« Protection des données à caractère personnel »

  1. Objet

    Le présent document a pour objet de définir les conditions dans lesquelles Merci Oscar ! s’engage à effectuer le traitement de données à caractère personnel définies ci-après de collaborateurs de ses entreprises clientes.
    Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD »), et la loi n° 78-17 du 06 janvier 1978 modifiée, relative à l’Informatique, aux Fichiers et aux Libertés.


  2. Description du traitement

    Merci Oscar ! traite les données à caractère personnel nécessaires pour mettre en place et fournir une prestation de conciergerie solidaire à destination des salariés des entreprises clientes.

      La durée du traitement suit la durée du contrat de prestation de services. Les données à caractère personnel ne devront pas donner lieu à archivage. Cependant, les données des collaborateurs n’ayant pas réglé leurs prestations restent enregistrés le temps de solder lesdites factures.

      La nature des opérations réalisées sur les données à caractère personnel (DCP) est d’une part le traitement des demandes liées aux prestations fournies (soit directement auprès du concierge, soit via la plateforme de réservation en ligne) et, d’autre part, la facturation directe auprès de l’agent.

      La ou les finalité(s) du traitement sont : la réalisation de prestations liées à la gestion du quotidien, de prestations à domicile ou de prestations de bien-être.

      Les données à caractère personnel traitées sont les informations exigibles en matière de contrôle d’identité (nom, prénom, civilité, adresse mail, numéro de téléphone mobile, etc.). Le paiement par carte bancaire s’effectue de façon cryptée auprès de nos opérateurs. Pour le prélèvement par mandat SEPA, les données sont stockées sur 2 serveurs et une copie papier est gardée dans un coffre fort.

      Pour l’exécution de la prestation, objet du présent contrat, Merci Oscar ! s’assure des informations et instructions nécessaires suivantes :

    -          La garantie de la mise en œuvre d’un traitement conforme de données, à savoir : le niveau de conformité entre la finalité (dans quel cadre dispose-t-on des données personnelles) et les moyens mis en œuvre (comment se collecte et se traite les données). La mauvaise utilisation résultera donc d’une inadéquation entre le niveau de consentement et l’utilisation de l’information collectée.

    -          Les mesures mises en œuvre empêchant la possibilité directe ou indirecte de déduire des informations quant aux personnes physiques, qu’il puisse s’exercer un profilage des personnes, par conséquent une intrusion de leur vie privée.

    -          La confirmation que les données gérées ne relèveront pas de données sensibles.

     

  3. Obligations du Sous-traitant vis-à-vis du Responsable de traitemen

    Merci Oscar s'engage à respecter le RGPD et toute norme législative ou règlementaire en vigueur applicable aux données à caractère personnel, et s’engage notamment à respecter les dispositions suivantes.


      3.1 Respect de la finalité du traitement objet de la sous-traitance

    Merci Oscar s’engage à traiter les données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet du contrat de prestation de service.


      3.2 Respect des instructions du responsable de traitement

    Merci Oscar ! s’engage à traiter les données à caractère personnel conformément aux instructions figurant au présent contrat.


     Si Merci Oscar ! considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données à caractère personnel, il en informe immédiatement le RT.


     3.3 Garantie de confidentialité

    Merci Oscar ! s’engage à garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat, et s’engage notamment :

    - à ne faire aucune copie des données à l’exception de celles nécessaires à l’exécution de la prestation objet du contrat ;

    - à ne pas divulguer les données à des personnes non autorisées à en connaître ;

    - à s’assurer que seuls des moyens de communication sécurisés seront utilisés pour transférer les données ;

    - à prendre toute mesure permettant d’éviter toute utilisation détournée ou frauduleuse des données ;

    - à prendre toute précaution conforme aux usages pour préserver les données et empêcher tout accès non autorisé.


      3.4 Obligations par rapport à son personnel

    Merci Oscar ! s’engage à veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

    - s’engagent expressément à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

    - reçoivent la formation nécessaire en matière de protection des données à caractère personnel.


      3.5 Garantie de protection des données dès la conception et par défaut

    Merci Oscar ! s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et par défaut conformément au RGPD.


      3.6 Garantie de localisation géographique des données à caractère personnel

    Merci Oscar ! s’engage à traiter les données à caractère personnel sur le territoire Français ou à tout le moins sur le territoire de l’Union Européenne.         

    A défaut, Merci Oscar ! s’engage à présenter -préalablement au traitement des données- les documents attestant de l’existence de garanties permettant d’assurer un niveau de protection des données suffisant et approprié, dans le respect du RGPD et notamment des dispositions relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales.

    Si Merci Oscar ! est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale en vertu du droit de l’Union Européenne ou du droit de l’Etat membre auquel il est soumis, il doit informer l’entreprise cliente de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ;              


     3.7 La sous-traitance     

    Merci Oscar ! peut faire appel à un autre opérateur pour mener des activités de traitement spécifiques.

