Data Processing Agreement

ACCORD SUR LE TRAITEMENT DES DONNÉES

La présente convention de traitement des données (ci-après la « convention« ) complète les conditions générales de SEO Tester Online (ci-après le « contrat« ) et le client accepte les dispositions suivantes.

Préambule:

  1. considérant que le client reconnaît qu’il est le responsable (ci-après  » Responsable du traitement « ) du traitement des données (ci-après  » Données « ) (ci-après  » Traitement « ) ;
  2. considérant qu’aux termes du GDPR Quarzio S.r.l. est qualifiée de sous-traitant (ci-après « Processeur« ), conformément à la disposition de l’art. 28 GDPR, pour le compte du Contrôleur ;
  3. considérant que l’exécution du Contrat demande le traitement de données concernant à la fois des personnes physiques (ci-après  » Sujets « ) et des Données relatives à l’entreprise ;
  4. considérant que les Données traitées sont considérées comme des informations confidentielles du Responsable du traitement et sont soumises à la confidentialité entre le Responsable du traitement et le Sous-traitant ;
  5. considérant que le Responsable du traitement détermine le type de Données, la durée du traitement des Données, la nature et les finalités qui y sont liées et les catégories de Données ;
  6. considérant que le Responsable du traitement garantit qu’il peut mettre en œuvre des mesures techniques et organisationnelles adéquates afin que le traitement soit conforme à la fois à la confidentialité et au GDPR ;
  7. considérant que le Sous-traitant s’engage à traiter les Données liées au Contrat de manière licite et précise dans le respect de la confidentialité et du GDPR et dans le respect des procédures et instructions complémentaires du Contrôleur ;
  8. Le Responsable du traitement et le Sous-traitant seront désignés conjointement comme les Parties.

Le Contrôleur et le Responsable du traitement conviennent de ce qui suit:

1. Finalités et Données traitées

1) Les considérants font partie du présent Accord.
2) Le traitement est effectué par le sous-traitant uniquement pour remplir les obligations découlant du contrat et du présent accord.
3) Le traitement sera strictement nécessaire à l’exécution du Contrat lui-même et sera effectué dans le respect de la confidentialité et du GDPR, ainsi que des obligations énoncées dans le présent Accord.
4) Lorsque cela est nécessaire pour l’exécution du Contrat, le traitement est étendu à des catégories particulières de Données, telles que les Données indiquées dans les dispositions des art. 9 et 10 GDPR.
5) Les données traitées sont les suivantes :

  • Nom et prénom
  • Adresse électronique
  • Numéro de téléphone

1. Sécurité du traitement
1) Le Processeur adopte les mesures de sécurité prévues par l’art. 32 du GDPR et fixant toute mesure technique et organisationnelle appropriée pour garantir un niveau de sécurité adéquat concernant les risques liés à la destruction, la perte, la modification, la divulgation non autorisée ou l’accès, accidentel ou illégal, aux Données traitées.
2) Le Contrôleur reconnaît que le Processeur garantit les mesures de sécurité suivantes :

TYPE DESCRIPTION
Contrôle d’accès physique Le sous-traitant a mis en place des mesures pour éviter l’accès non autorisé aux postes de travail et aux dispositifs de travail où les données sont traitées, tant pendant les heures de travail qu’en dehors. En dehors des heures de travail, les bureaux et l’immeuble de bureaux sont fermés à clé.
Contrôle d’accès virtuel Le Responsable du traitement adopte des mesures pour éviter l’accès non autorisé aux environnements virtuels, où les Données sont traitées, par le biais d’un anti-virus, d’un pare-feu et d’un serveur proxy.

Le Responsable du traitement garantit que l’environnement virtuel ne peut être accessible que par une Personne autorisée ou un Sous-traitant.

