Accord sur le Traitement des Données Personnelles

Le présent Accord sur le Traitement des Données Personnelles (ci-après dénommé « DPA » en référence à l’acronyme de l’appellation anglaise « Data Processing Agreement ») fait partie intégrante des Conditions d'utilisation de Piwigo.com (le « Contrat ») conclu entre PigoLabs SAS (Editeur de Piwigo.com) et le Client, et ayant pour objet de définir les conditions applicables aux Services fournis par PigoLabs (les « Services »). Le DPA et le Contrat sont complémentaires et s’expliquent mutuellement. Toutefois, en cas de contradiction, le DPA prévaut.

Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans le Contrat. Les termes « Règles d’entreprise contraignantes », « Responsable du traitement », « Données », « Personne concernée », « Violation de données », « Traitement », « Sous-traitant » et « Autorité de contrôle » ont le sens qui leur est donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« Règlement général sur la protection des données » ou « RGPD »).

Le présent DPA a pour objet de définir, conformément à l’article 28 du RGPD, les conditions dans lesquelles PigoLabs, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite des Données à caractère personnel sur instruction du Client, à l’exclusion des traitements de données à caractère personnel réalisés en qualité de responsable du traitement par PigoLabs. Les conditions dans lesquelles PigoLabs traite, en qualité de Responsable du traitement, des données à caractère personnel relatives au Client (y compris ses préposés) sont précisées dans le cadre de la « Politique de confidentialité » de PigoLabs.

Aux fins du présent DPA, le Client est présumé agir en qualité de Responsable du traitement. Si le Client agit en tant que Sous-traitant pour le compte d’un tiers Responsable du traitement, les Parties conviennent expressément que les conditions suivantes s’appliquent :

1. Champ d’application

1.1) PigoLabs est autorisé, en tant que Sous-traitant agissant selon les instructions du Client, à traiter les Données à caractère personnel du Responsable du traitement dans la mesure nécessaire à la fourniture des Services.

1.2) La nature des opérations menées par PigoLabs concernant les Données à caractère personnel peut être le calcul de données, le stockage et/ou tout autre Service tel que décrit dans le Contrat.

1.3) Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion.

1.4) Les activités de traitement sont effectuées par PigoLabs pour la durée prévue au Contrat.

2. Sélection des Services

2.1) Le Client est seul responsable du choix des Services. Le Client doit s’assurer que les Services choisis ont les caractéristiques et les conditions requises compte tenu des activités et traitements du Responsable du traitement, ainsi que du type de Données à caractère personnel à traiter dans le cadre des Services, notamment, mais non-limitativement, lorsque les Services sont utilisés pour traiter des Données à caractère personnel soumises à des règlementations ou des normes spécifiques (par exemple, dans certains pays, des données relatives à la santé ou des données bancaires).

2.2) Si le traitement effectué par le Responsable du traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, le Client doit choisir ses Services avec précaution. Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques ; prise de décision automatisée ayant des effets juridiques ou pouvant affecter de manière significative la personne concernée ; suivi systématique des personnes concernées ; traitement de catégories particulières de données ou de données sensibles ; traitement à grande échelle ; croisement de données ; combinaison de données ; traitement de données concernant des personnes vulnérables ; utilisation de nouvelles technologies innovantes méconnues du public pour le traitement.

2.3) PigoLabs met à la disposition du Client, dans les conditions prévues à l’article « Audits », les informations relatives aux mesures de sécurité mises en œuvre dans le cadre des Services, afin qu’il puisse évaluer la conformité de ces mesures aux traitements de données à caractère personnel du Responsable du traitement.

3. Conformité à la règlementation applicable

Chaque partie respecte la règlementation applicable en matière de protection des données (y compris le Règlement Général sur la Protection des Données).

4. Obligations de PigoLabs

4.1 PigoLabs s’engage à :

4.2) En cas de demande provenant d’autorités judiciaires, administratives ou autres, visant à obtenir communication de données à caractère personnel traitées par PigoLabs en exécution du présent DPA, PigoLabs fait ses meilleurs efforts pour (i) analyser la compétence de l’autorité demanderesse, (ii) ne répondre qu’aux autorités et demandes qui ne sont pas manifestement incompétentes ou non-valablement formées, (iii) limiter la communication aux seules données requises par l’autorité et (iv) informer au préalable le Client (sauf si cela est interdit par les dispositions législatives ou réglementaires applicables).

4.3) Si la demande provient d’une autorité relevant d’un pays tiers à l’Union européenne et qu’elle vise à obtenir communication de Données à caractère personnel traitées par PigoLabs en exécution du présent DPA sur instruction d’un Client européen de PigoLabs, PigoLabs s’y oppose sous réserve des cas suivants :

4.4) Sur demande écrite du Client, PigoLabs fournit au Client une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données et la consultation de l’autorité de contrôle compétente, dans la mesure où le Client est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux traitements de Données à caractère personnel opérés par PigoLabs en vertu du Contrat. Cette assistance consiste à assurer la transparence des mesures de sécurité mises en œuvre par PigoLabs pour ses Services.

