Contrat de traitement de Données personnelles

Contrat de traitement de Données personnelles

entre

 

Annonceur  nommé dans le document nommé Structure de la Rémunération ou le « Responsable du traitement »

Et

Webgains France  – Ad pepper media France Sàrl, 92, Rue de Richelieu, 75002 Paris

(ci-après dénommé « Webgains » ou le « Sous-traitant »)

 

Une Partie, ou les Parties, étant dénommés « Partie » ou « les Parties »

 

En cochant la case acceptant le Contrat de traitement des Données personnelles, les parties signent le Contrat suivant concernant le traitement des Données personnelles par le Sous-traitant pour le compte de l’Annonceur.

 

Préambule

Le présent Contrat de traitement des Données personnelles (ci-après « Contrat ») détaille les obligations des parties associées au traitement des données personnelles (ci-après « Données personnelles ») par Webgains pour le compte de l’Annonceur en tant que Responsable du traitement, en relation avec le Structure de la Rémunération et les Conditions générales pour les annonceurs signées de temps à autre entre les Parties (ensemble le « Contrat Annonceur »). Ses règles s’appliquent à toutes les activités de traitement des Données personnelles associées au Contrat Annonceur, dans le cadre duquel les employés du Sous-traitant traitent les Données personnelles du Responsable du traitement pour le compte de l’Annonceur.

 

  1. Objet / type, finalité et étendue du traitement des Données personnelles

 

(1) L’objet du présent Contrat est le traitement de données personnelles par le Sous-traitant pour le compte de l’Annonceur et sur instructions de ce dernier. Les obligations des Parties en vertu du présent Contrat découlent du Contrat Annonceur, auquel le présent Contrat et les instructions individuelles constituent un avenant. À la lumière de ce qui précède, conformément aux principes du Règlement général de l’UE sur la protection des données n° 2016/679 (ci-après « RGPD »), Webgains est Sous-traitant, tandis que l’Annonceur est qualifié de Responsable du traitement.

 

(2) La nature et la finalité du traitement des données prévu ainsi que les Données personnelles et le groupe de personnes concernées sont précisés en Annexe 1 du présent Contrat.

 

 

  1. Obligations du Sous-traitant

 

(1) Le Sous-traitant ne traite les Données personnelles que dans le cadre du présent Contrat et conformément aux instructions spécifiques du Responsable du traitement. Le Sous-traitant n’est pas en droit de traiter les Données personnelles du Responsable du traitement de manière à contrevenir à ces critères.

 

(2) L’article 1 est limité par le droit de l’Union ou de l’État membre auquel le Sous-traitant est soumis. Dans ce cas, le Sous-traitant a l’obligation d’informer le Responsable du traitement avant le traitement des données, sauf si cela va à l’encontre de l’intérêt public, comme dans le cadre d’obligations fiscales ou commerciales.

 

(3) Le Responsable du traitement ou son mandataire soumet les instructions par courrier électronique ou via le système ticketing en ligne sur la plate-forme Webgains. Les instructions verbales doivent être confirmées rapidement par e-mail ou par le même système ticketing.

 

(4) Le Sous-traitant ne doit pas corriger, supprimer ou bloquer les Données personnelles, sauf si des instructions correspondantes ont été émises ou si la suppression est effectuée sur la base de la clause 14 du présent Contrat (résiliation du présent Contrat). Les demandes de correction, de suppression ou de blocage de Données personnelles présentées par le client/utilisateur doivent être transmises sans délai au Responsable du traitement qui, à son tour, donne rapidement des instructions au Sous-traitant.

 

(5) Le traitement des données aura lieu exclusivement au sein d’un État membre de l’UE/EEE et du Royaume-Uni (s’il ne fait plus partie de l’UE). Tout traitement dans un pays tiers nécessite le consentement du Responsable du traitement. Si le consentement est donné, des normes de sécurité doivent être garanties.