Contrôles de l’intégrité des données Le sous-traitant adopte des mesures pour éviter que des personnes non autorisées aient accès aux données et que les données ne soient pas copiées, modifiées ou perdues. Les employés sont légalement tenus à la confidentialité.
Disponibilité Contrôles des données Le Responsable du traitement adopte des mesures pour éviter la perte ou la destruction involontaire des Données. Le Responsable du traitement adopte des sauvegardes et des politiques de reprise après sinistre.
Mesures techniques et organisationnelles Le Processeur met régulièrement à jour les documents de son organisation et réglemente chaque relation de travail, tant interne qu’externe, avec la documentation appropriée.

Le Processeur effectue des contrôles réguliers de son infrastructure technique afin de contrôler sa conformité au GDPR.

Communication et sous-traitement des données

  1. Le Responsable du traitement peut communiquer les Données à des tiers dans la mesure où cela est nécessaire pour l’exécution du Contrat et de l’Accord et, pour la même raison, peut transférer les Données vers des pays hors de l’UE.
  2. Compte tenu de ce qui précède, le Responsable du traitement est autorisé à mandater des sous-traitants (ci-après  » Sous-traitants « ) si cela est nécessaire à l’exécution du Contrat.
  3. Le Responsable du traitement peut demander à tout moment la liste des Sous-traitants mandatés par le Responsable du traitement pour l’exécution du contrat.
  4. Le Responsable du traitement garantit que les Sous-traitants mandatés respectent la confidentialité et les dispositions des paragraphes 3, 4 et 5 de l’art. 28 GDPR.
  5. En cas de manquement d’un Sous-traitant à ses obligations en matière de traitement des Données, le Processeur reste pleinement responsable vis-à-vis du Responsable de traitement des activités du Sous-traitant.
  6. Le Contrôleur reconnaît que le Processeur a mandaté les Sous-traitants suivants :
Sous-processeur Pays Service
Amazon Web Services Ireland Services de cloud computing

Personne agissant sous l’autorité du Responsable du traitement

1) Le Responsable du traitement, avant le Traitement, doit identifier et énumérer tout employé qui travaille sous son autorité et qui traitera les Données (ci-après  » Personne autorisée « ).

2) A l’égard de chaque Personne Autorisée, le Responsable du Traitement règle l’accès aux Données qui lui est lié et lui fournit des instructions (écrites ou non) concernant le Contrat et le présent Accord.

3) La Personne Autorisée recevra des instructions détaillées, en particulier en ce qui concerne :

  • la confidentialité des Données, la Personne Autorisée est tenue de respecter la confidentialité des Données auxquelles elle a accès et qu’elle traite ;
  • les principes énoncés à l’art. 5 du GDPR sur la licéité, la loyauté et la transparence, la limitation de la finalité, la minimisation des données, l’exactitude, la limitation du stockage et l’intégrité.

1. DPIA, consultation préalable, droit des sujets et violation des données.
1) Le Responsable du traitement assiste le Contrôleur en ce qui concerne les obligations d’évaluation de l’impact du traitement des données (ci-après  » DPIA « ) et de consultation préalable (ci-après  » Consultation « ) conformément aux dispositions des art. 35 et 36 du GDPR.

2) Le Responsable du traitement n’utilise pas de technologies, d’outils, de modalités ou n’entreprend pas d’autres traitements de Données qui nécessitent une DPIA et/ou une Consultation sans en informer préalablement le Contrôleur et sans recevoir une autorisation écrite préalable de ce dernier.

3) Le Responsable du traitement assiste le Contrôleur en prenant les mesures techniques et organisationnelles adéquates, par la divulgation d’informations appropriées, qui sont nécessaires à ce dernier pour répondre aux demandes des Sujets d’exercer leurs droits dans le délai prévu par le GDPR.

4) En cas de violation des Données, le Processeur informe rapidement le Contrôleur avec les informations nécessaires afin de permettre à ce dernier de prendre les mesures obligatoires pour limiter les éventuels dommages découlant de la violation. En particulier, le Responsable du traitement doit fournir les informations suivantes :

  • concernant les fuites de Données qui violent la confidentialité ;
  • demandées par les art. 33 et 34 du GDPR, qui sont nécessaires pour la notification à l’autorité de contrôle du Contrôleur et aux Sujets.

