Informatique & Libertés
Conformément à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, www.annelisartisanat.com a fait l'objet d'une déclaration auprès de la CNIL sous le numéro 2153949 v 0.
Vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données qui vous concernent. Vous pouvez exercer ce droit en nous contactant via annelisartisanat@orange.fr ou par courrier postal envoyé à l’adresse suivante :
Madame Cyrille Fagot 31 rue de la maisonneraie 77390 Champdeuil
Le site internet www.annelis-artisanat.com a recours à l'utilisation de cookies afin de reconnaître l’utilisateur lors de sa connexion sur son site. L'utilisateur peut à tout moment désactiver l'utilisation de ces cookies en sélectionnant les paramètres appropriés dans son navigateur.
Accord annexe relatif à la sous-traitance de traitement(s) conformément à l'art. 28 du RGPD en tant qu'annexe à un ou plusieurs contrats utilisés par le donneur d'ordre
entre la société
1&1 Internet SARL
7 place de la Gare - BP 70109
57201 Sarreguemines Cedex France
– ci-après le « mandataire » –
et
Entreprise: Annelis'atelier
Pays: FRANCE
– ci-après le « donneur d'ordre »” –
Préambule
La présente annexe précise les obligations des parties contractantes en matière de protection des données qui découlent du traitement du contrat ou des contrats décrits en détail dans le ou les contrats individuels (ci après le « contrat »). Elle s'applique à toutes les activités en rapport avec le contrat et pour lesquelles les employés du mandataire ou les personnes qu'il a mandatées traitent des données personnelles (ci-après « données ») du donneur d'ordre.
Cette annexe est applicable au(x) contrat(s) en vigueur entre les parties relatif aux produits suivants
Serveur
Serveur Cloud, Serveur Virtuel Cloud, Managed Cloud Hosting, Serveur Dédié (et Managed), Serveur Bare Metal, Dynamic Cloud Server, Serveur Virtuel (Lin/Win), Container Cluster
Création de site & hébergement
Hébergement Web, Hébergement WordPress, MyWebsite, Boutique en ligne
Bureau et marketing en ligne
Comptabilité, E-Mail Marketing
§1 Objet, durée et spécification du traitement du contrat
(1) L'objet et la durée du mandat ainsi que les finalités et les modalités du traitement découlent du contrat. L'objet de cette annexe n'est pas l'utilisation initiale ou le traitement des données personnelles par le mandataire. En tant que prestataire d'hébergement et administrateur de systèmes de serveurs, un accès à des données personnelles par le mandataire ne peut toutefois pas être exclu.
La durée d'application de la présente annexe est couplée à la durée de validité du contrat dans la mesure où aucune obligation sortant de ce cadre ne découle des dispositions de la présente annexe.
§2 Champ d'application et responsabilité
(1) Le mandataire traite sur mandat les données personnelles du donneur d'ordre. Cela comprend les activités qui sont définies dans le contrat et dans la description des prestations. Dans le cadre de ce contrat, le donneur d'ordre est seul responsable du respect des dispositions des lois et réglementations relatives à la protection des données, en particulier pour la légitimité du traitement des données (« responsable » au sens de l'art. 4, nº 7 du RGPD).
(2) Les instructions sont initialement fixées dans le contrat et peuvent être ensuite modifiées, complétées ou remplacées par le donneur d'ordre par écrit ou sous forme électronique (« forme écrite ») grâce à des instructions spécifiques données au service désigné par le mandataire (« instructions spécifiques»).
§3 Obligations du mandataire
(1) Le mandataire est uniquement en droit de traiter des données des personnes concernées dans le cadre du mandat et des instructions du donneur d'ordre, sauf cas exceptionnel au sens de l'art. 28, paragraphe 3, lettre a) du RGPD. Le mandataire doit informer le donneur d'ordre dans les plus brefs délais s'il considère qu'une instruction contrevient aux lois ou réglementations applicables. Le mandataire est en droit de refuser l'exécution d'instructions illégales.
