Skip to main content

ACCORD SUR LE TRAITEMENT DES DONNÉES

Dernière mise à jour le 30 mars 2023

En contrepartie de vous, le client, engageant les services de TCCHE LTD pour traiter les données personnelles en votre nom, nous nous conformerons aux obligations de sécurité, de confidentialité et autres qui nous sont imposées en vertu du présent accord et de toute législation applicable en matière de protection des données.

Parties au présent contrat :(1)

Le Client (ou vous), étant la personne morale ou l’entité qui a demandé les Services conformément à la Commande (le « Responsable du traitement ») ; et (2)

TCCHE LTD, constituée et enregistrée en Angleterre et au Pays de Galles sous le numéro d’entreprise 08223171 dont le siège social est situé à l’unité 104 du 1 Riverbank Business Park, Dye House Lane, Londres, E3 2TO (le « Processeur »).

Contexte et champ d’application(A) Le Responsable du traitement détermine les finalités et les moyens du traitement des Données à caractère personnel dans le cadre de ses activités commerciales ;(B) Le Sous-traitant traite les Données à caractère personnel pour le compte du Responsable du traitement ;(C) Le

Responsable du traitement souhaite engager les services du Sous-traitant pour traiter les données à caractère personnel en son nom ;(D) Le RGPD du Royaume-Uni prévoit que :  lorsque le traitement doit être effectué pour le compte d’un responsable du traitement, le responsable du traitement n’utilise que des sous-traitants offrant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD britannique et garantisse la protection des droits de la personne concernée ; (E) Le RGPD du Royaume-Uni prévoit en outre que le Sous-traitant ne doit pas engager un autre sous-traitant sans autorisation écrite préalable spécifique ou générale de le contrôleur. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité de s’opposer à ces changements;(F) Le RGPD du Royaume-Uni prévoit en outre que le sous-traitant et toute personne agissant sous l’autorité du responsable du traitement ou du sous-traitant,  qui a accès aux données personnelles, ne doit pas traiter ces données, sauf sur instruction du responsable du traitement, sauf si la loi l’exige; (G) Conformément aux dispositions susmentionnées du RGPD du Royaume-Uni, le responsable du traitement et le sous-traitant souhaitent conclure cet accord de traitement.

Les parties conviennent mutuellement de ce qui suit :

  1. Définitions et interprétation
  2. Considération
  3. Détails du traitement
  4. Obligations du sous-traitant
  5. Obligations des deux parties
  6. Confidentialité
  7. Engager un sous-traitant ultérieur
  8. Vérifications et inspections
  9. Durée et résiliation
  10. Droits de propriété intellectuelle
  11. Loi applicable
  12. Intégralité de l’accord
  13. Départ
  14. Annexe 1
  15. Annexe 2

1. DÉFINITIONS ET INTERPRÉTATION

1.1 Dans le présent accord, les mots et expressions suivants ont la signification suivante, à moins qu’ils ne soient incompatibles avec le contexte ou comme spécifié autrement :

« Annexe 1 » désigne l’annexe au présent accord et qui fait partie du présent accord ;

« Annexe 2 » désigne l’annexe du présent accord et qui en fait partie intégrante;

« RGPD du Royaume-Uni », ci-après dénommé le Règlement, désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans la mesure où elle fait partie du droit de l’Angleterre et du Pays de Galles,  l’Écosse et l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne ; « Responsable du traitement, responsable du traitement, sous-traitant, sous-traitant, personne concernée, données à caractère personnel, catégories particulières de données à caractère personnel, violation de données à

caractère personnel, autorité de contrôle, traitement et mesures techniques et organisationnelles appropriées » : conformément à la législation sur la protection des données en vigueur à ce moment-là ;

« Informations confidentielles »  désigne toutes les informations divulguées par une partie à l’autre partie en vertu du présent accord qui sont soit désignées comme exclusives et/ou confidentielles, soit par leur nature ou la nature des circonstances entourant la divulgation, doivent raisonnablement être considérées comme confidentielles, y compris (mais sans s’y limiter), les informations sur les produits, les listes de clients, les listes de prix et les informations financières ;

« Législation sur la protection des données » désigne la législation sur la protection des données et de la vie privée en vigueur au Royaume-Uni et  qui comprend la loi de 2018 sur la protection des données, le RGPD du Royaume-Uni et les règlements de 2003 sur la protection de la vie privée et les communications électroniques ;

« Commande » désigne la demande d’achat  de services auprès de TCCHE Ltd sous réserve des termes du présent accord;

« Services » désigne les services fournis par TCCHE Ltd au Responsable du traitement en vertu du présent contrat, y compris, mais sans s’y limiter, la fourniture de tout ou partie des éléments suivants : image de marque et conception d’entreprise, conception et développement de sites Web, maintenance et support de sites Web, hébergement et conseil;

« Sous-traitance » désigne le processus par lequel l’une ou l’autre des parties prend des dispositions pour qu’un tiers s’acquitte de ses obligations en vertu du présent accord;

« Sous-traitant ultérieur » désigne la partie à laquelle les obligations sont sous-traitées.

