Conditions de Traitement des Données – Quartix

1. Contexte et Objectif
L’entreprise qui accepte les présentes conditions (“l’Entreprise”) et Quartix Holdings plc, Quartix Limited, Quartix Inc ou toute autre entité directement ou indirectement contrôlée par Quartix Holdings plc (selon le cas, “Quartix”) ont conclu un accord (l’”Accord”) en vertu duquel Quartix fournira ses Services à l’Entreprise, ou se verra fournir les Services de l’Entreprise.
Dans le cadre de cet Accord, l’Entreprise partagera des Données avec Quartix. L’objectif de ces Conditions de Traitement des Données (les “Conditions”) est d’assurer la mise en place des dispositions appropriées relatives aux Données transmises à Quartix par l’Entreprise. Tout transfert de Données de Quartix à l’Entreprise est géré séparément et ne répond pas aux présentes Conditions.
Les présentes Conditions de Traitement des Données Quartix sont entrées en vigueur le 25 mai 2018 (la “Date d’Entrée en Vigueur”) et remplacent toutes conditions relatives à l’utilisation et à la protection des données personnelles précédemment applicables. En cas de contradiction entre ces Conditions et des conditions précédemment applicables, y compris celles stipulées dans cet Accord, les présentes Conditions prévaudront.

2. Définitions et Interprétation
Aux fins des présentes Conditions :
“Législation sur la Protection des Données” désigne toutes les sources telles que loi, règlements, décrets et directives applicables émanant d’une Autorité de Contrôle (ou son équivalent britannique) et relatif à la vie privée, la confidentialité, la sécurité, le marketing direct ou la protection des Données à Caractère Personnel ou des données d’entreprise (y compris toute loi nationale transposant et mettant en œuvre une telle législation (dont les Directives 95/46/EC, 2002/58/EC et 97 /66/EC)), y compris le Data Protection Act 1998, le Privacy and Electronic Communications Regulations 2003 (Directive CE 512003/2426), le Regulation of Investigatory Powers Act 2000, l’Investigatory Powers Act 2016, les Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000 (SI 2000/2699) et le Règlement Général sur la Protection des Données.
“Données” désigne toute donnée pouvant être concernée par la Législation sur la Protection des Données, comprenant, sans s’y limiter, les données à caractère personnel et les données sensibles telles que définies dans le RGPD.
“RGPD” désigne le Règlement Général sur la Protection des Données.
“Services” désigne les services fournis par le Fournisseur dans le cadre de cet Accord.
” Responsable du traitement” a le sens qu’en donne la Législation sur la Protection des Données.
“Personne concernée” a le sens qu’en donne la Législation sur la Protection des Données.
” Données à caractère personnel” a le sens qu’en donne la Législation sur la Protection des Données.
“Sous-traitant” a le sens qu’en donne la Législation sur la Protection des Données.
“Sous-traitant de second rang” a le sens qu’en donne la Législation sur la Protection des Données.
“Autorité de contrôle” a le sens qu’en donne la Législation sur la Protection des Données.

