Accord de sous-traitance des données personnelles (DPA) – MobiCSE

1.1. Responsable de traitement (le « Client »)

Le Client, utilisateur des services MobiCSE, agit en qualité de responsable de traitement au sens du RGPD pour les traitements de données à caractère personnel mis en œuvre via la plateforme.

Identification du Client : telle que figurant dans le bon de commande / devis / souscription.

1.2. Sous-traitant (MobiCSE)

MobiCSE agit en qualité de sous-traitant au sens du RGPD, pour les traitements réalisés pour le compte du Client.

Identification MobiCSE :
Dénomination sociale : LORRIS TUZZA
Adresse : 57 RUE DE LA FONTAINE 30230 BOUILLARGUES
Email de contact RGPD : admin@mobicse.fr

Sauf définition contraire, les termes « données à caractère personnel », « traitement », « violation de données », « sous-traitant » et « responsable de traitement » ont le sens qui leur est donné par le RGPD.

• Services : la plateforme MobiCSE et ses fonctionnalités, telles que souscrites par le Client.

• Données du Client : l’ensemble des données et contenus déposés, importés, saisis ou générés par le Client dans le cadre des Services, incluant les données à caractère personnel.

Les caractéristiques des traitements confiés à MobiCSE (objet, durée, nature, finalités, catégories de données et de personnes concernées) sont décrites en Annexe 1.
Le Client détermine seul les finalités et moyens des traitements réalisés via la plateforme.

4.1. MobiCSE traite les données à caractère personnel uniquement sur instruction documentée du Client, notamment telle que résultant :

• des CGV et du présent DPA,

• des paramétrages et actions du Client dans la plateforme,

• et, le cas échéant, de toute instruction écrite complémentaire du Client conforme aux CGV.

4.2. Si MobiCSE estime qu’une instruction viole le RGPD ou toute autre disposition applicable relative à la protection des données, MobiCSE en informe le Client dans un délai raisonnable.

MobiCSE s’assure que les personnes autorisées à traiter des données à caractère personnel :

• s’engagent à respecter la confidentialité, ou sont soumises à une obligation légale appropriée de confidentialité ;

• reçoivent, lorsque nécessaire, une sensibilisation adaptée à la protection des données.

6.1. MobiCSE met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD.

6.2. Un descriptif des mesures de sécurité de référence est fourni en Annexe 2 (mesures “socle”). Le Client reconnaît que la sécurité dépend également de ses propres choix et usages (gestion des accès, mots de passe, postes de travail, paramétrages, habilitations, etc.).

6.3. MobiCSE peut faire évoluer ses mesures de sécurité pour maintenir un niveau de protection approprié, sans diminuer substantiellement le niveau global de sécurité.

7.1. Le Client autorise MobiCSE à recourir à des sous-traitants ultérieurs pour tout ou partie des traitements, dans la mesure nécessaire à l’exécution des Services (hébergement, emailing transactionnel, stockage, support, etc.).

7.2. MobiCSE s’assure que ses sous-traitants ultérieurs présentent des garanties suffisantes et conclut avec eux un contrat imposant des obligations de protection des données au moins équivalentes à celles du présent DPA.

7.3. Liste des sous-traitants ultérieurs
La liste à jour des sous-traitants ultérieurs est mise à disposition ici :

• REDUCCE : Billetterie CE et Collectivités 185 All. des Frènes, 69760 Limonest

• LYRA (PAYZEN) 109 rue de l’Innovation, 31670 Labège

• PONTO solution d'Isabel Group Keizerinlaan 13-15 1000 Brussels

• SCALEWAY 8 rue de la Ville l'Evêque 75008 Paris

• AMAZON WEB SERVICES 38 avenue John F. Kennedy, L-1855, Luxembourg

• MONGODB FRANCE 20 rue Quentin-Bauchart 75008 Paris

MobiCSE informera le Client de tout changement substantiel (ajout ou remplacement d’un sous-traitant ultérieur) par tout moyen utile (email, notification applicative ou mise à jour de la liste). Le Client peut s’y opposer pour motif légitime lié à la protection des données, dans un délai de 15 jours à compter de l’information. En cas d’opposition non résolue, chaque partie pourra mettre fin au Service concerné dans les conditions prévues aux CGV.

8.1. Droits des personnes concernées

Le Client demeure responsable de répondre aux demandes d’exercice de droits (accès, rectification, effacement, limitation, opposition, portabilité, etc.).
Dans la mesure où MobiCSE reçoit directement une demande, MobiCSE la transmet au Client dans un délai raisonnable, sauf obligation légale de traitement direct.

MobiCSE fournira une assistance raisonnable au Client, dans la limite de ses moyens techniques et de l’utilisation standard de la plateforme, afin de permettre au Client de répondre aux demandes.

8.2. Violation de données (RGPD art. 33–34)

En cas de violation de données à caractère personnel concernant les données traitées pour le compte du Client, MobiCSE :

• notifie le Client dans les meilleurs délais après en avoir eu connaissance ;

• communique les informations utiles raisonnablement disponibles permettant au Client de satisfaire à ses obligations de notification auprès de l’autorité de contrôle et, le cas échéant, des personnes concernées.

Le Client demeure responsable des décisions de notification aux autorités et/ou aux personnes concernées.

8.3. AIPD (RGPD art. 35)

Le Client demeure seul responsable de déterminer si une AIPD est requise et, le cas échéant, de la réaliser.
MobiCSE fournira au Client, sur demande, les informations raisonnablement nécessaires relatives aux Services et aux mesures de sécurité afin de l’aider à conduire cette analyse.

MobiCSE tient un registre des catégories d’activités de traitement effectuées pour le compte du Client, dans la mesure requise par le RGPD.

