Dernière mise à jour : 19/12/2022.
Le présent accord sur la protection des données (ci-après dénommé l’ « Accord ») s’applique pour les traitements effectués par la société Nabla Technologies (ci-après dénommée « NABLA » ou le « SOUS-TRAITANT »), société par actions simplifiée dont le siège social est situé 22 rue Chapon 75003 Paris et immatriculée au RCS de Paris sous le numéro 838 878 155, pour le compte d’un client (ci-après dénommé le « CLIENT ») ayant souscrit un contrat de licence et de maintenance (ci-après le « Contrat ») pour l’utilisation de la solution de communication développée par NABLA.
NABLA et le CLIENT sont ensemble ci-après dénommés les « Parties ».
Les termes reproduits ci-dessous seront entendus au sein des présentes dispositions tels que définis à l’article 4 du RGPD:
|
« Accord » |
: |
le présent accord sur la protection des données, comme indiqué en entête des présentes, ainsi que ses éventuels annexes et avenants ; |
|
« Autorité de contrôle » |
: |
L’autorité de contrôle compétente en France est la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité administrative indépendante chargée de réguler l’utilisation des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits ; |
|
« Consentement » de la Personne concernée |
: |
Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données à caractère personnel la concernant fassent l'objet d'un traitement ; |
|
« Destinataire » |
: |
La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un Tiers ; |
|
« Données à caractère personnel » |
: |
Toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale) ; |
|
« Données concernant la santé » ou « Donnée de santé » |
: |
Les Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ; |
|
« Droit à la limitation du traitement » |
: |
Droit pour une personne d'obtenir du RESPONSABLE DE TRAITEMENT la limitation du traitement, à certaines conditions ; |
|
« Droit à la portabilité » |
: |
Droit pour une personne de recevoir les Données à caractère personnel la concernant qu'elle a fournies à un RESPONSABLE DE TRAITEMENT, dans un format structuré, couramment utilisé et lisible par machine, et de transmettre ces données à un autre RESPONSABLE DE TRAITEMENT, sans que le RESPONSABLE DE TRAITEMENT auquel les Données à caractère personnel ont été communiquées y fasse obstacle ; |
|
« Droit à l’oubli et à l’effacement numérique » |
: |
Droit pour une personne d'obtenir du RESPONSABLE DE TRAITEMENT l'effacement, dans les meilleurs délais, de Données à caractère personnel la concernant, à certaines conditions ; |
|
« Droit d’accès de la Personne concernée » |
: |
Droit pour une personne d'obtenir du RESPONSABLE DE TRAITEMENT la confirmation que des Données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites Données à caractère personnel ainsi qu’à un certain nombre d’informations ; |
|
« Droit de rectification » |
: |
Droit pour une personne d'obtenir du RESPONSABLE DE TRAITEMENT, dans les meilleurs délais, la rectification des Données à caractère personnel la concernant qui sont inexactes, voire que les données incomplètes soient complétées ; |
|
« Droit d’opposition et de suppression » |
: |
Droit pour une personne de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, à certains traitements des Données à caractère personnel la concernant, y compris à un profilage ; |
|
« Droit d’organiser le sort de ses données personnelles après la mort » |
: |
Droit pour une personne de définir des directives générales ou particulières relatives à la conservation, à l'effacement et à la communication de ses Données à caractère personnel après son décès ; |
|
« Finalité du traitement »
« Pays tiers » |
: |
Objectifs des traitements définis en Annexe 1 du présent Accord ;
Pays hors de l’Union européenne ne faisant pas l’objet d’une décision d‘adéquation par la Commission européenne au sens de l’article 45 du RGPD ;
|
|
« Règlementation» |
: |
ensemble des textes légaux et réglementaires applicables en France et dans l’Union Européenne en matière de protection des Données Personnelles et en particulier le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le « RGPD »), et la Loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés telle qu’elle existe et sera modifiée pendant la durée du Contrat (ci-après désignée la « Loi LIL ») (collectivement désignés la « Règlementation ») ; |
|
« RESPONSABLE DE TRAITEMENT » |
: |
Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. L’Annexe 1 du présent Accord liste les différents Responsables de traitement, les traitements et leurs finalités mises en œuvre dans le cadre du Projet faisant l’objet du Contrat ; |
