Préambule

Le présent document définit la politique de traitements de données à caractère personnel mise en œuvre par la Société DIAGRAMME, conformément au Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le «RGPD»)

1. Définitions

Pour les besoins du présent document, les termes suivants «données à caractère personnel», «délégué à la protection des données», «traiter/traitement», «responsable du traitement», «destinataire», «sous-traitant» et «transférer/transfert» ont la même signification que celle qui leur est donnée dans le Règlement Européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques et morales à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le «RGPD»).

2. Obligations de Diagramme

2.1. Obligations générales

La société DIAGRAMME s’engage à :

(I) Traiter les données à caractère personnel collectées uniquement dans le cadre de son activité professionnelle.

(II) Respecter la réglementation applicable aux données à caractère personnel traitées ;

(III) Veiller à ce que les personnes autorisées à accéder aux données à caractère personnel en vertu du présent Contrat reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;

(IV) Communiquer le nom et les coordonnées du DPO désigné à toute personne en faisant la demande ;

(V) Ne pas concéder, louer, céder ou autrement communiquer à une autre personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que ne pas utiliser les données à caractère personnel à d’autres fins que celles prévues ;

(VI) Prendre en compte, s’agissant de ses outils, produits, applications ou Services SaaS, les principes de protection des données dès leur conception.

2.2. Sécurité, confidentialité, violation et destruction des données

La société DIAGRAMME s’engage à :

(I) Prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des données à caractère personnel, et notamment, empêcher qu’elles ne soient déformées, endommagées ou communiquées à tout tiers non autorisé, et plus généralement, à mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment, lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que, contre toute forme de traitement illicite, étant précisé que ces mesures doivent assurer, compte tenu de l’état de l’art, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à protéger ;

(II) Mettre en place des habilitations pour restreindre l’accès des personnes aux données à caractère personnel et ne communiquer les données à caractère personnel qu’aux personnes ayant besoin d’en connaître, en veillant à ce que ces personnes soient soumises à une obligation contractuelle ou légale de confidentialité et de sécurité appropriée ;

(III) Mettre à jour les mesures de sécurité compte tenu de l’évolution de la technique, sans qu’il ne puisse résulter une diminution du niveau de sécurité ;

(IV) Notifier aux Clients toute violation de données à caractère personnel, accompagnée de toute documentation utile dans les meilleurs délais et au plus tard huit (8) heures après en avoir pris connaissance, notamment afin de se conformer à l’obligation de notifier à la CNIL toute violation de données dans les conditions visées à l’article 33 du RGPD ;

(V) Mettre en place les mesures nécessaires à la protection des données à caractère personnel en cas de violation des données, en consultation avec ses clients pour limiter tout effet négatif sur les personnes affectées par la violation ;

(VI) Respecter les durées de conservation des données à caractère personnel;

2.3. Assistance

La société DIAGRAMME s’engage à :

(I) Aider et collaborer avec les personnes concernées afin de garantir le respect des obligations leur incombant, conformément à la réglementation applicable en matière de protection des données à caractère personnel ;

(II) Fournir aux personnes concernées l’information relative aux traitements de collecte de données à caractère personnel.

(III) Répondre dans les meilleurs délais à toute demande de personnes concernées portant sur les données à caractère personnel traitées, afin de permettre à ces personnes de prendre en compte, dans les délais impartis, les éventuelles requêtes des intéressés (droit d’accès, droit de rectification, droit à l’effacement, etc.), et de manière plus générale tenir compte de la nature du traitement et aider ses interlocuteurs par des mesures techniques et organisationnelles appropriées à s’acquitter de leurs obligations de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits;

(IV) Lorsque les personnes concernées exercent auprès d’un cocontractant des demandes d’exercice de leurs droits, adresser ces demandes dès leur réception par courrier électronique aux adresses email qui devront être communiquées par le Cocontractant à la société DIAGRAMME.

