Télécharger l'accord de traitement des données en pdf

Accord de traitement des données

Accord de traitement des données

Accord de traitement des données

Date de mise à jour : 09/04/2025

Accord de traitement des données personnelles dans le cadre de la sous-traitance

Table des matières

1 Définitions
2. Description des traitements faisant l’objet de la sous-traitance dans le cadre du service de mise à disposition de la solution documentaire Hibouthèque
   2.1. Finalités des traitements de données à caractère personnel effectués par le sous-traitant dans le cadre de la sous-traitance
   2.2. Nature des données à caractère personnel traitées dans le cadre de la sous-traitance
   2.3. Catégories de personnes concernées par ces traitements
   2.4. Durée de conservation des données
3. Durée de la Sous-traitance
4. Obligations du Sous-traitant vis-à-vis du Responsable de traitement des parties
   4.1 Obligations du Sous-traitant vis-à-vis du Responsable de traitement
   4.2 Obligations du Responsable de traitement vis-à-vis du Sous-traitant
5. Intervenant agissant pour le compte du sous-traitant
6. Droit d’information des personnes concernées
7. Exercice des droits des personnes
8. Notification des violations de données à caractère personnel
9. Conseil du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations
10. Mesures de sécurité
11. Audit
12. Sort des données
13. Délégué à la protection des données
14. Registre des catégories d’activités de traitement
15. Documentation

 

Le Bénéficiaire est seul responsable des données qu’il produit, collecte et/ou diffuse, des revendications des tiers ainsi que des actions pénales qu’elles entraîneraient. Le Bénéficiaire fait sien le respect de la législation applicable au traitement desdites données. 

Les données hébergées, sauvegardées ou stockées par Réseau Canopé pour le compte du Bénéficiaire sont et demeurent la propriété du Bénéficiaire. Le Bénéficiaire est responsable des traitements de données à caractère personnel hébergées, sauvegardées ou stockées par Réseau Canopé pour son compte. 

Les dispositions du présent article 12 définissent les conditions dans lesquelles Réseau Canopé en tant que sous-traitant s’engage à effectuer pour le compte du Bénéficiaire, responsable de traitement, les opérations de traitement de données à caractère personnel définies ci-après dans le cadre de l’abonnement annuel à la solution documentaire Hibouthèque. 

Dans le cadre de leurs relations contractuelles, Réseau Canopé et le Bénéficiaire s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le Règlement européen sur la protection des données »). 

1 Définitions

« Données personnelles » ou « Données à caractère personnel » : désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro de téléphone, une adresse email, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

« Traitement de données » désigne toute opération ou tout ensemble d’opérations qui est réalisé sur les données à caractère personnel, de manière automatisée ou non, tels que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, le verrouillage, l’effacement ou la destruction ;

« Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;

« Sous-traitant » (au sens du RGPD) désigne celui qui traite des données personnelles pour le compte, sur instruction et sous l'autorité du responsable de traitement ;

« Intervenant du sous-traitant » désigne un intervenant que le sous-traitant a recruté après avoir obtenu l'autorisation écrite du responsable de traitement

« Destinataire » : toute personne physique ou morale (tiers ou pas) qui reçoit la communication des données.

2. Description des traitements faisant l’objet de la sous-traitance dans le cadre du service de mise à disposition de la solution documentaire Hibouthèque 

Dans le cadre du contrat d’abonnement annuel à la solution documentaire Hibouthèque, le sous-traitant est autorisé à traiter pour le compte du Bénéficiaire, responsable de traitement, les données à caractère personnel nécessaires pour fournir le service suivant : 

  • mise à disposition de la solution documentaire Hibouthèque, service de gestion documentaire et catalogue en ligne (recherche de contenus documentaires) à destination du Bénéficiaire. 

