Dispositions relatives au sous-traitement des Données Personnelles

Les dispositions suivantes s'appliquent à tous les cas où Webrepublic traite des données personnelles (ci-après "Données" ou « «Données Personnelles) pour le compte du Client dans le cadre de prestations contractuelles pour le Client (ci-après "Contrat") ou participe à ce traitement. Ce sous-traitement est soumis au droit suisse sur la protection des données (loi et ordonnance sur la protection des données) et, le cas échéant, au règlement UE 2016/679 (Règlement général sur la protection des données, RGDP) dans sa version en vigueur (ensemble ci-après dénommé "le Droit de Protection des Données"). Les Données du Client dont Webrepublic elle-même a besoin et qu'elle utilise dans le cadre de sa relation contractuelle et commerciale avec le Client ne sont pas soumises à ce DPA.

  1. Les opérations de Webrepublic, les catégories de personnes et de Données concernées et les finalités du traitement sont régies par le Contrat avec le Client, qui décrit les services de Webrepublic. En particulier, Webrepublic peut utiliser des outils de Fournisseurs de services publicitaires en ligne (par exemple Google ou Facebook, ci-après " Fournisseurs ") pour définir des spécifications et paramètres dans la gestion des campagnes publicitaires du Client, qui peuvent affecter le traitement des Données Personnelles par ces Fournisseurs. Il peut s'agir d'informations telles que les adresses e-mail, les identifiants Google/Facebook, d'autres informations de contact, les préférences, le statut du Client, le comportement de demande/achat, etc. des clients finaux du Client ou des utilisateurs des services en ligne que ces Fournisseurs utilisent pour la publicité ciblée du Client sur le Web. Sous réserve de dispositions particulières, Webrepublic ne reçoit ni ne traite aucune Donnée Personnelle des clients finaux ou des utilisateurs en ligne.

  2. Dans ce cadre, Webrepublic traite toujours les Données concernant ses services contractuels pour le compte du Client et non pour ses propres besoins (sous-traitement), notamment en assurant la transmission de Données, instructions et évaluations entre le Client et les Fournisseurs, que ceux-ci traitent pour le service publicitaire pour le Client. Webrepublic traite ces Données et analyses exclusivement dans le cadre du Contrat et d'autres instructions écrites du Client. Si Webrepublic arrive à la conclusion qu'une instruction du Client viole le Droit de Protection des Données, Webrepublic en informe immédiatement le Client. Le Client reste responsable du traitement des Données.

  3. Le Client sait et accepte que ces Fournisseurs sous-traitent des Données pour le Client, généralement dans le cadre d'une relation contractuelle directe entre le Client et le fournisseur (compte propre du Client), ou dans le cadre d'un sous-mandat de la part de Webrepublic, lorsque dans certains cas un compte Webrepublic est utilisé. Le contrat ou la commande de la campagne détermine de quels Fournisseurs il s'agit. Webrepublic ne fait appel à aucun sous-traitant sans en informer préalablement le Client et lui donner la possibilité de s'y opposer. Webrepublic conclut un contrat avec ces sous-traitants conformément aux dispositions du Droit de la Protection des Données, généralement sous la forme des conditions de traitement des Données proposées par le Fournisseur.

  4. Si les tribunaux ou les autorités exigent de Webrepublic qu'elle transmette des Données sous-traitées pour le Client, elle en informe immédiatement le Client et lui renvoie les demandes des autorités, pour autant que cela soit légalement autorisé.

  5. Webrepublic engage préalablement toutes les personnes chargées du traitement des Données (à moins qu'elles ne soient déjà soumises à une obligation légale de confidentialité) à maintenir la confidentialité, même après la fin de leur activité pour Webrepublic.

  6. Dans la mesure où Webrepublic procède elle-même à des traitements de Données ou en a connaissance, elle prend toutes les mesures nécessaires pour assurer la sécurité du traitement des Données conformément aux dispositions du Droit de la Protection des Données, en particulier celles énumérées dans l'Annexe.

  7. Webrepublic tient un registre de ses opérations de sous-traitement de Données dans lequel sont répertoriées les opérations de traitement concernées ici.

