Accord sur le traitement des données («DPA») pour Business Driver
en conformité avec l'article 26 du RGPD
En vigueur le 17 mars 2020 (la «date d'entrée en vigueur»)
Entre la personne indiquée dans le contrat («Client») et Digital Solution Srl, basée à Rome, Via Archimede, 207 Numéro de TVA / Code fiscal: IT13873451002 («Digital Solution»)
ci-après individuellement la " Partie " et conjointement les " Parties ".
Le Client a signé un Contrat avec Digital Solution pour l'utilisation de Business Driver, une application cloud fournie en mode SaaS . Le présent accord fait partie intégrante de cet accord.
Business Driver permet au client et à ses utilisateurs d'insérer des informations et des documents informatiques dans l'infrastructure Cloud de la solution numérique. Dans la mesure où ces informations contiennent des données personnelles, les parties acceptent expressément l'application de la présente DPA sur la responsabilité partagée, dans les cas où les deux partagent les rôles et les responsabilités d'un responsable du traitement des données comme suit:
- Le client (i) définit les finalités du traitement des données personnelles, (ii) est responsable de l'exactitude des données personnelles, (iii) a la responsabilité d'informer les parties intéressées sur le traitement des données personnelles et les méthodes d'exercice de leurs droits, et (iv) si nécessaire, est responsable de la notification (y compris celles de violation de la protection des données) aux autorités de protection des données.
- Digital Solution (i) définit les moyens du Traitement et (ii) est responsable de la mise en œuvre des mesures de sécurité.
Ces rôles et responsabilités sont décrits plus en détail à l'article 4 ci-dessous (Rôles et responsabilités).
Le présent DPA s'applique à toutes les activités menées par Digital Solution dans le cadre des Services et prévaut sur tout autre accord pour le traitement des données existantes ou accord similaire entre Digital Solution et le Client déjà existant pour ces Services.
Le Client reconnaît avoir reçu toutes les informations qu'il juge nécessaires pour établir que Digital Solution fournit des garanties suffisantes pour la protection des Données personnelles.
- définitions
Outre les termes définis dans d'autres parties des Conditions Générales, les définitions suivantes s'appliquent:
1.1 Par « loi applicable sur la protection des données »: désigne les lois et réglementations concernant le traitement et la protection des données personnelles applicables dans le pays dans lequel Digital Solution a son siège social. En particulier, la loi applicable signifie (a) le règlement UE 2016/679 (règlement général sur la protection des données,
«RGPD») b) les lois ou réglementations de l'État membre relatives au traitement et à la protection des données à caractère personnel dans le cadre de la mise en œuvre ou de l'intégration du RGPD; et (c) toute autre loi ou réglementation applicable concernant le traitement et la protection des données personnelles aux fins du présent accord.
1.2 « Violation de la protection des données » indique une violation de la sécurité qui entraîne la destruction, la perte, l'altération ou la divulgation non autorisée ou illégale des données personnelles traitées aux fins du présent DPA.
1.3 « renseignements personnels » désigne toute information relative à une personne identifiée ou identifiable ( « Objet »); une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, avec une référence particulière à un numéro d'identification ou à un ou plusieurs éléments caractéristiques de son identité physique, physiologique, psychique, économique, culturelle ou sociale.
Avec 1,4 tout moyen d'opération ou série d'opérations « traitement » ou « traite » effectuée sur les données personnelles, avec ou sans des moyens automatiques, tels que la collecte, le stockage, l' adaptation ou la modification, l' extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, limitation, annulation ou destruction.
1.5 « Responsable du traitement» désigne la personne physique ou morale qui, individuellement ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.