 

(6) Le Sous-traitant tiendra un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable du traitement, contenant toutes les informations énumérées à l’article 30, paragraphe 2 du RGPD. Le Sous-traitant doit mettre à la disposition du Responsable du traitement, sur demande et moyennant un préavis raisonnable, toutes les informations nécessaires à la tenue des dossiers.

 

  1. Personnes habilitées à donner des instructions

 

(1) Si des instructions ou notifications en vertu du présent Contrat doivent être émises à l’égard de l’autre partie, ces instructions ou notifications doivent être adressées aux personnes de référence spécifiées dans le Contrat Annonceur et, à défaut, aux personnes responsables de l’exécution du Programme de Publicité de l’Annonceur sur la Plateforme Webgains (c’est-à-dire, pour Webgains, le Responsable client).

 

(2) Chacune des parties peut modifier les personnes de contact spécifiées en envoyant un avis écrit, par courrier électronique à l’autre partie ou au système de billetterie en ligne Webgains. Ces modifications entreront en vigueur dès réception de l’avis de modification.

 

  1. Droits et obligations du Responsable du traitement

 

(1) Le Responsable du traitement est seul responsable de l’évaluation de la recevabilité juridique en vertu des dispositions du RGPD, telle qu’elle est effectuée aux termes du présent Contrat.

 

  1. Les employés du Sous-traitant sont tenus par des instructions et au secret.

 

(1) Le Sous-traitant garantit que tous les employés impliqués dans le traitement des Données personnelles du Responsable du traitement ne sont pas autorisés à traiter des Données personnelles en dehors du champ d’application du présent Contrat et du Contrat Annonceur.

 

(2) Le Sous-traitant doit prendre des mesures pour s’assurer que tout le personnel sous Contrat respecte les dispositions statutaires relatives à la protection des Données personnelles.

 

(3) En outre, le Sous-traitant garantit que toute personne autorisée à traiter des Données personnelles pour le compte du Responsable du traitement a pris un engagement de confidentialité ou est soumise à une obligation légale appropriée de confidentialité.

 

  1. Enquêtes auprès des personnes concernées

 

Le Sous-traitant informe le Responsable du traitement par courrier électronique de toute demande de renseignements ou demande formulée par une autorité de contrôle de la protection des données concernant l’objet du présent accord. Le Sous-traitant prend les mesures appropriées pour fournir toute information nécessaire à l’exercice des droits des personnes concernées, comme stipulé à l’article 12a et suivants du RGPD. Lorsqu’une personne concernée fait valoir une demande de rectification, d’effacement ou d’accès à l’encontre du Sous-traitant, le Sous-traitant transmet sans retard injustifié la demande de la personne concernée au Responsable du traitement. Le Responsable du traitement prend sans délai toutes les mesures nécessaires dans le cadre du RGPD. Les parties s’épaulent mutuellement, dans la mesure du possible, et sur la base des instructions du Responsable du traitement, dans la mesure où cela a été convenu.

 

  1. Sous Sous-traitants

 

(1) Le Sous-traitant est autorisé à engager des sous sous-traitants (sous-traitants supplémentaires) pour le traitement des Données personnelles. Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement de sous sous-traitants, donnant ainsi au Responsable du traitement la possibilité de s’opposer à ces changements. Si le Responsable du traitement ne s’y oppose pas dans les 7 jours, le consentement est considéré comme accordé à titre implicite. Si le Responsable du traitement s’oppose à un tel changement – une telle objection doit être faite en précisant les motifs – les Parties s’engagent à discuter en toute bonne foi des mesures raisonnables pour mettre à la disposition du Responsable du traitement un changement de services évitant l’utilisation de Données personnelles par le nouveau sous-traitant visé par l’objection. Si les parties ne parviennent pas à s’entendre sur ces mesures dans les 60 jours suivant la réception de l’objection par Webgains, l’une ou l’autre des parties peut résilier le présent Contrat ainsi que le Contrat Annonceur sur préavis de 60 jours.

