CONDITIONS GENERALES VALANT CONVENTION DE FORMATION EN LIGNE
La présente convention est conclue en application des dispositions du Livre III de la Sixième partie du Code du travail portant organisation de la formation professionnelle continue, entre vous personnes physique ou morale ou agissant pour le compte uniquement de l’entité juridique avec laquelle vous passez commande ou contractualisez (le « Client ») avec la société BLUEDIGITAL, SAS sise 90 rue du Faubourg Saint Martin 75010 Paris, immatriculée au RCS de Paris sous le numéro 833999352, organisme de formation n°11756059975 (« Bluedigital »).
Cette formation s’adresse uniquement aux professionnels, à l’exclusion des consommateurs tels que définis par le code de la consommation.
Les Conditions Générales applicables au Client sont celles en vigueur à la date de la commande Les présentes Conditions Générales constituent avec la commande et, le cas échéant, les factures, les documents contractuels opposables au Client, à l’exclusion de tout autre, notamment de ses propres conditions générales de vente et/ou d’achat et/ou de ses propres bons de commandes. En cas de contradiction entre les présentes Conditions Générales et la commande, la commande prévaudra. Toutes conditions dérogatoires aux présentes n’engagent Bluedigital qu’à la condition d’avoir été acceptées par écrit.
Les présentes conditions encadrant les obligations des parties, fait également office de règlement intérieur
Article 1er : Objet de la convention
Bluedigital propose les formations en ligne suivante (chacune, une « Formation ») :
Intitulé de la formation : « Formation RGPD DPO : Data Protection Officer – Devenir délégué à la protection des données Préparer la certification CNIL »
Objectifs opérationnels :
- Maîtriser les enjeux et les principes clés de la réglementation relative aux données personnelles ;
- Appliquer les bonnes pratiques au sein d’une organisation pour garantir le respect du cadre légal au quotidien ;
- Appréhender le rôle, les missions et les responsabilités du DPO ;
- Réaliser un état des lieux de la conformité au RGPD d’une structure ;
- Mettre en oeuvre un projet de mise en conformité des traitements ;
- Tenir un registre des activités de traitement ;
- Négocier un cadre contractuel adapté avec les différents acteurs ;
- Mettre en oeuvre les droits de personnes concernées par les traitements ;
- Gérer les transferts de données en dehors de l’Union européenne ;
- Participer à une analyse de risques ;
- Identifier les mesures de sécurité minimales et appropriées aux risques propres à votre structure ;
- Maîtriser les mécanismes techniques de pseudonymisation, d’anonymisation et de chiffrement de données ;
- Réaliser une analyse d’impact sur la protection des données ;
- Gérer un incident de sécurité lié aux données personnelles ainsi que l’éventuelle procédure de notification qui s’en suit ;
- Préparer l’examen de certification DPO.
Programme et moyens pédagogiques :
Programme de la formation
Partie 1- Comprendre le Règlement
- Les enjeux de la protection des données
- Définitions et champ d’application
- Les fondamentaux et principes du RGPD : Droits des personnes et principes clés
- 40 ans de construction de la protection de la vie privée
- Le positionnement du RGPD dans le cadre légal
- L’Autorité de Contrôle : la CNIL en France
- Sanctions et recours
- Les autres acteurs du RGPD : G29, EDPB, CJUE…
Partie 2 – Appliquer le Règlement
- Les obligations générales des organisations
- Les procédures écrites
- La conservation, l’aonymisation et la purge des données
- Formation des employés et audits
- Code de conduite
- Certification et politique de protection des données
- L’encadrement juridique des relations avec les salariés
- La mise en conformité des sites internet
- La détermination de la validité d’un traitement : focus sur toutes les bases juridiques
- L’information des personnes et le recueil du consentement
- La contractualisation
Étude de cas : Négociation contractuelle d’un Data Processing Agreement (DPA)
- Les mentions légales obligatoires
- Les transferts internationaux
- L’obligation de transparence
- Déterminer les droits des personnes : Accès, rectification, oubli, limitation, opposition, portabilité, post-mortem.
