Le présent accord relatif au traitement des données régit le traitement des données effectué pour le compte du client par ATLAS.ti Scientific Software Development GmbH, en sa qualité de responsable du traitement. Il fait partie intégrante de l'accord correspondant, par référence aux conditions d'utilisation.
Préambule
Le Prestataire traite des données à caractère personnel pour le compte et sur instruction du Client au sens de l’article 4, point 8, et de l’article 28 du règlement (UE) 2016/679 – Règlement général sur la protection des données (RGPD). Le présent accord de traitement des données régit les droits et obligations des parties en matière de traitement des données à caractère personnel.
1.1 Conformément à l’article 4, paragraphe 7, du RGPD, le « responsable du traitement » est l’entité qui, seule ou conjointement avec d’autres responsables du traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.
1.2 Conformément à l’article 4, paragraphe 8, du RGPD, le « sous-traitant » est une personne physique ou morale, une autorité publique, une institution ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
1.3 Conformément à l’article 4, paragraphe 1, du RGPD, on entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
1.4 Les « données à caractère personnel particulièrement sensibles » sont les données à caractère personnel au sens de l’article 9 du RGPD, à partir desquelles il est possible de déduire l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou idéologiques ou l’appartenance syndicale des personnes concernées, les données à caractère personnel au sens de l’article 10 du RGPD relatives aux condamnations pénales et aux infractions ou aux mesures de sécurité connexes, ainsi que les données génétiques au sens de l’article 4, paragraphe 13, du RGPD, les données biométriques au sens de l’article 4, paragraphe 14 du RGPD, les données relatives à la santé au sens de l’article 4, paragraphe 15, du RGPD et les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
1.5 Conformément à l’article 4, paragraphe 2, du RGPD, le « traitement » est défini comme toute opération ou tout ensemble d’opérations, effectuées avec ou sans l’aide de procédés automatisés, et portées sur des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la mise en ordre, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
1.6 Conformément à l’article 4, paragraphe 21, du RGPD, une « autorité de contrôle » est un organisme public indépendant mis en place par un État membre conformément à l’article 51 du RGPD.
2.1 Le Prestataire fournira au Client des services dans le domaine de la « fourniture de logiciels » sur la base du Contrat principal conclu entre les parties. Dans le cadre du Contrat principal, le Prestataire se verra accorder l’accès à des données à caractère personnel et traitera ces données exclusivement pour le compte du Client et conformément à ses instructions. L’objet du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées sont définis à l’annexe 1 du présent accord de traitement des données. Il incombe au Client d’évaluer la licéité du traitement des données.
2.2 Les parties concluent le présent accord de traitement des données afin de préciser les droits et obligations réciproques en matière de protection des données. En cas de doute, les dispositions du présent accord prévalent sur celles du contrat principal.
2.3 Les dispositions du présent accord de traitement des données s’appliquent à toutes les activités liées au contrat principal dans le cadre desquelles le prestataire et ses salariés ou mandataires mandatés par celui-ci entrent en contact avec des données à caractère personnel provenant du client ou collectées pour le compte de celui-ci.
2.4 Le présent accord de traitement des données prend effet dès sa signature ; sa durée est alignée sur celle du contrat principal, sauf si les dispositions suivantes prévoient des obligations ou des droits de résiliation allant au-delà de cette durée.
3.1 Le Prestataire ne peut collecter, traiter ou utiliser des données que dans le cadre du Contrat principal et conformément aux instructions du Client ; cela s’applique en particulier au transfert de données à caractère personnel vers un pays tiers ou vers une organisation internationale. Si le droit de l’Union européenne ou des États membres auquel le Prestataire est soumis exige un traitement supplémentaire, le Prestataire doit informer le Client de ces exigences légales avant le traitement.
3.2 Les instructions du Client sont initialement énoncées dans le présent contrat et peuvent par la suite être modifiées, complétées ou remplacées par des instructions individuelles données par écrit ou sous forme de texte (instructions individuelles). Le Client est en droit de donner à tout moment les instructions correspondantes. Cela inclut les instructions relatives à la rectification, à la suppression et au verrouillage des données. Les instructions orales doivent être confirmées immédiatement par écrit ou sous forme de texte.