  1. CONTREPARTIE

2.1 En contrepartie du fait que le Responsable du traitement engage les services du Sous-traitant pour traiter les données personnelles en son nom, le Sous-traitant doit se conformer aux obligations en matière de sécurité, de confidentialité et autres qui lui sont imposées en vertu du présent accord et de toute législation applicable en matière de protection des données.

  1. DONNÉES DU TRAITEMENT

3.1 Le Responsable du traitement peut soumettre des Données à caractère personnel au Sous-traitant, dont l’étendue est déterminée et contrôlée par le Responsable du traitement à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les Données à caractère personnel relatives aux catégories suivantes de personnes concernées :

  • Prospects, clients, partenaires commerciaux et fournisseurs du Responsable du traitement (qui sont des personnes physiques) ;
  • Employés, agents, conseillers, pigistes du Responsable du traitement (qui sont des personnes physiques)

Il peut inclure, mais sans s’y limiter, des Données personnelles relatives aux catégories suivantes de personnes concernées :

  • Prénom et nom, Fonction, Employeur, Coordonnées (entreprise, e-mail, téléphone, adresse professionnelle physique), Données d’identification, Données de vie professionnelle, Données personnelles, Données de localisation.

Le Sous-traitant conservera ces Données personnelles jusqu’à ce qu’il lui soit demandé de supprimer ou de prendre toute autre mesure conformément avec le RGPD du Royaume-Uni par le responsable du traitement, une personne ou une entreprise.

3.2 Sans préjudice de la généralité de la clause 5.2, le Responsable du traitement s’assurera qu’il dispose de tous les consentements et avis appropriés nécessaires pour permettre le transfert légal des Données personnelles au Sous-traitant pour la durée et aux fins du présent accord.

  1. A) OBLIGATIONS DU SOUS-TRAITANT

Le Sous-traitant s’engage à :

4.1 Traiter les données à  caractère personnel uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si le droit de l’Union ou le droit de l’État membre auquel le Sous-traitant est soumis l’exige ; dans ce cas, le Sous-traitant informe le Responsable du traitement de cette exigence légale avant le traitement,  à moins que cette loi n’interdise de telles informations pour des motifs importants d’intérêt public.

4.2 Prendre en compte la nature du traitement et assister le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l’obligation du Responsable du traitement de répondre aux demandes d’exercice des droits de la personne concernée énoncés au chapitre III du Règlement. En outre, le Sous-traitant doit :

4.2.1 Informer rapidement le Responsable du traitement  s’il reçoit une demande d’une Personne concernée en vertu d’une Législation sur la protection des données concernant les Données personnelles du Responsable du traitement ; et

4.2.2 S’assurer que le Sous-traitant ne répond pas à cette demande, sauf sur les instructions documentées du Responsable du traitement ou tel que requis par la Législation sur la protection des données à laquelle le Sous-traitant est soumis,  dans ce cas, le Sous-traitant doit, dans la mesure permise par la Législation sur la protection des données, informer le Responsable du traitement de cette exigence légale avant que le Sous-traitant ne réponde à la demande.

4.3 Tenir compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, et le Sous-traitant mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque.

4.4 Tenir compte, lors de l’évaluation du niveau de sécurité approprié, des risques que présente le traitement, en particulier de la destruction accidentelle ou illicite, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès non autorisé aux données à caractère personnel transmises, stockées ou traitées d’une autre manière.

4.5 Avoir mis en place des mesures de sécurité techniques et organisationnelles appropriées, examinées et approuvées par le Contrôleur, pour protéger les données personnelles fournies ou mises à disposition par le Responsable du traitement au Sous-traitant dans le cadre du présent accord, comme l’exige la Législation sur la protection des données. De plus amples détails, y compris la norme minimale de protection de sécurité, figurent à l’annexe 1 du présent accord.

