Contrat de sous-traitance de Données à caractÚre personnel.

Avril 2022

ENTRE :

Le prĂ©sent Contrat de sous-traitance de donnĂ©es Ă  caractĂšre personnel  (ci-aprĂšs " DPA") est applicable aux relations commerciales entre la sociĂ©tĂ© RINGO (exerçant sous le nom de MODJO), sociĂ©tĂ© par actions simplifiĂ©es au capital de 38. 627,01 euros immatriculĂ©e au registre du commerce et des sociĂ©tĂ©s de Nanterre sous le numĂ©ro 879 606 283, et dont le siĂšge social est situĂ© au 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (ci-aprĂšs " RINGO ") et son Client (ci-aprĂšs le " Client ") tel qu’identifiĂ© dans le Bon de Commande. 

Préambule :

Dans le cadre de l’exĂ©cution du ou des Bons de Commande et des Conditions GĂ©nĂ©rales de Vente Modjo conclus entre RINGO et le Client, le Client, en sa qualitĂ© de Responsable de traitement, confie Ă  RINGO, en sa qualitĂ© de Sous-traitant, des opĂ©rations de traitement de DonnĂ©es Ă  caractĂšre personnel.

Ce Contrat de sous-traitance de données à caractÚre personnel fait partie intégrante du ou des Bons de Commande et des Conditions Générales de Vente Modjo. 

Les Parties entendent respecter l’ensemble de la rĂ©glementation applicable en matiĂšre de Traitement de DonnĂ©es Ă  caractĂšre personnel, et en particulier la Loi n°78-17 du 6 janvier 1978 (dite « Informatique et LibertĂ©s ») dans sa version modifiĂ©e et le RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es Personnelles n°2016-679 en date du 27 avril 2016 (« RGPD »).

Les Parties ont convenu du prĂ©sent Contrat afin de respecter les dispositions de l’article 28, en particulier des paragraphes 3 et 4, du RGPD. Le prĂ©sent Contrat s’applique aux traitements des donnĂ©es Ă  caractĂšre personnel tels que spĂ©cifiĂ©s Ă  l’article 1. 

Il est expressĂ©ment convenu que les termes utilisĂ©s dans le prĂ©sent Contrat avec une majuscule (par ex. Responsable de traitement, DonnĂ©es Ă  caractĂšre personnel, Service
) correspondent aux dĂ©finitions contenues dans le RGPD et dans les CGV. Le prĂ©sent Contrat doit ĂȘtre lu et interprĂ©tĂ© Ă  la lumiĂšre des dispositions du RGPD. 

Il est convenu ce qui suit :

1. Description des traitements

Les spécificités des traitements de données à caractÚre personnel, notamment les catégories de données à caractÚre personnel et les finalités de traitement pour lesquelles les données à caractÚre personnel sont traitées pour le compte du Client, en sa qualité de Responsable de traitement, sont : 

  • CatĂ©gories de personnes concernĂ©es par le traitement de leurs donnĂ©es Ă  caractĂšre personnel : le personnel du Client et les employĂ©s utilisant les services fournis par RINGO ainsi que  les contacts, prospects et clients du Client.
  • CatĂ©gories de donnĂ©es Ă  caractĂšre personnel traitĂ©es : les donnĂ©es relatives Ă  l'identification des personnes concernĂ©es (nom, prĂ©nom, coordonnĂ©es et email), les donnĂ©es relatives aux enregistrements des appels tĂ©lĂ©phoniques et des visioconfĂ©rences, les donnĂ©es relatives Ă  l'utilisation des services tels que les commentaires rĂ©alisĂ©s Ă  partir des services, les donnĂ©es relatives aux emails Ă©changĂ©s entre les personnes concernĂ©es et les donnĂ©es relatives aux rĂ©seaux.
  • Objet du traitement : la fourniture par RINGO des services convenus avec le Client, et leur usage par le Client, conformĂ©ment au(x) Bon(s) de Commande et aux CGV jointes conclus entre RINGO et le Client.
  • Nature du traitement : la collecte et l'analyse de donnĂ©es, y compris de DonnĂ©es Personnelles, pour le compte du Client.
  • FinalitĂ©s du traitement : la fourniture par RINGO, pour le compte du Client, du Service, principalement la collecte et l'analyse d'enregistrements d'appels tĂ©lĂ©phoniques et de vidĂ©oconfĂ©rences, ainsi que les services d'assistance, de back-up, de sĂ©curitĂ© et de maintenance liĂ©s au Service.
  • DurĂ©e du traitement : Les DonnĂ©es Personnelles sont traitĂ©es par RINGO pendant la durĂ©e de la relation contractuelle du Client. Les logs sont conservĂ©s pendant une pĂ©riode d'un (1) an.