3.3 Toutes les instructions données doivent être consignées tant par le Client que par le Prestataire. Les instructions qui vont au-delà de la prestation convenue dans le contrat principal seront considérées comme une demande de modification de la prestation.
3.4 Si le Prestataire estime qu’une instruction du Client enfreint les réglementations en matière de protection des données, il doit en informer immédiatement le Client. Le Prestataire est en droit de suspendre l’exécution de l’instruction en question jusqu’à ce qu’elle soit confirmée ou modifiée par le Client. Le Prestataire peut refuser d’exécuter une instruction manifestement illégale.
Dans le cadre de l’exécution du contrat principal, le prestataire se verra accorder l’accès aux données à caractère personnel spécifiées à l’annexe 1. Les personnes concernées par le traitement des données sont également définies à l’annexe 1.
5.1 Le Prestataire est tenu de respecter les dispositions légales en matière de protection des données et de ne pas transmettre à des tiers les informations obtenues dans le cadre des activités du Client, ni de permettre à des tiers d’accéder à ces informations. Les documents et les données doivent être protégés contre tout accès non autorisé, en tenant compte de l’état de la technique.
5.2 Dans le cadre de ses responsabilités, le Prestataire doit concevoir son organisation interne de manière à répondre aux exigences particulières en matière de protection des données. Le Prestataire doit prendre toutes les mesures techniques et organisationnelles nécessaires pour assurer une protection appropriée des données du Client conformément à l’article 32 du RGPD, en particulier au moins les mesures énumérées à l’annexe 2. Le Prestataire se réserve le droit de modifier les mesures de sécurité mises en place, tout en veillant à ce que le niveau de protection convenu contractuellement ne soit pas compromis.
5.3 Il est interdit aux personnes employées par le Prestataire dans le cadre du traitement des données de collecter, traiter ou utiliser des données à caractère personnel sans autorisation. Le Prestataire impose une obligation correspondante à toutes les personnes auxquelles il confie le traitement et l’exécution du présent contrat (ci-après dénommées « employés ») (obligation de confidentialité, art. 28, al. 3, let. b du RGPD) et veille au respect de cette obligation avec toute la diligence requise. Ces obligations doivent être formulées de manière à rester en vigueur après la résiliation du présent contrat ou de la relation de travail entre le salarié et le prestataire. Sur demande, le client doit se voir fournir, sous une forme appropriée, des preuves adéquates de ces obligations.
6.1 En cas de dysfonctionnements, de soupçons de violations de la protection des données ou de manquements aux obligations contractuelles de la part du Prestataire, de soupçons d’incidents liés à la sécurité ou d’autres irrégularités dans le traitement des données à caractère personnel par le Prestataire, par des personnes employées par le Prestataire dans le cadre de la commande ou par des tiers, le Prestataire en informe immédiatement le Client par écrit ou sous forme de texte. Il en va de même en cas de contrôles du Prestataire par une autorité de contrôle de la protection des données. La notification d’une violation de la protection des données à caractère personnel doit contenir au moins les informations suivantes :
a) une description de la nature de la violation de la protection des données à caractère personnel, y compris, dans la mesure du possible, les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d’enregistrements de données à caractère personnel concernés
b) une description des mesures prises ou proposées par le prestataire pour remédier au manquement et, le cas échéant, des mesures visant à atténuer ses éventuelles conséquences négatives
6.2 Le Prestataire doit immédiatement prendre les mesures nécessaires pour sécuriser les données et atténuer les conséquences négatives éventuelles pour les parties concernées, en informer le Client et lui demander des instructions supplémentaires.
6.3 En outre, le Prestataire est tenu de fournir à tout moment des informations au Client, dans la mesure où les données de ce dernier sont concernées par une violation au sens de la clause 6.1.
6.4 Si les données du Client sont menacées chez le Prestataire par une saisie ou une confiscation, par une procédure d’insolvabilité ou de concordat, ou par d’autres événements ou mesures de tiers, le Prestataire doit en informer immédiatement le Client, sauf si cela est interdit par une décision judiciaire ou une ordonnance administrative. Dans ce contexte, le Prestataire doit immédiatement informer toutes les autorités compétentes que le pouvoir de décision concernant les données appartient exclusivement au Client en tant que Responsable du traitement.
