CONDITION GENERALES DE VENTE, ANNEXE 2

Le présent accord sur le traitement des données personnelles (ci-après l’« Accord ») s’applique entre DataGalaxy et le Client (ci-après les « Parties »), chacun agissant pour et au nom de ses affiliés.

Les Parties souhaitent définir les conditions dans lesquelles DataGalaxy s’engage à effectuer pour le compte du Client les opérations de traitement de données à caractère personnel résultant du Contrat (tel que défini ci-dessous) et les responsabilités respectives des Parties en la matière.

Aux fins des présentes, les termes et expressions identifiés par une majuscule ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel :

• « Contrat » : désigne le contrat de licence et/ou de services conclu entre le Client et DataGalaxy, incluant des opérations de traitement de données à caractère personnel concernés par le présent Accord.
• « DCP » : désigne les données à caractère personnel qui identifient directement ou indirectement une personne physique.
• « Législation Applicable » : désigne la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le « RGPD ») ainsi que toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, que les Parties s’engagent à respecter.
• « Solution » : désigne la solution logicielle de gouvernance collaborative des données du système d’information d’une entreprise en mode SaaS (Software as a Service) éditée, développée et commercialisée par la société DataGalaxy.
• « Sous-traitant Ultérieur » : DataGalaxy peut elle-même faire appel à un autre sous-traitant afin de mener des activités de traitement spécifiques des DCP pour le compte de DataGalaxy dans le cadre du Contrat.
• « Utilisateur » : désigne toute personne physique faisant partie du personnel du Client et autorisée par ce dernier à utiliser la Solution dans les conditions du Contrat, exclusivement à des fins professionnelles, quel que soit le lieu où elle se trouve et les modalités de sa connexion.

a. Périmètres des traitements

Dans le cadre du Contrat, DataGalaxy est autorisée à traiter, pour le compte du Client, les DCP nécessaires à la mise en place d’un data catalogue, et plus particulièrement nécessaires aux traitements suivants :

• Gestion du service client ;
• Gestion de la sécurité et confidentialité de la plateforme DataGalaxy ;
• Gestion de la maintenance de la plateforme DataGalaxy.

b. Nature des traitements

Le traitement a pour objet la mise en œuvre par DataGalaxy d’opérations de collecte, enregistrement, conservation, utilisation, consultation, rapprochement, effacement, destruction pour le compte du Client, dans le cadre du Contrat et lorsque cela est nécessaire à l’exécution des Services le cas échéant.

c. Finalités des traitements

En tant que sous-traitant, DataGalaxy sera amenée à effectuer un traitement de DCP pour réaliser les opérations suivantes :

• Gestion du service client :
  • Support sur l’application DataGalaxy
  • Réponse aux demandes mails
  • Gestion des tickets d’incidents
  • Résolution des tickets d’incidents (accès au compte en ligne des Utilisateurs)
• Gestion de la sécurité et confidentialité de la plateforme DataGalaxy :
  • Identification des Utilisateurs
  • Gestion des habilitations :
    • Ajout des Utilisateurs sur la plateforme DataGalaxy
    • Suppression des comptes des Utilisateurs de la plateforme DataGalaxy
• Maintenance et évolution de l’application DataGalaxy :
  • Amélioration de l’ergonomie de la plateforme
  • Résolution des incidents sur la plateforme DataGalaxy.

d. Types de DCP

Les DCP traitées sont :

• Les données d’identité : nom, prénom.
• Les données de la vie professionnelle : adresse électronique, situation professionnelle (métier et équipe).
• Les données de connexion : logs (informations d’horodatage, d’accès (IP, navigateur), données de navigation de l’Utilisateur sur la plateforme DataGalaxy.

e. Catégorie de personnes concernées

Les catégories de personnes concernées par ces traitements sont les collaborateurs du Client, et ses éventuels prestataires de services.

f. Durée du traitement

Les DCP sont traitées pendant toute la durée du Contrat, puis pour une durée d’un (1) an suivant sa date de fin.

a. Obligations de DataGalaxy

DataGalaxy s’engage, le cas échéant, à :

• Traiter les DCP uniquement pour la ou les seule(s) finalités spécifiées dans le présent Accord et/ou au Contrat.
• Traiter les DCP conformément aux instructions documentées du Client ainsi que toute instruction ultérieure communiquée par ce dernier.
• Si DataGalaxy est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale en vertu de la Législation Applicable, il doit informer le Client de cette obligation juridique avant le traitement, sauf si cette réglementation interdit une telle information pour des motifs impérieux d’ordre public.
• Informer sans délai le Client si DataGalaxy considère qu’une instruction constitue une violation de la Législation Applicable.
• Garantir la confidentialité des DCP traitées dans le cadre du Contrat, et notamment prendre toute mesure pour empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, tout au long de la durée du Contrat.
• Veiller à ce que les personnes autorisées à traiter les DCP en vertu du Contrat :
  • S’engagent à en respecter la confidentialité et/ou soient soumises à une obligation légale appropriée de confidentialité.
  • Reçoivent la formation nécessaire en matière de protection des DCP.
• Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des DCP dès la conception et de protection des données par défaut.

b. Obligations du Client

Le Client s’engage à :

• Fournir à DataGalaxy les DCP nécessaires à la réalisation des Services.
• Documenter par écrit toute instruction concernant le traitement des DCP effectué par DataGalaxy.
• Veiller, au préalable et pendant toute la durée du Contrat, au respect des obligations prévues par la Législation Applicable.
• Superviser le traitement, y compris réaliser les audits et les inspections auprès de DataGalaxy.