 

(2) En cas de sous sous-traitance, le Sous-traitant doit sélectionner le sous sous-traitant avec toute la diligence requise et concevoir les accords contractuels de manière à ce qu’ils respectent les exigences en matière de protection des Données personnelles dans les relations contractuelles entre le Responsable du traitement et le Sous-traitant.

 

(3) Le Sous-traitant met à la disposition du Responsable du traitement la liste en cours des sous sous-traitants des services énumérés à l’Annexe 2 du présent Contrat sous https://www.webgains.com/public/en/privacy-sub-processors/

 

(4) Les services auxiliaires sont exonérés de l’obligation de consentement. Il s’agit, en particulier, des services de télécommunication, y compris l’assistance aux utilisateurs, des services de maintenance, des services d’audit et d’élimination des supports de données. Ils peuvent être attribués par Webgains, à sa discrétion.

 

  1. Définition des mesures techniques et organisationnelles

 

(1) Le Responsable du traitement a été choisi de par son engagement à  prendre des mesures techniques et organisationnelles appropriées relevant de son domaine de responsabilité, afin d’assurer le respect des dispositions relatives à la protection des données à caractère personnel.

 

(2) Le Sous-traitant doit garantir la confidentialité, l’intégrité, la disponibilité et la capacité suffisante des systèmes de traitement des Données personnelles. En cas d’incidents physiques ou techniques, il doit rétablir rapidement l’accès aux Données personnelles et leur disponibilité en utilisant le cryptage pour la transmission et le stockage des Données personnelles. Le Sous-traitant est tenu de prendre les mesures techniques et organisationnelles appropriées à son domaine de responsabilité, en suivant les règles énumérées à l’annexe 3.

 

(3) Sur demande, le Sous-traitant doit prouver le respect des mesures de sécurité définies, énumérées à l’Annexe 3, ces éléments doivent être fournis par un auditeur indépendant (responsable de la sécurité informatique, de la protection des données, auditeur ou autre) par écrit, par fax ou par courrier électronique.

 

(3) Les mesures techniques et organisationnelles sont soumises au progrès technique et à des développements ultérieurs. Dans ce cas, le Sous-traitant se réserve le droit de mettre en œuvre d’autres mesures adéquates et de mettre à jour raisonnablement de temps à autre l’Annexe 3.

 

  1. Obligations du Sous-traitant en matière de contrôle et de notification

 

(1) Si le sous-traitant estime qu’une instruction du Responsable du traitement viole le RGPD ou d’autres dispositions relatives à la protection des Données personnelles, le Sous-traitant doit informer immédiatement le Responsable du traitement. Le Sous-traitant a le droit de suspendre l’exécution des instructions correspondantes jusqu’à ce que le Contrôleur l’ait confirmée ou modifiée, selon le cas.

 

(2) Si le Sous-traitant estime que les instructions données par le Responsable du traitement pour se conformer à la réglementation sur la protection des Données personnelles sont insuffisantes, le Sous-traitant doit en informer immédiatement le Responsable du traitement et le Responsable du traitement doit prendre immédiatement toutes les mesures nécessaires pour se conformer au RGPD.

 

  1. Droits de surveillance par le contrôleur

 

(1) Le Responsable du traitement a le droit d’effectuer (directement ou par l’intermédiaire d’un auditeur professionnel mandaté) des audits, une fois par année civile, relatifs au respect par le Sous-traitant des dispositions légales en matière de protection des données et sur le respect du présent Contrat, également au siège du Prestataire, notamment en obtenant des informations et en inspectant les données stockées et les programmes de traitement des données dans les locaux du Sous-traitant. Le Responsable du traitement doit fournir un préavis écrit de 20 jours ouvrables d’une telle inspection ou audit.

