CGV Données Personnelles Darwin Agency

Conditions Données Personnelles

Télécharger et imprimer ces conditions

Conditions Générales Relatives Aux Données Personnelles :

Outre les obligations de confidentialité qui s’appliquent à toute Donnée à caractère personnel, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de Données à caractère personnel et, en particulier le Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des données Personnelles ou RGPD).

1.Responsabilité des traitements :

Les présentes ont pour objet de définir les conditions dans lesquelles Darwin Agency s’engage à effectuer le traitement pour le compte du Client.
Dans le cadre des présentes, le Client est Responsable du traitement au sens des dispositions légales ou règlementaires à la protection des Données à caractère personnel.
Darwin Agency a la qualité de Sous-traitant à l’égard du Client. Ainsi, les Parties conviennent que le Sous-traitant doit traiter les Données à caractère personnel uniquement et exclusivement selon les directives du Client.
Si, pour quelque raison que ce soit, Darwin Agency s’avérait incapable de se conformer aux instructions du Client, Darwin Agency s’engage à en informer sans délai le Client, qui pourra suspendre la fournitures des prestations concernées et/ou résilier tout ou partie du Contrat pour autant que le manquement en cause le justifie.

1.1 Délégué à la protection des Données à caractère personnel :

Conformément à l’article 37 du règlement, Darwin Agency a nommé un DPO en la personne de Anne-Laure Villedieu, avocat associé au cabinet CMS Lefebvre. Le client garantie avoir nommé un DPO.

1.2 Registre des catégories d’activités de traitement :

Darwin Agency déclare tenir un registre écrit, sous forme électronique, de toutes les catégories d’activités de traitements effectuées pour le compte du Client comprenant l’ensemble des informations prévues à l’article 30.2 du Règlement. .

2. Description du traitement :

Dans le cadre du Contrat, le Client confie à Darwin Agency les traitements ayant les caractéristiques suivantes :

2.1 Données traitées :

Données à caractère personnel : désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro de téléphone, une adresse email, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2.2 Finalité du traitement :

Le Client a défini en accord avec Darwin Agency la finalité principale du traitement pour la mise en place des campagnes publicitaires du Client dans le cadre des prestations de services confiées par le Client à Darwin Agency.

2.3 Durée de conservation des données :

Chaque Partie s’engage à ne conserver les Données à caractère personnel faisant l’objet des traitements réalisés que pour la durée nécessaire aux finalités du traitement réalisé.

3. Obligations de Darwin Agency :

Darwin Agency reconnaît présenter les garanties suffisantes, notamment en termes de connaissance, de fiabilité et de ressources pour la mise en œuvre des mesures techniques et organisationnelles satisfaisant aux obligations légales et réglementaires en matière de protection des données.

Darwin Agency s’engage à :

– traiter les Données à caractère personnel uniquement pour les seules finalités qui font l’objet de la sous-traitance ;
– traiter les Données à caractère personnel conformément aux instructions documentées du Client. Si Darwin Agency considère qu’une instruction constitue une violation du Règlement ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Client;
– garantir la confidentialité des Données à caractère personnel traitées dans le cadre du présent Contrat ;
– veiller à ce que les personnes autorisées à traiter les Données à caractère personnel en vertu du présent Contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des Données à caractère personnel ;
– prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
– notifier immédiatement toute modification ou changement pouvant impacter le traitement des Données à caractère personnel ;
– respecter la durée de conservation des Données à caractère personnel au regard des finalités pour lesquelles elles ont été collectées ou transmises et à supprimer les Données à caractère personnel à expiration de la durée de conservation ;
– à coopérer avec le Client pour envisager les hypothèses dans lesquelles l’anonymisation des Données à caractère personnel pourrait être appropriée.

4. Sous-traitance ultérieure :

Darwin Agency peut faire appel à un Sous-traitant, (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitements spécifiques. Dans ce cas, il informe préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-traitant et les dates du contrat de sous-traitance. Le Client dispose d’un délai maximal d’une (1) semaine à compter de la date de réception de cette information pour présenter ses objections. A défaut d’objection du Client, celui-ci est réputé avoir accepté la sous-traitance de second rang.
Le Sous-traitant ultérieur est tenu de respecter les obligations du présent Contrat pour le compte et selon les instructions du Client

5. Exercice des droits des personnes :

Dans la mesure du possible, Darwin Agency doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées adressent à Darwin Agency des demandes d’exercice de leurs droits, Darwin Agency doit adresser ces demandes dès réception par courrier électronique à l’adresse électronique qui lui sera transmise par le Client.

6. Notification des violations de données à caractère personnel :

Darwin Agency notifie au Client toute violation de Données à caractère personnel, telle que définie à l’article 4.12 du Règlement, dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance et par le moyen suivant : envoi d’un message sur l’adresse électronique transmise par le Client et d’un courrier recommandé avec avis de réception à l’adresse postale du Client.
Cette notification est accompagnée de toute documentation en sa possession permettant au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Elle doit, autant que faire se peut, préciser la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues, et lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause.

