×
Nicole Dubré-Chirat, députée de Maine-et-Loire
Accueil
Contact
Menu

Traitement des données personnelles

Mise à jour au 25 mai 2018

 

1.INTRODUCTION

 

1.1 Le Client a conclu un contrat avec MPGH (ci-après désigné le « Contrat »). Le présent document qui a valeur d’avenant au Contrat a pour objet d’informer le Client sur les obligations à la charge de MPGH en matière de traitement de données personnelles. Le présent document entre en vigueur à compter du 25 mai 2018, date d’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

 

1.2 Le présent Avenant s'applique aux traitements de données à caractère personnel mis en œuvre par MPGH et ceux réalisés pour le compte du Client en vertu du Contrat.

 

1.3 Au sens de la réglementation applicable et notamment du Règlement européen de protection des données n°2016-679 (ci-après « Règlement »), le Client constitue « le responsable des traitements » ou « la personne concernée » et MPGH constitue le « sous-traitant » ou « le responsable des traitements » en fonction des traitements réalisés.

 

Les Parties s’engagent à mettre tout en œuvre pour que les traitements mis en œuvre soient progressivement mis en conformité avec les dispositions du Règlement, et ceci dès la signature du contrat.

 

2. MPGH SOUS-TRAITANT AU SENS DU REGLEMENT UE 2016/679

 

2.1 Objet, durée des traitements et catégories de personnes concernées.

Dans le cadre de la fourniture de l’Application ou Software ou logiciel et des services associés (ci-après le ou les « Service(s) »), MPGH pourra avoir accès, en qualité de sous-traitant, à des données à caractère personnel au sens du Règlement. MPGH pourra ainsi être amené à procéder à des traitements des données et ce, pour le compte du Client, responsable de traitement, aux seules fins de fourniture de l’Application et des services associés et pour la durée prévue au présent Contrat.

 

2.2 Catégories de données.

Il est expressément rappelé le caractère strictement confidentiel de toutes les données à caractère personnel collectées et traitées dans le cadre de l’Application utilisée et des services associés, en incluant notamment les données relatives à l’identification des personnes concernées, leur vie personnelle, leur vie professionnelle, des données de connexion et de traçabilité.

 

2.3 Nature et finalité(s) des traitements.

MPGH s’engage à ne pas traiter les données personnelles transmises pour des finalités autres que celles du Client c’est-à-dire l’usage de l’Application et de services associés dans le cadre de la gestion de ses propres utilisateurs.

 

2.4 Registre.

MPGH tient tous les registres requis dont le contenu est défini par l'article 30(2) du Règlement et les met à sa disposition du Client sur demande.

 

2.5 Délégué à la protection des données à caractère personnel.

Conformément aux articles 38 et 39 du Règlement, le délégué à la protection des données à caractère personnel ou le service responsable de la protection des données personnelles de MPGH peut être contacté aux coordonnées suivantes : dpo@makepolitic.fr.

2.6 Obligations du Client vis-à-vis de MPGH.

Le Client s’engage à :

  • fournir à MPGH toutes les données nécessaires à la réalisation de ses obligations en vertu du Règlement ;
  • documenter par écrit toute instruction concernant le traitement des données ;
  • veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement ;
  • s’engage à répondre dans un délai de quinze (15) jours à toute demande de MPGH relative au traitement des données personnelles dans le cadre de la fourniture de l’Application ;
  • respecter les obligations qui lui incombent en sa qualité de responsable de traitement, en vertu des dispositions du Règlement.

 

2.7 Obligations de MPGH vis-à-vis du Client.

MPGH garantit qu’il met en œuvre toutes les mesures nécessaires pour préserver la sécurité, l’intégrité, la disponibilité, la résilience et la confidentialité des données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat. Aussi, MPGH s’engage à prendre toutes les mesures requises en vertu de l’article 32 du Règlement et notamment les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, d’intégrité et de confidentialité, et notamment à :

  • ne traiter, consulter ces données à caractère personnel et fichiers que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou de la législation française ; dans ce cas, MPGH informera le Client de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  • ne pas traiter, consulter lesdites données à caractère personnel ou les fichiers dans lesquelles elles figurent à d’autres fins que l’exécution de l’Application qu’il effectue pour le Client au titre du Contrat ;
  • ne pas insérer dans les traitements de données à caractère personnel des données étrangères auxdits traitements ;
  • prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel et des fichiers ;
  • prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;
  • prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;
  • s’interdire la consultation et le traitement des données à caractère personnel autres que celles concernées par les présentes et ce, même si l’accès à ces données à caractère personnel est techniquement possible ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent par écrit à respecter la confidentialité de ces dernières ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;
  • ne pas prendre copie ou stocker, quelles qu'en soit la forme et la finalité, tout ou partie desdites données à caractère personnel contenues sur les supports ou documents qui lui ont été confiés ou recueillies par lui au cours de l'exécution du présent Contrat (outre les opérations techniques strictement nécessaires à l’exécution du Contrat).

