Accord de traitement des données

Cet accord de traitement des données (DPA) est conclu entre GDH SAS ("Sous-traitant") et [Nom/Entité du client] ("Responsable") et prend effet à la date de la dernière signature (la "Date d'effet"). Il complète les Conditions de service de LogCentral.

Ce DPA reflète l'accord des parties sur le traitement des données personnelles conformément à l'article 28 du GDPR et aux lois françaises correspondantes sur la protection des données, uniquement pour la fourniture du service LogCentral.

• "GDPR" désigne le Règlement général sur la protection des données (UE) 2016/679.
• "Données personnelles" désigne toute information relative à une personne physique identifiée ou identifiable telle que définie dans le GDPR.
• "Traitement" désigne toute opération effectuée sur les données personnelles, que ce soit ou non par des moyens automatisés.
• "Personne concernée" désigne l'individu auquel se rapportent les données personnelles.

Le Sous-traitant ne traitera les données personnelles que sur instructions documentées du Responsable, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou d'un État membre auquel le Sous-traitant est soumis l'exige. Dans un tel cas, le Sous-traitant informera le Responsable de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons importantes d'intérêt public.

Le Sous-traitant s'assurera que les personnes autorisées à traiter les données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

• La pseudonymisation et le chiffrement des données personnelles ;
• La capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;
• La capacité de restaurer la disponibilité et l'accès aux données personnelles en temps utile en cas d'incident physique ou technique ;
• Un processus de test, d'évaluation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le Sous-traitant ne fera appel à un autre processeur qu'avec l'autorisation écrite préalable, spécifique ou générale, du Responsable. En cas d'autorisation écrite générale, le Sous-traitant informera le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'autres processeurs, donnant ainsi au Responsable la possibilité de s'opposer à ces changements.

Lorsque le Sous-traitant fait appel à un autre processeur pour effectuer des activités de traitement spécifiques au nom du Responsable, les mêmes obligations de protection des données que celles énoncées dans ce DPA seront imposées à cet autre processeur par voie de contrat ou d'autre acte juridique en vertu du droit de l'Union ou d'un État membre.

Le Sous-traitant assistera le Responsable par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de l'obligation du Responsable de répondre aux demandes d'exercice des droits de la personne concernée en vertu du GDPR. Dans le cas où une telle demande serait adressée directement au Sous-traitant, celui-ci ne répondra pas directement à cette communication sans autorisation préalable du Responsable, sauf s'il y est légalement contraint.

Le Sous-traitant notifiera le Responsable sans retard injustifié après avoir pris connaissance d'une violation de données personnelles. Cette notification inclura, au minimum :

• Une description de la nature de la violation de données personnelles
• Les catégories et le nombre approximatif de personnes concernées
• Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés
• Les conséquences probables de la violation de données personnelles
• Les mesures prises ou proposées pour remédier à la violation de données personnelles, y compris les mesures pour atténuer ses effets néfastes possibles

Au choix du Responsable, le Sous-traitant supprimera ou retournera toutes les données personnelles au Responsable après la fin de la fourniture des services relatifs au traitement, et supprimera les copies existantes, sauf si le droit de l'Union ou d'un État membre exige le stockage des données personnelles.

Le Sous-traitant mettra à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'article 28 du GDPR et permettra et contribuera aux audits, y compris les inspections, menés par le Responsable ou un autre auditeur mandaté par le Responsable.

Tout transfert de données personnelles vers des pays en dehors de l'Espace économique européen (EEE) sera effectué conformément au chapitre V du GDPR, en s'assurant que des garanties appropriées sont en place, telles que des clauses contractuelles types ou des décisions d'adéquation.