Accord de Traitement des Données

Accord de Traitement des Données (Clauses Contractuelles Types)

Entre :

[Nom du Client] , société immatriculée selon les lois de [Pays], dont le siège social est situé à [Adresse du Client] (ci-après le "Responsable du Traitement" );

et

AACsearch , société immatriculée selon les lois de [Pays], dont le siège social est situé à [Adresse d'AACsearch] (ci-après le "Sous-traitant" ).

Chacune dénommée une "Partie" , collectivement les "Parties" .

1. Définitions

1.1 "Législation Applicable en matière de Protection des Données" désigne (i) le Règlement Général sur la Protection des Données (Règlement (UE) 2016/679) ("RGPD" ) ; (ii) la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée) ; et (iii) toute autre réglementation applicable en matière de protection des données.

1.2 "Responsable du Traitement" désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de Données à Caractère Personnel.

1.3 "Personne Concernée" désigne une personne physique identifiée ou identifiable.

1.4 "Données à Caractère Personnel" désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée »).

1.5 "Violation de Données à Caractère Personnel" désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à Caractère Personnel ou l'accès non autorisé à celles-ci.

1.6 "Traitement" désigne toute opération ou ensemble d'opérations effectuées sur des Données à Caractère Personnel, que ce soit ou non à l'aide de procédés automatisés.

1.7 "Sous-traitant" désigne la personne physique ou morale qui traite des Données à Caractère Personnel pour le compte du Responsable du Traitement.

1.8 "Sous-traitant Ultérieur" désigne tout sous-traitant engagé par AACsearch pour traiter des Données à Caractère Personnel pour le compte du Responsable du Traitement.

1.9 "Autorité de Contrôle" désigne l'autorité publique indépendante établie par un État membre de l'EEE conformément à l'article 51 du RGPD (en France, la Commission Nationale de l'Informatique et des Libertés – CNIL).

1.10 "Clauses Contractuelles Types (CCT)" désigne les clauses contractuelles types de la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers (Décision d'exécution (UE) 2021/914 du 4 juin 2021).

2. Objet et Durée

2.1 Le présent Accord de Traitement des Données ("ATD" ) définit les droits et obligations des Parties concernant le Traitement de Données à Caractère Personnel par le Sous-traitant dans le cadre de la plateforme de recherche en tant que service (search-as-a-service) d'AACsearch.

2.2 Le présent ATD reste en vigueur pendant toute la durée du contrat de services sous-jacent entre le Responsable du Traitement et le Sous-traitant (le "Contrat Principal" ), sauf résiliation anticipée conformément à la Clause 13 ci-dessous.

3. Détails du Traitement

3.1 Nature et Finalité du Traitement : Le Sous-traitant fournit une plateforme de recherche en tant que service qui indexe, stocke et récupère les données soumises par le Responsable du Traitement afin de permettre la recherche en texte intégral, la recherche à facettes et les fonctionnalités de recherche connexes sur l'application, le site Web ou les propriétés numériques du Responsable.

3.2 Catégories de Données à Caractère Personnel : Selon la nature de l'utilisation du Service par le Responsable, les Données à Caractère Personnel traitées peuvent inclure :

  • Noms et prénoms

  • Adresses électroniques

  • Adresses IP

  • Identifiants d'utilisateur et de compte

  • Profils d'utilisateurs pseudonymisés

  • Requêtes de recherche et données de comportement de navigation

  • Toute autre Donnée à Caractère Personnel que le Responsable choisit de soumettre pour indexation

    3.3 Catégories de Personnes Concernées : Les Personnes Concernées peuvent inclure :

  • Les utilisateurs finaux de l'application ou du site Web du Responsable

  • Les clients ou visiteurs du Responsable

  • Les employés ou prestataires du Responsable

  • Toute autre personne dont les Données à Caractère Personnel sont soumises au Service par le Responsable

    3.4 Durée du Traitement : Le Traitement est effectué pendant la durée du Contrat Principal. Après résiliation, le Sous-traitant supprime ou restitue toutes les Données à Caractère Personnel conformément à la Clause 12.

4. Obligations du Responsable du Traitement

4.1 Le Responsable déclare et garantit que : (a) Il a obtenu tous les consentements nécessaires et dispose d'une base juridique pour le Traitement des Données à Caractère Personnel ; (b) Il a fourni toutes les informations requises aux Personnes Concernées ; (c) Il s'est conformé et se conformera à l'ensemble de la Législation Applicable ; (d) Il est seul responsable de l'exactitude, de la qualité et de la légalité des Données à Caractère Personnel soumises au Sous-traitant.