4.6 Pour éviter toute ambiguïté, rien dans le présent contrat ne décharge le Sous-traitant de ses propres responsabilités directes en vertu du RGPD du Royaume-Uni.

  1. B) OBLIGATIONS SUPPLÉMENTAIRES DU SOUS-TRAITANT

Le Sous-traitant accepte en outre, en tenant compte de la nature du traitement et des informations dont il dispose, de :

4.7 Aider le Responsable du traitement à remplir son obligation de protéger les données personnelles ;

4.8 Aider le Responsable du traitement à  remplir son obligation de notifier les violations de données personnelles à l’autorité de surveillance, ce qui inclut :

4.8.1 Informer le Responsable du traitement  sans retard injustifié dès que le Sous-traitant ou tout Sous-traitant ultérieur prend connaissance d’une Violation de Données à caractère personnel affectant les Données à caractère personnel du Responsable du traitement.

4.8.2 Une telle notification doit au minimum :

  1. a) décrire la nature de la violation de données à caractère personnel, les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d’enregistrements de données à caractère personnel concernés ;
  2. b) communiquer le nom et les coordonnées du délégué à la protection des données du sous-traitant ou de tout autre contact pertinent auprès duquel de plus amples informations peuvent être obtenues ;
  3. c) décrire les conséquences probables de la violation de données à caractère personnel ;
  4. d) décrire les mesures prises ou proposées pour remédier à la violation de données personnelles.8.3 En outre, coopérer avec le Responsable du traitement et prendre les mesures commerciales raisonnables prescrites par le Responsable du traitement pour aider à l’enquête, à l’atténuation et à la correction de chaque violation de données à caractère personnel.4.9 Aider le Responsable du traitement à remplir son obligation d’informer les personnes concernées en cas de violation de données à caractère personnel ;4.10 Aider le Responsable du traitement à remplir son obligation d’effectuer des analyses d’impact relatives à la protection des données (AIPD) ; et4.11 Aider le Responsable du traitement  à s’acquitter de son obligation de consulter l’autorité de contrôle lorsqu’une AIPD indique qu’il existe un risque élevé non atténué pour le traitement.
  5. AUTRES OBLIGATIONS DES DEUX PARTIES

5.1 Le Responsable du traitement et le Sous-traitant doivent prendre des mesures pour s’assurer que toute personne physique agissant sous l’autorité du Responsable du traitement ou du sous-traitant qui a accès aux données à caractère personnel ne les traite que sur instruction du Responsable du traitement, sauf si la loi l’exige.

5.2 Les deux parties se conformeront à toutes les exigences applicables de la législation sur la protection des données. Cette clause 5.2 s’ajoute, et ne dispense pas, ne supprime pas ou ne remplace pas, les obligations d’une partie en vertu de la législation sur la protection des données.

  1. CONFIDENTIALITÉ

6.1 Le Sous-traitant doit s’assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;

6.2 En particulier, le Sous-traitant  accepte que, sauf autorisation écrite préalable du Responsable du traitement, il ne divulgue aucune donnée personnelle fournie au Sous-traitant par, pour ou au nom du Responsable du traitement à un tiers.

6.3 Le Sous-traitant n’utilisera aucune donnée personnelle qui lui est fournie par le Responsable du traitement autrement que dans le cadre de la fourniture de services au Responsable du traitement et comme convenu dans le présent accord.

6.4 Les obligations énoncées dans les clauses 6.1, 6.2 et 6.3 ci-dessus se poursuivront pendant une période de cinq ans après la cessation de la fourniture de services par le Sous-traitant au Responsable du traitement.

6.5 Rien dans le présent accord n’empêche l’une ou l’autre des parties de se conformer à toute obligation légale imposée par un organisme de réglementation ou un tribunal. Toutefois, dans la mesure du possible, les deux parties discutent ensemble de la réponse appropriée à toute demande de divulgation d’informations émanant d’un organisme de réglementation ou d’un tribunal.

  1. ENGAGEMENT D’UN SOUS-TRAITANT ULTÉRIEUR

7.1 En concluant le présent contrat, le Responsable du traitement autorise par la présente le Sous-traitant à nommer des Sous-traitants ultérieurs des Données à caractère personnel et, pendant la durée de l’entrée en vigueur du présent accord, il a le droit général de nommer des Sous-traitants ultérieurs des Données à caractère personnel. Le Sous-traitant fournira au Responsable du traitement une notification préalable avant de nommer des Sous-traitants ultérieurs de toute donnée personnelle qui s’ajoute à celles indiquées à l’annexe 2.