(2) Le mandataire concevra l'organisation interne de son domaine de responsabilité de sorte à répondre aux exigences spécifiques de la protection des données. Il prendra des mesures techniques et organisationnelles visant à garantir une protection adéquate des données du donneur d'ordre selon les exigences du règlement de base sur la protection des données (art. 32 du RGPD). Le mandataire doit prendre des mesures techniques et organisationnelles afin d'assurer à long terme la confidentialité, l'intégrité, la disponibilité, la capacité de charge des systèmes et services en rapport avec le traitement.
(3) Le mandataire prend les mesures nécessaires de sauvegarde des données et d'atténuation des conséquences préjudiciables possibles pour les personnes concernées.
(4) La description des mesures techniques et organisationnelles conformément à l'annexe 1 fait partie du présent accord.
Le mandataire fournira la preuve du respect des mesures de protection convenues et de leur efficacité vérifiée en remettant un certificat relatif à la protection des données et à la sécurité des informations.
Le mandataire se réserve le droit de modifier les mesures de sécurité conclues tout en garantissant que le niveau de protection convenu dans le contrat est bien respecté.
Si nécessaire, le mandataire apporte son soutien au donneur d'ordre dans le cadre de ses possibilités afin de satisfaire aux demandes et exigences des personnes concernées conformément au chapitre III du RGPD et de remplir les obligations mentionnées aux art. 33 et 34 du RGPD
(5) Le mandataire s'assure que le personnel chargé du traitement des données du donneur d'ordre et toute autre personne travaillant pour le mandataire ont l'interdiction de traiter les données en dehors du cadre de l'instruction. Le mandataire veille en outre à ce que les personnes autorisées à traiter les données personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'obligation de confidentialité/discrétion subsiste même après l'exécution du mandat.
(6) Le mandataire informe le donneur d'ordre dans les meilleurs délais s'il a connaissance de violations de la protection des données personnelles du donneur d'ordre.
(7) Interlocuteur pour toute question relative à la protection des données dans le cadre de la présente annexe :
1&1 Internet SARL
Service protection des données
7 place de la Gare - BP 70109 57201 Sarreguemines Cedex legal@1and1.fr
(8) Le mandataire s'assure de s'acquitter de ses obligations selon l'art. 32 al. 1 d) du RGPD, en mettant en œuvre une procédure visant à tester régulièrement l'efficacité des mesures techniques et organisationnelles permettant d'assurer la sécurité du traitement.
(9) Le mandataire rectifie ou supprime les données faisant l'objet du contrat si le donneur d'ordre l'y enjoint et que ces procédures font partie du cadre des instructions. Si une solution conforme à la protection des données ou une restriction correspondante du traitement des données n'est pas possible, le mandataire se charge de la destruction conforme à la protection des données des supports de données et autres matériels en vertu d'un mandat spécifique donné par le donneur d'ordre ou les restitue au donneur d'ordre sauf disposition contraire du contrat.
Dans certains cas à déterminer par le donneur d'ordre, une conservation ou une remise, une rémunération et des mesures de protection à cet effet doivent être convenues séparément pour autant qu'elles ne sont pas déjà convenues dans le contrat.
(10) A la demande du donneur d'ordre, les données, supports de données et tous les autres matériels doivent être transmis ou supprimés à la fin du mandat.
(11) Dans le cas où une personne concernée ferait valoir son droit auprès du donneur d'ordre pour d'éventuelles réclamations en vertu de l'art. 82 du RGPD, le mandataire s'engage, dans la mesure de ses moyens, à assister le donneur d'ordre dans sa défense face au droit revendiqué.
§4 Obligations du donneur d'ordre
(1) Le donneur d'ordre doit informer le mandataire dans les plus brefs délais s'il constate une erreur ou des irrégularités concernant les dispositions relatives à la loi et aux réglementations sur la protection des données dans les résultats du mandat.
(2) Dans le cas où une personne concernée ferait valeur son droit auprès du donneur d'ordre pour d'éventuelles réclamations en vertu de l'art. 82 du RGPD, le § 3 al. 11 de cette annexe s'applique.
