Contrat pour le traitement des commandes d'hébergement et de télémaintenance

 

Entre

ColorGATE Digital Output Solutions GmbH, Große Düwelstraße 1, 30171 Hannover

  • ci-après dénommé "contractant" -

Et

au client final

  • ci-après dénommé "client" -

 

Préambule

Le client souhaite confier au contractant les services décrits plus en détail dans le cadre du contrat. Une partie de l'exécution du contrat consiste en un traitement de données à caractère personnel. En particulier, l'article 28 GDPR pose certaines exigences pour ce traitement de commande. Afin de se conformer à ces exigences, les parties concluent l'accord suivant :

 

  1. Définitions
    1. Conformément à l'article 4(7) du GDPR, le responsable du traitement est l'organisme qui décide, seul ou conjointement avec d'autres responsables du traitement, des finalités et des moyens du traitement des données à caractère personnel.
    2. Conformément à l'article 4(8) du GDPR, le sous-traitant est une personne physique ou morale, une autorité, un organisme ou un autre organe qui traite des données à caractère personnel pour le compte du responsable du traitement.
    3. Les données à caractère personnel sont, conformément à l'article 4, paragraphe 1, du GDPR, toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée la personne concernée) ; Est identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par association avec un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou une ou plusieurs caractéristiques spécifiques qui sont l'expression de l'identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique.
    4. Les données à caractère personnel particulièrement sensibles sont les données personnelles conformément à l'article 9 GDPR, qui font place à l'origine raciale et ethnique, aux opinions politiques, aux croyances religieuses ou idéologiques ou à l'appartenance syndicale des personnes concernées, les données personnelles conformément à l'art. 10 GDPR concernant les condamnations pénales et les infractions pénales ou les garanties connexes ainsi que les données génétiques conformément à l'art. 4 sec. 13 GDPR, les données biométriques conformément à l'art. 4 sec. 14 GDPR, les données de santé conformément à l'art. 4 sec. 15 GDPR et les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique.
    5. Conformément à l'article 4, paragraphe 2 du GDPR, le traitement est toute opération ou série d'opérations effectuées avec ou sans l'aide de procédés automatisés en rapport avec des données à caractère personnel, telles que la collecte, le recueil, l'organisation, la commande, la conservation, l'adaptation ou la modification, la lecture, l'interrogation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, la comparaison ou la mise en relation, la limitation, l'effacement ou la destruction.
    6. Conformément à l'article 4, paragraphe 21 du GDPR, l'autorité de contrôle est un organisme public indépendant établi par un État membre conformément à l'article 51 du GDPR.
  1. Indication de l'autorité de contrôle compétente en matière de protection des données.
    1. L'autorité de contrôle compétente pour le contractant et le client sont les représentants nationaux respectifs pour la protection des données.
    2. Le client et le contractant coopèrent avec l'autorité de contrôle sur demande dans l'exécution de leurs tâches.
  1. Portée du contrat
    1. Le client a chargé le contractant de fournir le logiciel, dont le contractant a concédé une licence au client en vertu d'un contrat de licence de logiciel, via son serveur ("hébergement").
    2. Le mandataire n'effectue que les activités nécessaires à l'exécution des services commandés. Il les exécute exclusivement dans le cadre des accords conclus et conformément aux instructions du mandant. Les modifications du champ d'activité et les changements de procédure doivent être convenus par écrit. Le mandataire stocke ou traite les données personnelles exclusivement pour le compte et sous la direction du client.
    3. Le traitement n'a lieu que dans la mesure où il a été convenu entre les parties. Cela inclut également les activités où les données migrent d'un système à un autre.
  1. Droit d'instruction
    1. Le mandataire ne peut collecter, traiter ou utiliser des données que dans le cadre de l'accord conclu avec le client ; cela s'applique en particulier au transfert de données personnelles à un pays tiers ou à une organisation internationale. Si le contractant est tenu par le droit de l'Union européenne ou des États membres auxquels il est soumis de procéder à un traitement ultérieur, il notifie ces exigences légales à l'entité contractante avant le traitement.
    2. Les instructions du mandant sont déterminées par le présent contrat et peuvent être modifiées, complétées ou remplacées à tout moment par le mandant sous forme écrite ou de texte par des instructions individuelles. Le client a le droit de donner des instructions appropriées à tout moment. Cela inclut les instructions concernant la correction, l'effacement et le blocage des données.
    3. Si l'entrepreneur considère qu'une instruction du client viole les règles de protection des données, il doit en informer le client immédiatement. L'entrepreneur est en droit de suspendre l'exécution de l'instruction concernée jusqu'à ce qu'elle soit confirmée ou modifiée par le client. Le prestataire peut refuser d'exécuter une instruction manifestement illégale.
  1. Type de données traitées et cercle des personnes concernées
    1. Dans le cadre de l'exécution du contrat principal, le contractant a accès aux données personnelles suivantes :

