ADDENDUM sur la protection des données

Dans le cadre des relations contractuelles entre Touche Pas à La Paye (TPLP) et le client, les parties s’engagent à respecter la règlementation en vigueur relative aux traitements de données à caractère personnel, notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD).  

Cet addendum vise à encadrer et préciser les modalités du traitement des données à caractère personnel (ci-après « le traitement sous-traité »que TPLP (ci-après « le sous-traitant ») s’engage à effectuer au nom et pour le compte du client (ci-après « le responsable du traitement ») 

Le responsable du traitement et le sous-traitant sont ci-après dénommés conjointement les « parties ».  

Ce document est intégré aux Conditions Générales de Ventes de TPLP : il annule, remplace et prévaut sur toutes les dispositions relatives à la protection des données à caractère personnel convenues entre les parties, notamment dans les CGV de la Lettre de mission. Les autres dispositions de la Lettre de Mission restent inchangées. 

Dans le cadre du présent document, les termes suivants s’entendent ainsi :  

« Responsable du traitement » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre 

« Sous-traitant » : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement   

 « Données à caractère personnel » (ci-après « données ») : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale 

« Traitement »: désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données ou des ensembles de Données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. 

I. DESCRIPTION DU TRAITEMENT SOUS-TRAITÉ 

1. Service fourni

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le service de gestion de la paie et des ressources humaines tel que prévu par la lettre de mission.  

2. Données à caractère personnel traitées  

Les données à caractère personnel traitées sont :  

  • Données courantes  
  • Identité : nom(s), prénom(s), sexe, date et lieu de naissance, nationalité, adresse mailnuméros attribués par les organismes d’assurances sociales, de retraite et de prévoyance  
  • Vie personnelle : situation familiale / matrimoniale  
  • Vie professionnelle : lieu de travail, numéro d’identification interne/matricule, date d’entrée dans l’entreprise, ancienneté, titre, emploi occupé, catégorie professionnelle, classification, niveau et coefficient hiérarchique, service/département, type de contrat de travail, date du contrat, période d’essai  
  • Informations d’ordre économique et financier : éléments de rémunérations (salaire, avantages, primes, congés, absences, RTT, frais professionnels, cotisations sociales, etc.), coordonnées bancaires, données de prélèvement à la source  
  • Données de localisation : adresse postale  
  • Données sensibles  
  • Appartenance syndicale : statut de délégué / représentant syndical  
  • Santé : copies des arrêts de travail, aptitudes des médecins du travail, statut de travailleur handicapé, taux d’incapacité / invalidité  
  • Mineurs : enfants à charge (nom(s), prénom(s), sexe, date de naissance)  
  • Données particulières  
  • Numéro de sécurité sociale (NIR)  
  • Données relatives à des infractions et condamnations pénales  

3. Finalités du traitement 

Les finalités du traitement sous-traité sont la production de bulletins de paie, l’établissement des déclarations sociales et fiscales et toutes les autres tâches afférentes à la gestion de la paie et des ressources humaines

4. Catégories de personnes concernées 

Les catégories de personnes concernées par le traitement sous-traité sont les salariés du responsable de traitement, y compris les stagiaires.

II. ENTREE EN VIGUEUR ET MODIFICATION DE L’ADDENDUM  

Le présent addendum entre en vigueur à compter de sa notification au responsable du traitement et pour toute la durée de la lettre de mission.  

Le sous-traitant se réserve le droit de modifier le présent addendum afin de se conformer à une toute évolution de la règlementation relative à la protection des données à caractère personnel.  

Toute modification entrera en vigueur à compter de sa notification au responsable du traitement.  

III. OBLIGATIONS DU SOUS-TRAITANT  

Traitement des données selon les finalités  

Le sous-traitant s’engage à traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance et indiquées au I. 3. 

1. Instructions 

Le sous-traitant s’engage à traiter les données conformément aux instructions documentées du responsable du traitement. Le sous-traitant ne doit notamment pas divulguer ou rendre accessible des données à des tiers ; détruire ou altérer des données ; copier ou dupliquer des données au-delà de la mesure nécessaire à l’exécution des instructions ou de la lettre de mission.  

Si le sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable du traitement. Le sous-traitant est en droit de suspendre le traitement correspondant à l’instruction concernée jusqu’à ce qu’elle ait été confirmée ou modifiée par le responsable du traitement.  

