Data Processing Agreement (DPA)

1Objet de l’annexe

La présente annexe a pour objet de définir les conditions dans lesquelles NEWLINK, lorsqu’elle traite des données personnelles pour le compte du Client dans le cadre des services fournis, s’engage à effectuer les opérations de traitement conformément à la réglementation applicable en matière de protection des données personnelles, et notamment au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »). La présente annexe complète les CGV et les conditions particulières applicables entre les Parties. En cas de contradiction entre la présente annexe et les CGV, la présente annexe prévaut pour les seules questions relatives au traitement des données personnelles pour le compte du Client.

2Qualification des rôles

Pour les traitements réalisés par NEWLINK pour le compte du Client et sur ses instructions dans le cadre des services souscrits, le Client agit en qualité de responsable de traitement et NEWLINK en qualité de sous-traitant. Pour les traitements que NEWLINK détermine pour ses propres finalités, notamment gestion de la relation client, facturation, recouvrement, gestion contractuelle, sécurité de ses systèmes, journalisation, conformité réglementaire et défense de ses droits, NEWLINK agit en qualité de responsable de traitement. La présente annexe ne s’applique qu’aux seuls traitements pour lesquels NEWLINK agit comme sous-traitant pour le compte du Client.

3Description des traitements confiés

Les traitements confiés à NEWLINK sont décrits dans les documents contractuels et, le cas échéant, dans l’Annexe 1 – Description des traitements jointe à la présente annexe.

Cette description précise notamment :

• l’objet du traitement ;
• la durée du traitement ;
• la nature et la finalité des opérations ;
• les catégories de données personnelles traitées ;
• les catégories de personnes concernées ;
• les services ou environnements concernés.

4Durée

La présente annexe entre en vigueur à compter de la signature ou de l’acceptation du contrat principal par le Client et reste applicable pendant toute la durée au cours de laquelle NEWLINK traite des données personnelles pour le compte du Client. Elle survivra à la fin du contrat principal pour la seule durée nécessaire :

• à la restitution ou suppression des données ;
• à l’exécution des obligations légales ou réglementaires ;
• à la conservation de preuves nécessaires à la défense des droits de NEWLINK, dans les limites autorisées par la réglementation applicable.

5Instructions documentées du Client

NEWLINK s’engage à traiter les données personnelles uniquement sur instruction documentée du Client, y compris pour les éventuels transferts de données hors de l’Espace économique européen, sauf si le droit de l’Union européenne ou le droit français impose à NEWLINK de procéder à un traitement particulier. Le Client garantit que ses instructions sont licites, proportionnées, documentées et compatibles avec la réglementation applicable. Si NEWLINK estime qu’une instruction constitue une violation manifeste de la réglementation applicable, elle en informe le Client dans les meilleurs délais.

Lorsque la prestation implique des accès support, maintenance, administration, supervision, sauvegarde, sécurité ou restauration, le Client autorise NEWLINK à effectuer les opérations strictement nécessaires à l’exécution des services convenus, dans le cadre des instructions résultant du contrat, des tickets, demandes d’intervention, validations ou échanges écrits intervenus avec le Client.

6Obligations du Client

Le Client, en sa qualité de responsable de traitement :

• détermine les finalités et moyens essentiels des traitements qu’il confie à NEWLINK ;
• garantit disposer d’une base légale appropriée pour les traitements concernés ;
• garantit avoir fourni les informations nécessaires aux personnes concernées et, lorsque cela est requis, recueilli les autorisations ou consentements pertinents ;
• s’assure que les données confiées à NEWLINK sont adéquates, pertinentes et limitées à ce qui est nécessaire ;
• fournit à NEWLINK toutes instructions utiles, exactes et à jour ;
• demeure responsable des demandes des personnes concernées, sauf assistance de NEWLINK dans les conditions prévues à la présente annexe.

7Confidentialité

NEWLINK veille à ce que les personnes autorisées à traiter les données personnelles pour le compte du Client :

• s’engagent à respecter la confidentialité ;
• soient soumises à une obligation légale ou contractuelle appropriée de confidentialité ;
• n’accèdent aux données qu’en fonction des besoins strictement nécessaires à l’exécution des services.

