Accord de traitement des données

Cet accord de traitement des données est conclu entre EasyLMS B.V. (ci-après dénommé le « Sous-traitant ») et ses clients (ci-après dénommé le « Responsable du traitement ») pour lesquels il traite des données à caractère personnel en tant que sous-traitant ;

Ci-après désignées individuellement « Partie » et collectivement « Parties » ;

Considérant ce qui suit :

A. Le présent accord de traitement des données fait partie intégrante des conditions d'utilisation d'Easy LMS (« Conditions d'utilisation ») ainsi que de l'accord entre le sous-traitant et le responsable du traitement, en ce qui concerne le système de gestion de l'apprentissage en ligne proposé par le sous-traitant au responsable du traitement (le(s) « Service(s) ») ;

B. Afin que le responsable du traitement et ses participants puissent utiliser les services, le sous-traitant doit traiter les données à caractère personnel (« Données à caractère personnel ») des employés du responsable du traitement et/ou d'autres participants (conjointement : « Personnes concernées ») qui utilisent le contenu créé par le responsable du traitement dans les services ;

C. Les catégories de données à caractère personnel ainsi que les autres détails relatifs au traitement des données à caractère personnel sont décrits à l'annexe 1 du présent accord de traitement des données ;

D. Le Règlement général sur la protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE), (« RGPD ») est applicable au traitement des données à caractère personnel ;

E. Conformément au RGPD, les parties sont tenues de conclure le présent accord de traitement des données.

1. Définitions

1.1. Outre les termes en majuscules définis ci-dessus, les termes suivants ont la signification suivante :

1.2. « APD » : une Autorité de protection des données compétente.

1.3. « EEE » : l'Espace économique européen.

1.4. « Violation de données à caractère personnel » : tout incident de sécurité, d'origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l'intégrité, la confidentialité ou la disponibilité de données à caractère personnel.

1.5. « Traitement » : toutes opérations de traitement effectuées avec les données à caractère personnel telles que définies dans le RGPD, y compris, sans s'y limiter, la conservation, la consultation, le fractionnement, l'effacement, la modification et la transmission des données.

1.6. « Annexe » : une annexe au présent accord de traitement des données.

1.7. « Accord de services » : l'accord sur la base duquel les services sont fournis, qui peut être les Conditions d'utilisation et/ou un autre type d'accord.

1.8. « Sous-traitant secondaire » : un tiers auquel le sous-traitant sous-traite le traitement des données à caractère personnel, que ce soit en totalité ou en partie.

2. Obligations générales

2.1. À l'égard des données à caractère personnel, le sous-traitant prend les mesures techniques et organisationnelles appropriées pour assurer la conformité au RGPD et la protection des droits des personnes concernées.

2.2. Le responsable du traitement déclare qu'il se conforme au RGPD quant aux données à caractère personnel qui sont traitées par le sous-traitant. Il incombe au responsable du traitement de se conformer à la législation applicable en matière de données à caractère personnel en ce qui concerne les données à caractère personnel créées ou téléchargées sur le service. Cela comprend, sans s'y limiter, l'existence d'un fondement juridique pour le traitement des données à caractère personnel (par exemple, un consentement valide si nécessaire), l'information des personnes concernées sur le traitement de leurs données à caractère personnel et l'assurance que les personnes concernées ont l'âge légal pour la soumission de leurs données à caractère personnel, le cas échéant.

3. Traitement exclusivement sur instructions du responsable du traitement

3.1. La finalité du traitement par le sous-traitant est de permettre à ce dernier de fournir les services.

3.2. Le sous-traitant ne traitera les données à caractère personnel que selon les instructions écrites du responsable du traitement, qui sont les activités de traitement énoncées à l'annexe 1, ou les instructions raisonnables données d'une autre manière par écrit par le responsable du traitement (y compris par courrier électronique). Le sous-traitant ne traitera les données à caractère personnel en dehors des instructions du responsable du traitement que s'il est tenu de le faire pour se conformer à une obligation légale applicable. Dans ce cas, l'article 3.3 ci-dessous s'applique.