2. Lieu du traitement 

Le sous-traitant s’engage à ce que le traitement sous-traité se déroule depuis un Etat membre de l’Union européenne ou de l’Espace Economique Européen.  

Tout transfert de données vers un pays tiers ne peut se faire qu’avec l’accord préalable écrit du responsable du traitement et à condition que les exigences spécifiques des articles 44 et suivants du RGPD soient remplies. 

Si le Sous-Traitant est tenu de procéder à un transfert de Données vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du Traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public. 

3. Confidentialité des données 

Le sous-traitant s’engage à garantir la confidentialité des données et veiller à ce que toutes les personnes qui sont autorisées à traiter les données : 

  • s’engagent à respecter la confidentialité des données ou sont soumises à une obligation légale appropriée de confidentialité ;  
  • reçoivent la formation nécessaire en matière de protection des données à caractère personnel. 

4. Principes de protection des données 

Le sous-traitant s’engage à prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.  

5. Sous-traitance ultérieure 

Le sous-traitant s’engage à ne faire appel à un autre sous-traitant (ci-après « le sous-traitant ultérieur ») qu’après avoir, préalablement et par écrit, informé le responsable du traitement et obtenu son consentement. Le consentement du responsable du traitement ne doit pas être indûment refusé, sous réserve du respect des dispositions mentionnées ci-dessous. 

Le sous-traitant initial doit fournir au responsable du traitement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant ultérieur et les dates du contrat de sous-traitance.  

Le sous-traitant initial veille au respect, par le sous-traitant ultérieur, dobligations contractuelles au moins aussi contraignantes que celles résultant de la lettre de mission. Il s’assure également que le sous-traitant ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD 

Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par le sous-traitant ultérieur de ses obligations.  

Le responsable du traitement a le droit de se faire communiquer et d’auditer la documentation contractuelle pertinente entre le sous-traitant initial et le sous-traitant ultérieur. Le sous-traitant initial doit garantir le droit d’audit du responsable du traitement dans les conditions prévues au III. 17. du présent addendum. 

Le responsable du traitement peut à tout moment retirer le consentement accordé pour le recrutement de sous-traitants ultérieurs, pour motif légitimeUn tel motif est notamment caractérisé en cas de doute justifié sur le respect, par le sous-traitant ultérieur, de la règlementation applicable en matière de protection des données ou des exigences contractuelles résultant de la lettre de mission. 

6. Droit d’information des personnes concernées 

Si le sous-traitant collecte directement des données à caractère personnel auprès des personnes concernées, il s’engage à leur fournir, au moment de la collecte, l’information relative aux opérations de traitement réalisées, conformément aux instructions du responsable du traitement. 

7. Exercice des droits des personnes 

Dans la mesure du possible, le sous-traitant doit aider le responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, d’opposition, droit à la limitation du traitement, à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).  

Lorsque les personnes concernées font auprès du sous-traitant des demandes d’exercice de leurs droitsle sous-traitant doit adresser ces demandes, dès réception, au responsable du traitement qui est seul responsable de la gestion de ces demandes. 

Si le responsable du traitement le demande expressément, le sous-traitant s’engage à répondre, au nom et pour le compte du responsable de traitement, selon le format déterminé par ce dernier et dans les délais prévus par le RGPD, aux demandes d’exercice des droits, s’agissant des données faisant l’objet du traitement sous-traité.  

8. Notification des violations de données à caractère personnel 

En cas de violation de données à caractère personnel (perte, modification, divulgation, destruction, accidentelles ou illicites), le sous-traitant s’engage, au plus tard dans les 24 heures après en avoir pris connaissance, à en aviser par notification le responsable du traitement et à prendre toutes les mesures nécessaires, y compris celles indiquées par le responsable du traitement, pour mettre fin à la violation et en atténuer l’impact. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier la Violation à l’autorité de contrôle compétente. 

Le sous-traitant s’engage à investiguer pour fournir au responsable de traitement la documentation utile, comprenant a minima la cause et la description de la violation, les catégories de données concernées, les catégories et le nombre approximatif de personnes concernées, une description des conséquences probables de la violation et une description des mesures prises ou que le sous-traitant propose de prendre pour remédier à la violation et, le cas échéant, atténuer les éventuelles conséquences négatives.  

Si, il n’est pas possible de fournir toutes ces informations en même temps, celles-ci peuvent être communiquées de manière échelonnée sans retard indu.  