- Mettre en œuvre les droits des personnes
Partie 3 – La sécurité des données
- Les fondamentaux de la sécurité des données
- Introduction à l’analyse de risques
- Focus sur les 12 mesures élémentaires de sécurité de l’information
Étude de cas : La sécurité des sites web
- Disponibilité, intégrité et résilience des données
- Pseudonymisation, anonymisation, signature et chiffrement des données personnelles
- Audits en matière de protection des données personnelles
Partie 4 – Responsabilité
- La responsabilité de la structure
- La responsabilité du DPO
- Tenir un registre des traitements ou un registre sous-traitant
Étude de cas : Registre de traitement d’un hôtel
- Gestion et notifications des violations de données à l’autorité de contrôle et aux personnes concernées
- Privacy by design et privacy by default
- Focus sur l’analyse d’impact : Principes et réalisation
Cas pratique : Réalisation de l’analyse d’impact d’une société de crédit en ligne
Partie 5 – Le Délégué à la Protection des Données (DPO)
- Qu’est-ce qu’un DPO ?
- Désignation obligatoire d’un DPO
- Désignation volontaire d’un DPO
- Absence de désignation
- Missions et fonctions
- Profil du DPO
- Nomination et révocation du DPO
- Le positionnement du DPO
- La déontologie du DPO
Partie 6 – DPO Au quotidien
- Le marché du DPO
- Prise de poste du DPO
- Réaliser un état des lieux de la conformité de l’organisme
- Plan de mise en conformité et gestion du changement
- Piloter la conformité au quotidien
- Documenter la conformité
- Les aspects contractuels pratiques
- Le rapport annuel du DPO et relations avec la direction
- Comment gérer un contrôle CNIL ?
- Le départ du DPO
Partie 7 – La certification DPO
- Présentation du processus de certification de personnes
- Notions importantes pour la certification
- Préparation à la certification
Examen blanc de certification DPO (100 questions)
Matériel de formation
Formation 100% en ligne à suivre à son rythme : Vidéos, cas pratiques, tests de validation des acquis par chapitre, documents annexes et liens utiles.
Type d’action de formation (article L.6313-1 du Code du travail) : Actions d’acquisition, d’entretien ou de perfectionnement des connaissances.
Durée : 35 heures
Adresse : https://bluelearning.fr ou tout autre lien URL ultérieurement communiqué (le « Site »)
Nombre de personnes par compte : 1
Le Client se verra délivré, à l’issue de la Formation, une attestation de formation.
Article 2 : Commande
Le Client peut passer commande soit sur le Site, soit par échange d’emails. Le tarif est indiqué sur le Site ou dans les échanges avec Bluedigital. La personne physique acceptant le bon de commande ou devis engage le Client et le Client garantit que cette personne est habilitée à conclure le contrat avec Bluedigital.
Toute commande vaut, automatiquement et sans formalité supplémentaire, (i) acceptation des prix en vigueur à la date de la commande, (ii) de la description de la Formation tels qu’indiqués sur le Site au moment de la commande et (iii) des présentes Conditions Générales.
Dès réception d’une commande, une confirmation est adressée au Client, accompagnée d’un lien vers le Site et le compte du Client afin qu’il accède à la Formation.
Bluedigital se réserve le droit de refuser toute commande pour motif légitime et non discriminatoire.
Article 3 : Compte
Bluedigital créera un compte pour le Client donnant accès à celui-ci à la Formation. Le Client garantit que toutes les informations fournies sont exactes et à jour. Le Client s’engage à mettre à jour ces informations en les communiquant à Bluedigital.
Le Client est informé et accepte que les informations fournies dans le cadre de l’ouverture de son compte soient présumées comme établissant son identité. Le Client doit conserver secrets son identifiant et mot de passe. Le Client doit contacter Bluedigital immédiatement dès qu’il sait que son compte a été utilisé sans son accord. Le Client reconnait que Bluedigital peut prendre toute mesure appropriée, y inclus la suspension du compte.
Le Client peut accéder à sa Formation en se connectant au Site et en utilisant son identifiant et mot de passe. Le Client accepte de n’utiliser la Formation qu’à titre personnel et s’interdit de laisser tout tiers l’utiliser sauf à en accepter toutes les conséquences. Toute utilisation de la Formation avec l’identifiant et le mot de passe d’un Client sera irréfragablement réputée comme fait par ledit Client.
Article 4 : Dispositions financières
Le tarif figure sur le Site et/ou le document valant commande. Bluedigital se réserve la faculté de modifier, sans formalité particulière ni préavis, le tarif ou appliquer une réduction exceptionnelle pour un Client.
