Annexe RGPD

Préambule

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (ci-après, le « RGPD »).

Dans le cadre des services mentionnés au Contrat, le Client peut être amené(e) à communiquer à FOXNOT des données à caractère personnel. Au sens de l’article 4 points (7) et (8) du RGPD, le Client est responsable du traitement et FOXNOT est sous-traitant des données à caractère personne

1. Objet

La présente Annexe a pour objet de définir les conditions dans lesquelles FOXNOT s’engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel définies ci-après, et assure leur protection et leur traitement conformément à la réglementation applicable mentionnée ci-dessus.

2. Définitions

  • Données Personnelles : désignent toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
  • Personne Concernée : désigne une personne physique dont les Données Personnelles sont traitées.
  • Responsable du Traitement : désigne la personne qui détermine les finalités et les moyens du Traitement des Données Personnelles.
  • Sous-traitant : désigne la personne qui traite des Données Personnelles sous l’autorité, sur instructions et pour le compte du Responsable du Traitement.
  • Traitement : désigne toute opération ou tout ensemble d’opérations portant sur des Données Personnelles par FOXNOT pour le compte du Client, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que la limitation, l’effacement ou la destruction.
  • Violation de Données personnelles : ésigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la corruption, le détournement de finalité, la compromission de la confidentialité ou la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

En cas de conflit ou d’ambiguïté entre les dispositions de la présente Annexe et celles du Contrat, les dispositions de la présente Annexe prévaudront.

3. Description du traitement faisant l’objet de la sous-traitance

3.1. FOXNOT est autorisé à traiter, pour le compte du Client, les Données Personnelles nécessaires pour fournir les solutions logicielles et les prestations de services de FOXNOT. FOXNOT ne peut traiter les Données Personnelles pour d’autres finalités que celles décrites dans le Contrat sans autorisation écrite et préalable du Client.

3.2. Le Client détermine sous sa responsabilité les finalités des traitements confiés à FOXNOT, les Données Personnelles traitées, les catégories de Personnes Concernées et la durée des traitements mis en œuvre par FOXNOT pour le Client.

3.3. A défaut d’instructions distinctes du Client, ces informations figurent dans le tableau suivant :

Données personnelles traitées et personnes concernées

Client :

  • Nom, prénom, numéro de mobile, email ; Date et heure des échanges.
  • RIB de l’étude ou tout document que le client souhaite partager avec son utilisateur.

Utilisateur :

  • Nom, prénom, numéro de mobile, adresse email.
  • Date et heure des échanges.
  • Informations sur la « délivrabilité » des emails (reçu, lu, bloqué ou mis en spam).
  • RIB de l’utilisateur ou tout autre document que le client souhaite partager avec son utilisateur.
Finalités du traitement

Client :

  • Donner accès au service en ligne avec création d’un mot de passe pour une authentification 2FA
  • Permettre la saisie par le notaire des coordonnées (nom, prénom, adresse email et numéro de mobile) de leur client, l’utilisateur
  • Enregistrer des RIB ou tout autre document à échanger - Echanger des RIB ou tout autre document avec leur client
  • Historiser les échanges, dates et heures, pour des raisons de sécurité et de traçabilité
  • Notifier les utilisateurs et les clients par emails

Utilisateur :

  • Inviter et notifier par email
  • Envoyer un code par SMS ou par email dans l’optique d’une authentification 2FA
  • Echanger des RIB ou tout autre document avec l’étude
  • Historiser les échanges, dates et heures, pour des raisons de sécurité et de traçabilité
Durées de conservation des données

Client :

  • Les documents transmis ou récupérés dans le cadre d'un échange sont conservés 6 mois à partir de la dernière action effectuée concernant cet échange
  • Les coordonnées du Client sont conservées pendant 2 ans à compter de la fin du contrat

Utilisateur :

  • Les coordonnées de l’Utilisateur et l’historisation des dates d’échange avec le Client sont conservées 2 ans à partir de la date de la dernière action le concernant