Aide du sous-traitant dans le cadre du respect par le responsable dutraitement de ses obligations. 

Le sous-traitant s’engage à traiter rapidement et correctement toutes les demandes de renseignement du responsable de traitement relatives au traitement des données.  

A la demande du responsable du traitement, le sous-traitant peut aider celui-ci :  

  • à informer les personnes concernées par une violation de données à caractère personnel ;  
  • à constituer le registre de ses activités de traitement ;  
  • pour la réalisation d’analyses d’impact relatives à la protection des données ;  
  • pour la réalisation d’une consultation préalable de l’autorité de contrôle ;  
  • dans le cadre de la défense de ses droits, contre les réclamations fondées sur une violation, alléguée ou réelle, des exigences en matière de protection des données 

9. Autorité de contrôle 

Le sous-traitant s’engage à se soumettre aux enquêtes, avis et mesures des autorités ou organismes compétents concernant les traitements de données effectués dans le cadre de la lettre de mission et les manquements la règlementation civile, pénale ou administrative liée à ces traitements. Dans ce cas, le sous-traitant s’engage à en informer immédiatement le responsable du traitement et à suivre ses instructions, dans la mesure autorisée par la loi.  

Lorsque le responsable du traitement fait l’objet d’une inspection par l’autorité de contrôle, d’une procédure administrative, pénale ou en référé, d’une action en responsabilité par une personne concernée ou un tiers, ou de tout autre réclamation relative à la lettre de mission, le sous-traitant doit tout mettre en œuvre pour assister le responsable du traitement.  

En outre, le sous-traitant est chargé de démontrer aux autorités ou organismes compétents que le responsable du traitement et le sous-traitant ont agi conformément à la réglementation sur la protection des données en vigueur dans le cadre des activités de traitement.  

Si le sous-traitant est tenu de fournir des informations ou d’exécuter tout autre obligation envers une autorité ou un organisme compétent en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il s’engage à ne le faire qu’après consultation préalable du responsable du traitement, sauf si une telle consultation est interdite par une décision de justice.  

Le cas échéant, le sous-traitant informera le responsable du traitement d’une telle obligation et lui fournira toutes les informations pertinentes pour déterminer si la fourniture de données peut avoir lieu et, dans l’affirmative, dans quelles conditions.  

10. Délégué à la protection des données 

Le sous-traitant n’est pas dans l’obligation de nommer un délégué à la protection des données.  

Le point de contact du sous-traitant est M. Régis RAIN, Directeur Marketing, joignable aux coordonnées suivantes :  

  • n° tél. : 02.40.63.85.90  
  • adresse e-mail : donnees@amarris.fr ées@tplpaye.fr  

Le responsable du traitement sera informé immédiatement en cas de changement de point de contact. 

11. Registre(s) de traitement 

Le sous-traitant déclare tenir un registre de toutes les activités de traitements réalisées pour le compte du responsable du traitement, comprenant :  

  • Nom et coordonnées du responsable du traitement, des sous-traitants ultérieurs, le cas échéant, de leurs représentants et délégués à la protection des données ;  
  • Les catégories de traitements effectués pour le compte du responsable du traitement  
  • Sous réserve d’autorisation préalable du responsable du traitement, les transferts de données vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49 §1 al.2 du RGPD, les documents attestant de l’existence de garanties appropriées ;  
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32 §1 du RGPD.  

12. Mesures de sécurité techniques et organisationnelles 

Conformément aux articles 28 et 32 du RGPD, le sous-traitant s’engage à mettre en œuvre et à documenter les mesures de sécurité techniques et organisationnelles suivantes :  

  • pseudonymisation et chiffrement des données à caractère personnel ;  
  • anonymisation, dès leur réception, des données à caractère personnel qui ne sont pas nécessaires à l’exécution de la lettre de mission ;  
  • moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement ; 
  • moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;  
  • réalisation de tests d’intrusion réguliers ;  
  • procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ; 
  • surveillance périodique des processus internes et des mesures de sécurité pour garantir la conformité du traitement sous-traité aux exigences de la règlementation applicable en matière de protection des données et à la lettre de mission.  

Les détaildes mesures techniques et organisationnelles que le sous-traitant met en œuvre sera fourni au responsable du traitement sur demande écrite de sa part. 

