Définitions
Dans la présente section, les termes suivants sont définis ci-dessous.
Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles Dialog Insight en qualité de Sous-Traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de Traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au Traitement de données à caractère personnel et, en particulier, le Règlement européen sur la protection des données ou RGPD.
Description du Traitement faisant l’objet de la sous-traitance
Dans le cadre de la mise à disposition d’une solution informatique, Dialog Insight est autorisée à traiter pour le compte du client en qualité de Responsable du Traitement les données à caractère personnel nécessaires pour fournir le service de l’application de gestion de campagnes multicanal et de ses composantes.
La nature des opérations réalisées sur les données est d’enregistrer les contacts inscrits pour recevoir les communications selon les canaux de communication ciblés et d’automatiser les processus et les scénarios de communications interactives.
La ou les finalité(s) du Traitement sont de contenir les données sur les contacts, ses intérêts, ses actions à travers les messages envoyés, les actions sur les sites web et les transactions réalisées.
Les données à caractère personnel traitées peuvent comprendre notamment les coordonnées d’adresses, les données nominales déclaratives, les données comportementales telles que les actions dans les messages et transactions réalisées, les parcours de navigation des contacts.
Obligations de Dialog Insight vis-à-vis du Responsable du Traitement
Dialog Insight s’engage à :
traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la convention de services conclue avec le Client (ci-après le « Contrat »), sauf si Dialog Insight a l’obligation au titre du droit de l’Union européenne ou du droit de l’État membre auquel le Sous-Traitant est soumis de les traiter pour d’autres finalités (auquel cas Dialog Insight informera préalablement le Responsable du Traitement de cette obligation, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public) ;
traiter les données conformément aux instructions documentées du Responsable du Traitement figurant au Contrat. Si Dialog Insight considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, elle en informe immédiatement le Responsable du Traitement. En outre, si Dialog Insight est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale (outre dans le cas prévu dans la présente annexe), en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, elle doit informer le Responsable du Traitement de cette obligation juridique avant le transfert, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
prendre les mesures nécessaires pour assurer la confidentialité des données à caractère personnel traitées dans le cadre du Contrat ;
veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du Contrat :
s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
Sous-traitance ultérieure
Dialog Insight peut faire appel à un autre sous-traitant (ci-après, « Sous-Traitant Ultérieur ») pour mener des activités de Traitement spécifiques. Le Responsable du Traitement autorise expressément toute intervention d’un Sous-Traitant Ultérieur sous réserve de l’assujettissement du Sous-Traitant Ultérieur aux mêmes contrôles et obligations que le Sous-Traitant initial.
Dialog Insight s’engage à informer le Responsable du Traitement préalablement et par écrit de tout changement envisagé concernant l’ajout ou le remplacement de Sous-Traitants Ultérieurs. Cette information doit indiquer clairement les activités de Traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur et les dates du contrat de sous-traitance avec ce dernier.
Le Sous-Traitant Ultérieur est tenu de respecter les obligations découlant de la présente annexe pour le compte et selon les instructions du Responsable du Traitement. Il appartient au Sous-Traitant initial de s’assurer que le Sous-Traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du Règlement européen sur la protection des données. Si le Sous-Traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-Traitant initial demeure pleinement responsable devant le Responsable du Traitement de l’exécution par le Sous-Traitant Ultérieur de ses obligations.
Droit d’information des Personnes Concernées
Il appartient au Responsable du Traitement de fournir l’information aux Personnes Concernées par les opérations de Traitement au moment de la collecte des données.
Exercice des droits des Personnes Concernées
Dans la mesure du possible, Dialog Insight doit aider le Responsable du Traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les Personnes Concernées exercent auprès de Dialog Insight des demandes d’exercice de leurs droits, Dialog Insight doit adresser ces demandes dès réception par courrier électronique au contact Responsable du Traitement tel que défini dans l’application de gestion de Dialog Insight.
Notification des Violations de données à caractère personnel
Dialog Insight notifie au Responsable du Traitement toute violation de données à caractère personnel dans les meilleurs délais, si possible, de 24 heures après en avoir pris connaissance et par le moyen suivant soit par courriel. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente aux Personnes Concernées.
Aide de Dialog Insight dans le cadre du respect par le Responsable du Traitement de ses obligations
Dialog Insight est, à la demande du Responsable du Traitement, tenue de lui fournir une assistance raisonnable dans le cadre de la réalisation d’analyses d’impact relative à la protection des données à caractère personnel qui peuvent être requises en application de l’article 35 ou 36 du Règlement européen sur la protection des données.
Dialog Insight aide le Responsable du Traitement pour la réalisation de la consultation préalable de l’autorité de contrôle.
Des frais pour la réalisation d’analyse et de consultation peuvent être applicables.
Mesures de sécurité
Dialog Insight s’engage à mettre en œuvre les mesures de sécurité suivantes :
Les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres
Dialog Insight s’engage à mettre en œuvre les mesures de sécurité prévues par sa Politique de sécurité de l’information (PSSI), certification SSAE SOC 2 type 2 et ISO 27 001.
Sort des données
Au terme de la prestation de services relatifs au Traitement de ces données, Dialog Insight s’engage à :
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de Dialog Insight selon ses procédures internes.
Délégué à la protection des données
Dialog Insight communique au Responsable du Traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du Règlement européen sur la protection des données.
La désignation porte le numéro : DPO-4867
Registre des catégories d’activités de Traitement
Dialog Insight déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement des données à caractère personnel effectuées pour le compte du Responsable du Traitement comprenant :
Dialog Insight met à la disposition du Responsable du Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations au niveau de la sécurité dont la lettre de rapport de l’auditeur externe sous la norme SSAE-16 SOC 2 ou ISO 27 002 et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du Traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. Des frais et limites de protection de l’ensemble des clients demeurent applicables pour le client qui exige la contribution de Dialog Insight.
Obligations du Responsable du Traitement vis-à-vis Dialog Insight
Le Responsable du Traitement s’engage à :
Dans le cadre de la mise à disposition de ses produits et services, Dialog Insight peut être amenée à transférer les données à caractère personnel aux entités du groupe Dialog Insight et/ou aux Sous-Traitants Ultérieurs situés au Canada, ce pays bénéficiant d’une décision d’adéquation de la Commission européenne en matière de protection des données à caractère personnel, ce que le Responsable du Traitement reconnaît et accepte expressément.