Cet accord sur le traitement des données régit le traitement des données au nom du client par ATLAS.ti Scientific Software Development GmbH en tant que responsable du traitement des données. Il fait partie intégrante de l'accord respectif par référence aux conditions d'utilisation.
Preamble
L'Entrepreneur traite des données personnelles au nom et sur instruction du Client au sens de l'article 4 n° 8 et de l'article 28 du Règlement (UE) 2016/679 - Règlement général sur la protection des données (RGPD). La présente convention de traitement des données régit les droits et obligations des parties dans le cadre du traitement des données à caractère personnel.
1.1 Conformément à l'art. 4 para. 7 du RGPD, le "responsable du traitement" est l'organisme qui, seul ou conjointement avec d'autres responsables du traitement, décide des finalités et des moyens du traitement des données à caractère personnel.
1.2 Conformément à l'art. 4, paragraphe 8, du RGPD, le "sous-traitant" est une personne physique ou morale, une autorité, une institution ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
1.3 Conformément à l'art. 4 para. 1 RGPD, on entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
1.4 Les "données à caractère personnel particulièrement sensibles" sont des données à caractère personnel au sens de l'art. 9 GDPR, qui permettent de déduire l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou idéologiques ou l'appartenance syndicale des personnes concernées, les données à caractère personnel conformément à l'art. 10 GDPR sur les condamnations pénales et les infractions ou les mesures de sécurité connexes, ainsi que les données génétiques conformément à l'art. 4 Para. 13 GDPR, les données biométriques conformément à l'Art. 4 Para. 14 du GDPR, les données relatives à la santé conformément à l'art. 4 Para. 15 du RGPD et les données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne physique.
1.5 Conformément à l'art. 4, paragraphe 2 du RGPD, le "traitement" est défini comme toute opération ou tout ensemble d'opérations effectuées avec ou sans l'aide de procédés automatisés, portant sur des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, le classement, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
1.6 Conformément à l'art. 4, paragraphe 21, du GDPR, l'"autorité de contrôle" est un organisme public indépendant établi par un État membre conformément à l'article 51 du GDPR. 51 GDPR.
2.1 Le contractant fournit des services au client dans le domaine de la "fourniture de logiciels" sur la base du contrat principal conclu entre les parties. Dans le cadre du contrat principal, le contractant aura accès à des données personnelles et traitera ces données exclusivement pour le compte du client et conformément à ses instructions. L'objet du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées sont indiqués à l'annexe 1 de la présente convention sur le traitement des données. Il incombe au Client d'évaluer l'admissibilité du traitement des données.
2.2 Les parties concluent la présente convention sur le traitement des données afin de concrétiser les droits et obligations mutuels en matière de protection des données. En cas de doute, les dispositions du présent accord prévalent sur celles du contrat principal.
2.3 Les dispositions du présent Accord sur le traitement des données s'appliquent à toutes les activités liées au Contrat principal dans le cadre desquelles le Contractant et ses employés ou agents mandatés par le Contractant entrent en contact avec des données à caractère personnel provenant du Client ou collectées pour lui.
2.4 Le présent Accord sur le traitement des données entre en vigueur dès sa signature ; la durée du présent Accord sur le traitement des données est basée sur la durée du Contrat principal, à moins que les dispositions suivantes n'imposent des obligations ou des droits de résiliation qui vont au-delà.
3.1 Le mandataire ne peut collecter, traiter ou utiliser des données que dans le cadre du contrat principal et conformément aux instructions du client ; ceci s'applique en particulier au transfert de données personnelles à un pays tiers ou à une organisation internationale. Si le droit de l'Union européenne ou des États membres auxquels le mandataire est soumis exige un traitement ultérieur, le mandataire informera le client de ces exigences légales avant le traitement.
3.2 Les instructions du client figurent initialement dans le présent contrat et peuvent être modifiées, complétées ou remplacées par des instructions individuelles écrites ou sous forme de texte (instructions individuelles). Le client est autorisé à donner des instructions correspondantes à tout moment. Il s'agit notamment d'instructions relatives à la correction, à la suppression et au blocage de données. Les instructions orales doivent être confirmées immédiatement par écrit ou sous forme de texte.