- Catégories de données personnelles en vertu de cette DPA:
Les catégories de données personnelles suivantes sont normalement collectées et traitées par Digital Solution pour exécuter les services conformément aux conditions générales:
- Données de profil: données personnelles des utilisateurs de Business Driver en particulier, nom d'utilisateur, mot de passe, adresse e-mail et droits d'accès;
- Données d'activité: données personnelles obtenues de l'utilisation du Business Driver par l'utilisateur;
- Données transitoires et de session: données personnelles qui ne sont pas stockées sur le Business Driver (telles que les informations de présence ou de position) ou qui sont liées à une session de connexion (par exemple, les adresses IP).
Les catégories de données personnelles suivantes sont exclues de cette DPA:
- Données personnelles de tiers que les utilisateurs de Business Driver peuvent saisir via des messages texte, en téléchargeant des documents ou des fichiers informatiques.
- Catégories de parties intéressées en vertu de la présente APD:
Dans le cadre de cette DPA, le traitement des données personnelles concerne les catégories suivantes de personnes concernées:
- Utilisateurs de la location dans la location de pilote d'entreprise du client,
- Utilisateurs multi-locataires ayant accès à la location de pilote d'entreprise du client (uniquement pour les données d'activité conservées dans la location de services cloud du client).
- 4 . Rôles et responsabilités de la solution client et numérique
4 . 1 Rôle et responsabilité du client:
4.1.1 Finalité et légalité du traitement : Le client sera responsable de définir la finalité du traitement des données personnelles, la légitimité du transfert des données personnelles à Digital Solution et la légitimité du traitement des données. Le Client remplira et veillera à ce que ses sociétés associées et collaborateurs remplissent toutes leurs obligations en vertu du Règlement sur la protection des données lors du traitement des Données personnelles en relation avec les services cloud. À cet égard, le Client garantit notamment qu'il a obtenu et conserve tous les enregistrements et autorisations nécessaires auprès des autorités compétentes en matière de protection des données et des bases juridiques valides pour le traitement des Données personnelles.
4.1.2 Exercice de leurs droits par les parties intéressées : le client sera l'interlocuteur privilégié des parties intéressées pour l'exercice de leurs droits conformément à la législation applicable en matière de protection des données.
4.1.3 Exactitude, qualité, légalité et fiabilité des données personnelles : le client sera seul responsable de l'exactitude, de la qualité, de la légalité et de la fiabilité des données personnelles et des moyens par lesquels il acquiert des données personnelles pour le traitement par par Digital Solution.
4.1.4 Évaluation des risques : le client sera responsable de l'évaluation des risques résultant du traitement des données personnelles.
4.1.5 Registres de traitement : dans la mesure requise par la loi applicable, le Client sera responsable de la préparation et de la tenue des registres de traitement des activités. Digital Solution mettra les informations respectives à disposition dans les "Informations sur le traitement des données personnelles des utilisateurs".
4.1.6 Informations aux parties intéressées : le client sera responsable de fournir des informations aux parties intéressées concernant le traitement des données personnelles sur la base des dispositions de la législation applicable en matière de protection des données.
4.1.7 Informations sur la répartition des responsabilités entre les personnes concernées : le client est responsable d'informer la personne concernée de la répartition des responsabilités entre les parties contractantes, comme indiqué dans le présent DPA.
4.1.8 Notification de violation de la protection des données : Le client est tenu de respecter les obligations de notification de la violation des données découlant des exigences applicables en matière de protection des données. Lorsque c'est la loi applicable en matière de protection des données qui l'impose, le Client est responsable de la notification de la violation de la protection des données personnelles aux Personnes concernées et aux Autorités de protection des données.
4.1.9 Modifications de la législation applicable : le Client est tenu de communiquer à Digital Solution, dans les conditions prévues, les modifications des dispositions légales susceptibles d'affecter les obligations contractuelles de Digital Solution en vertu du présent DPA et pouvant nécessiter la modification du DPA et l'examen convenu. Digital Solution a également le droit de présenter des propositions au Client s'il juge nécessaire d'introduire un changement spécifique afin de continuer à agir conformément à la loi applicable.
