I. Objectif

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable du traitement les traitements de données à caractère personnel définis ci-dessous. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, notamment, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. applicable à compter du 25 mai 2018 (ci-après «le règlement européen sur la protection des données»).

II. Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable du traitement les données personnelles nécessaires à la fourniture des services détaillés ci-dessous:

Document d'identité

Service Vérification des pièces d’identité (pièce d’identité, passeport, titre de séjour et autre document personnel (RIB, justificatif de domicile, fiche de salaire, avis d’impôt, permis de conduire, etc.)
Nature des opérations Capture de l’image du document, réception, extraction des données du document, contrôle sur la base de règles définies, restitution des résultats de contrôle.
Finalité du traitement Vérification des documents communiqués par les clients finaux.
Catégories de personnes concernées Clients finaux
Informations mises à la disposition du sous-traitant par le responsable du traitement des données pour l'exécution du service faisant l'objet du présent contrat Image de la pièce d'identité ou du document, éventuellement acquise directement auprès du client final.

Reconnaissance faciale

Service Reconnaissance faciale pour identifier le titulaire du document d'identité
Nature des opérations Prenez une photo de type selfie, recevez le selfie et comparez-le automatiquement avec le visage trouvé sur le document d’identité.
Finalité du traitement Vérification des documents communiqués par les clients finaux.
Catégories de personnes concernées Clients finaux
Informations mises à la disposition du sous-traitant par le responsable du traitement des données pour l'exécution du service faisant l'objet du présent contrat Image de la carte d'identité et selfie du client final, éventuellement acquis directement auprès du client final.

III. Durée du contrat

Ce contrat est valable pendant la période de service telle que définie dans le contrat.

IV. Obligations du sous-traitant à l'égard du responsable du traitement

Le sous-traitant s'engage à :

Traiter les données uniquement pour la (les) seule(s) finalité(s) qui fait (font) l'objet de la sous-traitance

Traiter les données conformément à la description du service communiquée au responsable du traitement en annexe au présent contrat. Si le sous-traitant est tenu de transférer des données vers un pays tiers ou vers une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de ses obligations légales avant le traitement, à moins que le la loi concernée interdit ces informations pour d’importantes raisons d’intérêt public.

Garantir la confidentialité des données personnelles traitées dans le cadre de ce contrat

Veiller à ce que les personnes autorisées à traiter des données personnelles au titre du présent contrat: s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité reçoivent la formation nécessaire à la protection des données personnelles

Sous-traitance: Le sous-traitant peut faire appel à un autre sous-traitant (ci-après «le sous-traitant») pour effectuer des activités de traitement spécifiques. Dans ce cas, il informe au préalable et par écrit le responsable du traitement de toute modification envisagée concernant l’ajout ou le remplacement d’autres sous-traitants. Ces informations doivent clairement indiquer les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du sous-contrat. Le responsable du traitement dispose d’un délai minimum de 15 jours à compter de la date de réception de ces informations pour présenter ses objections. Cette sous-traitance ne peut être réalisée que si le responsable du traitement ne s’est pas opposé dans le délai convenu.

Droit à l’information des personnes concernées: selon que les informations sont collectées par le responsable du traitement ou le sous-traitant, il est de la responsabilité du responsable du traitement ou du sous-traitant, respectivement, de fournir les informations aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Exercice des droits personnels: Dans la mesure du possible, le sous-traitant doit aider le responsable du traitement à remplir son obligation de répondre aux demandes d’exercice des droits des personnes concernées: droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées demandent au sous-traitant d’exercer leurs droits, le sous-traitant doit adresser ces demandes dès leur réception par courrier électronique à un contact au sein du responsable du traitement dont les coordonnées figurent en annexe au contrat.

Notification des violations de données à caractère personnel : le sous-traitant informe le responsable du traitement de toute violation de données à caractère personnel dans un délai maximum de 24 heures après en avoir pris connaissance et par courrier électronique envoyé à un contact au sein du responsable du traitement dont les coordonnées figurent dans l’annexe du Contrat. Cette notification est accompagnée de toute documentation utile permettant au responsable du traitement, le cas échéant, de notifier cette violation à l’autorité de contrôle compétente.

