CONTRAT DE SOUS-TRAITANCE DES DONNÉES PERSONNELLES

ℹ️ Remarque : Cette version française est une traduction non contractuelle, fournie à titre d'information. Seule la version originale polonaise fait foi sur le plan juridique ; elle est régie par le droit polonais et le RGPD.

conclu le jour du début de l'utilisation du service GabinetOnline entre :

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
dont le siège est : ul. Przyjemna 4, 44-264 Jankowice, Pologne
KRS : 0000520491
NIP : 642-318-72-10
ci-après le « Sous-traitant » ou l'« Opérateur »

et

l'Utilisateur du service GabinetOnline
ci-après le « Responsable du traitement » ou l'« Utilisateur »

§ 1. Objet du contrat et définitions

1. Le présent contrat définit les conditions et l'étendue de la sous-traitance des données personnelles par le Responsable du traitement au Sous-traitant, dans le cadre de la fourniture de services au moyen du service GabinetOnline (gabinetonline.com.pl).

2. Le contrat est conclu en exécution de l'art. 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).

3. Chaque fois qu'il est fait référence dans le Contrat à :

a) Données personnelles – il faut entendre toute information relative à une personne physique identifiée ou identifiable au sens de l'art. 4, point 1 du RGPD ;

b) Traitement – il faut entendre une opération ou un ensemble d'opérations effectuées sur des données personnelles au sens de l'art. 4, point 2 du RGPD ;

c) Responsable du traitement – il faut entendre l'Utilisateur du service, qui est responsable des données personnelles au sens de l'art. 4, point 7 du RGPD, déterminant de manière autonome les finalités et les moyens du traitement des données personnelles ;

d) Sous-traitant (processeur) – il faut entendre l'Opérateur du service, qui traite les données personnelles pour le compte du Responsable du traitement ;

e) Service – il faut entendre le système informatique GabinetOnline disponible à l'adresse gabinetonline.com.pl ;

f) RGPD – il faut entendre le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

g) Violation de la protection des données personnelles – il faut entendre une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;

h) Personne concernée – il faut entendre une personne physique identifiée ou identifiable dont les données sont traitées.

§ 2. Étendue de la sous-traitance

1. Le Responsable du traitement confie, et le Sous-traitant accepte de traiter pour le compte du Responsable du traitement, les données personnelles des catégories de personnes concernées suivantes :

  1. les cocontractants du Responsable du traitement (clients du salon de coiffure, d'esthétique ou autre exploité par le Responsable du traitement),
  2. les employés du Responsable du traitement,
  3. d'autres personnes dont le Responsable du traitement saisit les données dans le Service dans le cadre de son activité économique.

2. Les données personnelles confiées peuvent comprendre les catégories de données suivantes :

  1. données d'identification (prénom, nom),
  2. données de contact (adresse e-mail, numéro de téléphone, adresse de domicile),
  3. données relatives aux prestations fournies et à l'historique des visites,
  4. données relatives aux règlements financiers,
  5. données saisies par le Responsable du traitement sous forme de notes et de commentaires,
  6. autres données saisies par le Responsable du traitement dans le Service.

3. Le Sous-traitant traite les données personnelles uniquement aux fins de la fourniture des services du Service définis dans les CGU, en particulier :

  1. le stockage et la mise à disposition des données au Responsable du traitement,
  2. la possibilité de gérer la base des cocontractants, des prestations, des matériaux et des employés,
  3. l'envoi de notifications aux cocontractants sur instruction du Responsable du traitement (SMS, e-mail),
  4. la génération de rapports et de documents,
  5. la garantie du fonctionnement du système de réservation en ligne.

4. Le traitement des données personnelles par le Sous-traitant s'effectue pendant la durée du contrat de prestation de services ainsi que pendant une durée de 5 ans à compter de la fin de la prestation, conformément au § 8, point 8 des CGU.