4.1.10 Irrégularités ou erreurs dans le traitement des données personnelles : Le client est tenu d'informer Digital Solution en temps opportun et de manière complète de toute erreur ou irrégularité dont il devrait avoir connaissance et qui concerne la législation sur la protection des données sur le Traitement des données personnelles.
4.1.11 Notification aux destinataires des données personnelles concernant la rectification, l'annulation des données personnelles ou la limitation du traitement: Digital Solution divulgue les données personnelles exclusivement pour le traitement nécessaire à la fourniture de Business Drivers (voir article 8) . Dans la mesure où le client divulgue des données personnelles à un destinataire, par ex. en agrégeant Business Driver avec d'autres services cloud pour la transmission de Données Personnelles via des interfaces de programmation (API), le Client est tenu d'informer les destinataires concernés des demandes des parties intéressées pour la rectification ou l'annulation des données personnelles divulguées ou concernant une limitation du traitement.
4.1.12 Divulgation des données personnelles : Digital Solution ne divulgue les données personnelles qu'aux destinataires pour lesquels elle est tenue de le faire à des fins de traitement. Pour plus d'informations, voir les "Informations sur le traitement des données personnelles des utilisateurs". Certaines fonctionnalités de Business Driver permettent aux clients et aux utilisateurs de divulguer des données personnelles à des tiers. Dans la mesure où le Client ou ses utilisateurs utilisent ces fonctions, le Client a la responsabilité d'informer les parties intéressées (article 4.1.6) et d'insérer l'utilisation en question dans les Registres de Traitement (point 4.1.5).
4 . 2 Rôle et responsabilité de Digital Solution
4.2.1 Moyens de traitement : Digital Solution sera chargée de définir les moyens de traitement et, en référence aux points 4.1.5 et 4.1.6, de fournir des informations sur ces moyens au Client, notamment pour permettre au Client de compléter le Registres de traitement et d'informer les personnes concernées conformément à la législation applicable en matière de protection des données. Les "Informations sur le traitement" sont disponibles dans les "Informations sur le traitement des données personnelles des utilisateurs".
4.2.2 Étendue du traitement par Digital Solution : Digital Solution ne peut collecter et traiter des données personnelles que dans le cadre de la présente DPA et des conditions générales applicables à Business Driver et pour améliorer et mettre à niveau ces services. Les modifications substantielles affectant la portée du traitement des données doivent être établies d'un commun accord et doivent être documentées. En vertu de ce DPA, Digital Solution reconnaît expressément qu'elle ne traitera les données personnelles que pour fournir des pilotes d'entreprise, pour les améliorer et les mettre à niveau.
4.2.3 Mise en œuvre des mesures de sécurité : Digital Solution sera responsable de la mise en œuvre des mesures de sécurité pour le traitement des données personnelles dans le cadre de Business Driver. Digital Solution adoptera les mesures techniques et organisationnelles appropriées, comme indiqué dans la pièce jointe du même nom, développées pour protéger les données personnelles du Client contre les abus et les pertes, ou contre toute autre violation de la protection des données conformément à la législation applicable sur la protection des données. Le Client est conscient du fait que les mesures techniques et organisationnelles sont soumises au progrès technique et aux évolutions futures. À cet égard, Digital Solution peut utiliser des mesures alternatives appropriées, en informant les clients en mettant à disposition, sur demande, une description des mesures en question.
4.2.4 Informations aux parties intéressées sur la répartition des responsabilités des parties : Digital Solution est responsable de rendre le document DPA standard accessible sans modification à tous les utilisateurs de Business Driver. Si le DPA contient des modifications par rapport au document DPA standard demandé par le Client, Digital Solution n'est en aucun cas responsable de rendre ces modifications accessibles aux parties intéressées.
