Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (RGPD) est le cadre juridique du traitement de données à caractère personnel applicable au 25 mai 2018 en Europe en remplacement de l’actuelle directive 95/46/CE. Il s’applique aussi aux sociétés non européennes traitant des données personnelles d’européens.

Les données personnelles désignent toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Elles comprennent le nom, le prénom, l’adresse postale, mail ou IP de connexion, les données de localisation, le numéro de téléphone, l’âge, le sexe ou les données biométriques comme les empreintes digitales ou des photos.

Le RGPD vise à renforcer, unifier et encadrer la protection des données personnelles des individus en Europe. A ce titre, le texte entend responsabiliser les entreprises qui traitent des données personnelles de citoyens européens avec de nouvelles règles juridiques auxquelles elles devront se conformer pour la collecte, le traitement, la conservation et la sécurisation des données. En cas de non-respect du dispositif, les entreprises pourront se voir sanctionnées à travers un système de pénalités.

Global SP s’est préparé à l’entrée en vigueur du RGPD et a pris toutes les dispositions nécessaires pour être conforme à ce nouveau règlement européen.

1. Rappel du cadre applicable

Global Service Provider s’engage à prendre toutes les mesures pour garantir le respect de l’intégrité et de la sécurité des données à caractère personnel qu’il aura à traiter dans le cadre de l’exécution du contrat et ce, conformément aux dispositions légales et réglementaires notamment la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, ainsi que le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), à compter de sa date d’application. Chacune des parties s’engage sur les traitements de données à caractère personnel dont elle a la responsabilité, à effectuer toutes les formalités nécessaires de déclarations, autorisations, auprès de la Commission Nationale de l’Informatique et des Libertés ainsi que de tout autre organisme compétent, ainsi qu’à respecter les droits des personnes concernées (droit d’information, d’accès, de rectification et de suppression
des données).

Au sein de Global SP, les coordonnées du délégué à la protection des données sont les suivantes, à la date de
signature des présentes :

–  Courriel : dpo@globalsp.com
– Adresse postale : GLOBAL SERVICE PROVIDER
Data Protection OFFICER
78, rue La Condamine
75017 PARIS

2. Traitements réalisés par ou pour le compte du CLIENT

2.1. Responsabilité des traitements

Le CLIENT reste le seul responsable du traitement de données à caractère personnel réalisé pour son propre compte dans le cadre des Services souscrits auprès de Global Service Provider, que ce soit par lui-même, par Global Service Provider ou par des tiers. Concernant les traitements de données à caractère personnel réalisés par Global Service Provider pour le compte du CLIENT dans le cadre de l’exécution des Services (notamment des prestations d’infogérance ou de support), Global Service Provider agit en qualité de sous-traitant sur seules instructions du CLIENT. Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) : Hébergement d’un service de messagerie Exchange.

2.2. Sécurité

Global Service Provider s’engage à prendre, dans les conditions prévues au Contrat, toutes précautions utiles afin de préserver la sécurité et la confidentialité des données à caractère personnel auxquelles il a accès, et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisé.

Dans ce but, Global Service Provider :

→ Traite les données du CLIENT pour les seules finalités qui font l’objet de la sous-traitance, pour les besoins exclusifs de l’exécution des services (et notamment des prestations d’infogérance et de support) ;

→ ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les éventuel transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, Global SP informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;

→ veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

→ prend en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut. Global Service Provider s’engage également à mettre en place :

  • Des mesures de sécurité physique visant à empêcher l’accès aux Infrastructures sur lesquelles sont stockées les données du CLIENT par des personnes non autorisées,
  • Un système de gestion des habilitations permettant de limiter l’accès aux locaux aux seules personnes ayant besoin d’y accéder dans le cadre de leurs fonctions et de leur périmètre d’activité,
  • Un système d’isolation physique et/ou logique des CLIENTS entre eux,
  • Des processus d’authentification des utilisateurs et administrateurs, ainsi que des mesures de protection des fonctions d’administration,
  • Des mesures nécessaires pour assurer la conservation et l’intégrité des documents et informations traités pendant la durée du contrat via un système de sauvegardes,
  • Des processus et dispositifs permettant de tracer les actions réalisées sur son système d’information, et d’effectuer conformément à la réglementation en vigueur, des actions de reporting en cas d’incident impactant les données du CLIENT.

Le CLIENT assure la sécurité des applications qu’il déploie dans le cadre de l’utilisation des Services et demeure notamment responsable de la mise à jour des systèmes et logiciels déployés, la gestion des droits d’accès, la configuration des ressources, etc.

2.3. Droit d’information des personnes concernées

Il appartient au CLIENT de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage), Global SP adresse ces demandes dès réception par courrier électronique.