2. Instructions

RINGO ne traite les donnĂ©es personnelles que sur instruction documentĂ©e du Client et conformĂ©ment aux dispositions ci-dessus, Ă  moins qu’il ne soit tenu d’y procĂ©der en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, RINGO informe le Client de cette obligation juridique avant le traitement,  sauf si la loi le lui interdit pour des motifs importants d’intĂ©rĂȘt public. Des instructions peuvent Ă©galement ĂȘtre donnĂ©es ultĂ©rieurement par le Client pendant toute la durĂ©e du traitement des donnĂ©es Ă  caractĂšre personnel. Ces instructions doivent toujours ĂȘtre documentĂ©es.

Si RINGO estime qu'une instruction du Client constitue une violation de la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă  caractĂšre personnel, il en informe immĂ©diatement le Client. RINGO n’est  en aucun cas responsable des instructions et dĂ©cisions du Client et de leurs Ă©ventuelles consĂ©quences.

Les dispositions du présent Contrat constituent des instructions documentées du Client à RINGO. 

3. Limitation des finalités

RINGO ne traite les donnĂ©es personnelles que pour les finalitĂ©s du traitement telles qu’exposĂ©es au sein de l’article 1 du prĂ©sent contrat, Ă  moins que RINGO ne reçoive d’autres instructions documentĂ©es du Client. 

4. Durée de traitement

RINGO traite les donnĂ©es personnelles  que pour la durĂ©e dĂ©finie au sein de l’article 1 du prĂ©sent contrat, Ă  moins que RINGO ne reçoive d’autres instructions documentĂ©es du Client.

5. Mesures de sécurité

RINGO s’engage Ă  mettre en place des mesures de sĂ©curitĂ© techniques et organisationnelles appropriĂ©es en vue de garantir la sĂ©curitĂ© des DonnĂ©es Ă  caractĂšre personnel qu’il traite contre toute destruction, perte, transformation, divulgation ou accĂšs non autorisĂ©, ou toute autre forme de traitement non autorisĂ©. Lors de la dĂ©termination du niveau de sĂ©curitĂ© appropriĂ©, RINGO tient compte de l’état de la technique,  des coĂ»ts de mise en Ɠuvre, de la nature, de la portĂ©e, du contexte et des finalitĂ©s du traitement ainsi que des risques encourus par les personnes concernĂ©es.

Une description de ces mesures a Ă©tĂ© Ă©tablie par RINGO conformĂ©ment Ă  l’article 32 du RGPD et est disponible sur demande Ă©crite.

RINGO n’accorde aux membres de son personnel l’accĂšs aux donnĂ©es Ă  caractĂšre personnel faisant l’objet du traitement que dans la mesure strictement nĂ©cessaire Ă  l’exĂ©cution, Ă  la gestion et au suivi du Service. RINGO veille Ă  ce que les personnes autorisĂ©es Ă  traiter les donnĂ©es Ă  caractĂšre personnel soient soumises Ă  une obligation contractuelle de confidentialitĂ©. 

