Data Processing Agreement

Introduction

Les parties conviennent que le présent Addendum relatif à la sous-traitance d’activités de traitement de Données à Caractère Personnel (« DPA ») encadre la relation de sous-traitance découlant de certains traitements de Données à Caractère Personnel réalisés par Memority (« Memority » ou le « Sous-traitant ») pour le compte et selon les instructions du Client (« Responsable de traitement ») dans le cadre des Services. Le DPA est incorporé par référence dans les Conditions Générales de Prestation de Services (CGPS).

En cas de conflit ou d’incohérence entre les conditions prévues dans le DPA et tout autre terme du contrat relatif aux Services éventuellement convenu entre les Parties (« Contrat SaaS »), les termes du Contrat SaaS prévaudront.

Les termes du présent DPA engagent Memority vis-à-vis de l’ensemble de ses Clients pour lesquels Memority fournit tout ou partie des Services.

Le présent DPA définit les conditions applicables aux Services actuellement disponibles. Pour les versions antérieures du DPA, le Client peut contacter Memority.

1. Définitions

Les termes commençant par une majuscule qui sont utilisés dans le présent DPA mais qui n’y sont pas définis ont la signification qui leur est attribuée dans les Conditions Générales de Prestation de Services (« CGPS »). Les définitions de termes suivantes s’appliquent au présent DPA :

CGPS : désigne les Conditions Générales de Prestation de Services de Memority accessibles à partir de cette page.
Client : désigne toute personne physique ou morale ayant passé Commande aux fins de la fourniture, par Memority, de tout ou partie des Services.
Contrat SaaS : désigne le contrat conclu entre Memority et le Client et ayant pour objet de définir les conditions juridiques, techniques, organisationnelles et commerciale de la mise à disposition par Memority des Services souscrits par le Client, notamment de la Plateforme.
Données à Caractère Personnel : désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
DPA : désigne le présent Addendum relatif à la sous-traitance, par le Client, d’activités de traitement de Données à Caractère Personnel à Memority dans le cadre des Services souscrits.
Memority : désigne MEMORITY, société par actions simplifiée immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro B 920 613 478, et dont le siège social est situé 11-13 Cours Valmy à PUTEAUX (92800).
Plateforme : désigne la Plateforme éditée par Memority ayant pour objet de fournir aux Clients les Services souscrits et portant sur la gestion de l’identité numérique. Les conditions d’accès à la Plateforme et la nature des Services effectivement souscrits par le Client sont définies dans la Commande et/ou le Contrat SaaS.
Responsable de traitement : désigne le Client.
Règlementation : désigne la règlementation régissant la protection des Données à Caractère Personnel et applicable aux traitements réalisés dans le cadre du DPA, ce qui inclut, sans s’y limiter, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD») ainsi que la loi française n°78-17 du 6 janvier 1978 dans sa version modifiée.
Services : désigne non-seulement les Services fournis par Memority, à partir de la Plateforme et souscrits par le Client dans le cadre de sa Commande, ce qui vise, notamment, la mise à disposition de la Plateforme, l’activation des modules « My Identity », « My Access » et « My-Keys », toute modification, adaptation, paramétrage, interconnexion, amélioration, ajout, extension, traduction et tous travaux dérivés de ces derniers et/ou de tout autre élément de la Plateforme, à la demande du Client, mais également tout service complémentaire, notamment des services de conseil, de configuration, de paramétrage et/ou d’accompagnement au changement, souscrit par le Client auprès de Memority, faisant l’objet d’un contrat de services séparé.
Sous-traitant : désigne Memority.
Sous-traitant Ultérieur : désigne le(s) sous-traitants auxquels Memority peut, dans les conditions prévues à l’article 3 du DPA, faire appel pour mener des activités de traitement spécifiques dans le cadre de l’exécution du présent DPA.

Les termes en lettres minuscules utilisés dans le présent DPA mais qui n’y sont pas définis ont la signification qui leur est attribuée dans le RGPD.

