Politique de confidentialité
Dernière mise à jour : le 08/04/2020
Article 1 - Préambule
Conscient de l’importance d’assurer la confidentialité des données, l’Institut International du Froid prend des engagements vis-à-vis de la protection des données à caractère personnel.
L’Institut International du Froid, en qualité de responsable de traitement, veille ainsi au respect de la réglementation relative à la protection des données à caractère personnel, en particulier de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi qu’au Règlement Général sur la Protection des Données (RGPD) du 27 avril 2017.
La présente politique de confidentialité pourra évoluer en fonction du contexte légal et réglementaire, et de la doctrine de la Commission nationale de l’informatique et des libertés (Cnil).
Article 2 - Formalité préalable
1. Chacune des parties fait son affaire des formalités lui incombant au titre de la réglementation relative à la protection des données à caractère personnel, en particulier de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi qu’au Règlement Général sur la Protection des Données (RGPD) du 27 avril 2017.
Article 3 - Garantie
2. Chacune des parties garantit l'autre partie du respect des obligations légales et réglementaires lui incombant au titre de la protection des données à caractère personnel, notamment en matière de flux transfrontières hors de l’Union européenne.
Article 4 - Droit des personnes
3. En application de la loi Informatique et libertés du 6 janvier 1978, les personnes physiques dont les noms sont utilisés par chacune des parties peuvent faire l’objet d’un droit de questionnement, d’accès, de modification et de rectification auprès de chaque partie concernée par la demande, à l’adresse de leur siège social respectif, à défaut de précisions particulières figurant sur les documents de collecte de données à caractère personnel.
Article 5 - Utilisation des données
4. Chacune des parties concède à l’autre partie la possibilité d’utiliser les données à caractère personnel échangées à des fins professionnelles et à des fins de prospection par voie électronique, tant pour elle-même que pour les partenaires liés contractuellement.
5. Les parties sont tenues de respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (règlement général sur la protection des données ou « RGPD ») applicable à compter du 25 mai 2018 et la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (ci-après la « règlementation applicable sur la protection des données personnelles »).
6. Conformément à la règlementation applicable sur la protection des données, l’Institut International du Froid est qualifié de « Responsable de traitement » et le Prestataire, qui est amenée à traiter des données à caractère personnel pour le compte et sur les instructions du client, est qualifiée de « Sous-traitant ».
7. L’annexe « Politique de confidentialité» (Annexe 1) du présent contrat décrit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, ainsi que les catégories de personnes concernées par le traitement réalisé par le Prestataire pour le compte du client[1].
8. Le Prestataire ne peut agir que sur instruction écrite du client et s’oblige à prendre toutes les mesures nécessaires au respect par elle-même et par son personnel de ces obligations et notamment, sauf instruction contraire du client, à :
- ne pas traiter, consulter les données ou les fichiers contenus à d’autres fins que l’exécution des prestations qu’elle effectue pour le client au titre des présentes ;
- ne pas insérer dans les fichiers des données étrangères ;
- ne pas consulter ou traiter de données autres que celles concernées par les prestations et ce, même si l’accès à ces données est techniquement possible ;
- ne pas divulguer, sous quelque forme que ce soit, tout ou partie des données concernées ;
- ne pas prendre copie ou de stocker, quelles qu'en soit la forme et la finalité, tout ou partie des informations ou données contenues sur les supports ou documents qui lui ont été confiés ou recueillies par elle au cours de l'exécution du contrat ;
- informer immédiatement le client si, selon elle, une instruction constitue une violation de la règlementation applicable sur la protection des données personnelles.
9. Les parties conviennent de définir la notion d’instruction comme étant acquise lorsque le Prestataire agit dans le cadre de l’exécution des présentes.
10. Le Prestataire s’engage à prendre toute mesure utile afin de garantir que les personnes physiques agissant sous son autorité et ayant accès aux données personnelles ne les traitent pas, excepté sur instruction du client, à moins d’y être obligées par une disposition impérative résultant du droit communautaire ou du droit d’un Etat membre de l’Union européenne applicable aux traitements objet des présentes. Le Prestataire veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité des données ou soient soumises à une obligation légale appropriée de confidentialité.
11. Le Prestataire s’engage, au regard de la nature des données et des risques présentés par le traitement, et compte tenu de l'état des connaissances, des coûts de mise en œuvre et la nature, portée, contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques, à prendre les mesures techniques et organisationnelles appropriées pour préserver la sécurité des données des fichiers et notamment empêcher toute déformation, altération, endommagement, destruction de manière fortuite ou illicite, perte, divulgation et/ou tout accès par des tiers non autorisés préalablement. Ces mesures sont présentées à l’annexe « Politique de confidentialité » (Annexe 1) du présent contrat.