3.3 Toutes les instructions données doivent être documentées par le client et le contractant. Les instructions qui vont au-delà de la prestation convenue dans le contrat principal seront traitées comme une demande de modification de la prestation.
3.4 Si le contractant estime qu'une instruction du client viole les dispositions relatives à la protection des données, il doit en informer immédiatement le client. Le mandataire a le droit de suspendre l'exécution de l'instruction en question jusqu'à ce qu'elle soit confirmée ou modifiée par le client. Le contractant peut refuser d'exécuter une instruction manifestement illégale.
Dans le cadre de l'exécution du contrat principal, le contractant aura accès aux données à caractère personnel spécifiées à l'annexe 1. Les personnes concernées par le traitement des données sont également définies à l'annexe 1.
5.1 Le mandataire est tenu de respecter les dispositions légales en matière de protection des données et de ne pas transmettre à des tiers les informations obtenues dans le domaine du client ou d'accorder à des tiers l'accès à ces informations. Les documents et les données doivent être protégés contre tout accès non autorisé, compte tenu de l'état de la technique.
5.2 Dans son domaine de compétence, le mandataire conçoit l'organisation interne de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Le mandataire prend toutes les mesures techniques et organisationnelles nécessaires à la protection adéquate des données du client conformément à l'art. 32 GDPR, en particulier au moins les mesures énumérées à l'annexe 2. Le mandataire se réserve le droit de modifier les mesures de sécurité prises, tout en veillant à ce que le niveau de protection convenu dans le contrat ne soit pas compromis.
5.3 Il est interdit aux personnes employées par le mandataire dans le cadre du traitement des données de collecter, de traiter ou d'utiliser des données personnelles sans autorisation. Le contractant impose une obligation correspondante à toutes les personnes chargées par lui du traitement et de l'exécution du présent contrat (ci-après dénommées "employés") (obligation de confidentialité, art. 28 al. 3 lit. b GDPR) et veille à ce que cette obligation soit respectée avec la diligence requise. Ces obligations doivent être formulées de telle sorte qu'elles restent en vigueur après la fin du présent contrat ou de la relation de travail entre l'employé et l'entrepreneur. Sur demande, le client doit fournir au client, sur demande, des preuves appropriées de ces obligations de manière adéquate.
6.1 En cas de dysfonctionnement, de soupçon de violation de la protection des données ou de manquement aux obligations contractuelles de la part du mandataire, de soupçon d'incidents liés à la sécurité ou d'autres irrégularités dans le traitement des données personnelles par le mandataire, les personnes employées par le mandataire dans le cadre de la commande ou par des tiers, le mandataire en informe immédiatement le mandant par écrit ou sous forme de texte. Il en va de même en cas de contrôle du mandataire par une autorité de contrôle de la protection des données.
La notification d'une violation de la protection des données à caractère personnel doit contenir au moins les informations suivantes :
a) une description de la nature de la violation de la protection des données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre de personnes concernées, les catégories et le nombre d'enregistrements de données à caractère personnel concernés
b) une description des mesures prises ou proposées par le contractant pour remédier à la violation et, le cas échéant, des mesures visant à en atténuer les éventuels effets négatifs.
6.2 Le contractant prend immédiatement les mesures nécessaires pour sécuriser les données et atténuer les éventuelles conséquences négatives pour les parties concernées, en informe le client et lui demande des instructions supplémentaires.
6.3 En outre, le mandataire est tenu d'informer le client à tout moment, dans la mesure où les données du client sont affectées par une violation au sens de l'article 6.1.
6.4 Si les données du client sont menacées chez le contractant par une saisie ou une confiscation, par une procédure d'insolvabilité ou de concordat ou par d'autres événements ou mesures de tiers, le contractant doit en informer immédiatement le client, à moins que cela ne soit interdit par un tribunal ou une décision officielle. Dans ce contexte, le contractant informera immédiatement toutes les autorités compétentes que le pouvoir de décision sur les données appartient exclusivement au client en tant que responsable du traitement.
6.5 Le mandataire informera sans délai le client de toute modification importante des mesures de sécurité visées au point 5.2.
6.6 Le mandant doit être informé sans délai de tout changement de la personne du délégué à la protection des données ou de la personne de contact pour la protection des données.