3.3. Si le sous-traitant est légalement obligé, en vertu du droit européen, de divulguer des données à caractère personnel, il en informera rapidement le responsable du traitement et notifiera l'obligation légale pertinente, à moins que l'obligation légale n'interdise au sous-traitant une telle notification pour des motifs importants d'intérêt public. S'il n'est pas interdit au sous-traitant de notifier le responsable du traitement, le sous-traitant s'abstiendra de divulguer toute donnée personnelle jusqu'à ce que le responsable du traitement ait pris des mesures pour obtenir une ordonnance de protection ou un autre recours approprié. Si une telle ordonnance de protection n'est pas obtenue, le sous-traitant ne fournira que les données à caractère personnel dont il est informé de la nécessité par une notification écrite en temps utile du responsable du traitement ou, en l'absence d'une telle notification en temps utile, le sous-traitant fournira les données à caractère personnel qu'il juge nécessaires en vertu de l'obligation légale.

3.4. Le sous-traitant informe le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du RGPD, auquel cas le sous-traitant n'est pas tenu de se conformer à l'instruction.

4. Assistance au responsable du traitement

4.1. Le sous-traitant fournit l'assistance raisonnablement demandée par le responsable du traitement pour :

(i) compte tenu de la nature du traitement, aider le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution des obligations du responsable du traitement de répondre aux demandes des personnes concernées d'exercer leurs droits, dans la mesure où le sous-traitant peut factuellement le faire au regard des services. Si le sous-traitant reçoit une demande d'une personne concernée, il la transmet au responsable du traitement, qui la traite par la suite ;

(ii) compte tenu de la nature du traitement et des informations dont dispose le sous-traitant, aider le responsable du traitement à respecter ses obligations en matière de sécurité, de notification des violations de données à caractère personnel (voir l'article 5.4), d'enquêtes menées par les autorités de protection des données, d'évaluation de l'impact sur la protection des données et de consultation préalable, si nécessaire.

5. Mesures de sûreté et violations de données à caractère personnel

5.1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sûreté adapté au risque que présente le traitement.

5.2. Le responsable du traitement garantit qu'il ne demandera pas aux personnes concernées de soumettre dans le cadre du service des données à caractère personnel considérées comme appartenant à une catégorie spéciale ou des données à caractère personnel sensibles en vertu des lois applicables. Il s'agit par exemple de données relatives à la santé, aux croyances religieuses, aux opinions politiques, à la race, à l'origine ethnique, à la préférence ou au comportement sexuel, à l'appartenance syndicale, au casier judiciaire, aux données biométriques à des fins d'identification, aux données génétiques. Les mesures de sûreté des services ne sont pas adaptées à ces types de données à caractère personnel.

5.3. Le sous-traitant a mis en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer que les données à caractère personnel ne sont accessibles qu'aux personnes de son organisation qui doivent y avoir accès aux fins de la prestation des services, par exemple en limitant le nombre de personnes ayant des droits d'accès.

5.4. Sur son site internet, le sous-traitant met à disposition des informations sur ses mesures de sûreté. En outre, à la demande du responsable du traitement, le sous-traitant soumettra un aperçu des mesures de sûreté en place au moment de la demande. Le responsable du traitement peut soumettre cette demande une fois par année civile, à l'exception des cas où il existe une raison valable de soumettre la demande plus fréquemment, par exemple en cas de violation de données à caractère personnel.

5.5. Le sous-traitant notifie au responsable du traitement, dans les meilleurs délais, toute violation de données à caractère personnel dont il a connaissance. Cette notification doit :

(i) contenir les informations disponibles concernant la violation de données à caractère personnel, notamment une description de la violation de données à caractère personnel, sa cause, les catégories, la nature et la quantité (estimée) de données à caractère personnel et de personnes concernées affectées, ainsi que l'étendue de la violation de données à caractère personnel ;

(ii) expliquer l'effet de la violation de données à caractère personnel sur le responsable du traitement et les personnes concernées ;

(iii) expliquer les mesures correctives prises ou à prendre par le sous-traitant, le responsable du traitement et/ou les personnes concernées, ainsi que le délai d'exécution de ces mesures.