|
« SOUS-TRAITANT » ou « SOUS-TRAITANT de rang 1 » |
: |
Personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du RESPONSABLE DE TRAITEMENT ; l’Annexe 1 du présent Accord liste les différents Sous-traitants des traitements et leurs finalités mises en œuvre dans le cadre du Projet faisant l’objet du Contrat ; |
|
« SOUS-TRAITANT de rang 2 » ou « SOUS-TRAITANT ultérieur » |
: |
Sous-traitant recruté par un SOUS-TRAITANT pour mener des activités de traitement spécifiques pour le compte dudit RESPONSABLE DE TRAITEMENT ; l’Annexe 1 du présent Accord liste les différents Sous-traitants de rang 2 des traitements et leurs finalités mises en œuvre dans le cadre du Projet faisant l’objet du Contrat |
|
« Tiers » |
: |
Toute personne physique ou morale, une autorité publique, un service ou un organisme autre que la Personne concernée, le RESPONSABLE DE TRAITEMENT, le SOUS-TRAITANT et les personnes qui, placées sous l'autorité directe du RESPONSABLE DE TRAITEMENT ou du SOUS-TRAITANT, sont autorisées à traiter les Données à caractère personnel au sens de l’article 4.10 du RGPD ; |
|
« Traitement de Données à caractère personnel » ou « Traitement » |
: |
Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction au sens de l’article 4.2 du RGPD. Les Traitements sont décrits en Annexe 1 au présent Accord et, plus généralement, au Contrat conclu entre les Parties ; |
|
« Violation de Données à caractère personnel » |
: |
Une violation de la sécurité, entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données au sens de l’article 4. 12 du RGPD. |
Les termes commençant par une majuscule n’étant pas définis dans le cadre de cet Article, correspondent à la définition qu’il en est donné à l’Article 1 « Définition » du Contrat.
NABLA a conçu et développé une solution digitale composée de différents modules fonctionnels et traitants des données de santé, ci-après dénommée la « Solution ». Parmi ces modules, figure des SDK (Software Développement Kit) et des API embarquant des fonctionnalités d’intelligence artificielle ainsi qu’une Console de communication dont les fonctionnalités sont décrites dans la Documentation mise à disposition de ses clients par NABLA.
Les Parties ont conclu un Contrat (ci-après désigné le « Contrat ») impliquant la mise en œuvre de Traitements de Données à caractère personnel par NABLA en qualité de SOUS-TRAITANT pour le compte du CLIENT qui peut intervenir soit en qualité de RESPONSABLE DE TRAITEMENT soit lui-même en qualité de SOUS-TRAITANT, NABLA intervenant dans ce cas en qualité de SOUS-TRAITANT de rang 2 ou ultérieur, pour les besoins et dans le cadre du déploiement de la Solution.
Au fur et à mesure de l’exécution du Contrat, le ou les Traitements de Données à caractère personnel peuvent évoluer.
Les Traitements faisant l’objet du présent Accord en exécution du Contrat sont décrits en annexe 1 du présent Accord. En cas d’évolution desdits traitements au cours de l’exécution du Contrat, les Parties conviennent de mettre à jour l’annexe 1 du présent Accord, ce qui vaudra avenant au présent Accord et au Contrat.
Le présent accord sur la protection des données (ci-après l’ « Accord ») s’applique entre les Parties afin d’assurer la conformité aux dispositions de l’article 28 du RGPD.
Dans ce cadre, les Parties conviennent de traiter les Données à caractère personnel collectées, échangées, produites, administrées et hébergées dans le cadre du Contrat conformément :
Les Parties déclarent en particulier :
- qu’elles connaissent les obligations issues de la Réglementation ;
- qu’elles disposent de toutes les compétences nécessaires et des ressources financières suffisantes afin de mettre en œuvre et de respecter l’intégralité des obligations issues de la Réglementation pour toutes les prestations réalisées en exécution du Contrat ;
NABLA s’engage à ne pas traiter et/ou consulter les Données à caractère personnel ou fichiers exploités dans le cadre du Contrat à d’autres fins que l’exécution des prestations qu’il effectue dans le cadre du Contrat, sous réserve des dispositions de l’article 12.
Les dispositions du présent Accord s’appliquent à tous les traitements définis en annexe 1 du présent Accord .
Le présent Accord a pour objet de définir les conditions dans lesquelles NABLA s’engage à effectuer, pour le compte du CLIENT qui est soit RESPONSABLE DE TRAITEMENT soit lui-même SOUS-TRAITANT du RESPONSABLE DE TRAITEMENT, les opérations de Traitement de Données à caractère personnel définies au Contrat et en Annexe 1 du présent Accord.
