Annexe Contractuelle - Données à Caractère Personnel (DPA)

Article 1 : Définitions

Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée »), telle que définie par le Règlement Général sur la Protection des Données (RGPD).
Responsable de traitement : La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitant : La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du Responsable de traitement.
Traitement : Toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.
Violation de données : Une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou autrement traitées, ou l'accès non autorisé à de telles données.
Transfert de données : Tout transfert de données à caractère personnel en dehors de l'Espace Économique Européen (EEE), y compris vers un pays tiers ou une organisation internationale.
Service Cloud : Tout service de traitement, stockage, ou gestion de données à caractère personnel fourni par le Sous-traitant via des infrastructures cloud.
Accès nécessaire au service : Tout accès aux données à caractère personnel strictement requis pour l'exécution des services contractuels définis, incluant la fourniture, la maintenance, le support technique, la supervision des systèmes, et la résolution d'incidents, à l'exclusion de tout accès à des fins d'analyse commerciale, de profilage, ou de marketing direct.
HDS (Hébergeur de Données de Santé) : Statut spécifique en France pour les hébergeurs de données de santé, nécessitant une certification délivrée par un organisme accrédité.

Article 2 : Objet

La présente annexe a pour objet de définir les conditions et modalités de traitement des données à caractère personnel dans le cadre du Contrat principal, incluant l'utilisation de services cloud. Elle vise à garantir la conformité des parties aux obligations découlant du RGPD et des lois françaises relatives à la protection des données personnelle dans le cas où le Sous-Traitant est certifié comme HDS, ainsi qu'aux exigences du code de conduite CISPE.

Article 3 : Obligations du Responsable de traitement

Licéité du traitement : Le Responsable de traitement s'engage à traiter les données à caractère personnel de manière licite, loyale et transparente conformément aux articles 5 et 6 du RGPD.
Finalités déterminées : Les données à caractère personnel ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Minimisation des données : Le Responsable de traitement doit veiller à ce que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Exactitude des données : Il incombe au Responsable de traitement de s'assurer que les données à caractère personnel sont exactes et, si nécessaire, tenues à jour.
Sécurité des données : Le Responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Cela inclut l'évaluation régulière des mesures de sécurité des services cloud utilisés.

Article 4 : Obligations du Sous-traitant

4.1 Traitement conforme aux instructions et limitation des accès

Le Sous-traitant s'engage à :

Ne traiter les données à caractère personnel que sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, sauf si une exigence légale l'y oblige
Limiter strictement ses accès aux données à caractère personnel aux seuls accès nécessaires au service tels que définis à l'Article 1
S'interdire formellement tout traitement des données à caractère personnel à des fins de :
- Data mining ou exploration de données
- Profilage des utilisateurs finaux ou analyse comportementale
- Marketing direct ou publicité ciblée
- Toute utilisation commerciale non liée à l'exécution des services contractuels.

4.2 Politique de gestion des accès

Le Sous-traitant maintient une politique détaillée de gestion des accès aux données clients qui inclut :

Les procédures d'autorisation et de révocation des accès
L'identification des personnes habilitées et leurs niveaux d'accès
Les contrôles d'accès physiques et techniques aux infrastructures
La journalisation complète des accès avec conservation sur 24 mois minimum
Les procédures de gestion des accès d'urgence et de supervision

4.3 Obligations générales

Confidentialité : Le Sous-traitant doit veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
Certification HDS : Le Sous-traitant déclare être certifié Hébergeur de Données de Santé et qu'il maintiendra cette certification pendant toute la durée du Contrat.
Sécurité des traitements : Le Sous-traitant s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel qu'il traite, y compris celles traitées via des services cloud, conformément à l'article 32 du RGPD.
Sous-traitance ultérieure : Le Sous-traitant ne doit pas recourir à un autre sous-traitant sans l'autorisation préalable écrite et spécifique du Responsable de traitement. En cas de sous-traitance ultérieure autorisée, le Sous-traitant doit s'assurer que le sous-traitant ultérieur respecte les mêmes obligations de protection des données.
Assistance au Responsable de traitement : Le Sous-traitant doit assister le Responsable de traitement, dans la mesure du possible, pour s'acquitter de ses obligations en matière de sécurité des données, de notification des violations de données, de réalisation d'analyses d'impact sur la protection des données et de consultations préalables auprès des autorités de contrôle.
Localisation des données : Le Sous-traitant doit fournir des informations claires sur les lieux de stockage et de traitement des données dans les infrastructures cloud, et s'assurer que ces lieux respectent les réglementations applicables en matière de protection des données.