 

(2) Les parties conviennent que le Gestionnaire de la protection des données du Sous-traitant sera chargé par le Responsable du traitement d’effectuer un tel audit avant de mandater quelqu’un d’autre. Dans la mesure où le rapport d’audit du Gestionnaire de la protection des données du Sous-traitant semble insuffisant ou incomplet, le Responsable du traitement peut charger un autre auditeur d’effectuer les contrôles.

 

(3) Pendant l’audit, le Sous-traitant est tenu de fournir des informations et de coopérer en conséquence. Le Sous-traitant assistera le Responsable du traitement, notamment en cas de contrôle de la protection des données par l’autorité de contrôle, dans la mesure où le traitement des données au titre du présent Contrat est concerné.

 

  1. Durée de l’accord, droits de résiliation

 

(1) Le présent Contrat a une durée égale à celle du Contrat Annonceur.

(2) Chaque partie peut résilier le présent Contrat et, par conséquent, le Contrat Annonceur, à tout moment si l’autre Partie commet une violation grave du présent Contrat ou des dispositions du RGPD et ne remédie pas à cette violation dans les 30 jours suivant la réception d’un avis par la Partie non défaillante.

 

  1. Exécution des commandes/résiliation de la relation contractuelle

 

(1) À la résiliation du présent Contrat, le Sous-traitant cesse immédiatement de traiter des Données personnelles pour le compte du Responsable du traitement. Sur demande, le Sous-traitant remettra au Responsable du traitement une copie des Données personnelles en sa possession. Le Sous-traitant se réserve le droit d’archiver les Données personnelles conformément aux dispositions légales ou dans la perspective de la démonstration de ses services dans le cadre du Contrat Annonceur.

 

  1. Annexes

 

Les Annexes suivantes font partie intégrante du présent Contrat.

 

Annexe 1 : Description des tâches du sous-traitant,

y compris la description de la nature des Données personnelles et du groupe de personnes concernées.

Annexe 2 : Liste des sous sous-traitants

Annexe 3 : Exigences en matière de sécurité des données

 

 

 

Annexe 1

 

Données Personnelles et leur traitement par Webgains au nom de l’Annonceur:
La liste doit indiquer l’étendue, la nature et l’objectif de toute collecte, traitement et utilisation des données personnelles, du type de données et du cercle des personnes concernées.

Type de données personnelles

  • Adresse IP
  • Détails de la commande
  • Identifiant de Transaction

Personnes Concernées

  • Client
  • Visiteur

Finalité du traitement et de l’utilisation des Données Personnelles

  • Prestation de services en vertu des termes du Contrat principal
  • Administration

 

 

 

Annexe 2 – Liste des sous sous-traitants

  • Experian Information Solutions, Inc. (41st Parameter) – Fraud detection and prevention;
  • Afilias Technologies Limited (Device Atlas) – Fingerprinting for all transactions on the network);
  • QuBit Digital Limited (UK subsidiary) – Container tag solution and transaction ID;
  • Tech Essence Ltd – Tracking solution;
  • Neory GmbH –  Container tag solution and transaction ID;
  • Amazon Web Services, Inc. – Hosting service;
  • OVH – Hosting service;
  • Pulsant Ltd – Hosting service.
  • Periscope, Inc. – Enterprise reporting tool.
  • Cubed – Attribution measurement tool
  • Cloudfind – Discovery and matching tool

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Annexe 3

 

Mesures techniques et organisationnelles mises en œuvre conformément à l’article 32 du RGPD :

 

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque des Données personnelles traitées dans le cadre du présent Contrat. Ces mesures tiennent compte de la technique de pointe, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques. Ces mesures garantissent la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.

 

 

  1. Processus de gouvernance de la sécurité des TI

 

Le Sous-traitant met en œuvre un processus permettant de tester, d’analyser et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

 

 

  1. Mesures techniques et organisationnelles visant à garantir la sécurité du traitement

 

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des Données personnelles. Il surveille leur respect par le biais de mesures organisationnelles de monitoring :

 

 

Objectif : confidentialité

 

Aucune personne physique – employée ou tiers – ne doit prendre connaissance des Données personnelles liées au présent Contrat, à moins d’y être autorisée.