6.5 Le Prestataire informera sans délai le Client de tout changement significatif concernant les mesures de sécurité visées à la clause 5.2.
6.6 Le Client doit être informé immédiatement de tout changement concernant la personne du délégué à la protection des données ou de la personne de contact en matière de protection des données.
6.7 Le Prestataire et, le cas échéant, son représentant tiendront un registre des activités de traitement effectuées pour le compte du Client, qui contiendra toutes les informations requises par l’article 30, paragraphe 2, du RGPD. Ce registre sera mis à la disposition du Client sur demande.
6.8 Le Prestataire coopère dans la mesure appropriée à l’élaboration de la liste des traitements par le Client. Le Prestataire doit fournir au Client les informations nécessaires sous une forme appropriée.
7.1 Le Client a le droit de vérifier à tout moment, dans la mesure nécessaire, que le Prestataire respecte les dispositions légales en matière de protection des données et/ou les dispositions contractuelles convenues entre les parties et/ou que le Prestataire se conforme aux instructions du Client. Le Prestataire est en droit de prouver le respect des obligations prévues dans le présent accord de traitement des données par des moyens appropriés, y compris des auto-audits, des certificats, etc.
7.2 Le Prestataire est tenu de fournir des informations au Client dans la mesure où cela est nécessaire à la réalisation du contrôle tel que défini au paragraphe 1 ci-dessus.
7.3 Si nécessaire dans des cas particuliers, le Client peut exiger un contrôle des données traitées par le Prestataire pour le compte du Client, ainsi que des systèmes et programmes de traitement des données utilisés.
7.4 Après notification préalable et dans un délai raisonnable, le Client peut procéder à l’inspection au sens du paragraphe 1 dans les locaux du Prestataire pendant les heures normales de travail. Ce faisant, le Client veillera à ce que les inspections ne soient effectuées que dans la mesure nécessaire pour éviter de perturber de manière disproportionnée les activités commerciales du Prestataire. Les parties partent du principe qu’une inspection est requise au maximum une fois par an. Toute inspection supplémentaire devra être justifiée par le Client, qui en indiquera le motif. En cas d’inspections sur site, le Client remboursera au Prestataire les frais engagés, y compris les frais de personnel, pour la supervision et l’accompagnement des inspecteurs sur place, dans une mesure raisonnable. Les bases de calcul des coûts seront communiquées au Client par le Prestataire avant la réalisation de l’inspection. Le Prestataire peut subordonner les contrôles à une notification préalable avec un délai raisonnable et à la signature d’un accord de confidentialité. Si l’inspecteur mandaté par le Client se trouve en situation de concurrence avec le Prestataire, ce dernier dispose d’un droit d’opposition.
7.5 Au choix du Prestataire, la preuve du respect des mesures techniques et organisationnelles peut également être apportée, en lieu et place d’une inspection sur site, par la présentation d’un certificat d’audit, de rapports ou d’extraits de rapports appropriés et à jour, émanant d’organismes indépendants (par exemple, auditeurs, services de révision, délégué à la protection des données, service de sécurité informatique, auditeurs de protection des données ou auditeurs qualité) ou d’une certification appropriée, si le rapport d’audit permet au Client de s’assurer de manière raisonnable que les mesures techniques et organisationnelles prévues à l’annexe 2 du présent accord de traitement des données sont respectées. Si le Client a des doutes raisonnables quant à la pertinence du document de contrôle au sens de la première phrase, il peut procéder à une inspection sur site. Le Client est conscient qu’une inspection sur site dans les centres de données n’est pas possible ou ne l’est que dans des cas exceptionnels justifiés.
7.6 En cas de mesures prises par l’autorité de contrôle à l’encontre du Client au sens de l’article 58 du RGPD, notamment en ce qui concerne les obligations d’information et de contrôle, le Prestataire est tenu de fournir au Client les informations nécessaires et de permettre à l’autorité de contrôle compétente concernée de procéder à une inspection sur site. Le Client est informé par le Prestataire des mesures prévues à cet effet.