- nom et prénom

- le pays

- nom de la société

- adresse électronique

    1. Les catégories de personnes suivantes sont concernées par le traitement :

- Les employés du pouvoir adjudicateur

 

  1. Mesures de protection du contractant
    1. Le contractant est tenu de respecter les dispositions légales en matière de protection des données et de ne pas transmettre à des tiers les informations obtenues dans le domaine du client ou de suspendre leur accès. Les documents et les données doivent être protégés contre la connaissance de personnes non autorisées, compte tenu de l'état de la technique.
    2. Le contractant, dans son domaine de responsabilité, concevra l'organisation interne de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il prend toutes les mesures techniques et organisationnelles nécessaires pour protéger de manière adéquate les données du contractant conformément à l'article 32 GDPR, en particulier au moins les mesures de la.

a) contrôle des entrées

b) contrôle de l'accès physique

c) contrôle d'accès

d) contrôle de la communication

e) contrôle des entrées / contrôle de plausibilité

f) contrôle des commandes

g) contrôle de disponibilité

h) contrôle de la séparation des données

Le contractant se réserve le droit de modifier les mesures de sécurité prises, en veillant à ce que le niveau de protection convenu contractuellement ne soit pas dépassé.

    1. Il est interdit aux personnes employées dans le traitement des données par le contractant de collecter, traiter ou utiliser des données personnelles sans autorisation. Le contractant obligera toutes les personnes chargées par lui du traitement et de l'exécution du présent contrat (ci-après dénommées "employés") en conséquence et veillera à ce que cette obligation soit respectée avec le soin nécessaire. Ces obligations doivent être telles qu'elles restent en vigueur même après la fin du présent contrat ou de la relation de travail entre l'employé et le contractant. Sur demande, le pouvoir adjudicateur prouve les obligations de manière appropriée.
  1. Obligations d'information du contractant
    1. En cas de dysfonctionnements, de suspicion de violations de données ou de manquements aux obligations contractuelles du contractant, de suspicion d'incidents liés à la sécurité ou d'autres irrégularités dans le traitement des données personnelles par le contractant, les personnes employées par lui dans le cadre du contrat ou par des tiers, le contractant informe immédiatement le client sous forme écrite ou de texte. Il en va de même pour les audits du contractant par l'autorité de contrôle de la protection des données. La notification d'une violation de la protection des données personnelles contient au moins les informations suivantes :

a) une description de la nature de la violation de la protection des données à caractère personnel, y compris, si possible, les catégories et le nombre de personnes concernées, les catégories concernées et le nombre d'ensembles de données à caractère personnel concernés ;

b) une description des mesures prises ou proposées par le contractant pour remédier à la violation et, le cas échéant, des mesures visant à atténuer ses effets négatifs potentiels.

    1. Le contractant doit immédiatement prendre les mesures nécessaires pour sécuriser les données et réduire les éventuelles conséquences négatives pour les personnes concernées, informer le client et demander des instructions supplémentaires.
    2. Le contractant est également tenu de fournir au client des informations à tout moment, dans la mesure où ses données font l'objet d'une violation conformément aux dispositions de la section Le tiers de l'autre. 7.1 sont affectées.
    3. Si les données du client sont mises en danger par une saisie, une procédure d'insolvabilité ou de règlement ou par d'autres événements ou mesures de tiers, le preneur d'ordre doit en informer immédiatement le client, à moins que cela ne soit interdit par un tribunal ou une décision officielle. Dans ce contexte, le contractant informera immédiatement toutes les autorités compétentes que l'autorité décisionnelle sur les données appartient exclusivement à l'entité contractante en tant que " personne responsable " au sens du GDPR.
    4. Le contractant doit informer immédiatement le client de toute modification importante des mesures de sécurité conformément à l'article 6(2).
  1. Droits de contrôle du client
    1. Le contractant s'engage à fournir au client, dans un délai raisonnable, toutes les informations et preuves nécessaires pour effectuer un contrôle des mesures techniques et organisationnelles du contractant.
    2. Le client documente le résultat du contrôle et en informe le contractant.
  1. Recours à des sous-traitants