Article 5 : Description des traitements

Le Sous-Traitant est autorisé à traiter pour le compte du Responsable de Traitement, les données à caractère personnel nécessaires pour fournir les Services. La nature et la catégorie des opérations réalisées sur les données à caractère personnel seront définies par le Responsable de Traitement selon les besoins spécifiques de chaque Service. Les finalités du traitement sont déterminées par le Responsable de Traitement et communiquées au Sous-Traitant. La nature et la catégorie des données à caractère personnel traitées sont spécifiées par le Responsable de Traitement. Les catégories de personnes concernées sont identifiées par le Responsable de Traitement. Pour l'exécution des Services, le Responsable de Traitement met à la disposition du Sous-Traitant les informations nécessaires. La durée du traitement est fixée par le Responsable de Traitement en fonction des exigences des Services fournis.

Article 6 : Droits des personnes concernées

Accès et rectification : Le Responsable de traitement et le Sous-traitant doivent permettre aux personnes concernées d'exercer leurs droits d'accès et de rectification de leurs données à caractère personnel, conformément aux articles 15 et 16 du RGPD.
Effacement et limitation du traitement : Les personnes concernées doivent pouvoir exercer leurs droits à l'effacement de leurs données (droit à l'oubli) ou à la limitation du traitement, conformément aux articles 17 et 18 du RGPD.
Portabilité des données : Le Responsable de traitement doit assurer, lorsque cela est applicable, la portabilité des données à caractère personnel des personnes concernées, conformément à l'article 20 du RGPD.
Opposition : Les personnes concernées doivent pouvoir exercer leur droit d'opposition au traitement de leurs données personnelles conformément à l'article 21 du RGPD.

6.1 Modalités d'exercice des droits

En tant que Sous-traitant, Cloud Temple assiste le Responsable de traitement dans l'exercice des droits des personnes concernées selon les modalités suivantes :

Processus standard :

Les demandes sont généralement adressées par le Responsable de traitement via les canaux de communication habituels : Account Manager et Service Delivery Manager.
Le Sous-traitant fournit son assistance technique dans les limites de son rôle de sous-traitant et des capacités de ses services.

Contact direct :

Pour les cas exceptionnels ou les questions spécifiques, le Délégué à la Protection des Données Cloud Temple peut être contacté directement : DPD@cloud-temple.com
Un circuit de validation par le DPO Cloud Temple est maintenu pour assurer la cohérence des réponses.
Une traçabilité des demandes et actions entreprises est assurée.

Réception des demandes : Dans l'éventualité où une personne concernée adresserait directement une demande d'exercice de ses droits (accès, rectification, effacement, opposition, limitation ou portabilité) au Sous-traitant, ce dernier s'engage à la transmettre au Client par écrit dans un délai maximum de 72 heures à compter de sa réception. Le Sous-traitant ne répondra pas directement à la personne concernée sans instruction écrite préalable du Responsable de Traitement.

Assistance technique et exécution : Le Sous-traitant s'engage à assister le Client dans les conditions suivantes pour permettre l'exercice des droits :

Accès et Portabilité : Le Sous-traitant met à disposition du Client les outils ou procédures permettant l'extraction des données de santé dans un format structuré et couramment utilisé.
Consultation des traces : Conformément aux engagements de sécurité, l'Hébergeur permet au Client de consulter les traces d'accès aux Données de Santé à Caractère Personnel (DSCP) pour répondre aux demandes d'information sur les accès aux données.
Rectification et Effacement : Le Sous-traitant s'engage à exécuter, sur demande motivée du Client, les opérations techniques de modification ou de suppression définitive des données dans les environnements de production et de sauvegarde, et à lui en fournir la confirmation écrite.
Limitation : En cas de demande de limitation du traitement, le Sous-traitant collaborera avec le Client pour mettre en œuvre les mesures techniques d'isolation ou de verrouillage des données concernées.
Documentation : Le Sous-traitant mettra à la disposition du Client toutes les informations nécessaires pour démontrer que les mesures techniques prises permettent le respect effectif des droits des personnes.

