Data processing agreement

Version 1.0

-

Dec 1, 2023

1. Objet

Le présent accord sur les Traitements de Données Personnelles (ci-après, l’ « Accord ») fait partie intégrante du Contrat.

L’Accord a pour objet de définir les conditions dans lesquelles Kbine s’engage à effectuer les Traitements des Données Personnelles fournies dans le cadre de l’exécution des Services conformément à l'article 28 du Règlement (UE) 2016/679 (ci-après le « RGPD »).

Le présent Accord entre en vigueur à compter de la signature du Contrat auquel il est attaché et reste en vigueur durant toute la durée de la relation contractuelle unissant Kbine et l’Abonné/Utilisateur.

2. Définitions

Tous les termes en majuscules qui ne sont pas définis dans le présent Accord auront la signification qui leur est donnée ici.

3. Description des traitements

Pour les seuls besoins de l’exécution du Contrat, l’Abonné/Utilisateur autorise Kbine à réaliser pour son compte des Traitements de Données Personnelles (ci-après, les « Traitements confiés ») nécessaires pour fournir les Services.

La nature des opérations réalisées sur les Données Personnelles est la collecte, l’extraction, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’archivage, la consultation, la communication par transmission, le rapprochement, l’anonymisation et l’effacement des Données Personnelles.

La finalité du Traitement est l’exécution des Services tels que décrits dans le Contrat.

Les Données Personnelles traitées sont toutes les données nécessaires pour l’exécution des Services tels que décrits dans le Contrat. Sont en principe considérées comme pertinentes, les données incluses dans les commentaires des applications, les données d’identification des Personnes concernées listées ci-dessous et les données de connexion qui rendent comptent des actions des Utilisateurs au sein de la Plateforme.

Les catégories de Personnes concernées sont toutes personnes dont les Données Personnelles doivent être traitées pour pouvoir assurer l’exécution des Services tels que décrits dans le Contrat, à savoir l’Abonné et les Utilisateurs.

4. Qualification des parties

Pour l’ensemble des Traitements confiés dans le cadre de l’exécution du Contrat, les Parties reconnaissent expressément que l’Abonné/Utilisateur est le Responsable du traitement, et que Kbine est un Sous-traitant.

Kbine est autorisée par l’Utilisateur/Abonné à traiter, pour le compte du Responsable de traitement, les Données Personnelles nécessaires à la fourniture des Services.

5. Sélection des services

L’Abonné/Utilisateur est seul responsable du choix des Services et doit s’assurer que les Services, auxquels il souscrit pour les besoins de ses activités professionnelles, ont les caractéristiques et les conditions requises par le Responsable du traitement.

Kbine met à la disposition de l’Abonné/Utilisateur, dans les conditions prévues à l’article « Audits », les informations relatives aux mesures de sécurité mises en œuvre dans le cadre des Services, afin qu’il puisse évaluer la conformité de ces mesures aux Traitements confiés par le Responsable du traitement.

6. Conformité à la réglementation applicable

Chaque Partie s’engage à exécuter le Contrat en conformité avec les Lois et réglementations applicables en matière de protection des Données Personnelles, et à respecter à tout moment dans le cadre de l’exécution du Contrat les obligations qui lui sont applicables, en particulier, les dispositions du RGPD.

7. Obligations de l’abonné/utilisateur en qualité de responsable de traitement

L’Abonné/Utilisateur, en sa qualité de Responsable du traitement, est tenu de s’acquitter des obligations qui lui reviennent en application du RGPD. Il est en particulier seul responsable (i) de la licéité des Traitements confiés, au regard notamment des principes et obligations prévus par les Lois et réglementations applicables en matière de protection des Données Personnelles concernant en particulier la base légale des Traitements confiées et l’information des Personnes concernées, (ii) de l’utilisation de la Plateforme, des Services, et des Documents qu’il complète, dépose, stocke, archive, consulte et télécharge sur  la Plateforme, (iii) de la tenue du registre des Traitements mis en œuvre, et (iv) le cas échéant de l’accomplissement des formalités préalables à la mise en œuvre du traitement.

L’Abonné/Utilisateur s’engage en outre à fournir à Kbine les données visées dans les caractéristiques du Traitement confié, et à superviser le Traitement confié, y compris en réalisant des audits dans les conditions décrites à l’article « Audits ».

L’Abonné/Utilisateur est également responsable de son utilisation des Services, et notamment de la protection et de la sécurité des Données Personnelles en transit depuis et vers la Plateforme.

8. Obligations de KBine en qualité de sous-traitant

8.1 Respect des Instructions

Kbine s'engage à traiter les Données Personnelles uniquement aux fins décrites dans le présent Accord ou, comme convenu autrement, dans le cadre des Instructions légales de l’Abonné/Utilisateur.