Toute Formation commencée est due en totalité. Aucun remboursement n’est possible.
Le règlement des factures est dû comptant ou, si accordé par écrit par Bluedigital, à 30 jours date de facture.
Le Client est informé et accepte expressément que tout retard de paiement en tout ou partie, dans le cadre des présentes, entrainera automatiquement, sans préjudice des autres droits de Bluedigital et moyennant une notification écrite préalable de 8 jours restée sans effet :
- la suspension immédiate de la Formation jusqu’à complet paiement des sommes dues par le Client,
- la facturation d’un intérêt de retard par Bluedigital, au taux de 3 fois le taux d’intérêt légal appliqué sur toutes les sommes en retard concernées,
- la facturation d’un montant forfaitaire de 40€ pour recouvrement de créances.
Article 5 : Obligations du Client
Le Client est seul responsable du respect des formalités nécessaires administratives, fiscales et/ou sociales en relation avec la Formation. Le Client est seul responsable de l’information ou de la collecte du consentement des syndicats, CSE et/ou employés conformément à la réglementation applicable. Bluedigital ne saurait en aucun cas être responsable à ces titres.
Le Client reconnait avoir compris les caractéristiques et limites de la Formation. Le Client est seul responsable de son utilisation.
Le Client ne peut pas copier, transférer, sous-licencier, déléguer ou céder tout ou partie de leurs droits visés aux présentes à un tiers.
Le Client n’est pas autorisé (et s’interdit d’encourager des tiers) à utiliser la Formation pour :
- tout acte, déclaration ou omission ayant pour cause ou conséquence la violation de la loi et/ou réglementation applicable et/ou des présentes et/ou des guidelines / conditions générales des plateformes concernées ;
- entraver ou perturber la Formation, les serveurs ou les réseaux connectés à la Formation, ou limiter les exigences, procédures ou règlements des réseaux connectés à la Formation ;
- vendre ou concéder tout ou partie de l’accès à la Formation ou aux informations hébergées et / ou partagées sur le Site ; et/ou
- concevoir, réaliser et/ou faire réaliser un système, application, logiciel ou ensemble concurrençant la Formation.
Article 6 : Propriété intellectuelle
Les informations, contenus, textes, vidéos, sons et images de la Formation sont protégées notamment par des droits de propriété intellectuelle, dont le droit d’auteur, le droit du producteur de bases de données, le droit des marques, conformément aux dispositions du Code de la propriété intellectuelle.
Bluedigital est titulaire et/ou licenciée de l’ensemble des droits de propriété intellectuelle afférents à la Formation. Le Client reconnait l’originalité de la Formation et sa protection au titre du droit d’auteur.
Les présentes Conditions Générales n’emportent aucune cession de droits de propriété intellectuelle sur la Formation.
Article 7 : Garanties / Responsabilités
Bluedigital fournit la Formation avec soin et conformément aux pratiques de marché dans le cadre d’une obligation de moyens, ce que le Client reconnaît et accepte. Bluedigital ne garantit aucun résultat de formation. Bluedigital ne garantit pas au Client (i) que la Formation, qui est sujette à recherche permanente d’amélioration des performances dans le cadre d’une démarche qualité, est sans erreurs, fautes ou bugs, (ii) que la Formation est conforme aux besoins ou attentes du Client. Bluedigital garantit le Client qu’il pourra jouir paisiblement de la Formation pendant la durée des présentes sous réserve du respect, par celui-ci, des présentes et de la loi. A ce titre, Bluedigital prendra à sa charge l’ensemble des sommes, frais et dépens auxquels le Client aura été définitivement condamné au titre de toute action, procédure ou demande basée sur une violation d’un droit de propriété industrielle européen ou un acte de concurrence déloyale, en relation avec (i) une violation des présentes ou (ii) la propriété et/ou l’utilisation de la Formation par le Client. Cette garantie est conditionnée par le fait que (a) le Client ait alerté sans délai Bluedigital d’une telle demande ou action, (b) que le Client coopère pleinement et apporte toutes les informations à Bluedigital et (c) que Bluedigital et le Client participent à l’argumentation.