4. Obligations de FOXNOT vis-à-vis du client

4.1 FOXNOT s'engage à :

  • Ne traiter les Données Personnelles que pour les seules finalités qui font l’objet de la sous-traitance.
  • Traiter les Données Personnelles conformément aux instructions documentées du Client, à moins que FOXNOT ne soit tenu d’y procéder en vertu du droit applicable au Contrat. Dans ce cas, FOXNOT informera le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs d’intérêt public. Si FOXNOT considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le Client par écrit.
  • Garantir la confidentialité des Données Personnelles traitées dans le cadre du Contrat et en particulier empêcher leur destruction, fuite, déformation, atteinte ou divulgation à des tiers non autorisés.
  • Veiller à ce que les personnes autorisées à traiter les Données Personnelles dans le cadre des services :
    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données Personnelles dès la conception et par défaut.
  • Proposer des prestations respectueuses des principes de proportionnalité, de minimisation et de limitation des Données Personnelles, afin que seules les données pertinentes telles que visées à l’Article 3.2 de la présente Annexe ne soient traitées.

4.2. FOXNOT est responsable de son personnel, de ses salariés et sous-traitants, et de leur respect des obligations lui incombant en vertu de la présente Annexe. A cet égard, le personnel de FOXNOT ne pourra accéder aux Données Personnelles, les utiliser, les modifier, sauf lorsque cela est strictement nécessaire aux fins de la fourniture des services tels que mentionnés au Contrat, de la prévention ou du traitement des problèmes techniques ou pour en assurer la sécurisation.
Le Sous-traitant met en place des mesures organisationnelles et techniques pour s’assurer du respect par son personnel de ses obligations notamment en termes de contrôle des personnes habilitées à accéder aux données, de sécurisation des accès et de traçabilité. Il en tient la description détaillée à la disposition du Client.

4.3. FOXNOT s’engage à ne transférer aucune Donnée Personnelles en dehors du territoire de l’Union européenne. Dans l’hypothèse où FOXNOT serait autorisé à transférer des Données Personnelles hors du territoire de l’Union européenne, il s’engage à ce que de tels transferts soient encadrés soit par l’adhésion à une décision d’adéquation de la Commission européenne, la conclusion de Clauses Contractuelles Types de la Commission européenne ou toute autre garantie appropriée prévue par l’article 46 du RGPD.

4.4. FOXNOT reconnaît qu’il doit être en mesure, dans un délai raisonnable et pendant toute l’exécution des services, de rendre compte et de faire la preuve de l’ensemble des procédures et des dispositifs de protection des Données Personnelles, de minimisation de leur utilisation, et de conformité aux exigences légales susmentionnées.

4.5. FOXNOT met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations en vertu de la présente Annexe et du RGPD.

5. Obligations du client vis-à-vis de FOXNOT

5.1. Le Client s'engage à :

  • Collecter sous sa responsabilité, de manière licite, loyale et transparente, les Données Personnelles fournies à FOXNOT pour exécution des services. Il vérifiera notamment la base légale de cette collecte ainsi que le bon respect des dispositions relatives à l’information des Personnes Concernées ;
  • Fournir à FOXNOT les Données Personnelles nécessaires pour le Traitement, à l’exclusion de toute Donnée Personnelle non pertinente, disproportionnée ou non nécessaire, et à l’exclusion de toute Donnée « particulière » au sens du RGPD, sauf si les traitements et finalités le justifient, à charge pour le Client d’établir ces justifications et de prendre toutes mesures, notamment d’information préalable, de recueil de consentement et de sécurité, appropriées ;
  • Documenter par écrit toute instruction concernant le Traitement des Données Personnelles par FOXNOT dans le respect des finalités convenues ;
  • Veiller, au préalable et pendant toute la durée du Traitement, au respect par FOXNOT des obligations prévues par le RGPD ;
  • Respecter les obligations qui lui incombent en sa qualité de responsable du traitement en vertu du RGPD.

6. Coopération

6.1. En cas de demande d’une Personne concernée auprès du Client (notamment demande d’accès, de modification, d’effacement, d’opposition, de limitation ou de portabilité) nécessitant l’aide de FOXNOT, ce dernier s’engage à apporter dans les meilleurs délais son concours au Client afin que ce dernier soit en mesure de répondre dans les délais légaux impartis à ladite Personne concernée.
Si une Personne Concernée envoie directement une demande à FOXNOT, celui-ci doit en informer le Client dans les meilleurs délais et doit agir selon les instructions du Client.

6.2. FOXNOT s’engage à collaborer loyalement et dans un délai raisonnable avec le Client dans le cadre de réalisation d’analyses d’impact relatives à la protection des Données Personnelles.