 

2.8 Suppression et réversibilité des données.

En fin de Contrat, MPGH s’engage à procéder à la restitution des fichiers détenus et des données à caractère personnel traitées pour le compte de le Client dans un format standard et dans les conditions prévues à votre contrat, et à la destruction de tous fichiers manuels ou informatisés stockant lesdits fichiers et données à caractère personnel (et de toute copie éventuelle) après s’être assuré auprès du Client que ce dernier dispose bien de ces informations, à moins que le droit de l’Union européenne ou la législation française n’exige la conservation de ces données à caractère personnel.

 

2.9 Sous-traitants ultérieurs.

Par ailleurs, sauf disposition contraire dans les présentes, MPGH ne pourra sous-traiter l'exécution de l’Application que dans les conditions autorisées par le Client. MPGH s’engage en outre à informer et à signer un contrat écrit avec chaque sous-traitant imposant à ce dernier le respect des normes édictées par le Règlement, étant précisé qu’en cas de non-respect par un sous-traitant de ses obligations en matière de protection des données à caractère personnel, MPGH demeurera pleinement responsable à l’égard du Client. Par cet avenant, le Client donne son consentement général pour le recrutement d'autres sous-traitants à des fins de traitement des données à caractère personnel. MPGH conserve une liste des sous-traitants à l’adresse suivante : https://www.makepolitic/sous-traitants, qui pourra être actualisée de temps en temps. Au moins 14 jours avant l’arrivée d’un nouveau sous-traitant susceptible de traiter des données à caractère personnel, la liste établie par MPGH sur son site Internet sera actualisée et MakePolitic® fournira un mécanisme permettant au Client d'être avertis de cette mise à jour.

 

2.10 Sécurité et confidentialité.

Au titre de la sécurité et de la confidentialité des données personnelles, MPGH s’engage à (i) garder les données personnelles strictement confidentielles, (ii) mettre en œuvre au sein de ses services en ce compris son infrastructure d’hébergement, les mesures organisationnelles et techniques appropriées afin de protéger les données personnelles, et (iii) établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information). Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en place des mesures techniques et organisationnelles appropriées, afin d'assurer un niveau de sécurité adapté aux risques, incluant notamment, selon les besoins :

  • l’anonymisation et le chiffrement des données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique ; et
  • une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.

Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite.

Les Parties prendront des mesures pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de votre part, sauf si elle est tenue de les traiter par le droit de l'Union ou d'un État membre.

 

2.11 Collaboration.

MPGH, s’engage également à coopérer avec le Client en vue :

  • de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecter ses obligations en vertu du Règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que MPGH fournira au regard du respect de telles obligations ;
  • du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;
  • du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel ; MPGH avertira le Client dans les meilleurs délais dès connaissance d'une violation des données à caractère personnel et répondra raisonnablement aux demandes d'informations supplémentaires du Client, afin de l’aider à remplir ses obligations en vertu des articles 33 et 34 du RGPD ;
  • d’informer immédiatement le Client si, selon lui, une instruction constitue une violation du Règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données ;
  • de la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client. MPGH s’engage également à informer dans les meilleurs délais le Client si, selon lui, une instruction constitue une violation des dispositions applicables en matière de protection des données à caractère personnel.

 

2.12 Contrôle et audit.

Le Client se réserve le droit de procéder, à ses frais, à toute vérification qui lui paraîtrait utile pour constater le respect par MPGH de ses obligations au titre des présentes, notamment au moyen d’audits ou d’inspections. Ces vérifications pourront être réalisées par le Client lui-même ou par un tiers, une fois par an, qu’il aura sélectionné, missionné et mandaté à cette fin, non concurrent de MPGH. Dans ce cadre, MPGH mettra à la disposition du Client ou dudit tiers les informations nécessaires pour apporter la preuve du respect des obligations prévues au sein du présent Contrat, et s’engage à contribuer auxdites vérifications. Les audits doivent permettre une analyse du respect par le Client des présentes et des dispositions applicables en matière de protection des données à caractère personnel, et notamment de s’assurer que des mesures techniques et organisationnelles de sécurité et de confidentialité adéquates sont mises en œuvre, qu’elles ne peuvent pas être contournées sans que cela ne soit détecté et que, dans une telle hypothèse ou dans toute autre hypothèse de survenance d’une violation de données à caractère personnel, une procédure de notification et de traitement par MPGH est mise en œuvre afin d’y remédier sans délai. Plus généralement, chacune des Parties garantit à l’autre le respect des obligations légales et règlementaires lui incombant en matière de protection des données à caractère personnel.