Le Client prendra à sa charge, au fil de l’eau, l’ensemble des sommes, frais, honoraires d’avocat et dépens qui pourraient être encourus ou auxquels pourrait être condamnée Bluedigital au titre de toute action, procédure ou demande d’un tiers, en relation avec (i) une violation des présentes, (ii) l’utilisation de la Formation par le Client et/ou (iii) l’utilisation non autorisée de la Formation. Cette garantie est conditionnée par le fait que (a) Bluedigital ait alerté sans délai le Client d’une telle demande ou action, (b) que Bluedigital coopère pleinement et apporte toutes les informations au Client et (c) que le Client et Bluedigital participent à l’argumentation.
La responsabilité encourue par Bluedigital dans le cadre des présentes est expressément limitée aux dommages directs et effectifs subis par le Client (les dommages indirects tel que préjudice commercial ou financier, perte de clientèle, perte d’image de marque, perte de bénéfice, perte de commande, trouble commercial quelconque, ainsi que de toute action émanant de tiers et dont il ne sera pas démontré qu’elles sont imputables à Bluedigital étant donc exclus) et ne saurait, toutes fautes et dommages confondus, excéder le montant total payé par le Client. Ce plafond a été librement négocié entre les Parties et reflète l’équilibre entre leurs obligations respectives ainsi que la juste limitation de responsabilité et ce, compte tenu du contexte général. Toute procédure contre Bluedigital doit être initiée dans les 12 mois suivants le fait générateur.
En cas de violation par une Partie de tout ou partie des présentes ou plus généralement de la violation d’une loi ou règlement, l’autre Partie se réserve la faculté, sans préjudice de ses autres droits, de plein droit et sans formalité supplémentaire, de prendre, moyennant une mise en demeure écrite et préalable (ou immédiatement en cas de faute estimée grave par la Partie non défaillante) restée sans effet plus de 15 jours, toute mesure qu’elle estimera appropriée et notamment la résiliation des présentes.
Article 8 : Confidentialité
TANT PENDANT LA DUREE DU CONTRAT QUE DURANT LES 12 MOIS QUI SUIVRONT SA CESSATION, CHAQUE PARTIE S’ENGAGE A CONSIDERER COMME STRICTEMENT CONFIDENTIELS ET A TRAITER COMME TELS LE CONTRAT ET TOUTES LES INFORMATIONS, QUELLES QUE SOIENT LEUR NATURE ET LEUR SUPPORT, RECUEILLIES PENDANT L’EXECUTION DU CONTRAT (CI-APRES LES « INFORMATIONS CONFIDENTIELLES »). Toutes les Informations Confidentielles sont considérées comme des secrets des affaires au sens du Code de Commerce. Ne sont pas considérées comme des informations confidentielles au titre du Contrat les informations (i) entrées dans le domaine public préalablement à leur divulgation ou postérieurement à celle-ci, sans qu’une obligation du Contrat n’ait été violée, (ii) reçues de tiers de manière licite, sans restriction ni violation du Contrat, (iii) publiées, sans qu’une telle publication constitue une violation du Contrat, (iv) déjà connues par l’une des Parties, cette connaissance pouvant être démontrée par l’existence de documents appropriés, (v) résultant de développements internes entrepris de bonne foi par le personnel de l’une ou l’autre des Parties n’ayant pas eu accès auxdites informations, (vi) divulguées, en application d’une disposition légale, par toute juridiction compétente ou par une autorité gouvernementale. Les parties s’engagent à ne pas divulguer ou laisser divulguer, directement ou par personne interposée, en totalité ou en partie, les Informations Confidentielles dont elles auraient eu ainsi connaissance, à quelque tiers que ce soit, à l’exception des employés et/ou sous-traitants ayant besoin des informations pour l’exécution de leurs obligations. Sans préjudice des autres stipulations du Contrat, les Parties s’engagent, à cet égard, à prendre toutes les mesures nécessaires auprès de leurs salariés et/ou sous-traitants afin que ceux-ci soient soumis à cette même obligation de confidentialité. Les Parties s’engagent à ne pas utiliser les Informations Confidentielles dans un cadre autre que celui du Contrat, même pour leur propre compte et s’engagent à restituer, à première demande de la Partie divulgatrice, tous documents ou autres supports contenant des Informations Confidentielles que celle-ci aurait été amenée à remettre à l’autre Partie dans le cadre de l’exécution du Contrat ainsi que toutes leurs reproductions.
