Convention de service pour un délégué à la protection des données externalisé

ARTILCE 1 - Objet de la convention

La présente convention a pour objet de définir l'ensemble des conditions qui s'appliqueront à toute prestation de service en matière de protection des données personnelles dont le BÉNÉFICIAIRE est susceptible de commander l'exécution à Ressourcial pendant la durée prévue à l’article 10 de la présente convention.
Elle vise plus particulièrement à désigner Ressourcial en tant que délégué à la protection des données personnelles au sens des dispositions de l’article 39 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la Loi relative à la protection des données personnelles du 6 janvier 1978 modifiée selon le vote du Parlement le 14 mai 2018 ainsi que l’ensemble des textes d’application en découlant ci-après dénommés la RÉGLEMENTATION.

ARTICLE 2 - Obligation de Ressourcial

Exécution des prestations

Les obligations de Ressourcial consistent à mettre à la disposition du BÉNÉFICIAIRE sa compétence, aux fins d’assurer la mission de délégué à la protection des données personnelles, par le moyen de ressources humaines et techniques spécifiques affectées à la réalisation de la prestation de service. Dans le cadre de cette prestation Ressourcial assurera pour le compte du BÉNÉFICIAIRE la mission de Délégué à la Protection des Données Personnelles telle que mentionnée à l’article I de la présente convention.

Equipe de Ressourcial

Ressourcial est seul responsable de la définition du type de profil requis et de la désignation du nombre de membres de l'équipe affectés à l'exécution des Prestations.
L'ensemble du personnel de Ressourcial pourra être affecté en tout ou partie à la réalisation des missions reste, en toutes circonstances, sous la seule autorité hiérarchique et disciplinaire de Ressourcial qui en assure seul la gestion administrative et sociale.
Ressourcial désignera un des membres de son équipe en qualité de DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file. Le DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file sera l'interlocuteur privilégié du BÉNÉFICIAIRE.
Ressourcial est réputé mettre à disposition du BÉNÉFICIAIRE des commettants réunissant les compétences requises pour exercer la mission de Délégué à la Protection des Données personnelles, formés comme tels.

ARTICLE 3 - Obligation du BÉNÉFICIAIRE

Le BÉNÉFICIAIRE désignera un membre de son personnel en tant que responsable et interlocuteur privilégié du DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file.
Les interlocuteurs courants du DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file pour l’exécution de sa mission seront les référents informatique et libertés désignés par le BÉNÉFICIAIRE.
Pour les prestations réalisées sur le site du BÉNÉFICIAIRE, celui-ci s'engage à recevoir les membres du personnel de Ressourcial travaillant à la réalisation desdites prestations dans les meilleures conditions de travail possible. Le personnel de Ressourcial appelé à travailler dans les locaux du BÉNÉFICIAIRE se conformera aux dispositions du règlement intérieur relatives aux règles d'hygiène et de sécurité en vigueur chez le BÉNÉFICIAIRE et qui lui auront été communiquées au préalable.
Le BÉNÉFICIAIRE devra collaborer activement avec Ressourcial en l'informant de toute information et/ou difficulté dont il pourrait avoir connaissance et pouvant avoir un impact sur les Prestations et assurer la collaboration de tout tiers intervenant au projet objet des Prestations.
Pour l'exécution des prestations, le BÉNÉFICIAIRE s'engage à fournir à Ressourcial gratuitement les moyens matériels et logistiques, permettant à Ressourcial de réaliser ses missions dans les meilleures conditions de travail possible eu égard à la spécificité desdites misions.

ARTICLE 4 - Modalités d'exécution de la prestation de service

Principes de la mise à disposition de ressources :

En tant que Délégué à la protection des données Ressourcial mettra en œuvre toute diligence pour assurer la conformité des traitements conduits par le BÉNÉFICIAIRE en application de la RÉGLEMENTATION.

Dans ce cadre Ressourcial aura pour mission de :

informer le BÉNÉFICIAIRE - ainsi que l’ensemble de ses personnels - sur les obligations qui lui incombent en vertu de la RÉGLEMENTATION et d’autres dispositions en matière de protection de données à caractère personnel ;
si besoin, informer le BÉNÉFICIAIRE des manquements constatés, lui faire des recommandations sur les mesures à prendre pour y remédier, lui soumettre les arbitrages nécessaires ;
veiller à la mise en œuvre de mesures appropriées pour lui permettre de démontrer que ses traitements sont effectués conformément à la RÉGLEMENTATION, et si besoin, réexaminer et actualiser ces mesures ;
veiller à la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets du BÉNÉFICIAIRE comportant un traitement de données personnelles (principe du « Privacy By Design ») ;
auditer et contrôler, de manière indépendante, le respect de la RÉGLEMENTATION par le BÉNÉFICIAIRE, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement et les audits s’y rapportant ;
informer et faire des recommandations sur la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées ;
s’assurer de la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements dont le BÉNÉFICIAIRE est responsable, s’assurer de leur transmission aux services intéressés et apporter à ces derniers son appui dans la réponse à fournir aux requérants ;
être l’interlocuteur privilégié de l’Autorité de contrôle (CNIL) et coopérer avec elle ;
dispenser ses conseils en ce qui concerne les analyses d’impact relatives à la protection des données et en assurer la pertinence ;
mettre le BÉNÉFICIAIRE en position de notifier d’éventuelles violations de données auprès de l’Autorité de contrôle et l’informer, notamment concernant les éventuelles communications aux personnes concernées et les mesures à apporter ;
mettre le BÉNÉFICIAIRE en position de tenir l’inventaire et de documenter les traitements de données à caractère personnel en tenant compte du risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, du contexte et de sa finalité ;
accompagner le BÉNÉFICIAIRE pour la mise en œuvre du registre des traitements et assurer le contrôle régulier de sa conformité à la RÉGLEMENTATION ;
présenter au BÉNÉFICIAIRE un bilan annuel des activités de Ressourcial dans le cadre de sa mission de Délégué à la Protection des Données.

