Convention de traitement des Données à Caractère Personnel

1. La présente Convention de Traitement des Données Personnelles (la « CTD ») est conclue entre WIKITORIA et le Client, tels que ces Parties sont définies dans les Conditions. La présente CTD fait partie intégrante des Conditions auxquelles elle est annexée et constitue l’accord des Parties quant au traitement par WIKITORIA des Données à Caractère Personnel du Client. En cas de contradiction entre les dispositions des Conditions et celles de la CTD, les Parties conviennent expressément que les dispositions de la CTD prévaudront. En cas de contradiction entre les dispositions des Appendices et celles de la CTD, les Parties conviennent expressément que les dispositions de la CTD prévaudront. Les termes définis utilisés dans la CTD ont la même définition que celle qui leur est donnée dans les Conditions ou dans le RGPD, le cas échéant.

2. Les Parties reconnaissent et conviennent que (a) en vertu du RGPD, WIKITORIA est un Sous-Traitant ou un Sous-Traitant ultérieur Données à Caractère Personnel du Client énumérées dans l’ Appendice 1, (b) le Client qui accède à la Solution peut être un Responsable du Traitement ou un Sous-Traitant, selon le cas, des Données à Caractère Personnel du Client et (c) chaque Partie se conformera aux obligations qui lui incombent en vertu du RGPD en ce qui concerne le traitement de ces Données à Caractère Personnel du Client. Cette CTD ne s'applique pas aux traitements des Données à Caractère Personnel du Client lorsque WIKITORIA détermine la finalité et les moyens de ces traitements pour lesquels il est réputé être le Responsable du Traitement.

3. Des informations détaillées sur les catégories de données traitées et les Personnes Concernées, les opérations de traitement, le lieu du traitement ainsi que la finalité et la durée du traitement figurent dans l'Appendice 1.

4. Durée. La présente CTD prendra effet à la Date de Mise à Disposition et restera en vigueur jusqu’à la suppression par WIKITORIA de toutes les Données à Caractère Personnel du Client et elle expirera de plein droit à la date de cette suppression.

5. Responsable du Traitement tiers. Le Client garantit à WIKITORIA que, si le RGPD s’applique au traitement des Données à Caractère Personnel du Client et que le Client est un Sous-Traitant agissant sur les instructions d’un Responsable du Traitement tiers, les instructions et les actes du Client en ce qui concerne ces Données à Caractère Personnel du Client, notamment sa désignation en qualité de Sous-Traitant, ont été autorisées par le Responsable du Traitement tiers et qu’il en apportera la preuve si WIKITORIA lui en fait la demande.

6. Instructions du Client. En concluant la présente CTD, le Client donne instruction à WIKITORIA de ne traiter les Données à Caractère Personnel du Client que conformément au RGPD : (a) pour fournir la Solution et les Services Afférents ; (b) comme indiqué par le Client ou comme l’exige l’utilisation que fait le Client de la Solution; (c) comme précisé dans les Conditions, en ce compris la présente CTD ; ou (d) comme documenté dans toutes autres instructions légitimes et écrites données par le Client et que WIKITORIA reconnaît constituer des instructions aux fins de la présente CTD. À compter de la Date de Mise à Disposition, WIKITORIA se conformera aux instructions du Client indiquées dans la présente Section. WIKITORIA s’interdit de traiter, transférer, modifier, changer ou altérer les Données à Caractère Personnel du Client ou de divulguer ou permettre la divulgation des Données à Caractère Personnel du Client à un tiers autrement qu'en conformité avec les instructions du Client (que ce soit dans les Conditions ou autrement) à moins que la législation applicable de l’Union européenne ou les dispositions du droit des États Membres ne l’obligent à effectuer le traitement. Dans ce cas, WIKITORIA avisera le Client de cette disposition par écrit avant le traitement, à moins que la loi n’interdise une telle notification pour des motifs d’intérêt public importants.

7. Suppression pendant la Durée. WIKITORIA permettra au Client de supprimer les Données à Caractère Personnel du Client pendant la Durée d'une manière compatible avec la fonctionnalité de la Solution. Si le Client ou un Utilisateur utilise la Solution pour supprimer des Données à Caractère Personnel du Client pendant la Durée et que les Données à Caractère Personnel du Client ne peuvent être récupérées par le Client ou un Utilisateur, cette utilisation constituera une instruction du Client à WIKITORIA de supprimer les Données à Caractère Personnel du Client concernées de la Solution. WIKITORIA se conformera à cette instruction dès que raisonnablement possible et dans un délai maximal d’un (1) mois (qui pourra être porté à trois (3) mois, en cas de demande complexe, ce dont il sera justifié au Client), à moins que le droit applicable n'exige que ces Données à Caractère Personnel soient conservées par WIKITORIA pendant une période plus longue.