Article 7 : Mesures de sécurité et de confidentialité

Le Sous-Traitant s'engage en particulier à mettre en place les mesures suffisantes pour assurer la sécurité et la confidentialité des Données Personnelles et notamment de santé confiées et traitées dans le cadre des Services, à savoir notamment :

Mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les Données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, l'utilisation détournée, la diffusion ou l'accès non autorisés, ainsi que contre toute autre forme de traitement illicite
Ne pas utiliser les Données à caractère personnel pour son propre compte ou pour le compte de tiers et ne pas les transférer sans l'autorisation écrite et préalable du Responsable de Traitement ou du client final
Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel soient soumises à des obligations appropriées de confidentialité
Ne pas réaliser de copies ou duplications des Données à caractère personnel sans l'autorisation écrite préalable du Responsable de Traitement ou du client final (à moins que cela soit nécessaire à l'accomplissement des Services fournis par le prestataire dans le cadre du Contrat)
Informer le Responsable de Traitement de tout accès accidentel ou non autorisé aux Données à caractère personnel, de tout manquement à la réglementation sur les Données à caractère personnel ou toute suspicion d'un tel manquement, dans les meilleurs délais et, si possible, 48 heures au plus tard après en avoir pris connaissance
Selon le choix du Responsable de Traitement, supprimer ou renvoyer les Données à caractère personnel au terme du Contrat, et détruire les copies existantes, sauf obligation légale de les conserver
Mettre en œuvre une politique de sécurité des systèmes d'information et de gestion des autorisations d'accès logique et physique notamment, qu'il devra maintenir et faire évoluer pendant toute la durée du Contrat
Chiffrer les données stockées.

Le Sous-traitant met en œuvre un système de contrôle d'accès aux données clients comprenant :

Un système d'authentification forte et de gestion des identités
Une politique de moindre privilège avec révision périodique des autorisations
Une séparation des environnements clients et une isolation des données
Un système de journalisation complet avec alertes automatiques
Des audits périodiques des accès et des contrôles de sécurité.

Article 8 : Notification des violations de données

En cas de violation de données à caractère personnel ou de Données de Santé à Caractère Personnel, le Sous-traitant doit notifier cette violation au Responsable de traitement sans délai indu après en avoir pris connaissance. Cette notification doit inclure :

La nature de la violation de données à caractère personnel
Les catégories et le nombre approximatif de personnes concernées
Les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés
Le nom et les coordonnées du point de contact où des informations supplémentaires peuvent être obtenues
Les conséquences probables de la violation de données à caractère personnel
Les mesures prises ou envisagées pour remédier à la violation et atténuer ses éventuels effets négatifs.

Cette notification doit préciser l'impact potentiel sur les données hébergées dans le cloud et les mesures prises pour y remédier, permettant au Responsable de traitement de notifier cette violation à l'autorité de contrôle compétente et, le cas échéant, aux personnes concernées conformément à l'article 33 du RGPD.

Article 9 : Transferts de données hors de l'Union Européenne

9.1 Localisation des données selon les services

Services Cloud :

Toutes les données à caractère personnel sont exclusivement traitées et stockées au sein de l'Union Européenne
L'ensemble des infrastructures et datacenters sont situés dans l'Union Européenne
Le client peut sélectionner les zones géographiques de traitement parmi les localisations européennes disponibles
Aucun traitement ou stockage de données n'a lieu en dehors de l'Union Européenne.

Services Managés (Infogérance) :

Les données à caractère personnel sont par défaut traitées et stockées au sein de l'Union Européenne
Des équipes de support technique situées hors de l'Union Européenne peuvent être amenées à accéder aux données dans le cadre de la prestation, uniquement avec l'accord préalable et écrit du Responsable de traitement
Ces accès sont strictement limités aux besoins opérationnels et encadrés par les garanties appropriées du RGPD.