Les engagements de Ressourcial :

Mettre à disposition du BÉNÉFICIAIRE un intervenant DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file formé.
Entretenir les connaissances spécialisées de ses intervenants et leurs capacités à accomplir leurs missions, de réaliser la veille sur les questions de la protection des données et de se tenir informé des meilleures pratiques propres à la mission de DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) mutualisé.
En fin de mission, Ressourcial s’engage à remettre au BÉNÉFICIAIRE tous les éléments relatifs à sa mission et, selon des modalités à convenir, à informer son éventuel successeur sur les travaux en cours.
Tous les documents et informations de quelque nature que ce soient, auxquels le DÉLÉGUÉ À LA PROTECTION DES DONNÉES PERSONNELLES (DPD) Chef de file et les commettants de Ressourcial auront accès au cours de l’exécution de la mission, seront considérés par eux comme strictement confidentiels.
Ressourcial conduira sa mission et l’ensemble des diligences qui y sont liées en conformité avec la RÉGLEMENTATION.
Ressourcial s'interdit de communiquer à quiconque, directement ou indirectement, tout ou partie des informations de toute nature, commerciale, industrielle, technique, financière, nominative, etc., qui lui auront été communiquées par le BÉNÉFICIAIRE, ou dont il aurait eu connaissance à l'occasion de l'exécution de sa mission. Cette clause ne s’applique pas aux communications avec l’Autorité de Contrôle laquelle ne peut se voir opposer le secret.
Ressourcial reconnaît que toute divulgation léserait les intérêts du BÉNÉFICIAIRE et engagerait sa responsabilité. Cette clause ne s’applique pas aux communications avec l’Autorité de Contrôle laquelle ne peut se voir opposer le secret.
Ressourcial se porte fort, au sens de l'article 1120 du Code civil, du respect par ses préposés, mandataires ou sous-traitants dûment autorisés, de l'engagement de confidentialité exposé ci-dessus.

Localisation

Ressourcial exécutera ses prestations soit dans les locaux du BÉNÉFICIAIRE ou de ses adhérents, soit dans ses locaux, comme défini en annexe.

Délais d'exécution

Les délais d'exécution des prestations sont fixés dans une annexe. Toute modification de ces délais devra être acceptée par les deux parties dans un avenant aux présentes.

Personnel de Ressourcial

Le personnel Ressourcial amené à réaliser sa mission dans les locaux du BÉNÉFICIAIRE se conformera aux horaires de travail en vigueur, au règlement intérieur et aux règles d'hygiène et de sécurité en vigueur dans ces locaux, à moins que les parties n'en soient autrement convenues par écrit.

Il est toutefois rappelé que le personnel Ressourcial affecté à la réalisation des prestations d'assistance technique, objet des présentes, reste en tout état de cause sous l'autorité hiérarchique et disciplinaire de Ressourcial qui assure l'autorité technique, la gestion administrative, comptable et sociale de son personnel.
Conformément aux articles L 8222-2 et suivants, D 8222-4 et suivants et D 8223-1 et suivants du Code du travail relatifs au travail clandestin, Ressourcial sur demande du BÉNÉFICIAIRE, devra être en mesure de lui remettre au choix, l'un des documents suivants :

attestation de fourniture des déclarations sociales émanant de l'organisme de protection sociale chargé du recouvrement des cotisations sociales incombant au Prestataire et datant de moins d'un an ;
avis d'imposition afférent aux taxes professionnelles pour l'exercice précédent.

Ressourcial certifie sur l'honneur que les salariés qui exécuteront les missions seront employés régulièrement au regard des dispositions du Code du travail.

Dès lors que l'indisponibilité d'un membre de l'équipe affecté au projet est susceptible d'occasionner un retard dans l'exécution des prestations, Ressourcial prendra toutes les mesures nécessaires pour assurer la continuité des Prestations dans les mêmes conditions de qualité et de délai.

