Conformité au RGPD

Avenant à la convention de services – Protection des données à caractère personnel

 

Définitions

Dans la présente section, les termes suivants sont définis ci-dessous.

  • Contrat : a le sens qui lui est donné à l’article III.1 des présentes.
  • Personne(s) Concernée(s) : toutes personnes physiques à propos desquelles Dialog Insight et respectivement le Responsable du Traitement traitent des données à caractère personnel.
  • Règlement européen sur la protection des données ou RGPD: le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.
  • Responsable du Traitement : la partie qui détermine les finalités et les moyens du Traitement.
  • Sous-Traitant : la partie qui traite les données à caractère personnel pour le compte du Responsable du Traitement.
  • Sous-Traitant Ultérieur : a le sens qui lui est donné à l’article III.6 des présentes.
  • Traitement : toute opération ou tout ensemble d’opérations effectuées sur des données à caractère personnel, tel que défini par le Règlement européen sur la protection des données.
  • Violation de données à caractère personnel : un manquement à la sécurité conduisant à la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée, l’accès à ou tout autre Traitement non autorisé des données à caractère personnel transmises, stockées ou autrement Traitées.

 

Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles Dialog Insight en qualité de Sous-Traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de Traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de données à caractère personnel et, en particulier, le Règlement européen sur la protection des données ou RGPD.

Description du Traitement faisant l’objet de la sous-traitance

Dans le cadre de la mise à disposition d’une solution informatique, Dialog Insight est autorisée à traiter pour le compte du client en qualité de Responsable du Traitement les données à caractère personnel nécessaires pour fournir le service de l’application de gestion de campagnes multicanal et de ses composantes.

La nature des opérations réalisées sur les données est d’enregistrer les contacts inscrits pour recevoir les communications selon les canaux de communication ciblés et d’automatiser les processus et les scénarios de communications interactives.

La ou les finalité(s) du Traitement sont de contenir les données sur les contacts, ses intérêts, ses actions à travers les messages envoyés, les actions sur les sites web et les transactions réalisées.

Les données à caractère personnel traitées peuvent comprendre notamment les coordonnées d’adresses, les données nominales déclaratives, les données comportementales telles que les actions dans les messages et transactions réalisées, les parcours de navigation des contacts.

Obligations de Dialog Insight vis-à-vis du Responsable du Traitement

Dialog Insight s’engage à :

traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la convention de services conclue avec le Client (ci-après le « Contrat »), sauf si Dialog Insight a l’obligation au titre du droit de l’Union européenne ou du droit de l’État membre auquel le Sous-Traitant est soumis de les traiter pour d’autres finalités (auquel cas Dialog Insight informera préalablement le Responsable du Traitement de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public) ;

traiter les données conformément aux instructions documentées du Responsable du Traitement figurant au Contrat. Si Dialog Insight considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, elle en informe immédiatement le Responsable du Traitement. En outre, si Dialog Insight est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale (outre dans le cas prévu dans la présente annexe), en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, elle doit informer le Responsable du Traitement de cette obligation juridique avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

prendre les mesures nécessaires pour assurer la confidentialité des données à caractère personnel traitées dans le cadre du Contrat ;

veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du Contrat :

s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

 

Sous-traitance ultérieure

Dialog Insight peut faire appel à un autre sous-traitant (ci-après, « Sous-Traitant Ultérieur ») pour mener des activités de Traitement spécifiques. Le Responsable du Traitement autorise expressément toute intervention d’un Sous-Traitant Ultérieur sous réserve de l’assujettissement du Sous-Traitant Ultérieur aux mêmes contrôles et obligations que le Sous-Traitant initial.

Dialog Insight s’engage à informer le Responsable du Traitement préalablement et par écrit de tout changement envisagé concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur et les dates du contrat de sous-traitance avec ce dernier.

Le Sous-Traitant Ultérieur est tenu de respecter les obligations découlant de la présente annexe pour le compte et selon les instructions du Responsable du Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du Règlement européen sur la protection des données. Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant initial demeure pleinement responsable devant le Responsable du Traitement de l’exécution par le Sous-Traitant Ultérieur  de ses obligations.

Droit d’information des Personnes Concernées

Il appartient au Responsable du Traitement de fournir l’information aux Personnes Concernées par les opérations de Traitement au moment de la collecte des données.

 

Exercice des droits des Personnes Concernées

Dans la mesure du possible, Dialog Insight doit aider le Responsable du Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les Personnes Concernées exercent auprès de Dialog Insight des demandes d’exercice de leurs droits, Dialog Insight doit adresser ces demandes dès réception par courrier électronique au contact Responsable du Traitement tel que défini dans l’application de gestion de Dialog Insight.