2. Objet et description du traitement faisant l’objet de la sous-traitance

Le Responsable du traitement est seul responsable du choix des finalités pour lesquelles les Données à Caractère Personnel sont ou seront traitées ainsi que des modalités de ce traitement.

Les traitements de Données à Caractère Personnel réalisées par le Sous-traitant, pour le compte et selon les instructions du Responsable de traitement, obéissent aux modalités suivantes :

Finalité(s) du traitement	Mise à disposition et hébergement d’une plateforme SaaS
Catégorie(s) de données à caractère personnel objet du ou des traitement(s)	☒ Etat civil (nom, prénom, etc.) ☒ Coordonnées (adresse postale, adresse électronique, etc.) ☒ Données d’identification ou d’accès (identifiant, mot de passe, numéro client, etc.) ☐ Données relatives à des informations financières et/ou économiques (revenus, numéro de carte de crédit, coordonnées bancaires) ☐ Documents officiels (passeports, pièces d’identité, etc.) ☒ Données de localisation ☒ Autres (préciser) : logs de connexion. Des données sensibles font-elles l’objet du/des traitement(s) ? ☒ Non ☐ Oui Si oui, lesquelles ? ☐ Données relatives à l’origine raciale ou ethnique ☐ Données relatives aux opinions politiques ☐ Données relatives aux opinions philosophiques ou religieuses ☐ Données relatives à l’appartenance syndicale ☐ Données relatives à l’orientation sexuelle ☐ Données de santé ☐ Données biométriques ☐ Données génétiques
Catégories de personnes concernées par le ou les traitements	☒ Employés ☒ Utilisateurs ☐ Clients (actuels ou potentiels) ☐ Personnes mineures ☐ Etudiants ☐ Autres (préciser) :
Durée du traitement	Le traitement des Données à Caractère Personnel réalisé par le Sous-traitant pour le compte du Responsable du traitement commence lorsque le Contrat SaaS prend effet. La durée du/des traitement(s) confié(s) par le Responsable de traitement au Sous-traitant ne peut excéder la durée du Contrat SaaS.

3. Sous-traitance ultérieure

Le Sous-traitant est autorisé à faire appel à l’entité Thales Cloud Sécurisé (marque S3NS), société par actions simplifiées dont le siège social est situé 54-56 avenue Hoche – 75008 PARIS (le « Sous-traitant Ultérieur ») pour mener les activités de traitement relatives à l’hébergement de la Plateforme mise à disposition au titre du Contrat SaaS.

En cas de recours à d’autres Sous-traitants Ultérieurs, le Sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du Responsable de traitement.

En tout état de cause, le(s) Sous-traitant(s) Ultérieur(s) est/sont contractuellement tenu(s) de respecter les obligations du présent DPA pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant de s’assurer que le(s) Sous-traitant(s) Ultérieur(s) présente(nt) les mêmes garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Règlementation, en particulier du RGPD. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable devant le Responsable de traitement de l’exécution par le Sous-traitant Ultérieur de ses obligations.

4. Mesures de sécurité

Sans préjudice des dispositions de l’article 8 du DPA, le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

