Accord de sous-traitance des données à caractère personnel
Le présent accord de sous-traitance est applicable à tout client ayant autorisé la société Kavkom à traiter pour son compte les données à caractère personnel traitées au sein des solutions logicielles de téléphonie d’entreprise et de gestion de relation client éditées par KAVKOM (ci-après la « Solution ») et utilisées par le client suite à sa commande et son acceptation des conditions générales de vente de Kavkom.
Kavkom sera amenée dans ce contexte à traiter des données personnelles au titre desquelles le client est responsable de traitement et agira en conséquence sur la base des seules instructions du client, conformément au rôle de sous-traitant de Kavkom en vertu de la réglementation applicable en matière de protection des données à caractère personnel.
Pour les besoins du présent contrat, les termes « traitement », « responsable de traitement », « sous-traitant », « personnes concernées », et « données à caractère personnel » ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).
1. Description des traitements faisant l’objet de la sous-traitance
Kavkom est autorisée, en qualité de sous-traitant, à traiter pour le compte du client, en qualité de responsable de traitement, les données à caractère personnel nécessaires au titre des finalités de traitement suivantes :
- Gestion d’une base de contacts via la Solution
- Gestion de campagnes d’appels téléphoniques et d’emailing via la Solution
- Enregistrement des conversations téléphoniques à des fins d’amélioration du service client via la Solution
- Gestion des demandes d’opposition des personnes concernées via la Solution
Nature des traitements : Collecte, enregistrement, consultation, communication et effacement
Types de donnée à caractère personnel traitées : Données d’identification, données de contact, données relatives à la vie professionnelle, données de facturation, conversations téléphoniques
Catégories de personnes concernées : Clients et prospects, salariés, fournisseurs et autres partenaires commerciaux
Durée des traitements : Les données sont supprimées 30 jours après la fin du contrat de service. Les données peuvent être supprimées et/ou exportées à tout moment de la Solution par le client.
2. Obligations générales de Kavkom en sa qualité de sous-traitant au titre du RGPD
En sa qualité de sous-traitant, Kavkom s’engage à mettre en œuvre l’ensemble des mesures nécessaires permettant au client de respecter le RGPD et la réglementation applicable en matière de protection des données à caractère personnel. En ce sens, Kavkom s’engage à :
- traiter les données à caractère personnel dans le cadre strict et nécessaire des services prévus au titre du contrat conclu avec le client et, d’une manière générale, à n’agir que sur seule instruction écrite et documentée du client ;
- informer immédiatement le client si une de ses instructions constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel et suspendre l’exécution de ladite instruction jusqu’à confirmation ou modification de l’instruction par le client ;
- s’assurer que les personnes autorisées à accéder aux données à caractère personnel ont connaissance des instructions du client et s’engagent à ne les traiter que dans le strict respect de celles-ci ;
- veiller à ce que les personnes autorisées à accéder aux données à caractère personnel reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les données à caractère personnel à d’autres fins que celles strictement prévues au contrat, notamment, pour tout usage de prospection commerciale, marketing et/ou autre ;
- le cas échéant, aider le client à la réalisation d’analyses d’impact relatives à la protection des données à caractère personnel ;
- le cas échéant, aider le client à la réalisation de consultation préalable de l’autorité de contrôle.
3. Sous-traitance ultérieure – Localisation des traitements
Kavkom est autorisée en vertu du présent contrat à héberger les données à caractère personnel confiés par le client au sein des infrastructures d’hébergement de Amazon Web Services. Ces infrastructures sont localisées en Europe, plus spécifiquement à Paris, en France.
Kavkom peut également faire appel à certains prestataires tiers, pouvant avoir accès dans le cadre de leur activité aux données personnelles hébergées sur la Solution. Les services fournis par ces prestataires sont nécessaires au fonctionnement de la Solution et aux services proposés par Kavkom tels que notamment le prestataire permettant aux clients d’adresser des SMS à leurs contacts via la Solution.
