Politique de confidentialité

Au sein du présent document, les termes « Traitement », « Sous-Traitant », « Personnes Concernées », et « Données Personnelles » ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »). Le terme « Prestataire » désigne la société Intrinsec dans le cadre de ses activités d’infogérance et d’hébergement. Le terme « Contrat » désigne le contrat signé entre le client et le Prestataire ainsi que l’ensemble de ses Annexes. Le terme « Services » désigne les prestations fournies par le Prestataire au client, détaillées dans chacun des documents contractuels.

Le Prestataire s’engage à respecter la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite « Informatique et Libertés » et, à partir du 25 mai 2018, le RGPD (ci-après, ensemble désignés la « Réglementation Données Personnelles »).

Les données personnelles traitées par le Prestataire pour le compte du client (les « Données Personnelles Client ») demeurent la propriété du client.

Par ailleurs, le Prestataire agissant en qualité de « Sous-Traitant » au sens de la Réglementation Données Personnelles, atteste présenter les garanties suffisantes en matière de sécurité et de confidentialité des données et s’engage à agir conformément aux instructions documentées du client sur les Données Personnelles Client, ainsi qu’à mettre en œuvre les mesures de sécurité et de confidentialité communiquées par le client dans le cadre de la Règlementation Données Personnelles et/ou les mesures conformes aux meilleures pratiques de protection des données personnelles.

Le Prestataire s’engage en particulier à mettre en place les mesures suffisantes pour assurer la sécurité et la confidentialité des Données Personnelles Client confiées et traitées dans le cadre des Services, à savoir notamment :

  • Mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les Données Personnelles Client contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, l’utilisation détournée, la diffusion ou l’accès non autorisés, ainsi que contre toute autre forme de traitement illicite ;
  • Ne pas utiliser les Données Personnelles Client pour son propre compte ou pour le compte de tiers et ne pas les transférer sans l’autorisation écrite et préalable du client ;
  • Veiller à ce que les personnes autorisées à traiter les Données Personnelles Client soient soumises à des obligations appropriées de confidentialité ;
  • Ne pas réaliser de copies ou duplications des Données Personnelles Client sans l’autorisation écrite préalable du client (à moins que cela soit nécessaire à l’accomplissement des Services fournis par le Prestataire) ;
  • Mettre en œuvre des procédures de gestion des incidents et reporter au client tout incident lié à la protection des données personnelles ;
  • Informer le client de tout accès accidentel ou non autorisé aux Données Personnelles Client, de tout manquement à la Réglementation Données Personnelles ou toute suspicion d’un tel manquement, dans les meilleurs délais et, si possible, 48 heures au plus tard après en avoir pris connaissance. Cette information devra être effectuée par écrit et comprendre a minima (i) la nature de la violation, (ii) les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles Client concernés ; (iii) les conséquences identifiées et potentielles de la violation, et (iv) les mesures prises par le Prestataire pour atténuer les conséquences de la violation. A la demande du client, le Prestataire devra fournir toute information complémentaire nécessaire concernant la violation, et aidera le client à respecter ses obligations en termes de notification de la violation à l’autorité de protection des données et/ou de communication auprès des personnes concernées;
  • Selon le choix du client, supprimer les Données Personnelles Client ou les renvoyer au client au terme du Contrat, et détruire les copies existantes ;
  • Mettre à la disposition du client tous les renseignements nécessaires pour démontrer le respect des obligations prévues en matière de données personnelles ;
  • Assister le client à garantir le respect des obligations en matière de sécurité et, à partir du 25 mai 2018, en matière d’analyse d’impact relative à la protection des données et de consultation préalable ;
  • Informer sans délai le client, s’il reçoit une demande d’une personne concernée, ou une plainte alléguant un manquement au respect des obligations prévues par la Réglementation Données Personnelles et en rapport avec la fourniture des services ;
  • Ne pas recruter un sous-traitant non-prévu au Contrat sans l’accord exprès et écrit du Client, et informer le client de tout changement prévu concernant le remplacement de sous-traitants autorisés aux termes du Contrat ;
  • Se conformer aux instructions du client en matière de sécurité et de confidentialité, et à celles figurant au sein du Contrat.

Le Prestataire s’engage à faire respecter les engagements prévus au sein du présent document, par l’ensemble de son personnel.

Le Prestataire s’engage à ne pas transférer les Données Personnelles Client en dehors de l’Union Européenne sans avoir obtenu l’accord écrit et préalable du client.