1. Introduction
1.1 La présente annexe sur le traitement des données fait partie de chaque contrat conclu entre Safecall et le client et est soumise aux conditions générales, y compris les limitations et les exclusions de responsabilité, qui y sont énoncées.
1.2 Les définitions des termes en majuscules utilisés dans la présente annexe relative au traitement des données figurent au paragraphe 5.
2. Conformité avec la loi sur la protection des données
2.1 Chaque partie doit se conformer à la loi sur la protection des données dans la mesure où elle s'applique aux données à caractère personnel traitées dans le cadre du présent contrat. La présente clause s'ajoute aux obligations d'une partie en vertu de la loi sur la protection des données et ne les soulage pas, ne les supprime pas et ne les remplace pas.
3. Traitement des données
3.1 Le client et Safecall reconnaissent que Safecall effectuera certaines activités de traitement, dont l'objet, la durée, la nature et la finalité sont décrits plus en détail dans la description du traitement.
3.2 En ce qui concerne ces activités de traitement, Safecall est le sous-traitant et le client est le contrôleur, sauf dans les cas où Safecall connaît les détails d'un employé mais ne les communique pas au client à la demande de l'employé, ou rédige un rapport de manière à protéger l'identité de l'employé, auquel cas Safecall sera considéré comme un contrôleur indépendant. Dans de telles circonstances, Safecall sera le responsable du traitement uniquement en ce qui concerne le nom de l'employé et toute autre donnée qui n'est pas divulguée afin de protéger l'identité de l'employé et les autres dispositions du présent paragraphe 3 ne s'appliqueront pas.
3.3 Lorsque le client est le responsable du traitement, il lui incombe d'établir et de maintenir la base légale du traitement des données à caractère personnel dans le cadre du présent contrat et de notifier à Safecall, par écrit et sur demande, la base légale applicable au traitement.
3.4 Il incombe au client de fournir à ses employés des avis appropriés sur la protection de la vie privée en ce qui concerne les services.
3.5 En ce qui concerne les données personnelles traitées par Safecall en tant que responsable du traitement des données agissant pour le compte du client dans le cadre de ce contrat, Safecall doit :
(a) ne traitera les données personnelles que conformément aux instructions écrites du client, à moins qu'un tel traitement ne soit requis par une loi à laquelle Safecall est soumise, auquel cas Safecall informera le client (dans la mesure permise par la loi) de cette exigence légale avant d'effectuer le traitement ;
(b) traiter les données à caractère personnel uniquement dans la mesure et de la manière nécessaires à l'exécution des obligations qui lui incombent en vertu du présent contrat ;
(c) veiller à ce que les personnes participant au traitement des données à caractère personnel soient liées par des obligations de confidentialité appropriées ;
(d) conserver une trace écrite de toutes les activités de traitement qu'il effectue ;
(e) mettre en œuvre et avoir en place des mesures techniques et organisationnelles appropriées pour se protéger contre le traitement non autorisé, illégal ou accidentel, y compris la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée des données personnelles ou l'accès à celles-ci, ces mesures devant dans chaque cas être appropriées à la probabilité et à la gravité des dommages aux personnes concernées qui pourraient résulter du traitement non autorisé, illégal ou accidentel, en tenant compte de l'état du développement technologique et du coût de la mise en œuvre de toute mesure, dont un résumé figure dans la partie 2 de l'annexe ("mesures de sécurité"). Le client reconnaît que les mesures de sécurité sont soumises au progrès et au développement techniques et que Safecall peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale des services ;
(f) ne pas engager d'agent, de sous-traitant, de fournisseur, de processeur ou d'autre tiers pour traiter des données personnelles ("sous-traitant") sans le consentement écrit préalable du client et s'assurer dans ce cas qu'avant le traitement de toute donnée personnelle par le sous-traitant, des conditions équivalentes à celles énoncées dans la présente annexe sur le traitement des données sont incluses dans un contrat écrit entre Safecall et tout sous-traitant engagé dans le traitement des données ;
(g) Le client consent à l'utilisation des sous-traitants identifiés dans la partie 3 de l'annexe, telle que modifiée de temps à autre conformément au présent contrat. Si Safecall souhaite ajouter des sous-traitants, il en informera le client par écrit au moins quatorze (14) jours à l'avance. Si, avant l'expiration de cette période de préavis, le client s'oppose par écrit à la nomination par Safecall du sous-traitant tiers pour des motifs raisonnables liés à la protection des données personnelles, alors : (i) Safecall ne nommera pas le sous-traitant tiers ou ; (ii) Safecall peut choisir de suspendre ou de mettre fin aux services concernés sans pénalité ;