Le présent Accord est rédigé dans le respect, notamment, des dispositions des articles 28, 32, 33, 34 et 47 du RGPD.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la Réglementation en vigueur applicable au Traitements de Données à caractère personnel. En particulier, le CLIENT garantit qu’il a obtenu le consentement des Utilisateurs et Utilisateurs Finaux lorsque cela est requis par la Réglementation pour le traitement des données de santé à caractère personnel effectuée par le SOUS-TRAITANT dans le cadre de l’utilisation de la Solution.
Les relations entre les Parties sont régies par le Contrat et le présent Accord.
L’invalidité d’une disposition de l’un des documents contractuels précités, jugée par un tribunal compétent n'affectera pas pour autant la validité des autres documents.
Toute renonciation à l’une des dispositions du présent Accord ou de l’un quelconque des documents contractuels entre les Parties ne peut valoir renonciation définitive à l’ensemble du document concerné et aux autres Documents contractuels.
Les Parties pourront modifier le présent Accord notamment pour prendre en compte une évolution des traitements confiés par le CLIENT au SOUS-TRAITANT. Ces modifications seront opposables au CLIENT après avoir été publiées par quelque moyen que ce soit.
Les Parties reconnaissent que l'acceptation de l’Accord par voie électronique a entre les Parties la même valeur probante qu'un accord sur support papier.
Le présent Accord entre en vigueur sans réserve entre les Parties à compter de la date de signature du Contrat, et est conclu pour la durée du Contrat.
Les obligations définies au présent Accord qui ont un fondement légal au sein de la Réglementation, perdurent à l’issue de la durée du présent Accord, jusqu’à la prescription légale de toute action en responsabilité susceptible d’être engagée sur le fondement de la Réglementation.
Le SOUS-TRAITANT est expressément autorisé par le CLIENT, le cas échéant au nom et pour le compte du RESPONSABLE DE TRAITEMENT si ce dernier est différent, à traiter pour son compte les Données à caractère personnel nécessaires à la fourniture des opérations sur les Données à caractère personnel spécifiées au Contrat et à l’Annexe 1 du présent Accord.
L’Annexe 1 « Description du/des Traitement(s) » du présent Accord définit :
La durée du Traitement réalisé par le SOUS-TRAITANT ne peut excéder la durée du Contrat.
Lorsque le Traitement nécessite une formalité auprès d’une autorité de contrôle locale comme la CNIL en France, le CLIENT, représentant le cas échéant le RESPONSABLE DE TRAITEMENT qui en a la responsabilité exclusive, s’engage à fournir au SOUS-TRAITANT toute copie des formalités et des récépissés et le cas échéant des autorisations délivrées par cette autorité de contrôle locale.
Le SOUS-TRAITANT s’engage à :
Le SOUS-TRAITANT peut utiliser des SOUS-TRAITANTS ultérieurs pour réaliser les traitements de données confiés par le CLIENT. Le SOUS-TRAITANT garantit qu’il impose aux SOUS-TRAITANTS ultérieurs des obligations de confidentialité et de sécurité au moins équivalentes à celles convenues dans le cadre de l’Accord.
Il appartient au SOUS-TRAITANT de s’assurer que le(s) SOUS-TRAITANT(s) ultérieurs présentent les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin que le Traitement réponde aux exigences du RGPD et des réglementations applicables. Si le(s) SOUS-TRAITANT(s) ultérieurs ne remplissent pas leurs obligations en matière de protection des données, le SOUS-TRAITANT demeure pleinement responsable devant le CLIENT et le RESPONSABLE DE TRAITEMENT de l’exécution par le(s) SOUS-TRAITANT(s) ultérieurs de ses obligations.
Le SOUS-TRAITANT peut ajouter ou remplacer un SOUS-TRAITANT ultérieur. Dans ce cas il s’engage à informer le CLIENT par le moyen de son choix. Le CLIENT disposera alors d’un délai de dix (10) jours calendaires à partir de la notification pour présenter ses objections sur un motif valable relatif à la protection des Données personnelles. A défaut d’objection du CLIENT dans ce délai, le SOUS-TRAITANT ultérieur sera considéré comme accepté par le CLIENT, sous réserve de l’établissement d’un contrat de sous-traitance ultérieur imposant des obligations de confidentialités et de sécurité au moins équivalentes à celles de l’Accord avant le transfert des Données au SOUS-TRAITANT ultérieur.
