TRAITEMENT DES DONNES A CARACTERE PERSONNEL
Article 1. Objet
Les présentes dispositions ont pour objet de définir les conditions dans lesquelles ABIONYX s’engage à effectuer les opérations de traitement de données personnelles en exécution des obligations contractuelles le cas échéant, au sens de :
- De la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée (ci-après la « Loi informatique et libertés ») et de toutes recommandations émises par l’Autorité de contrôle en application de la Loi informatique et libertés,
- Du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE [règlement général sur la protection des données] (ci-après le « RGPD ») et de toutes recommandations émises par le Comité européen de la protection des données en application du RGPD,
- La Loi informatique et Libertés et le RGPD, et les recommandations précitées étant conjointement dénommés la « Règlementation » au sein des présentes dispositions.
Délibération n° 2018-155 du 3 mai 2018 portant homologation de la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches n'impliquant pas la personne humaine, des études et évaluations dans le domaine de la santé (MR-004)
Dans le cadre de ses relations contractuelles, ABIONYX et ses salariés, préposés, représentants légaux, sous-traitants et cocontractants s’engagent à respecter la Règlementation.
Article 2. Définitions
Les termes reproduits ci-dessous seront entendus au sein des présentes dispositions tels que définis à l’article 4 du RGPD.
« Autorité de contrôle » : la CNIL, autorité publique indépendante chargée de surveiller l’application de la Règlementation, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union européenne.
« Consentement » de la Personne concernée : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la Personne concernée accepte, par une déclaration ou par un acte positif clair, que des Données à caractère personnel la concernant fassent l'objet d'un traitement ;
« Destinataire » : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de Données à caractère personnel, qu’il s’agisse ou non d’un Tiers ;
« Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable ;
« Pays tiers » : pays hors de l’Union Européenne et ne faisant pas l’objet d’une décision d‘adéquation par la Commission Européenne au sens de l’article 45 du RGPD ;
« Personne concernée » : une personne physique identifiable qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social ;
« Responsable de traitement » : la personne morale qui, seule ou conjointement avec d’autres, détermine les finalités et moyens du Traitement ;
« Prestations » : opérations confiées à ABIONYX par tout client en exécution d’un contrat le cas échéant, impliquant notamment le Traitement de Données à caractère personnel ;
« Sous-traitant » : la personne morale qui traite des Données à caractère personnel pour le compte de ABIONYX le cas échéant ;
« Tiers » : toute personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le Responsable du traitement, les personnes qui, placées sous l'autorité directe du Responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;
« Traitement » : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; les Traitements mis en œuvre dans le cadre de la fourniture des Prestations sont décrits à l’article 3 du présent accord ;
« Violation de données à caractère personnel » : une violation de la sécurité, entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Article 3. Description des traitements réalisés par ABIONYX
Les Traitements réalisés par ABIONYX dans le cadre des Prestations sont décrits dans une charte de conservation de données en cours chez un tiers de confiance ou tout autre document répondant aux exigences de cyber sécurité jugées nécessaires et suffisantes par ABIONYX.
Article 4. Obligations de ABIONYX
ABIONYX déclare et garantit disposer des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement de Données à caractère personnel réponde aux exigences de la Règlementation et garantisse la protection des droits des Personnes concernées.
ABIONYX s’engage à traiter les Données à caractère personnel dans le seul cadre des Prestations définies au contrat, pour les seuls Traitements prévus à l’article 3 « Description des Traitements de Données à caractère personnel ».
ABIONYX s'engage à :
- Informer au préalable de tout transfert de Données à caractère personnel en dehors d’un Emplacement de Traitement approuvé avant toute opération de transfert ;
- Informer toute personne s’il considère qu’une instruction de Traitement constitue une violation de la Règlementation ;
- S’assurer que toute personne physique placée sous son autorité, quel que soit son statut, qui a accès aux Données à caractère personnel dans le cadre des Prestations fournies par ABIONYX est autorisée à les traiter soit sujette :
- À une obligation de confidentialité,
- À une formation en matière de protection des Données à caractère personnel.
ABIONYX s’engage également à aider toute personne dans la réalisation de toute analyse d’impact relative à la protection des données nécessitée par les Traitements liés aux Prestations.