9.2 Conditions des transferts hors UE

Tout accès ou transfert de données à caractère personnel par des équipes ou vers des pays tiers ne peut être effectué qu'avec :

L'autorisation préalable et écrite du Responsable de traitement pour le service concerné
Le respect des conditions prévues par le RGPD, notamment aux articles 44 à 50
La mise en place de garanties appropriées, telles que les clauses contractuelles types approuvées par la Commission européenne ou l'existence d'une décision d'adéquation
La limitation des accès aux seuls besoins opérationnels.

Article 10 : Durée et fin du traitement

10.1 Fin de contrat

À l'issue du contrat principal, le Sous-traitant s'engage, selon les instructions du Responsable de traitement, à supprimer toutes les données à caractère personnel ou à les retourner au Responsable de traitement, et à détruire les copies existantes sauf obligation légale contraire.

10.2 Processus de récupération

Le Sous-traitant fournit un guide détaillé permettant au Responsable de traitement de récupérer ses données dans un format standard et exploitable, incluant :

Les formats d'export disponibles
Les procédures de récupération
Les délais de mise à disposition
L'assistance technique disponible.

10.3 Délais de suppression des données

Le Sous-traitant s'engage sur les délais suivants :

Suppression logique : dans les 48 heures suivant la demande
Suppression physique définitive : dans les 30 jours calendaires suivant la suppression logique
Confirmation de suppression : certificat de destruction fourni dans les 5 jours ouvrés suivant la suppression physique.

Cette obligation inclut également les données stockées sur des supports de sauvegarde dans les infrastructures cloud, sauf si une obligation légale impose leur conservation. Dans ce cas, le Sous-traitant en informe le Responsable de traitement avec justification légale et délai de conservation.

Article 11 : Documentation et audits

Le Sous-traitant mettra à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par la présente annexe et autorisera les audits, y compris les inspections, par le Responsable de traitement ou un autre auditeur mandaté par ce dernier, afin de vérifier la conformité avec cette annexe et le RGPD.

Le Sous-traitant met à la disposition du Responsable de traitement :

Une page dédiée listant l'ensemble des démarches de conformité maintenue à jour à l'adresse : https://www.cloud-temple.com/demarches-conformite/
Les attestations de conformité disponibles (ISO 27001, SecNumCloud, HDS, ISAE, etc.)
Des recommandations pour l'utilisation sécurisée des services Cloud Temple incluant :
- Les bonnes pratiques pour protéger l'accès à la Console cloud
- La gestion maîtrisée des accès et permissions
- La sécurisation des ressources déployées via les services cloud.

Article 12 : Registre des activités de traitement

12.1 Contenu du registre

Le Sous-traitant maintient un registre électronique des activités de traitement conformément à l'article 30(2) du RGPD. Ce registre contient la liste des clients pour lesquels Cloud Temple opère en tant que sous-traitant, avec pour chaque client :

Les coordonnées de la société cliente et du délégué à la protection des données (nom, prénom, téléphone, mail)
Les catégories de traitement effectuées pour le compte de ce client
Les transferts hors Union Européenne le cas échéant
Les mesures techniques et organisationnelles de sécurité mises en œuvre.

12.2 Gestion automatisée

Le registre est automatiquement mis à jour lors de :

L'établissement de nouveaux contrats clients
Les modifications de services existants
Les évolutions des mesures de sécurité.

12.3 Accès au registre

Sur demande écrite :

Le Responsable de Traitement peut accéder uniquement aux informations le concernant dans le registre
Les autorités compétentes (CNIL, ANSSI, etc.) peuvent accéder au registre complet dans le cadre de leurs missions de contrôle.

Le Sous-Traitant dispose d'un délai de 15 jours ouvrés pour communiquer les informations demandées à compter de la réception de la demande. Un processus de validation des demandes légitimes est mis en place pour assurer la confidentialité des informations sensibles.