8. Suppression à l'expiration de la Durée. Conformément aux Conditions, le Client sera responsable de l'export, dans les trente (30) jours suivants la date d’effet de la résiliation des Conditions, de toutes Données du Client qu'il souhaite exporter de la Solution. Le Client entreprise reconnaît que ses Données doivent être conservées pendant une durée de dix (10) ans suivant la résiliation des Conditions pour en permettre l’accès en cas de contrôle. Le Client instruit WIKITORIA de conserver ses Données pendant dix (10) ans suivants la date d’effet de la résiliation des Conditions, et donne instruction à WIKITORIA de supprimer toutes les Données à Caractère Personnel du Client (en ce compris les copies existantes) de la Solution conformément au RGPD à l’expiration de cette durée.

9. Mesures de Sécurité de WIKITORIA. WIKITORIA mettra en place et maintiendra en vigueur des mesures techniques et organisationnelles appropriées pour protéger les Données à Caractère Personnel du Client contre toute destruction, perte, altération ou divulgation non autorisée ou tout accès à de telles Données, de manière accidentelle ou illicite. Les Mesures de Sécurité comprennent des mesures destinées à contribuer à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes de la Solution et des Données à Caractère Personnel et à rétablir l’accès dans des délais appropriés aux Données à Caractère Personnel du Client après un incident affectant les Données, ainsi que des tests réguliers de leur efficacité. WIKITORIA pourra mettre à jour ou modifier périodiquement les Mesures de Sécurité, à condition que ces mises à jour et modifications n’entraînent pas la dégradation de la sécurité globale de la Solution. Le Client reconnaît que les Données à Caractère Personnel du Client seront hébergées dans les centres de données d’un prestataire de services tiers (et non par WIKITORIA) et que, en conséquence, la plupart des mesures de sécurité techniques et organisationnelles liées aux Données à Caractère Personnel du Client seront appliquées par le Prestataire de Services Tiers concerné.

10. Respect de la sécurité par WIKITORIA. WIKITORIA prendra les mesures appropriées pour assurer le respect des Mesures de Sécurité par ses salariés, prestataires, mandataires et sous-traitants ultérieurs dans la mesure où elles s’appliquent à leur champ d'activités, notamment en s'assurant que toutes les personnes autorisées à traiter les Données à Caractère Personnel du Client se sont engagées à respecter leur caractère confidentiel ou sont soumises à une obligation de confidentialité appropriée, et que ce personnel ait suivi une formation appropriée conformément au RGPD.

11. Incidents affectant les Données. Si WIKITORIA vient à avoir connaissance d'un incident affectant les données, il : (a) notifiera au Client l’incident dans les meilleurs délais et sans retard injustifié ; et (b) prendra dans les meilleurs délais des mesures raisonnables pour réduire au minimum le préjudice et sécuriser les Données du Client. La notification contiendra, dans la mesure du possible, une description détaillée de l’incident, notamment les mesures prises pour atténuer les risques potentiels et les mesures que WIKITORIA recommande au Client de prendre pour faire face à l'incident. WIKITORIA n'évaluera pas le contenu des Données à Caractère Personnel du Client afin d'identifier les informations soumises à des exigences juridiques spécifiques. Le Client est entièrement responsable du respect des obligations de notification prévues par le RGPD et du respect de toutes obligations de notification à des tiers liées à tout incident.

12. Responsabilités du Client en matière de sécurité et évaluation. Le Client convient que : (a) le Client est entièrement responsable de l’utilisation qu’il fait de la Solution, notamment : (i) l'utilisation appropriée de la Solution afin d'assurer un niveau de sécurité approprié au risque lié aux Données à Caractère Personnel du Client ; (ii) la sécurisation des données d'authentification pour l’accès au compte, des systèmes et des dispositifs utilisés par le Client pour accéder à la Solution ; et (iii) la sauvegarde des Données à Caractère Personnel du Client ; et (b) WIKITORIA n'a aucune obligation de protéger les Données à Caractère Personnel du Client que le Client choisit de conserver ou de transférer en dehors des systèmes du Sous-Traitant et de ses Sous-Traitants Ultérieurs (par exemple, conservation hors ligne ou sur site). Il appartient au Client et à lui seul de déterminer si la Solution, les Mesures de Sécurité et les engagements de WIKITORIA aux termes de la présente CTD répondent aux besoins du Client, notamment en ce qui concerne toutes obligations de sécurité du Client en vertu du RGPD. Le Client reconnaît et convient que (compte tenu de l'état actuel de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des Données à Caractère Personnel du Client ainsi que des risques pour les personnes physiques) les Mesures de Sécurité mises en place et maintenues en vigueur par WIKITORIA, offrent un niveau de sécurité approprié au risque lié aux Données du Client.