6. Documentation et conformité

RINGO met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat et qui découlent directement du GDPR.

À la demande du Client et en prĂ©sence d’indices sĂ©rieux de non-conformitĂ©, RINGO permet et contribue Ă  la rĂ©alisation d’audits des activitĂ©s de traitement couvertes par les prĂ©sentes clauses. 

L’audit peut ĂȘtre rĂ©alisĂ© Ă  raison d’une (1) fois par annĂ©e civile, et moyennant un prĂ©avis Ă©crit de soixante (60) jours Ă  RINGO. 

Cet audit doit ĂȘtre menĂ© de maniĂšre Ă  respecter la sĂ©curitĂ© et la confidentialitĂ© de la documentation et des procĂ©dures de RINGO. Il ne durera pas plus d'un (1) jour et se dĂ©roulera pendant les heures normales de bureau dans les locaux de RINGO.

Le Client peut dĂ©cider d'effectuer lui-mĂȘme l'audit ou de dĂ©signer un auditeur indĂ©pendant, choisi d'un commun accord entre les parties et soumis Ă  une obligation de confidentialitĂ©. 

Nonobstant toute disposition contraire, le Client est responsable de tous les coûts et/ou dépenses encourus du fait de cette visite.     

Les parties mettent Ă  la disposition de l’autoritĂ© de contrĂŽle compĂ©tente/des autoritĂ©s de contrĂŽle compĂ©tentes, dĂšs que celles-ci en font la demande, les informations Ă©noncĂ©es dans la prĂ©sente clause, y compris les rĂ©sultats de tout audit.

7. Sous-traitants ultérieurs

RINGO dispose de l'autorisation générale du Client pour l'engagement des sous-traitants ultérieurs énumérés au sein de la liste présente en Annexe 1. 

RINGO s'engage à fournir une liste actualisée de ses sous-traitants ultérieurs et de leurs activités de traitement à la demande du Client.

RINGO informe le Client de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins huit (8) jours avant la date prévue d'ajout ou de remplacement du sous-traitant ultérieur concerné.

Le Client peut s’opposer au recours de RINGO Ă  un nouveau sous-traitant ultĂ©rieur en le notifiant promptement par Ă©crit (par email) et avant la date d’ajout ou de remplacement du sous-traitant ultĂ©rieur concernĂ©. Dans l’éventualitĂ© oĂč le Client s’oppose Ă  la dĂ©signation d’un nouveau sous-traitant ultĂ©rieur, RINGO fera des efforts raisonnables pour mettre Ă  la disposition du Client une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l’utilisation des services permettant d’éviter le traitement des DonnĂ©es Personnelles par le nouveau sous-traitant ultĂ©rieur auquel le Client s’oppose, sans imposer une charge dĂ©raisonnable au Client. Si RINGO est dans l’incapacitĂ© d’opĂ©rer de telles modifications dans un dĂ©lai raisonnable, qui ne saurait excĂ©der trente (30) jours, le Client pourra alors rĂ©silier le contrat applicable mais uniquement pour les services qui ne peuvent pas ĂȘtre fournis par RINGO sans le recours au nouveau sous-traitant ultĂ©rieur, en adressant Ă  RINGO une notification Ă©crite par lettre recommandĂ©e avec accusĂ© de rĂ©ception.

L'absence d'objection du Client est considérée comme l'acceptation par le Client des modifications affectant la liste des sous-traitants ultérieurs. 

Chaque sous-traitant ultĂ©rieur de RINGO est tenu de respecter les obligations du prĂ©sent contrat pour le compte et selon les instructions du Client. Il appartient Ă  RINGO de s’assurer que le sous-traitant ultĂ©rieur prĂ©sente les mĂȘmes garanties suffisantes quant Ă  la mise en Ɠuvre de mesures techniques et organisationnelles appropriĂ©es pour que le traitement rĂ©ponde aux exigences du RGPD. 