7.7 Le Prestataire doit prouver au Client, sur demande, que ses salariés respectent les obligations prévues à la clause 5.3.
8.1 Le Prestataire est autorisé à recourir à des sous-traitants pour le traitement des données du Client. Le Prestataire doit sélectionner avec soin les sous-traitants et vérifier, avant de passer commande, qu’ils sont en mesure de respecter les accords conclus entre le Client et le Prestataire. En particulier, le Prestataire doit vérifier au préalable et régulièrement pendant la durée du contrat que le sous-traitant a pris les mesures techniques et organisationnelles requises en vertu de l’article 32 du RGPD pour la protection des données à caractère personnel
8.2 Le Client accepte que le Prestataire fasse appel à d’autres sous-traitants ou remplace des sous-traitants si nécessaire. Le Prestataire informera le Client de ces changements dans un délai raisonnable et par voie électronique. Le Client peut s’opposer au changement pour un motif valable dans un délai raisonnable fixé par le Prestataire à sa discrétion raisonnable. Si aucune objection n’est formulée dans ce délai, le consentement au changement sera réputé avoir été donné.
8.3 Le Prestataire est tenu d’obtenir du sous-traitant la confirmation que ce dernier a désigné un délégué à la protection des données conformément à l’article 37 du RGPD, à condition que le sous-traitant soit légalement tenu de désigner un délégué à la protection des données.
8.4 Le Prestataire doit veiller à ce que les dispositions convenues dans le présent accord sur le traitement des données ainsi que les instructions complémentaires du Client s’appliquent également au sous-traitant.
8.5 Le Prestataire est notamment tenu de garantir, par des dispositions contractuelles, que les droits d’audit du Client et des autorités de contrôle s’appliquent également au sous-traitant et que les droits de contrôle correspondants soient acceptés par le Client et les autorités de contrôle. En outre, il doit être stipulé dans le contrat que le sous-traitant doit accepter ces mesures de contrôle ainsi que d’éventuels contrôles sur place.
8.6 Les relations de sous-traitance au sens des paragraphes 1 à 5 ne sont pas considérées comme des services auxquels le Prestataire a recours auprès de tiers à titre purement accessoire pour l’exercice de son activité. Il s’agit, par exemple, des services de nettoyage, des services de télécommunications purs sans aucune référence spécifique aux services que le Prestataire fournit au Client, des services postaux et de messagerie, des services de transport et des services de sécurité. Le Prestataire est néanmoins tenu de s’assurer, y compris dans le cas de services accessoires fournis par des tiers, que des précautions appropriées ainsi que des mesures techniques et organisationnelles ont été prises pour garantir la protection des données à caractère personnel. La maintenance et l’entretien des systèmes ou applications informatiques constituent une relation de sous-traitance et un traitement de données sur instruction au sens de l’article 28 du RGPD, nécessitant une autorisation si la maintenance et les tests concernent des systèmes informatiques également utilisés dans le cadre de la prestation de services au Client et si des données à caractère personnel traitées pour le compte du Client sont accessibles pendant la maintenance.
8.7 Le Client reconnaît et accepte que le Prestataire puisse transférer et traiter ses données vers et dans des pays tiers, y compris ceux situés en dehors de l’EEE sans déclaration d’adéquation de la Commission européenne, à ses sous-traitants, à savoir OpenAI LLC, 3180 18th St, San Francisco, Californie, 94110, États-Unis (fonctions d’analyse par IA générative), et Deepgram, Inc., San Francisco, Californie, États-Unis (transcription d’enregistrements audio et vidéo) et/ou tout autre fournisseur d’IA. Le Prestataire doit veiller à ce que ces transferts soient effectués conformément à la législation applicable en matière de protection des données et au présent accord de traitement des données. À savoir, le Prestataire doit conclure des clauses contractuelles types conformément à l’article 46, paragraphe 2, point c) du RGPD ou mettre en place d’autres garanties appropriées (telles que des règles d’entreprise contraignantes conformément à l’article 47 du RGPD). Lorsqu’un sous-traitant est certifié au titre d’une décision d’adéquation conformément à l’article 45 du RGPD, telle que le cadre de protection des données UE-États-Unis, le transfert peut également se fonder sur cette décision d’adéquation ; les clauses contractuelles types restent en vigueur à titre de garantie de secours.
