ANNEXE 1
ACCORD DE TRAITEMENT DES DONNEES PERSONNELLES
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter leurs obligations au titre de la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « RGPD ») et au titre du Contrat et notamment de la présente annexe. Les responsabilités de chacune des parties sont détaillées ci-dessous.
Traitement des Données Personnelles par le Prestataire en qualité de sous-traitant du Client
Le Prestataire (ci-après, le « sous-traitant ») est autorisé à traiter pour le compte du Client (ci-après le « responsable de traitement ») les Données à caractère personnel nécessaires pour fournir les Services et les Services Optionnels, conformément aux précisions détailées ci-après.
1.1. Description du traitement faisant l’objet de la sous-traitance
Les personnes concernées sont : les répondants aux enquêtes, les clients et prospects du Client, les utilisateurs autorisés de la plateforme, ainsi que, le cas échéant, les collaborateurs, partenaires ou représentants du Client dont les données sont collectées dans le cadre de l’utilisation des Services.
Les Données Personnelles traitées sont :
- Données d’identification : nom, prénom, pseudonyme ou identifiant utilisateur
- Données de contact : adresse e-mail, numéro de téléphone
- Données professionnelles : fonction, organisation ou entreprise
- Données de participation aux enquêtes : réponses aux questionnaires, évaluations, commentaires et autres informations saisies par les répondants
- Données techniques et d’utilisation : adresse IP, identifiants techniques, logs de connexion, données de navigation, horodatage
- Données statistiques et analytiques : résultats d’enquêtes, scores, indicateurs et données agrégées générés dans le cadre de l’utilisation des Services
Les types de traitements réalisés sur les Données à caractère personnel sont les suivants : collecte, enregistrement, organisation, structuration, hébergement, conservation, consultation, extraction, analyse statistique, agrégation, anonymisation ou pseudonymisation, modification, mise à disposition des résultats au Client, suppression ou destruction des Données à caractère personnel dans le cadre de l’exécution des Services.
Les finalités de traitement sont :
- la collecte de données au moyen de questionnaires, enquêtes ou formulaires
- l’analyse et la restitution des résultats d’études, d’enquêtes ou de baromètres
- l’amélioration de la connaissance des clients, prospects, usagers ou collaborateurs du Client
- la réalisation d’enquêtes de satisfaction, d’études marketing ou d’études internes
- la gestion et l’animation de la relation avec les clients, prospects ou utilisateurs du Client
- la diffusion d’informations, communications, newsletters ou campagnes d’information
- la mise en œuvre d’opérations de prospection ou de communication (notamment campagnes d’emailing ou autres communications électroniques)
- la production de statistiques, d’indicateurs et de tableaux de bord
- l’administration technique, la sécurité et l’amélioration des Services fournis par le Prestataire
1.2. Obligations du Prestataire, en sa qualité de sous-traitant
Le sous-traitant s'engage à :
a) traiter les Données Personnelles uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
b) traiter les Données Personnelles conformément aux instructions documentées du responsable de traitement suivantes :
le sous-traitant traite les Données à caractère personnel uniquement dans la mesure nécessaire à la fourniture des Services et des Services Optionnels prévus au Contrat et à la Proposition Commerciale associée et selon la présente Annexe.
Si le sous-traitant considère, sans qu’il soit tenu à une veille active sur le sujet, qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de Données à caractère personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;
c) faire ses meilleurs efforts pour assurer la confidentialité des Données à caractère personnel traitées dans le cadre du Contrat ;
d) veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du Contrat :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la sensibilisation nécessaire en matière de protection des Données à caractère personnel ;
e) prendre en compte, s’agissant de ses outils, produits, applications ou Services, les principes de protection des données dès la conception et de protection des données par défaut.
f) Sous-traitance : le sous-traitant est autorisé à faire appel aux entités suivantes (ci-après, le « sous-traitant ultérieur ») :
OVHcloud
- Dénomination sociale : OVH SAS
- Adresse : 2 rue Kellermann, 59100 Roubaix, France
- Localisation des serveurs : Union européenne (principalement France)
- Traitements assurés : hébergement des données, infrastructure cloud, stockage et sauvegarde des données (dans le cadre des Services, lorsque cette option est souscrite par le Client)
Sellsy
- Dénomination sociale : Sellsy SAS
- Adresse : 50 avenue du Lazaret, 17000 La Rochelle, France
- Localisation des serveurs : Union européenne (France)
- Traitements assurés : gestion de la relation client, gestion des tickets de support (ticketing), envoi de communications et d’emails (notamment support et informations liées aux Services)
En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit informer préalablement le responsable de traitement par écrit du changement envisagé, avec la désignation du nouveau sous-traitant ultérieur, ses coordonnées, la date du contrat de sous-traitance et les activités de traitement dont la sous-traitance est envisagée. A défaut d’objection du responsable de traitement dans les huit (8) jours de cette information, il est réputé avoir accepté le changement et la sous-traitance peut être mise en place.