    Dans ce cas, Merci Oscar ! est tenu d’en informer préalablement et par écrit l’entreprise cliente, ainsi que de tout changement envisagé.

    Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées de l’opérateur et les dates du contrat de sous-traitance.

    L’entreprise cliente dispose d’un délai de 21 jours à compter de la date de réception de cette information pour présenter par écrit ses objections. La sous-traitance ultérieure ne peut être effectuée que si le RT n'a pas émis d'objection pendant ledit délai.

    L’opérateur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de l’entreprise cliente.

    Il appartient à Merci Oscar ! de s’assurer que l’opérateur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données.

    Si l’opérateur ne remplit pas ses obligations en matière de protection des données, Merci Oscar ! demeure pleinement responsable devant l’entreprise cliente de l’exécution par l’opérateur de ses obligations.


     3.8 Droit d’information des personnes concernées       
    Merci Oscar !, au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doit être convenue avec l’entreprise cliente avant la collecte de données.


     3.9 Exercice des droits des personnes concernées        

    Dans la mesure du possible, Merci Oscar ! doit aider l’entreprise cliente à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

    Merci Oscar ! doit répondre, au nom et pour le compte de l’entreprise cliente et dans les délais prévus par le RGPD aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat. La formulation et le format de la réponse doit être préalablement convenue avec l’entreprise cliente.


     3.10 Notification des violations de données à caractère personnel        

    Merci Oscar ! notifie à l’entreprise cliente, au Délégué à la Protection des Données et au Responsable de la Sécurité des Systèmes d’Information,  toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance, en utilisant un moyen sécurisé (e-mail dont le corps ne contient pas de donnée sensible mais accompagné de pièces jointes chiffrées contenant les détails de la violation de données. Le mot de passe des documents chiffrés sera envoyé par un autre moyen : SMS ou téléphone par exemple)

    Cette notification est accompagnée de toute documentation utile afin de permettre à l’entreprise cliente, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.


     3.11 Assistance du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations
    Merci Oscar ! aide l’entreprise cliente pour la réalisation d’analyses d’impact relative à la protection des données.     
    Merci Oscar ! aide l’entreprise cliente pour la réalisation de la consultation préalable de l’autorité de contrôle.


     3.12  Mesures de sécurité

    Merci Oscar ! peut produire un dossier de sécurité prenant en compte les exigences du RGPD ; le ST doit y décrire les mesures techniques et organisationnelles qu’il met en œuvre, garantissant un niveau de sécurité adapté au risque, y compris, entre autres :

    - la pseudonymisation et le chiffrement des données à caractère personnel ;

    - les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité, la traçabilité et la résilience constantes des systèmes et des services de traitement ;

    - les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

    - une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement (en cours de développement).           

    En tout état de cause, Merci Oscar ! s’engage à mettre en œuvre les mesures de sécurité prévues par le RGPD.       


    3.13 Sort des données à caractère personnel   
    Au terme de la prestation de services relatifs au traitement de ces données ou à l’issue du contrat, Merci Oscar ! s’engage à renvoyer toutes les données à caractère personnel concernées à l’entreprise cliente dans un format facilement exploitable.

    Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit auprès du responsable de traitement de cette destruction.


     3.14 Délégué à la protection des données

    Merci Oscar ! désigne Daniel Etcheverry, délégué à la protection des données, conformément à l’article 37 du règlement européen sur la protection des données


     3.15 Registre des catégories d’activités de traitement 
    Merci Oscar ! déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’entreprise cliente comprenant :

    - le nom et les coordonnées de l’entreprise cliente pour le compte duquel il agit, des éventuels opérateurs et, le cas échéant, du délégué à la protection des données ;

    - les catégories de traitements effectués pour le compte de l’entreprise cliente ;

    - le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ;

    - dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.


     3.16 Documentation

    Merci Oscar ! met à la disposition du RT la documentation nécessaire :

     - pour démontrer le respect de toutes ses obligations -prévues à l’article 28 du RGPD ;

     - pour permettre la réalisation d'audits, y compris des inspections

     - pour contribuer à ces audits. 


  4. Obligations du Responsable de Traitement vis-à-vis du Sous-Traitant

    Merci Oscar ! s’engage à respecter le RGPD et toute norme législative ou règlementaire en vigueur applicable aux données à caractère personnel, et s’engage notamment à : - fournir à l’entreprise cliente la description du traitement et les instructions associées visées au point 2 de la présente annexe ; - documenter par écrit toute instruction concernant le traitement des données par Merci Oscar ! ; - veiller, au préalable et pendant toute la durée du traitement, au respect par Merci Oscar ! des obligations prévues par le RGPD ;