 

Notification des Violations de données à caractère personnel

Dialog Insight notifie au Responsable du Traitement toute violation de données à caractère personnel dans les meilleurs délais, si possible, de 24 heures après en avoir pris connaissance et par le moyen suivant soit par courriel. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente aux Personnes Concernées.

Aide de Dialog Insight dans le cadre du respect par le Responsable du Traitement de ses obligations

Dialog Insight est, à la demande du Responsable du Traitement, tenue de lui fournir une assistance raisonnable dans le cadre de la réalisation d’analyses d’impact relative à la protection des données à caractère personnel qui peuvent être requises en application de l’article 35 ou 36 du Règlement européen sur la protection des données.

Dialog Insight aide le Responsable du Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.

Des frais pour la réalisation d’analyse et de consultation peuvent être applicables.

Mesures de sécurité

Dialog Insight s’engage à mettre en œuvre les mesures de sécurité suivantes :

Les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres

  • la pseudonymisation et le chiffrement des données à caractère personnel
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement;
  • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.

Dialog Insight s’engage à mettre en œuvre les mesures de sécurité prévues par sa Politique de sécurité de l’information (PSSI), certification SSAE SOC 2 type 2 et ISO 27 001.

Sort des données

Au terme de la prestation de services relatifs au Traitement de ces données, Dialog Insight s’engage à :

  • détruire toutes les données à caractère personnel, à moins que le droit de l’Union ou le droit de l’État membre auquel le Sous-Traitant est soumis n’exige la conservation des données à caractère personnel.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de Dialog Insight selon ses procédures internes.

Délégué à la protection des données

Dialog Insight communique au Responsable du Traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du Règlement européen sur la protection des données.

La désignation porte le numéro : DPO-4867

Registre des catégories d’activités de Traitement

Dialog Insight déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement des données à caractère personnel effectuées pour le compte du Responsable du Traitement comprenant :

  • le nom et les coordonnées du Responsable du Traitement pour le compte duquel il agit, des éventuels Sous-Traitants Ultérieurs et, le cas échéant, du délégué à la protection des données;
  • les catégories de Traitements effectués pour le compte du Responsable du Traitement;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
  • la pseudonymisation et le chiffrement des données à caractère personnel;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de Traitement;
    • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
    • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du Traitement.
  1. Documentation

Dialog Insight met à la disposition du Responsable du Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations au niveau de la sécurité dont la lettre de rapport de l’auditeur externe sous la norme SSAE-16 SOC 2 ou ISO 27 002 et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du Traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.  Des frais et limites de protection de l’ensemble des clients demeurent applicables pour le client qui exige la contribution de Dialog Insight.

Obligations du Responsable du Traitement vis-à-vis Dialog Insight

Le Responsable du Traitement s’engage à :

  1. fournir au Sous-Traitant les données visées à l’article II des présentes clauses ;
  2. documenter par écrit toute instruction concernant le Traitement des données par Dialog Insight :
  3. veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le Règlement européen sur la protection des données ;
  4. superviser le Traitement, y compris, s’assurer de la mise en place adéquate des politiques d’utilisation, de l’obtention des consentements appropriés ;
  5. veiller à la gestion appropriée des accès des utilisateurs aux systèmes de Dialog Insight y compris la révision des audits des accès et les inspections auprès Dialog Insight ;
  6. fournir toutes informations requises par le Règlement européen sur la protection des données aux Personnes Concernées par les opérations de Traitement au moment de la collecte des données ;
  7. prendre toutes les mesures raisonnables permettant de s’assurer, lors de l’utilisation des produits et services de Dialog Insight, que le Responsable du Traitement, ses salariés et préposés ne communiquent pas des renseignements non pertinents ou inutiles concernant des Personnes Concernées ;
  8. porter à l’attention de toute personne physique auprès de qui le Responsable du Traitement met à disposition les produits et services de Dialog Insight les notices relatives à la protection des données à caractère personnel publiées par Dialog Insight concernant ces produits et services ;
  9. maintenir à jour les coordonnées du ou des contacts Responsable du Traitement dans l’application de Dialog Insight.

Dans le cadre de la mise à disposition de ses produits et services, Dialog Insight peut être amenée à transférer les données à caractère personnel aux entités du groupe Dialog Insight et/ou aux Sous-Traitants Ultérieurs situés au Canada, ce pays bénéficiant d’une décision d’adéquation de la Commission européenne en matière de protection des données à caractère personnel, ce que le Responsable du Traitement reconnaît et accepte expressément.