1. Données collectées par Z-INDEX, en qualité de responsable et/ou de co- responsable
Le Client reconnait et accepte expressément que la société Z-INDEX pourra être amenée, au cours de l’exécution des différents contrats, à collecter des données personnelles le concernant, au sens du Règlement (UE) 2016/679 du Parlement européen du 27 avril 2016 et de la Loi n°78-17 du 6 janvier 1978 modifiée par l’Ordonnance n°2018-1125 du 12 décembre 2018. Ces données seront traitées par la société Z-INDEX SAS, en qualité de responsable du traitement et seront collectées aux fins exclusives d’assurer la gestion et le suivi des commandes et des contrats en résultant.
La base juridique du traitement est le contrat. Le Client est également informé que la société Z-INDEX se réserve le droit d’utiliser lesdites données aux fins d’adresser, par email exclusivement, des newsletters, lettre d’information toujours en rapport avec les produits et services de Z-INDEX. Ces données seront conservées pendant la durée de la relation contractuelle augmentée des durées de prescription légale applicables. Ces données sont transmises exclusivement aux personnes ayant besoin de les connaître, à savoir les salariés de Z-INDEX et les éventuels sous-traitants, experts comptables, conseils et autorités judiciaires et éventuellement les potentiels auditeurs, acquéreurs/investisseurs de Z-INDEX le cas échéant.
Les données sont stockées sur les serveurs de Z-INDEX et ne font l’objet, à la connaissance de Z-INDEX, d’aucun transfert en dehors de l’Union Européenne ou dans le cadre de transfert respectant la règlementation sur les données personnelles. Il est rappelé que toute personne bénéficie, dans les conditions prévues par la loi, d’un droit d’interrogation, d’accès, de rectification, d’effacement des données, d’un droit à la portabilité, à la limitation du traitement et d’un droit d’opposition au traitement de leurs données pour raisons légitimes.
Les personnes dont les données sont collectées bénéficient également du droit de définir des directives relatives au sort de leurs données après leur mort. Ces personnes peuvent exercer les droits dont ils disposent et/ou obtenir davantage d’informations sur leurs droits en s’adressant à Z-INDEX par courriel à l’adresse mail suivante rgpd@zindex.fr. Toute personne peut en cas de contestation former une réclamation auprès de la CNIL dont les coordonnées figurent à l’adresse suivante : https://www.cnil.fr. La non communication de ces informations peut entraîner l’impossibilité d’exécuter le Contrat et/ou les commandes. Aucune prise de décision automatisée n’est effectuée sur la base des données ainsi collectées.
2.1. Obligations générales :
Le Client est responsable du traitement des données de ses propres clients et/ou utilisateurs des Sites Web et/ou les Outils Numériques, Z-INDEX n’ayant que la qualité de sous-traitant dans pareil cas. Le Client garantit à Z-INDEX :
- avoir procédé à l’ensemble des obligations qui lui incombent aux termes de la Règlementation sur les Données Personnelles, notamment sans que la liste soit exhaustive qu’il a :
- effectué toute déclaration et/ou autorisation auprès de la CNIL, pour les traitements antérieurs au 25 mai 2018,
- tenu et maintenu à jour des registres de traitements,
- effectué toute analyse d’impact requise,
- désigné, si nécessaire un délégué à la protection des données, ou le cas échéant justifié les raisons de l’absence de désignation,
- informé les personnes physiques concernées de l’usage qui est fait des dites données personnelles.
- s’engager à collecter les données dans le respect de la Règlementation sur les Données Personnelles, notamment que les données soient :
- traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités,
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données),
- exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude),
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées,
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).
- s’engager à informer les personnes concernées conformément à la Règlementation sur les Données Personnelles,
- communiquer à Z-INDEX des instructions claires et précises sur la sous-traitance des données.
Le Client garantit qu’il est seul responsable de la qualité, de la licéité, de la pertinence des données et contenus transmis aux fins de la réalisation des Prestations. Il garantit en outre être titulaire des droits de propriété intellectuelle lui permettant d’utiliser les Contenus.
Plus généralement, le Client est seul responsable des contenus et messages diffusés et/ou téléchargés via le Site Web et/ou les Outils Numériques. A ce titre, le Client garantit Z-INDEX contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient utilisées via le Site Web et/ou les Outils Numériques, sans respecter les prérequis ci-dessus.
En particulier, il est rappelé que de base les Prestations ne sont pas proposées pour héberger des Données dites sensibles au sens de la Règlementation sur les Données Personnelles, et en particulier des Données de santé. Dès lors, tout recueil de ce type de données, sans accord préalable et écrit de Z-INDEX est interdit et ne pourra faire l’objet de demande indemnitaire auprès de Z-INDEX.