Le cocontractant  assurera, à défaut d’instruction écrite contraire de sa part, le traitement de ces demandes;

(V) Fournir aux interlocuteurs toute information et toute assistance nécessaire pour permettre à ce dernier de respecter ses obligations en cas de violation de données à caractère personnel (incluant au minimum la nature de la violation, les catégories et le nombre approximatif de personnes concernées et de données à caractère personnel touchées par la violation, ainsi que les conséquences probables de la violation) ;

2.4. Sous-traitance ultérieure

La société DIAGRAMME s’engage à ne pas sous-traiter l’exécution des traitements sans en informer les personnes concernées.

La société DIAGRAMME demeure en tout état de cause pleinement responsable de l’exécution, par tout sous-traitant de second rang (préalablement agréé), des obligations lui incombant et s’engage :

(I) À répercuter auprès de ses sous-traitants les engagements et obligations auxquels elle est tenue au titre du Contrat ;

(II) À communiquer aux cocontractants, sur demande de celui-ci, les termes des contrats conclus avec ses sous-traitants de second rang ;

2.5. Transferts de données à caractère personnel hors-UE

La société DIAGRAMME s’engage, que ce soit à raison des Prestations qu’elle réalise ou à raison des Prestations réalisées dans le cadre d’un recours à la sous-traitance autorisée selon les conditions du Contrat, à ne pas transférer les données à caractère personnel traitées dans le cadre du Contrat, hors de l’Union Européenne ou des pays dits de « protection adéquate » sans l’autorisation préalable et écrite du cocontractant, ce dernier devant en effet pouvoir procéder, préalablement au transfert :

(I) À la mise en place de garanties appropriées telles que prévues par la réglementation applicable en matière de protection des données à caractère personnel (BCR sous-traitants, clauses types de protection des données adoptées par la Commission responsable du traitement/sous-traitant, adhésion de l’importateur au UE-US Privacy Shield arrangement, code de conduite ou mécanisme de certification approuvés),

(II) À la réalisation des formalités et à l’obtention le cas échéant de l’autorisation préalable de transférer les données personnelles sur la base d’un engagement de l’importateur des données personnelles recueillies dans le cadre d’un mécanisme alternatif de protection des données à caractère personnel accepté par la CNIL et,

(III) À l’information des personnes concernées.

Néanmoins, si la société DIAGRAMME est tenue de procéder à de tels transferts en vertu du droit applicable, celle-ci s’engage à informer immédiatement les personnes concernées, sauf impossibilité légale.

2.6. Audit

Sur première demande de toute personne concernée, et dans un délai raisonnable, la société DIAGRAMME s’engage à mettre à sa disposition toutes les informations nécessaires pour démontrer le respect de ses obligations telles qu’énoncées aux présentes et lui incombant en tant que sous-traitant et à permettre la réalisation d’audit(s), y compris des inspections par les personnes concernées ou un autre auditeur mandaté et contribuer à ces audits.

Toute personne concernée pourra particulièrement contrôler l’adéquation des mesures techniques et organisationnelles prises par la société DIAGRAMME.

3.Confidentialité

Chaque Partie s’engage à limiter les demandes d’information auprès de l’autre Partie, notamment les Informations Confidentielles, à celles strictement nécessaires à la bonne exécution du Contrat.

Par Information Confidentielle, on entend notamment (cette liste n’étant pas exhaustive) :

– Toute information relative à une Partie, communiquée par elle (la « Partie Communicante »), à l’autre Partie (la « Partie Réceptrice »), de nature stratégique, technique, commerciale, financière, juridique ou autre, sous quelque forme que ce soit, par oral ou par écrit, courrier électronique, télécopie, dessins, logiciels, code source, copie électronique de documents, spécifications, informations, graphiques, enregistrements, reproduction graphique ou information digitale transmise à la Partie Réceptrice avant ou après la signature ou la date de l’accord et qui a trait à la Partie Communicante et/ou à ses produits ;