3. Traitement des Données
L’Entreprise garantit, déclare et certifie à Quartix qu’elle présente des Motifs Licites pour le Traitement des Données, qu’elle a informé et continuera à informer les Personnes Concernées de l’objectif du traitement des Données et qu’elle se conformera en tout temps à ses obligations découlant de la Législation sur la Protection des Données.
L’Entreprise conserve le contrôle des Données dans les cas où Quartix ne contrôlait pas encore les Données. Quartix maintiendra la confidentialité des Données et accepte de traiter les Données uniquement en accord avec la Législation sur la Protection des Données et les dispositions suivantes (dans la mesure où elles sont exigées par la Législation sur la Protection des Donnés) :
a. Quartix traitera les Données :
(i) uniquement dans la mesure et de manière à assurer la performance des Services ;
(ii) uniquement dans l’Espace Économique Européen ou le Royaume-Uni, à moins que le transfert ait été autorisé par l’Entreprise, ou s’effectue vers un pays dont le niveau de protection a été jugé habituellement adéquat par la Commission Européenne conformément à la Législation sur la Protection des Données, ou que le transfert ait des mesures de sauvegarde appropriées en place, conformément au RGPD ;
(iii) le cas échéant, conformément aux Clauses Contractuelles Types (Sous-traitants) approuvées par la Commission Européenne dans sa décision C(2010)593;
(iv) le cas échéant, conformément aux exigences du Bouclier vie privée UE – États-Unis (ou tout accord ultérieur habituellement approuvé par la Commission Européenne) et, le cas échéant, doit être en possession d’une inscription valide auprès du Département du Commerce des États-Unis à cet effet.
b. Quartix s’assurera que tous les employés et autres représentants du Fournisseur accédant aux données
(i) aient pris connaissance de ces Conditions ;
(ii) aient été formés à la Législation sur la Protection des Données et aux bonnes pratiques concernées ; et
(iii) soient tenus par des obligations de confidentialité.
c. Quartix et l’Entreprise ont convenu de mettre en œuvre des mesures techniques et organisationnelles appropriées assurant un niveau de sécurité adapté au risque.
d. L’Entreprise accorde à Quartix le droit de faire appel à des tierces parties (dont agents et sous-traitants) pour traiter les Données.
e. Étant donné la nature du traitement, Quartix adoptera les mesures techniques et organisationnelles nécessaires pour lui permettre, dans la mesure de ses capacités, d’aider l’Entreprise à satisfaire son obligation de répondre aux demandes des Personnes Concernées exerçant leurs droits énoncés dans le Chapitre III du RGPD : droit à l’effacement, droit de rectification, droit d’accès, droit à la limitation du traitement, droit à la portabilité, droit d’opposition et droit de ne pas faire l’objet de décisions automatisées, etc. ;
f. Quartix devra apporter son assistance à l’Entreprise pour permettre à l’Entreprise de répondre à ses obligations énoncées dans les Articles 32 à 36 du RGPD : sécurité, notification de violations des données, communication aux Personnes Concernées des violations de données, analyses d’impact relatives à la protection des données et, le cas échéant, consultation de l’Autorité de Contrôle compétente ;
g. Quartix devra conserver un registre écrit de toutes les catégories d’activités de traitement effectuées pour le compte de l’Entreprise, contenant toutes les informations requises par la Législation sur la Protection des Données, et devra mettre ce registre à la disposition de toute autorité de contrôle compétente au sein de l’Union Européenne ou de l’État Membre (et/ou son équivalent britannique) dans le cas d’une demande formulée par cet organe de contrôle ;
h. Dans la mesure requise par la Législation sur la Protection des Données, Quartix devra supprimer les Données aussitôt que celles-ci ne seront plus nécessaires, ou à tout moment sur instruction raisonnable de l’Entreprise. Si l’Entreprise est un client assurant le suivi d’une flotte de véhicules, celle-ci aura la possibilité de définir la période de conservation des données en se connectant à l’application de suivi de la flotte. Lorsque Quartix doit supprimer les Données, la suppression devra comprendre la destruction de toute copie existante (dans la mesure requise par la Législation sur la Protection des Données) ;
i. Dans la mesure requise par la Législation sur la Protection des Données, Quartix devra, à tout moment sur instruction raisonnable de l’Entreprise, mettre à la disposition de l’Entreprise les informations nécessaires pour prouver sa conformité aux obligations énoncées dans les présentes Conditions et permettre toute demande raisonnable d’audits de la part de l’Entreprise, à condition que l’Entreprise rembourse à Quartix tous les frais engagés pour répondre aux exigences de l’audit (y compris les coûts de temps de travail), que Quartix puisse restreindre l’accès à certains documents si ceux-ci sont jugés commercialement sensibles par Quartix (Quartix étant autorisée à en juger de manière discrétionnaire), qu’aucun test de pénétration, test de vulnérabilité ou tout autre test de sécurité ne soit effectué, qu’aucun document ou qu’aucune copie de document ne soit supprimé des sites de Quartix, que Quartix reçoive un préavis de 30 jours avant l’audit et que des accords de confidentialité soient signés par toutes les parties souhaitant effectuer l’audit (y compris les parties agissant pour le compte de l’Entreprise) ;
j. Quartix devra observer les dispositions qui s’imposent en matière de transfert sécurisé des Données de l’Entreprise à Quartix ainsi qu’à la conservation sécurisée des Données par Quartix ;
k. Quartix devra maintenir l’intégrité des Données, sans altération, en s’assurant que les Données peuvent être séparées de toute autre information créée ;
l. Dans la mesure requise par la Législation sur la Protection des Données, Quartix devra, sur instruction raisonnable de l’Entreprise, rendre, modifier, transférer, copier ou supprimer promptement toute Donnée.