Article 5. Emplacement du Traitement des Données Personnelles
Toute Donnée à caractère personnel qui fait l’objet d’un Traitement ou qui est destinée à faire l’objet d’un tel Traitement conformément dans le cadre des Prestations doit, sauf indication contraire, être traitée :
a. Dans l’Espace Economique Européen (“EEE”) ;
b. Dans un pays tiers ou une organisation internationale dont la Commission européenne a constaté par voie de décision que le pays tiers ou l’organisation internationale en question assure un niveau de protection adéquat, dans la mesure où une telle décision est en vigueur au moment du Transfert (“Pays Adéquats”) ;
Article 6. Audits et contrôles
ABIONYX s’engage à mettre à la disposition de toute personne qu’elle jugera utile, toutes les informations nécessaires pour démontrer le respect de ses obligations de conformité à la Règlementation et au présent accord, et pour permettre la réalisation d’audits, y compris des inspections et contributions à un audit.
Article 7. Modalités d’exercice des droits des personnes
ABIONYX garantit qu’il met toutes les mesures en œuvre afin de permettre qu’une Personne concernée dont les Données à caractère personnel sont collectées dans le cadre des Prestations, exerce effectivement et pleinement les droits dont elle dispose en application de la Règlementation.
ABIONYX s’engage, dans toute la mesure du possible, à aider toute personne qu’elle jugera utile dans le traitement de toute demande d’une Personne concernée portant sur l’exercice des droits dont elle dispose en application de la Règlementation.
Lorsqu’une Personne concernée exerce ses droits directement auprès de ABIONYX, cette Personne devra l’adresser par email à l’adresse suivante :
ABIONYX s’engage à tenir à jour un registre de suivi des demandes d’exercice des droits par la Personne concernée ou toute personne qu’ABIONYX jugera opportune.
Article 8. Notification des violations de données à caractère personnel
ABIONYX s’engage à documenter toute Violation de Données à caractère personnel lui ayant été notifiée par toute personne dans le cadre de l’exécution des Prestations et à tenir cette documentation à sa disposition, sans préjudice de son obligation de notification ci-après définie.
ABIONYX notifie, par écrit, à toute personne qu’elle jugera utile toute Violation de Données à caractère personnel dans les plus brefs délais après en avoir pris connaissance, et dans tous les cas au plus tard dans les quarante-huit (48) heures calendaires.
Article 10. Mesures de sécurité
ABIONYX s’engage et garantit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données à caractère personnel adapté aux risques attachés à la mise en œuvre des Traitements dans le cadre des Prestations.
En complément, les mesures techniques et organisationnelles appropriées destinée à la protection des Données à caractère personnel faisant l’objet des Traitements dans le cadre des Prestations sont décrites en interne chez ABIONYX.
Article 11. Confidentialité
ABIONYX est soumis au secret le plus absolu comprenant la confidentialité, le secret professionnel et le secret des affaires (ci-après le « Secret ») sur les Traitements incluant notamment des Données à caractère personnel, mis en œuvre dans le cadre des Prestations fournies en exécution du contrat.
ABIONYX s’engage, pendant la durée prévue au contrat, à garder le caractère Secret de toutes Données à caractère personnel et, en conséquence :
- À ne communiquer les Données à caractère personnel qu’aux membres de son personnel qui sont dans la nécessité de le connaitre pour l’exécution des Prestations dans le contexte du contrat;
- À prendre les mesures qu’il prend lui-même à l’égard de ses propres informations confidentielles pour en empêcher la publication ou la divulgation à des Tiers.
Article 12. Registre des activités de traitement
ABIONYX s’engage à mettre en place et en œuvre un registre sous format électronique comportant toutes les informations requises par l’article 30.2 du RGPD.
Article 13. Garantie de conformité règlementaire
ABIONYX déclare qu’il connaît parfaitement les contraintes légales et réglementaires auxquelles elle est soumise ainsi que ses préposés et cocontractants en matière de protection des Données à caractère personnel.
Article 14. Délégué à la protection des données de ABIONYX
ABIONYX peut désigner auprès de toute personne qu’elle jugera utile une personne physique au sein de son personnel en tant que point de contact pour toutes questions relatives aux questions liées à la protection des Données à caractère personnel dans le cadre des Prestations. Cette personne doit disposer de toutes les compétences nécessaires pour toutes questions en lien avec les obligations définies au présent Accord impliquant les Données à caractère personnel et le cas échéant dans les rapports d’ABIONYX, préposés, salariés, représentants et cocontractant avec l’Autorité de contrôle.
Le point de contact désigné par ABIONYX délégué à la protection des Données à caractère personnel : Monsieur Emmanuel de Fougeroux.