Version 1 – 16 Mai 2025
Les Parties s'engagent, chacune pour ce qui la concerne, à se conformer à toutes les obligations légales et réglementaires qui leur incombent en matière de protection des données à caractère personnel, notamment la loi 78-17 du 6 janvier 1978 dans sa dernière version modifiée dite « Loi Informatique et Libertés » et le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 dit « RGPD » (ensemble la « Réglementation applicable »).
Aux fins de gestion de la relation contractuelle entre les Parties, chaque Partie traite les données à caractère personnel de ses interlocuteurs chez l'autre Partie en qualité de responsable de traitement au sens de la Réglementation applicable, et ce, pour la durée du présent Contrat. Ce traitement est nécessaire à la bonne exécution du présent Contrat et ne concerne que des données d'identification (notamment nom, prénom, adresse email, numéro de téléphone) des interlocuteurs. Ces données sont conservées pendant la durée strictement nécessaire à la gestion des relations contractuelles entre les Parties.
Le personnel des Parties, leurs services chargés du contrôle (commissaire aux comptes notamment) et leurs sous-traitants pourront avoir accès aux données à caractère personnel collectées.
Ce traitement pourra donner lieu à l'exercice par les interlocuteurs des Parties de leurs droits prévus par la Réglementation applicable, à savoir : (i) d'obtenir la communication et, le cas échéant, la rectification ou la suppression des données les concernant, (ii) de demander l'effacement ou la limitation du traitement, (iii) de s'opposer au traitement pour des motifs légitimes, (iv) de demander la portabilité des données les concernant, afin de les récupérer et de les conserver, et (v) d'introduire une réclamation auprès d'une autorité de contrôle compétente.
Dans le cadre des Services, la Société est amenée à traiter des données à caractère personnel au nom et pour le compte du Client en qualité de sous-traitant, tandis que le Client, lui agit en qualité de responsable de traitement au sens de la Réglementation applicable. Les caractéristiques des traitements sont décrites à l'Article 4 de la présente Annexe.
La Société s'engage à ne traiter les données à caractère personnel que pour les finalités listées à l'Article 4 de la présente Annexe et conformément aux instructions documentées du Client, y compris en ce qui concerne le transfert des données en dehors de l'Union européenne.
La Société s'engage à informer le Client si, selon lui, une instruction constitue une violation de la Réglementation applicable.
La Société se réserve le droit de suspendre, le traitement jusqu'à la modification par le Client de l'instruction en cause de manière à ce qu'elle ne viole plus la Réglementation applicable, sans engager sa responsabilité contractuelle du fait de cette suspension. Cette suspension ne donne lieu à aucun remboursement du prix des Services pour la période de suspension. Si le Client ne modifie pas, mais maintient l'instruction en cause, la Société se réserve le droit de résilier le Contrat sans délai et sans frais.
En outre, si la Société est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit applicable au Contrat, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
La Société s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité et l'intégrité des données à caractère personnel, leur sauvegarde ainsi que le rétablissement de leur disponibilité en cas d'incident physique ou technique. La Société veille également à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à l'obligation d'en préserver la confidentialité.
La Société est autorisée à faire appel aux sous-traitants (les « Sous-traitant(s) ultérieur(s) ») listés à l'Article 6 de la présente Annexe du Contrat pour mener des activités de traitement spécifiques.
En cas de changement dans la liste des Sous-traitants ultérieurs autorisés, la Société informera préalablement et par écrit le Client. Cette information devra indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du Sous-traitant ultérieur. Le Client dispose d'un délai de 15 jours à compter de la date de réception de cette information pour présenter ses objections légitimes et motivées. À défaut de notifications d'objections passé ce délai, le Client sera réputé avoir accepté le recours au Sous-traitant ultérieur. En cas d'objections persistantes du Client, les Parties se réuniront de bonne foi et feront leurs meilleurs efforts pour discuter d'une résolution.