4. Obligation de Notification etc.
Dans la mesure requise par la Législation sur la Protection des Données, Quartix devra notifier à l’Entreprise :
a) immédiatement après avoir pris connaissance de toute perte, fuite, divulgation ou de tout traitement non-autorisé de toute Donnée, réel, suspecté ou supposé ;
b) immédiatement après avoir reçu, de la part de toute Autorité de Contrôle, un préavis directement ou indirectement relatif au traitement des Données à caractère personnel de l’Entreprise et devra coopérer avec ladite Autorité de Contrôle ;
c) rapidement si toute Donnée à caractère personnel de l’Entreprise possédée ou contrôlée par Quartix est perdue, corrompue ou rendue inutilisable pour toute raison.

5. Résiliation
À l’expiration ou à la résiliation des présentes Conditions, Quartix devra immédiatement cesser d’utiliser, et devra faire en sorte que ses agents et sous-traitants cessent d’utiliser, les Données et devra organiser leur retour sécurisé ou leur destruction (selon le choix de Quartix) au moment opportun (sauf si l’Union Européenne, l’État Membre et/ou la loi britannique exige le stockage des Données à caractère personnel).

6. Droits des Données à caractère personnel
Quartix compile les données collectées dans le cadre des Services sous forme agrégée et anonymisée (les “Données Agrégées”) ce dont l’Entreprise accorde la permission à Quartix. Quartix acquiert la propriété et tous les droits liés aux Données Agrégées et anonymisée à partir du moment où ces données sont compilées et n’a plus pour obligation de préserver la confidentialité, de supprimer, de rendre ou d’apporter toute modification aux Données Agrégées ou à toute partie de celles-ci.
L’Entreprise accorde à Quartix la permission de contacter ses employés, directeurs, responsables et tout autre représentant de façon continue dans le but d’assurer les Services et à des fins de marketing, à condition que l’Entreprise puisse retirer sa permission à tout moment avec un préavis de 30 jours.

7. Dispositions générales
a. les présentes Conditions resteront en vigueur même après la résiliation de l’Accord, mais peuvent être résiliées par Quartix à tout moment après la résiliation de l’Accord.
b. Les présentes Conditions sont susceptibles d’être modifiées par Quartix (agissant raisonnablement), à condition de le notifier à l’Entreprise, et l’Entreprise a le droit et l’opportunité de s’opposer à ces modifications. Dans le cas où l’Entreprise s’oppose aux modifications, Quartix aura la possibilité de résilier les Conditions en donnant un préavis de 30 jours minimum.
c. Chaque partie consent irrévocablement à ce que les tribunaux compétents de Paris aient la compétence exclusive pour régler tout différend ou réclamation (y compris les différends ou réclamations non-contractuels) découlant de ou lié à ces Conditions, leur sujet ou leur formation.
d. Les titres et sous-titres des présentes Conditions ont pour seul objectif d’en faciliter la consultation et ne constituent ni n’affectent l’interprétation de ces Conditions.
e. Si toute disposition contenue dans les présentes Conditions est tenue pour inapplicable ou déraisonnable, celle-ci devra, dans la mesure de cette illégalité, invalidité, nullité, inapplicabilité ou de ce caractère déraisonnable, être jugée comme ne faisant pas partie des présentes Conditions. Les dispositions restantes contenues dans les Conditions et le reste de ces dispositions devront alors rester en vigueur.