6.7 Le mandataire et, le cas échéant, son représentant tiennent un registre des activités de traitement effectuées pour le compte du client, qui contient toutes les informations requises par l'art. 30 para. 2 GDPR. La liste est mise à la disposition du client sur demande.
6.8 Le contractant coopère dans une mesure appropriée à l'établissement de la liste des procédures par le client. Le contractant doit fournir au client les informations nécessaires de manière appropriée.
7.1 Le client a le droit de vérifier à tout moment, dans la mesure nécessaire, que le contractant respecte les dispositions légales en matière de protection des données et/ou les dispositions contractuelles convenues entre les parties et/ou le respect par le contractant des instructions du client. Le contractant est autorisé à prouver le respect des obligations prévues dans la présente convention de traitement des données par des moyens appropriés, y compris des audits, des certificats, etc.
7.2 Le mandataire est tenu de fournir des informations au mandant dans la mesure où celles-ci sont nécessaires à l'exécution du contrôle visé au paragraphe 1 ci-dessus.
7.3 Si cela s'avère nécessaire dans des cas particuliers, le client peut exiger une inspection des données traitées par le mandataire pour le compte du client, ainsi que des systèmes de traitement des données et des programmes utilisés.
7.4 Le client peut, après notification préalable et moyennant un délai de préavis raisonnable, effectuer le contrôle au sens du paragraphe 1 dans les locaux du contractant pendant les heures de bureau normales. Ce faisant, le client veillera à ce que les inspections ne soient effectuées que dans la mesure nécessaire pour ne pas perturber de manière disproportionnée les activités commerciales du contractant. Les parties partent du principe qu'une inspection est nécessaire au maximum une fois par an. Les inspections supplémentaires doivent être justifiées par le client. En cas d'inspection sur place, le client rembourse au contractant les frais encourus, y compris les frais de personnel, pour la supervision et l'accompagnement des inspecteurs sur place dans une mesure raisonnable. Les bases de calcul des coûts seront communiquées au client par le contractant avant la réalisation de l'inspection. Le contractant peut subordonner les contrôles à une notification préalable dans un délai approprié et à la signature d'un accord de confidentialité. Si l'inspecteur mandaté par le client se trouve dans une relation de concurrence avec le contractant, ce dernier dispose d'un droit d'opposition.
7.5 Au choix du mandataire, la preuve du respect des mesures techniques et organisationnelles peut également être apportée, au lieu d'une inspection sur place, par la présentation d'un certificat d'audit approprié et actualisé, de rapports ou d'extraits de rapports émanant d'organismes indépendants (par exemple, auditeurs, révision, délégué à la protection des données, service de sécurité informatique, auditeurs de la protection des données ou auditeurs de la qualité) ou d'une certification appropriée, si le rapport d'audit permet au client de s'assurer raisonnablement que les mesures techniques et organisationnelles conformément à l'annexe 2 de la présente convention sur le traitement des données sont respectées. Si le client a des doutes raisonnables quant à l'adéquation du document de test au sens de la phrase 1, il peut procéder à une inspection sur place. Le client est conscient qu'un contrôle sur place dans les centres de données n'est pas possible ou n'est possible que dans des cas exceptionnels justifiés.
7.6 En cas de mesures prises par l'autorité de contrôle à l'encontre du client au sens de l'art. 58 GDPR, en particulier en ce qui concerne les obligations d'information et de contrôle, le contractant est tenu de fournir au client les informations nécessaires et de permettre à l'autorité de contrôle compétente respective d'effectuer une inspection sur place. Le mandataire informe le client des mesures prévues à cet effet.
7.7 Le mandataire est tenu de prouver au mandant, sur demande, l'obligation des employés conformément au point 5.3.
8.1 Le contractant a le droit de faire appel à des sous-traitants pour le traitement des données du client. Le contractant doit sélectionner soigneusement les sous-traitants et vérifier avant la passation de la commande qu'ils peuvent respecter les accords conclus entre le client et le contractant. En particulier, le contractant doit vérifier à l'avance et régulièrement pendant la durée du contrat que le sous-traitant a pris les mesures techniques et organisationnelles requises en vertu de l'article 32 du RGPD pour la protection des données personnelles. 32 GDPR pour la protection des données personnelles
8.2 Le client accepte que le contractant fasse appel à d'autres sous-traitants ou les remplace si nécessaire. Le contractant informera le client de ces changements dans un délai raisonnable et à l'avance sous forme électronique. Le client peut s'opposer au changement pour des raisons valables dans un délai raisonnable déterminé par le contractant à sa discrétion raisonnable. Si aucune objection n'est formulée dans ce délai, le consentement à la modification est réputé avoir été donné.