Le(s) SOUS-TRAITANT(s) ultérieurs sont donc tenus de respecter les obligations du Contrat incluant les obligations du présent Accord, pour le compte et selon les instructions du CLIENT agissant le cas échéant au nom du RESPONSABLE DE TRAITEMENT.
Dans le cas où le CLIENT s’oppose à la désignation d’un SOUS-TRAITANT ultérieur dans les conditions décrites ci-dessus, chacune des Parties pourra résilier le Contrat avec un préavis d’un (1) mois suivant les modalités de l’article 15 du Contrat.
D’ores et déjà le CLIENT, le cas échéant au nom et pour le compte du RESPONSABLE DE TRAITEMENT, accepte le recours à la société GOOGLE Irlande au titre de la fourniture des prestations d’hébergement de données de santé au sens de l’article L 1111-8 CSP pour les 6 niveaux de services. La liste des SOUS-TRAITANTS ultérieurs est à l’Annexe 1.
Le CLIENT reconnaît qu’en respectant ses obligations au titre du présent article, NABLA se conforme à ses obligations au titre de l’article 28.2 du RGPD.
Dans la mesure du possible, le SOUS-TRAITANT doit aider le CLIENT à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Dans l’hypothèse où le SOUS-TRAITANT serait destinataire de demandes émanant de Personnes concernées, le SOUS-TRAITANT s’engage à transmettre ces demandes au CLIENT ou le cas échéant au RESPONSABLE DE TRAITEMENT sans délai, à l’adresse électronique fourni par le CLIENT.
Les prestations de gestion de l’exercice des droits des personnes au nom et pour le compte du RESPONSABLE DE TRAITEMENT seront facturées au CLIENT selon les tarifs définis au Contrat.
Une procédure de gestion de l’exercice des droits est convenue entre les Parties et visée en annexe 2 du présent Accord.
Le SOUS-TRAITANT notifie au CLIENT toute violation de Données à caractère personnel dans un délai maximum de 48 heures à compter de la découverte de la violation en adressant à l’adresse électronique fournie par le CLIENT, les informations suivantes :
Cette notification est accompagnée de toute documentation utile afin de permettre au CLIENT et le cas échéant au RESPONSABLE DE TRAITEMENT, si nécessaire, de notifier cette violation à l’Autorité de contrôle.
Compte tenu de la nature du Traitement et des informations à sa disposition, le SOUS-TRAITANT aide également le CLIENT et le cas échéant le RESPONSABLE DE TRAITEMENT à notifier les Violations de Données à caractère personnel aux Personnes concernées.
Le cas échéant, et sur demande du CLIENT, le SOUS-TRAITANT aide le CLIENT pour la réalisation d’analyses d’impact relative à la protection des données principalement pour ce qui concerne l’identification des mesures de protection en place ou prévue pour le Traitement.
Le cas échéant, et sur demande du CLIENT, le SOUS-TRAITANT aide le CLIENT pour la réalisation de la demande d’autorisation préalable auprès de la CNIL ou de l’autorité de contrôle compétente.
Le SOUS-TRAITANT s’engage à mettre en œuvre les mesures techniques et organisationnelles de sécurité adéquates à la protection du Traitement et des Données.
Lorsque les opérations réalisées par le SOUS-TRAITANT sur les données portent sur des Données hébergées par un hébergeur agréé/certifié de données de santé à caractère personnel désigné par le SOUS-TRAITANT à l’article 6 du présent Accord, le CLIENT s’engage à respecter et à faire respecter strictement par les Utilisateurs et les Utilisateurs Finaux, les mesures de sécurité définies par cet hébergeur, en ce compris notamment l’accès par authentification forte aux Données.
Au terme des prestations relatives au Traitement, le SOUS-TRAITANT s’engage, sur demande et au choix du CLIENT, le cas échéant pour le compte du RESPONSABLE DE TRAITEMENT, à restituer les Données à caractère personnel au CLIENT ou au RESPONSABLE DE TRAITEMENT de façon sécurisée définie par le CLIENT ou le cas échéant par le RESPONSABLE DE TRAITEMENT ou à défaut d’effacer toutes les Données à caractère personnel.
En raison des investissements financiers, matériels et humains substantiels réalisés par le SOUS-TRAITANT dans le cadre du Contrat pour le développement et la mise à jour de la Solution, le SOUS-TRAITANT souhaite pouvoir réutiliser les Données traitées dans le cadre du Contrat.
