POLITIQUE DE CONFIDENTIALITÉ

1. Définitions

1.1. Le « Contrat » désigne le contrat-cadre de services, les conditions générales relatives aux commandes ou tout autre contrat en vertu duquel HANDIRECT fournit des services au Client.

1.2. HANDIRECT est considéré comme le fournisseur ou prestataire de services qui fournit des services en vertu du Contrat. HANDIRECT correspond à toute entreprise utilisant le nom commercial HANDIRECT, que ce soit une agence en propre de Handirect Services ou une franchise du réseau.

1.3. Le « Client » désigne la société qui reçoit les services fournis en vertu du Contrat. Il est considéré comme le responsable de traitement.

1.4. Les « Données personnelles » désignent les informations personnelles ou données à caractère personnel que HANDIRECT traite au nom du Client en vertu du Contrat.

1.5. Le « Traitement » désigne tout traitement de Données personnelles ou tout accès à ces dernières ou toute opération ou ensemble d’opérations effectuées sur les Données personnelles. « Traiter » ou « Traité » ont la même signification.

1.6. Les « Lois sur la protection des données » désignent l’ensemble des lois, règles, règlements, décrets, arrêtés ou autres obligations légales applicables à la protection ou au traitement de Données personnelles, notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (règlement général sur la protection des données) (« RGPD ») à compter du 25 mai 2018, ainsi que la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée) et toute législation, règle ou autre règlement mis en oeuvre par l’Union européenne (l’« Union »), un État membre de l’Union (un « État membre »).

1.7. Les termes en minuscules « données à caractère personnel », « personne concernée », « traitement », « responsable du traitement », « sous-traitant », « violation de données à caractère personnel » et « autorité de contrôle » ont les mêmes définitions que celles précisées dans le cadre des Lois sur la protection des données. Les termes « informations personnelles », « responsable du traitement de données » ou « sous-traitant de données », signifient respectivement « données à caractère personnel », « responsable du traitement » et « sous-traitant ».

2. Description du Traitement

2.1. L’objet, la nature et la finalité des Traitements effectués par HANDIRECT pour le compte du Client seront déterminés par le Contrat.

2.2. La durée du Traitement sera définie dans le Contrat.

2.3. Les catégories de personnes concernées par les Traitements de données sont en règle générale les utilisateurs finaux du Client, les clients, les clients potentiels, les partenaires commerciaux, les fournisseurs, les cocontractants, les employés, les représentants, les conseils et/ou toute autre personne dont les Données personnelles la concernant sont fournies à HANDIRECT par le Client ou dans le cadre de l’exécution des services fournis. Le cas échéant, le Contrat précise les catégories de personnes concernées.

2.4. Les différents types de Données personnelles incluent en règle générale les coordonnées personnelles, les informations professionnelles, les identifiants, et tout autre type de données à caractère personnel identifié dans les Lois sur la protection des données, ou les documents, images, ou tout autre contenu intégrant des Données personnelles communiquées à HANDIRECT par le Client ou à sa demande dans le cadre de l’exécution des services. Le cas échéant, le Contrat précise le type de Données personnelles traitées.

3. Restrictions relatives au Traitement

HANDIRECT ne pourra traiter les Données personnelles que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union européenne ou du droit de l’État membre auquel HANDIRECT est soumis; dans ce cas, HANDIRECT informera le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs
importants d’intérêt public.

4. Personnel

HANDIRECT s’assurera que son personnel autorisé à traiter les Données personnelles soit tenu de respecter la confidentialité des Données personnelles et du Traitement. A défaut, ces derniers ne traiteront pas de Données personnelles.

5. Sécurité

HANDIRECT est tenue de mettre en oeuvre en continu l’ensemble des mesures techniques et organisationnelles appropriées, y compris celles spécifiées dans le Contrat, de sorte que son traitement des Données personnelles satisfasse aux exigences du RGPD, d’assurer la protection des droits des personnes concernées, et d’offrir un niveau de protection au moins comparable à la protection requise en vertu des Lois sur la protection des données. D’une manière générale, HANDIRECT prendra toutes les mesures requises en vertu de l’article 32 du RGPD.

6. Informer le Client des demandes

Sous réserve des dispositions légales applicables, HANDIRECT informera promptement le Client, par écrit, de toute demande d’accès ou de communication de Données personnelles émanant d’une personne concernée, d’une autorité de contrôle, de tout autre tiers, ou de toute assignation ou décision judiciaire ou administrative ou de toute requête émise par une autorité gouvernementale ou
judiciaire. Le Client a le droit de s’opposer à une telle action ou d’intervenir, ou de traiter directement cette demande à ses propres frais au nom et pour le compte de HANDIRECT, sauf dispositions légales contraires. HANDIRECT coopérera raisonnablement avec le Client dans le cadre de telles poursuites.