4.2.5 Notification de violation de la protection des données : En référence au point 4.1.8, en cas de violation de la protection des données, Digital Solution assistera le client et mettra à disposition toutes les informations nécessaires auxquelles il a accès pour permettre au client pour remplir ses obligations. Digital Solution informera le Client sans retard excessif en cas de violation des Données personnelles du Client détectées par Digital Solution.
4.2.6 Conservation des données personnelles / limitations de suppression : En règle générale , les données personnelles traitées par Digital Solution sont conservées jusqu'à ce qu'elles soient a) supprimées par le client ou les utilisateurs du pilote professionnel, ou b) à l'expiration du stockage indiqué par le Client, ou c) la résiliation du contrat pour les services cloud du Client sur Business Driver.
4.2.7 Annulation des données personnelles et exportation à la résiliation du contrat de chauffeur d'entreprise : Digital Solution sera responsable de la suppression de toutes les données saisies par le client et les utilisateurs du chauffeur d'entreprise («données de location»), y compris les données personnelles à la fin de la mois civil suivant l'expiration ou la cessation de l'utilisation par le Client de Business Driver ou, à la demande du Client, à tout moment. À la demande du client, Digital Solution fournira une exportation des données de location dans un format de données qui peut être traité par le client pour le transfert vers d'autres services cloud.
4.2.8 Exercice de leurs droits par les parties intéressées : dans le cas où Digital Solution reçoit une demande d'une partie intéressée pour l'exercice des droits conformément aux dispositions de la législation applicable en matière de protection des données, Digital Solution est tenus de transmettre cette demande au Client qui, sans délai indu, vous fournira des informations sur la marche à suivre. Le Client reconnaît qu'en cas de conflit entre la Personne concernée et le Client, la législation applicable peut contraindre Digital Solution à satisfaire la demande de la Personne concernée malgré l'opposition du Client. En tout état de cause, l'adoption de cette mesure par Digital Solution n'aurait lieu qu'après une évaluation minutieuse de la situation juridique avec le Client.
4.2.9 Effets de l'annulation des données personnelles : Avec cet accord, le client confirme et reconnaît que si le client est invité à annuler les données personnelles ou à limiter leur traitement, cela pourrait rendre impossible la fourniture des produits ou services souscrits ou fourni. Digital Solution informera le Client avant de faire la demande.
4.2.10 Copies de sauvegarde des données personnelles : Digital Solution effectuera des copies de sauvegarde des données personnelles dans la mesure où elles sont nécessaires pour garantir le traitement correct des données personnelles. Digital Solution peut copier et conserver les données personnelles nécessaires pour permettre au client et à Digital Solution de remplir les obligations légales de conservation des documents.
4.2.11 Délégué à la protection des données : Digital Solution est tenu de mettre à disposition les données de contact de son Délégué à la protection des données (DPD) sur Internet. À la date d'entrée en vigueur du présent DPA, les coordonnées du DPD sont [email protected]
- Responsabilités et accords mutuels
5.1 Les Parties conviennent que toute demande relative aux Données personnelles faite par le Client sera présentée sous forme écrite et explicite. Dans le cas où une modification des services serait nécessaire pour de telles demandes, cette modification sera renégociée de bonne foi par les parties, ainsi que le prix relatif.
5.2 Chaque partie veillera à ce que son personnel soit légalement tenu de respecter les obligations en matière de protection des données et de maintenir la confidentialité des données et à être au courant des autres dispositions applicables en matière de protection des données à caractère personnel, en particulier en ce qui concerne le secret des télécommunications. L'obligation de confidentialité des données continue pour le personnel une fois le contrat de travail ou de travail conclu.
5.3 Si Digital Solution est réputée satisfaire les demandes du client, cela peut entraîner une violation de la législation applicable en matière de protection des données et doit en informer rapidement le client. Digital Solution aura le droit de suspendre la mise en œuvre de cette demande jusqu'à ce que le Client la confirme ou la modifie.