Si Kbine considère qu’une Instruction constitue une violation du RGPD ou de toute autre disposition des Lois et réglementations applicables en matière de protection des Données Personnelles, Kbine en informe immédiatement l’Abonné/Utilisateur.

Il est précisé que l’engagement de Kbine se limite à la fourniture des Services et à l’hébergement de la Plateforme. Dès lors que le Responsable de traitement renseigne des Données Personnelles dans la Plateforme, il doit respecter les prescriptions légales en matière de protection des Données Personnelles en particulier l’information et le consentement des Personnes concernées, le cas échéant.

8.2 Confidentialité

Kbine réservent l’accès aux Données Personnelles confiées aux seules personnes parmi ses employés et Sous-traitants ayant besoin d’y accéder pour l’exercice de leurs fonctions dans le cadre de l’exécution du Contrat. Kbine s’engage à ce que ces destinataires soient tous tenus par des obligations de confidentialité à l’égard des Données Personnelles confiées.

8.3 Sécurité des Traitements confiés

Kbine s’engage à prendre et à maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre toute violation. Kbine peut modifier ou mettre à jour ces mesures de sécurité à sa seule discrétion, à condition que cette modification ou mise à jour n'entraîne pas une réduction du niveau de sécurité.

8.4 Sous-traitants ultérieurs

KBine dispose d’une autorisation générale de l’Utilisateur/Abonné lui permettant de faire appel aux Sous-traitants ultérieurs listés ici. KBine s'engage à informer chaque Utilisateur/Abonné, par écrit, trente (30) jours en avance, de tout changement envisagé concernant l'ajout ou le remplacement de Sous-traitants ultérieurs.

Si l’Utilisateur/Abonné a des raisons légitimes et raisonnables de s’opposer à la nomination d’un nouveau Sous-traitant ultérieur, l’Utilisateur doit immédiatement motiver sa réclamation à KBine en adressant un avis écrit au Service Support, dans les trente (30) jours suivant la notification émise par KBine, à défaut de quoi l’Utilisateur/Abonné sera réputé avoir approuvé et accepté les changements.

Après discussions et en l’absence d’accord entre KBine et l’Utilisateur/Abonné, l’Utilisateur/Abonné pourra, dans les trente (30) jours suivant la notification, résilier la partie du Contrat affectée par la mise à jour en question.

En toute hypothèse, KBine s’engage à faire preuve d'une diligence raisonnable dans l'évaluation, la nomination et la surveillance des activités de Traitement des Sous-traitants ultérieurs. Les Sous-traitants ultérieurs recrutés devront à ce titre présenter des garanties suffisantes au regard des obligations applicables en matière de sécurité des Traitements confiés et de confidentialité des Données Personnelles confiées,  et être tenues envers KBine d’obligations identiques ou équivalentes à celles prévues par le présent Accord.

Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, KBine demeure pleinement responsable, à l’égard de l’Utilisateur/Abonné, de l’exécution de ses obligations.

8.5 Transferts de données

Si, en application du Contrat, des Données Personnelles sont transférées en dehors de l’Union européenne vers un pays qui ne fait pas l’objet d’une décision d’adéquation, un accord de transfert de données conforme aux Clauses contractuelles types ou, à la discrétion de KBine, toute autre garantie appropriée prévue au chapitre V du RGPD est mise en œuvre.

En outre, si KBine est tenue de procéder à un transfert de Données Personnelles vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel elle est soumise, elle doit informer l’Abonné/Utilisateur de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

8.6 Droits des Personnes concernées.

Il appartient au Responsable de traitement de donner suite aux demandes de droit des Personnes concernées sur leurs Données Personnelles. Dans la mesure du possible, KBine, en sa qualité de Sous-traitant et sur demande du Responsable de traitement, pourra assister le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Si une Personne concernée contacte directement KBine pour exercer l'un de ses droits, KBine s'engage à renvoyer la Personne concernée vers le Responsable de traitement dans les plus brefs délais afin que ce dernier puisse donner suite à sa demande. KBine pourra assister le Responsable de traitement à donner aux demandes dans la mesure où cela est raisonnablement nécessaire, mais le Responsable du traitement est seul responsable des réponses à ces demandes.

8.7 Notification des violations de Données Personnelles.

KBine notifie par écrit à l’Abonné/Utilisateur toute violation de Données Personnelles. Cette notification est accompagnée de toute documentation utile afin de permettre à l’Abonné/Utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

8.8 Registre des activités de traitement

Kbine déclare tenir par écrit un registre de toutes les catégories de Traitement effectuées pour le compte du Responsable de traitement conformément aux dispositions du RGPD.