2.4. Notification des violations de données à caractère personnel

Global SP notifie au responsable de traitement toute éventuelle violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

2.5. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, Global SP s’engage à détruire toutes les données à caractère personnel.

2.6. Registre des catégories d’activités de traitement

Global SP déclare tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement comprenant :

→ le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels soustraitants et, le cas échéant, du délégué à la protection des données ;

→ les catégories de traitements effectués pour le compte du responsable du traitement ; 

→ le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées.

2.7. Documentation

Global Service Provider s’engage à mettre à disposition sur son Site Internet ou sur demande du CLIENT adressée au Support, les informations concernant les mesures de Sécurité mises en oeuvre dans le cadre des Services afin de permettre au CLIENT de s’assurer que ces mesures correspondent à ses besoins ou à ceux des Utilisateurs, ainsi que du respect des obligations de Global SP.

2.8. Obligations du CLIENT

Le CLIENT, en sa qualité de responsable de traitement s’engage à :
1. fournir à Global SP les données objet du traitement
2. documenter par écrit toute instruction concernant le traitement des données par Global SP
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part de Global SP
4. superviser le traitement.

2.9. Localisation et Transferts de données

Global Service Provider informe le client que les données seront hébergées dans des serveurs localisés dans les pays suivants : France.
En cas de modification des pays destinataires par Global Service Provider, ce dernier devra en informer préalablement le client sans délai et obtenir son consentement écrit. Le cas échéant, Global Service Provider devra fournir au client une liste des pays destinataires mise à jour. Lorsque le client a consenti à ce que Global Service Provider ait recours à un ou plusieurs sous-contractant(s), les parties conviennent que les données ne pourront être transférées par Global Service Provider qu’à destination de sous-contractants établis dans des pays membres de l’Espace Economique Européen et/ou de pays tiers reconnus par la Commission européenne comme assurant un niveau de protection adéquat.

3. Traitements des données à caractère personnel par Global SP

Dans le cadre de ses services, Global Service Provider collecte les données à caractère personnel du CLIENT, qui font l’objet d’un traitement automatisé dans les conditions prévues par la loi n°78-17 précitée.

Les finalités de cette collecte sont les suivantes :

• Gestion de la relation CLIENT (facturation, assistance et maintenance des Services, gestion commerciale, archivage, téléphonie, amélioration de la qualité, de la sécurité et de la performance des services, recouvrement, etc.), et
• Respect de la réglementation applicable à Global Service Provider (notamment obligations légales de conservation des données de connexion et d’identification des utilisateurs). Global Service Provider s’engage à ne pas utiliser les données ainsi collectées à d’autres fins que celles susmentionnées.

Global Service Provider peut être amenée à devoir les communiquer à des autorités judiciaires et / ou administratives, notamment dans le cadre de réquisitions. En ce cas, et sauf disposition légale l’en empêchant, Global Service Provider s’engage à en informer le CLIENT et à limiter la communication de données à celles expressément requises par lesdites autorités.

Les données traitées à des fins de gestion de la relation entre le CLIENT et Global Service Provider sont constituées d’informations telles que nom, prénom, adresse postale, adresse électronique, téléphones des collaborateurs du CLIENT et sont conservées par Global Service Provider pendant toute la durée du Contrat et les trente (30) jours suivants la cessation du contrat.

Les données de connexion et d’identification des utilisateurs sont conservées par Global Service Provider pendant douze (12) mois.

Les autres données à caractère personnel collectées et traitées par Global Service Provider afin de respecter ses obligations légales, sont conservées conformément à la loi applicable.

Dans le cadre des finalités définies ci-dessus, le PRESTATAIRE peut faire appel à un sous-traitant pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le CLIENT de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées à caractère personnel du sous-traitant et les dates du contrat de sous-traitance. Le CLIENT dispose d’un délai minimum de huit jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le CLIENT n’a pas émis d’objection pendant le délai convenu.

Le sous-traitant est tenu de respecter les obligations du présent avenant pour le compte et selon les instructions du CLIENT. Il appartient au PRESTATAIRE de s’assurer que le sous-traitant présente les mêmes garanties
suffisantes quant à la mise en oeuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données à caractère personnel, le PRESTATAIRE demeure pleinement responsable devant le CLIENT de l’exécution par le sous-traitant de ses obligations.

Conformément à la loi « Informatique et Libertés » du 6 janvier 1978, le CLIENT bénéficie d’un droit d’accès, de rectification et de suppression des informations susvisées le concernant.

Il peut exercer ce droit et obtenir communication desdites informations auprès du Data Protection Officer (DPO) de Global Service Provider par courriel à l’adresse électronique : dpo@globalsp.com ou encore par courrier postal à l’adresse : Global Service Provider, Data Protection Officer, 78 rue la Condamine, 75017 Paris France en justifiant de son identité. Il y sera répondu dans un délai de trente (30) jours suivant réception.