8Mesures de sécurité

NEWLINK met en œuvre des mesures techniques et organisationnelles appropriées pour préserver la sécurité, la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles traitées pour le compte du Client, compte tenu de l’état des connaissances, des coûts de mise en œuvre, de la nature des traitements et des risques.

Selon la nature des services, ces mesures peuvent notamment comprendre :

• gestion des habilitations et contrôle d’accès ;
• journalisation des accès et opérations pertinentes ;
• segmentation logique des environnements ;
• authentification renforcée lorsque disponible et pertinente ;
• chiffrement en transit ou au repos lorsque techniquement et contractuellement prévu ;
• sauvegardes et mécanismes de continuité selon le service souscrit ;
• procédures de gestion des incidents ;
• sensibilisation ou encadrement des personnels autorisés ;
• sécurité physique des équipements et locaux concernés.

Le Client reconnaît que les mesures de sécurité applicables dépendent du périmètre contractuel souscrit, de l’architecture concernée, des outils tiers utilisés et de sa propre coopération.

9Assistance au Client

NEWLINK aide le Client, dans la mesure du possible, compte tenu de la nature du traitement et par des mesures techniques et organisationnelles appropriées, à s’acquitter de ses obligations relatives :

• aux demandes d’exercice des droits des personnes concernées ;
• à la sécurité des traitements ;
• aux analyses d’impact relatives à la protection des données, lorsque requises ;
• à la consultation préalable de l’autorité de contrôle, lorsque requise.

Sauf stipulation contraire, cette assistance est fournie :

• sur demande écrite du Client ;
• dans une mesure raisonnable et proportionnée ;
• et peut donner lieu à facturation selon le temps passé ou la grille tarifaire applicable lorsqu’elle excède le support contractuel normal.

10Droits des personnes concernées

Lorsque NEWLINK reçoit directement une demande d’exercice de droits relative aux données qu’elle traite pour le compte du Client, elle la transmet au Client dans les meilleurs délais, sauf si le contrat prévoit expressément que NEWLINK répond au nom et pour le compte du Client sur instruction documentée de celui-ci. Le Client demeure responsable de la qualification, du traitement et de la réponse apportée à la demande, sauf accord écrit contraire.

11Notification des violations de données personnelles

NEWLINK notifie au Client, dans les meilleurs délais après en avoir pris connaissance, toute violation de données personnelles affectant les traitements réalisés pour le compte du Client et relevant du périmètre contractuel. Cette notification comprend, dans la mesure des informations disponibles :

• la nature de la violation ;
• les catégories de données concernées ;
• les catégories de personnes concernées ;
• les conséquences probables ;
• les mesures prises ou proposées pour remédier à la violation et en atténuer les effets.

NEWLINK coopère raisonnablement avec le Client afin de lui permettre, le cas échéant, de satisfaire à ses propres obligations légales de notification ou de communication. Sauf obligation légale propre, NEWLINK n’effectue pas directement de notification à l’autorité de contrôle ou aux personnes concernées au nom du Client sans instruction préalable de ce dernier.

12Sous-traitants ultérieurs

Le Client autorise NEWLINK, de manière générale et préalable, à recourir à des sous-traitants ultérieurs pour l’exécution de tout ou partie des services relevant du périmètre de la présente annexe, sous réserve du respect de la réglementation applicable en matière de protection des données personnelles. NEWLINK veille à ce que tout sous-traitant ultérieur intervenant sur des traitements réalisés pour le compte du Client soit lié par des obligations de protection des données personnelles au moins équivalentes à celles prévues par la présente annexe, pour le périmètre concerné.

NEWLINK informera le Client, par tout moyen écrit, de tout ajout ou remplacement d’un sous-traitant ultérieur susceptible d’avoir un impact significatif sur les traitements confiés. Le Client pourra, pour un motif légitime lié à la protection des données personnelles, formuler une objection écrite et motivée dans un délai de quinze (15) jours calendaires à compter de cette information. En cas d’objection légitime non résolue dans un délai raisonnable, les Parties se rapprocheront de bonne foi afin d’identifier une solution acceptable. À défaut d’accord, NEWLINK pourra suspendre ou cesser la prestation concernée, sans engager sa responsabilité au-delà des obligations légales qui lui incombent.