13. Sort des données 

Au terme de la prestation de service relative au traitement sous-traité ou, plus tôt, sur demande du responsable du traitement, et, au plus tard, à la résiliation de la lettre de mission, le sous-traitant s’engage, au choix du responsable de traitement, à :  

  • restituer les données au responsable du traitement, sous un format assurant l’exploitabilité, la fiabilité et la confidentialité des données ;  
  • renvoyer les données au sous-traitant désigné par le responsable du traitement, sous un format assurant l’exploitabilité, la fiabilité et la confidentialité des données ;  
  • détruire toutes les données sous un délai de maximum 6 mois après la date de fin de la lettre de mission (avec justification écrite de la destruction, envoyée au responsable du traitement). 

La restitution au responsable du traitement ou le renvoi à un sous-traitant doit s’accompagner de la destruction de toutes les copies de données détenues par le sous-traitant. Pour les besoins du présent alinéa, le terme « données » recouvre toutes les données, documents, résultats de traitement et toutes les utilisations de données liées au traitement sous-traité. Le registre des éléments détruits ou supprimés sera fourni au responsable du traitement sur demande.  

Si, en raison d’une obligation légale, le sous-traitant se trouve dans l’impossibilité de procéder à la restitution ou la destruction de tout ou partie des données, il doit en informer le responsable du traitement par écrit le plus rapidement possible, en fournissant toutes les informations pertinentes pour déterminer si la destruction peut avoir lieu, et dans l’affirmative, dans quelles conditions.  

En cas d’interdiction de détruire tout ou partie des données, le sous-traitant continuera à assurer la confidentialité des données et ne les traitera plus que dans la mesure où cela est strictement nécessaire pour se conformer à l’obligation légale, comme ci-dessus mentionné, ou sur instruction du responsable du traitement.  

14. Documentation et droit d’audit du responsable de traitement 

Le sous-traitant s’engage, sans que cela n’ouvre droit à un quelconque complément de rémunération, à mettre à la disposition du responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’auditspar le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits, sous réserve du respect d’un préavis raisonnable 

En particulier, le responsable du traitement pourra solliciter du sous-traitant :  

  • une description écrite de son système de sécurité et une analyse du risque en lien avec les données, ainsi qu’un descriptif des mesures de sécurité mises en place ;  
  • un accès aux données traitées dans des conditions permettant d’en assurer l’intégrité et la confidentialité.  

S’il apparait, à la suite d’un audit, que les obligations visées par la lettre de mission ou le présent addendum ne sont pas respectées, le responsable du traitement informera le sous-traitant des problèmes de sécurité identifiés. Le sous-traitant s’engage alors, à ses frais, à rectifier ces problèmes dans un délai raisonnable qui ne peut être inférieur à 24 heures suivant l’information du sous-traitant.  

15. Dédommagement 

Le sous-traitant indemnisera le responsable du traitement de l’ensemble des conséquences liées à un éventuel manquement du sous-traitant ou des sous-traitants ultérieurs aux obligations issues du présent addendum, de la lettre de mission ou de la règlementation applicable en matière de protection des données ; en ce compris, les réclamations, actions, dommages-intérêts, sommes, coûts, frais, amendes administratives, ainsi que les honoraires d’avocat et frais de justice raisonnables, dus ou payés par le responsable du traitement, y compris à des personnes concernées.

IV. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT  

Pour l’exécution du service de gestion de la paie et des ressources humaines tel que prévu par lettre de mission, le responsable du traitement s’engage à : 

  • collecter de manière loyale auprès des personnes concernées et fournir au sous-traitant les données à caractère personnel visées par le I. 2., ainsi que toutes autres informations nécessaires à l’exécution du service ;  
  • informer les personnes concernées du traitement de leurs données par le sous-traitant, conformément aux dispositions des articles 13 et 14 du RGPD ;  
  • documenter par écrit toute instruction concernant le traitement des données par le sous-traitant ;  
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du sous-traitant ;  
  • superviser le traitement sous-traité, y compris réaliser des audits et inspections auprès du sous-traitant et/ou des sous-traitants ultérieurs, sous réserve du respect d’un préavis raisonnable.  

Il transmet également l’identité et les coordonnées de son délégué à la protection des données ou de la personne de référence en la matière, s’il en a nommé un(e). 

V. DISPOSITION FINALE  

Si le traitement sous-traité devient illégal en raison d’une modification de la règlementation sur la protection des données à caractère personnel ou est jugé illégal par une autorité compétente en la matière, les parties prennent rapidement des mesures pour assurer sa conformité avec ladite règlementation.