6.3. FOXNOT s’engage à coopérer loyalement et dans un délai raisonnable avec le Client dans le cadre de consultations préalables des autorités de contrôle.

7. Sous-traitance

7.1. FOXNOT est autorisé par le Client à faire appel à des sous-traitants pour réaliser des activités de traitements spécifiques. Le cas échéant, FOXNOT informera le Client de tout changement prévu concernant l'ajout ou le remplacement d’un sous-traitant. Le Client aura la possibilité d'émettre des objections légitimes à l'encontre de ces changements dans un délai maximum de quinze (15) jours à compter de la réception de l’information. Passé ce délai ou en l’absence d’objections, le recours au sous-traitant sera réputé accepté.

7.2. FOXNOT s’engage à signer un contrat écrit avec chaque sous-traitant ultérieur imposant à ce dernier le respect du RGPD et de l’ensemble des obligations mentionnées dans la présente Annexe. A ce titre, FOXNOT s’engage à ne faire appel qu’à des sous-traitants ultérieurs qui présentent des garanties suffisantes, et en tout état de cause équivalentes à celles de FOXNOT.

7.3. En cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des Données Personnelles, FOXNOT demeure pleinement responsable à l’égard du Client.

7.4. A titre indicatif, FOXNOT a recours aux services des sous-traitants suivants pour les activités désignées :

Sous-traitant ultérieur Activité de traitement
OVH France (SIREN : 424 761 419) Envoi des notifications par sms
MAILJET (SIREN : 524 536 992) Envoi des notifications par email
FICHORGA (SIREN : 301 099 651) Support client et administration des ventes
SCALINGO (SIREN : 808 665 483) Hébergement des données
AMAZON WEB SERVICES EMEA SARL (SIREN : 831 001 334) Hébergement des document

8. Notification des violations de données personnelles et incident de sécurité

8.1. FOXNOT s’engage à informer le Client, dans les meilleurs délais, de la survenance de tout incident, tant physique que technique, relatif à la sécurité ou à la confidentialité des Données Personnelles.

8.2. FOXNOT notifie par courrier électronique au Client la survenance de toute violation de Données Personnelles. La notification est adressée au Client dans les meilleurs délais à compter de la survenance de la violation de Données Personnelles. La notification faite au Client contient au moins :

  • la description de la nature de la violation de Données Personnelles y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés ;
  • le nom et les coordonnées du Délégué à Protection des Données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • la description des conséquences probables de la violation de Données Personnelles ;
  • la description des mesures à mettre en œuvre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

9. Sécurité des données

9.1. FOXNOT s’engage à prendre toutes précautions utiles afin de préserver la confidentialité et la sécurité des Données Personnelles et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Plus généralement, FOXNOT s’engage à mettre en œuvre toutes mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé aux Données Personnelles.

9.2. FOXNOT s’engage à prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, (ii) de rétablir la disponibilité des Données Personnelles et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures.

9.3. FOXNOT tient à la disposition du Client les documents relatifs à la sécurité des Données Personnelles comprenant notamment la documentation technique nécessaire, les analyses de risques et la liste détaillée des mesures de sécurité mises en œuvre.

10. Délégué à la protection des données

Conformément à l’article 37 du RGPD, FOXNOT a désigné un Délégué à la Protection des Données, qui peut être contacté à cette adresse : dpo@foxnot.fr

11. Registre des catégories d'activité des traitements

FOXNOT s’engage, dans la mesure où il remplirait les conditions d’établissement d’un registre conformément à l’article 30.5 du RGPD, à en tenir un par écrit de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant l’ensemble des éléments mentionnés à l’article 30.2 du RGPD

12. Audit

Le Client a la possibilité, à ses frais, d’auditer ou de faire auditer les dispositifs de protection internes des Données Personnelles mis en place par FOXNOT une fois par an, afin de vérifier la conformité de FOXNOT à la présente Annexe et au RGPD. FOXNOT s’engage à mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations.

13. Sort des données personnelles

13.1. Au terme du Contrat, FOXNOT s’engage, au choix du Client, soit à retourner l’ensemble des Données Personnelles traitées ainsi que toute copie dans un format standard, soit à détruire les Données Personnelles et certifier par écrit au Client que la destruction a bien été réalisée.

13.2. FOXNOT s’engage à détruire les copies existantes des Données Personnelles, à moins que le droit applicable au Contrat n’exige la conservation de celles-ci.