Article 9 : Droit applicable / Juridiction compétente
Les présentes sont soumises au droit français.
EN CAS DE DIFFICULTE OU DE DIFFEREND ENTRE LES PARTIES RESULTANT DE L’INTERPRETATION OU DE L’EXECUTION DU PRESENT CONTRAT, LES PARTIES S’ENGAGENT A RECHERCHER UNE SOLUTION AMIABLE DANS UN DELAI RAISONNABLE. A CE TITRE, TOUT DIFFEREND SERA SOUMIS PREALABLEMENT A LA MEDIATION CONFORMEMENT AU REGLEMENT DE MEDIATION DU CMAP AUQUEL LES PARTIES DECLARENT ADHERER.
A DEFAUT DE SOLUTION AMIABLE, TOUTE CONTESTATION (EN CE COMPRIS LES PROCEDURES D’URGENCE, LES PROCEDURES CONSERVATOIRES) PORTANT SUR L’EXECUTION, L’INEXECUTION OU L’INTERPRETATION DU CONTRAT SERA SOUMISE AUX TRIBUNAUX COMPETENTS DU RESSORT DE LA COUR D’APPEL DE PARIS, Y COMPRIS EN CAS D’APPEL EN GARANTIE ET/OU DE PLURALITE DE DEFENDEURS.
Article 10 : Processus de réclamation
Pour tout réclamation, nous vous invitions à nous envoyer un message via notre formulaire de contact disponible sur notre site web. Nous reviendrons vers vous dans les 48 heures les jours ouvrés.
DATA PROCESSING AGREEMENT
Compte tenu du fonctionnement des outils et services de Bluedigital et conformément aux Guidelines de l’EDPB du 2 septembre 2020, les Parties ont déterminé les positionnements des Parties de la manière suivante.
Traitement n°1 | Traitement n°2 | Traitement n°3 | |
Finalité(s) du Traitement | Exécution du contrat (service souscrit par le Client) | Suivi de la relation Bluedigital / client | Prospection |
Responsable de Traitement | Client | Bluedigital | Bluedigital |
Sous-traitant | Bluedigital
Lawint |
– | – |
Nature des opérations réalisées sur les Données personnelles | Formation | relations commerciales / facturation / suivi / / recouvrement / contentieux | prospection commerciale |
Types de Données personnelles traitées | Données fournies par le Client exclusivement | Identification des intervenants chez le Client (par ex, nom ; prénom ; email, etc…) ; données de facturation, données contractuelles, etc… | Identification des intervenants pertinents chez le Client (par ex, nom ; prénom ; email, etc…) |
Catégories de Personnes concernées | Les employés et consultants du Client | Les employés et consultants du Client | Les employés du Client |
Durée du Traitement | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client + 5 ans | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client + 3 ans
|
Lieu du Traitement | Union européenne | ||
Sous-traitant du Prestataire intervenant spécifiquement dans le traitement | OVH |
1- Définitions
Sauf précision expresse contraire dans le présent DPA, les termes « Autorité de contrôle », « Données personnelles », « Personnes concernées », « Règles d’entreprises contraignantes », « Responsable du traitement », « Sous-traitant », « Traitement » et « Violation de données à caractère personnel » auront, dans le présent DPA, les définitions prévues par le règlement (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « GDPR »).
Par ailleurs, le terme Lois et réglementations applicables en matière de protection des données à caractère personnel aura, dans le présent DPA, la définition suivante : « lois, règlements et autres normes nationales et européennes, applicables aux traitements de données à caractère personnel mis en œuvre au titre du ou des Contrat(s) , en ce compris notamment le GDPR et la loi française adoptée en complément ou en application des dispositions du GDPR, ainsi, le cas échéant, que les règlements européens applicables au traitement de données de communications électroniques, à l’utilisation de technologies de traçage telles que les cookies et à la prospection directe (règles « e-Privacy »). Les Lois et réglementations applicables en matière de protection des données à caractère personnel sont interprétées par la CNIL et l’EDPB. »
2 – Obligations de Bluedigital
Les obligations de Bluedigital comprennent uniquement ce qui suit. Bluedigital garantit ainsi le Client contre toute revendication ou action de tiers au titre de ses obligations et s’engage à prendre à sa charge, au fil de l’eau, toutes les dépenses, condamnations, frais, honoraires d’avocat que le Client pourrait supporter du fait de ces procédures.