L’ensemble des prestataires utilisés par Kavkom sont situés dans l’Espace Economique Européen. Les équipes de Kavkom sont toutefois localisées en partie en Israël, pays qui bénéficie d’une décision d’adéquation rendue par la Commission Européenne établissant que ce pays assure un niveau de protection adéquat des données à caractère personnel.
Kavkom pourra faire appel en cours de contrat à un autre sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, Kavkom informera préalablement et par écrit le client de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Le client disposé d’un délai maximum d’un (1) mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le client n’a pas émis d’objection pendant le délai convenu.
Kavkom s’assure que tout sous-traitant qu’elle utilise présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Kavkom demeure en tout état pleinement responsable devant le client de l’exécution par tout autre sous-traitant de ses obligations.
4. Droit d’information et exercice des droits des personnes concernées
Le Client garantit à Kavkom qu’il a respecté l’ensemble des obligations nécessaires à la collecte et au traitement des données personnelles recueillies, lui incombant notamment aux termes du RGPD et qu’il a informé les personnes concernées de l’usage qui est fait desdites données personnelles via la Solution.
Dans la mesure du possible, Kavkom aidera le client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de Kavkom des demandes d’exercice de leurs droits, Kavkom adressera par ailleurs ces demandes dès réception par courrier électronique au client à l’adresse indiquée au sein de la commande du client.
5. Mesures techniques et organisationnelles de sécurité applicables
Pendant la durée du contrat, les parties devront prendre toutes les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, détérioration, diffusion ou accès non autorisés, notamment pendant le processus de transmission de données sur un réseau, et contre tout traitement illégal.
Kavkom met par ailleurs en place les mesures spécifiques suivantes pour assurer la sécurité des données à caractère personnel confiées par le client :
– Vérification de l’activité sur la Solution grâce à un système de logs et d’analyses,
– Le personnel de Kavkom ayant accès aux données est sensibilisé aux risques associés à la manipulation des données et doit être spécifiquement habilité,
– Des tests sur la Solution sont réalisés régulièrement par Kavkom et ses prestataires (notamment Checkpoint) afin d’en vérifier la sécurité (tests de pénétration, scans de sécurité, détection de menaces…),
– Les terminaux du personnel sont protégés par des procédures automatiques de verrouillage, des antivirus/firewalls et des possibilités de verrouiller et rendre inutilisables les terminaux à distance,
– Revue régulière des codes et procédures de changements pour vérifier la conformité de tout changement aux procédures de sécurité,
– Les serveurs AWS sont situés dans les infrastructures hautement sécurisées garantissant :
- Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement,
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés et au maximum sous vingt-quatre heures en cas d’incident physique ou technique,
- des procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
6. Notification des violations de données à caractère personnel
Kavkom notifie au client toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par tout moyen de contact approprié, notamment par e-mail ou téléphone.
Cette notification est accompagnée de toute documentation utile afin de permettre au client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
7. Assistance et Audit
Kavkom met à la disposition du client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Il est toutefois précisé que ces audits seront réalisés aux frais du client et strictement limités à l’audit des mesures prises en matière de protection des données à caractère personnel, dans la limite d’un audit par an notifié à l’avance à Kavkom.
8. Sort des données à caractère personnel
Au terme du contrat, Kavkom s’engage à détruire les données à caractère personnel toujours en sa possession dans un délai de trente (30) jours à compter de la date de fin du contrat de service.
Les données peuvent être également exportées à tout moment de la Solution par le Client.
9. Obligations du client vis-à-vis de Kavkom
Le client s’engage à :
- Documenter par écrit toute instruction additionnelle aux stipulations du présent accord ;
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD ;
- A informer les personnes concernées par les traitements sous-traités des informations requises par le RGPD et collecter leur consentement lorsque pertinent ;
Supprimer les données personnelles ayant atteintes leur durée maximale de conservation de la Solution ;
- Superviser le traitement, y compris réaliser les audits et les inspections auprès de Kavkom.