(h) se conformer rapidement à toute demande légitime du client demandant l'accès aux données à caractère personnel, des copies de ces données ou leur modification, leur transfert ou leur suppression, dans la mesure où cela est nécessaire pour permettre au client de remplir ses propres obligations en vertu de la loi sur la protection des données, y compris les obligations du client découlant d'une demande émanant d'une personne concernée ;
(i) notifier rapidement au client toute plainte, avis ou communication (émanant d'une personne concernée, d'une autorité de contrôle compétente ou autre) concernant le traitement, les données à caractère personnel ou le respect par l'une ou l'autre partie de la loi sur la protection des données dans le cadre du présent contrat, et fournir au client une coopération, des informations et une assistance raisonnables en rapport avec une telle plainte, un tel avis ou une telle communication ;
(j) notifier le client rapidement et au moins dans les cinq (5) jours ouvrables si, à son avis, une instruction du client enfreint une loi sur la protection des données (à condition que le client reconnaisse toujours qu'il reste seul responsable de l'obtention d'un avis juridique indépendant concernant la légalité de ses instructions) ou si Safecall est soumis à des exigences légales qui rendraient illégal ou autrement impossible pour Safecall d'agir selon les instructions du client ou de se conformer à la loi sur la protection des données ;
k) informer le client dans les meilleurs délais après avoir pris connaissance du fait que des données à caractère personnel traitées en vertu du présent contrat ont été perdues ou détruites, ou endommagées, corrompues ou inutilisables, ou ont fait l'objet d'un traitement non autorisé ou illicite, y compris d'un accès ou d'une divulgation non autorisé(e) ou illicite ;
(l) informe le client sans délai (et en tout état de cause dans les deux (2) jours ouvrables) s'il reçoit une demande d'accès aux données à caractère personnel d'une personne concernée et s'engage à
(i) fournir rapidement au client une coopération et une assistance raisonnables en relation avec cette demande ; et
(ii) ne pas divulguer les données à caractère personnel à une personne concernée (ou à un tiers) autrement qu'à la demande du client ou comme l'exige le présent contrat ;
(m) fournir une assistance raisonnable au client pour répondre aux demandes des personnes concernées et pour l'aider à se conformer aux obligations qui lui incombent en vertu de la législation sur la protection des données en ce qui concerne la sécurité, les notifications de violation, les évaluations de l'impact sur la protection des données et les consultations avec les autorités de contrôle ou les régulateurs ;
(n) supprimer ou renvoyer ces données à caractère personnel au client à la fin de la durée du traitement visée à l'annexe et, à ce moment-là, supprimer ou détruire les copies existantes (à moins que la loi n'en dispose autrement) ;
(o) sous réserve des exigences de confidentialité commerciale et de confidentialité des clients, mettre à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de la présente Annexe relative au traitement des données et, sous réserve de toute autre condition énoncée dans le présent Contrat concernant l'audit, permettre les audits, y compris les inspections, du respect de la présente Annexe relative au traitement des données effectués par le Client ou par un auditeur professionnel indépendant engagé par le Client, et y contribuer. Les exigences suivantes s'appliquent à tout audit : (i) le client doit donner un préavis d'au moins trente (30) jours de son intention de procéder à un audit (ou un préavis plus court qu'il reçoit lui-même lorsqu'un audit est mandaté par son organisme de réglementation) ; (ii) le client ne peut exercer le droit d'audit qu'une seule fois par année civile ; (iii) le début de l'audit est soumis à un accord avec Safecall sur l'étendue du travail pour l'audit au moins dix (10) jours à l'avance ; (iv) Safecall peut restreindre l'accès à certaines parties de ses installations et à certains dossiers lorsqu'une telle restriction est nécessaire pour des raisons de confidentialité commerciale et/ou de confidentialité du client ; (v) l'audit ne comprendra pas de tests de pénétration, d'analyse de vulnérabilité ou d'autres tests de sécurité ; (vi) le droit d'audit comprend le droit d'inspecter, mais non de copier ou de retirer de quelque manière que ce soit tout dossier autre que ceux qui se rapportent spécifiquement et exclusivement au client ; (vii) tout auditeur indépendant devra signer un accord de non-divulgation tel que raisonnablement exigé par Safecall avant l'audit ; et (viii) Safecall se réserve le droit de facturer tous les coûts raisonnables encourus pour soutenir un audit ;
(p) fournir une assistance au client pour toute évaluation de l'impact sur la confidentialité des données, pour laquelle Safecall se réserve le droit de facturer tous les frais raisonnables encourus ; et
(q) ne transfère des données à caractère personnel en dehors du Royaume-Uni que si ce transfert est effectué conformément au paragraphe 4.