RINGO demeure pleinement responsable Ă  l’égard du Client de l’exĂ©cution par le sous-traitant ultĂ©rieur de ses obligations.

8. Assistance au Client

Il appartient au Client d’informer les Personnes concernĂ©es du traitement de leurs donnĂ©es et de leurs droits au titre de la loi Informatique et LibertĂ©s et du RGPD. En particulier, le Client informe ses propres employĂ©s et leurs correspondants de l’enregistrement de leurs conversations tĂ©lĂ©phoniques et visioconfĂ©rences, ainsi que du fait qu’ils peuvent Ă  tout moment s’opposer Ă  cet enregistrement. RINGO ne peut en aucun cas ĂȘtre tenu responsable de ces obligations. 

RINGO notifie sans dĂ©lai au Client toute demande, y compris d’exercice des droits,  qu'il reçoit de la part de la personne concernĂ©e. Le Client s'engage Ă  rĂ©pondre aux demandes des Personnes concernĂ©es dans un dĂ©lai d'un (1) mois.

En tant que sous-traitant, RINGO assiste le Client dans l’accomplissement de son obligation de donner suite aux demandes dont les personnes concernĂ©es le saisissent en vue d'exercer leurs droits, compte tenu de  la nature du traitement et des instructions du Client. 

RINGO assiste Ă©galement le Client Ă  garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose RINGO :

  • L’obligation de procĂ©der Ă  une Ă©valuation de l’incidence des opĂ©rations de traitement envisagĂ©es sur la protection des donnĂ©es Ă  caractĂšre personnel («analyse d’impact relative Ă  la protection des donnĂ©es») lorsqu’un type de traitement est susceptible de prĂ©senter un risque Ă©levĂ© pour les droits et libertĂ©s des personnes physiques et, le cas Ă©chĂ©ant, l'obligation de consulter l'autoritĂ© de contrĂŽle compĂ©tente avant le traitement
  • Les obligations Ă©noncĂ©es Ă  l’article 32 du RGPD.

9. Inspections, contrÎle ou audits par les autorités publiques

En cas d’inspection, de contrĂŽle ou d’audit rĂ©alisĂ© par une autoritĂ© publique, y compris une AutoritĂ© de contrĂŽle, chaque Partie s’engage Ă  apporter toute l’assistance nĂ©cessaire Ă  l’autre.

Si l’autoritĂ© publique estime que le traitement rĂ©alisĂ© porte atteinte Ă  la rĂ©glementation applicable en matiĂšre de protection des DonnĂ©es Ă  caractĂšre personnel, les Parties s’engagent Ă  communiquer et prendre immĂ©diatement les mesures nĂ©cessaires afin de remĂ©dier Ă  l’atteinte.

10. Notification des violations de Données à caractÚre personnel

En cas de violation de donnĂ©es Ă  caractĂšre personnel, RINGO coopĂšre avec le Client et lui prĂȘte assistance aux fins de la mise en conformitĂ© du Client avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose RINGO.

En cas de violation de donnĂ©es Ă  caractĂšre personnel ne rĂ©sultant pas du fait du Client, RINGO s’engage Ă  prendre immĂ©diatement les mesures correctives de nature Ă  y remĂ©dier.

RINGO doit notifier toute atteinte au Client dans les plus brefs délais de sa découverte, par e-mail adressé au Client. 

Cette notification devra contenir l’ensemble des informations pertinentes au sujet de l’atteinte, afin de permettre au Client, le cas Ă©chĂ©ant, de notifier cette atteinte Ă  l’AutoritĂ© de contrĂŽle concernĂ©e et/ou aux personnes concernĂ©es, conformĂ©ment Ă  ses obligations en qualitĂ© de Responsable de traitement.