Le CLIENT, le cas échéant au nom du RESPONSABLE DE TRAITEMENT, garantit que les personnes concernées ont été informées et ont donné leur consentement à l’utilisation de leurs données à caractère personnel dans le cadre du Contrat lorsque celui-ci est requis par la loi ou la Réglementation, et autorise le SOUS-TRAITANT à réutiliser les Données traitées dans le cadre du Contrat, dès lors que celui-ci s’engage à respecter la Règlementation pour l’ensemble de ces Données, et ce pour les usages ci-après listés :
- la recherche et le développement de la Solution,
- l’amélioration des performances, des modèles et des algorithmes développés et entraînés par NABLA dans le cadre de la Solution ou de toute autre solution éditée par NABLA,
Sans que le CLIENT ou le RESPONSABLE DE TRAITEMENT ne puissent revendiquer aucun droit de propriété intellectuelle relatifs à ces éléments.
Le CLIENT déclare avoir évalué et validé la compatibilité desdits usages au sens de la Réglementation avec les finalités initiales des traitements de données réalisés dans le champ du présent Contrat suivant les conditions figurant au présent Accord. NABLA dispose de la qualité de producteur au sens donné par l’article L. 341-1 du Code de la propriété intellectuelle au titre de la constitution des bases de données dans le contexte des usages de réutilisations définis au présent article.
Le SOUS-TRAITANT déclare tenir par écrit un registre de toutes les activités de Traitement effectuées pour le compte du CLIENT comprenant :
Le SOUS-TRAITANT s’engage à mettre à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations de conformité à la Réglementation et au présent Accord, et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT ou un autre auditeur mandaté par le CLIENT et contribuer à ces audits.
Le CLIENT sur son initiative se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect de ses obligations par le SOUS-TRAITANT. Toute non-conformité à la Réglementation et/ou au présent Accord fera l’objet sur simple notification du CLIENT d’un plan d’actions correctives à la charge du SOUS-TRAITANT qui devra être mis en place dans les 21 (vingt et un) jours maximum.
Le SOUS-TRAITANT s’engage à notifier dans les meilleurs délais au CLIENT, et le cas échéant au RESPONSABLE DE TRAITEMENT, tout contrôle ou notification de quelque nature que ce soit qui lui est adressée par l’Autorité de contrôle ou par une Personne concernée et impliquant directement ou indirectement les Traitements décrits au présent Accord, à suivre strictement toutes les instructions du CLIENT et le cas échéant du RESPONSABLE DE TRAITEMENT et à collaborer avec l’Autorité de contrôle, et avec le CLIENT et le RESPONSABLE DE TRAITEMENT le cas échéant.
Si le SOUS-TRAITANT reçoit une injonction, une demande, un mandat ou tout autre document exigeant ou visant à obliger la production de Données à caractère personnel (y compris, par, exemple, par des questions orales, des interrogatoires, des demandes d’information ou de documents au cours de procédures légales, d’assignations, d’enquêtes civiles, d’inspection réglementaire ou autres procédures similaires), le SOUS-TRAITANT informera immédiatement le CLIENT et le cas échéant le RESPONSABLE DE TRAITEMENT, sauf si la Réglementation applicable en dispose autrement, et en tout état de cause au plus tard dans les deux (2) jours ouvrés.
Le SOUS-TRAITANT est soumis au secret le plus absolu comprenant la confidentialité, le secret professionnel et le secret des affaires (ci-après le « Secret ») sur les Traitements incluant notamment des Données à caractère personnel, mis en œuvre dans le cadre de la fourniture des prestations.
Le SOUS-TRAITANT s’engage, (i) pendant la durée du Contrat et pour une durée de dix (10) ans compter de sa cessation pour quelque cause que celle-ci intervienne, sous réserve que le CLIENT lui ait confié une mission de conservation des données, (ii) pendant toute la durée de cette mission de conservation, à garder le caractère Secret de toutes Données à caractère personnel et, en conséquence :
De manière générale, le SOUS-TRAITANT garantit respecter le Secret le plus absolu, dans les mêmes conditions, de toutes informations qui seraient parvenues à sa connaissance ou à l’un des membres de son personnel.
L’Accord est régi par la loi française.
