CONFIDENTIALITE ET PROTECTION DES DONNEES PERSONNELLES
Dans le cadre des Prestations qui lui sont confiées, ARTNÉO pourra être amenée à traiter des Données à caractère personnel, appartenant à ses clients.
Le présent document a pour objet de préciser les obligations d’ARTNÉO en matière de gestion des Données à caractère personnel qu’il est susceptible de traiter et/ou auxquelles il est susceptible d’avoir accès dans le cadre de l’exécution des Prestations qui lui sont confiées par ses Clients.
Afin d’assurer une protection élevée des Données Personnelles ainsi qu’un traitement conforme avec l’objet du Contrat et la législation française et européenne, ARTNÉO s’engage à se conformer aux présentes.
ARTICLE 1. DEFINITIONS & DESIGNATION
Les termes dont la première lettre figure en majuscule ont, dans le présent document, le sens qui leur est attribué ci-dessous.
« Client » : a le même sens que dans les Conditions Générales de Vente ARTNÉO
« Contrat » : désigne le Contrat signé entre ARTNÉO et le Client
« Données Personnelles » : désigne les données transmises par le Client à ARTNÉO et qui permettent l’identification directe ou indirecte de personnes physiques.
« Personnes Concernées » : personnes physiques dont les Données Personnelles sont traitées par le Responsable de Traitement.
« Responsable de Traitement » : désigne la personne morale qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ; dans le cadre du Contrat, le responsable de traitement est le Client.
ARTICLE 2. OBJET
La présente Annexe a pour but de déterminer dans quelles conditions ARTNÉO agit en qualité de Fournisseur du Client, Responsable de Traitement.
En tant que Responsable de Traitement, il est expressément prévu que le Client est seul responsable de l’information des Personnes Concernées sur les traitements objet de la présente annexe.
ARTICLE 3. REFERENTIEL
Le présent document a pour référentiel d’application les textes législatifs et réglementaires suivants :
jusqu’au 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ainsi que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
à compter du 25 mai 2018, la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, le cas échéant mise à jour, ainsi que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE ;
en toute hypothèse et, le cas échéant, les lois locales susceptibles d’affecter et de s’appliquer aux Données à caractère personnel en fonction du lieu d’hébergement desdites Données à caractère personnel, étant précisé que, si dans le cadre du Contrat, des lois locales autres que la loi française étaient applicables, ARTNÉO fournira au Client un descriptif complet des dispositions qu’elle contient ainsi que ses impacts concernant la réalisation des prestations décrites au Contrat, notamment concernant les conditions d’accès aux Données à caractère personnel;
les textes et décisions émanant d’autorités administratives indépendantes et notamment ceux de la Commission Nationale de l’Informatique et des Libertés (CNIL).
ARTICLE 4. DESCRIPTION DU TRAITEMENT
Dans le cadre du Contrat, le Client confie à ARTNÉO le(s) traitement(s) ayant les caractéristiques suivantes :
ARTNÉO informe que ces données seront utilisées par ses services et par tout tiers situé dans l’Union Européenne participant à l’exécution des services et notamment :
- pour l’exécution de la prestation de transport, de suivi des colis et de notification de livraison des destinataires,
- pour renforcer et personnaliser la communication vers le Client notamment par l’envoi de newsletters, d’offres spéciales et d’emails spéciaux dans le cadre de la personnalisation de la relation commerciale,
pour mesurer le niveau de satisfaction des destinataires et améliorer les offres et les services d’ARTNÉO par des enquêtes de satisfaction (par mail ou par téléphone) réalisées par des instituts d’étude externes reconnus.
|
Objet |
Finalité |
Durée |
Type de Données Personnelles |
Personnes Concernées |
Rôle d’ARTNÉO
|
Traitement N°1
|
Gestion de la relation client |
Gestion de la relation client et analyse de l'activité commerciale |
Durée de la relation commerciale + 5 ans
|
Nom, prénom, adresse, N° de téléphone, adresse électronique, fax des clients professionnels
|
Clients |
Opérations relatives à la gestion du fichier clients (concernant les propositions commerciales, les grilles tarifaires, les contrats, les factures). Historisation de la relation client (également des correspondances) Elaborer des statistiques commerciales. Optimisation de la démarche commerciale Envoi d'emailing
|
Traitement N°2 |
Service Client
|
Gérer les réclamations des clients du Client
|
13 mois à compter de la livraison
|
Nom Prénom Adresse Postale et Email Coordonnées téléphoniques
|
Clients du Client (destinataires)
|
Gérer les éventuelles réclamations des clients du Client |
Traitement N°3 |
Conservation des Données à caractère personnel
|
Gestion des réclamations et contentieux
|
3 ans d’archive (cf. définition de la CNIL)
|
Nom Prénom Adresse Postale et Email Coordonnées téléphoniques
|
Clients du Client
|
Gestion des réclamations/ contentieux
|
ARTICLE 5. OBLIGATIONS DE ARTNÉO
Afin d’assurer la protection des Données à caractère personnel ainsi que leur traitement conforme, ARTNÉO s’engage à (i) disposer d’une politique interne de protection des Données à caractère personnel et (ii) à traiter les Données à caractère personnel qui lui sont confiées ou auxquelles il aura accès conformément au référentiel défini à l’Article 3.