13Transferts de données hors Espace économique européen

NEWLINK n’effectue de transfert de données personnelles hors de l’Espace économique européen pour le compte du Client que :

• sur instruction documentée du Client ;
• ou lorsque cela est nécessaire à l’exécution du service avec recours à un fournisseur ou sous-traitant ultérieur autorisé ;
• et sous réserve de la mise en œuvre d’un mécanisme juridique approprié prévu par la réglementation applicable.

Lorsque de tels transferts existent, NEWLINK informe le Client, dans une mesure raisonnable, du mécanisme de transfert applicable ou renvoie vers la documentation contractuelle du fournisseur concerné.

14Documentation et audit

NEWLINK met à la disposition du Client la documentation raisonnablement nécessaire pour démontrer le respect de ses obligations de sous-traitant et permet, dans des conditions proportionnées, la réalisation d’audits ou d’inspections. Afin de préserver la sécurité de ses systèmes, la confidentialité de ses autres clients et la continuité de ses services, tout audit est soumis aux conditions suivantes :

• notification écrite préalable avec un préavis minimum de trente (30) jours calendaires, sauf urgence légale démontrée ;
• limitation à une fois par période de douze (12) mois, sauf incident de sécurité majeur ou exigence réglementaire particulière ;
• priorité donnée à un audit documentaire ou à la remise d’éléments de preuve raisonnables avant tout audit sur site ;
• réalisation pendant les heures ouvrées de NEWLINK ;
• absence d’accès aux informations confidentielles relatives aux autres clients, au secret des affaires, aux dispositifs de sécurité internes non nécessaires ou aux environnements sans lien avec le service concerné ;
• prise en charge des coûts de l’audit par le Client, sauf manquement grave avéré imputable à NEWLINK sur le périmètre audité ;
• signature préalable, le cas échéant, d’un engagement de confidentialité spécifique par l’auditeur mandaté.

15Sort des données en fin de contrat

À l’expiration ou à la résiliation du contrat principal, NEWLINK supprime ou restitue, au choix du Client exprimé par écrit et sous réserve du périmètre contractuel applicable, les données personnelles traitées pour son compte, sauf si le droit de l’Union européenne ou le droit français impose leur conservation. Sauf stipulation contraire :

• la restitution est réalisée dans un format raisonnablement disponible chez NEWLINK ;
• les prestations de réversibilité, export spécifique, extraction complexe, retraitement ou assistance technique renforcée sont facturables ;
• NEWLINK peut conserver, pour la durée strictement nécessaire, des journaux, traces, sauvegardes résiduelles, éléments de preuve ou archives techniques dans la limite de ses obligations légales, de sécurité, de continuité ou de défense de ses droits.

16Registre et coopération réglementaire

NEWLINK tient, lorsque requis, un registre des catégories d’activités de traitement effectuées pour le compte de ses clients et coopère avec l’autorité de contrôle compétente dans la mesure prévue par la réglementation applicable.

17Responsabilité

La présente annexe complète les stipulations des CGV relatives à la responsabilité. Sauf disposition légale impérative contraire, les limitations, exclusions, plafonds, délais de réclamation, règles de preuve et règles de prescription prévus aux CGV demeurent applicables aux traitements de données personnelles visés par la présente annexe. Aucune stipulation de la présente annexe ne saurait avoir pour effet de transférer à NEWLINK des obligations qui incombent par nature au Client en sa qualité de responsable de traitement, notamment en matière de base légale, d’information des personnes concernées, de définition des finalités, de minimisation des données ou de licéité globale du traitement.

18Contact protection des données

Pour toute question relative à la protection des données personnelles dans le cadre de la présente annexe, chaque Partie désigne un point de contact dans les documents contractuels, ou à défaut par tout écrit ultérieur. Si NEWLINK désigne un délégué à la protection des données ou un référent dédié, ses coordonnées peuvent être communiquées au Client par tout moyen écrit.

19Dispositions finales

La présente annexe est soumise au même droit applicable et à la même juridiction compétente que le contrat principal, sauf disposition légale impérative contraire. Elle fait partie intégrante du contrat conclu entre les Parties.