10.1. Par défaut, MobiCSE met en œuvre les Services de manière à éviter les transferts de données hors de l’Espace Économique Européen (EEE), dans la limite de son architecture et de ses sous-traitants.

10.2. Si un transfert hors EEE devait être nécessaire, MobiCSE s’engage à mettre en place un mécanisme de transfert conforme au RGPD (par exemple clauses contractuelles types, mesures complémentaires, etc.) et à en informer le Client.

11.1. MobiCSE met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.

11.2. Le Client peut réaliser un audit raisonnable relatif aux seules obligations du présent DPA, au maximum une fois par an, aux frais du Client, sous réserve :

• d’un préavis écrit d’au moins 30 jours,

• d’un périmètre limité aux traitements du Client,

• du respect des obligations de confidentialité et de sécurité,

• et de l’absence d’accès à des informations relevant d’autres clients.

11.3. Les audits sur site ne peuvent être réalisés que si un audit documentaire est insuffisant et si la demande est justifiée par un motif légitime de conformité. MobiCSE peut proposer une alternative équivalente (attestations, rapports de sécurité, audit tiers, etc.).

12.1. À l’expiration ou la résiliation des Services, le Client demeure seul responsable de la récupération / export de ses données dans les conditions prévues aux CGV, notamment l’article relatif à la Réversibilité et restitution des données.

12.2. Sauf obligation légale de conservation applicable à MobiCSE, MobiCSE procède, au choix du Client et selon les modalités prévues aux CGV :

• soit à la suppression des données à caractère personnel traitées pour le compte du Client,

• soit à leur restitution via les fonctionnalités d’export mises à disposition.

12.3. Le Client reconnaît qu’au-delà du délai contractuel de récupération des données prévu aux CGV, MobiCSE peut procéder à la suppression irréversible des données.
Les données résiduelles éventuellement présentes dans des sauvegardes techniques peuvent subsister pendant une durée limitée n’excédant pas 90 jours, avant écrasement automatique, et ne sont pas réutilisées à d’autres fins.

Le Client s’engage à :

• traiter les données de manière licite, loyale et transparente, et disposer d’une base légale appropriée ;

• informer les personnes concernées conformément au RGPD ;

• ne traiter via la plateforme que les données strictement nécessaires ;

• gérer les habilitations (comptes, rôles, accès), maintenir la confidentialité de ses identifiants et sécuriser ses postes ;

• s’assurer que les données importées dans la plateforme sont pertinentes, exactes et mises à jour ;

• répondre aux demandes d’exercice de droits et aux obligations réglementaires lui incombant.

Chaque partie est responsable du respect des obligations qui lui incombent au titre du RGPD pour son rôle.

MobiCSE ne peut être tenue responsable de la conformité des traitements décidés et paramétrés par le Client (finalités, catégories de données, durées de conservation, destinataires, informations délivrées aux personnes, etc.). Les limitations de responsabilité prévues aux CGV s’appliquent, sous réserve des dispositions d’ordre public.

15.1. Hiérarchie : Le présent DPA fait partie intégrante des CGV. En cas de contradiction sur les sujets “données personnelles”, le DPA prévaut.

15.2. Évolution du DPA : MobiCSE peut mettre à jour le présent DPA pour tenir compte d’évolutions légales, réglementaires ou techniques. Le Client en sera informé par tout moyen utile. Si une modification a un impact substantiel négatif, le Client pourra résilier le Service concerné dans les conditions prévues aux CGV.

15.3. Contact : Toute demande relative au présent DPA peut être adressée à : admin@mobicse.fr

Objet du traitement : Fourniture et exploitation de la plateforme MobiCSE (gestion CSE, modules souscrits, stockage et traitement des données importées/saisies par le Client).
Durée du traitement : Durée de l’abonnement + période de réversibilité prévue aux CGV + rétention technique limitée des sauvegardes.
Nature des opérations : collecte, enregistrement, structuration, consultation, extraction/export, hébergement, suppression, support technique.
Finalités : mise à disposition des fonctionnalités de MobiCSE selon la souscription du Client (gestion des activités CSE, justificatifs, reporting, communication, etc.).
Catégories de personnes concernées : salariés et anciens salariés, ayants droit, élus du CSE, prestataires et fournisseurs du CSE, et toute autre catégorie déterminée par le Client.
Catégories de données :

• Données d’identification (nom, prénom, email, identifiants internes, etc.)

• Données professionnelles (service, statut, informations nécessaires à la gestion CSE)

• Données financières / justificatives liées aux activités gérées par le CSE (factures, pièces comptables, contrats, etc.)

• Données administratives importées par le Client.
  Données particulières (sensibles) : le Client peut importer des documents susceptibles de contenir des données relevant de catégories particulières (article 9 RGPD) ou des données relatives à des infractions (article 10 RGPD). Le Client demeure seul responsable de la licéité, des bases légales et des garanties appropriées.

MobiCSE met en œuvre notamment, selon les standards de l’industrie et l’état de l’art :

• contrôle d’accès logique (comptes nominatifs, gestion des rôles/habilitations) ;

• journalisation et traçabilité des actions sensibles (selon fonctionnalités) ;

• chiffrement des communications (TLS/HTTPS) ;

• sauvegardes et mécanismes de restauration ;

• protection contre les malwares et mesures de durcissement ;

• cloisonnement logique des environnements ;

• procédures internes de gestion des incidents ;

• politique de gestion des correctifs et mises à jour ;

• restrictions d’accès du personnel (besoin d’en connaître) ;

• mesures organisationnelles de confidentialité.

Le présent DPA est réputé accepté par le Client lors de la souscription aux services MobiCSE, et/ou à la date d’acceptation des CGV, et s’applique pendant toute la durée de fourniture des Services.