7.2 Le Sous-traitant informera le Responsable du traitement de  l’utilisation de tout nouveau Sous-traitant ultérieur avant l’adoption du Sous-traitant ultérieur et le transfert des Données du Responsable du traitement ou la fourniture de toute forme d’accès aux Données du Responsable du traitement, donnant ainsi au Responsable du traitement la possibilité de s’opposer à un tel changement et de résilier l’accord à la suite de ce changement. Le responsable du traitement doit s’assurer que tous les consentements nécessaires à la protection des données sont obtenus ou que d’autres motifs légitimes pour le traitement des données personnelles sont établis. L’utilisation continue des Services par le Responsable constitue une approbation pour l’utilisation de ce nouveau Sous-traitant ultérieur et une confirmation par le Responsable du traitement que l’utilisation de tous les Sous-traitants ultérieurs est légale en vertu des Lois applicables en matière de protection des données.

7.3 Lorsque le Sous-traitant engage un Sous-traitant ultérieur pour s’acquitter de ses obligations en vertu du présent accord ou d’un autre acte juridique,  il ne le fera que par le biais d’un accord écrit avec le Sous-traitant ultérieur qui impose au moins le même niveau de protection au Responsable du traitement que celui énoncé dans le présent accord ou tout autre acte juridique, y compris, mais sans s’y limiter, fournir des garanties suffisantes en ce qui concerne la sécurité du traitement sur le Sous-traitant ultérieur que sont imposées au Sous-traitant en vertu du présent contrat.

7.4 Le Sous-traitant  accepte de fournir au Responsable du traitement, pour examen, les copies de l’accord écrit entre le Sous-traitant et le Sous-traitant ultérieur (qui peuvent être expurgées pour supprimer les informations commerciales confidentielles non pertinentes aux exigences du présent contrat) que le Responsable du traitement peut demander de temps à autre.

7.5 Pour éviter toute ambiguïté, lorsque le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant sera responsable envers le Responsable du traitement de l’exécution des obligations de cet autre sous-traitant.

  1. AUDITS ET INSPECTIONS

Le Sous-traitant s’engage à :

8.1 Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent accord et la Législation sur la protection des données ;

8.2 Permettre et contribuer aux audits, y compris les inspections, menés par le contrôleur ou un autre auditeur mandaté par le contrôleur.

8.3 Le Sous-traitant doit immédiatement informer le Responsable si, à son avis, une instruction en vertu de la présente section 8 enfreint la législation sur la protection des données.

  1. DURÉE ET RÉSILIATION

9.1 Cet accord entrera en vigueur à la date de la commande et restera en vigueur jusqu’à ce que le contrat soit résilié conformément aux Conditions générales de fourniture de services.

9.2 Chaque partie a le droit de résilier le contrat, partiellement ou entièrement, immédiatement en envoyant un avis écrit de résiliation à l’autre partie précisant les raisons de la résiliation, si l’un des événements suivants se produit:

9.2.1 L’autre partie viole matériellement l’une de ses obligations en vertu du présent accord;

9.2.2 L’autre partie manque à l’une de ses obligations en vertu du présent accord et, nonobstant une demande écrite de la partie non contrevenante de remédier à une telle violation, ne se conforme pas à une telle demande dans un délai de trente (30) jours suivant cet avis;

9.2.3 Un cas de force majeure prévaut pendant une période supérieure à trois (3) mois; ou

9.2.4 L’autre partie devient insolvable ou entre en liquidation, une requête en faillite est déposée pour elle ou un séquestre est nommé.

9.3 À la résiliation ou  à l’expiration du présent contrat, tous les droits et obligations des parties, accumulés avant la résiliation ou l’expiration de celui-ci, continueront d’exister.

9.4 Dans les trente (30) jours suivant la résiliation du présent contrat, le Sous-traitant doit, à la demande du Contrôleur, soit (a) renvoyer toutes les données personnelles transmises au Sous-traitant par le Responsable du traitement  pour traitement, soit (b) à la réception des instructions du Responsable du traitement, détruire toutes ces données, sauf si le Sous-traitant est interdit de le faire par une loi applicable.