Article 13 : Les sous-traitants ultérieurs

Le Sous-Traitant peut être amené à recourir à un (ou des) prestataire(s) / fournisseur(s) externes pour la prise en charge de prestations spécifiques relevant du Contrat. À cet effet, le Sous-traitant peut être amené à recruter, sous sa responsabilité, un (ou des) Sous-traitant(s) de second rang aux seules fins de fournir une partie des prestations nécessaires au système infogéré.

Le Sous-Traitant s'engage à conclure un acte juridique contraignant avec tout sous-traitant ultérieur qu'il engage pour le Traitement des Données, afin de lui imposer le respect des exigences du RGPD et les mêmes obligations que celles prévues à l'article 20.2. En particulier, le Sous-Traitant doit s'assurer que le sous-traitant ultérieur qu'il a recruté présente des garanties suffisantes pour la mise en œuvre des mesures de sécurité nécessaires notamment dans le cadre de données de santé.

En cas de défaillance du sous-traitant ultérieur dans le respect de ses obligations en matière de protection des Données personnelles, le Sous-traitant demeurera pleinement responsable à l'égard du Responsable de traitement, sans préjudice des droits des Personnes concernées prévus aux articles 79 et 82 du RGPD.

La liste des sous-traitants subséquents autorisés est la suivante :

Sous-traitant	Activité	Localisation	Date d'autorisation
Digital Realty	Hébergement datacenter	France / UE	15/01/2025
Data4	Hébergement datacenter	France / UE	15/01/2025
Telehouse	Hébergement datacenter	France / UE	15/01/2025
Iron Mountain	Externalisation sur bande	France / UE	15/01/2025

remarque

Iron Mountain n'est pas certifié HDS.

À ces sous-traitants, s'ajoutent ceux du Contrat.

En cours d'exécution du Contrat, le Responsable de traitement peut accéder à tout moment auprès du Sous-Traitant à l'actualisation de ladite liste. Le Sous-traitant notifie par écrit au Responsable de Traitement toute modification de sous-traitant ultérieur au minimum 30 jours calendaires avant la mise en œuvre. Pour tout nouveau sous-traitant critique, une autorisation préalable spécifique du Responsable de traitement est requise.

Article 14 : Responsabilité

Le Responsable de traitement et le Sous-traitant reconnaissent qu'ils peuvent être tenus pour responsables des dommages causés par un traitement des données à caractère personnel non conforme au RGPD et aux lois françaises applicables. Le Sous-traitant est responsable des dommages causés par le traitement s'il n'a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants ou s'il a agi en dehors des instructions légales du Responsable de traitement ou contrairement à celles-ci.

Article 15 : Modifications

Toute modification de la présente annexe doit faire l'objet d'un avenant écrit signé par les deux parties. Les modifications doivent être conformes aux exigences du RGPD et des lois françaises relatives à la protection des données personnelles.

Article 16 : Loi applicable et juridiction compétente

La présente annexe est régie par le droit français. Tout litige relatif à son interprétation ou à son exécution sera de la compétence exclusive des tribunaux français. En cas de divergence entre les versions linguistiques de la présente annexe, la version française prévaudra.

Article 1 : Définitions​

Article 2 : Objet​

Article 3 : Obligations du Responsable de traitement​

Article 4 : Obligations du Sous-traitant​

4.1 Traitement conforme aux instructions et limitation des accès​

4.2 Politique de gestion des accès​

4.3 Obligations générales​

Article 5 : Description des traitements​

Article 6 : Droits des personnes concernées​

6.1 Modalités d'exercice des droits​

Article 7 : Mesures de sécurité et de confidentialité​

Article 8 : Notification des violations de données​

Article 9 : Transferts de données hors de l'Union Européenne​

9.1 Localisation des données selon les services​

9.2 Conditions des transferts hors UE​

Article 10 : Durée et fin du traitement​

10.1 Fin de contrat​

10.2 Processus de récupération​

10.3 Délais de suppression des données​

Article 11 : Documentation et audits​

Article 12 : Registre des activités de traitement​

12.1 Contenu du registre​

12.2 Gestion automatisée​

12.3 Accès au registre​

Article 13 : Les sous-traitants ultérieurs​

Article 14 : Responsabilité​

Article 15 : Modifications​

Article 16 : Loi applicable et juridiction compétente​