Accord de Traitement de Données (DPA)

En vigueur à compter du .
Le présent Accord de Traitement de Données (ci-après le « DPA ») fait partie intégrante et complète le Contrat principal conclu entre Intent et le Souscripteur des Services Intent à compter de la Date d'Effet du Contrat. Intent et le Souscripteur sont également dénommées ci-après collectivement les « Parties » et individuellement la « Partie ».

1. Définitions

Aux fins du DPA :
  • « Clauses Contractuelles Types de la Commission Européenne (CCT) » désigne les clauses annexées à la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 concernant les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au RGPD, dont le texte est disponible à l’adresse suivante :  https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914 .
  • « Contrat » désigne l’accord conclu entre les Parties régissant la fourniture des Services Intent au Souscripteur. Le DPA est incorporé par référence au Contrat.
  • « Description du Traitement » désigne la description du traitement objet de l’Annexe 2.A du présent DPA ( Description du Traitement).
  • « Données Personnelles » désigne toute Donnée du Souscripteur qui : (i) constitue des « données à caractère personnel » ou « informations personnelles » (ou des variantes analogues de ces termes) telles que définies par la Législation Applicable en Matière de Protection des Données, et (ii) que Intent traite en tant que Sous-traitant, comme décrit plus en détail dans le Contrat.
  • « Législation Applicable en Matière de Protection des Données » désigne toute loi ou réglementation applicable en matière de confidentialité, de sécurité des données ou de protection des données, y compris, dans la mesure où il s’applique, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 (le « RGPD »).
  • « Pays Restreint » désigne tout pays situé en dehors de l’Espace Économique Européen (EEE) et qui ne bénéficie pas d’une décision d’adéquation de la Commission européenne.
  • « Services » : désigne l’ensemble des fonctionnalités de la Plateforme et des prestations de services associées mises à la disposition du Souscripteur par Intent dans le cadre du Contrat.
  • « Souscripteur » : désigne l'organisation (personne morale) qui a conclu le Contrat avec Intent.
  • « Sous-traitant ultérieur » désigne tout Sous-traitant désigné par Intent pour effectuer tout ou partie du Traitement pour le compte du Souscripteur.
  • « Transfert International de Données » désigne tout transfert de Données Personnelles vers un Pays Restreint.
  • « Traiter » ou « Traitement » désigne le traitement des Données Personnelles tel que décrit dans la Description du Traitement.
Les termes « Responsable de Traitement », « Sous-traitant », « Personnes Concernées » et « Violation de Données Personnelles » (ou leurs variantes analogues définies dans la Législation Applicable en Matière de Protection des Données) utilisés dans le présent Accord auront le sens qui leur est donné dans la Législation Applicable en Matière de Protection des Données. Les termes en majuscules non définis ici auront le sens qui leur est attribué dans l’Accord.

2. Description des Traitements de Données Personnelles

2.1. Rôles des Parties

  • Le Souscripteur est le Responsable du Traitement des Données Personnelles. 
  • Intent traite les Données Personnelles pour le compte du Souscripteur en tant que Sous-traitant.

2.2. Description du Traitement

La nature, les finalités, les types de Données à Caractère Personnel traitées par Intent pour le compte du Souscripteur, ainsi que les catégories de Personnes Concernées, sont détaillées dans l'Annexe 2.A (Description du Traitement) du présent DPA.

3. Obligations générales des Parties

3.1. Obligations d'Intent (Sous-traitant)

En sa qualité de Sous-traitant de Données à Caractère Personnel, Intent traite les Données à Caractère Personnel qui lui sont transmises pour le compte et selon les instructions documentées du Souscripteur.
Intent s’engage ainsi à respecter les obligations suivantes et à les faire respecter par son personnel :
  • Ne pas utiliser ces données pour des finalités autres que celles spécifiées dans le présent DPA et le Contrat, et limiter le traitement à ce qui est nécessaire.
  • Ne pas divulguer ces données à d’autres personnes, sauf aux destinataires autorisés pour les besoins des Services.
  • Prendre toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse de ces données dans le cadre de la fourniture des Services.
  • Coopérer avec le Souscripteur pour permettre à celui-ci de notifier à l’autorité de contrôle compétente toute violation de données à caractère personnel dans le délai prévu par la réglementation en vigueur.
  • Mettre en œuvre les Mesures Techniques et Organisationnelles (MTO) détaillées dans l'Annexe 2.B (MTO) pour assurer la conservation et l’intégrité de ces données pendant la durée du Contrat.
  • Établir et tenir à jour un registre des traitements effectués sous sa responsabilité pour le compte du Souscripteur conformément aux dispositions du RGPD et, plus largement, respecter l’ensemble des obligations prévues par ce texte en ce qui concerne le suivi du traitement des données et le conseil au responsable du traitement et, plus largement, les dispositions relatives aux sous-traitants.
  • Mettre à la disposition du Souscripteur la documentation nécessaire pour démontrer le respect de ces obligations.