12. Le Prestataire s’engage à maintenir les mesures de sécurité et de confidentialité des données tout au cours de l’exécution des présentes. En tout état de cause, en cas de changement de ces mesures elle s’engage à les remplacer par des mesures d’une performance équivalente et à en informer immédiatement le client.
13. Le Prestataire s’engage à notifier au client, dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, de toute violation de donnée à caractère personnel soit toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
14. Cette notification doit préciser, dans la mesure du possible, la nature et les conséquences de la violation des données, les mesures déjà prises ou celles qui sont proposées pour y remédier. Le Prestataire s’engage à collaborer activement avec le client pour qu’ils soient en mesure de répondre à leurs obligations réglementaires et contractuelles. Il revient uniquement au client, en tant que responsable du traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.
15. Le Prestataire ne peut sous-traiter, au sens de la règlementation applicable en matière de données personnelles, tout ou partie des prestations, notamment vers un pays qui n’est pas situé dans le cadre de l’Union européenne sans l’autorisation préalable, écrite et expresse du client. Le Client autorise par les présentes les sous-traitants identifiés en annexe « Politique de confidentialité» (Annexe 1) à procéder au traitement des données personnelles. Le Prestataire notifiera au client par écrit toute modification envisagée de la liste des sous-traitants autorisés. Le Client devra notifier au Prestataire par écrit toute objection à ces modifications, dans les plus brefs délais et, en tout état de cause, dans un délai maximum de 5 jours ouvrés.
16. L'IIF s’engage en ce que ces sous-traitants ultérieurs soient tenus contractuellement de respecter les mêmes obligations en matière de protection des données que celles prévues au titre du présent contrat. Lorsque ses sous-traitants ultérieurs ne remplissent pas leurs obligations en matière de protection des données, le Prestataire demeure pleinement responsable devant le Client de l'exécution par les sous-traitants ultérieurs de leurs obligations.
17. L'IIF fournit au client une assistance, sans frais supplémentaires à la charge du Client, afin de permettre :
- la gestion des demandes des personnes concernées par les traitements tendant à l’exercice de leurs droits ;
- la réalisation de toute analyse d’impact que le client déciderait d’effectuer, afin d’évaluer les risques qu’un traitement fait peser sur les droits et libertés des personnes et d’identifier les mesures à mettre en œuvre pour faire face à ces risques, et la consultation de l’autorité de contrôle ;
- plus généralement, le respect des obligations pesant sur le client au regard de la règlementation applicable sur la protection des données personnelles, telles que notamment ses obligations de notification à l’autorité de contrôle et de communication d’une violation de données aux personnes concernées.
18. Au terme du contrat, et sauf disposition impérative contraire résultant du droit communautaire ou du droit d’un Etat membre de l’Union européenne applicable aux traitements objets des présentes, le Prestataire s’engage à détruire tous fichiers manuels ou informatisés stockant les informations collectées, après s’être assuré auprès du Client que ce dernier dispose bien de ces informations.
19. Le cas échéant, sur demande du Client, il s’engage à renvoyer l’intégralité des données à caractère personnel au Client ou à tout sous-traitant désigné par le Client.
20. Les parties s’appuieront sur les clauses contractuelles types pour les transferts de données à caractère personnel vers des sous-traitants établis dans des pays tiers en date du 5 février 2010 (2010/87/UE) et leurs éventuelles modifications ultérieures en cas de transfert vers un pays situé hors de l’Union européenne ou qui n’est pas reconnu comme fournissant un niveau adéquat de protection.
Article 6 Sécurité
21. L’Institut International du Froid reconnaît que l’ensemble des données à caractère personnel est soumis au respect de la loi Informatique et libertés.
22. L’Institut International du Froid s’engage à prendre les mesures nécessaires requises par le client pour assurer la sécurité des traitements de données à caractère personnel et ce, en conformité avec l’article 35 de la loi 78-17 du 6 janvier 1978, ainsi qu’au Règlement Général sur la Protection des Données (RGPD) du 27 avril 2017.
Article 7 Licence
23. Le client concède à l’Institut International du Froid une licence non exclusive et gratuite d’utilisation des données à caractère personnel échangées à des fins professionnelles et à des fins de prospection par voie électronique tant pour elle-même que pour les partenaires liés contractuellement avec elle.
Article 8 Cookies
24. Le client reconnaît la possibilité pour l’Institut International du Froid d’utiliser la technique des cookies ou toute autre technique assimilée permettant de tracer la navigation et de collecter ainsi les données associées.
25. Les cookies enregistrent certaines informations qui sont stockées dans une mémoire de l’équipement informatique utilisé par le client.
26. Le client peut à tout moment supprimer les cookies en utilisant son navigateur. Cette option peut entraîner la perte ou la sécurisation de certaines fonctionnalités.