Règles de confidentialité FrogTrust

APPLICATION DU REGLEMENT GENERAL POUR LA PROTECTION DES DONNEES (RGPD) DANS LE CADRE DU SERVICE FROGTRUST 2.0

 En téléchargeant, en installant ou en utilisant, selon le cas, l’application pour système d’exploitation Android ou iOS, vous acceptez d’être lié(e) par le présent contrat.

PRÉAMBULE

Le Client Administrateur, ci après « le Client », est le responsable du traitement au sens du Règlement (UE) 2016/679 dit Règlement Général pour la Protection des Données ou RGPD, pour la collecte et le traitement des données à caractère personnel effectués sur le portail Internet d’administration de la solution FROGTRUST 2.0, ci-après « le Site ».

L’Administrateur du compte FROGTRUST 2.0 de l’organisme, dispose d’un droit d’accès, de rectification ou d’effacement des données à caractère personnel vous concernant, et le cas échéant, d’un droit à la portabilité de vos données. 

CRISTAL GROUPE INTERNATIONAL est autorisé, en tant que Sous-traitant agissant selon les instructions du Client, à traiter les données à caractère personnel du Responsable du traitement dans la mesure nécessaire à la fourniture du Service.

La nature des opérations menées par CRISTAL GROUPE INTERNATIONAL relatives aux données à caractère personnel peut concerner le traitement des données, le stockage et/ou tout autre Service tel que décrit dans le Contrat.

Le type de données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.

Les activités de traitement sont effectuées par CRISTAL GROUPE INTERNATIONAL pour la durée prévue au Contrat.

 

I – TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL “TDC”

La présente partie (ci-après dénommée « TDC» Traitement à Caractère Personnel fait partie intégrante du contrat (le « Contrat ») conclu entre CRISTAL GROUPE INTERNATIONAL et le Client, et ayant pour objet de définir les conditions applicables aux Services fournis par CRISTAL GROUPE INTERNATIONAL (les « Services ») au titre du projet FROGTRUST 2.0. Le TDC et le Contrat sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, le TDC prévaut.

La finalité du présent TDC conclu entre CRISTAL GROUPE INTERNATIONAL et le Client conformément à l’article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement général sur la protection des données » ou « RGPD »), est de définir les conditions dans lesquelles CRISTAL GROUPE INTERNATIONAL, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite, sur instruction du Client, des données à caractère personnel telles que définies dans le RGPD (« Données à caractère personnel »).

Aux fins du présent TDC, CRISTAL GROUPE INTERNATIONAL agit en tant que « Sous-traitant » et le Client est présumé agir en tant que « Responsable du traitement ». Les termes « Sous-traitant » et « Responsable du traitement » ou « Administrateur FROGTRUST 2.0 » ont le sens qui leur est donné au sens du RGPD.

 (a) CRISTAL GROUPE INTERNATIONAL

(i) traite les données à caractère personnel uniquement sur instruction du Client

(ii) ne reçoit aucune instruction directement du Responsable du traitement, sauf dans les cas où, le Client a matériellement disparu ou a cessé d’avoir une existence juridique sans que les droits et obligations du Client n’aient été transférés à une entité tierce.

(b) Le Client, qui est entièrement responsable envers CRISTAL GROUPE INTERNATIONAL de la bonne exécution des obligations de l’Administrateur conformément au présent TDC, indemnise et dégage CRISTAL GROUPE INTERNATIONAL de toute responsabilité pour (i) tout manquement de l’Administrateur de se conformer à la loi applicable, et (ii) toute action, réclamation ou plainte de l’Administrateur concernant les dispositions du Contrat (y compris le présent PDC) ou concernant les instructions reçues par CRISTAL GROUPE INTERNATIONAL de la part du Client.

II – CHAMP D’APPLICATION

CRISTAL GROUPE INTERNATIONAL est autorisé, en tant que Sous-traitant agissant selon les instructions du Client, à traiter les données à caractère personnel insérées par l’Administrateur du réseau FROGTRUST 2.0 au sein de l’entité cliente dans la mesure nécessaire à la fourniture des Services.