En qualité de responsable de traitement, il garantit être en pleine conformité avec les dispositions applicables aux traitements objets des présentes.

a. Recours à un Sous-traitant Ultérieur

Lorsque DataGalaxy a recours à des Sous-traitants Ultérieurs, elle en informe préalablement et par écrit le Client. 

La liste des Sous-traitants Ultérieurs agréés par le Client, au jour de la conclusion des présentes, figure ci-dessous : 

Nom des Sous-traitants Ultérieurs	Catégories d’activités sous-traitées	Lieu de traitement des DCP
En fonction de l’offre du Client : Microsoft Azure ; ou Amazon AWS ; ou Google Cloud Platform ; ou OVH.	Hébergement de la solution	France
Docusign	Gestion de la signature électronique certifiée
Freshdesk	Gestion du des tickets de support
Hubspot	Gestion du CRM

DataGalaxy s’engage à communiquer, sur simple demande du Client, la liste à jour de l’ensemble de ses Sous-traitants Ultérieurs.

Par ailleurs, DataGalaxy s’engage à informer le Client de tout changement envisagé quant à l’ajout ou le remplacement d’un Sous-traitant Ultérieur, et ne pourra mettre en œuvre la sous-traitance sans son accord préalable.

Ladite notification écrite devra obligatoirement indiquer les éléments les activités de traitement des DCP sous-traitées, ainsi que l’identité et les coordonnées du Sous-traitant Ultérieur.

Le Client dispose d’un délai minimum de huit (8) jours à compter de la date de réception de cette information pour présenter ses éventuelles objections au changement envisagé. En l’absence d’objections formulées par le Client dans ce délai, cette sous-traitance est présumée acceptée.

b. Garanties présentées par le Sous-traitant Ultérieur

En cas de sous-traitance dûment autorisée par le Client, DataGalaxy garantit le Client que tout Sous-traitant Ultérieur amené à traiter de quelque manière que ce soit tout ou partie des DCP :

Est contractuellement tenu au respect des mêmes conditions définies que celles de DataGalaxy fixées dans cette Annexe et DataGalaxy se porte fort du respect de ces obligations par son Sous-traitant Ultérieur ;
Présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement sous-traité réponde aux exigences de la Législation Applicable.
Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des données, DataGalaxy demeure pleinement responsable devant le Client de l’exécution de ces obligations.

a. Information des personnes concernées

Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des DCP.

b. Exercice des droits des personnes concernées

DataGalaxy aide le Client, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées, prévus au Chapitre III du Règlement Général sur la Protection des Données : droit d’accès, de rectification, d’effacement, d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès de DataGalaxy des demandes d’exercice de leurs droits, DataGalaxy doit adresser ces demandes dès réception par courrier électronique à l’adresse communiquée par le Client.

DataGalaxy notifie au Client, par courrier électronique à l’adresse communiqué par le Client, toute violation de DCP dans les meilleurs délais et, si possible, soixante-douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

DataGalaxy aide le Client pour la réalisation d’analyses d’impact relative à la protection des DCP, ainsi que pour la réalisation de la consultation préalable de l’autorité de contrôle.

Il est expressément entendu que toute intervention de DataGalaxy dans le cadre du présent Accord, et notamment l’assistance à la réalisation d’analyses d’impact, à la réalisation de la consultation préalable de l’autorité de contrôle ou dans le cadre de l’exercice des droits des personnes concernées, sera facturée au Client conformément à son tarif en vigueur.

DataGalaxy s’engage à mettre en œuvre les mesures techniques et organisationnelles les plus appropriées, permettant d’assurer, eu égard au traitement sous-traité, la sécurité des DCP.

DataGalaxy garantit que le niveau de sécurité des DCP est adapté au risque de destruction, de perte, d’altération, de divulgation non autorisée ou d’accès accidentel ou illégal, ces mesures devant inclure, sans s’y limiter, les mesures énoncées dans la Législation Applicable.

A ce titre, DataGalaxy s’engage notamment à mettre en œuvre les mesures de sécurité suivantes, également décrites dans le Contrat :

• La mise en œuvre d’un contrôle d’accès et d’une gestion des habilitations relatives aux logiciels métiers ;
• La pseudonymisation, chiffrement et cryptage des DCP, étant précisé que l’utilisation du cryptage par DataGalaxy est strictement conforme à toutes les lois, règles et réglementations applicables en matière d’exportation.
• L’absence de conservation de documents papiers dans les locaux contenant les DCP du Client ;
• Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Les moyens permettant de rétablir la disponibilité des DCP et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; et,
• Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Par ailleurs, DataGalaxy minimisera le champ d’action du ou des employés chargés du traitement direct des DCP reçues, ou acquises, dans le cadre des services prévus dans le Contrat et du ou des employés qui peuvent être amenés à accéder et à traiter les DCP du Client nécessaires à l’exécution des services prévus dans le Contrat ainsi que le champ d’action de l’accès et du traitement des DCP du Client.