2.1. Traitement sur instruction du Client
Bluedigital s’engage à ne traiter les Données personnelles confiées que sur instruction documentée du Client ou conformément aux présentes, à moins que Bluedigital ne soit tenu de traiter les Données personnelles confiées en vertu du droit de l’Union Européenne ou du droit d’un Etat membre de l’Union Européenne auquel Bluedigital serait soumis. Dans un tel cas, Bluedigital s’engage à informer le Client de cette obligation de traiter les Données personnelles confiées avant de procéder à ce Traitement, sauf si le droit concerné interdit une telle information.
Bluedigital s’engage à conserver une trace écrite des instructions spécifiques du Client. Ce document comprend l’ensemble des indications obligatoires visées à l’article 30 du Règlement 2016/679. Par exception à ce qui précède, les opérations et traitements induits par l’exécution des présentes et/ou visées au tableau des traitements ci-avant ont considérés comme constituant des instructions du Client.
Bien que Bluedigital ne soit pas un cabinet d’avocats ou spécialisé en droit, dans l’hypothèse où Bluedigital estimerait qu’une instruction documentée du Client concernant les Traitements confiés pourrait être considérée comme illicite au regard des Lois et réglementations applicables en matière de protection des données à caractère personnel, ou risquerait d’entraîner un manquement ou une violation de ces dernières, Bluedigital s’engage à en informer le Client, étant précisé que ce dernier demeure seul juge entre les Parties de la validité des instructions données concernant les Traitements confiés.
2.2. Accountability
Bluedigital déclare avoir mis en place les procédures internes permettant la démonstration du respect des Lois et réglementations applicables en matière de protection des données à caractère personnel en tant que Sous-traitant.
A ce titre et de manière raisonnable, Bluedigital accepte que le Client puisse, moyennant un préavis écrit de 15 jours, procéder à un audit du respect par Bluedigital des dispositions du présent DPA et, à ce titre, envoyer des questions précises et demandes de documentation à Bluedigital. Ces questions seront limitées au respect des Lois et réglementations applicables en matière de protection des données à caractère personnel dans le cadre de l’exécution des présentes. Bluedigital devra répondre dans un délai raisonnable qui ne saurait être supérieur à un (1) mois. Par exception à ce qui précède, Bluedigital sera tenu de répondre dans les délais imposés par les autorités en cas de contrôle ou demande de la CNIL (ou Autorité de contrôle assimilée).
2.3. Assistance du Client
Bluedigital s’engage à assister le Client quant au le respect des obligations prévues aux articles 32 à 36 Règlement 2016/679, compte tenu de la nature du Traitement concerné et des informations à la disposition de Bluedigital, en ce compris toute question relative à l’exercice d’un droit ou d’une obligation visée par le Règlement 2016/679, et notamment :
- la mise en œuvre des droits des personnes concernées (par exemple, droit à la portabilité, droit d’accès et de rectification) ;
- la participation à une étude d’impact sur la vie privée (« PIA »).
A ce titre, le client formulera une demande écrite précise et circonstanciée permettant à Bluedigital d’appréhender la portée des questions et de définir l’ampleur de la tâche qui lui incombe. Bluedigital répondra à cette demande dans les meilleurs délais possibles compte tenu de la nature et la technicité des questions. Les Parties reconnaissent que si cette assistance devait dépasser plus d’une heure par semaine, alors Bluedigital serait légitime à facturer le Client pour les dépassements de temps sur la base du taux horaire applicable au jour de la demande du Client.
Quoique Bluedigital soit soumis à une obligation de moyens en matière de sécurité informatique, Bluedigital s’engage, en cas de violation de sécurité (i) à alerter dès que possible le Client et lui fournissant les informations nécessaires mais raisonnables (et dans la limite des obligations de confidentialité de Bluedigital), (ii) assister le Client et, le cas échéant, la CNIL ou toute autorité publique dans ce cadre et (iii) participer, de manière raisonnable, à la mise en place de correctifs. Bluedigital s’engage à coopérer avec le Client en cas de procédure de contrôle ou demande de documentation de la CNIL (ou Autorité de contrôle assimilée).