§5 Demandes des personnes concernées
Si une personne concernée s'adresse au mandataire pour exiger la rectification, la suppression ou des renseignements, le mandataire renverra la personne concernée au donneur d'ordre à condition qu'une attribution au donneur d'ordre soit possible selon les indications données par la personne concernée. Le mandataire communique sans délai la demande de la personne concernée au donneur d'ordre. Sur ordre du donneur d'ordre et si convenu, le mandataire l'assiste dans la mesure de ses moyens. Dans le cadre de l'accomplissement de ses obligations, le mandataire ne peut pas être tenu responsable dans le cas où le donneur d'ordre ne répond pas à la requête de la personne concernée, n'y répond pas correctement ou pas en temps voulu.
§6 Moyens de preuve
(1) Si, dans un cas précis, des inspections par le donneur d'ordre ou par un contrôleur chargé par celui-ci sont requises, ces inspections seront réalisées aux heures ouvrables normales sans perturber le fonctionnement de l'entreprise, après notification et en tenant compte d'un délai raisonnable. Le mandataire est en droit de faire dépendre ces inspections d'une notification préalable avec un préavis suffisant et de la signature d'une déclaration de confidentialité en ce qui concerne les données d'autres clients et des mesures techniques et organisationnelles aménagées. Le mandataire est en droit d'exiger une rémunération pour son soutien dans le cadre de la réalisation d'une inspection. Les moyens mis en œuvre par le mandataire pour une inspection sont limités par principe à un jour par année civile.
(2) Si une autorité de surveillance de la protection des données ou toute autre autorité de surveillance souveraine du donneur d'ordre devait procéder à une inspection, le paragraphe 1 s'applique en principe de façon correspondante. La signature d'une déclaration de confidentialité n'est pas nécessaire si cette autorité de surveillance est soumise à une confidentialité professionnelle ou légale pour laquelle une infraction est assortie d'une sanction selon le code pénal.
§7 Sous-traitants
(1) Le donneur d'ordre accepte que le mandataire ait recours à des entreprises affiliées ou étrangères de maintenance, d'entretien de l'infrastructure de centres de données, de prestations de service de télécommunication et de service utilisateur.
(2) Une liste des sous-traitants actuellement engagés et de leur siège social respectif peut être récupérée à tout moment par le donneur d'ordre dans le portail client. Cette liste est actualisée tous les trois mois.
(3) Si le mandataire recrute lui-même des sous-traitants, il incombe alors au mandataire d’imposer, par contrat ou au moyen d’un autre acte juridique, à ces autres sous-traitants les mêmes obligations en matière de protection des données que celles figurant aux présentes. Le mandataire assume l'entière responsabilité pour les sous-traitants qu'il a engagés.
§8 Obligations d'information, clause relative à la forme écrite, choix du droit applicable
(1) Si les données du donneur d'ordre devaient être en danger chez le mandataire en raison d'une saisie ou d'une réquisition, en raison d'une procédure de redressement judiciaire ou d'une procédure de concordat ou encore en raison d'événements divers ou de mesures de tiers, le mandataire devra en informer le donneur d'ordre dans les plus brefs délais. Le mandataire informera immédiatement tous les responsables dans ce contexte du fait que la souveraineté et la propriété des données incombent exclusivement au donneur d'ordre en tant que « responsable » au sens du règlement de base sur la protection des données.
(2) En cas d'éventuelles contradictions, les dispositions de cette annexe relative à la protection des données prévalent aux dispositions du contrat. Si des clauses de la présente annexe s'avéreraient nulles, la validité de l'annexe sur la protection des données n'en est pas affectée pour autant.
(3) Le droit français s'applique.
(4) Cette annexe remplace tous les accords précédents de ce type..
§9 Responsabilité et indemnisation
Le donneur d'ordre et le mandataire sont responsables envers les personnes concernées de façon correspondante à la réglementation convenue dans l'art. 82 du RGPD.