5.4 En vertu du présent DPA, les parties reconnaissent que les mesures de sécurité mentionnées dans l'annexe - «Mesures techniques et organisationnelles» fournissent des garanties suffisantes pour les données personnelles traitées. Le client est conscient que les mesures techniques et organisationnelles sont soumises à des progrès développements techniques et développements ultérieurs À cet égard, Digital Solution peut adopter des mesures alternatives appropriées.
5.5 Dans le cas où les données personnelles du client sont soumises à la perquisition et à la saisie, à une ordonnance de saisie, à la confiscation lors d'une procédure de faillite ou d'insolvabilité, ou à des événements ou des mesures similaires par des tiers, si la loi l'autorise, Digital Solution est tenus d'informer le client sans retard injustifié. À son tour, sans délai indu, Digital Solution communiquera à toutes les parties impliquées dans cette action que les Données Personnelles concernées par les mesures en question sont la propriété exclusive du Client et qu'il en est de même qui en disposent exclusivement, et que c'est le Client qui être responsable conformément à la loi applicable sur la protection des données.
- 6 . Demandes des autorités de contrôle
6.1 Dans les cas prévus par la loi, les deux parties conserveront les documents relatifs aux données personnelles traitées aux fins de la présente DPA, collaboreront et fourniront toutes les informations nécessaires au respect des obligations susmentionnées et de l'obligation de notification conformément à la loi applicable en protection des données.
6.2 Dans les cas où Digital Solution doit fournir une assistance au Client pour remplir les obligations légales de ce dernier conformément aux dispositions du présent article 6, le Client remboursera à Digital Solution tout autre coût raisonnable lié à l'assistance fournie.
- 7 . Droits de contrôle
7.1 Pas plus d'une fois par an et avec une demande écrite envoyée au moins soixante (60) jours avant, chaque Partie aura le droit d'effectuer un contrôle pour vérifier le respect des dispositions contenues dans le présent DPA, en vérifiant les mesures techniques et organisationnelles mises en œuvre par le partie soumise au contrôle. Des preuves pour démontrer la mise en œuvre de ces mesures qui ne sont pas exclusivement liées à cette APD spécifique ou à l'accord peuvent également être fournies en présentant un certificat actuel, des rapports ou des extraits de rapports établis par des tiers indépendants, par ex. par des auditeurs officiels, par des auditeurs, par un ou plusieurs délégués à la protection des données internes ou externes de la partie sous contrôle, par le bureau de la sécurité informatique, par des auditeurs internes et externes de la confidentialité, par des auditeurs de qualité, ou en présentant un certificat approprié délivré après la vérification effectuée par un tiers sur la protection des données ou la sécurité informatique de la partie sous contrôle.
7.2 Chaque partie se réserve le droit de refuser de fournir à l'autre partie des secrets industriels ou commerciaux, un savoir-faire opérationnel et des informations dont le contrôle constituerait un risque pour la sécurité de la partie sous contrôle ou de ses clients, ou que la partie soumet le contrôle n'est pas tenu de fournir ou de divulguer, étant des données protégées par la loi ou des données d'autres clients.
- 8 . Sous-gestionnaires
8.1 En vertu de cette DPA, le Client reconnaît et accepte que Digital Solution peut embaucher des sous-traitants pour la fourniture de Business Drivers. Ces sous-traitants peuvent être des sociétés du groupe Digital Solution «Sous-traitants internes») ou des sous-traitants tiers («Sous-traitants externes»).
8.2 Dans le cas où Digital Solution a l'intention d'embaucher un nouveau sous-traitant externe qui ne figure pas dans la liste des sous-traitants agréés à la date d'entrée en vigueur du présent DPA, les points 9.2 et 9.3 seront appliqués. Pour éviter toute ambiguïté, il est expressément convenu que les sous-traitants internes sont exclus de cette disposition et le client est réputé ne pas s'opposer à l'utilisation de sous-traitants internes.