2.4. Sous-traitance
De manière générale, Bluedigital peut recourir à toute sous-traitance pour les aspects de la relation contractuelle n’impliquant pas de Données personnelles. En revanche, en cas de recours à un Sous-traitant pour un Traitement de Données personnelles relatif à l’exécution des présentes, Bluedigital avertira le Client en lui précisant la nature du Traitement concerné et l’identité du Sous-traitant. Le Client ne pourra pas refuser son accord que pour juste motif. Tout silence du Client de plus de 15 jours vaudra acceptation tacite.
En toute hypothèse, Bluedigital s’engage à ne recruter que des Sous-traitants permettant d’assurer la conformité continue des Traitements confiés aux Lois et réglementations applicables en matière de protection des données à caractère personnel. Les Sous-traitants recrutés devront à ce titre présenter des garanties suffisantes au regard des obligations applicables en matière de sécurité des Traitements confiés et de confidentialité des Données personnelles confiées.
Si, par extraordinaire, le Sous-traitant de Bluedigital ne remplit pas ses obligations en matière de protection des données vis-à-vis du Client, Bluedigital demeure responsable, dans les conditions des présentes, devant le Client de l’exécution par l’autre sous-traitant de ses obligations.
Au jour de la signature des présentes, les Sous-traitants identifiés et concernés par les présentes sont les suivants :
Traitement(s) impacté(s) par la sous-traitance | Nom et adresse du sous-traitant | Identité des représentants légaux du sous-traitant | Lieux où les Données personnelles sont traitées | Types de Données personnelles traitées par le sous-traitant | Catégories de personnes concernées par la sous-traitance | Durée du traitement réalisé par le sous-traitant |
Traitement n°1
|
OVH, 2 rue Kellermann – 59100 Roubaix | Octave Klaba | Union européenne |
Données fournies par le Client exclusivement |
Les employés et consultants du Client | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client |
Traitement n°2
|
Identification des intervenants chez le Client (par ex, nom ; prénom ; email, etc…) ; données de facturation, données contractuelles, etc… | Les employés et consultants du Client | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client + 5 ans | |||
Traitement n°3
|
Identification des intervenants pertinents chez le Client (par ex, nom ; prénom ; email, etc…) | Les employés du Client | Pendant toute la durée des relations contractuelles entre Bluedigital et le Client + 3 ans |
2.5. Confidentialité des Données personnelles
Bluedigital s’engage à réserver l’accès aux Données personnelles confiées aux seules personnes parmi ses employés et Sous-traitants ayant besoin d’y accéder pour l’exercice de leurs fonctions dans le cadre de l’exécution des présentes.
A ce titre, Bluedigital informe le Client que les contrats de travail avec ses salariés contiennent tous une clause de confidentialité et que les contrats de service avec ses Sous-traitants comprennent également une clause de confidentialité ou ayant les effets similaires et ce, sans préjudice des dispositions légales supplémentaires applicables. De plus, Bluedigital a procédé à une sensibilisation adéquate de ses salariés à l’égard des obligations résultant pour eux des stipulations et des dispositions susmentionnées.
Dans l’hypothèse où Bluedigital se verrait ordonner par toute juridiction, administration, autorité ou représentant de la force publique (ci-après une « Autorité ») de permettre un accès aux Données personnelles confiées, Bluedigital s’engage à prendre les précautions et mesures possibles pour assurer la protection de la confidentialité des Données personnelles confiées. Bluedigital informera dès que possible le Client d’une telle transmission (si et dans la mesure où cette information n’est pas expressément interdite par l’ordre en question ou par la loi ou la réglementation applicable).
2.6. Privacy by design
Bluedigital déclare avoir mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des Données personnelles dès la conception et de protection des Données personnelles par défaut.
2.7. Sécurité des Données personnelles / Violation de la sécurité des Données personnelles
Bluedigital déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :
- garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des Données personnelles et ce, conformément à l’état de l’art et aux présentes ;
- rétablir, le cas échéant, la disponibilité des Données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.
A ce titre, Bluedigital a pris en compte l’état des techniques connues, les modalités des Traitements confiés tels que décrits ci-avant, et en toute hypothèse des exigences de sécurité prévues ou découlant du droit positif français applicable à Bluedigital.
