CONTRAT DE TRAITEMENT DES DONNEES

1.    Responsabilité et indications à suivre

1.1 Le type de données et les catégories de sujets concernés traités par le Responsable du traitement selon le présent Contrat de Traitement, dans le cadre des services d’accès à Whistlelink fournis par le Responsable du traitement, ainsi que la nature, la durée et l’objet du traitement, sont décrits à l’article 5. Le Client doit s’assurer que le Responsable du traitement ne traite pas d’autres catégories de données que celles définies à l’article 5.

1.2 Le Client a conscience que Whistlelink est une plateforme distribuée à un grand nombre de clients et que, par conséquent, Nous ne sommes pas nécessairement en mesure de suivre des indications qui ne découlent pas directement de la nécessité pour le Client de se conformer aux règles de protection des données. Si le Client nous fournit des indications que nous ne sommes pas en mesure de suivre, il s’engage à cesser de saisir et d’exporter des Données clients relevant desdites indications. Ce qui précède ne saurait constituer un manquement au Contrat ou à la disponibilité de Whistlelink.

1.3 Le Client a la qualité de Responsable du traitement de toutes les données à caractère personnel qu’il traite en son nom dans le cadre du présent Contrat de traitement. Le client est ainsi responsable de l’application des règles relatives à la protection des données et s’engage à respecter les consignes d’utilisation de Whistlelink toujours applicables ainsi que la législation applicable au traitement des données relatives aux lanceurs d’alerte.

1.4 En concluant le présent contrat, le client consent aux mesures de sécurité énoncées dans les Mesures techniques et organisationnelles actuellement mises en œuvre par Whistlelink et reconnaît qu’elles sont appropriées pour l’utilisation qu’il entend faire de Whistlelink.

2.  Engagements du Sous-traitant

2.1 Le Sous-traitant s’engage à :

1. Mettre en œuvre des mesures techniques et organisationnelles appropriées et de prendre toutes les mesures de sécurité décrites dans les Mesures techniques et organisationnelles actuellement mises en œuvre par Whistlelink et à l’article 32 du RGPD afin de protéger les données traitées dans le cadre du présent contrat, y compris veiller au respect du devoir de confidentialité imposé aux personnes travaillant pour le Responsable du traitement et habilitées à traiter ces données ; 
2. Aider le Client à se conformer aux exigences de sécurité énoncées aux articles 32 à 36 du RGPD (mesures techniques et organisationnelles, notification et information du Client dans les plus brefs délais en cas de violation des données personnelles, évaluation d’impact et consultation préalable), et aux obligations du Client relatives aux droits individuels énoncées au Chapitre III du RGPD (droit à l’information, accès, rectification, suppression, limitation du traitement, portabilité, opposition à la prise de décisions automatisée) ;
3. Accorder au Client le droit de recevoir des informations de la part du Sous-traitant afin de contrôler et vérifier les mesures mises en œuvre par lui conformément au présent contrat. Le Sous-traitant devra faciliter le déroulement des enquêtes (y compris inspections) effectuées par le Client ou par un auditeur désigné par le Client, et y coopérer. Le Sous-traitant devra, en outre, rendre des comptes au Client dont les données personnelles sont traitées, ainsi qu’à l’autorité de tutelle ou tout autre tiers demandant des informations au Responsable du traitement concernant le traitement des données personnelles. Le Sous-traitant informera immédiatement le client de tout contact émanant de l’autorité de tutelle susceptible d’avoir une incidence sur le traitement des données personnelles ;
4. Selon l’option choisie par le Client : supprimer, anonymiser ou restituer au Client toutes les données personnelles à l’expiration du Contrat (pour quelque raison que ce soit), y compris supprimer toutes les copies qui, conformément à la loi sur la protection des données personnelles, ne doivent plus être conservées ;
5. Fournir au Client l’accès aux informations nécessaires pour permettre à celui-ci d’assumer ses obligations de Responsable du traitement vis-à-vis de l’autorité de tutelle et/ou des particuliers ;
6. Ne pas transférer les données vers des pays tiers ou à une organisation internationale à moins que cela ne soit exigé par la loi sur la protection des données personnelles, auquel cas le Responsable du traitement est tenu d’informer immédiatement le Client, à moins que cela ne lui soit interdit.

2.2 En outre, le Sous-traitant s’engage à toujours traiter les données conformément aux Règles de protection des données, y compris, mais non limitativement, tenir un registre de toutes les catégories des procédures exécutées, fournir un extrait de registre des procédures terminées à la demande du client et informer le Client immédiatement si le Responsable du traitement soupçonne qu’il existe un risque de violation des droits et libertés individuels.

3.     Sous-traitants et transferts vers des pays tiers

3.1 Sous réserve que le Sous-traitant (i) informe le Responsable du traitement de ses plans dans un délai raisonnable, avec le droit pour le Responsable du traitement de s’y opposer, le Sous-traitant dispose d’une autorisation générale pour engager des Sous-traitants secondaires pour le traitement des données au nom du client, pour lequel le Sous-traitant sera entièrement responsable envers le client.

3.2 À condition que le Sous-traitant (i) informe le Responsable du traitement de ses projets au moins 30 jours à l’avance, avec le droit pour le contrôleur de s’y opposer, et (ii) applique des mécanismes de sécurité adéquats et conformes aux règles de protection des données approuvées, le Sous-traitant peut transférer des données personnelles en dehors de l’UE/EEE.

3.3 En concluant le présent Accord, le Client approuve les Sous-traitants mentionnés à l’article 5. Au moment de la conclusion du présent accord, le Sous-traitant ne transfère pas de données à caractère personnel vers un pays tiers.

4.     Divers

4.1 Les dispositions du Contrat s’appliquent également au présent Contrat de traitement. En cas de divergence entre le Contrat et le présent Contrat de traitement, c’est ce dernier qui prévaut.

5.     Indications du Client

5.1 Cette section 5 constitue les indications initiales fournies par le Client au Sous-traitant et, en application de la section 1.2, elle est susceptible d’être complétée ultérieurement.

5.2 Catégories de personnes concernées. Toute personne pouvant être mentionnée dans une alerte dans Whistlelink, y compris le Lanceur d’alerte, si le Lanceur d’alerte ne souhaite pas rester anonyme ainsi que la personne signalée.

5.3 Finalité, nature et objet du traitement, et Catégories de données personnelles. Eu égard à la principale fonction du Responsable du traitement et à la finalité de Whistlelink, nous sommes un Sous-traitant et nous conservons les Données clients susceptibles de contenir des données personnelles ; les catégories de données personnelles comprennent toutes catégories de données pouvant figurer dans un contexte de lancement d’alerte, y compris des données sensibles et les suspicions de violation de la législation.

5.4 Stockage des données. Le Responsable du Traitement conserve les données de tous les signalements pendant la durée de conservation fixée par le client dans le système.

5.5 Sous-traitants. Une fois conclu le présent Contrat, le Sous-traitant fait appel aux sous-traitants mentionnés ci-après, qui peuvent toutefois être modifiés conformément à la Section 3 :

• Sous-traitants : Swerolab AB (Suède), Interactive Security (Suède), SMSAPI (Pologne), Brevo (France), OPSWAT (Allemagne), Glesys (Suède), T-Systems International (Allemagne), Friendly Captcha (Allemagne), DeepL (Allemagne), Mistral AI (France). 

5.6 Transferts vers des pays tiers. . À compter de la conclusion du présent accord, le Sous-traitant n’effectue pas de transferts en dehors de l’UE/EEE, qui peuvent toutefois être modifiés conformément à la section 3 :

• Transferts hors UE/EEE : aucun.