5.6. Le sous-traitant fournira la coopération raisonnablement demandée par le responsable du traitement et soumettra les informations dont il dispose pour notifier la violation de données à caractère personnel à l'autorité de protection des données et, le cas échéant, aux personnes concernées.

5.7. Le sous-traitant ne peut être tenu de notifier une violation de données à caractère personnel à une autorité de protection des données, ni aux personnes concernées, sauf si le sous-traitant accepte explicitement de le faire par écrit dans le cas d'une violation spécifique de données à caractère personnel.

5.8. Pour utiliser les services, le responsable du traitement doit utiliser des données de connexion pour accéder à son compte. Le responsable du traitement doit conserver ces données de connexion de manière sûre et confidentielle, car elles donnent accès aux données à caractère personnel. Il incombe également au responsable du traitement de s'assurer que les personnes concernées qui utilisent les services conservent leurs propres informations de connexion de manière sécurisée et confidentielle, étant donné qu'elles donnent accès à leurs propres données à caractère personnel.

6. Confidentialité

6.1. Le sous-traitant tient compte de la confidentialité des données à caractère personnel.

6.2. Au regard de ce qui précède, le sous-traitant :

(i) ne divulgue pas les données à caractère personnel à des tiers, sauf si cela est explicitement autorisé dans le présent accord de traitement des données ;

(ii) a mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir que toute personne ayant accès aux données à caractère personnel soit informée de leur confidentialité et y soit soumise.

7. Sous-traitants secondaires

7.1. Le sous-traitant fait appel à des sous-traitants secondaires qui traitent les données à caractère personnel. À la demande du responsable du traitement, le sous-traitant communique le nom et le lieu d'implantation des sous-traitants secondaires. Si le sous-traitant a l'intention d'engager un autre sous-traitant secondaire ou un sous-traitant supplémentaire pour traiter les données à caractère personnel, il en informera le responsable du traitement à l'avance, y compris la date de début des activités de traitement du sous-traitant secondaire. Le responsable du traitement peut s'opposer à la modification ou à l'ajout dans un délai de sept (7) jours ouvrables à compter de la notification. Si le traitement des données à caractère personnel n'est pas affecté négativement par cette modification ou cet ajout, le responsable du traitement n'émettra pas d'objection raisonnable afin que le sous-traitant puisse continuer à offrir les services. Si le responsable du traitement émet une objection dans les délais et que le sous-traitant ne peut pas modifier les services pour répondre à l'objection du responsable du traitement dans les quatorze (14) jours suivant cette objection, le responsable du traitement et/ou le sous-traitant peuvent résilier les services et l'accord de services et le sous-traitant doit rembourser les frais que le responsable du traitement a payés à l'avance, le cas échéant, pour la période d'abonnement restante au cours de laquelle le service est interrompu. À la date de début des activités de traitement du nouveau sous-traitant secondaire, l'annexe 2 sera mise à jour (ou réputée mise à jour) avec les informations notifiées concernant le nouveau sous-traitant secondaire ; s'il s'agit d'un sous-traitant secondaire traitant des données à caractère personnel en dehors de l'EEE, l'article 8 s'applique également.  

7.2. Le sous-traitant s'assure que les sous-traitants secondaires :

(i) déclarent avoir mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer le respect du RGPD et la protection des droits des personnes concernées ;

(ii) s'engagent par écrit à respecter les mêmes obligations que celles énoncées dans le présent accord de traitement des données, qui sont pertinentes au regard des activités de traitement du sous-traitant secondaire.

7.3. Pour éviter toute ambiguïté : si, dans le cadre des services, le responsable du traitement utilise une fonctionnalité pour laquelle une connexion est établie avec des services qui sont offerts au responsable du traitement par des tiers, ces tiers ne sont pas des sous-traitants secondaires du sous-traitant ; le responsable du traitement a une relation juridique directe avec ces tiers. À titre d'exemple, ces tiers peuvent être des plateformes de réseaux sociaux, des fournisseurs d'adresses électroniques et des fournisseurs de services du responsable du traitement lorsque ce dernier possède son propre compte et qu'ils reçoivent des données à l'aide d'intégrations dans la plateforme.