9.5 Le Sous-traitant peut conserver les Données à caractère personnel du Responsable du traitement dans la mesure requise par la Législation sur la protection des données et uniquement dans la mesure et pour la période requises par la Législation sur la protection des données et à  condition toujours que le Sous-traitant et tout sous-traitant ultérieur assurent la confidentialité de toutes ces Données à caractère personnel du Responsable du traitement et veillent à ce que ces Données à caractère personnel du Responsable du traitement ne soient traitées que dans la mesure nécessaire aux fins spécifiées dans la Législation sur la protection des données exigeant  son stockage et à aucune autre fin.

9.6 Le Sous-traitant doit fournir une certification écrite au Responsable du traitement que lui-même et tout sous-traitant ultérieur se sont pleinement conformés à la présente section 10 dans les trente (30) jours suivant la date de résiliation.

  1. DROITS DE PROPRIÉTÉ INTELLECTUELLE

10.1 Le Sous-traitant est et restera propriétaire de tout matériel utilisé ou mis à disposition dans le cadre de la prestation des services.

10.2 Le Sous-traitant accorde au Responsable du traitement un droit limité, personnel, non exclusif et non transférable d’utiliser tout matériel fourni dans le cadre de la prestation des services. Cette licence est valable pour la durée du contrat.

10.3 Le Responsable du traitement est et restera le propriétaire de toutes les données personnelles fournies ou mises à la disposition du Sous-traitant dans le cadre du présent contrat.

10.4 Le Responsable accorde au Sous-traitant un droit limité, personnel, non exclusif et non transférable d’utiliser les données personnelles fournies uniquement dans le cadre de la fourniture des services. Cette licence est valable pour la durée du contrat.

  1. LOI APPLICABLE

11.1 Le présent contrat est régi et interprété exclusivement conformément aux lois d’Angleterre et du Pays de Galles.

  1. INTÉGRALITÉ DE L’ACCORD

12.1 Cet accord contient l’intégralité de l’accord et de l’entente entre les parties en ce qui concerne l’objet des présentes et remplace tous les accords ou ententes antérieurs, écrits ou oraux, concernant le même objet qui sont toujours en vigueur entre les parties.

12.2 Toute modification du présent accord, ainsi que tout ajout ou suppression, doit être convenu par écrit par les deux parties.

12.3 Dans la mesure du possible, les dispositions du présent accord doivent être interprétées de manière à être valides et exécutoires en vertu de la loi applicable énoncée à la clause 11 ci-dessus.

  1. SÉPARATION

13.1 Si une disposition de cet accord est invalide ou inapplicable, le reste de cet accord restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour assurer sa validité et son applicabilité, tout en préservant au plus près les intentions des parties ou, si cela n’est pas possible, (ii) interprétée de manière à ce que la partie invalide ou inapplicable n’y ait jamais été contenue.

  1. ANNEXE 1

Mesures techniques et organisationnelles

Conformément à ses obligations en vertu de la clause 4 en ce qui concerne le traitement des données à caractère personnel pour le compte du Responsable du traitement, le Sous-traitant met en œuvre, au minimum, des mesures techniques et organisationnelles appropriées pour se conformer aux exigences du Règlement. Cela inclut les exigences énoncées dans la législation sur la protection des données à savoir :

  • La pseudonymisation et le cryptage des données personnelles ;
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
  • La capacité de rétablir la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;
  • Un processus de test régulier, évaluer l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
  1. ANNEXE 2

Sous-traitants ultérieurs
TCCHE Ltd utilise un petit nombre de sous-traitants ultérieurs afin de fournir des services au responsable du traitement. La liste suivante des sous-traitants ultérieurs de données qui peuvent être utilisés pour fournir des services sera mise à jour de temps à autre pour refléter la situation opérationnelle actuelle :

Courriel, marketing et communications

  1. Microsoft Ltd – fourniture des services de messagerie TCCHE utilisés pour les communications avec le contrôleur
  2. HubSpot, Inc – fourniture du système CRM et d’emailing de TCCHE
  3. WordPress, Inc – provisionner le système CM S de TCCHE

Serveurs et hébergement

  1. Kinsta, Inc – fourniture de serveurs pour l’hébergement de sites Web et le stockage de sauvegarde
  2. Amazon Web Services, Inc – fourniture de serveurs pour l’hébergement de sites Web et le stockage de sauvegarde
  3. GoDaddy Operating Company, LLC – fourniture d’enregistrement de domaine et de services SSL
  4. Cloudflare, Inc – fourniture de services de gestion DNS

Autre

  1. ManageWP, LLC – fourniture d’outils de gestion WordPress et de fonctionnalités de sécurité
Boutique

Panier

Votre panier est actuellement vide.

Retour à la boutique