8.3 Le contractant est tenu d'obtenir du sous-traitant la confirmation que ce dernier a désigné un délégué à la protection des données conformément à l'art. 37 GDPR, à condition que le sous-traitant soit légalement obligé de désigner un délégué à la protection des données.
8.4 Le contractant doit veiller à ce que les dispositions convenues dans la présente convention sur le traitement des données et toute instruction complémentaire du client s'appliquent également au sous-traitant.
8.5 Le mandataire est notamment tenu de s'assurer par des dispositions contractuelles que les droits de contrôle du mandant et des autorités de surveillance s'appliquent également au sous-traitant et que des droits de contrôle correspondants sont convenus par le mandant et les autorités de surveillance. En outre, le contrat doit stipuler que le sous-traitant doit tolérer ces mesures de contrôle et les éventuels contrôles sur place.
8.6 Ne sont pas considérées comme des relations de sous-traitance au sens des paragraphes 1 à 5 les prestations que le contractant utilise auprès de tiers à titre purement accessoire pour l'exercice de son activité. Il s'agit par exemple de services de nettoyage, de services de télécommunications purs sans référence spécifique à des services que le contractant fournit au client, de services postaux et de messagerie, de services de transport, de services de sécurité. Le contractant est néanmoins tenu de s'assurer, également dans le cas de services auxiliaires fournis par des tiers, que des précautions et des mesures techniques et organisationnelles appropriées ont été prises pour garantir la protection des données à caractère personnel. La maintenance et l'entretien de systèmes ou d'applications informatiques constituent une relation de sous-traitance et un traitement de données sur instruction au sens de l'art. 28 GDPR nécessitant une approbation si la maintenance et les tests concernent de tels systèmes informatiques qui sont également utilisés dans le cadre de la prestation de services pour le client et si le traitement des données est effectué sur instruction au sens de l'article 28 GDPR.
prestation de services pour le client et si des données à caractère personnel traitées pour le compte du client peuvent être consultées pendant la maintenance.
8.7 Le Client reconnaît et accepte que le Contractant puisse transférer et traiter les données du Client vers et dans des pays tiers, y compris ceux situés en dehors de l'EEE sans déclaration d'adéquation de la Commission européenne, à ses sous-traitants, à savoir OpenAI LLC, 3180 18th St, San Francisco, California, 94110, USA. Le contractant veillera à ce que ces transferts soient effectués conformément à la législation applicable en matière de protection des données et au présent accord sur le traitement des données. Le contractant doit notamment conclure des clauses contractuelles types ou d'autres garanties appropriées (telles que des règles d'entreprise contraignantes) reconnues en vertu de l'article 45 du RGPD.
9.1 Le client est seul responsable de la sauvegarde des droits des personnes concernées. Le contractant soutient le client, dans la mesure du possible, par des mesures techniques et organisationnelles appropriées, dans l'accomplissement des obligations du client conformément aux articles 12 à 22 ainsi que 32 et 36 du RGPD. 12 - 22 ainsi que 32 et 36 du RGPD.
9.2 Si une personne concernée fait valoir des droits, tels que le droit d'accès/d'information, de rectification ou de suppression de ses données, directement à l'encontre du contractant, ce dernier ne réagit pas de manière indépendante, mais renvoie immédiatement la personne concernée au client et attend les instructions de ce dernier.
10.1 Les deux parties s'engagent à traiter toutes les informations reçues dans le cadre de l'exécution de la présente convention sur le traitement des données comme confidentielles pour une durée illimitée et à ne les utiliser que pour l'exécution de la présente convention sur le traitement des données et/ou du contrat principal. Aucune des parties n'a le droit d'utiliser ces informations en tout ou en partie à d'autres fins que celles mentionnées ci-dessus ou de les mettre à la disposition de tiers.