9.1 Lorsque le Client utilise les fonctionnalités du logiciel basées sur l’IA (notamment le codage automatisé, les résumés, l’analyse conversationnelle de documents et la transcription), le Prestataire traite le contenu fourni par le Client exclusivement dans le but de fournir la fonctionnalité demandée. Ni le Prestataire, ni ses sous-traitants, en vertu des accords conclus par le Prestataire, n’utilisent ce contenu pour entraîner, réentraîner ou améliorer des modèles d’intelligence artificielle. Les sous-traitants du Prestataire spécialisés dans l’IA ne conservent les contenus transmis que temporairement, dans la mesure nécessaire à la fourniture du service et à la détection des abus ; sur demande, le Prestataire informera le Client des durées de conservation actuellement applicables chez ses sous-traitants spécialisés dans l’IA.
9.2 Le Prestataire fournira au Client, sur demande raisonnable, les informations relatives aux fonctionnalités assistées par l’IA dont le Client a raisonnablement besoin pour se conformer à ses propres obligations en vertu du règlement (UE) 2024/1689 (loi sur l’IA), en particulier les obligations de transparence. Les obligations d’information légales du Prestataire restent inchangées.
10.1 Les deux parties s’engagent à traiter toutes les informations reçues dans le cadre de l’exécution du présent accord de traitement des données comme confidentielles pour une durée illimitée et à ne les utiliser que pour l’exécution du présent accord de traitement des données et/ou du contrat principal. Aucune des parties n’est autorisée à utiliser ces informations, en tout ou en partie, à des fins autres que celles qui viennent d’être mentionnées, ni à les communiquer à des tiers.
10.2 L’obligation susmentionnée ne s’applique pas aux informations dont l’une des parties a manifestement pris connaissance auprès de tiers sans être tenue au secret, ou qui relèvent du domaine public.
Après la résiliation du contrat principal ou à tout moment à la demande du client, le prestataire doit restituer au client tous les documents, données et supports de données qui lui ont été fournis ou, à la demande du client, les supprimer, sauf s’il existe une obligation de conservation des données à caractère personnel en vertu du droit de l’Union ou du droit de la République fédérale d’Allemagne. La suppression doit être documentée de manière appropriée et une preuve doit être fournie sur demande.
12.1 Les parties conviennent que le droit de rétention du contractant (conformément à l'article 273 du Code civil allemand) concernant les données à traiter et les supports de données associés est exclu.
12.2 Les changements et modifications apportés à la présente convention de traitement des données et à tous ses éléments – y compris les garanties données par le prestataire – nécessitent un accord écrit, qui peut également se présenter sous forme électronique (texte), ainsi que la mention expresse qu’il s’agit d’une modification ou d’un amendement de la présente convention de traitement des données. Cette disposition s’applique également à la renonciation à cette exigence formelle.
12.3 Si certaines dispositions du présent accord sont ou deviennent invalides ou inapplicables en tout ou en partie, la validité des autres dispositions n'en sera pas affectée.
12.4 Le présent accord est régi par le droit allemand.
Annexe 1 : Description du traitement
Portée et finalité du traitement
La commande du Client au Prestataire comprend les travaux et/ou services suivants :
Mise à disposition de la plateforme d’analyse de données du Prestataire en mode SaaS, de services d’intelligence artificielle, y compris des fonctions d’analyse assistées par l’IA (codage automatisé, résumés, analyse conversationnelle de documents) et la transcription assistée par l’IA d’enregistrements audio et vidéo
Type(s) de données à caractère personnel
Les types de données suivants font régulièrement l’objet d’un traitement :
Les données que le Client analyse ou traite à l’aide de la plateforme d’analyse de données du Prestataire, dont la nature est déterminée par le Client à sa seule discrétion et qui peuvent, par exemple, inclure notamment des données relatives aux entités et aux projets du Client, aux sujets de test, aux patients et autres participants ainsi qu’aux personnes concernées dans le cadre d’études scientifiques et de projets de recherche. Les enregistrements audio et vidéo mis en ligne par le Client à des fins de transcription, ainsi que les transcriptions qui en sont générées ; le traitement des enregistrements audio se limite à la transcription, et aucune identification de l’orateur ni aucune analyse biométrique au sens de l’article 4, point 14, et de l’article 9, paragraphe 1, du RGPD n’est effectuée.