Les Parties s’engagent Ă  coopĂ©rer pleinement afin de mettre fin Ă  l’atteinte dans les meilleurs dĂ©lais.‍

11. Hébergement des données et transferts

Les données à caractÚre personnel traitées par RINGO pour le compte du Client et les sites Internet et bases de données de RINGO sont hébergés par Amazon Web Services sur des serveurs situés dans l'Espace économique européen ("EEE").

Tout transfert de donnĂ©es vers un pays tiers ou une organisation internationale par RINGO ne sera effectuĂ© que sur la base du prĂ©sent Contrat ou afin de rĂ©pondre Ă  une exigence spĂ©cifique du droit de l'Union ou des États membres Ă  laquelle le sous-traitant est soumis et aura lieu dans le respect du chapitre V du RGPD.

Préalablement à un transfert autorisé par le Client, RINGO s'engage à mettre en place les mesures nécessaires pour que le destinataire situé dans le pays hors de l'Espace économique européen présente un niveau de protection adéquat.

RINGO peut transfĂ©rer des donnĂ©es Ă  caractĂšre personnel aux sous-traitants ultĂ©rieurs autorisĂ©s identifiĂ©s dans l'annexe 1 "Liste des sous-traitants ultĂ©rieurs autorisĂ©s". Ces sous-traitants ultĂ©rieurs peuvent ĂȘtre situĂ©s en dehors de l’EEE. Dans ce cas, RINGO s'assure que le sous-traitant ultĂ©rieur peut garantir le respect du chapitre V du RGPD en prĂ©sentant un niveau de protection adĂ©quat, tel que l'utilisation de clauses contractuelles types adoptĂ©es par les Commissions ou approuvĂ©es par le BCR.

La liste exhaustive et les informations relatives à nos sous-traitants ultérieurs sont fournies en annexe 1.

12. Modifications et mises Ă  jour

RINGO se rĂ©serve le droit de modifier Ă  tout moment le prĂ©sent DPA. Le Client est informĂ© de ces modifications par email (envoyĂ© Ă  l'adresse email de l’Administrateur Modjo) ou sur le site www.modjo.ai ou sur la plateforme commerciale d'analyse conversationnelle Modjo, selon ce que RINGO dĂ©cide. 

A l’exception des modifications relatives aux sous-traitants ultĂ©rieurs rĂ©gies par l’article 7 du DPA, les modifications du prĂ©sent DPA s'appliqueront au Client, mĂȘme si son engagement est antĂ©rieur aux modifications, huit (8) jours aprĂšs que l'information lui ait Ă©tĂ© donnĂ©e. Dans le cas oĂč les modifications du DPA porteraient un prĂ©judice important au Client et ne seraient pas exigĂ©es par les lois, rĂšglements, directives, recommandations ou dĂ©libĂ©ration d’une autoritĂ© europĂ©enne de protection des donnĂ©es ou par une dĂ©cision de justice, le Client informe RINGO de son opposition et de ses motifs dans les huit (8) jours de l'information.  Si les Parties ne parviennent pas Ă  un accord dans les trente (30) jours suivant la rĂ©ception de l'objection du Client, le Client peut rĂ©silier, sans pĂ©nalitĂ©, le Service concernĂ© par la modification en adressant une notification Ă©crite Ă  RINGO. Toute utilisation du Service aprĂšs l'information du Client sera considĂ©rĂ©e comme l'acceptation par le Client du DPA mis Ă  jour.

13. Sort des données

A l’issue de la relation entre les Parties, le Client dispose d’un dĂ©lai d’un (1) mois pour demander par Ă©crit la restitution, en format brut et sous sa responsabilitĂ©, de ses enregistrements ; Ă  dĂ©faut d’une telle demande dans ce dĂ©lai, RINGO peut procĂ©der Ă  la destruction dĂ©finitive de l’ensemble des donnĂ©es, y compris les logs et back-up.