4.2 Le Responsable est responsable des réponses aux demandes des Personnes Concernées, sauf lorsque le Sous-traitant est légalement tenu de répondre directement.

5. Obligations du Sous-traitant

5.1 Le Sous-traitant traite les Données à Caractère Personnel uniquement sur instructions documentées du Responsable, sauf si la législation applicable l'exige autrement.

5.2 Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données à Caractère Personnel soient soumises à une obligation de confidentialité.

5.3 Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées conformément à la Clause 7.

5.4 Le Sous-traitant informe immédiatement le Responsable si, à son avis, une instruction enfreint la Législation Applicable.

6. Sous-traitants Ultérieurs

6.1 Autorisation Générale : Le Responsable accorde une autorisation générale au Sous-traitant pour recourir à des Sous-traitants Ultérieurs. Le Sous-traitant tient à jour une liste des Sous-traitants Ultérieurs, disponible à https://aacsearch.com/sub-processors ou à l'Annexe 1 du présent ATD.

6.2 Notification des Modifications : Le Sous-traitant notifie au Responsable tout changement concernant l'ajout ou le remplacement de Sous-traitants Ultérieurs au moins [30] jours à l'avance.

6.3 Droit d'Opposition : Si le Responsable s'oppose à un nouveau Sous-traitant Ultérieur pour des motifs légitimes liés à la protection des données, et que l'opposition n'est pas résolue dans les [30] jours, l'une ou l'autre Partie peut résilier les services concernés.

6.4 Obligations Contractuelles : Le Sous-traitant impose, par contrat écrit, les mêmes obligations de protection des données aux Sous-traitants Ultérieurs que celles énoncées dans le présent ATD.

7. Mesures Techniques et Organisationnelles

7.1 Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées, notamment :

(a) Contrôle d'Accès : Contrôle d'accès basé sur les rôles, authentification multifactorielle et principe du moindre privilège.

(b) Chiffrement : Chiffrement des Données à Caractère Personnel au repos avec AES-256 ou équivalent, et en transit avec TLS 1.2 ou supérieur.

(c) Sécurité Réseau : Pare-feu, systèmes de détection/prévention d'intrusions et analyses régulières de vulnérabilités.

(d) Sécurité Physique : Accès restreint aux centres de données avec surveillance 24h/24 et 7j/7, contrôles biométriques et vidéosurveillance.

(e) Continuité d'Activité : Sauvegardes régulières, procédures de reprise après sinistre et redondance géographique.

(f) Sécurité Logicielle : Cycle de développement sécurisé (SDLC), tests d'intrusion réguliers et revues de code.

(g) Sécurité du Personnel : Vérifications d'antécédents, accords de confidentialité et formation régulière à la protection des données.

(h) Journalisation et Surveillance : Journalisation complète des accès et opérations, avec conservation des journaux pendant [12] mois.

7.2 Le Sous-traitant évalue régulièrement l'efficacité de ces mesures.

8. Notification des Violations de Données

8.1 Le Sous-traitant notifie au Responsable sans retard excessif (et en tout état de cause dans les [24] heures suivant la prise de connaissance) toute Violation de Données à Caractère Personnel.

8.2 La notification comprend au minimum : (a) Une description de la nature de la violation ; (b) Les catégories et le nombre approximatif de Personnes Concernées et d'enregistrements concernés ; (c) Les coordonnées du délégué à la protection des données du Sous-traitant ; (d) Une description des conséquences probables et des mesures prises ou proposées.

9. Droits des Personnes Concernées

9.1 Le Sous-traitant assiste le Responsable dans le respect de ses obligations de réponse aux demandes des Personnes Concernées (accès, rectification, effacement, limitation, portabilité, opposition) conformément aux articles 15 à 22 du RGPD.

9.2 Le Sous-traitant : (a) Notifie immédiatement le Responsable s'il reçoit une demande d'une Personne Concernée ; (b) Ne répond pas à la demande sans autorisation préalable du Responsable, sauf obligation légale.

