiée que par voie d’avenant, dans les conditions
définies à l’article 17 du Contrat.
APPENDICE A
:
DESCRIPTION
DU TRAITEMENT
Le présent
appendice définit les caractéristiques du Traitement mis en œuvre par le
Responsable du traitement et confié au Sous-traitant :
Le client
signataire du présent, ou le mandataire social de la société signataire du
présent contrat, est le responsable du traitement.
La mise à
disposition auprès du Client d’outils techniques destinés à gérer les
interventions sur le patrimoine bâti, pour son propre compte ou celui d’un
tiers.
Durant toute
la durée de la souscription
Le
traitement des données à caractère personnel par SILOGISME est nécessaire pour
la fourniture de la Solution.
Les Personnels
du Client ou de ses sous-traitants.
Les
Personnels des sociétés clientes du Client (contacts commerciaux, techniques…)
Nom, prénom,
adresse, email, genre, numéro de téléphone, fonction, coordonnées de
l’entreprise et de ses sites, un champ « note » sous la responsabilité du Responsable
de Traitement.
Aucunes
données personnelles sensibles qui révèlent la prétendue origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou
philosophiques ou l’appartenance syndicale, ainsi que le traitement des données
génétiques, des données biométriques aux fins d’identifier une personne
physique de manière unique, des données concernant la santé ou des données
concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ne
sont nécessaire au fonctionnement de SILOGISME.
Les
opérations consistent à conserver et analyser certaines Données personnelles du
Client et/ou de l’Utilisateur pour les nécessités du Service et de son
amélioration. Il s’agit également de stocker certaines Données personnelles des
clients du Responsable de traitement, que ce dernier choisit de stocker sur son
espace Client et/ou Utilisateur, pour les besoins de son activité et la
production des documents proposés par la Solution. SILOGISME se contente de
stocker ces Données pour les besoins du Client, sans en faire aucun usage.
Le
traitement n’est réalisé que pour la durée de l’abonnement au Client et/ou à
l’Utilisateur, sous réserve du stockage et de l’archivage de certaines Données
personnelles du Client et/ou de l’Utilisateur (hors Données clients), soit
consentis par le Client et/ou l’Utilisateur, soit nécessaires à la finalisation
de la relation post-contractuelle, soit conformément aux conditions d’archivage
de Données personnelles utiles, prévues par la réglementation applicable.
Les
informations relatives aux droits des personnes concernées sont contenues au
sein des Conditions générales d’utilisation lesquelles sont mises à disposition
du Client par SILOGISME :
SILOGISME ne
peut sous-traiter tout ou partie de la Solution contenant des Données
personnelles, notamment vers un pays qui n’est pas situé dans l’Union
européenne, qu’après avoir obtenu l’accord préalable, écrit et exprès du Client
et, en tout état de cause, qu’après avoir reproduit et obtenu, auprès de ses
sous-traitants autorisés, le même niveau d’engagement et d’obligations que le
sien, et en demeurant responsable de ces derniers au regard de du client.
SILOGISME
informe l’Utilisateur, qui l’accepte, qu’il sous-traite une partie du Service
auprès de divers sous-traitants, auprès desquels il a obtenu le même niveau
d’engagement, à savoir :
Mesures organisationnelles et techniques mises en
place par le Sous-traitant :
Mesures de
sécurité organisationnelles :
SILOGISME
s’engage à prendre toutes les mesures nécessaires au respect par elle-même et
par son personnel de ses obligations et notamment à :
SILOGISME
s’engage à prendre toute mesure utile afin de garantir que les personnes
physiques agissant sous son autorité, intervenant dans la Solution et ayant
accès aux Données à caractère personnel, reçoivent la formation et
l’information nécessaire en la matière, respectent la confidentialité des
Données personnelles et ne les traite pas autrement que pour la Solution.
Le client
devra fournir, au moment de la collecte de Données personnelles auprès de ses
clients, l’information relative à la sous-traitance de certaines d’entre elles
auprès de SILOGISME.
Mesures de sécurité
techniques
Le
Sous-traitant s’engage à mettre en œuvre les mesures de sécurité techniques
suivantes : sécurisation des serveurs utilisés pour Silogisme, la gestion des
habilitations, l’authentification des utilisateurs, la réalisation de
sauvegarde de données, le traçage des accès, la gestion des incidents, de la
maintenance et de la destruction des données.