2.1. Finalités des traitements de données à caractère personnel effectués par le sous-traitant dans le cadre de la sous-traitance 

Les finalités de traitement sont les suivantes : 

  • permettre aux écoles et aux établissements (Bénéficiaires) de gérer les transactions de prêt (prêts, retours, réservations, gestion des retards) ;
  • permettre aux écoles et aux établissements (Bénéficiaires) d'effectuer des demandes d'assistance (via le formulaire de contact) ;
  • permettre aux écoles et aux établissements (Bénéficiaires) de bénéficier d'une prestation d'hébergement (OVH) ;
  • permettre aux écoles et aux établissements (Bénéficiaires) de suivre statistiquement les prêts (statistiques anonymes) ;
  • permettre aux écoles et aux établissements (Bénéficiaires) de gérer les utilisateurs de la bibliothèque (emprunteurs, gestionnaires et chargés de prêts).

2.2. Nature des données à caractère personnel traitées dans le cadre de la sous-traitance 

Les données à caractère personnel traitées dans le cadre de la sous-traitance sont les suivantes : 

  • données relatives aux emprunteurs (élèves et enseignants), ce sont des données courantes ;
  • données des gestionnaires de la bibliothèque, il faut comprendre dans ce cas les gestionnaires au niveau des écoles et établissements et les chargés de prêts ;
  • données statistiques relatives aux prêts ;
  • données de connexion ;
  • données de cookies.

Aucune donnée sensible n’est traitée dans le cadre de la plateforme Hibouthèque.

2.3. Catégories de personnes concernées par ces traitements 

Les personnes concernées par ces traitements sont les suivantes : 

  • les Usagers du Bénéficiaire : élèves emprunteurs, enseignants ainsi que gestionnaires de la bibliothèque. 

Pour l’exécution du service de mise à disposition et d’hébergement de la solution documentaire Hibouthèque, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes : 

  • liste des Usagers comportant les données personnelles collectées par le responsable de traitement ; 
  • catalogue de la bibliothèque ;
  • transactions de prêts.

2.4. Durée de conservation des données

Les données personnelles concernant les Usagers du Bénéficiaire sont conservées 26 mois après échéance de l’abonnement ou résiliation de l’abonnement. 

3. Durée de la Sous-traitance 

Les présentes dispositions contractuelles relatives à la sous-traitance font partie intégrante des Conditions générales de vente et d’utilisation acceptées par le Responsable de traitement à l’occasion de la passation de commande. Elles entrent en vigueur à compter de l’acceptation des Conditions générales de vente et d’utilisation par le Responsable de traitement et sont valables pour la durée de l’abonnement souscrit par le Responsable de traitement. 

4. Obligations du Sous-traitant vis-à-vis du Responsable de traitement des parties

4.1 Obligations du Sous-traitant vis-à-vis du Responsable de traitement 

Le Sous-traitant s’engage à : 

  • traiter les données uniquement pour les seules finalités qui font l’objet de la sous-traitance ; 
  • traiter les données conformément aux instructions documentées du responsable de traitement communiquées à Réseau Canopé. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Responsable de traitement. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ; 
  • garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ; 
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat, d’une part s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et d’autre part reçoivent la formation nécessaire en matière de protection des données à caractère personnel ; 
  • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut. 

4.2 Obligations du Responsable de traitement vis-à-vis du Sous-traitant 

Le Responsable de traitement s’engage à : 

  • fournir au Sous-traitant les données visées à l’article 12.2. des présentes clauses ; 
  • documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ; 
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ; 
  • superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant. 

5. Intervenant agissant pour le compte du sous-traitant

5.1. Le Sous-traitant est autorisé à faire appel à la société OVH, prestataire d’hébergement Cloud, dont le siège social est sis 2 rue Kellermann - 59100 Roubaix - France, ci-après dénommée « l’Intervenant du sous-traitant », pour mener les activités de traitement suivantes : 

  • hébergement du site v2.hiboutheque.fr 

Le sous-traitant informe par écrit le responsable de traitement préalablement à tout recrutement d’un nouvel Intervenant ou tout changement d’Intervenant du sous-traitant.  Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées de l’Intervenant et les dates du contrat de sous-traitance. Le Responsable de traitement dispose d’un délai maximum vingt-et-un (21) jours ouvrables à compter de la date de réception de cette information pour présenter ses objections. Le silence du Responsable de traitement gardé pendant ces vingt-et-un jours vaut également acceptation de l’Intervenant.