8.9 Information et assistance fournie au Responsable de traitement

Sur demande écrite de l’Abonné/Utilisateur, Kbine fournit à l’Abonné/Utilisateur une assistance raisonnable dans la réalisation d’analyses d’impact relative à la protection des données et la consultation préalable de l’autorité de contrôle compétente, prévues par le RGPD. Kbine met à la disposition du Responsable de traitement toutes les informations nécessaires concernant les Traitements confiés afin de l'assister dans l’accomplissement de ses obligations légales.

9. Audits

Afin de s’assurer du respect des dispositions du présent Accord, le Responsable de traitement pourra réaliser ou faire réaliser à ses frais des audits organisationnels ou techniques, dans le respect des conditions prévues au présent article et dans la limite d’un (1) audit par an et de trois (3) jours ouvrés maximum, le temps passé par le personnel de KBine étant facturé au Responsable de traitement.

L’audit devra se dérouler conformément aux règles et exigences de sécurité de KBine. Aucun audit n'est autorisé pour quelque motif que ce soit, sans l’accord écrit et préalable de KBine. KBine pourra opposer un refus d’auditeur en raison de l’absence d’indépendance ou de conflit d’intérêt avec l’auditeur. Dans ce cas, le Responsable de traitement notifiera à KBine le nom d’un autre auditeur.

Chaque audit devra faire l’objet d’une convention d’audit, mise à disposition par écrit par le Responsable de traitement, et formellement approuvée par KBine au minimum trente (30) jours avant le début de l’audit. La convention d’audit devra détailler le périmètre exact, les limites, les exclusions, les objectifs, la nature des tests et la méthodologie suivie par les auditeurs, les dates et horaires, le processus d’escalade en cas d’incident en cours d’audit, et les coordonnées de l’ensemble des parties intéressées.

Les informations obtenues au cours de l’audit sont des Informations Confidentielles et devront être traitées comme telles par le Responsable de traitement. Dans le cas où l’audit serait réalisé par un auditeur externe, le Responsable de traitement s’engage à ce que ce dernier présente des garanties de confidentialité suffisantes au regard de la nature des informations auxquelles il pourrait accéder dans le cadre de l’audit.

Le Responsable de traitement s’engage à communiquer gratuitement et systématiquement le rapport d’audit complet à KBine, qui pourra présenter ses observations. Si le rapport d’audit fait apparaître un non-respect des obligations visées dans le présent Accord, KBine déterminera sur la base de ses politiques internes le délai à compter de la réception de la version finale du rapport pour corriger les manquements et/ou non-conformités constatés.

10. Conservation, suppression et restitution des données personnelles

KBine s’engage à respecter la période de conservation des Données Personnelles applicable aux finalités pour lesquelles elles ont été collectées ou fournies et les supprimer/anonymiser dès lors que ces finalités n'existent plus, sous réserve des obligations légales.

KBine s’engage à tenir à disposition de l’Utilisateur/Abonné, pendant toute la durée du Contrat une copie des  Données Personnelles confiées au cours de l’exécution du Contrat.

A la fin des Services, l’Abonné/Utilisateur pourra récupérer les Données Personnelles confiées dans le cadre de la réalisation des Services, dans les conditions prévues au Contrat. Ces données seront mises à disposition de l’Utilisateur/Abonné dans un format garantissant leur interopérabilité.

A la fin des Services et dans les conditions prévues au Contrat, KBine s’engage également à détruire les Données Personnelles, sous réserve d’obligations de conservation légales auxquelles KBine serait soumis.

11. Responsabilité

Kbine ne peut être tenu responsable que des dommages causés par un Traitement confié pour lequel (i) il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement au Sous-traitant ou pour lequel (ii) il a agi en-dehors des Instructions licites du Responsable de traitement ou contrairement à celles-ci.

12. Intégralité de l'accord

Le présent Accord constitue l'intégralité de l'accord entre les Parties en ce qui concerne son objet et remplace tous les accords antérieurs ou contemporains entre les Parties ayant le même objet, y compris toute version antérieure d’accord sur la protection des Données Personnelles qui aurait été signée entre l’Utilisateur/Abonné et KBine.

13. Contact

En cas de questions sur les Traitements confiés dans le cadre du présent Accord, l’Utilisateur/l’Abonné peut contacter KBine en utilisant le formulaire de contact prévu à cet effet sur le Site de KBine, ou en contactant le Service Support.

KBine SAS, situé en France, est l'établissement principal de Kabeen au sens de l'article 4 du RGPD. L'autorité cheffe de file pour les Traitements transfrontaliers au sens de l'article 56 du RGPD pour KBine est la CNIL.

14. LOI APPLICABLE

L’Accord est régi et interprété conformément à la législation nationale applicable au Responsable du traitement.