POUR TOUT DIFFÉREND SURVENANT ENTRE ELLES AU SUJET DE L’INTERPRÉTATION OU DE L’EXÉCUTION DU CONTRAT ET APRÈS UNE TENTATIVE DE CONCILIATION AMIABLE, COMPETENCE EXPRESSE EST ATTRIBUEE AU TRIBUNAL DE COMMERCE DE PARIS NONOBSTANT PLURALITÉ DE DÉFENDEURS OU APPEL EN GARANTIE, MÊME POUR LES PROCÉDURES D’URGENCE OU LES PROCEDURES CONSERVATOIRES, EN RÉFÉRÉ OU SUR REQUÊTE.
Chaque Parties désigne un Délégué à la Protection des Données et communique à l’autre Partie ses coordonnées.
Pour NABLA les coordonnées sont les suivantes : dpo@nabla.com
Le CLIENT est le RESPONSABLE DE TRAITEMENT ou SOUS-TRAITANT de rang 1.
Les finalités des Traitements confiés au SOUS-TRAITANT :
Par ailleurs, le SOUS-TRAITANT peut réutiliser les données pour les finalités supplémentaires suivantes :
La base légale du Traitement est :
Les catégories de Données à caractère personnel traitées pourront inclure :
Les Données des Utilisateurs sont conservées pendant toute la durée du Contrat et d’utilisation de la Solution par l’Utilisateur, puis sont archivées suivant les règles fixées par le CLIENT, en conformité avec les préconisations de la Réglementation ou des réglementations locales applicables.
Les Utilisateurs et Utilisateurs Finaux tels que définis dans le Contrat
|
Sous-traitant ultérieur |
Finalité |
Données traitées |
|
Google Irlande |
Hébergement des Données |
Toutes les Données dont des Données de santé |
|
PagerDuty Datadog |
Sécurité applicative de la Solution |
Données techniques (par exemple : adresse IP) |
|
Mixpanel |
Analyse de l’utilisation de la Solution |
Données techniques (par exemple : adresse IP) |
|
Postmark |
Communication dans le cadre de l’utilisation de la Solution |
Données de contact (adresse e-mail) |
Les Données ne sont pas traitées ou transférées par le SOUS-TRAITANT hors de l’Union européenne. Cependant dans le cas où des informations personnelles seraient transférées en dehors de l’Union européenne, notamment à la demande du CLIENT, NABLA s’assurera que le pays tiers concerné dispose d'un niveau de protection jugé adéquat par la Commission européenne au regard de la réglementation européenne (RGPD). Lorsque cela n’est pas le cas, NABLA s’assurera que le transfert est réalisé conformément aux Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou les Autorités de contrôle, dont la CNIL en France, afin de garantir la protection de ces informations
En application du Chapitre III du RGPD, le CLIENT, en sa qualité de RESPONSABLE DE TRAITEMENT ou de représentant du RESPONSABLE DE TRAITEMENT, doit faciliter l’exercice des droits conférés à la personne concernée.
Pour cela, le CLIENT communique aux personnes concernées les modalités leur permettant de formuler une demande d’accès à leurs données à caractère personnel ou d’exercice de leur droit de rectification, à l’effacement, à la limitation du traitement, à la portabilité des données, d’opposition.
Le CLIENT pourra demander l’aide du SOUS-TRAITANT pour répondre aux demandes d’exercice de leurs droits par les personnes concernées. Dans ce cadre il est dès à présent convenu entre les Parties que le CLIENT garantit qu’il a bien vérifié l’identité du demandeur pour s’assurer que le demandeur est bien fondé à accéder aux données à caractère personnel ou à exercer un droit.
Lorsque le CLIENT aura vérifié l’identité du demandeur et qu’il est bien titulaire du compte, il transmettra le cas échéant la requête à NABLA en utilisant l’adresse dpo@nabla.com.
Nabla examinera la demande d’exercice de droit et répondra sans tarder et au plus tard dans un délai maximum d’un mois à compter de sa réception.
Au besoin, ce délai pourra être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. NABLA informera directement la personne concernée ou le CLIENT, au choix du CLIENT de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
Si NABLA ne donne pas suite à la demande formulée par la personne concernée, Nabla informe celle-ci ou le CLIENT, au choix du CLIENT, sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande, éventuellement prolongé de deux mois si NABLA a informé la personne concernée ou le CLIENT d’une telle prolongation, des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
NABLA informera le CLIENT de la réponse apportée à la personne concernée s'il en fait la demande.
Aucun paiement n’est exigé pour répondre aux demandes de la personne concernée. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, NABLA peut cependant:
exiger du CLIENT le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations ou prendre les mesures demandées; ou
refuser de donner suite à ces demandes.