§ 3. Obligations du Sous-traitant

1. Le Sous-traitant s'engage à :

  1. Traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne le transfert de données personnelles vers un pays tiers ou une organisation internationale, à moins qu'une telle obligation ne soit imposée au Sous-traitant par le droit de l'Union ou le droit de l'État membre auquel il est soumis ; dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation légale avant le début du traitement, sauf si ce droit interdit une telle information pour des motifs importants d'intérêt public ;
  2. Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  3. Mettre en œuvre et maintenir toutes les mesures requises au titre de l'art. 32 du RGPD, en particulier :
    1. le chiffrement de la transmission des données au moyen du protocole SSL avec une clé d'au moins 128 bits,
    2. l'application de mécanismes de contrôle des accès garantissant que seul le Responsable du traitement a accès aux données au moyen d'un mot de passe individuel,
    3. la réalisation de sauvegardes régulières des données,
    4. le maintien de la sécurité physique du centre de calcul (surveillance, protection incendie),
    5. la mise à jour régulière du logiciel en matière de correctifs de sécurité ;
  4. Tenir compte, dans le choix des mesures techniques et organisationnelles, de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque d'atteinte aux droits ou libertés des personnes physiques, dont la probabilité et la gravité varient ;
  5. Aider le Responsable du traitement, dans la mesure nécessaire, à s'acquitter de son obligation de donner suite aux demandes des personnes concernées relatives à l'exercice de leurs droits prévus au chapitre III du RGPD ;
  6. Aider le Responsable du traitement à garantir le respect des obligations prévues aux art. 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations à la disposition du Sous-traitant ;
  7. Selon le choix du Responsable du traitement, supprimer ou restituer au Responsable du traitement toutes les données personnelles au terme de la prestation des services liés au traitement, et supprimer toutes les copies existantes, à moins que le droit de l'Union ou le droit d'un État membre n'exige la conservation des données personnelles ;
  8. Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'art. 28 du RGPD et permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement, et y contribuer ;
  9. Informer sans délai le Responsable du traitement si, à son avis, une instruction donnée par le Responsable du traitement constitue une violation du RGPD ou d'autres dispositions de l'Union ou des États membres relatives à la protection des données.

§ 4. Sous-traitance ultérieure (sous-traitants ultérieurs)

1. Le Responsable du traitement donne une autorisation générale au recours par le Sous-traitant aux services de sous-traitants ultérieurs.

2. Le Sous-traitant peut confier le traitement des données personnelles aux catégories de sous-traitants ultérieurs suivantes :

  1. fournisseurs de services d'hébergement et d'infrastructure informatique,
  2. fournisseurs de services d'envoi de SMS et d'e-mails,
  3. fournisseurs de services de paiement (dans la mesure nécessaire à la réalisation des paiements),
  4. fournisseurs de services de sauvegarde et de récupération des données.

3. Le Sous-traitant s'engage à :

  1. imposer aux sous-traitants ultérieurs, par voie de contrat ou d'un autre acte juridique, les mêmes obligations de protection des données que celles définies dans le présent Contrat, en particulier l'obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ;
  2. informer le Responsable du traitement de tout changement prévu concernant l'ajout ou le remplacement d'autres processeurs, en publiant l'information à un endroit visible du Service avec un préavis d'au moins 14 jours, donnant ainsi au Responsable du traitement la possibilité de s'opposer à ces changements ;
  3. assumer l'entière responsabilité, à l'égard du Responsable du traitement, de l'exécution des obligations confiées au sous-traitant ultérieur, si celui-ci ne remplit pas ses obligations en matière de protection des données.

4. En cas d'opposition du Responsable du traitement aux changements concernant les sous-traitants ultérieurs, le Responsable du traitement a le droit de résilier le Contrat avec effet immédiat.

§ 5. Violation de la protection des données personnelles

1. Le Sous-traitant s'engage à signaler au Responsable du traitement toute violation de la protection des données personnelles sans délai, au plus tard dans les 24 heures suivant sa prise de connaissance.

2. Le signalement visé au par. 1 doit contenir au moins :

  1. une description de la nature de la violation de la protection des données personnelles, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
  2. le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  3. une description des conséquences probables de la violation de la protection des données personnelles ;
  4. une description des mesures prises ou proposées par le Sous-traitant pour remédier à la violation de la protection des données personnelles, y compris, le cas échéant, des mesures visant à en atténuer les éventuelles conséquences négatives.

3. Le Sous-traitant s'engage à coopérer avec le Responsable du traitement pour clarifier les circonstances de la violation et prendre des mesures correctives.

4. Le signalement de la violation doit être effectué à l'adresse e-mail du Responsable du traitement communiquée lors de l'inscription au Service.

§ 6. Audit et contrôle

1. Le Responsable du traitement a le droit de réaliser un audit auprès du Sous-traitant afin de vérifier la conformité du traitement des données personnelles avec le présent Contrat ainsi qu'avec les exigences du RGPD.

2. L'audit peut être réalisé par le Responsable du traitement en personne ou par un auditeur mandaté.

3. Le Responsable du traitement annonce son intention de réaliser un audit avec un préavis d'au moins 14 jours, en indiquant la date et l'étendue proposées de l'audit.

4. Un audit ne peut avoir lieu plus d'une fois tous les 12 mois, sauf en présence d'indices justifiés d'une violation des dispositions du Contrat ou des dispositions du RGPD.