3.2. Obligations du Souscripteur (Responsable de Traitement)

En sa qualité de Responsable de Traitement, le Souscripteur détermine les finalités et les moyens du Traitement de Données à Caractère Personnel.
Le Souscripteur reconnaît ainsi et garantit :
  • Avoir défini une base légale valide (consentement, exécution d'un contrat, intérêt légitime, etc.) pour la collecte, le traitement, le transfert et le stockage des Données à Caractère Personnel les concernant et pour leur transmission à Intent dans les conditions et pour les finalités prévues au Contrat.
  • Que toutes les informations devant être communiquées aux Personnes concernées en vertu de la réglementation en vigueur ont été communiquées à ces derniers dans les conditions et selon les modalités fixées par cette réglementation. Il appartient notamment au seul Souscripteur d’informer les Personnes concernées par les Données à Caractère Personnel de ces différentes finalités de traitement.
  • Que dans l’hypothèse où le Souscripteur traite des données « sensibles » telles que définies à l’Article 9 du RGPD, le Souscripteur les a collectées, et requiert de la part d’Intent de procéder à leur Traitement, en parfait respect avec les dispositions dudit Article 9 et a défini une condition de licéité le permettant.
  • Qu’il répondra dans les meilleurs délais aux demandes d’information de la CNIL, le cas échéant.
  • Qu’il répondra dans les meilleurs délais aux demandes de toute Personne Concernée par le Traitement de ses Données à Caractère Personnel et qu’il donnera à Intent les instructions adéquates, en temps utiles.
  • Qu’il documentera par écrit toute instruction concernant le Traitement de Données à Caractère Personnel par Intent.

4. Durée de Conservation et Sort des Données

La durée de conservation des différentes catégories de Données à Caractère Personnel et les modalités d'effacement/réversibilité sont définies dans l'Annexe 2.C (Durées de Conservation).
Au terme du Contrat, Intent s'engage, selon le choix documenté du Souscripteur , à :
    Restituer au Souscripteur l'ensemble des Données Personnelles et copies existantes sous un format standard dans un délai convenu ;
    Détruire l'ensemble des Données Personnelles et copies existantes.
Intent garantit que l'effacement ou la destruction définitive interviendra au plus tard dans un délai de six (6) mois suivant la date d'échéance du Contrat, après la période de réversibilité. Intent atteste par écrit de la destruction effective des données sur demande du Souscripteur.

5. Sous-traitance

5.1. Autorisation de sous-traitance

Le Souscripteur autorise Intent a faire appel à des sous-traitants (ci-après, « les sous-traitants ultérieurs ») pour l’assister dans la fourniture des Services dans le respect des termes du présent DPA, étant précisé que :
  • Intent met à disposition du Souscripteur et maintient à jour la liste de ses sous-traitants ultérieurs sur la page suivante :  Sous-traitants ultérieurs 
  • Ces sous-traitants ultérieurs sont tenus de respecter les obligations du présent DPA pour le compte et selon les instructions du Souscripteur. Il appartient à Intent de s’assurer que ces sous-traitants ultérieurs mettent en œuvre des mesures techniques et organisationnelles suffisantes pour garantir que le Traitement de Données Personnelles réponde aux exigences de la Législation Applicable en Matière de Protection des Données.
  • Si un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Intent demeure pleinement responsable devant le Souscripteur de l’exécution par le sous-traitant ultérieur de ses obligations.

5.2. Notifications

Intent s’engage à informer préalablement et par écrit le Souscripteur de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants ultérieurs. Cette information doit indiquer clairement les activités de Traitement de Données Personnelles sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.

6. Transferts de Données

Le Souscripteur autorise Intent à transférer les Données Personnelles vers tout pays considéré comme offrant un niveau adéquat de protection des données par la Commission européenne. Le Souscripteur autorise également Intent à effectuer des Transferts Internationaux de Données : (a) sur la base de garanties appropriées conformément à Législation Applicable en Matière de Protection des Données, ou (b) en vertu des Clauses Contractuelles Types (CCT).
Ces transferts figurent sur le registre des activités de traitement mis en place par Intent.

7. Exercice des Droits des Personnes Concernées

Le Souscripteur fait droit aux demandes d’exercice des droits des Personnes concernées (droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du Traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) et donnera les instructions adéquates à Intent, en temps utiles.
Dans la mesure du possible, Intent doit aider le Souscripteur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées, notamment par la mise à disposition de fonctionnalités techniques (recherche, modification, suppression ou export) au sein de la Plateforme, ou en exécutant les instructions documentées du Souscripteur.
Lorsque les Personnes Concernées exercent auprès d’Intent des demandes d’exercice de leurs droits, Intent doit adresser ces demandes dès réception par courrier électronique au délégué à la protection des données désigné par le Souscripteur.

8. Notification des Violations de Données à Caractère Personnel

Intent notifiera au Souscripteur toute violation de données à caractère personnel dans les plus brefs délais après en avoir pris connaissance et en toute hypothèse, dans un délai compatible avec les obligations qui lui incombent, tout en mettant en mesure le Souscripteur de remplir ses propres obligations, en application de l’article 33 du Règlement (UE) 2016/679, et ce dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance, en suivant la procédure suivante : appel téléphonique puis envoi d’un courriel au délégué à la protection des données désigné par le Souscripteur.