 

1. Droit de contrôle du Responsable du traitement
1) Le Responsable du traitement contrôle que les Données sont traitées conformément aux dispositions énoncées dans le Contrat et dans le présent Accord et conformément à la loi applicable à la confidentialité et au GDPR.
2) Le Responsable du traitement informe rapidement le Contrôleur de toute situation susceptible d’exposer ce dernier à une violation de la loi ou d’entraîner un traitement illicite ou de porter atteinte à la confidentialité et à l’intégrité des Données ou de devenir un risque concernant le Traitement.
3) Le Responsable du traitement peut, directement ou par l’intermédiaire d’une personne et/ou d’une entité désignée, demander la réalisation d’un audit du Responsable du traitement, uniquement en ce qui concerne le Traitement. L’activité d’audit est programmée entre les parties et se déroule selon les règles convenues par les deux parties.
4) Le sous-traitant collaborera et fournira les informations nécessaires pour démontrer le respect du contrat, du présent accord, de la loi applicable à la confidentialité et du GDPR.

  • Exclusion de la responsabilité
    1. Le Processeur ne sera pas considéré comme responsable des événements qui ne dépendent pas de son activité et/ou de sa volonté, y compris, sans limitation, la non-disponibilité ou le dysfonctionnement des instruments techniques, des câbles, de l’électronique, du matériel, des transmissions, de la ligne téléphonique, du dysfonctionnement du serveur, des omissions ou des erreurs liées aux informations et aux images fournies pendant le développement.
    2. Le sous-traitant ne sera pas considéré comme responsable des retards causés par des événements ne dépendant pas de son activité et/ou de sa volonté.

 

1. Fin du traitement et suppression des données
1) Le présent Accord sera résilié si le Contrat n’est plus en vigueur entre les Parties. La résiliation aura un effet immédiat sur le présent Accord.
2) En cas de résiliation, Quarzio S.r.l. ne sera plus considéré comme un sous-traitant. Le même principe s’applique au sous-traitant secondaire désigné pour remplir les obligations prévues par le contrat et par la convention.
3) A la fin du contrat, le sous-traitant restituera toutes les données au responsable du traitement et en supprimera toutes les copies. Il en va de même en cas de demande explicite du Responsable du traitement.
4) Les données ne seront pas supprimées s’il existe une obligation légale énoncée dans une disposition nationale ou internationale qui oblige le Processeur à conserver les données.

  • Divers
    1. Le présent Accord est considéré comme l’expression intégrale de la volonté des Parties concernant l’objet de l’Accord.
    2. Chaque Partie est considérée comme indépendante de l’autre et, par conséquent, elle n’a pas le droit d’engager l’autre Partie, sauf si cela est convenu dans le présent Accord.
    3. L’accord ne peut être interprété comme étant constitutif de toute autre relation entre les parties qui n’est pas mentionnée et convenue dans l’accord lui-même.
    4. Les Parties reconnaissent que si un ou plusieurs articles sont contraires à la loi, ces articles ne seront pas effectifs dans les limites de la violation sans aucun préjudice pour les autres articles ou l’Accord lui-même.
    5. Toute renonciation, expresse ou implicite, d’une Partie à exercer l’un de ses droits ne saurait être considérée comme une renonciation définitive à ces droits et à la possibilité pour la Partie de demander l’exécution de ce qui a été convenu.
    6. Toute modification du présent accord doit être préalablement convenue par écrit et signée par les deux Parties.
    7. Les Parties ne céderont pas à des tiers le Contrat, ni une partie de celui-ci, sans le consentement écrit préalable de l’autre Partie.
    8. Le contrôleur peut communiquer avec le processeur aux adresses suivantes :

 

  • info@quarzio.com

 

  • Droit applicable et juridiction
    1. Le présent Accord est régi par la loi italienne, tant en ce qui concerne le droit substantiel que le droit procédural.
    2. Tout litige découlant du présent accord ou lié à celui-ci sera tranché par le tribunal de Milan, qui a une compétence exclusive.

 

Date de la dernière mise à jour : 20 janvier 2020.