La nature des opérations menées par CRISTAL GROUPE INTERNATIONAL concernant les données à caractère personnel peut couvrir le traitement des données nécessaires à l’acheminement des communications et leur stockage dans la base de données client et/ou tout autre Service tel que décrit dans le Contrat. Les données sont collectées pour les finalités suivantes :

• Le formulaire de profil utilisateurs présent sur le portail d’administration, est destiné aux services concernés de FROGTRUST 2.0, pour des finalités d’enregistrement des comptes abonnés.
• Les données sont conservées sur les serveurs de CRISTAL GROUPE INTERNATIONAL pendant le temps nécessaire à la gestion de la relation commerciale d’une part pour permettre l’enrôlement des utilisateurs et la connexion au Service. Par ailleurs ces données doivent être conservées à des fins de sécurité afin de respecter les obligations légales en tant que Service de télécommunication.
• Aucune autre donnée ou information à caractère privée n’est collectée
• Les données collectées sur le Site ne sont pas destinées à être transférées à des tiers.
• Les données collectées restent sur le territoire de l’Union Européenne.

Le type de données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.

Les activités de traitement sont effectuées par CRISTAL GROUPE INTERNATIONAL pour la durée prévue au Contrat.

III – OFFRE DE SERVICES

Le Client est seul responsable du choix des Services. Le Client doit s’assurer que les Services choisis ont les caractéristiques et les conditions requises compte tenu des activités et traitements effectués et du type de Données à caractère personnel à traiter dans le cadre des Services, notamment, mais non-limitativement, lorsque les Services sont utilisés pour traiter des données à caractère personnel soumises à des règlementations ou des normes spécifiques.

Le Client est informé que CRISTAL GROUPE INTERNATIONAL propose certains Services intégrant des mesures techniques et organisationnelles, notamment en matière de structuration hiérarchique par Groupes d’utilisateurs spécifiquement conçues pour le traitement de la base de données clients.

Si les paramétrages effectués par l’Administrateur sont susceptibles d’entrainer un risque élevé pour les droits et libertés des personnes physiques, le Client doit choisir ses Services avec précaution.

Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques.

CRISTAL GROUPE INTERNATIONAL met à la disposition du Client, dans les conditions prévues par le contrat les informations relatives aux mesures de sécurité mises en œuvre dans le cadre des services, afin qu’il puisse en évaluer la conformité de ces mesures au regard des obligations de traitement des données personnelles de son organisation.

 

IV – CONFORMITÉ À LA RÉGLEMENTATION APPLICABLE

1. Obligations de CRISTAL GROUPE INTERNATIONAL

CRISTAL GROUPE INTERNATIONAL s’engage à :

a) Sur demande écrite du Client, CRISTAL GROUPE INTERNATIONAL fournit au Client une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données et la consultation de l’autorité de contrôle compétente, dans la mesure où le Client est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux traitements de Données à caractère personnel opérés par CRISTAL GROUPE INTERNATIONAL en vertu du Contrat.

b) Cette assistance consiste à assurer la transparence des mesures de sécurité mises en œuvre par CRISTAL GROUPE INTERNATIONAL et ses sous-traitants pour ses Services.

c) Chaque partie respecte la règlementation applicable en matière de protection des données, y compris le Règlement Général sur la Protection des Données, à compter de sa date d’application dans l’Union européenne.

d) Traiter les Données à caractère personnel téléchargées, stockées et utilisées par le Client dans le cadre des Services uniquement dans la mesure nécessaire à la fourniture des Services tels que définis dans le Contrat,

e) Ne pas accéder à ou utiliser des données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des Services (en particulier dans le cadre de la gestion des incidents).

f) Mettre en place les mesures techniques et organisationnelles décrites dans le Contrat, afin d’assurer la sécurité des Données à caractère personnel dans le cadre du Service.

g) S’assurer que les employés et partenaires de CRISTAL GROUPE INTERNATIONAL autorisés à traiter les Données à caractère personnel dans le cadre du Contrat sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Données à caractère personnel.

h) Informer le client si, à son avis et compte tenu des informations dont il dispose, une des instructions du client enfreint les dispositions du RGPD ou d’autres dispositions de l’Union européenne ou d’un État membre de l’Union européenne en matière de protection des données personnelles. Dans le cas de demandes reçues d’une autorité compétente et relatives aux Données à caractère personnel traitées en vertu du Contrat, CRISTAL GROUPE INTERNATIONAL s’engage à informer le Client (à moins que les lois applicables ou l’injonction d’une autorité compétente ne l’interdisent), et à limiter la communication des données à ce que l’autorité a expressément demandé.