8. Exportation des données (transferts en dehors de l'EEE)

8.1. Le sous-traitant transfère les données à caractère personnel vers le ou les pays (le cas échéant) énumérés dans l'annexe 2.

8.2. Le sous-traitant s'assure que les pays ou les parties vers lesquels les données à caractère personnel sont transférées offrent un niveau de protection adéquat. Dans le cas contraire, si la coopération du responsable du traitement est requise, le responsable du traitement accepte de fournir la coopération demandée par le sous-traitant pour organiser l'un des mécanismes de transfert prévus par le RGPD pour le transfert vers un pays n'offrant pas un niveau de protection adéquat, auquel cas le sous-traitant et/ou le sous-traitant secondaire, si nécessaire, met ou mettent en œuvre des mesures supplémentaires pour sauvegarder les données à caractère personnel.

9. Rapports et droits d'audit

9.1. Le sous-traitant autorise le responsable du traitement, dans les conditions énoncées dans le présent article, à accéder à son administration afin que le responsable du traitement puisse vérifier le respect par le sous-traitant des conditions du présent accord de traitement des données. Le sous-traitant n'autorise pas le responsable du traitement à accéder aux données à caractère personnel des personnes autres que les personnes concernées.

9.2. Le responsable du traitement peut désigner un tiers pour effectuer l'audit. Dans ce cas, le responsable du traitement veillera à ce que le tiers soit soumis à l'obligation de préserver la confidentialité des informations du sous-traitant auxquelles le tiers a accès dans le cadre de l'audit et de ne pas les divulguer à un tout autre tiers.

9.3. Le responsable du traitement ne fait pas usage de ses droits d'audit en vertu de la présente clause plus d'une fois par année civile. Le responsable du traitement informera le sous-traitant au moins deux semaines à l'avance de l'audit afin de permettre au sous-traitant de s'y préparer.

9.4. Si l'audit démontre que le sous-traitant ne respecte pas ses obligations en vertu du présent accord de traitement des données, le sous-traitant prendra les mesures raisonnablement demandées par le responsable du traitement pour se conformer à ces obligations.

10. Durée et résiliation

10.1. Le présent accord de traitement des données a la même durée que l'accord de services. Le présent accord de traitement des données prend donc fin lorsque l'accord de services prend fin.

10.2. Si l'accord de services ne prévoit pas sa résiliation, et par conséquent celle du présent accord de traitement des données, les motifs de résiliation suivants s'appliquent : chaque partie a le droit de résilier le présent accord de traitement des données dans l'avenir, sans obligation de verser des dommages et intérêts, dans les cas suivants :

(i) l'autre partie se place sous la protection de la loi sur les faillites ou une tierce partie le demande ;

(ii) l'autre partie demande ou obtient un sursis de paiement ;

(iii) l'autre partie demande l'ouverture d'une procédure d'insolvabilité ou d'une procédure similaire en vertu du droit applicable, ou un administrateur judiciaire est nommé à son intention ;

(iv) l'autre partie cesse d'exercer son activité.

10.3. Les parties peuvent à tout moment décider conjointement de résilier le présent accord de traitement des données par accord écrit.

11. Assistance à la sortie

11.1. Le sous-traitant traitera les données à caractère personnel lors de l'utilisation des services par le responsable du traitement.

11.2. Le responsable du traitement doit s'assurer qu'il a extrait et supprimé les données à caractère personnel de son compte avant de mettre fin à l'accord de services. Si le sous-traitant bloque le compte du responsable du traitement en raison du non-respect de l'accord de services, le sous-traitant, à la demande du responsable du traitement, qui doit être faite dans un délai de dix (10) jours après le blocage du compte, et après paiement de tous les frais dus en vertu de l'accord de services, remettra au responsable du traitement les données à caractère personnel ou, à la discrétion du sous-traitant, autorisera le responsable du traitement à accéder à son compte pendant une période de trois (3) jours, uniquement pour extraire et supprimer les données à caractère personnel. Si, après ces périodes, le responsable du traitement n'a pas supprimé les données à caractère personnel, le sous-traitant se réserve le droit de le faire unilatéralement et supprimera les données à caractère personnel au bout de deux (2) ans, sauf si le sous-traitant est tenu par les lois applicables de conserver certaines données à caractère personnel. Dans ce dernier cas, le sous-traitant supprimera les données à caractère personnel après l'expiration de la période de conservation légale.