 

 

1 Contrôle d’accès :

 

Demandes

Un contrôle d’accès pour les personnes extérieures sera assuré par exemple par les mesures suivantes :

  • Documentation et enregistrement de l’accès et du départ des personnes extérieures / visiteurs.
  • Espace de réception central (réception, portier)
  • Remise de laissez-passer aux visiteurs.
  • Les personnes extérieures ne sont autorisées à pénétrer les locaux que lorsqu’elles sont accompagnées par des membres du personnel.
  • Les autorisations seront retirées immédiatement après leur expiration.

Un contrôle d’admission des membres du personnel sera mis en place, par exemple par les mesures suivantes :

  • Documentation de l’accès et du départ des membres du personnel.
  • Clavier à code avec un code changeant régulièrement.
  • Cartes à puce avec fonctions d’enregistrement des données

Mise en place d’un règlement d’autorisation pour salle informatique / salle de serveurs

Mise en œuvre des mesures d’autorisation d’accès à la salle informatique / des serveurs.

Utilisation de contenants verrouillables pour les employés

Politique en matière de clés (portes verrouillées, remise de clés uniquement aux personnes autorisées ; utilisation et conservation d’un passe-partout)

Zones de sécurité / mesures de protection des immeubles (p. ex. protection des fenêtres, surveillance des immeubles)

 

2 Contrôle d’accès :

 

Demandes

Mesures d’identification des utilisateurs pour l’accès aux systèmes de traitement des Données personnelles, c’est-à-dire l’identification par mot clé, par mot de passe ou par moyens d’identification biométrique

Mise en œuvre d’une politique relative aux mots de passe

  • Mot de passe individuel – attribué par l’utilisateur lui-même.
  • Au moins 10 éléments, y compris les caractères/chiffres supplémentaires.
  • Affectation par l’utilisateur
  • Expiration après un intervalle de temps prédéterminé (au plus tard après 6 mois).
  • Les comptes sont verrouillés après un maximum de trois tentatives de connexion infructueuses.
  • Pas de transmission à des tiers
  • Réglementation en cas d’absence (vacances, maladie, etc.)
  • Interdiction des 5 derniers mots de passe utilisés.

Blocage immédiat de l’accès aux systèmes de protection des Données personnelles en cas de départ à la retraite de membres du personnel.

Évaluation des droits d’accès sur une base régulière, au moins une fois par an.

Activation automatique de l’économiseur d’écran protégé par mot de passe (intervalles de 5 à 15 minutes, selon le risque d’abus).

Protection des réseaux internes contre les attaques de l’extérieur par la mise en place de pare-feux, cryptage, VPN (réseau privé virtuel), etc.

 

 

3 Contrôle des autorisations d’accès :

 

Demandes

Mise en œuvre de profils d’utilisateurs, c’est-à-dire les règles d’autorisation d’accès.

Règlements d’autorisation spécifiés pour la lecture, la modification et la suppression des données personnelles.

Attribution d’une autorisation pour les employés et les assistants selon le principe de minimisation ; l’accès aux applications et aux composants du système n’est autorisé que lorsque cela est nécessaire pour l’activité concrète des employés.

Mise en place d’un concept d’autorisation

  • Mise en œuvre des droits d’administrateur
  • Administration des règles d’autorisation par l’administrateur système.

Séparation du mode de contrôle et du mode de production

Configuration des composants informatiques pour assurer la désactivation, une fois que ceux-ci ne sont plus nécessaires à l’exécution des tâches contractuelles. Examen annuel de la configuration appropriée

Élimination des supports de Données personnelles et de déchets conformément aux principes actuels de protection des Données personnelles et aux technologies de pointe (DIN 66399:2012) ou affectation d’un prestataire de services spécialisé dans la détérioration des supports de données utilisant le même niveau de sécurité. Les supports de données dont la détérioration est prévue doivent être stockés et transportés en toute sécurité.