Mesures techniques et organisationnelles mises en place par le Sous-traitant
Mesures visant à garantir la confidentialité des données	• Les données sont chiffrées au repos et en transit • Les données dites sensibles sont chiffrées en base • La plateforme est développée / opérée selon les principes du devsecops (analyse de risque, revue de conception et de code automatique (SAST et DAST), tests de pénétration régulier, supervision par un SOC externe) • L’architecture est basée sur le principe d’une défense en profondeur en trois zones distinctes • Le principe du moindre privilège est appliqué systématiquement • Un audit automatique des vulnérabilités est réalisé journalièrement et remonté au SOC externe • Les accès administrateurs / opérateurs Memority se font au travers d’un VPN et d’un bastion enregistrant l’intégralité des actions effectué (mouvement de souris et clavier) • L’intégralité des postes de travail Memority bénéficient de mesure de sécurité spécifique : chiffrement des disques durs, antivirus, EDR, Gestion des droits à privilèges, filtre de confidentialité, utilisation du MFA pour tous les accès • Memority fait l’objet de revue / audit réguliers internes ou externe : revue des habilitations, tests de pénétration, revue d’architecture / de configuration / de code
Mesures visant à garantir l’intégrité des données	• Toute modification de donnée est tracée (ancienne valeur, nouvelle valeur, qui, quand, quoi) • Les imports de données font l’objet de vérification technique et fonctionnelles (pour ces dernières, les règles dont définies par le Client) • Mise en place de seuils pour les changements en masse permettant une vérification humaine avant ces changements
Mesures visant à garantir la disponibilité des données et la résilience des systèmes et des services de traitement	• La plateforme Memority est déployée sur trois datacenters d’une même région du cloud provider. Les trois datacenters fonctionnent en mode actif / actif /actif. Au sein de chaque datacenter, chaque service est a minima doublé. • Les données hors reporting sont sauvegardées toutes les 4 heures sur une période de trente jours et hos cloud provider d’hébergement, • Les données de reporting sont sauvegardées toutes les 24 heures sur une période de trente jours et hors cloud provider d’hébergement

5. Informations et droits des personnes concernées

(1) Information des personnes concernées
Le Sous-traitant, au moment de la collecte des données, s’engage à fournir aux personnes concernées par les opérations de traitement, l’information relative aux traitements de Données à Caractère Personnel qu’il réalise.

(2) Exercice des droits des personnes
Le Sous-traitant s’engage à aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées conformément à la Règlementation en vigueur (ce qui vise notamment les droits d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée y compris le profilage).

Le Sous-traitant s’engage notamment à modifier ou supprimer, conformément aux instructions écrites du Responsable de traitement, les Données à Caractère Personnel à la suite notamment de l’exercice par une personne physique de ses droits, de sorte que les données soient exactes et à jour.

Lorsque les personnes concernées exercent directement auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dans les meilleurs délais par courrier électronique à la/aux adresses indiquées par le Client.

6. Obligations du sous-traitant

Le Sous-traitant s’engage à :

Traiter les données uniquement pour la ou les seule(s) finalités qui font l’objet de la sous-traitance.
Traiter les données conformément aux instructions documentées du Responsable de traitement. Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatementle Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
Garantir la confidentialité des Données à Caractère Personnel traitées dans le cadre du présent DPA. A ce titre, le Sous-traitant s’engage à veiller à ce que les personnes autorisées à traiter les Données à Caractère Personnel en vertu du DPA :

s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; et
reçoivent la formation nécessaire en matière de protection des Données à Caractère Personnel.

Prendre en compte, s’agissant de ses outils, produits, applications ou Services, les principes de protection des données dès la conception et de protection des données par défaut.
Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques ;
Aider et, si besoin, assister le Responsable de traitement dans la réalisation d’analyse d’impact relative à la protection des données ;
Communiquer au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du RGPD.
Notifier immédiatement au Responsable de traitement les mesures de contrôles initiées par une autorité de contrôle ou de toute autre demande juridiquement contraignante émanant d’une autorité publique et concernant le traitement objet du présent DPA. Cette notification comprend des informations sur les données à caractère personnel concernées, l’identité de l’autorité requérante, la base juridique de la demande ainsi que la réponse fournie.

Conserver et mettre à disposition du Responsable de traitement un suivi des activités de traitement réalisées pour le compte de ce dernier.

