Data Processing Agreement

Dernière mise à jour le 15 décembre 2020

BulbThings reconnait l’importance du respect à la vie privée et des réglementations relatives à la protection des données personnelles (Data Protection Act 2018 et règlement 2016/679 relatif à la protection des personnes physiques et à l’égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données). Les Parties reconnaissent que la législation britannique (Data Protection Act 2018) est d’un niveau permettant une protection équivalente de la vie privée et des données personnelles.

Compte tenu du fonctionnement des outils et services de BulbThings, les Parties ont déterminé que BulbThings agit en qualité de « sous-traitant » pour ce qui concerne les traitements des données personnelles induites par les Services ou la vente de Produits, et le Client en qualité de responsable de traitement. BulbThings se réserve également la possibilité de faire des traitements de machine learning pour améliorer les Services, sur une base anonymisée des données confiées. Les Parties déclarent avoir pris en compte l’ensemble des éléments factuels et la réglementation applicable pour déterminer le positionnement de chacun.

1. Obligations de BulbThings

Les obligations de BulbThings comprennent uniquement ce qui suit. BulbThings garantit ainsi le Client contre toute revendication ou action de tiers au titre de ses obligations et s'engage à prendre à sa charge, au fil de l'eau, toutes les dépenses, condamnations, frais, honoraires d'avocat que le Client pourrait supporter du fait de ces procédures.

  • BulbThings s’engage à conserver une trace écrite des instructions spécifiques du Client. Ce document comprend l’ensemble des indications obligatoires visées à l’article 30 du Règlement 2016/679. Par exception à ce qui précède, les opérations et traitements induits par l’exécution des présentes sont considérés comme constituant des instructions du Client.

  • De manière générale, BulbThings peut recourir à toute sous-traitance pour les aspects de la relation contractuelle n’impliquant pas de données personnelles. En revanche, en cas de recours à un sous-traitant pour un traitement de données personnelles relatif à l’exécution des présentes, BulbThings avertira le Client qui ne pourra pas refuser son accord, sauf juste motif. Tout silence du Client de plus de 15 jours vaudra acceptation tacite.

  • BulbThings déclare avoir mis en place les procédures internes permettant la démonstration du respect de la réglementation en tant que sous-traitant. A ce titre et de manière raisonnable, BulbThings accepte que le Client puisse, moyennant un préavis écrit de 15 jours, envoyer des questions précises et demandes de documentation à BulbThings. Ces questions seront limitées au respect de la réglementation en vigueur dans le cadre de l’exécution des présentes. BulbThings devra répondre dans un délai raisonnable qui ne saurait être supérieur à 1 mois. Par exception à ce qui précède, BulbThings sera tenu de répondre dans les délais imposés par les autorités en cas de contrôle d’une autorité de protection des données personnelles (ou autorité assimilée).

    BulbThings s’engage à coopérer avec le Client en cas de procédure de contrôle ou demande de documentation d’une autorité de protection des données personnelles (ou autorité assimilée).

  • BulbThings déclare avoir mis en place les procédures internes permettant la démonstration du respect du principe de prise en compte des principes de protection des données dès la conception et de protection des données par défaut.

  • BulbThings déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :

    • garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;

    • rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.

  • BulbThings conserve les données personnelles fournies dans le cadre des présentes au sein de l’Union européenne ou au Royaume-Uni.

    BulbThings conservera les données personnelles fournies par le Client conformément aux délais de conservation déterminés par celui-ci. Le Client reconnait qu’à défaut d’instruction écrite, BulbThings ne conserve les données conservées que 12 mois à compter de la cessation des présentes. Le Client assume toutes les conséquences de ce délai en cas de défaut d’instruction écrite. A l’issue de ce délai, BulbThings détruit les données concernées.

  • Quoique BulbThings soit soumis à une obligation de moyens en matière de sécurité informatique, BulbThings s’engage, en cas de violation de sécurité (i) à alerter dès que possible le Client et lui fournissant les informations nécessaires mais raisonnables (et dans la limite des obligations de confidentialité de BulbThings), (ii) assister le Client et, le cas échéant, une autorité de protection des données personnelles ou toute autorité publique dans ce cadre et (iii) participer, de manière raisonnable, à la mise en place de correctifs.

  • BulbThings s’engage à assister le Client quant à toute demande écrite et précise relative à l’exercice d’un droit ou d’une obligation visée par le règlement européen 2016/679, et notamment :

    • la mise en œuvre des droits des personnes concernées (par exemple, droit à la portabilité, droit d’accès et de rectification) ;

    • la participation à une étude d’impact sur la vie privée.

    Les Parties reconnaissent que si cette assistance devait dépasser plus d’une heure par semaine, alors BulbThings serait légitime à facturer le Client pour les dépassements de temps sur la base du taux horaire applicable au jour de la demande du Client.

2. Obligations du Client

  • Le Client déclare et garantit avoir informé les personnes concernées de l’ensemble de leurs droits et des mentions obligatoires telles que visées par la réglementation applicable et d’avoir recueilli, le cas échéant, le consentement conformément à la réglementation applicable. Le Client s’engage à fournir les informations et recueillir le consentement des personnes conformément au règlement 2016/679 et, le cas échéant, à refournir et/ou recueillir à nouveau leur consentement, conformément à ce règlement.

  • Le Client déclare avoir mis en place une série de mesures techniques et organisationnelles de sécurité visant notamment à :

    • garantir à la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes d’information traitant des données personnelles et ce, conformément à l’état de l’art et aux présentes ;

    • rétablir, le cas échéant, la disponibilité des données personnelles et l’accès à celles-ci et ce, conformément à l’état de l’art et aux présentes.

    De plus, le Client a mis en place une procédure annuelle de test, d’analyse et d’évaluation des mesures techniques et organisationnelles de sécurité mises en place.

  • En tant que responsable de traitement, le Client s’engage et garantit déterminer, pour chaque type de données et chaque finalité, une durée de conservation conforme à la réglementation en vigueur. Le Client s’engage à communiquer à BulbThings ces délais de conservation par écrit.