Les prestations convenues contractuellement ou les prestations partielles décrites ci-après sont réalisées avec l'aide du sous-traitant suivant : ColorLogic GmbH, Robberkamp 40, 48432 Rheine. Le contractant est autorisé, dans le cadre de ses obligations contractuelles, à établir d'autres relations de sous-traitance avec des sous-traitants. L'entrepreneur est tenu de sélectionner soigneusement les sous-traitants en fonction de leur aptitude et de leur fiabilité. Lorsqu'il engage des sous-traitants, le contractant les oblige conformément aux dispositions de la présente convention, en veillant à ce que le client puisse également exercer ses droits en vertu de la présente convention, en particulier ses droits d'audit et de contrôle, directement vis-à-vis des sous-traitants. Lorsque des sous-traitants doivent intervenir dans un pays tiers, le contractant s'assure qu'un niveau approprié de protection des données est garanti par le sous-traitant concerné.

 

  1. Responsabilité
    1. Le contractant et le donneur d'ordre sont conjointement et solidairement responsables de la réparation des dommages subis par une personne du fait d'un traitement de données incorrect ou inadmissible dans le cadre de l'exécution du présent contrat.
    2. Si le mandataire prétend que le dommage ne résulte pas d'une circonstance qui lui est imputable, il lui incombe d'en apporter la preuve dans la mesure où les données concernées ont été traitées par lui dans le cadre de la relation contractuelle. Le mandataire libère le client de toutes les prétentions formulées à son encontre dans le cadre du contrat, tant que le mandataire n'a pas apporté la preuve visée au p. 1, et lui rembourse tous les frais de défense juridique.
    3. Dans les rapports internes, le mandataire est responsable envers le mandant des dommages que le mandataire ou le sous-traitant mandaté par lui cause de manière fautive dans le cadre de l'exécution du présent contrat.
  1. Durée du contrat et droit de résiliation extraordinaire
    1. La durée du présent contrat est régie par les termes du contrat de licence de logiciel conclu entre les parties.
    2. Le client peut résilier le contrat principal en tout ou partie sans préavis si le contractant ne remplit pas les obligations qui lui incombent en vertu du présent contrat, s'il enfreint intentionnellement ou par négligence grave les dispositions du RGPD ou s'il ne peut ou ne veut pas exécuter les instructions du client. En cas d'infractions simples, c'est-à-dire ni intentionnelles ni par négligence grave - le donneur d'ordre fixe au preneur d'ordre un délai raisonnable dans lequel ce dernier peut renoncer à l'infraction.
  1. Résiliation du contrat
    1. Le contractant restituera au client après la résiliation du contrat ou à tout moment à sa demande tous les documents, données et supports de données qui lui ont été fournis ou - à la demande du client, à moins qu'il n'existe une obligation de conservation des données personnelles en vertu du droit de l'Union ou du droit fédéral de la République fédérale d'Allemagne. Cela vaut également pour les éventuelles sauvegardes de données chez le contractant. Les documents à éliminer doivent être détruits par un déchiquetage conforme à la norme DIN 32757-1. Les supports de données à éliminer doivent être détruits conformément à la norme DIN 66399.
    2. Le client a le droit de vérifier la restitution ou la suppression complète et conforme au contrat des données chez le contractant de manière appropriée.
    3. Le contractant est tenu de traiter confidentiellement les données dont il a connaissance dans le cadre du contrat principal, même après la fin du contrat. Le présent accord reste valable au-delà de la fin du contrat principal tant que le contractant dispose de données personnelles qui lui ont été transmises ou qu'il a collectées pour lui.
  1. Dispositions finales
    1. Les parties conviennent que l'objection du droit de rétention du contractant au sens de l'article 273 du Code civil allemand (BGB) est exclue en ce qui concerne les données de traitement et les supports de données associés.
    2. Les modifications et compléments du présent accord doivent être effectués par écrit. Cela vaut également pour la renonciation à cette exigence formelle. La primauté des accords contractuels individuels n'en est pas affectée.
    3. Si certaines dispositions du présent contrat ne sont pas ou deviennent, en tout ou en partie, juridiquement inefficaces ou inapplicables, la validité des autres dispositions n'en est pas affectée.
    4. Le présent accord est régi par le droit allemand. Le lieu de juridiction exclusif est Hanovre, en Allemagne.