Accord de traitement des données

1. Objet

Le présent accord encadre le traitement des données personnelles réalisé par Shared Sight pour le compte du Client, le cas échéant.

2. Rôles des parties

Le Client agit en qualité de responsable de traitement. Shared Sight agit en qualité de sous-traitant, au sens de l'article 4 du RGPD, pour les seuls traitements nécessaires à l'exécution des prestations contractuelles.

3. Description des traitements

Nature et finalité : traitements liés aux prestations informatiques confiées par le Client (conseil, intégration, support, maintenance, formation).

Durée : pendant la durée des prestations, puis selon les règles de restitution/suppression prévues au présent accord.

Catégories de données : données d'identification et de contact, données techniques de service, journaux d'exploitation, et toute donnée nécessaire à l'exécution des prestations selon les instructions du Client.

Catégories de personnes concernées : collaborateurs du Client, utilisateurs habilités, contacts opérationnels, et, le cas échéant, clients finaux du Client selon le périmètre contractuel.

4. Instructions documentées

Shared Sight traite les données personnelles uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale contraire.

5. Confidentialité

Shared Sight veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à la confidentialité et n'accèdent qu'aux données strictement nécessaires à leur mission.

6. Mesures de sécurité

Shared Sight met en oeuvre des mesures techniques et organisationnelles adaptées au risque, notamment, selon le contexte : contrôle des accès, gestion des habilitations, journalisation, chiffrement en transit, et dispositifs de sauvegarde/restauration.

7. Assistance au Client

Shared Sight assiste le Client, dans une mesure raisonnable, pour répondre aux demandes d'exercice des droits des personnes concernées et pour satisfaire ses obligations RGPD (sécurité, notification de violation, analyses d'impact, consultation préalable de l'autorité de contrôle).

8. Notification de violation

En cas de violation de données personnelles, Shared Sight notifie le Client dans les meilleurs délais et, si possible, dans un délai de 72 heures après en avoir pris connaissance, avec les informations disponibles.

9. Obligations du Client

Le Client s'assure de la licéité des traitements et de la validité des bases légales applicables. Il fournit des instructions claires, complètes et documentées.

10. Sous-traitance ultérieure

Shared Sight ne confiera les données à aucun autre prestataire sans accord écrit préalable du Client.

La liste des sous-traitants utilisés par Shared Sight est fournie sur demande et tenue à jour. Tout changement significatif fera l'objet d'une information préalable.

11. Transferts hors UE

Aucun transfert de données personnelles hors Union europeenne n'est effectué sans instruction du Client et sans encadrement juridique approprié au sens du RGPD.

12. Sort des données en fin de contrat

A la fin des prestations, Shared Sight restitue au Client les données personnelles dans un format exploitable, puis les supprime, sauf obligation légale de conservation ou instruction contraire du Client. La restitution intervient dans un délai maximal de 30 jours calendaires suivant la fin du contrat, dans un format raisonnablement exploitable (CSV, JSON, ZIP ou équivalent). Sur demande, Shared Sight confirme par écrit l'opération de suppression.

13. Information et audit

Shared Sight met à disposition les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant. Le Client peut demander un audit proportionné, sur préavis raisonnable, dans le respect de la confidentialité et de la sécurité des autres clients.

14. Contact RGPD

Pour toute question relative à la protection des données : contact@shared-sight.com.

15. Langue

Le présent accord est rédigé en français. Toute traduction est fournie à titre informatif. En cas de divergence d'interprétation, la version française fait foi.

16. Droit applicable

Droit français. Tribunal compétent : Caen.