14. Délégué à la protection des données

RINGO dispose d’un dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es, Clara Ripault, joignable par courrier Ă©lectronique Ă  l’adresse suivante : clara@modjo.ai

15. Registre des activités de Traitement

RINGO s’engage Ă  tenir Ă  jour un Registre des activitĂ©s de traitement rĂ©alisĂ©es en sa qualitĂ© de Sous-traitant et comprenant les Ă©lĂ©ments suivants :

  • le nom et les coordonnĂ©es du Responsable de traitement, des Ă©ventuels sous-traitants ultĂ©rieurs et du RĂ©fĂ©rent Ă  la protection des donnĂ©es
  • les catĂ©gories de Traitements effectuĂ©s pour le compte du Responsable de traitement
  • les Ă©ventuels transferts des donnĂ©es Ă  caractĂšre personnel vers des pays tiers Ă  l’Union EuropĂ©enne et les Ă©lĂ©ments attestant de l’existence de garanties appropriĂ©es
  • une description gĂ©nĂ©rale des mesures de sĂ©curitĂ© techniques et organisationnelles mises en place

16. Engagements de RINGO

Pendant la durée du Contrat conclu entre RINGO et le Client : 

  • RINGO garantit la confidentialitĂ© des DonnĂ©es Ă  caractĂšre personnel traitĂ©es en sa qualitĂ© de Sous-traitant et s’assure que les membres de son personnel, autorisĂ©s Ă  traiter les DonnĂ©es Ă  caractĂšre personnel, respectent ce principe de confidentialitĂ© et ont reçu la formation nĂ©cessaire en la matiĂšre
  • RINGO s’engage Ă  tenir compte du principe de protection des DonnĂ©es Ă  caractĂšre personnel dĂšs la conception et par dĂ©faut, s’agissant des outils, produits, applications ou services qu’il utilise
  • RINGO s’engage, si elle procĂšde Ă  des analyses et des statistiques d’usage et de performance de sa solution Ă  des fins commerciales, Ă  anonymiser de façon irrĂ©versible les Ă©ventuelles DonnĂ©es personnelles, et en particulier Ă  anonymiser les sources (clients, appels). 

17. Engagements du Client 

Le Client s'engage à collecter et à traiter les Données Personnelles dans le respect de la réglementation applicable en droit du travail et en matiÚre de protection des données, notamment en ce qui concerne les méthodes, la base et les finalités du traitement, la durée de conservation des Données Personnelles,les droits des Personnes concernées et l'information qui leur est donnée. 

En particulier, le Client s'engage à respecter l'ensemble des réglementations et obligations applicables au traitement des données des salariés et au traitement de catégories particuliÚres de Données à caractÚre personnel (telles que les données de santé, les convictions religieuses, l'orientation sexuelle, etc.) et à procéder, préalablement à leur Traitement, aux vérifications, études et analyses d'impact nécessaires, à informer les Personnes concernées conformément aux articles 12, 13 et 14 du RGPD et à obtenir, le cas échéant, le consentement des Personnes concernées à l'égard de la collecte et du traitement de leurs données à caractÚre personnel et, notamment, de l'enregistrement de leur voix.

Le Client s'engage à fournir à RINGO toutes les informations nécessaires à l'exécution des activités de traitement prévues dans le respect des réglementations applicables et à documenter toute instruction concernant le traitement.

Le Client s'engage à fournir à RINGO les Données personnelles identifiées à l'article 1 du présent Contrat et à garantir la licéité et l'exactitude des données. Le Client s'engage également à assurer l'effectivité des droits des Personnes concernées. 

Le Client garantit RINGO de toute réclamation ou action à cet égard.

Le Client s’engage Ă  superviser le Traitement, y compris Ă  rĂ©aliser Ă  ses frais les audits et inspections nĂ©cessaires auprĂšs de RINGO ou Ă  assurer Ă  ses frais la conduite ou la dĂ©fense des intĂ©rĂȘts des Parties dans le cadre de toute action, procĂ©dure ou contrĂŽle.

Télécharger le contrat :
Télécharger le PDF