ARTICLE 6. OBLIGATIONS DU CLIENT
Le Client s’engage à respecter l’ensemble de la réglementation applicable en matière de protection des données personnelles, notamment en ce qui concerne l’information des personnes dans le cadre de la transmission de leurs données à caractère personnel à ARTNÉO pour les besoins de l’exécution du présent Contrat.
ARTICLE 7. SECURITE DES DONNEES PERSONNELLES
ARTNÉO fait ses meilleurs efforts pour assurer la sécurité et la confidentialité des Données à caractère personnel qui lui sont communiquées.
A ce titre, il s’engage (i) à mettre en place des mesures de sécurité organisationnelles ainsi que (ii) des mesures de sécurité techniques appropriées pour préserver la sécurité et l’intégrité des Données à caractère personnel et les protéger contre toute déformation, altération, destruction fortuite ou illicite, endommagement, perte, divulgation ou accès à des tiers non autorisés.
ARTNÉO fait ses meilleurs efforts pour maintenir ces mesures et moyens pour toute la durée du Contrat et à défaut, à en informer dans les plus brefs délais le Client.
En tout état de cause, ARTNÉO s’engage, en cas de changement des moyens visant à assurer la sécurité, l’intégrité et la confidentialité des Données à caractère personnel, à les remplacer par des moyens d’une performance au moins équivalente.
Aucune évolution ne pourra conduire à une régression du niveau de sécurité.
ARTICLE 8. COMMUNICATION A DES TIERS
Les Données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale et/ou réglementaire.
Le Prestataire informera le Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires.
ARTICLE 9. TRANSFERT DES DONNEES PERSONNELLES
ARTNÉO s’engage à ce que pendant toute la durée du Contrat les Données à caractère personnel soient hébergées au sein de datacenters situés sur le territoire de l'Union Européenne.
Toutefois, pour certaines prestations spécifiques, ARTNÉO peut avoir recours à des sous-traitants établis en dehors de l’UE. Certaines Données Personnelles peuvent alors leur être communiquées pour les stricts besoins de leurs missions. Dans ce cas, conformément à la règlementation en vigueur, ARTNÉO exige de ses sous-traitants qu’ils fournissent les garanties nécessaires à l’encadrement et à la sécurisation de ces transferts, notamment par la signature de clauses contractuelles types de la Commission européenne.
ARTICLE 10. SOUS-TRAITANCE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
En qualité de responsable de traitement, le Client donne une autorisation générale au Prestataire lui permettant de recourir à d’autres sous-traitants dans le cadre de l’exécution de ses prestations. A ce titre, ARTNÉO s’engage à mettre à la charge de son (ou ses) sous-traitant(s) les mêmes obligations que celles fixées au présent Contrat pour que soient respectées la confidentialité, la sécurité et l’intégrité des Données à caractère personnel.
ARTNÉO demeure pleinement responsable devant le Client de l'exécution par les sous-traitants de leurs obligations en matière de protection des Données à caractère personnel.
ARTICLE 11. AUDIT
Le Client, s’il le souhaite, pourra réaliser un audit, directement ou par l’intermédiaire de tout sous-traitant externe indépendant, non concurrent direct de ARTNÉO, afin de s'assurer du respect des obligations de ARTNÉO relevant de la réglementation sur la protection des données personnelles.
Il est convenu entre les Parties que le Client ne pourra réaliser un audit qu’une fois par an et devra procéder à un tel audit durant les heures d’ouverture, sans toutefois que l’audit ne puisse perturber les activités de ARTNÉO. Dans ce cas, le Client communiquera à ARTNÉO au moins un mois avant toute demande d’audit, la date de l’audit ainsi que le nom et les références des personnes en charge de l’audit.
Toutefois, sauf en cas de manquement avéré et justifié, le Prestataire pourra produire le résultat d’un audit précédent réalisé par un tiers sur le même périmètre et datant de moins de 12 mois en lieu et place de l’audit demandé par le Client. Dans ce cas, le Prestataire sera réputé avoir satisfait le droit d’audit du Client.
ARTNÉO pourra demander à ce que la date imposée par le Client soit décalée si (i) un autre audit est prévu dans ses locaux aux mêmes dates ou (ii) si la tenue de cet audit risque d’impacter de manière conséquente ses activités. Dans ce cadre, les Parties se mettront d’accord sur une nouvelle date pour la tenue de l’audit.
Il est expressément prévu que le droit d’audit appartient exclusivement au Client.