10. Transferts de Données

10.1 Si le Traitement implique des transferts depuis l'Espace Économique Européen ("EEE" ) vers un pays ne bénéficiant pas d'une décision d'adéquation au titre de l'article 45 du RGPD, les Parties conviennent que le transfert est régi par les Clauses Contractuelles Types (Décision 2021/914), incorporées par référence comme suit :

(a) Le Module Deux (Responsable vers Sous-traitant) s'applique lorsque le Responsable agit en tant que Responsable et le Sous-traitant en tant que Sous-traitant ; (b) Le Module Trois (Sous-traitant vers Sous-traitant) s'applique aux Sous-traitants Ultérieurs ; (c) Le Responsable est l'« exportateur de données » et le Sous-traitant est l'« importateur de données » .

10.2 Les informations requises à l'Annexe I des CCT figurent à l'Annexe 2 du présent ATD.

11. Droit Applicable et Juridiction

11.1 Le présent ATD est régi par le droit de [Juridiction], sans référence à ses règles de conflit de lois.

11.2 Tout litige relève de la compétence exclusive des tribunaux de [Juridiction].

12. Suppression et Restitution des Données

12.1 Après la résiliation du Contrat Principal, le Sous-traitant supprime ou restitue toutes les Données à Caractère Personnel dans un délai de [90] jours, sauf obligation légale de conservation.

12.2 La suppression est effectuée conformément aux normes du secteur (par exemple, NIST SP 800-88).

13. Durée et Résiliation

13.1 Le présent ATD prend effet à la date d'entrée en vigueur du Contrat Principal et reste en vigueur jusqu'à la fin de tout Traitement conformément à la Clause 12.

14. Responsabilité

14.1 La responsabilité de chaque Partie au titre du présent ATD est soumise aux limitations prévues dans le Contrat Principal.

14.2 Aucune disposition du présent ATD ne limite ni n'exclut la responsabilité en cas de violation de la Législation Applicable en matière de Protection des Données.

15. Droits d'Audit

15.1 Sur préavis écrit de [30] jours, le Responsable (ou son auditeur mandaté) peut auditer la conformité du Sous-traitant au présent ATD, à raison d'un audit par année civile maximum, sauf en cas de violation de données ou d'enquête réglementaire.

16. Dispositions Générales

16.1 Le présent ATD constitue l'intégralité de l'accord entre les Parties concernant le Traitement des Données à Caractère Personnel.

16.2 Si une disposition du présent ATD est jugée invalide ou inapplicable, les autres dispositions restent en vigueur.

Annexe 1 : Liste des Sous-traitants Ultérieurs

| Nom | Siège Social | Activité de Traitement | Localisation du Centre de Données | | ---------------------------------------- | --------------- | ----------------------------------- | ------------------------------------------------------- | | [Amazon Web Services (AWS)] | [Adresse d'AWS] | Hébergement cloud, stockage, calcul | [p. ex., eu-west-1 (Irlande), eu-central-1 (Francfort)] | | [Sous-traitant Ultérieur supplémentaire] | [Adresse] | [Activité] | [Localisation] |

Liste actualisée disponible à : https://aacsearch.com/sub-processors

Annexe 2 : Informations relatives aux Annexes des CCT

A. Liste des Parties

Exportateur de Données (Responsable du Traitement) :

  • Nom : [Nom du Client]
  • Adresse : [Adresse du Client]
  • Contact : [E-mail du Client]
  • Rôle : Responsable du Traitement

Importateur de Données (Sous-traitant) :

  • Nom : AACsearch
  • Adresse : [Adresse d'AACsearch]
  • Contact : privacy@aacsearch.com
  • Rôle : Sous-traitant

B. Description du Transfert

  • Catégories de Personnes Concernées : Selon la Clause 3.3
  • Catégories de Données : Selon la Clause 3.2
  • Données Sensibles : Aucune (sauf spécification écrite)
  • Fréquence : Continue
  • Nature du Traitement : Plateforme search-as-a-service
  • Période de Conservation : Durée du Contrat Principal, plus [90] jours pour suppression

C. Autorité de Contrôle Compétente [Autorité de Contrôle compétente, p. ex., Commission Nationale de l'Informatique et des Libertés (CNIL)]

Annexe 3 : Mesures de Sécurité

Les mesures de sécurité détaillées sont maintenues dans la Documentation de Sécurité du Sous-traitant, disponible à https://aacsearch.com/security ou sur demande. La Clause 7 du présent ATD contient un résumé de ces mesures.

Le présent Accord de Traitement des Données est un document juridiquement contraignant. Les Parties reconnaissent avoir lu et compris ses termes.