Il est entendu entre les Parties que dans l’hypothèse où l’évolution des exigences légales, réglementaires et/ ou des autorités de contrôles en matière de mesures techniques et organisationnelles rendaient plus onéreuses les obligations de DataGalaxy, les Parties s’engagent à se rencontrer afin de trouver une solution amiable s’agissant des adaptations à apporter au Contrat ensuite de ces évolutions. Si dans un délai de soixante (60) jours à compter de la notification par DataGalaxy de cette évolution, les Parties n’ont pu convenir des adaptations à apporter au Contrat ensuite du changement précité, la Partie la plus diligente pourra rompre le Contrat moyennant le respect d’un préavis de soixante (60) jours.

Au terme du Contrat, pour quelque cause que ce soit, DataGalaxy s’engage à, au choix du Client :

• Détruire toutes les DCP ; ou,
• Renvoyer toutes les DCP au Client ; ou,
• Renvoyer les DCP au sous-traitant désigné par le Client.

Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de DataGalaxy, sauf si la Législation Applicable empêche DataGalaxy de retourner ou de détruire tout ou une partie des DCP. Le cas échéant, DataGalaxy garantit la confidentialité des DCP conservées et ne traitera plus activement lesdites DCP. Une fois détruites, DataGalaxy doit justifier par écrit de la destruction.

DataGalaxy a nommé un délégué à la protection des données conformément à la Législation Applicable. Ses coordonnées sont les suivantes :

• Adresse électronique : dpo@datagalaxy.com
• Adresse postale : DataGalaxy – Data Protection Officer, 47 rue Vivienne 75002 Paris

DataGalaxy déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :

• Le nom et les coordonnées du Client pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
• Les catégories de traitements effectués pour le compte du Client ;
• Le cas échéant, les transferts de DCP vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées.

DataGalaxy ne transfère actuellement aucune DCP en dehors de l’Union Européenne. Dans le cas où elle devrait être amenée à le faire, un tel cas interviendra seulement à travers ses Sous-traitants Ultérieurs cités à l’article 4 des présentes, les DCP objet des présentes en dehors de l’Union européenne. Dans un tel cas, DataGalaxy s’engage à obtenir le consentement préalable exprès et écrit du Client.

DataGalaxy étant soumise au RGPD, si elle envisage d’engager tout Sous-traitant Ultérieur pour des activités qui impliquent un transfert DCP du Client vers tout pays en dehors de l’Union européenne, alors il devra examiner l’adéquation de la protection des DCP dans le pays de destination avant ce transfert, utiliser un moyen de transfert valide en vertu du RGPD et ne transférer que si une protection essentiellement équivalente à celle garantie dans sa juridiction d’origine peut être assurée.

Lorsqu’un tel transfert est envisagé, DataGalaxy s’engage à s’assurer que ce dernier est couvert par :

• Les clauses contractuelles types émises par la Commission européenne ou une Autorité de Contrôle conformément à l’article 46 du règlement européen sur la protection des données ; et/ou
• Des éventuelles règles d’entreprise contraignantes approuvées par une Autorité de Contrôle compétente en vertu de l’article 47 du règlement européen sur la protection des données ; et/ou
• Un code de conduite approuvé conformément à l’article 46 du règlement européen sur la protection des données ; et/ou
• Un mécanisme de certification approuvé conformément à l’article 46 du règlement européen sur la protection des données ; et/ou
• Une décision d’adéquation de la Commission européenne conformément à l’article 45 du règlement européen sur la protection des données.

En tout état de cause, DataGalaxy informera le Client dans un délai raisonnable de tout transfert envisagé, et lui fournira dans le même temps toutes les informations pertinentes permettant au Client de se conformer à ses obligations en cas de transfert de DCP.

DataGalaxy mettra à la disposition du Client, à sa demande, la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Le Client devra informer DataGalaxy de sa volonté de réaliser d’un tel audit, à ses frais, par lettre recommandée ou courrier électronique avec accusé de réception, au minimum trente (30) jours avant les opérations de contrôle.

En tout état de cause, un tel audit ne pourra être effectué que par un tiers auditeur indépendant choisi d’un commun accord entre les Parties et soumis à une obligation de confidentialité.

L’audit ne pourra, en aucun cas, perturber l’activité normale de DataGalaxy. A ce titre, il ne pourra se dérouler qu’aux heures d’ouverture des locaux de DataGalaxy.

Dans le cas où l’audit révèlerait des non-conformités, DataGalaxy s’engage à mettre en œuvre toute mesure corrective dans un délai de trois (3) mois.

Dans leurs relations, chaque Partie est seule responsable du dommage causé par tout manquement aux obligations qui lui incombent en vertu du présent Accord et de la Législation Applicable.

En conséquence, chaque Partie garantit l’autre contre toute conséquence dommageable résultant du manquement à ses obligations.