ARTICLE 5 - Obligations du BENEFICIAIRE

Pour permettre à Ressourcial de mener à bien ces différentes missions, le BÉNÉFICIAIRE s’engage à :

Ce que Ressourcial soit associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données ;
Ce que Ressourcial ait la capacité d’exercer ses missions en lui fournissant l’accès aux données et aux opérations de traitement par l’intermédiaire des référents Informatique et Liberté désignés par le bénéficiaire afin d’assurer la cohérence d’exécution ;
Veiller à ce que Ressourcial ne reçoive aucune instruction en ce qui concerne l’exercice de ses missions ;
Ce que Ressourcial fasse directement rapport au niveau le plus élevé de la direction et au niveau des Référents Informatique et Liberté désignés ;
Donner une importance prépondérante aux analyses et conseils de Ressourcial en matière de protection des données personnelles et, dans le cas où ses recommandations ne seraient pas retenues, à en documenter les raisons ;
S’assurer de l’accord de Ressourcial avant mise en production de tout nouveau traitement comportant des données personnelles par un protocole approprié.

ARTICLE 6 - RESPONSABILITES DE RESSOURCIAL ET DU BENEFICIAIRE

Ressourcial engage sa responsabilité en tant que Délégué à la Protection des Données dans le cadre fixé par la réglementation.
Ressourcial n’est pas responsable en cas de non-respect délibéré par le BÉNÉFICIAIRE de la RÉGLEMENTATION et à la libre circulation des données relatives à la mission par le BÉNÉFICIAIRE.
Toutefois la responsabilité de Ressourcial et de ses commettants serait engagée dans le cas où ils commettraient une infraction aux dispositions de la RÉGLEMENTATION susceptible d’engager leur responsabilité pénale.
La désignation par le BÉNÉFICIAIRE de Ressourcial en tant que Délégué à la Protection des Données personnelles n’exonère pas le BÉNÉFICIAIRE de ses responsabilités en la matière.

ARTICLE 15 - RESPONSABILITES

Pour toute réclamation concernant l'exécution ou l'inexécution par la partie défaillante de ses obligations contractuelles, l'autre partie sera en droit de réclamer l’indemnisation de son préjudice dans la limite d'une somme n'excédant pas la somme totale effectivement payée par le BÉNÉFICIAIRE, pour les services ou tâches fournis par Ressourcial.
Il est expressément convenu entre les Parties qu'elles ne peuvent engager leur responsabilité respective que pendant un délai de deux (2) ans à compter de la connaissance du dommage ou de la date à laquelle elles auraient dû en avoir connaissance.

ARTICLE 16 - MEDIATION

Pour le règlement de tous différends ou divergences d'interprétation relatifs à l'exécution ou à la cessation de la présente Convention, les parties conviennent de rechercher prioritairement une résolution amiable et de s’interdire d’agir en justice hormis les situations d’urgence, et ce pendant un délai de 30 jours à compter de la réception du courrier recommandé avec avis de réception adressé par la partie qui s’estime lésée.
Si elles ne parviennent pas à trouver un terrain d’entente dans ce délai, elles conviendront éventuellement d’une démarche de médiation simple ou judiciaire.
Dans ce cas Les frais et honoraires du médiateur seront répartis par moitié entre les parties.

ARTICLE 17 - RESILIATION

L’inexécution des obligations prévues au contrat pourra entraîner la résolution du Contrat à la suite d’une mise en demeure mentionnant la présente clause et restée infructueuse pendant un délai de 30 jours. Dans ce cas, il est expressément entendu entre les Parties que le créancier sera en droit de résoudre le Contrat, et ce par simple voie de notification adressée en LRAR, sans qu’il soit pour cela besoin de le demander en justice. La résolution prendra alors effet à la date de réception de la notification par le débiteur.
La résolution du Contrat n’affectera ni la clause relative au règlement des litiges entre les Parties, ni la clause de Médiation, ni les clauses relatives à la Confidentialité et aux obligations de non-sollicitation entre les parties.

ARTICLE 18 - REGLEMENT DES LITIGES

Pour toute action en justice relative à la formation, l’exécution ou la fin du présent Contrat et de ses suites, y compris les actions en responsabilité et celles qui seraient motivées par l’urgence, les parties conviennent d’élire domicile auprès des tribunaux du ressort de la Cour d’appel de LYON.

ARTICLE 19 - ÉLECTION DE DOMICILE

Pour l’exécution des présentes, les parties font élection de domicile en leur siège social respectif.

Les grandes histoires ont une personnalité. Envisagez de raconter une belle histoire qui donne de la personnalité. Écrire une histoire avec de la personnalité pour des clients potentiels aidera à établir un lien relationnel. Cela se traduit par de petites spécificités comme le choix des mots ou des phrases. Écrivez de votre point de vue, pas de l'expérience de quelqu'un d'autre.

Les grandes histoires sont pour tout le monde, même lorsqu'elles ne sont écrites que pour une seule personne. Si vous essayez d'écrire en pensant à un public large et général, votre histoire sonnera fausse et manquera d'émotion. Personne ne sera intéressé. Ecrire pour une personne en particulier signifie que si c'est authentique pour l'un, c'est authentique pour le reste.