Version 1.0
Data Processing Agreement (DPA) — Hébergement Eldorado Consulting SAS
Entre : ELDORADO CONSULTING SAS, agissant en qualité de Sous-traitant (« Processor »), et le Client, agissant en qualité de Responsable de traitement (« Controller »), ensemble les « Parties ».
Sommaire
Article 1 — Objet
Le présent Data Processing Agreement (« DPA ») définit les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client dans le cadre des Services fournis.
Le présent DPA complète le Master Services Agreement (MSA) et prévaut pour les seules questions relatives au traitement des données personnelles.
Article 2 — Définitions
Les termes « Donnée à caractère personnel », « Traitement », « Responsable de traitement », « Sous-traitant », « Personne concernée » et « Violation de données » ont le sens qui leur est donné par le Règlement (UE) 2016/679 (RGPD).
Article 3 — Objet du traitement
Le Prestataire traite les données personnelles uniquement afin d'exécuter les Services prévus au Bon de commande.
La nature exacte des traitements dépend des Services effectivement souscrits.
Article 4 — Instructions du Client
Le Prestataire traite les données uniquement sur instruction documentée du Client, sauf obligation légale contraire.
Article 5 — Finalités
Les traitements peuvent notamment être réalisés pour :
- fournir les Services ;
- assurer leur exécution ;
- assurer l'assistance technique ;
- réaliser des développements ;
- effectuer des migrations ;
- fournir des prestations de conseil.
Article 6 — Catégories de données
Selon les Services souscrits, les données traitées peuvent notamment comprendre :
- données d'identification ;
- coordonnées ;
- données techniques ;
- journaux d'activité ;
- contenus hébergés ;
- toute autre donnée confiée par le Client.
Article 7 — Catégories de personnes concernées
Les traitements peuvent concerner notamment :
- salariés ;
- clients ;
- prospects ;
- utilisateurs ;
- partenaires ;
- prestataires.
Article 8 — Confidentialité
Le Prestataire veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée.
Article 9 — Sécurité
Le Prestataire met en œuvre des mesures techniques et organisationnelles raisonnables afin d'assurer un niveau de sécurité adapté aux risques.
Ces mesures peuvent notamment comprendre :
- contrôle des accès ;
- authentification ;
- journalisation ;
- chiffrement lorsque cela est approprié ;
- sauvegardes lorsqu'elles sont souscrites ;
- mises à jour de sécurité.
Article 10 — Sous-traitants ultérieurs
Le Prestataire peut recourir à des sous-traitants pour tout ou partie des Services.
Il veille à leur imposer des obligations de protection des données compatibles avec le présent DPA.
Article 11 — Transferts internationaux
Lorsque des données sont transférées hors de l'Espace économique européen, le Prestataire met en œuvre les mécanismes de transfert appropriés prévus par la réglementation applicable.
Article 12 — Assistance
Dans la mesure du raisonnablement possible, le Prestataire assiste le Client afin de lui permettre de répondre à ses obligations au titre du RGPD.
Toute assistance dépassant le périmètre normal des Services peut faire l'objet d'une facturation complémentaire.
Article 13 — Violations de données
Le Prestataire informe le Client dans les meilleurs délais lorsqu'il a connaissance d'une violation de données personnelles susceptible d'affecter les traitements réalisés pour son compte.
Article 14 — Droits des personnes
Le Prestataire assiste le Client, dans la mesure du raisonnablement possible, afin de répondre aux demandes d'exercice des droits des personnes concernées.
Article 15 — Restitution et suppression
À la cessation des Services, le Prestataire restitue ou supprime les données personnelles conformément aux instructions du Client, sous réserve des obligations légales de conservation.
Article 16 — Audit
Le Client peut demander des informations raisonnables concernant les mesures mises en œuvre par le Prestataire afin de démontrer le respect du présent DPA.
Les audits sur site sont soumis à un préavis raisonnable et ne doivent pas perturber l'activité du Prestataire.
Article 17 — Responsabilité
Chaque Partie demeure responsable des obligations qui lui incombent en vertu de la réglementation applicable.
La responsabilité du Prestataire demeure régie par les limitations prévues au Master Services Agreement.
Article 18 — Durée
Le présent DPA prend effet à compter de l'entrée en vigueur du Master Services Agreement.
Il demeure applicable pendant toute la durée des traitements réalisés pour le compte du Client.
Article 19 — Hiérarchie des documents
En cas de contradiction entre le présent DPA et le Master Services Agreement, les dispositions du présent DPA prévalent pour les seules questions relatives au traitement des données personnelles.
Annexe A — Description des traitements
Responsable de traitement : le Client.
Sous-traitant : ELDORADO CONSULTING SAS.
Objet du traitement : exécution des Services souscrits.
Durée : pendant la durée du contrat.
Catégories de données : selon les Services souscrits.
Catégories de personnes concernées : selon les Services souscrits.
Sous-traitants ultérieurs : selon les besoins techniques et opérationnels.
Annexe B — Mesures de sécurité
Le Prestataire met en œuvre, selon les Services souscrits et lorsque cela est approprié :
- contrôle des accès ;
- authentification forte lorsque disponible ;
- gestion des habilitations ;
- journalisation ;
- mises à jour de sécurité ;
- chiffrement lorsque pertinent ;
- sauvegardes lorsqu'elles sont souscrites ;
- protection des infrastructures ;
- sensibilisation des personnes autorisées.