CRISTAL GROUPE INTERNATIONAL s’engage à mettre en place avec ses sous-traitants et l’hébergeur des serveurs de FROGTRUST 2.0, les mesures de sécurité techniques et organisationnelles suivantes :

(a) des mesures de sécurité physique destinées à empêcher les personnes non autorisées d’accéder à l’infrastructure dans laquelle les données du client sont stockées,

b) des contrôles d’identité et d’accès au moyen d’un système d’authentification et d’une politique en matière de mots de passe,

c) un système de gestion des accès qui limite l’accès aux locaux, aux personnes ayant besoin d’y accéder dans l’exercice de leurs fonctions et dans le cadre de leurs responsabilités,

d) du personnel de sécurité chargé de surveiller la sécurité physique des locaux du sous-traitant,

e) un système qui isole physiquement et/ou de façon logique les clients les uns des autres,

f) des processus d’authentification des utilisateurs et des administrateurs, ainsi que des mesures visant à protéger l’accès aux fonctions d’administration,

g) un système de gestion de l’accès pour les opérations de soutien et d’entretien qui fonctionne selon les principes du moindre privilège et du besoin d’en connaître,

h) des processus et des mesures de suivi des actions effectuées sur son système d’information.

 

 2. Atteintes à la protection des Données à caractère personnel

Si CRISTAL GROUPE INTERNATIONAL a connaissance d’un incident affectant les Données à caractère personnel de l’Administrateur (accès non autorisé, perte, divulgation ou altération de données), il en informe le Client dans les meilleurs délais.

La notification doit : (i) décrire la nature de l’incident, (ii) décrire les conséquences probables de l’incident, (iii) décrire les mesures prises ou proposées par CRISTAL GROUPE INTERNATIONAL en réponse à l’incident et (iv) préciser qui est l’interlocuteur chez CRISTAL GROUPE INTERNATIONAL.

 

3. Sous-traitance

CRISTAL GROUPE INTERNATIONAL peut engager un ou plusieurs autres sous-traitants pour traiter les Données personnelles dans le cadre de l’exécution des Services (« Sous-traitant ultérieur »).

Le Client autorise expressément CRISTAL GROUPE INTERNATIONAL à engager ses sociétés apparentées en tant que sous-traitants ultérieurs. La liste des sociétés apparentées de CRISTAL GROUPE INTERNATIONAL ayant la qualité de sous-traitants est fournie en Annexe au présent document.

CRISTAL GROUPE INTERNATIONAL s’engage à informer le Client dans un délai de trente (30) jours avant de faire intervenir une nouvelle société en qualité de sous-traitant.

 Sous réserve des dispositions contraires des Conditions de service applicables, CRISTAL GROUPE INTERNATIONAL ne fait pas intervenir sans le consentement préalable du Client de Sous-traitant ultérieur n’ayant pas la qualité de Société Apparentée de CRISTAL GROUPE INTERNATIONAL 

CRISTAL GROUPE INTERNATIONAL veille à ce que ses sous-traitants soient, au minimum, en mesure de remplir les obligations mises à la charge de CRISTAL GROUPE INTERNATIONAL dans le présent TDC concernant le traitement des Données à caractère personnel effectué par le Sous-traitant. À cette fin, CRISTAL GROUPE INTERNATIONAL conclut un accord avec le Sous- traitant. CRISTAL GROUPE INTERNATIONAL reste vis-à-vis du Client entièrement responsable de l’exécution de toute obligation que le Sous-traitant ne remplit pas.

Nonobstant ce qui précède, CRISTAL GROUPE INTERNATIONAL est expressément autorisé à engager d’autres prestataires tiers tels que des hébergeurs, des sociétés en charge du développement  ou de l’exploitation de la solution logicielle FROGTRUST 2.0 et des plateformes serveurs en charge de gérer les communications et les bases de données clients sans devoir informer le Client ou obtenir son autorisation préalable, à condition que ces fournisseurs tiers n’aient pas accès aux données à caractère personnel.

 

4. Obligations du client et du Responsable du traitement

Pour le traitement des Données à caractère personnel conformément au Contrat, le client doit fournir à CRISTAL GROUPE INTERNATIONAL par écrit : (a) toute instruction pertinente et (b) toute information nécessaire à la création du registre des activités de traitement du sous-traitant.