Réglementation écrite relative aux mesures concernant la copie des Données personnelles

Désactivation des ports USB et autres supports portables sur les postes de travail où les Données personnelles du Client sont accessibles.

Mise en œuvre de mesures contre les flux de données non autorisés (restriction des ports USB, détection/prévention/protection en matière de fuites de données).

 

 

4 Contrôle de la finalité :

Demandes

Mise en œuvre du concept d’autorisation spécifiant les droits d’accès

Base de données multi-clients

 

 

Objectif : intégrité

 

Le fournisseur doit s’assurer que les processus et les systèmes informatiques sont en permanence conformes aux spécifications codifiées. Les données personnelles restent intactes, complètes et à jour.

 

5 Contrôles des processus de transfert :

 

Demandes

Documentation des récepteurs de données, des voies de transport, des personnes autorisées pour le transfert de données et des données qui ont été transférées

Chiffrement des Données personnelles avant le transfert en cas de voies de transmission non sécurisées.

 

 

6 Contrôle d’entrée :

 

Demandes

Toutes les entrées de Données personnelles sont enregistrées au moyen de droits d’accès écrits et à contrôlées par l’audit.

Enregistrement des Données personnelles, modifications et suppression des Données personnelles.

Les droits d’accès aux données enregistrées sont en place.

Une réglementation concernant la suppression des données enregistrées est en place.

 

 

Objectif : disponibilité

 

7 Contrôle de la disponibilité des données :

 

Demandes

Processus d’approbation officiel pour la mise en œuvre de nouveaux systèmes de traitement des Données personnelles et la mise en œuvre de changements substantiels à l’ancien système.

Tous les systèmes sont alimentés par une alimentation sans coupure (ASI).

Détecteurs automatiques d’incendie et de fumée

Extincteurs d’incendie dans les salles de serveurs

Sauvegarde des bases de données

  • Concept de conservation du statu quo
  • Stockage des copies de sauvegarde en lieu sûr (sortie de stock)
  • Compilation des copies de sauvegarde dans des intervalles adéquats selon le principe de génération.

Reconstruction de bases de données

  • Essais de fonctionnement

 

 

Objectif : capacité

 

8 Contrôle de la conformité aux instructions du Client :

 

Demandes

Contrôle du respect des mesures de protection des Données personnelles par le Fournisseur et obligation d’informer le Client des incidents de sécurité des données.

Tous les membres du personnel du Fournisseur travaillant avec les données personnelles du Client sont tenus à titre contractuel de respecter les principes de protection des Données personnelles.

Instructions du fournisseur à ses employés qui ont accès aux Données personnelles, concernant le traitement des Données personnelles.

 

 

9 Processus visant à garantir un examen régulier

 

Demandes

Mise en place d’un système pour assurer le principe de responsabilité et de gouvernance de la sécurité informatique.

Gestion de la réponse aux incidents

Des mesures visant à garantir que, par défaut, seules les Données personnelles qui sont nécessaires à chaque finalité spécifique du traitement sont traitées, par exemple par :

  • Séparation des pouvoirs relatifs aux informations avec et entre les Responsables du traitement.
  • Réduction des possibilités d’accès aux Données personnelles.
  • Préférence du traitement automatisé (et non des processus de décision), ce qui rend inutile l’attention portée aux Données personnelles traitées et limite les opérations de traitement.
  • Mise en place de routines automatisées concernant la limitation du traitement et la suppression des Données personnelles.
  • Procédures de pseudonymisation et d’anonymisation
  • Procédures sur le contrôle des processus concernant les changements de procédures.

Importantes procédures de pseudonymisation et de cryptage des Données personnelles.

Notification des atteintes à la protection des Données personnelles

Suivi régulier des mesures régulièrement mises en œuvre, au moins une fois par an.

Paramètres par défaut sûrs et suffisants des serveurs pour assurer un redémarrage sécurisé du système serveur dans les délais prévus.