9. Audits

Intent s’engage à mettre à la disposition du Souscripteur la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Souscripteur ou un autre auditeur qu’il a mandaté, et à contribuer à ces audits.
Si le Souscripteur estime nécessaire d'effectuer un audit conformément à la réglementation pour vérifier la conformité des Services fournis à la réglementation et au contrat, Intent accepte de s’y soumettre dans les conditions suivantes :
  • Intent met à la disposition du Souscripteur à sa demande et par email la documentation nécessaire pour démontrer le respect par Intent de ses obligations en qualité de sous-traitant. Si le Souscripteur estime que cette documentation ne lui permet pas de démontrer la conformité des Services à la réglementation, le Souscripteur formule une demande d’audit sur site, justifiée et documentée, par lettre recommandée avec accusé de réception.
  • L’audit doit être effectué par un auditeur indépendant de réputation notoire n’entrant pas en concurrence avec les activités commerciales d’Intent. Cet auditeur indépendant est choisi par le Souscripteur et accepté par Intent. Il doit posséder les qualifications professionnelles requises et est soumis à un accord de confidentialité.2
  • Les Parties reconnaissent que tous rapports et informations obtenus dans le cadre de cet audit sont des informations confidentielles.
  • La date de début de l'audit, la durée et le périmètre de l'audit sont définis d'un commun accord par les Parties avec un préavis minimum de 30 jours ouvrés.
  • La fréquence des audits est limitée à un audit par an et ne doit pas perturber l'activité d'Intent.
  • L'audit ne peut être effectué qu’aux jours et aux heures ouvrées. L'audit ne comporte pas d'accès aux informations non liées aux traitements visés par les présentes, ni d'accès physique aux infrastructures sur lesquelles les Données à Caractère Personnel sont traitées.
  • Le Souscripteur supporte l’intégralité des frais et dépenses occasionnés par l'audit et rembourse à Intent tous les frais engagés à cet effet, notamment, le temps consacré à l'audit sur la base du taux horaire moyen du personnel d'Intent ayant collaboré à l'audit.



Annexe 2.A : Description du Traitement

1. Liste des Parties

Title
Title
Responsable de Traitement
Le Souscripteur.
Sous-traitant
Intent Technologies, Société par Actions Simplifiées immatriculée au Registre du Commerce et des Sociétés de LILLE sous le numéro 532 829 561 et dont le siège social est situé 679 avenue de la République 59800 LILLE, FRANCE.


2. Description du Traitement

Title
Title
Nature du Traitement
Fourniture de logiciels en tant que service (SaaS), impliquant l'hébergement, la sauvegarde, la consultation, la modification, l'analyse et le transport des Données à Caractère Personnel pour le compte du Souscripteur.
Finalités des Traitements
Héberger les Contenus du Souscripteur ; permettre l’échange de Contenus ; administrer le Compte Souscripteur ; contrôler l’accès des Utilisateurs ; traiter les demandes d’assistance ; facturer ; assurer la traçabilité et la sécurité ; personnaliser l’expérience et améliorer les Services.
Durée et fréquence du Traitement
De façon continue pendant la durée du Contrat.
Catégories de Personnes Concernées
1. Collaborateurs du Souscripteur ; 2. Collaborateurs des Partenaires ; 3. Personnes spécifiées comme contacts dans les Contenus (par exemple  les occupants des biens immobiliers gérés par le Souscripteur).
Catégories de Données Personnelles
1. Identité et coordonnées (nom, prénom, adresse, email, téléphone) ; 2. Données de connexion et d’utilisation (identifiants, habilitations, position géographique, préférences) ; 3. Données de suivi des événements (signalements, réclamations, mesures des logements, etc.).
Localisation Géographique Principale
Union Européenne.Détails des transferts hors UE dans la liste de nos sous-traitants ultérieurs disponible ici:  Sous-traitants ultérieurs 



Annexe 2.B : Mesures Techniques et Organisationnelles (MTO)

Les mesures techniques et organisationnelles (MTO) mises en oeuvre par Intent sont listées dans la section de la documentation de la Plateforme consacrée à la conformité Backhand Index Pointing Right  Conformité 
Basées sur sa Politique de Sécurité, ces MTO visent à garantir un niveau de sécurité adapté au risque, conformément à l'Article 32 du RGPD. Elles sont amenées à évoluer régulièrement pour s’adapter à l’évolution des menaces et des pratiques de sécurité.


Annexe 2.C : Durées de Conservation

Title
Title
Title
Catégorie de Données
Durée de Conservation
Sort des Données à l'échéance du Contrat
Données de Compte et Contenus Souscripteur
Durée du Contrat de Souscription.
Restitution ou destruction totale au plus tard 6 mois après l'échéance.
Données de Facturation/Comptables
10 ans.
Archivage sécurisé pour la période légale, puis destruction.
Traces d'Usage Nominatives (Logs)
1 an.
Suppression sécurisée.