10.2 L'obligation susmentionnée ne s'applique pas aux informations que l'une des parties a manifestement obtenues de tiers sans être tenue au secret ou qui sont connues du public.
Après la résiliation du contrat principal ou à tout moment à la demande du client, le contractant restitue au client tous les documents, données et supports de données qui lui ont été fournis ou - à la demande du client, sauf s'il existe une obligation de conserver des données à caractère personnel en vertu du droit de l'Union ou du droit de la République fédérale d'Allemagne - les efface. L'effacement doit être documenté de manière appropriée et la preuve doit être fournie sur demande.
12.1 Les parties conviennent que la défense du droit de rétention du contractant (conformément à l'article 273 du Code civil allemand) en ce qui concerne les données à traiter et les supports de données associés est exclue.
12.2 Les changements et modifications de la présente convention de traitement des données et de tous ses éléments - y compris les assurances données par le contractant - nécessitent un accord écrit, qui peut également être sous forme électronique (texte), et l'indication expresse qu'il s'agit d'un changement ou d'une modification de la présente convention de traitement des données. Cette disposition s'applique également à la renonciation à cette exigence formelle.
12.3 Si certaines dispositions du présent accord sont ou deviennent invalides ou inapplicables en tout ou en partie, la validité des autres dispositions n'en sera pas affectée.
12.4 Le présent accord est soumis au droit allemand.
Annexe 1 : Description du traitement
Annexe 2 : Mesures techniques et organisationnelles
a. Contrôle de l'accès physique
Mesures permettant d'empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées :
b. Contrôle de l'accès au système
Mesures propres à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées :
c. Contrôle de l'accès aux données
Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données ne peuvent accéder qu'aux données soumises à leur autorisation d'accès et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage :
d. Contrôle de la séparation
Mesures visant à garantir que les données collectées à des fins différentes peuvent être traitées séparément :
a. Contrôle des transferts
Mesures visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu'il est possible de vérifier et d'établir à quelles instances les données à caractère personnel doivent être transmises par l'équipement de transmission de données :
b. Contrôle des entrées
Mesures visant à garantir qu'il est possible de vérifier et d'établir ultérieurement si et par qui des données à caractère personnel ont été introduites, modifiées ou supprimées des systèmes de traitement des données :
a. Contrôle de la disponibilité
Mesures visant à garantir que les données à caractère personnel sont protégées contre la destruction ou la perte accidentelle :
b. Récupérabilité (article 32, paragraphe 1, point c), du RGPD)
Mesures visant à garantir que les données à caractère personnel peuvent être restaurées immédiatement en cas de perte ou d'interruption :
a. Gestion de la protection des données et de la sécurité de l'information
ATLAS.ti met en œuvre un système de gestion de la protection des données. Il existe une ligne directrice sur la protection et la sécurité des données, ainsi que des lignes directrices visant à garantir la mise en œuvre des objectifs de la ligne directrice. Toutes les lignes directrices sont régulièrement évaluées et adaptées en fonction de leur efficacité.
Une équipe chargée de la protection des données et de la sécurité de l'information a été mise en place pour planifier, mettre en œuvre, évaluer et ajuster les mesures de protection et de sécurité des données. Un délégué à la protection des données a été nommé. Tous les employés reçoivent une formation régulière sur la protection des données et la sécurité de l'information.
b. Gestion de la réponse aux incidents
Tous les employés reçoivent des instructions et une formation pour s'assurer que les incidents liés à la confidentialité des données sont reconnus par tous les employés et signalés sans délai à l'équipe chargée de la protection des données et de la sécurité de l'information. L'équipe chargée de la protection des données et de la sécurité de l'information enquêtera immédiatement sur l'incident. En ce qui concerne les données traitées pour le compte de clients, il est veillé à ce qu'ils soient immédiatement informés de la nature et de l'étendue de l'incident.
c. Protection de la vie privée dès la conception et par défaut (Art. 25 (2) GDPR)
Chez ATLAS.ti, nous veillons à ce que le principe de nécessité et de minimisation des données soit pris en compte dès la phase de développement du logiciel.
d. Contrôle des commandes
Mesures visant à garantir que les données à caractère personnel traitées sur commande ne peuvent être traitées que conformément aux instructions du client :