Clauses de sous-traitance complétant les Conditions générales de vente de TRACKFORCE

Les solutions logicielles commercialisées par Trackforce sont conçues et développées en interne, sans aucun recours à la sous-traitance. Toutefois, Trackforce peut être amené à solliciter des sociétés tierces pour certaines prestations telles que l’hébergement des données ou la fourniture de logiciels dédiés notamment à la gestion de la relation client, la gestion commerciale, la force de vente, la gestion de la production ou encore la gestion de projets.

Les présentes Clauses de sous-traitance définissent donc les conditions dans lesquelles Trackforce pourra, soit confier ces types de prestations à des tiers sous-traitants, soit exécuter elle-même, en qualité de Sous-traitant, les prestations pour le compte du Client Responsable du traitement au sens du Règlement européen n° 2016/679 du 27 avril 2016 sur la protection des données à caractère personnel à compter de son entrée en vigueur le 25 mai 2018 (ci-après le « RGPD »).

De ce fait, les présentes Clauses de sous-traitance viennent compléter les CGV de Trackforce en matière de sous-traitance telle que prévue ci-après.

Clause n° 1 : Sous-traitance entre TRACKFORCE et les tiers Sous-traitants

Le Client autorise expressément TRACKFORCE à sous-traiter tout ou partie des prestations prévues aux CGV à tout tiers Sous-traitant de son choix.

L’achat par le Client des Produits visés et commercialisés dans les CGV de TRACKFORCE implique l’acceptation par le Client de la sous-traitance et des conditions générales de services du Sous-traitant.

Il appartient à TRACKFORCE de s’assurer que le Sous-traitant choisi présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD.

Clause n° 2 : Sous-traitance entre TRACKFORCE et le Client

Aux termes du présent article 2, TRACKFORCE est le Sous-traitant et le Client est le Responsable du traitement au sens du RGPD, pour toutes les données à caractère personnel traitées par TRACKFORCE pour le compte du Client en exécution des CGV de TRACKFORCE.

Clause n° 2-1 : Objet

La présente Clause n° 2.1 et ses différentes sous-sections ont pour objet de définir les conditions dans lesquelles TRACKFORCE (agissant en qualité de Sous-traitant du Client) s’engage à effectuer pour le compte du Client (agissant en qualité de Responsable du traitement) les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le RGPD obligatoire à compter du 25 mai 2018.

Clause n° 2-2 : Traitements sur instructions

TRACKFORCE et toute personne agissant sous son autorité, ayant accès aux données à caractère personnel du Client, s’engagent à ne traiter ces données que sur instruction documentée du Client, y compris le cas échéant en ce qui concerne les transferts de ces données vers un pays-tiers ou à une organisation internationale, à moins que TRACKFORCE ne soit tenue d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel TRACKFORCE est soumise. Dans ce cas, TRACKFORCE informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

TRACKFORCE informe immédiatement le Client si, selon TRACKFORCE, une instruction du Client constitue une violation de la Législation Européenne relative à la protection des données à caractère personnel.

Clause n° 2-3 : Description du traitement faisant l’objet de la sous-traitance

TRACKFORCE est autorisée à traiter pour le compte du Client les données à caractère personnel nécessaires pour fournir le ou les service(s) définis de commun accord entre les Parties, en ce compris la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du Client en sa qualité de Responsable du traitement.

Clause n° 2-4 : Obligations du Sous-traitant TRACKFORCE vis-à-vis du Client Responsable de traitement

En qualité de Sous-traitant pour les données concernées par la Sous-traitance, TRACKFORCE s'engage à :

  • Traiter les données à caractère personnel concernées uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.
  • Traiter les données concernées conformément aux instructions documentées du Client Responsable de traitement.
  • Garantir la confidentialité des données à caractère personnel traitées.
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat (i) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et (ii) reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

Clause n° 2-5 : Sous-traitance de 2eme rang

En qualité de Sous-traitant pour les données concernées par la Sous-traitance, TRACKFORCE peut faire appel à un autre sous-traitant (ci-après, le « Sous-traitant de 2eme rang ») pour mener des activités de traitement spécifiques.