7. Assistance de Darwin Agency dans le cadre du respect par le Client de ses obligations :

Darwin Agency coopère, sur demande raisonnable du Client dans:
– la réalisation d’analyses d’impact relative à la protection des données ;
– la consultation préalable éventuelle de l’autorité de contrôle.

8. Transfert de Données à caractère personnel :

Darwin Agency s’engage à ce que pendant toute la durée du Contrat les Données à caractère personnel soient hébergées et traitées au sein de centres de données situés au sein de l’Union Européenne, y compris pour ce qui concerne les copies de sauvegarde.
Darwin Agency s’interdit tout flux transfrontalier de Données à caractère personnel, quel qu’il soit, en dehors du territoire de l’Union Européenne, sauf consentement préalable et écrit du Client.
Darwin Agency s’engage à ne pas divulguer ni transférer les Données à caractère personnel, même à des fins de transit ou au moyen d’un accès distant, à un tiers ou un Sous-traitant opérant dans un pays situé en dehors de l’Union européenne.

Dans le cas où Darwin Agency serait autorisé par écrit, expressément et préalablement au transfert, par le Client, à transférer ces Données à caractère personnel hors du territoire de l’Union Européenne, notamment dans le cadre de la sous-traitance des prestations qui lui sont confiées par le Client, et que ce transfert a lieu vers un pays reconnu comme « n’offrant pas un niveau suffisant de protection des Données à caractère Personnel » par la Commission Européenne, Darwin Agency aura l’obligation – préalablement à tout transfert – de formaliser une convention de transfert de Données à caractère personnel hors de l’Union Européenne signé entre Darwin Agency, agissant en qualité de mandataire du Client et d’« exportateur de Données à caractère personnel» et son Sous-traitant qualifié d’« importateur de Données à caractère personnel», sur la base des Clauses Contractuelles Types de la Commission européenne, ou le cas échéant, de celles adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Ainsi, le niveau de protection garanti au sein de l’Union européenne devra être garanti par Darwin Agency et les mesures nécessaires pour compenser l’insuffisance de la protection des données devront être prises.

Darwin Agency s’engage également, le cas échéant, à coopérer avec le Client dans l’exécution des formalités adéquates conformément aux dispositions applicables, par exemple, en cas d’obligation, à la charge du Client, de procéder à une demande d’autorisation auprès de la CNIL. Enfin, Darwin Agency s’assure qu’aucune donnée n’est transférée hors de l’Union européenne par ses propres Sous-traitants, les personnes agissant sous son autorité ou pour son compte.

9. Mesures de sécurité :

Darwin Agency s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, selon les besoins et conformément aux instructions documentées du Client.
Darwin Agency doit prendre les mesures qui s’imposent en termes de sauvegarde et de restauration pour se conformer au niveau de service exigé par le Client.
Une politique antivirale stricte devra être mise en place au niveau des serveurs dont Darwin Agency a la charge ainsi qu’au niveau des dispositifs utilisateurs (tablette, téléphones mobiles, ordinateurs).

10. Sort des Données :

Au terme des présentes, Darwin Agency s’engage à détruire toutes les Données à caractère personnel du Client y compris toutes les copies existantes dans les systèmes d’information de Darwin Agency, sous réserve que les dispositions légales ou réglementaires n’exigent leur conservation et que cette conservation se fasse dans le respect de ses engagements de confidentialité et de sécurité en vertu du présent Contrat.

Une fois les Données à caractère personnel détruites, Darwin Agency doit justifier par écrit de la destruction au Client.

11. Documentation :

Darwin Agency met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations susvisées et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. Le Client s’oblige à informer Darwin Agency de sa volonté de réaliser un audit a minima trente jours ouvrés avant la date souhaitée. Si la date proposée ne convient pas Darwin Agency proposera une date appropriée aussi proche que possible de la date souhaitée par le Client. Le Client veille à ce que l’audit soit réalisé dans des conditions ne perturbant pas l’activité de Darwin Agency et dans le plus grand respect de la confidentialité des activités de Darwin Agency et des données des autres clients de Darwin.

12. Obligations du Client vis-à-vis de Darwin Agency :

Le Client s’engage à :
– fournir à Darwin Agency les données visées au point 2 « Données traitées » des présentes clauses ;
– garantir le respect du Règlement européen n°2016/679 relatif à la collecte de donnée Opt-in ou le recueillement de cookie : consentement préalable de l’utilisateur avant le stockage d’information.
– documenter par écrit toute instruction concernant le traitement des données par Darwin Agency ;
– superviser le traitement, y compris réaliser les audits et les inspections auprès de Darwin Agency.

Télécharger et imprimer ces conditions