Conditions générales d'achat fournisseurs (CGAF) - donnees_personnelles

Page 13 sur 14: 13. DONNEES PERSONNELLES

13.  DONNEES PERSONNELLES

13.1 Dans le cadre du Contrat, les Parties s’engagent à respecter tout droit applicable relatif aux données à caractère personnel (les « Données Personnelles ») et en particulier le règlement (UE)2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (l’ensemble constituant le « Droit applicable »). Les termes commençant par des majuscules dans cet article 13 auront le sens qui leur est donné par le règlement susvisé.

13.2 Si, pour l’exécution du Contrat, le Fournisseur était amené à traiter des Données Personnelles en tant que Sous-traitant, ce traitement devrait être fait conformément au Droit applicable et le Fournisseur s’engage en particulier à :

• traiter les Données Personnelles à la fois (i) conformément aux instructions documentées du Responsable de Traitement, (ii) pour les seules finalités objet du Contrat, telles que décrites à celui-ci et (iii) pour les durées n’excédant pas celles nécessaires au regard de ces finalités ; si le Sous-traitant ne disposait pas ces instructions et finalités, il lui incombe de les demander à l’Acheteur ;
• mettre en œuvre les mesures de sécurité techniques ou organisationnelles nécessaires à la conservation, l’intégrité et à la protection des Données Personnelles ;
• garantir la confidentialité des Données Personnelles traitées ;
• tenir un registre des traitements en conformité avec le Droit applicable ;
• veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu du Contrat (i) s’engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et (ii) reçoivent la formation nécessaire en matière de protection des Données Personnelles ;
• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données Personnelles dès la conception et de protection des Données Personnelles par défaut ;
• ne pas procéder à un transfert de Données Personnelles vers un pays tiers à l’Union Européenne ;
• notifier au Responsable de Traitement toute violation de Données Personnelles dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance. Cette notification sera accompagnée de toute documentation permettant au Responsable de Traitement de notifier cette violation à l’autorité de contrôle compétente ;
• ne pas procéder à un transfert de Données Personnelles vers un pays tiers à l’Union Européenne ;
• aider le Responsable de Traitement à s’acquitter de son obligation de donner suite à toute demande de personnes concernées sur l’exercice de leurs droits sur leurs Données Personnelles : droit d’accès, de limitation du traitement, de portabilité, d’effacement ou tout autre droit auquel lesdites personnes pourraient prétendre ;
• aider le Responsable de Traitement dans la réalisation d’analyses d’impact, si de telles analyses étaient nécessaires ;
• ne pas sous-traiter tout ou partie du traitement des Données Personnelles sans l’accord préalable et écrit du Responsable de Traitement, et si cet accord était obtenu, de répercuter à son sous-traitant les engagements qu’il a lui-même souscrits au présent article. Le Sous-Traitant se porte fort vis-à-vis du Responsable de Traitement de ce respect par ce sous-traitant ;
• mettre à la disposition du Responsable de Traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations en matière de traitement des Données Personnelles.

13.3 Le Responsable de Traitement se réserve le droit de procéder à toute vérification ou audit du respect par le Sous-Traitant des engagements ci-dessus. Dans ce cadre, le Sous-Traitant s’engage à coopérer et lui à fournir, gracieusement toute aide.