ARTNÉO pourra refuser pour motif légitime les personnes désignées pour réaliser l’audit. En cas de refus, les Parties se rencontreront afin de s’accorder sur la désignation de l’auditeur. Tout différend sera porté devant les juridictions compétentes.
ARTNÉO collaborera de bonne foi avec l’auditeur et lui communiquera les informations, et documents strictement nécessaires à la réalisation de l’audit.
A l’issue de l’audit, le Client s’engage à communiquer le rapport d’audit à ARTNÉO. ARTNÉO reconnaît et accepte de s’en tenir aux conclusions du rapport de l’auditeur qui lui sera communiqué par le Client et d’en tirer toutes les conséquences nécessaires.
L’audit sera réalisé aux seuls frais du Client.
En tout état de cause, afin de garantir le respect des obligations mises à sa charge aux termes des présentes, ARTNÉO s’engage, à faire réaliser à ses frais, un audit relatif à la mise en conformité à la nouvelle règlementation européenne en matière de données à caractère personnel dans les deux ans qui suivent son entrée en vigueur.
Cet audit sera réalisé par un cabinet d’audit indépendant et de renommée. ARTNÉO partagera avec le Client, sur demande de ce dernier, les conclusions de l’audit et les plans d’action à mener.
ARTICLE 12. NOTIFICATION D’INCIDENTS DE SECURITE
Un « incident de sécurité » (ci-après désigné « Incident ») s’entend comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée à des tiers de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
ARTNÉO s’engage à notifier sans délai injustifié au Client, et en particulier à la personne désignée comme point de contact, par téléphone et par email, puis confirmer par écrit, tout Incident entraînant accidentellement ou de manière illicite la perte, l’altération, la divulgation ou l’accès non autorisé à des Données à caractère personnel faisant l’objet du traitement.
Cette notification doit préciser :
- la nature et les conséquences de l’Incident,
- les mesures déjà prises ou celles qui sont proposées pour y remédier ;
- les personnes auprès desquelles des informations supplémentaires peuvent être obtenues ; et,
- lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par l’Incident.
Dès qu’il est informé d’un Incident, ARTNÉO procède à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dans un délai aussi rapide que possible et de faire en sorte d’en diminuer l’impact pour les personnes concernées.
ARTNÉO s’engage à informer le Client de ses investigations.
ARTNÉO s’engage à collaborer activement avec le Client pour qu’il soit en mesure de répondre à ses obligations réglementaires et contractuelles.
Il revient au Client, en tant que Responsable du Traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.
ARTICLE 13. DROIT DES PERSONNES
ARTNÉO s'engage à permettre au Client l'exécution de ses obligations légales en lien avec le respect du droit des Personnes concernées par la prestation, incluant :
● Le droit d'accès : extraction dans un format lisible des informations dont ARTNÉO dispose, dans le cadre de la relation avec le Client, sur la personne concernée à partir d’un numéro de dossier, de devis ou de facture ;
● Le droit de rectification ou de suppression, pour lequel une attestation d'exécution pourra être demandée ;
● Le droit à la portabilité des Données ;
● Le droit à la limitation du Traitement.
Dans l’hypothèse où ARTNÉO serait saisie directement, d’une demande portant sur les droits visés ci-dessus, elle s’engage à traiter la demande dans les délais légaux et réglementaires prévus.
Conformément au Référentiel défini à l’Article 3, il est entendu que le Client peut exercer les droits ci-dessus par l’envoi d’un courrier recommandé avec accusé de réception adressé au Service Juridique à l’adresse du siège social de ARTNÉO ou par email à l’adresse suivante : secretariat@artneo.fr en précisant ses nom, prénom, adresse postale et en joignant une copie recto-verso de sa pièce d'identité.
En cas de difficulté en lien avec la gestion de ses données personnelles, le Client a le droit d’introduire une réclamation auprès de la CNIL ou auprès de toute autorité de contrôle compétente.
Le Client est informé que, le Délégué à la Protection des Données peut être contacté à l’adresse suivante :
Madame la Déléguée à la Protection des Données du groupe La Poste, CP C703, 9 rue du Colonel Pierre Avia 75015 Paris.
ARTICLE 14. EVOLUTION
Le présent document pourra être modifié par Client et soumis à l’approbation de ARTNÉO. Le document modifié sera communiqué à ARTNÉO qui s’engage à le respecter sans délai, à moins que son application soit particulièrement onéreuse pour ARTNÉO. Dans cette hypothèse les Parties acceptent de se rencontrer pour négocier et adapter les termes du document modifié. En dehors de cette hypothèse et en cas de refus de ARTNÉO, le Client aura le droit de résilier le Contrat, dans les termes prévus en cas de résiliation pour faute.
ARTICLE 15. ENTREE EN VIGUEUR ET DUREE
Dans la mesure où le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE est sera applicable à partir du 25 mai 2018, le présent accord entre en vigueur à cette même date et reste en vigueur pour la durée du Contrat, étant entendu que les clauses qui par nature survivent au Contrat continueront à s’appliquer.