3.6 Chaque partie accepte d'indemniser, de maintenir indemnisée et de défendre à ses propres frais l'autre partie contre tous les coûts, réclamations, dommages ou dépenses (y compris les frais juridiques raisonnables) encourus par l'autre partie ou pour lesquels l'autre partie peut devenir responsable en raison de tout manquement de la partie indemnisante, de ses directeurs, employés ou agents, à se conformer à l'une de ses obligations en vertu de la présente Annexe relative au traitement des données.
4. Transferts internationaux
4.1 Safecall et le client conviennent que les données à caractère personnel seront traitées au Royaume-Uni, sauf si
(a) transférés par transfert sécurisé vers un pays de l'UE ou de l'EEE avec l'autorisation écrite préalable du client pour un tel transfert ; et
(b) le traitement des données à caractère personnel est conforme à la présente annexe sur le traitement des données ; et
(c) le transfert en question a lieu sans violation de la législation applicable en matière de protection des données ; ou
(d) transféré à un destinataire dans des circonstances où Safecall est en droit d'invoquer une dérogation autorisée en vertu de la loi sur la protection des données, ce qui peut inclure des circonstances où (entre autres) le transfert est nécessaire pour l'établissement, l'exercice ou la défense de réclamations légales.
4.2 Lorsque Safecall utilise un sous-traitant situé dans un pays tiers en dehors du Royaume-Uni qui n'est pas un territoire adéquat, Safecall a le droit de conclure des clauses types avec le sous-traitant pour et au nom du client, que ce soit sur une base nommée ou non.
4.3 Lorsque le client ou ses utilisateurs sont situés dans un pays tiers en dehors du Royaume-Uni qui n'est pas un territoire adéquat et que Safecall doit leur transférer des données personnelles, le client reconnaît que Safecall peut ne pas être en mesure d'assurer que ce transfert est soumis à des garanties appropriées. Le client donne néanmoins l'ordre à Safecall d'effectuer les transferts nécessaires à la bonne prestation des services.
4.4 Dans le cas où : (i) le client ou l'un de ses utilisateurs des services est situé dans l'EEE mais pas au Royaume-Uni ; et (ii) le Royaume-Uni, après avoir quitté l'EEE, n'est pas désigné par la Commission européenne comme territoire adéquat, les clauses types s'appliqueront aux données à caractère personnel transférées au Royaume-Uni par le client ou l'un de ses utilisateurs conformément aux dispositions suivantes :
(a) le client sera l'exportateur de données et Safecall sera l'importateur de données ;
(b) le client est réputé avoir conclu les clauses types en son nom propre et pour le compte de toute société affiliée qui agit également en tant que responsable du traitement des données à caractère personnel traitées en vertu de la présente annexe relative au traitement des données ;
(c) le droit applicable aux clauses types est le droit de l'État membre de l'EEE dans lequel l'exportateur de données est établi, tel que déterminé par la loi sur la protection des données, et la clause 9 des clauses types est réputée avoir été complétée en conséquence ;
(d) l'annexe 1 des clauses types est réputée complétée par les détails figurant dans la description du traitement ; et
(e) L'annexe 2 des clauses types est réputée complétée par le résumé des mesures de sûreté.
4.5 Les parties conviennent qu'en cas de conflit entre les Clauses types et les conditions de la présente Annexe relative au traitement des données ou d'un Contrat, les Clauses types prévaudront.
5. Définitions
5.1 Dans la présente annexe relative au traitement des données, les termes suivants ont la signification qui leur est donnée ci-dessous, sauf indication contraire :
Les termes " responsable du traitement", " sous-traitant", " traitement " et " personne concernée " ont la signification qui leur est donnée dans la loi sur la protection des données.
Territoire adéquat : (i) en ce qui concerne les transferts de l'EEE vers un pays tiers situé en dehors de l'EEE, un territoire situé en dehors de l'EEE qui a été désigné par la Commission européenne comme assurant un niveau de protection adéquat conformément à la législation sur la protection des données ; et (ii) en ce qui concerne les transferts du Royaume-Uni vers un pays tiers, un territoire qui a été reconnu par le Royaume-Uni comme assurant un niveau de protection adéquat conformément à la législation sur la protection des données.
La loi sur la protection des données désigne : la loi sur la protection des données de 2018, le GDPR du Royaume-Uni, la version retenue de la loi de l'UE du règlement général sur la protection des données ((UE) 2016/679) ainsi que : (i) toute orientation, directive, décision, détermination, code de pratique, ordonnance, avis ou demande émis par toute autorité de contrôle ou autre autorité compétente ; (ii) toute autre loi applicable en matière de confidentialité ou de protection des données ; et (iii) tout jugement contraignant associé de tout tribunal, organisme de réglementation ou cour de justice compétent, chacun étant applicable et tel que modifié, complété, substitué ou remplacé de temps à autre.
Description du traitement: la description figurant dans la partie 1 de l'annexe de la présente annexe relative au traitement des données.