Bluedigital s’engage à maintenir et mettre à jour ces mesures, et à en implémenter au besoin et si nécessaire de nouvelles, tout au long de l’exécution des présentes, de façon à assurer à tout moment un niveau de sécurité adéquat au regard des critères précités et à ne pas réduire ni déprécier ce niveau de sécurité.
Bluedigital s’engage à informer par écrit le Client de toute Violation de données à caractère personnel affectant ou concernant les Données personnelles confiées. Cette communication a lieu « dans les meilleurs délais après en avoir pris connaissance » conformément à l’article 33.2 du Règlement 2016/679. Bluedigital s’engage également à prendre et/ou à proposer au Client, dans les meilleurs délais, toutes mesures nécessaires et utiles pour (i) identifier l’origine, la nature, l’étendue et les conséquences de la Violation de données à caractère personnel et/ou (ii) limiter ou neutraliser ses conséquences.
L’information communiquée au Client en application du paragraphe précédent devra comprendre les indications suivantes :
- une description de la Violation de données à caractère personnel précisant, si possible, la nature et l’origine de la Violation de données à caractère personnel ; les catégories de Données personnelles confiées affectées ou concernées ; une estimation du nombre de Personnes concernées affectées ;
- les nom et coordonnées de la personne auprès de laquelle le Client peut obtenir de plus amples informations relatives à la Violation de données à caractère personnel ;
- une description des conséquences probables de la Violation de données à caractère personnel ; et
- une description des mesures prises et/ou proposées par Bluedigital pour remédier à la Violation de données à caractère personnel et/ou limiter ou neutraliser ses conséquences.
Lorsque l’ensemble des indications précédentes ne sont pas immédiatement connues ou accessibles, Bluedigital peut informer le Client de la survenance de la Violation de données à caractère personnel puis communiquer les informations complémentaires sans délai au fur et à mesure où elles sont obtenues.
Bluedigital s’engage enfin à fournir ses meilleurs efforts pour assister le Client dans l’exécution de ses obligations de notification des Violations de données à caractère personnel aux Autorités de contrôle ainsi que de communication de ces Violations de données à caractère personnel aux Personnes concernées, le cas échéant.
2.8. Transfert des données hors UE
Au jour de la signature des présentes, Bluedigital ne transfère aucune Donnée personnelle afférente à un Traitement hors de l’UE.
2.9. Conservation des Données personnelles
Bluedigital conservera les Données personnelles fournies par le Client conformément aux délais de conservation déterminés par celui-ci et visés au sein du tableau ci-avant. Le Client reconnait qu’à défaut d’instruction écrite pour un Traitement non visé dans le tableau ci-avant, Bluedigital ne conserve les données conservées que 12 mois à compter de la cessation des présentes. Le Client assume toutes les conséquences de ce délai en cas de défaut d’instruction écrite. A l’issue de ce délai, Bluedigital détruit les données concernées.
Dans l’hypothèse d’une suppression des Données personnelles, Bluedigital s’engage à conserver toutes les preuves nécessaires et utiles de la bonne réalisation de cette suppression, sous toute forme utile.
3 – Obligations du Client
Les obligations du Client comprennent ce qui suit. Le Client garantit ainsi Bluedigital contre toute revendication ou action de tiers au titre de ses obligations et s’engage à prendre à sa charge, au fil de l’eau, toutes les dépenses, condamnations, frais, honoraires d’avocat que le Client pourrait supporter du fait de ces procédures.
Le Client déclare et garantit avoir informé les personnes concernées de l’ensemble de leurs droits et des mentions obligatoires telles que visées par la réglementation applicable et d’avoir recueilli, le cas échéant, le consentement conformément à la réglementation applicable. Le Client s’engage à fournir les informations et recueillir le consentement des personnes conformément aux Lois et réglementations applicables en matière de protection des données à caractère personnel et, le cas échéant, à refournir et/ou recueillir à nouveau leur consentement, conformément à ces Lois et réglementations applicables en matière de protection des données à caractère personnel.
Le Client déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :
- garantir à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;
- rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.
En tant que responsable de traitement, le Client s’engage et garantit déterminer, pour chaque type de données et chaque finalité, une durée de conservation conforme à la réglementation en vigueur. Le Client s’engage à communiquer à Bluedigital ces délais de conservation par écrit.