La Société pourra choisir de (i) ne pas avoir recours au Sous-traitant ultérieur ou (ii) de prendre les mesures correctrices demandées par le Client dans le cadre des objections formulées et avoir recours au Sous-traitant ultérieur. Si aucune des options n'est raisonnablement possible, et si la Société ne peut avoir recours pour des raisons légitimes à un autre sous-traitant pour le traitement envisagé, l'une ou l'autre des Parties pourra résilier le présent Contrat moyennant un préavis de 30 jours.
Le Sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du Client. Il appartient à la Société de s'assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation applicable. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, la Société demeure pleinement responsable devant le Client de l'exécution par le Sous-traitant ultérieur de ses obligations.
La Société est autorisée à transférer les données à caractère personnel traitées dans le cadre du présent Contrat vers des pays situés hors de l'Union européenne, sous réserve de la mise en place de garanties appropriées telles que définies au Chapitre V du RGPD.
La Société s'engage à :
La Société s'engage, au choix du Client, à supprimer les données à caractère personnel à l'expiration du Contrat ou à les renvoyer au Client et à ne pas en conserver de copie, sauf si la Réglementation applicable l'exige. Le Client dispose de 1 mois à compter de la fin du Contrat pour exercer son choix. Passé ce délai, la Société supprimera toutes les données à caractère personnel.
La Société met à disposition du Client, sur demande de celui-ci, toutes les informations et tous les documents nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits. Le Client a ainsi la possibilité de procéder à des audits 1 fois par an et à ses frais afin de vérifier la conformité de la Société aux obligations prévues dans le présent article. Le Client informera la Société de la tenue de l'audit moyennant un préavis minimum de 2 semaines. L'identité de l'auditeur devra être acceptée d'un commun accord entre les Parties. La Société se réserve notamment le droit de refuser l'identité de l'auditeur retenu s'il appartient à une société concurrente. L'audit devra être réalisé pendant les heures ouvrées de la Société et de manière à perturber le moins possible son activité. L'audit ne pourra ainsi porter atteinte de quelque façon que ce soit (i) aux mesures techniques et organisationnelles de sécurité déployées par la Société, (ii) à la sécurité et la confidentialité des données des autres clients de la Société, et (iii) au bon fonctionnement et à l'organisation de la production de la Société. Dans la mesure du possible, les Parties conviendront à l'avance du périmètre de l'audit. Le rapport d'audit sera adressé à la Société afin de permettre à ce dernier de formuler ses observations ou remarques éventuelles par écrit, lesquelles seront annexées à la version finale du rapport d'audit. Chaque rapport d'audit sera considéré comme une information confidentielle.
Le Client autorise par les présentes la Société à traiter les données personnelles collectées dans le cadre des services (notamment les données de connexion et d'identification) aux fins d'amélioration des services de la Société, et notamment de réalisation des statistiques sur la façon dont la Solution est utilisée par les utilisateurs. La Société agira dans ce cadre en qualité de responsable de traitement au sens de la Réglementation applicable et s'engage à ce titre à respecter les dispositions légales sur la protection des données dans le cadre des traitements précités.
Le Client s'engage à :
Finalités du traitement de données à caractère personnel : Fourniture des Services
Nature des opérations de traitement : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, la consultation, l'utilisation.
Type de données à caractère personnel traitées : Données d'identification, données économiques et financières, données de connexion et d'usage.
Catégories de personnes concernées : Salariés du Client, clients finaux du Client, Prestataires et fournisseurs du Client
Durée du traitement : Durée de l'Abonnement
Nous utilisons des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, par exemple :
Bien que nous nous engagions à faire tout notre possible pour protéger vos données personnelles, vous reconnaissez que l'utilisation d'Internet n'est pas totalement sécurisée et qu'en tant que telle, nous ne pouvons garantir la sécurité ou l'intégrité des données personnelles que vous fournissez ou qui vous sont fournies via Internet.
| Sous-traitants ultérieurs autorisés | Activités de traitement sous-traitées | Localisation des traitements | Garanties appropriées mises en place en cas de transfert de données hors UE |
|---|---|---|---|
| Laravel Holdings Inc. | Hébergement de la Solution | États-UnisDonnées localisée au UK | Clauses contractuelles types |