– Les traitements eux-mêmes, l’identité des personnes qui sont impliquées sur ces derniers, qu’elles travaillent pour une des Parties ou dans l’équipe de leurs conseillers ainsi que l’existence, le contenu, la nature, l’étape de réalisation et l’évolution des traitements ;

– L’identité de toute autre société impliquée, ou que les Parties envisagent d’impliquer dans les traitements ;

– Toute donnée à caractère personnel objet d’un traitement en application du présent Contrat ;

– Le présent Contrat et tout ce qui s’y rapporte ;

– Les Parties conviennent que toute information ci-dessus décrite et divulguée par la Partie Communicante n’aura pas à être marquée par elle comme « confidentielle » pour (I) être considérée comme une Information Confidentielle et (II) être protégée en tant que telle en vertu du présent accord.

N’est pas considérée comme une Information Confidentielle, toute information qui :

– Serait dans le domaine public au moment de sa transmission, ou y tomberait postérieurement, indépendamment de toute violation d’une clause du Contrat, où ; Serait connue par la Partie à laquelle elle était destinée avant qu’elle ne lui soit transmise par l’autre Partie, sous réserve que la Partie destinataire de l’Information puisse justifier de façon valable en avoir eu connaissance préalablement, où ;

– Aurait été communiquée par un tiers de manière licite et reçue de bonne foi, ou ;

– Aurait été communiquée suite à une demande administrative ou judiciaire ou ;

– Constituerait une information dont l’utilisation ou la divulgation a été spécifiquement autorisée par écrit par l’autre Partie.

La Partie Réceptrice s’engage à n’utiliser l’Information Confidentielle de la Partie Communicante qu’en vue de l’exécution de ses obligations établies dans le Contrat.

Ainsi, chaque Partie ne peut divulguer l’Information Confidentielle de l’autre Partie qu’à ceux de ses employés, mandataires sociaux, membres du groupe auquel il appartient ou cocontractants qui ont à en connaître à cet effet, et s’engage à ne pas communiquer, reproduire, publier ou divulguer de quelque façon que ce soit cette Information Confidentielle à des tiers, à moins que l’autre Partie n’ait donné son consentement préalable et écrit.

L’Information Confidentielle ne peut être autrement divulguée que dans la seule mesure requise par la loi, y compris par toute autorité de réglementation ou de contrôle. Toutefois, dans ces circonstances et pour autant que la loi l’y autorise, la Partie Réceptrice obligée de divulguer l’Information Confidentielle de la Partie Communicante devra en avertir cette dernière promptement et par écrit, de façon à lui permettre de chercher toute mesure de protection qu’elle jugerait nécessaire.

Chaque Partie s’engage à prendre toutes mesures de sécurité, notamment matérielle, pour assurer la conservation et l’intégrité des Informations Confidentielles traités pendant la durée du présent Contrat.

Chaque Partie se porte fort du respect de l’obligation de confidentialité prévue au présent article par ses employés, mandataires sociaux, cocontractants et entités de leur groupe le cas échéant, et fera en sorte que ces derniers soient liés par une obligation de confidentialité aussi stricte.

Chaque Partie s’engage expressément à n’utiliser les Informations Confidentielles de l’autre Partie, dont elle aurait connaissance, que dans le cadre du Contrat et à n’effectuer aucune duplication, de quelque nature que ce soit, des Informations Confidentielles transmises, si de telles duplications n’ont pas été prévues dans le cadre du présent Contrat.

Chaque Partie restituera à l’autre Partie, dans les huit (8) Jours suivant la date de fin du Contrat, l’Information Confidentielle de cette autre Partie ou, dans la mesure où une telle restitution ne peut être effectuée, lui transmettra une attestation de destruction.

Les obligations issues du présent article resteront en vigueur pendant une durée de deux (2) années suivant l’expiration et/ou la résiliation du Contrat et du Contrat de Référence, pour toute raison.