13. Analyses d'impact et consultations. Le Client accepte que WIKITORIA (compte tenu de la nature du traitement et des informations dont dispose WIKITORIA) apporte au Client une assistance raisonnable pour assurer le respect par celui-ci de toutes ses obligations en matière d’analyses d'impact relatives à la protection des données et de consultations préalables, en ce compris, le cas échéant, les obligations du Client aux termes des articles 35 et 36 du RGPD, dans la mesure où WIKITORIA dispose des informations nécessaires. WIKITORIA a réalisé une analyse d’impact relative aux traitements détaillés en Appendice 1, qu’elle met à disposition du Client sur simple demande.

14. Droits et demandes des Personnes Concernées. WIKITORIA permettra au Client, d'une manière compatible avec la fonctionnalité de la Solution, d'accéder aux Données à Caractère Personnel du Client, de les rectifier ou de les effacer ou d’en limiter le traitement, selon le cas, notamment par le biais de la possibilité de suppression proposée par WIKITORIA, et d'exporter les Données à Caractère Personnel du Client, conformément aux exigences du RGPD. Pendant la Durée, si WIKITORIA reçoit une demande de la part de toute personne physique dont les Données à Caractère Personnel font l’objet d’un traitement portant sur des Données à Caractère Personnel du Client, WIKITORIA conseillera à la Personne Concernée de soumettre sa demande au Client ou de présenter directement cette demande au Client et il appartiendra au Client de répondre à une telle demande. Le Client accepte que WIKITORIA lui apporte une assistance raisonnable afin de se conformer à toute obligation de répondre aux demandes de Personnes Concernées, en ce compris, le cas échéant, l'obligation du Client de répondre aux demandes d'exercice des droits de la Personne Concernée prévus au Chapitre III du RGPD, en respectant les engagements énoncés dans la présente Section, dans la mesure où WIKITORIA est en mesure de répondre à de telles demandes.

15. Localisation géographique des Données. Pendant toute la Durée, WIKITORIA s’engage à ce que les Données à Caractère Personnel du Client soient hébergées exclusivement sur le territoire de l’Union Européenne.

16. Sous-Traitants Ultérieurs. Par les présentes, le Client autorise expressément le recours à des affiliées de WIKITORIA en tant que Sous-Traitants Ultérieurs pendant la Durée. En outre, le Client, par les présentes, autorise de manière générale le recours à tous autres tiers en tant que Sous-Traitants Ultérieurs (les « Sous-Traitants Ultérieurs »). Lorsqu'il fera appel à un Sous-Traitant Ultérieur, WIKITORIA (a) s'assurera, au moyen d'un instrument juridique ou d'un contrat écrit, que (i) le Sous-Traitant Ultérieur n'accède aux Données à Caractère Personnel du Client et ne les traite que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées, et le fait conformément aux Conditions (en ce compris la présente CTD) ; et (ii) les obligations de protection des données énoncées à l'article 28(3) du RGPD, telles qu’elles sont décrites dans la présente CTD, sont imposées au Sous-Traitant Ultérieur par ledit instrument juridique ou le contrat ; et (b) demeurera entièrement responsable de toutes les obligations sous-traitées au Sous-Traitant Ultérieur, ainsi que de tous les actes et omissions de celui-ci.

17. Registres des activités de Traitement. Le Client reconnaît que le RGPD impose à WIKITORIA de : (a) collecter certaines informations et de tenir des registres contenant ces informations, notamment le nom et les coordonnées de tout Sous-Traitant et/ou Responsable du Traitement pour le compte duquel WIKITORIA agit et, le cas échéant, du représentant local et du délégué à la protection des données dudit Sous-Traitant ou Responsable du Traitement, ainsi que les catégories de traitements effectués pour le compte de chaque Responsable du Traitement et, dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles ; et (b) de mettre ces informations à la disposition des Autorités de Contrôle.

18. Plafond de Responsabilité. Le plafond de responsabilité fixé dans les Conditions régissant la fourniture de la Solution, dont la présente CTD fait partie intégrante, s'applique à tout manquement aux stipulations de la présente CTD ou à tout préjudice susceptible de résulter du non-respect par WIKITORIA du RGPD.

19. Stipulations diverses. Ni les droits ni les obligations d'une Partie ne peuvent être cédés en totalité ou en partie sans le consentement écrit préalable de l'autre Partie, étant toutefois entendu que la présente CTD pourra être transférée ou cédée en cas de restructuration ou de changement de contrôle affectant une Partie aux présentes. En cas de différend entre les Parties lié à la présente CTD, celles-ci négocieront de bonne foi afin de résoudre leur différend. Si le différend ne peut être résolu par des négociations de bonne foi entre les Parties, il sera tranché définitivement par un tribunal public compétent du lieu du siège de WIKITORIA. La présente CTD est soumise au droit français, sans référence à ses règles de conflits de lois. Toute modification de la présente Convention de Traitement des Données devra faire l’objet d’un avenant écrit, à défaut duquel elle sera nulle et de nul effet.

Appendice 1 : Informations sur le Traitement des Données