4.5) PigoLabs s’engage à mettre en place les mesures techniques et organisationnelles suivantes :

5. Violation de données à caractère personnel

5.1) Si PigoLabs a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès non autorisé, perte, divulgation ou altération de données), PigoLabs en informe le Client dans les meilleurs délais.

5.2) La notification doit (i) décrire la nature de l’incident, (ii) décrire les conséquences probables de l’incident, (iii) décrire les mesures prises ou proposées par PigoLabs en réponse à l’incident et (iv) préciser qui est l’interlocuteur chez PigoLabs.

6. Sous-traitance

6.1) PigoLabs peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des Services ("Sous-traitant ultérieur").

6.2) Le Client autorise expressément PigoLabs à engager ses Sociétés Apparentées en tant que Sous- traitants ultérieurs. La liste des Sociétés Apparentées de PigoLabs ayant la qualité de Sous-traitants ultérieurs est disponible sur la page de la Politique de confidentialité.

6.3) PigoLabs veille à ce que le Sous-traitant ultérieur soit, au minimum, en mesure de remplir les obligations mises à la charge de PigoLabs dans le présent DPA concernant le traitement des Données à caractère personnel effectué par le Sous-traitant ultérieur. À cette fin, PigoLabs conclut un accord avec le Sous-traitant ultérieur. PigoLabs reste vis-à-vis du Client entièrement responsable de l’exécution de toute obligation que le Sous-traitant ultérieur ne remplit pas.

6.4) PigoLabs est expressément autorisé à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des gestionnaires de points d’interconnexion de réseaux ou des datacenters, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer le Client ou obtenir son autorisation préalable, à condition que ces fournisseurs tiers n’aient pas accès aux Données à caractère personnel.

7. Obligations du Client et du Responsable du traitement

7.1) Pour le traitement des Données à caractère personnel conformément au Contrat, le client doit fournir à PigoLabs par écrit (a) toute instruction pertinente et (b) toute information nécessaire à la création du registre des activités de traitement du sous-traitant. Le Client reste seul responsable du traitement des informations et instructions communiquées à PigoLabs.

7.2) Le Responsable du traitement a la responsabilité de s’assurer que :

8. Droit des personnes concernées

8.1) Le Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

8.2) PigoLabs fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer au Client toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. Le Responsable du traitement est seul responsable des réponses à ces demandes.

8.3) Le Client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de PigoLabs, cela pourra être facturé au Client à condition de le lui notifier et d’obtenir son accord au préalable.

9. Suppression et restitution des Données à caractère personnel

9.1) À la fin du Service (notamment en cas de résiliation ou de non-renouvellement), PigoLabs s’engage à supprimer dans les conditions prévues au Contrat, tout Contenu (notamment les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, sauf si une demande émise par une autorité judiciaire, administrative ou autre compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement.

9.2) Le Client est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des Services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des Services.

9.3) À cet égard, le Client est informé que la résiliation et l’expiration d’un Service pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour ou de réinstallation des Services, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par le Client dans le cadre des Services, ce compris toute sauvegarde potentielle.

10. Responsabilité

10.1) PigoLabs ne peut être tenu responsable que des dommages causés par un traitement pour lequel (i) il n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) il a agi en-dehors des instructions licites du Client ou contrairement à celles-ci. Dans de tels cas, la disposition du Contrat relative à la Responsabilité s’applique.

10.2) Lorsque PigoLabs et le Client sont impliqués dans un traitement dans le cadre du présent Contrat qui a causé un dommage à une personne concernée, le Client prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à PigoLabs la part de la réparation correspondant à la part de responsabilité de PigoLabs dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par le Contrat demeurent applicables.

11. Audits

11.1) PigoLabs met à la disposition du Client toutes les informations nécessaires pour (a) démontrer la conformité aux exigences du RGPD et (b) mener des audits. Ces informations sont disponibles dans la documentation standard sur le site internet de Piwigo.com. Des informations supplémentaires peuvent être communiquées au Client sur demande faite au Support Piwigo.com.

11.2) Si un Service est certifié, qu’il respecte un code de conduite ou fait l’objet de procédures de contrôles spécifiques, PigoLabs met à disposition, sur demande écrite du Client, les certificats etrapports des contrôles correspondants.

11.3) La communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable.

11.4) Toute information communiquée au Client en vertu de la présente clause et qui n’est pas disponible sur le Site Internet de Piwigo.com est considérée comme une information confidentielle de PigoLabs en vertu du Contrat. Avant de communiquer ces informations, PigoLabs peut exiger la signature d’un accord de confidentialité spécifique.

11.5) Nonobstant ce qui précède, le Client est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, le Client doit d’abord consulter PigoLabs au sujet de toute divulgation requise.

Historique du DPA