Clauses Relatives au Règlement Général sur la Protection des Données personnelles (RGPD)
I. Objet
Dans le contexte de ses activités commerciales liées à des Clients Professionnels, INEÏ SARL, en sa qualité de sous-traitant et/ou en tant que prestataire de service, est amené à être en contact avec des données à caractère personnel de personnes physiques, ci-après nommés Données Personnelles, collectées par le Client Professionnel, qui lui agit en sa qualité de responsable du traitement de ces mêmes Données Personnelles.
Les présentes clauses ont pour objet de définir les conditions pour lesquelles INEÏ SARL s’engage à respecter la confidentialité et la protection des données personnelles, dans le cadre des services proposés, par le biais des contrats le liant à son client. INEÏ SARL s’engage à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données (RGPD) »).
II. Définitions (voir article 4 du règlement UE 2016/679)
Les données « à caractère personnel » recouvrent l’ensemble des informations relatives aux personnes physiques, identifiées ou identifiables. Une personne est identifiée ou identifiable dans un fichier dès lors que figurent dans ce dernier des informations permettant directement ou indirectement son identification.
Pour la CNIL, le traitement de données à caractère personnel recouvre toutes les opérations portant sur les données, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
La loi Informatique et Libertés définit la notion de fichier par un ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Le sous-traitant est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
III. Type de données et traitements
Les contextes dans lesquels INEÏ SARL pourrait être amené à être en contact ou à traiter sur demande du Client Professionnel des Données Personnelles sont les suivants (énumération non exhaustive) : contrat de service maintenance, assistance et support, service de réparation et dépannage informatique, service de développement et de maintenance de logiciel, service d’analyse conseil en matière informatique ou de développement de logiciel, service d’hébergement d’applications, services cloud, services mail, etc.
Lors de toute exécution d’une prestation de service pour le compte du Client Professionnel, INEÏ SARL s’engage, lorsqu’il est en contact avec ou traite des Données Personnelles, à :
• ne traiter ces Données Personnelles que sur instruction du Client Professionnel
• assurer la sécurité de ces Données Personnelles et y limiter l’accès au strict nécessaire pour pouvoir exécuter une prestation contractuelle demandée par le Client Professionnel
• mettre en œuvre des mesures de sécurisation pour protéger ces Données Personnelles contre la divulgation intentionnelle ou accidentelle
• respecter la stricte confidentialité de ces Données Personnelles et de ce fait ni y donner l’accès, ni les transférer à un tiers sans l’instruction du Client Professionnel
• ne faire aucun usage pour son propre compte de ces Données Personnelles
• fournir au Client Professionnel, pour autant que celui-ci dépend des compétences techniques de INEÏ SARL, l’assistance nécessaire, si le Client Professionnel doit répondre à une demande d’effacement ou de mise à disposition de ces Données Personnelles (demande formulée par une organisme autorisé, suivant les lois en vigueur, ou une personne physique voulant exercer les droits qui lui reviennent suivant le Règlement Général sur la Protection des Données (UE2016/679)
• de notifier, dans les limites de temps imposées par la loi, le Client Professionnel et les autorités compétentes, en l’occurrence la Commission Nationale pour la Protection des Données (CNPD), après la prise de connaissance d’un incident de sécurité pouvant entraîner la violation de ces Données.
IV. Sécurisation des données
Les Données Personnelles sont stockées informatiquement, le temps nécessaire à l’exécution des prestations liées, sur du matériel informatique dédié à l’activité professionnelle, protégé d’éventuels accès extérieur et sécurisé par l’intermédiaire de mot de passe.
Les Données Personnelles informatisées peuvent être partiellement stockées sur un cloud entièrement sécurisé et réputé.
Les Données Personnelles manuscrites sont conservées dans un bureau à accès limité.
V. Droits de consultation, modification et suppression des Données Personnelles
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez des droits d’interrogation, d’accès, de rectification et de suppression aux informations qui vous concernent.
Pour l’exercer, vous pouvez utiliser l’une des options suivantes :