8.3 Transferts de données personnelles vers des pays tiers ou des pays:
8.3.1 En vertu du présent DPA, le Client reconnaît et accepte expressément que les Données personnelles peuvent être transférées et / ou traitées par des Sous-traitants externes comme indiqué au point 8.1 précédent, y compris le cas dans lequel ces Sous-traitants externes sont en dehors de l'Espace Économique européen (EEE).
8.3.2 Dans les cas où Digital Solution transfère des données personnelles à un sous-traitant externe, en dehors de l'EEE, avec le présent DPA, le client accorde expressément à Digital Solution le mandat de conclure tout accord pour garantir que la partie destinataire met en œuvre un niveau de protection suffisant pour les données personnelles reconnu comme adéquat par les autorités locales ou européennes compétentes.
- 9 . Modifications de cette DPA
9.1 Le Client reconnaît que les conditions énoncées dans le présent DPA et dans les "Mesures techniques et organisationnelles" peuvent être modifiées par Digital Solution. Une modification nécessite le consentement du client si a) elle concerne la répartition des responsabilités entre les parties contractantes, ou b) limite les droits du client, ou c) demande son consentement conformément aux dispositions de la législation applicable en matière de protection des données. Dans d'autres cas, il suffit que le client soit informé du changement.
9.2 En cas de modification pour laquelle le consentement du Client doit être obtenu, Digital Solution informera le Client de la modification par e-mail à l'Administrateur du Locataire de Business Driver et mettra les informations pertinentes à la disposition du Client afin qu'il puisse en consulter au moins trente ( 30) jours civils avant la date à laquelle la modification prend effet. Digital Solution offrira au Client la possibilité d'exprimer son consentement ou de s'opposer. Si Digital Solution ne reçoit aucune objection du Client après le délai de réponse indiqué dans la communication de modification, qui doit être d'au moins dix (10) jours calendaires à compter de la date de communication, le consentement du Client sera considéré comme accordé. Dans les situations d'urgence, une réduction des délais de déclaration et de réponse est possible.
9.3 Le Client ne s'opposera pas à une modification sans fournir à Digital Solution une explication écrite détaillée des raisons de cette opposition. Digital Solution fera tous les efforts raisonnables, d'un point de vue commercial, pour fournir des explications concernant les préoccupations exprimées par le Client. Les parties coopéreront de bonne foi pour parvenir à un accord. Si cela n'est pas possible, les services contractuels cesseront.
- 10 . responsabilité
10.1 Digital Solution et le Client s'acquitteront de leurs obligations respectives, comme indiqué dans le présent DPA et par la loi applicable sur la protection des données.
10.2 Le Client sera pleinement responsable en cas de non-respect des obligations visées au point 4.1 précédent et de celles indiquées à l'article 5 précédent.
10.3 Digital Solution sera pleinement responsable en cas de non-respect des obligations visées au point 4.2 précédent et de celles indiquées à l'article 5 précédent, sans préjudice de la responsabilité éventuelle du Client.
10.4 La Partie défaillante sera exonérée de toute responsabilité si celle-ci s'avère totalement indépendante des circonstances ayant causé le dommage.
10.5 Dans les cas où le Client et la Solution numérique sont responsables de tout dommage causé en violation d'un respect prévu par le présent DPA, chaque Partie sera tenue responsable de l'intégralité des dommages afin de garantir l'indemnisation effective de l'intéressé. La Partie qui a assumé l'entière responsabilité de l'indemnisation du préjudice subi aura le droit de demander à l'autre partie impliquée l'indemnisation correspondant à sa part de responsabilité pour le préjudice en question.
- 11 . Dispositions générales
11.1 Si une seule disposition de la DPA est illégale, sans valeur, nulle, annulable ou inapplicable, le reste de la DPA continuera d'avoir pleine validité et efficacité. Les parties conviendront d'une disposition efficace reflétant, dans la mesure du possible, les intentions des parties aussi précisément que possible.