 

2.13 Transferts des données.

MPGH veillera à ce que, dans la mesure où de quelconques données à caractère personnel provenant de l’Union Européenne sont transférées par ses soins à un autre sous-traitant dans un pays ou territoire en dehors de la France et/ou de l’Union Européenne n'ayant pas fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

 

2.14 Responsabilité.

En toute hypothèse, il est rappelé que l’Application fourni par MPGH constitue un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité de MPGH en matière de conformité à la règlementation est strictement limitée au périmètre des Services opérés par ses soins. Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité. En aucun cas la responsabilité de MPGH ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des Services, des finalités poursuivies et des traitements mis en œuvre par ses soins ou à sa demande.

 

 

3. MPGH RESPONSABLE DU TRAITEMENT AU SENS DU REGLEMENT UE 2016/679

 

3.1 Dans le cadre de la fourniture de l’Application de services associés, MPGH traite des données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel, en qualité de responsable du traitement.

 

3.2 Les données recueillies dans le cadre des services susvisés sont traitées aux fins de gérer la relation commerciale, la prospection et l’élaboration de statistiques sur la base des données d’usage des Services et pour d’autres finalités complémentaires.

 

3.3 Les données collectées sont : les coordonnées personnelles des abonnées et utilisateurs, les informations d’identification du compte, les données bancaires, tout commentaire ou information soumis et les coordonnées professionnelles. Les destinataires des données sont le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ; le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) au sein de MPGH, le Client, nos partenaires, nos filiales et nos éventuels sous-traitants dans le respect de la règlementation française et conformément à la Politique de confidentialité.

 

3.4 Les données sont conservées pendant le délai strictement nécessaire à l’accomplissement des finalités susvisées conformément à la Politique de de confidentialité. Les données sont susceptibles de transfert hors du territoire de l’Espace économique européen mais bénéficient des garanties appropriées ou d’une décision d’adéquation conformément à la réglementation applicable.

 

3.5 Le Client reconnait que, lors de l'accès à l’Application en ligne et de l'utilisation des services associés, il lui sera demandé, ainsi qu'aux utilisateurs, de fournir des données à caractère personnel. Il déclare et garantit que ses utilisateurs et lui-même ont respecté toutes les obligations applicables aux termes de la législation relative à la protection des données lorsqu’ils ont fourni des données à caractère personnel, notamment la transmission de toutes notifications requises et l'obtention de tous consentements et autorisations nécessaires pour permettre à MPGH de traiter lesdites données à caractère personnel.

 

3.6 Sur demande, MPGH fournira au Client des données et analyses concernant l'utilisation des services en ligne par les Utilisateurs (ci-après les « Analyses »). Ces analyses identifieront clairement les différents utilisateurs et détailleront leurs activités (y compris, de manière non limitative, les documents et le contenu auxquels ils auront accédé, qu'ils auront imprimés, envoyés par e-mail, téléchargés et recherchés).

MPGH fournira les Analyses au Client, à la condition impérative que :

  • il ne les utilisera en aucun cas à des fins autres que le soutien des processus décisionnels internes, le contrôle de l'utilisation des Services en ligne, les activités qu’il mène avec MPGH en matière d'évaluation des niveaux d'utilisation ;
  • les données des Analyses ne soient pas communiquées à des tiers sans avoir obtenu l’accord écrit préalable de MPGH ;
  • il assume la responsabilité exclusive de la transmission de toutes notifications requises et de l'obtention de tous consentements et autorisations nécessaires de la part des Utilisateurs autorisés au regard de toutes les utilisations des Analyses ;
  • il garantit MPGH contre toute responsabilité, tous préjudices, dommages-intérêts, recours, amendes, sanctions, frais et dépens encourus en raison de tout recours d'un tiers à l’encontre de MPGH résultant de ou en relation avec tout non-respect par le Client des stipulations du présent article.

 

3.7 Conformément à la réglementation applicable en matière de protection des données personnelles, toute personne dispose des droits (i) d’accès, (ii) de rectification, (iii) d’effacement, (iv) de limitation, (v) de portabilité des données et (vi) d’opposition au traitement en s’adressant au DPO de MPGH : dpo@makepolitic.fr ou bien à l’adresse suivante : support@makepolitic.fr, sous réserve le cas échéant de la justification de l’identité de la personne.

 

3.8 En cas de litige, le Client dispose également du droit de saisir la CNIL.