7. Obligations du responsable de traitement

Le Responsable de traitement s’engage à :

Documenter par écrit (par exemple : par courriel) ses instructions concernant le traitement des Données à Caractère Personnel par le Sous-traitant ;
Veiller autant que cela lui est raisonnablement possible, préalablement et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD par le Sous-traitant ;
Superviser le traitement, y compris réaliser ou faire réaliser les audits et les inspections auprès du Sous-traitant. Dans ce cadre, le Responsable de traitement informera par écrit avec accusé de réception le Sous-traitant de la réalisation de l’audit dans un délai d’au moins 30 (trente) jours calendaires avant ledit audit, en précisant l’objet des vérifications envisagées, lesquelles sont limitées aux traitements de données à caractère personnel nécessaires à l’exécution du Contrat SaaS. Le Sous-traitant s’engage à coopérer activement avec le Responsable de traitement et/ou le(s) tiers mandaté(s) par ce dernier. Dans l’hypothèse où le rapport d’audit ferait apparaître un défaut de conformité des traitements de données à caractère personnel qui lui sont confiés en sous-traitance, le Sous-traitant s’engage à mettre en œuvre les actions correctrices requises dans le délai convenu avec le Responsable de traitement. Les Parties s’engagent à limiter autant que possible la durée des audits. Un seul audit pourra être organisé par année d’exécution du Contrat. Si cet audit révèle des manquements substantiels, un audit de vérification de mise en conformité pourra être organisé. Les frais d’audit sont à la charge du Responsable de traitement, à l’exception des coûts de l’éventuel audit de vérification de la mise en conformité, lesquels sont à la charge du Sous-traitant.

8. Transfert des données à caractère personnel vers des pays tiers à l’Union Européenne

Le Sous-traitant s’engage à fournir ses meilleurs efforts pour éviter tout transfert de Données à Caractère Personnel vers des pays tiers à l’Union européenne.

Dans le cas où un tel transfert s’avèrerait toutefois nécessaire, le Sous-traitant s’engage à informer le Responsable de traitement préalablement à la mise en œuvre du traitement et à encadrer juridiquement de tels transferts en conformité avec la règlementation applicable (en particulier le RGPD).

En cas de transfert vers un pays, le territoire ou un secteur d’un pays ne bénéficiant pas d’une décision d’adéquation de la Commission européenne constatant que ce dernier assure un niveau de protection adéquat des Données à Caractère Personnel ou, en présence d’une telle décision mais si cela est jugé opportun par les Parties, le Sous-traitant s’engage à (i.) mettre en œuvre des garanties appropriées au sens de l’article 46 paragraphe 2 du RGPD et à (ii.) s’assurer que les personnes concernées disposent de droits opposables et de voies de droit effectives.

De manière générale, le Sous-traitant fondera systématiquement le(s) transfert(s) de Données à Caractère Personnel vers un ou plusieurs pays tiers à l’Union européenne réalisés en lien avec le DPA sur le ou les outil(s) de transfert suivant(s) :
☒ Décision d’adéquation [1] de la Commission européenne (si existante) ☒ Clauses contractuelles types (CCT) de la Commission européenne ☐ Règles internes d’entreprises (BCR) approuvées ☐ Clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne ☐ Certification approuvée ☐ Code de conduite approuvé ☐ Instruments juridiquement contraignants et exécutoires entre autorités et organismes publics ☐ Dérogation au titre de l’article 49 du RGPD. Préciser : …………………………………………… Au cours de l’exécution du DPA, les Parties pourront convenir par écrit de nouvelles modalités d’encadrement d’un ou plusieurs transfert(s) de Données à Caractère Personnel vers des pays tiers réalisés en lien avec le DPA (par exemple, dans le cas où la décision d’adéquation ayant fondé le transfert jusqu’alors serait invalidée par une institution européenne).

De manière générale, le Sous-traitant fondera systématiquement le(s) transfert(s) de Données à Caractère Personnel vers un ou plusieurs pays tiers à l’Union européenne réalisés en lien avec le DPA sur le ou les outil(s) de transfert suivant(s) :

☒ Décision d’adéquation [1] de la Commission européenne (si existante)
☒ Clauses contractuelles types (CCT) de la Commission européenne
☐ Règles internes d’entreprises (BCR) approuvées
☐ Clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne
☐ Certification approuvée
☐ Code de conduite approuvé
☐ Instruments juridiquement contraignants et exécutoires entre autorités et organismes publics
☐ Dérogation au titre de l’article 49 du RGPD. Préciser : ……………………………………………

Au cours de l’exécution du DPA, les Parties pourront convenir par écrit de nouvelles modalités d’encadrement d’un ou plusieurs transfert(s) de Données à Caractère Personnel vers des pays tiers réalisés en lien avec le DPA (par exemple, dans le cas où la décision d’adéquation ayant fondé le transfert jusqu’alors serait invalidée par une institution européenne).