7. Assistance au Client

7.1. Les parties s’engagent mutuellement à se conformer aux Lois sur la protection des données, dans le cadre de l’exécution du Contrat. En particulier, les parties s’engagent à se conformer à l’article 28 du RGPD, qui s’appliquera en toute circonstance, nonobstant toute éventuelle stipulation contraire.

7.2. Il appartient au Client, considéré comme le responsable de traitement, de fournir les informations requises aux personnes concernées par les opérations de traitement au moment de la collecte de données, lorsque des données à caractère personnel sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. En sa qualité de responsable du Traitement des Données personnelles, le Client garantit la licéité du Traitement et que les Données personnelles sont collectées et traitées par ses soins conformément aux Lois sur la protection des données. Le Client garantit HANDIRECT contre les conséquences d’un éventuel manquement du Client à ses obligations au titre du RGPD. Le Client communiquera à HANDIRECT toutes les informations nécessaires pour permettre à HANDIRECT d’effectuer ses services en conformité avec les Lois sur la protection des données personnelles.

7.3. Selon la nature du Traitement et dans toute la mesure du possible, HANDIRECT aidera le Client, moyennant la mise en place de mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation visant à répondre aux demandes des personnes concernées qui souhaitent exercer leurs droits, lesquels sont stipulés dans les Lois sur la protection des données.

7.4. HANDIRECT aidera le Client à assurer la conformité aux Lois sur la protection des données, et particulièrement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, en prenant en compte la nature du Traitement et les informations qui sont à la disposition de HANDIRECT.

8. Violation de données à caractère personnel

HANDIRECT informera le Client, sans délai, s’il prend connaissance d’une violation de données à caractère personnel et il fera tout son possible pour aider le Client à enquêter et à remédier à ladite violation de données à caractère personnel.

9. Responsabilité personnelle

9.1. HANDIRECT mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité aux Lois sur la protection des données, autoriser des audits et y contribuer, y compris les inspections conduites par le Client ou par un auditeur tiers mandaté par le Client, sous réserve des engagements de confidentialité appropriés.

9.2. HANDIRECT informera immédiatement le Client s’il estime qu’une instruction enfreint les dispositions en matière de protection des données personnelles établies par le RGPD, une réglementation de l’UE ou d’un État membre de l’UE.

10. Sous-traitance

10.1. HANDIRECT ne recrute pas un autre sous-traitant afin de gérer des Données
personnelles sans l’autorisation écrite spécifique ou générale préalable du Client. Dans le cas d’une autorisation générale écrite, HANDIRECT informera le Client de tous les changements prévus concernant l’ajout ou le remplacement d’autres sous-traitants, donnant de ce fait au Client la possibilité de s’opposer raisonnablement à de tels changements.

10.2. Si HANDIRECT sous-traite auprès d’un tiers des prestations de traitement
spécifiques pour le compte du Client, les mêmes obligations en matière de protection des données que celles stipulées ci-dessus, dans le Contrat ou dans tout autre acte juridique conclu entre les parties, seront imposées à ce sous-traitant par un contrat ou par tout autre acte juridique en vertu de la réglementation de l’UE, d’un état membre de l’UE ou de toute autre loi applicable dans l’UE. Si le sous-traitant en question ne respecte pas ses obligations en matière de protection des données, HANDIRECT sera responsable de l’exécution des obligations de ce dernier.

11. Lieu du traitement

Les Données personnelles peuvent être transférées dans tous les pays où HANDIRECT et les soustraitants disposent d’installations justifiant des garanties appropriées, telles que décrites dans les Lois sur la protection des données.

12. Formation

HANDIRECT dispensera une formation appropriée en matière de confidentialité et protection des données (comprenant celles pouvant être exigées par les Lois sur la Protection des Données) à son personnel qui traite des données personnelles.

13. Réclamations

Si, dans le cadre des services fournis par HANDIRECT en vertu du Contrat, le Client est confronté à une réclamation ou un risque de réclamation relative à une violation des Lois sur la Protection des Données, HANDIRECT fournira rapidement l’ensemble des documents et informations pertinents pour se défendre contre une telle réclamation au vu des circonstances particulières de ladite réclamation.

14. Destruction

Après la fin de l’exécution des services concernant le traitement des Données personnelles, ou dès que le Client le lui demandera, HANDIRECT s’engage à supprimer ou restituer au Client, suivant le choix du Client et au format de données que le Client pourra raisonnablement spécifier, toutes les Données personnelles ainsi que les copies existantes, sauf dispositions contraires d’une réglementation de l’UE, d’un État membre ou de toute autre réglementation. Sur demande du Client,
HANDIRECT pourra certifier une telle destruction par écrit.

15. Durée

Le présent contrat sera en vigueur pendant toute la durée du Traitement des Données personnelles.

16. Droit applicable et compétence juridictionnelle

Le présent contrat est soumis au droit français et à la compétence exclusive des juridictions de la ville du siège de l’entité juridique concernée du réseau HANDIRECT.