2.2. Obligations générales de Z-INDEX en tant que Sous-Traitant
Z-INDEX, en sa qualité de sous-traitant, s’engage à :
- ne pas traiter ces DCP sur des serveurs en dehors de l’Union Européenne, ou à défaut en informer le Client afin que ce dernier puisse réaliser les déclarations et diligences nécessaires,
- respecter les instructions écrites du Client quant aux DCP, étant précisé qu’à défaut d’instructions écrites du Client, le Client reconnait que les éléments, objets de la présente clause, sont considérés comme suffisants,
- traiter les DCP uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance,
- traiter les DCP conformément aux instructions documentées du Client figurant dans les Conditions Particulières,
- garantir la sécurité des DCP traitées dans le cadre du présent Contrat,
- aider le Client, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des DCP, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent auprès de Z-INDEX, des demandes d’exercice de leurs droits, ce dernier les transmettra sans délai au Client,
- notifier au responsable de traitement toute violation de DCP dont il aura connaissance dans un délai maximum de soixante-douze (72) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente,
- mettre à disposition du Client les documents requis permettant de démontrer le respect par Z-INDEX de la Règlementation sur le Données Personnels.
Au terme du Contrat, le Prestataire s’engage à, sur demande exprès du Client à :
- détruire toutes les DCP ou,
- à renvoyer toutes les DCP au responsable de traitement ou,
- à renvoyer les DCP au sous-traitant désigné par le responsable de traitement.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de Z-INDEX, sauf conservation à des fins de preuves pendant la durée de prescription.
2.3. Obligations en termes de sécurité des Données
Chacune des Parties s’engagent à mettre en œuvre les moyens techniques appropriés pour assurer la sécurité des DCP. Les mesures de sécurité mises en place par Z-INDEX sont décrites en Annexe des Conditions Particulières et comprennent :
- la configuration matérielle machine
- les procédures simples de sécurité
Les procédures explicites et détaillées mises à jour se trouve sur le site Internet de Z-INDEX. Le Client s’engage à mettre en œuvre sur ses outils informatiques tout système de protection, tels que sans que la liste soit exhaustive antivirus, firewall, afin d’éviter tout dysfonctionnement dus à des malveillances internes, attaques ou infections par des virus ou des pourriels informatiques.
2.4. Conservation et sauvegarde des Données
A défaut de souscription au service d’hébergement, Z-INDEX ne s’engage aucunement sur la conservation et/ou la sauvegarde des Données. Il appartient au Client de s’assurer de cette conservation et de cette sauvegarde.
2.5. Audit relatif à la sécurité des Données
Le Client, en sa qualité de responsable du traitement des Données, après en avoir avisé Z-INDEX par écrit avec un préavis minimum de deux (2) semaines, pourra faire procéder, à ses frais, dans la limite d’une fois par an et sous réserve que la durée de l’audit ne soit pas supérieure à une (1) semaine, à un audit des conditions de sécurité des Données et du respect par Z-INDEX de la Règlementation sur le Données Personnelles. La date de l’audit devra être accepté au préalable par Z-INDEX, avec d’éviter tout perturbation de l’activité et des services de Z-INDEX. L’audit sera mené durant les heures ouvrées de Z-INDEX et hors jours fériés ou congés. Z-INDEX sera en droit de reporter la date d’audit pour des raisons organisationnelles (période de congé, surcharge de travail…).
Pour ce faire, le Client désignera un auditeur indépendant non concurrent de Z-INDEX, disposant de compétences en matière de Données Personnelles et de solutions web, qui devra être agréé par Z-INDEX, et qui devra signer un engagement de confidentialité. A ce titre, les auditeurs, y compris le Client ne pourront avoir accès aux codes sources de Z-INDEX, aux tarifs et noms des autres clients et/ou fournisseurs, aux secrets d’affaires et/ou aux informations confidentielles de tiers. En cas de discussion sur le caractère confidentiel ou non des éléments, le litige sera tranché par le tribunal compétent du ressort de la cour d’appel de Riom, saisi par la partie la plus diligente.
L’audit en cours se poursuivra toutefois sur les sujets ne concernant pas lesdits éléments. Z-INDEX s’engage à collaborer de bonne foi avec l’auditeur et à lui faciliter son audit en lui procurant toutes les informations nécessaires et en répondant à l’ensemble de ses demandes afférentes à cet audit. Un exemplaire du rapport d’audit rédigé par l’auditeur sera remis à chaque Partie et sera examiné conjointement par les Parties qui s’engagent à se rencontrer à cet effet.