Le Client reste seul responsable du traitement des informations et instructions communiquées à CRISTAL GROUPE INTERNATIONAL.

L’administrateur a la responsabilité de s’assurer que :

a) le traitement des Données personnelles de l’Administrateur dans le cadre de l’exécution du service a une base juridique appropriée (par exemple, le consentement de la personne concernée, les intérêts légitimes de l’Administrateur, etc.),

b) toutes les procédures et formalités requises (telles que l’analyse d’impact relative à la protection des données, notification et demande d’autorisation à l’autorité de contrôle compétente en matière de traitement de données personnelles ou à tout autre organisme compétent, le cas échéant) ont été effectuées,

c) la personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,

d) les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD directement auprès du Client ou de l’Administrateur.

Le Client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité de CRISTAL GROUPE INTERNATIONAL tel que prévu au Contrat (notamment tous les systèmes et logiciels déployés et exploités par le Client ou les Utilisateurs des Services).

 

5. Droit des personnes concernées

L’Administrateur est pleinement responsable de l’information des personnes concernées relativement à leurs droits et au respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

CRISTAL GROUPE INTERNATIONAL fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer au Client toute demande reçue directement de la personne concernée et (b) permettre à l’Administrateur de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. L’administrateur est seul responsable des réponses à ces demandes.

Le Client reconnait et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de CRISTAL GROUPE INTERNATIONAL, cela pourra être facturé au Client à condition de le lui notifier et d’obtenir son accord au préalable.

 

 6. Suppression et restitution des Données à caractère personnel

À la fin du Service (notamment en cas de résiliation ou de non-renouvellement du contrat FROGTRUST 2.0), CRISTAL GROUPE INTERNATIONAL s’engage à supprimer dans les conditions prévues au Contrat, tout Contenu (notamment les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement.

Le Client est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des Services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des Services.

À cet égard, le Client est informé que la résiliation et l’expiration d’un Service pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour ou de réinstallation des Services, peuvent automatiquement entrainer la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, ce compris toute sauvegarde potentielle.

7. Responsabilité

CRISTAL GROUPE INTERNATIONAL ne peut être tenu responsable que des dommages causés par un traitement pour lequel (i) il n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en-dehors des instructions licites du Client ou contrairement à celles-ci. Dans de tels cas, la disposition du Contrat relative à la Responsabilité s’applique.

Lorsque CRISTAL GROUPE INTERNATIONAL et le Client sont impliqués dans un traitement dans le cadre du présent Contrat qui a causé un dommage à une personne concernée, le Client prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à CRISTAL GROUPE INTERNATIONAL la part de la réparation correspondant à la part de responsabilité de CRISTAL GROUPE INTERNATIONAL dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par le Contrat demeurent applicables.

 

8. Audits

CRISTAL GROUPE INTERNATIONAL met à la disposition du Client toutes les informations nécessaires pour (a) démontrer la conformité aux exigences du RGPD et (b) mener des audits.

Ces informations sont disponibles dans la documentation standard relative à la solution FROGTRUST 2.0. Des informations supplémentaires peuvent être communiquées au Client sur demande faite au Support CRISTAL GROUPE INTERNATIONAL.

Si un Service est certifié, qu’il respecte un code de conduite ou fait l’objet de procédures de contrôles spécifiques, CRISTAL GROUPE INTERNATIONAL met à disposition, sur demande écrite du Client, les certificats et rapports des contrôles correspondants.

Si les informations, les rapports et les certificats susmentionnés s’avèrent insuffisants pour permettre au Client de démontrer que les obligations prévues par le RGPD sont remplies, CRISTAL GROUPE INTERNATIONAL et le Client se réunissent alors pour convenir des conditions opérationnelles, sécuritaires et financières d’une inspection technique sur site. En toutes hypothèses, les conditions de cette inspection ne doivent pas affecter la sécurité des autres clients de CRISTAL GROUPE INTERNATIONAL.

L’inspection sur site susmentionnée, ainsi que la communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable.

Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible est considérée comme une information confidentielle de CRISTAL GROUPE INTERNATIONAL en vertu du Contrat. Avant de communiquer ces informations, CRISTAL GROUPE INTERNATIONAL peut exiger la signature d’un accord de confidentialité spécifique.

Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter CRISTAL GROUPE INTERNATIONAL au sujet de toute divulgation requise.