L'Espace économique européen ou EEE désigne les États membres qui sont soumis à l'accord sur l'Espace économique européen du 1er janvier 1994, y compris les États membres de l'Union européenne, l'Islande, le Liechtenstein et la Norvège.
Clauses types: les clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers, telles qu'approuvées par la Commission européenne dans la décision 2010/87/UE (disponible en ligne à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en), ces clauses types pouvant être modifiées ou remplacées par la Commission européenne de temps à autre.
données personnelles a la signification qui lui est donnée dans la loi sur la protection des données, dans la mesure où elle se rapporte aux données personnelles, ou à toute partie de ces données personnelles, dont Safecall est le sous-traitant agissant au nom du client et par rapport auxquelles le client est le responsable du traitement.
Mesures de sécurité a la signification qui lui est donnée au paragraphe 3.5(e).
Annexe à la grille de traitement des données
Partie 1 - Description de la transformation
| Objet du traitement | Safecall traite les données à caractère personnel dans le cadre du présent contrat aux fins des services spécifiés dans le bon de commande. |
| Durée de la transformation | La durée du traitement des données personnelles par Safecall dans le cadre de ce contrat est la durée de ce contrat et la plus longue des périodes supplémentaires suivantes : (i) spécifiée dans toute disposition de ce contrat concernant la conservation des données ; et (ii) requise pour se conformer à la loi : (Les données personnelles ne seront pas traitées ou conservées plus longtemps que nécessaire pour permettre à Safecall de fournir les services et de se conformer à ses obligations en vertu du présent contrat. |
| Nature du traitement | Le traitement nécessaire pour permettre à Safecall de fournir les services commandés au client. Cela comprend, sans s'y limiter, le stockage, l'extraction, l'analyse, la collecte et le transfert de données. |
| Finalité du traitement | L'exécution des obligations de Safecall et l'exercice de ses droits en ce qui concerne les services commandés. |
| Types de données personnelles | Les données personnelles fournies à Safecall par ou au nom du client ou des personnes concernées dans le cadre des services commandés. Détails personnels : coordonnées, sexe, date de naissance, lieu de naissance, état matrimonial/de partenariat civil, partenaires domestiques, personnes à charge, état d'invalidité, informations de contact en cas d'urgence.Poste : description du poste actuel, titre du poste, statut de l'entreprise, catégorie de gestion, code du poste, grade ou niveau, fonction(s) et sous-fonction(s) du poste, nom et code de l'entreprise (entité juridique de l'employeur), branche/unité/service, lieu, statut et type d'emploi, temps plein/temps partiel, dates d'embauche/de réembauche et date(s) de cessation d'emploi.Données d'accès aux systèmes et aux applications : informations nécessaires pour accéder aux systèmes et aux applications, telles que l'identifiant du système, le compte de courrier électronique, le compte de messagerie instantanée, l'identifiant de l'employé, les mots de passe du système, le rôle de l'employé et le contenu électronique produit par les personnes utilisant les systèmes du client.Informations personnelles externes et coordonnées : nom, adresse, adresse électronique et coordonnées téléphoniques, sexe, état civil, situation familiale, date de naissance, lieu de naissance et numéro d'identification délivré par l'État, tel que le numéro de sécurité sociale ou le numéro d'assurance nationale, le numéro d'identification fiscale, le numéro d'identification militaire, le numéro de passeport ou le numéro de permis de conduire ou autre numéro de permis, situation professionnelle, mots de passe, dossiers d'activité, tels que les dossiers de conduite, antécédents professionnels, et date et cause du décès, date d'entrée dans un établissement de soins de longue durée. |
| Catégories de personnes concernées | Les données à caractère personnel comprennent, sans s'y limiter, les catégories suivantes de personnes concernées : les employés actuels et passés, les fournisseurs actuels et passés, les contractants ou consultants non rémunérés actuels et passés, les contractants ou consultants fournis par une agence et les détachés externes, les utilisateurs finaux actuels des applications, les utilisateurs finaux passés des applications, les personnes identifiées par les utilisateurs, les retraités, ainsi que les administrateurs et dirigeants actuels et passés. |
| Catégories particulières de données (le cas échéant) | Toute catégorie particulière de données à caractère personnel susceptible d'être divulguée par ou au nom du client ou des personnes concernées dans le cadre de l'utilisation des services commandés. Il s'agit notamment, mais pas exclusivement, d'informations sensibles sur le plan médical ou de la santé, du lieu de naissance, du casier judiciaire, du dossier de contentieux civil, de la vie sexuelle (par exemple, l'orientation sexuelle), de la race et de l'appartenance ethnique. |
| Obligations et droits du responsable du traitement | Comme indiqué dans le présent contrat. |