  8. Le Client s'informe lui-même des déclarations de protection des Données par lesquelles les tiers Fournisseurs informent les sujets du traitement des Données dans leur domaine, des mesures qu'ils garantissent pour la sécurité de ce traitement et des moyens dont ils disposent pour que le Client puisse respecter les droits légaux des sujets (par exemple, information, rectification, effacement et opposition). Si une personne concernée présente de telles demandes à Webrepublic en la gardant manifestement par erreur pour le responsable du traitement, Webrepublic les transmet immédiatement au Client et en informe le demandeur ; les frais engagés par Webrepublic du fait de ces demandes seront à la charge du Client. Webrepublic assiste le Client dans le respect de ses obligations légales relatives à la sécurité des Données, dans la notification des violations de Données (Data Breaches) à l'autorité de surveillance et dans la communication aux personnes concernées. Par la présente, Webrepublic n'assume aucune responsabilité pour les violations et l'inconduite des Fournisseurs.  

  9. Le Client peut à tout moment inspecter le traitement de ses Données et contrôler les installations avec lesquelles Webrepublic traite ses Données (ou les faire contrôler par des tiers pour son compte) ; ceci après un préavis adéquat, sans compromettre les activités de Webrepublic, en conservant les secrets commerciaux, et à sa propre charge. Webrepublic fournit au Client les informations nécessaires à cet effet, mais peut exiger pour la protection de ses secrets que l'inspection et le contrôle soient effectués par un auditeur suffisamment compétent et tenu au secret. Dans la mesure où les Données du Client sont traitées par des tiers, ses droits contre ces derniers dépendent de leurs assurances.

  10. Après la cessation des prestations contractuelles, Webrepublic transmettra, détruira ou effacera toutes les Données Personnelles du Client, y compris les analyses et documents contenant de telles Données, qui sont en sa possession, sauf si elles sont encore sollicitées pour des raisons légitimes (par exemple, pour faire valoir ou défendre ses droits ou respecter des obligations légales).

  11. Dans le cas où Webrepublic traite elle-même des Données, elle peut, à son choix, utiliser des infrastructures en Suisse et/ou au sein de l'UE et de l'EEE, qui reconnaissent mutuellement l'adéquation de leur protection des Données, ou des Fournisseurs de cloud (comme Google Drive, Amazon Cloud etc.) qui offrent des garanties suffisantes pour la protection des Données Personnelles par une certification "Privacy Shield" UE/Suisse États-Unis, des clauses de garantie et autres garanties appropriées pour la protection de Données Personnelles. Pour le traitement des Données par les Fournisseurs de publicité en ligne utilisés dans le cadre de campagnes publicitaires, ce sont leurs déclarations et assurances concernant les garanties de traitement dans des pays tiers qui font foi.

  12. Ces dispositions s'appliquent tant que Webrepublic fournit des services contractuels au Client et traite des Données dans ce cadre. Le droit du Client d'exiger la restriction ou la suspension du traitement, en tout ou en partie, n'est pas affecté. Si le Client exerce ce droit, Webrepublic n'est plus tenu aux prestations contractuelles qui nécessitent le traitement des Données. Les droits à rémunération de Webrepublic ne sont pas affectés ; pour la responsabilité et l'indemnisation, le contrat, les conditions générales et les dispositions légales sont applicables.

 

Mesures techniques et organisationnelles 

Confidentialité 

  • Contrôle d'accès physique : Protection contre l'accès non autorisé aux installations de traitement des Données (clés, cartes à puce, systèmes d'alarme, systèmes vidéo) ;

  • Contrôle d'accès au système : protection contre l'utilisation non autorisée du système (mots de passe, mécanismes de blocage automatique, authentification à deux facteurs, cryptage des supports de données, VPN pour accès mobile) ;

  • Contrôle d'accès aux Données : pas de lecture, de copie, de modification ou de suppression non autorisée dans le système (profils d'autorisation standard sur la base du "besoin de savoir", processus standard d'attribution des autorisations, enregistrement des accès, vérification périodique des autorisations attribuées, en particulier des comptes utilisateurs administratifs) ;

Intégrité

  • Contrôle des entrées : Déterminer si et par qui des Données Personnelles ont été saisies, modifiées ou supprimées dans les systèmes de traitement des Données (journalisation, gestion des documents) ; 

Disponibilité et résilience 

  • Contrôle de disponibilité : protection contre la destruction ou la perte accidentelle ou délibérée, stratégie de sauvegarde (online/offline ; on-site/off-site), alimentation sans coupure (UPS), protection antivirus, pare-feu, chemin de messages et plans de secours, contrôles de sécurité sur les infrastructures et applications, processus standard en cas de transition ou départ des personnels ;

  • Restauration rapide (sauvegardes régulières)

Procédures régulières d'examen, d'évaluation et d'appréciation 

  • Gestion de la protection et de la sécurité des Données, y compris la formation régulière des employés ;

  • Gestion de la réponse aux incidents ;

  • Protection de Données par défaut.