Après accord du responsable du traitement, le sous-traitant informe l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable du traitement, des violations de données à caractère personnel dans les meilleurs délais et, si possible 72 heures au plus tard après avoir pris connaissance à moins que la violation en question ne soit susceptible de créer un risque pour les droits et libertés des individus.

La notification contient au moins :

  • Description de la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données personnelles concernés ;
  • Le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ;
  • Description des conséquences probables de la violation de données personnelles ;
  • Une description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures pour atténuer les conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées par étapes sans retard injustifié.

Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Le sous-traitant aide le responsable du traitement à réaliser :

  • Analyses d’impact relatives à la protection des données
  • Consultation préalable de l’autorité de contrôle.

Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • Les données personnelles stockées dans la base de données sont cryptées à l’aide de AES256.
  • Les données stockées sous forme d’image sur le système de fichiers sont cryptées à l’aide d’AES256.
  • Dès que les données ne sont plus nécessaires, elles sont immédiatement supprimées.
  • Les traces techniques ne contiennent pas d'informations personnelles.
  • Les données en transit sont protégées par des connexions TLS.
  • L’accès externe au service est protégé par des équipements de sécurité dont les configurations sont périodiquement auditées.
  • Les données qui sont conservées dans la base de données (pendant la durée de leur traitement ou pendant leur durée d’utilisation pour le responsable du traitement) sont conservées dans une base de données répliquée permettant de réassembler le service en cas de panne de l’un des nœuds. En cas de panne sur tous les nœuds, un plan de continuité d’activité est déclenché et utilise la dernière sauvegarde quotidienne des données chiffrées.
  • Les nœuds de traitement de données sont redondants de sorte que le service peut être fourni même en cas de panne de l’un des nœuds.
  • L’accès aux serveurs est limité au personnel identifié. Toutes leurs actions sur ces serveurs sont enregistrées dans des journaux inaltérables.
  • L’accès aux serveurs est limité au personnel identifié. Toutes leurs actions sur ces serveurs sont enregistrées dans des journaux inaltérables.
  • Un audit annuel du service vérifie le respect des procédures et des mesures de vigilance.

Remarque: les données ne sont pas anonymisées / pseudonymisées car le but du service est de valider l’identité de l’utilisateur final

Sort des données : À l’issue de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à retourner puis à détruire toutes les données personnelles au responsable du traitement.

  • Le retour doit être accompagné de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant.
  • Le sous-traitant utilisant des algorithmes d’apprentissage et de traitement automatique qu’il développe lui-même, il est autorisé par le responsable du traitement à conserver des données à des fins d’amélioration desdits algorithmes. Les données stockées sont utilisées par une équipe dédiée du sous-traitant, dont tous les membres ont signé une obligation de confidentialité spécifique. Les données stockées ne sont pas accessibles en dehors du système d’information interne du sous-traitant.

Délégué à la protection des données : le sous-traitant communique au responsable du traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.

Registre des catégories d'activités de traitement : Le sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement, y compris :

  • Le nom et les coordonnées du responsable du traitement au nom duquel ils agissent, des sous-traitants et, le cas échéant, du délégué à la protection des données ;
  • Les catégories de traitements effectués pour le compte du responsable du traitement ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou vers une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas de transferts visés à l’article 49, paragraphe 1, deuxième alinéa des données européennes règlement de protection, les documents attestant de l’existence de garanties appropriées
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris, mais sans s’y limiter, au besoin :
    • Pseudonymisation et cryptage des données personnelles; ou des moyens pour garantir le maintien de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des systèmes et services de traitement ;
    • Des moyens pour restaurer la disponibilité des données personnelles et y accéder dans des délais appropriés en cas d’incident physique ou technique; ou une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Documentation : Le sous-traitant fournit au responsable du traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et de contribuer à ces audits.

V. Obligations du responsable du traitement à l'égard du sous-traitant

Le responsable du traitement des données s'engage à :

  • Fournir au sous-traitant les données visées au II des présentes clauses
  • Documenter par écrit toutes les instructions concernant le traitement des données par le sous-traitant
  • S’assurer, au préalable et pendant toute la durée du traitement, du respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant
  • Superviser le traitement, y compris effectuer des audits et des inspections sur le sous-traitant