12. Divers

12.1. Les dispositions de l'accord de services s'appliquent au traitement des données à caractère personnel et prévalent pour ce qui est des clauses qui ne concernent pas la protection des données, telles que la responsabilité. Si l'accord de services contient des dispositions relatives à la protection des données, le présent accord de traitement des données prévaut sur ces dispositions.

12.2. Si les activités du sous-traitant en relation avec le présent accord de traitement des données outrepassent les activités normales du sous-traitant pour les services, le sous-traitant a droit à une compensation raisonnable basée sur les frais habituels du sous-traitant à ce moment-là. Le sous-traitant fournira une spécification de la compensation facturée.

12.3. Le présent accord de traitement des données peut être amendé ou modifié par le sous-traitant conformément aux dispositions de l'accord de services.

12.4. Si une disposition du présent accord de traitement des données est jugée invalide ou inapplicable par un tribunal compétent, cette décision n'affecte en rien la validité ou l'applicabilité de toute autre disposition du présent accord, et le présent accord de traitement des données sera interprété comme si ce terme ou cette disposition n'y figurait pas.

12.5. Les considérants du paragraphe « Considérant ce qui suit », ainsi que les annexes, font partie intégrante du présent accord de traitement des données.

13. Droit applicable, règlement des litiges

13.1. Le présent accord de traitement des données est régi exclusivement par les lois des Pays-Bas, à l'exclusion des lois sur les conflits d'intérêts.

13.2. La clause de règlement des litiges figurant dans l'accord de services s'applique à tout litige survenant entre les parties.

ANNEXE 1 – Informations relatives au traitement

1. Description des services et des activités de traitement :

Type de service : système de gestion de l'apprentissage en ligne.

Activités de traitement : conservation, accès, modification et suppression à la demande du responsable du traitement.

2. Catégories de données à caractère personnel :

Le responsable du traitement peut choisir les types de données à caractère personnel qui sont demandées aux personnes concernées, par exemple :

  • nom
  • numéro de téléphone
  • intitulé du poste
  • sexe
  • date de naissance
  • nom de la rue
  • code postal
  • ville ou commune
  • pays
  • identifiant de l'employé
  • réponses de la personne concernée aux questions en texte libre
  • réponses de la personne concernée aux questions d'une liste déroulante

Les personnes concernées peuvent également créer des données à caractère personnel en accédant et en utilisant le contenu créé par le responsable du traitement dans le système Easy LMS, par exemple :

  • résultats des tests
  • résultats des examens
  • commentaires ajoutés au système
  • documents de certification

Le responsable du traitement ne doit pas demander aux personnes concernées de soumettre des catégories particulières de données à caractère personnel, ni télécharger de telles données à caractère personnel concernant : des données relatives à la santé, aux croyances religieuses, aux opinions politiques, à la race, à l'origine ethnique, aux préférences ou au comportement sexuels, à l'appartenance syndicale, au casier judiciaire, aux données biométriques à des fins d'identification, aux données génétiques.

ANNEXE 2 – Sous-traitants secondaires    

Les données à caractère personnel sont transférées aux sous-traitants secondaires suivants :

Sous-traitants secondaires

 

 

 

Sous-traitant secondaire

Pays

Pays hors de l'EEE sans niveau de protection adéquat ?

Mécanisme de transfert/garanties appropriées :

Amazon Web Services (AWS) (services d'hébergement et de messagerie électronique)

Allemagne

Non, pays membre de l'EEE

Non applicable

Intercom (conversation en ligne)

Irlande

Non, pays membre de l'EEE

Non applicable

Cette annexe est réputée avoir été mise à jour après notification des modifications conformément à l'article 7.1.