Dans ce cas, TRACKFORCE informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai de 10 (dix) jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Le Sous-traitant de 2eme rang est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant de 2eme rang présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le Sous-traitant de 2eme rang ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Clause n° 2-6 : Droit d’information des personnes concernées

Il appartient au Client Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Clause n° 2-7 : Exercice des droits des personnes

Dans la mesure du possible, TRACKFORCE doit, en sa qualité de Sous-traitant, aider le Client Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du Sous-traitant TRACKFORCE des demandes d’exercice de leurs droits, TRACKFORCE doit adresser ces demandes dès réception par courrier électronique à l’adresse email de contact du Client telle que figurant sur son profil.

Clause n° 2-8 : Notification des violations de données à caractère personnel

En sa qualité de Sous-traitant, TRACKFORCE notifie au Client Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais conformément à l’article 34 du RGPD, après en avoir pris connaissance, et par courrier électronique à l’adresse email de contact du Client telle que figurant sur son profil.

Cette notification est accompagnée de toute documentation utile afin de permettre au Client Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, en l’occurrence la Commission Nationale pour la Protection des Données (CNPD) pour ce qui est du Luxembourg, ou ses équivalents européens pour ce qui concerne les autres pays membres de l’Union.

Clause n° 2-9 : Aide du Sous-traitant TRACKFORCE dans le cadre du respect par le Client Responsable de traitement de ses obligationss

En sa qualité de Sous-traitant, TRACKFORCE aide le Client Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données et de la consultation préalable de l’autorité de contrôle.

Les prestations prévues à la présente Clause 2-9 seront effectuées par TRACKFORCE aux conditions notamment financières et de délai à convenir préalablement entre le Client et TRACKFORCE.

Clause n° 2-10 : Mesures de sécurité

Dans la mesure où l’article 32 du RGPD prévoit que la mise en œuvre des mesures de sécurité incombe au responsable du traitement et au sous-traitant, chaque Partie s’engage, pour ce qui concerne les données à caractère personnel dont elle a la charge, à mettre en œuvre les mesures de sécurité techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres selon les besoins :

  • La pseudonymisation et le chiffrement des données à caractère personnel ;
  • Les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

L'application d'un code de conduite approuvé comme le prévoit l'article 40 du RGPD ou d'un mécanisme de certification approuvé comme le prévoit l'article 42 du RGPD peut servir d'élément pour démontrer le respect des exigences de sécurité prévues au paragraphe 1 de l’article 32 du RGPD telles que rappelées ci-dessus.

Clause n° 2-11 : Sort des données

TRACKFORCE s’engage à détruire données à caractère personnel au terme de leur durée de conservation fixée selon la nature desdites données, étant rappelé que le Client doit effectuer régulièrement ses propres sauvegardes à l’aide des outils logiciels mis à sa disposition sur la Plateforme Guardtek.

Clause n° 2-12 : Délégué à la protection des données

En sa qualité de Sous-traitant, TRACKFORCE communique au Client Responsable de traitement le nom et les coordonnées de son Délégué à la Protection des Données (ou Data Protection Officer ci-après « DPO ») désigné conformément à l’article 37 du RGPD, si le Client en fait la demande.

Clause n° 2-13 : Registre des catégories d’activités de traitement

En sa qualité de Sous-traitant, TRACKFORCE déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client Responsable de traitement comprenant :

  • Le nom et les coordonnées du Client Responsable de traitement pour le compte duquel le Sous-traitant TRACKFORCE agit, des éventuels Sous-traitants de 2eme rang et, le cas échéant, du Délégué à la Protection des Données ;
  • Les catégories de traitements effectués pour le compte du Client Responsable du traitement ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ;
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins (i) la pseudonymisation et le chiffrement des données à caractère personnel; (ii) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; (iii) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; (iv) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Clause n° 2-14 : Documentation

En sa qualité de Sous-traitant, TRACKFORCE met à la disposition du Client Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Client Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Clause n° 3 : Obligations du Client Responsable de traitement vis-à-vis du Sous-traitant TRACKFORCE

En sa qualité de Responsable de traitement, le Client s’engage à :

  • Fournir au Sous-traitant TRACKFORCE les informations et données visées à la Clause 2-3. des présentes.
  • Documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant TRACKFORCE.
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant TRACKFORCE.
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant TRACKFORCE.

Clause n° 4 : Maintien des dispositions non-contraires des CGV de TRACKFORCE

Les présentes Clauses de sous-traitance viennent compléter les CGV de TRACKFORCE dont les dispositions non contraires demeurent applicables.