Le sous-traitant ultérieur est tenu de respecter les obligations du Contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au Prestataire de s’assurer que le sous-traitant ultérieur présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées et conformes aux exigences du RGPD. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Prestataire est pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
g) Droit d’information des personnes concernées : il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte ou de la transmission des Données à caractère personnel au sous-traitant, en ce compris le traitement relatif à la notification des vulnérabilités par ses prestataires en application des articles L2321-4-1 et Article R2321-1-16 et suivants du Code de la défense.
h) Exercice des droits des personnes : dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée.
Le Client communiquera auprès des personnes concernées afin de les inviter à le contacter pour faire valoir leurs droits. Si malgré cela, les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique à l’adresse communiqué à cet effet par le Responsable de Traitement ou, à défaut, à son interlocuteur chez le Responsable de Traitement.
i) Notification des violations des Données à caractère personnel : le sous-traitant notifie au responsable de traitement toute violation de Données à caractère personnel dans un délai maximum de 24 heures ouvrées après en avoir pris connaissance et par e-mail à l’adresse communiquée à cet effet par le Responsable de Traitement ou, à défaut, à l’adresse de son interlocuteur habituel chez le Responsable de Traitement. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Le responsable de traitement est informé qu’en cas de constat de vulnérabilité significative affectant un de ses produits ou en cas d'incident informatique compromettant la sécurité de ses systèmes d'information et susceptible d'affecter significativement un de ses produits, le Prestataire a une obligation légale propre de notification à l’ANSSI, et peut être amené, si les circonstances l’exigent, à notifier toute personne considérée comme utilisateur de ses produits, en application des articles L2321-4-1 et Article R2321-1-16 et suivants du Code de la défense.
j) Assistance du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données quand celle-ci est requise. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle quand celle-ci est requise. Cette assistance est susceptible d’être facturée au tarif en vigueur pour de l’assistance à maîtrise d’ouvrage dès lors que le responsable de traitement sollicite le sous-traitant de façon excessive, à savoir plus d’une journée/homme par an pour ces sujets alors que le sous-traitant a communiqué l’ensemble des informations pertinentes relatives à sa prestation.
k) Mesures de sécurité : le sous-traitant s’engage à faire ses meilleurs efforts, dans la limite commercialement raisonnable, pour mettre en œuvre les mesures de sécurité conformes aux bonnes pratiques et notamment celles documentées transmises au Client avant la signature du Contrat.
l) Sort des Données à caractère personnel : les Données à caractère personnel ne peuvent être traitées par le sous-traitant que conformément aux instructions du responsable de traitement et à la présente annexe. A la fin du Contrat, les Données à caractère personnel seront restituées au Client ou détruites, conformément aux stipulations de l’article « Résiliation » du Contrat.
m) Délégué à la protection des données : toute demande liée à la présente annexe est à adressée par email au contact désigné par le Responsable de Traitement à cet effet ou, à défaut, à l’interlocuteur habituel du sous-traitant chez le responsable de traitement
n) Registre des catégories d’activités de traitement : le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement ;
o) Documentation : le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
1.3. Obligations du Client, responsable de traitement
Le responsable de traitement s’engage à :
a) Fournir au sous-traitant les Données nécessaires au sous-traitant pour permettre à ce dernier de mettre en œuvre les Services ;
b) Assurer une détermination des rôles et des droits des Utilisateurs accédant aux Données à caractère personnel conformément au principe « privacy by default » et informer le sous-traitant du départ d’un Utilisateur dans les huit (8) jours de la sortie de ses effectifs au plus tard afin que son compte soit supprimé ;
c) Documenter par écrit toute instruction concernant le traitement des données par le sous-traitant et en vérifier préalablement la conformité au RGPD. A ce titre, le responsable de traitement ne pourra s’exonérer de sa responsabilité en faisant valoir l’absence de mise en garde par le sous-traitant dont il ne pourra valablement engager la responsabilité dans ce contexte ;
d) Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD ;
e) Se présenter comme l’interlocuteur des personnes concernées pour l’exercice de leurs droits ;
f) Ne pas adresser au Prestataire de bases de données à caractère personnel par e-mail ou autre moyen de transmission non sécurisé.
En outre, le responsable de traitement déclare et garantit que :
- les Données à caractère personnel transmises au Prestataire, ou collectées via les Services, sont collectées et traitées dans le respect de la réglementation applicable ;
- il a procédé valablement à l’information des personnes concernées, conformément au RGPD ;
- le cas échéant, il a recueilli le consentement des personnes concernées pour les traitements envisagés au moment de la collecte ou à tout moment opportun ;
- il permet aux personnes concernées d’exercer leurs droits conformément à la réglementation, en les informant que l’exercice des droits est réalisé directement auprès du Client ;
- les informations sont exactes, complètes, univoques et à jour, sans demande des personnes concernées visant à en interdire la collecte, l’utilisation, la communication ou la conservation ; à défaut, il s’engage à les rectifier, compléter, clarifier, mettre à jour ou supprimer.
Mise à jour en date du 31/03/2026