Catégories de données
Données concernées par le traitement :
Catégories de données que le Client analyse ou traite à l’aide de la plateforme d’analyse de données du Prestataire, dont les catégories sont déterminées par le Client à sa seule discrétion et qui peuvent inclure, par exemple, les catégories de données suivantes : prénom et nom, coordonnées, données médicales, données génétiques, données biométriques, autres catégories particulières de données à caractère personnel, données relatives aux habitudes de vie et à d’autres circonstances, informations issues d’entretiens, retours d’expérience des clients et données comportementales.
Catégories de personnes concernées
Personnes concernées par le traitement des données :
Personnes testées, patients, participants à la recherche ou personnes interrogées, salariés, autres participants et personnes concernées par des études ou des projets de recherche, toute personne physique figurant dans les contenus analysés par le Client.
Annexe 2 : Mesures techniques et organisationnelles
a. Contrôle de l’accès physique
Mesures permettant d’empêcher les personnes non autorisées d’accéder aux systèmes de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées :
b. Contrôle de l'accès au système
Mesures visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées :
c. Contrôle de l'accès aux données
Mesures garantissant que les personnes autorisées à utiliser un système de traitement des données ne peuvent accéder qu'aux données pour lesquelles elles disposent d'une autorisation d'accès et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage :
d. Contrôle de la séparation
Mesures visant à garantir que les données collectées à des fins différentes puissent être traitées séparément :
a. Contrôle des transferts
Mesures visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu'il est possible de vérifier et d'établir à quelles instances les données à caractère personnel doivent être transmises par l'équipement de transmission de données :
b. Contrôle des entrées
Mesures visant à garantir qu'il est possible de vérifier et d'établir a posteriori si et par qui des données à caractère personnel ont été saisies, modifiées ou supprimées des systèmes de traitement des données :
a. Contrôle de la disponibilité
Mesures visant à garantir que les données à caractère personnel sont protégées contre la destruction ou la perte accidentelle :
b. Récupérabilité (article 32, paragraphe 1, point c), du RGPD)
Mesures visant à garantir que les données à caractère personnel puissent être restaurées immédiatement en cas de perte ou d'interruption :
a. Gestion de la protection des données et de la sécurité de l'information
ATLAS.ti met en œuvre un système de gestion de la protection des données. Il existe une charte relative à la protection et à la sécurité des données, ainsi que des lignes directrices visant à garantir la mise en œuvre des objectifs de cette charte. Toutes les lignes directrices sont régulièrement évaluées et adaptées en fonction de leur efficacité.
Une équipe chargée de la protection des données et de la sécurité de l’information a été mise en place pour planifier, mettre en œuvre, évaluer et ajuster les mesures de protection et de sécurité des données. Un délégué à la protection des données a été nommé. Tous les employés reçoivent régulièrement une formation sur la protection des données et la sécurité de l’information.
b. Gestion de la réponse aux incidents
Tous les employés reçoivent des instructions et une formation afin de garantir que les incidents liés à la confidentialité des données soient identifiés par l’ensemble du personnel et signalés sans délai à l’équipe chargée de la protection des données et de la sécurité de l’information. L'équipe chargée de la protection des données et de la sécurité de l'information mènera immédiatement une enquête sur l'incident. En ce qui concerne les données traitées pour le compte de clients, il est veillé à ce que ceux-ci soient immédiatement informés de la nature et de l'ampleur de l'incident.
c. Protection de la vie privée dès la conception et par défaut (art. 25, paragraphe 2, du RGPD)
Chez ATLAS.ti, nous veillons à ce que les principes de nécessité et de minimisation des données soient pris en compte dès la phase de développement du logiciel.
d. Contrôle des commandes
Mesures visant à garantir que les données à caractère personnel traitées pour le compte d’un client ne puissent être traitées que conformément aux instructions de ce dernier :