Dans le cadre du Service, Stann est amenée à traiter des données personnelles au nom et pour le compte du Client. À ce titre et au sens du RGPD, Stann sera considérée comme sous-traitant et le Client comme responsable de traitement.
Les Parties ont convenu d’encadrer leurs obligations conformément à l’article 28 du RGPD au sein de la présente Annexe.
Le terme « Données Personnelles » désigne les données à caractère personnel traitées par Stann.
Stann est autorisé à traiter les Données Personnelles nécessaires pour fournir le ou les service(s) suivant(s) : exécuter ses obligations au titre du Contrat.
Le Client fournira à ce titre à Stann toutes instructions documentées nécessaires. Stann déploiera des efforts raisonnables pour suivre toute autre instruction du Client qui serait requise par le RGPD et à condition qu’elles soient techniquement réalisables et ne nécessitent pas de modifications du Service.
Le Client est le seul responsable de l’exactitude, de la qualité et de la légalité des Données Personnelles transmises à Stann ainsi que des moyens par lesquels le Client a obtenu ces Données Personnelles.
La nature des opérations sont :
la conservation
la mise à disposition
l’hébergement
l’extraction
la suppression/destruction
La ou les finalité(s) du traitement sont : exécution du Service.
Les catégories de Données Personnelles traitées sont les Données Personnelles présentes dans les informations ou les documents insérés sur la Solution.
Les catégories de personnes concernées sont : les Utilisateurs et les personnes physiques identifiées dans les informations ou les documents insérés sur la Solution.
Les Données Personnelles sont transmises de la façon suivante : téléchargement sur la Solution.
Le traitement des Données Personnelles sera réalisé pendant la durée du Service.
Stann s’engage à :
traiter les Données Personnelles collectées dans le cadre du Contrat et à n’agir que sur la seule instruction du Client ;
informer le Client si une de ses instructions constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le responsable de traitement ;
s’assurer que les personnes autorisées à accéder aux Données Personnelles ont connaissance des instructions et s’engagent à ne traiter les Données Personnelles qui leur sont confiées que dans le respect de celles-ci ;
désigner un référent ou un délégué à la protection des données ;
respecter les durées de conservation des Données Personnelles, telles que spécifiées ;
tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées comprenant l’ensemble des informations listées à l’article 30.2 du RGPD.
Stann s’engage à prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des Données Personnelles, et notamment :
empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ;
mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les Données Personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, étant précisé que ces mesures doivent assurer, compte tenu de l’état de l’art, un niveau de sécurité approprié au regard des risques présentés par les traitements et la nature des données à protéger;
mettre en place des habilitations pour restreindre l’accès des personnes aux Données et ne communiquer les Données Personnelles qu’aux personnes ayant besoin d’en connaître, en veillant à ce que ces personnes soient soumises à une obligation contractuelle ou légale de confidentialité et de sécurité appropriée (par écrit et individuellement) ;
mettre à jour les mesures de sécurité compte tenu de l’évolution de la technique, sans qu’il ne puisse résulter une diminution du niveau de sécurité et/ou un impact négatif sur la fourniture des prestations et informer le responsable de traitement de toute modification substantielle des mesures de sécurité.
Stann notifiera le Client toute violation de Données Personnelles dès que possible. Cette notification devra :
décrire la nature de la violation de Données Personnelles ;
communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
décrire les catégories de personnes concernées par la violation et les catégories de Données Personnelles concernées ;
décrire les mesures prises ou qu’elle propose de prendre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Stann devra mettre en place les mesures nécessaires à la protection des Données en cas de violation des données, en consultation avec le responsable de traitement pour limiter tout effet négatif sur les personnes affectées par la violation.
Stann s’engage à :
aider et collaborer avec le responsable de traitement afin de garantir le respect des obligations incombant à ce dernier, conformément au RGPD ;
répondre à toute demande du responsable de traitement portant sur les Données Personnelles traitées ;
mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans cette Annexe et lui incombant en tant que sous-traitant du Client.
Selon le choix du responsable de traitement, Stann s’engage à détruire toutes les Données Personnelles ou les restituer au responsable de traitement ou à un tiers dans un délai maximal de six mois à compter du terme du Contrat et détruire les copies existantes, ainsi que communiquer au Client la preuve de ces destructions.
Le Client autorise de manière générale Stann à engager des sous-traitants ultérieurs pour mener des activités de traitement spécifiques en rapport avec l’exécution du Service. Stann est ainsi autorisée à utiliser les sous-traitants ultérieurs avec lesquels elle travaille déjà à la date du Contrat : Scaleway SAS pour l’hébergement de la Solution au sein de l’Union européenne.
Stann s’engage à mettre en place avec chaque sous-traitant ultérieur des accords contenant des obligations au moins égales à celles prévues dans cette Annexe concernant les Données Personnelles, dans la mesure applicable à la nature du service fourni par le sous-traitant ultérieur.
Stann informera le Client pour tout nouveau sous-traitant ultérieur engagé pour le traitement des Données Personnelles pendant la durée du Contrat. Le Client aura la faculté de s’opposer à la désignation d’un nouveau sous-traitant ultérieur en notifiant Stann par écrit dans les dix (10) jours à compter de la notification par Stann de la désignation d’un nouveau sous-traitant ultérieur, si le Client a des raisons légitimes de rejeter ce sous-traitant ultérieur pour des raisons de non-conformité au RGPD. Stann déploiera des efforts raisonnables pour proposer au Client une modification des Services ou pour recommander au Client des modifications commercialement raisonnables de sa configuration des Services ou de son utilisation des Services afin d’éviter le traitement des Données Personnelles par le nouveau sous-traitant ultérieur contesté.
A la demande du Client, Stann mettra à disposition la liste mise à jour des sous-traitants ultérieurs des Services.