5.2. L’Intervenant du Sous-traitant est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. 

Il appartient au Sous-traitant de s’assurer que l’Intervenant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si l’Intervenant du sous-traitant ne remplit pas ses obligations en matière de protection des données, le Sous-traitant demeure pleinement responsable devant le responsable de traitement de l’exécution par l’Intervenant de ses obligations. 

6. Droit d’information des personnes concernées 

Il appartient au Responsable de traitement de fournir, au moment de la collecte des données, aux personnes concernées par les opérations de traitement de leurs données à caractère personnel, l’information relative aux traitements de données qu’il réalise. 

7. Exercice des droits des personnes 

Dans la mesure du possible, le Sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées par la collecte et le traitement de leurs données à caractère personnel  : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). 

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique au Responsable de traitement. 

8. Notification des violations de données à caractère personnel 

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 36 (trente-six) heures après en avoir pris connaissance et par courrier électronique, même si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Ce dernier doit effectuer cette notification dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. 

Le Responsable de traitement notifie à l’autorité de contrôle compétente, les violations de données à caractère personnel dans les meilleurs délais et 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

La notification contient au moins :

  • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d'enregistrements de données à caractère personnel concernés ;
  • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de données à caractère personnel (Sur les données et les droits et libertés des personnes concernées) ;
  • la description des mesures prises ou que le Responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Le cas échéant, le Responsable de traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

Les parties s’engagent à collaborer activement pour qu’elles soient en mesure de répondre à leurs obligations réglementaires et contractuelles.

9. Conseil du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations 

Pour les écoles primaires publiques, c’est le DASEN qui est le Responsable de traitement des données personnelles. Il convient aux écoles ayant souscrit un abonnement ou bénéficiant d’un abonnement via la collectivité de rattachement d’informer leur DASEN de l’acquisition d’Hibouthèque.

Pour les écoles primaires relevant du secteur privé ou les établissements français à l’étranger, les chefs d’établissement sont les Responsables de traitement.

Tout traitement de données relatif à Hibouthèque doit figurer au registre d’activité du responsable de traitement. 

Le Sous-traitant conseille le responsable de traitement, à la demande de ce dernier, pour la réalisation d’analyses d’impact relative à la protection des données. 

Le Sous-traitant aide le responsable de traitement, à la demande de ce dernier, pour la réalisation de la consultation préalable de l’autorité de contrôle. 

10. Mesures de sécurité 

Le Sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : 

  • le chiffrement des données à caractère personnel ; 
  • les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; 
  • les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. 

11. Audit

Le Sous-traitant s’engage à permettre au responsable de traitement de réaliser ou de faire réaliser des audits des mesures techniques et organisationnelles appliquées aux traitements de données personnelles qu’il réalise. Le coût de ces audits est supporté par le Responsable de traitement (Bénéficiaire) qui en fait la demande.  Les parties conviennent des date et heure de l’audit et des autres détails au préalable et au plus tard 1 mois avant l’audit. L’audit est conduit de façon à ne pas entraver les obligations du prestataire de services ou de ses sous-traitants à l’égard des tiers. Les représentants du Bénéficiaire et l’auditeur doivent signer des engagements conventionnels de confidentialité.

Le Sous-traitant s’engage à collaborer de bonne foi avec l’auditeur, à lui communiquer toutes informations, documents ou explications nécessaires à la réalisation de l’audit et à lui permettre d’accéder à tous sites, installations informatiques, outils et moyens du Sous-traitant utilisés pour rendre les prestations.

Les résultats de l’audit seront communiqués au Sous-traitant. 

12. Sort des données 

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-traitant s’engage à détruire toutes les données à caractère personnel 26 mois après l’arrivée à échéance de l’abonnement au service et après avoir prévenu préalablement le Bénéficiaire qui peut demander la transmission de ses données.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction. 

13. Délégué à la protection des données 

Le Sous-traitant informe le Responsable de traitement des coordonnées suivantes de son délégué à la protection des données : dpo@reseau-canope.fr. 

14. Registre des catégories d’activités de traitement 

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement comprenant : 

  1. le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ; 
  2. les catégories de traitements effectués pour le compte du responsable du traitement ; 
  3. le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ; 
  4. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : 
  5. l’anonymisation et le chiffrement des données à caractère personnel ; 
  6. des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; 
  7. les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
  8. une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

15. Documentation 

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.