5. Le Sous-traitant s'engage à mettre à la disposition du Responsable du traitement ou de l'auditeur toutes les informations et tous les documents nécessaires à la réalisation de l'audit.

6. L'audit ne peut perturber le fonctionnement normal de l'activité du Sous-traitant et doit être réalisé dans le respect du secret des affaires ainsi que des données des autres clients du Sous-traitant.

§ 7. Responsabilité et indemnisation

1. Le Sous-traitant est responsable des dommages causés dans le cadre du traitement des données personnelles lorsqu'il n'a pas respecté les obligations découlant du RGPD qui visent spécifiquement les sous-traitants, ou lorsqu'il a agi en dehors des instructions licites du Responsable du traitement ou contrairement à celles-ci.

2. La responsabilité totale du Sous-traitant envers le Responsable du traitement au titre du présent Contrat, pour une année civile donnée, ne peut excéder le montant correspondant à la valeur annuelle des sommes versées par le Responsable du traitement pour l'utilisation du Service.

3. Le Sous-traitant n'est pas responsable des dommages résultant :

  1. d'actes ou d'omissions du Responsable du traitement,
  2. de la divulgation par le Responsable du traitement du mot de passe d'accès à des tiers,
  3. d'une utilisation inappropriée du Service par le Responsable du traitement,
  4. de circonstances dont le Sous-traitant n'est pas responsable conformément aux CGU du Service.

§ 8. Obligations du Responsable du traitement

1. Le Responsable du traitement déclare qu'il :

  1. est responsable des données personnelles au sens du RGPD et est habilité à en confier le traitement au Sous-traitant,
  2. dispose d'une base juridique appropriée pour le traitement des données personnelles,
  3. a collecté les données personnelles de manière licite,
  4. a informé les personnes concernées de la sous-traitance du traitement de leurs données personnelles au Sous-traitant, ou le fera sans délai.

2. Le Responsable du traitement s'engage à :

  1. ne donner au Sous-traitant que des instructions licites concernant le traitement des données personnelles,
  2. remplir lui-même les obligations d'information à l'égard des personnes concernées,
  3. examiner lui-même les demandes des personnes concernées relatives à l'exercice de leurs droits découlant du RGPD,
  4. informer sans délai le Sous-traitant de tout cas susceptible d'avoir une incidence sur le traitement des données personnelles.

§ 9. Durée et résiliation du contrat

1. Le contrat entre en vigueur le jour du début de l'utilisation du Service par le Responsable du traitement et s'applique pendant la durée de la prestation des services définie dans les CGU.

2. Le contrat prend fin lors de la résiliation du contrat de prestation de services conformément aux CGU.

3. En cas de résiliation du Contrat, le Sous-traitant, selon le choix du Responsable du traitement :

  1. supprimera toutes les données personnelles ainsi que toutes les copies existantes, à moins que le droit n'exige leur conservation, ou
  2. restituera au Responsable du traitement toutes les données personnelles dans un format convenu.

4. Nonobstant les dispositions du par. 3, le Sous-traitant a le droit de conserver les données personnelles pendant une durée de 5 ans à compter de la fin de la prestation, conformément au § 8, point 8 des CGU, exclusivement à des fins d'archivage et dans la mesure nécessaire pour démontrer la régularité de la prestation.

5. Après la suppression des données visée au par. 3, point a), le Sous-traitant fournit au Responsable du traitement une confirmation écrite de leur suppression.

§ 10. Dispositions finales

1. Le présent Contrat fait partie intégrante des CGU du service GabinetOnline.

2. Pour les questions non réglées par le présent Contrat, s'appliquent les dispositions du RGPD ainsi que les dispositions du droit polonais, en particulier la loi du 10 mai 2018 sur la protection des données personnelles.

3. Toute modification du Contrat requiert la forme écrite sous peine de nullité, sous réserve des dispositions relatives à la modification des CGU.

4. En cas de contradiction entre les dispositions du présent Contrat et les CGU, les dispositions du présent Contrat prévalent en matière de protection des données personnelles.

5. Les parties s'efforceront de résoudre à l'amiable tout litige découlant de l'exécution du présent Contrat. À défaut d'accord, les litiges seront tranchés par le tribunal compétent pour le siège du Sous-traitant.

6. Le Contrat a été rédigé en langue polonaise.

7. En acceptant les CGU du service GabinetOnline, le Responsable du traitement accepte simultanément les dispositions du présent Contrat de sous-traitance des données personnelles.

§ 11. Coordonnées pour les questions de protection des données personnelles

Sous-traitant (Opérateur) :
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice, Pologne
E-mail : biuro@gabinetonline.com.pl
Téléphone : +48 514 14 55 65

Responsable du traitement :
Coordonnées communiquées lors de l'inscription au Service