Le Sous-traitant s’engage à communiquer au Responsable de traitement tout document démontrant la mise en œuvre de garanties appropriées.

[1] L’expression « décision d’adéquation » désigne une décision de la Commission européenne par laquelle cette dernière constate que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés de ce pays tiers vers lequel les données à caractère personnel seraient transférées assure(nt) un niveau de protection adéquat des données à caractère personnel (article 45, paragraphe 1 du RGPD).

9. Sécurité et confidentialité des données

Dans le cadre de l’exécution du présent DPA, le Sous-traitant agira uniquement sur et selon instructions du Responsable de traitement. A ce titre, le Sous-traitant s’engage à ne pas utiliser les données qui lui sont confiées par le Responsable de traitement pour son propre compte ou pour celui d’un tiers.

Conformément à la Règlementation en vigueur, le Sous-traitant s’engage à prendre toutes les mesures utiles afin de préserver la sécurité des Données à Caractère Personnel et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées. A ce titre, il s’engage notamment à mettre en œuvre les mesures techniques et organisationnelles listées à l’article 3 du présent DPA.

Le Sous-traitant s’engage à intégrer la protection de la vie privée ainsi que les exigences de sécurité des données afférentes dès la conception du service et à chaque étape de développement.

10. Durée de conservation des données

Sous réserve d’une obligation légale ou réglementaire contraire, le Sous-traitant s’engage à ne pas conserver les données qui lui auront été confiées par le Responsable de traitement au-delà des durées de conservation fixées par ce dernier au regard des finalités pour lesquelles elles ont été collectées.

11. Sort des données

En cas de cessation du Contrat SaaS, qu’elle qu’en soit la cause et y compris en cas de résolution anticipée de ce dernier, le Sous-traitant s’engage à détruire, au plus tard un mois après l’achèvement total de la phase de réversibilité, l’ensemble des Données à Caractère Personnel hébergées en lien avec le Contrat SaaS ainsi que toutes leurs éventuelles copies existantes dans ses systèmes d’information, sous réserve des éventuelles obligations légales de conservation et/ou d’archivage. Le Sous-traitant s’engage à communiquer au Responsable de traitement la preuve de cette destruction.

12. Notification des violations de Données à Caractère Personnel

Si le Sous-traitant a connaissance d’une violation de Données à Caractère Personnel entraînant notamment, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée des Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non-autorisée à de telles Données à Caractère Personnel, le Sous-traitant en informe sans délai le Responsable de traitement par courrier électronique à la/aux adresse(s) électronique(s) renseignées par le Responsable de traitement.

Le Sous-traitant fournit au Responsable de traitement dans les meilleurs délais, et au plus tard 48 (quarante-huit) heures après avoir eu connaissance de la violation de données les informations suivantes :

La nature de l’incident ;
Les catégories et le nombre approximatif de personnes concernées par la violation ;
Les catégories et le nombre approximatif d’enregistrements de Données à Caractère Personnel concernées ;
La description des conséquences probables de la violation de données ;
La description des mesures prises ou que le Sous-traitant propose de prendre pour remédier à la violation de données y compris, le cas échéant, les mesures pour atténuer les éventuelles conséquences négatives ; et
Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Le cas échéant, le Sous-traitant s’engage coopérer et à assister le Responsable de traitement pour effectuer les notifications des violations de sécurité aux autorités compétentes et/ou aux personnes concernées.

13. Documentation

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.