Le présent document a pour objet de définir les conditions dans lesquelles FUTURLOG (ci-après le Prestataire) effectue le traitement pour le compte de ses clients (ci-après le « Client »), les données à caractère personnel nécessaires à l’exécution de ses prestations de services logistiques et informatiques, pour les seuls besoins des opérations décrites dans le Contrat et dans l’éventuelle annexe « Description des traitements ».

Dans le cadre de l’exécution du Contrat, le Prestataire agit en qualité de sous-traitant au sens de la réglementation applicable en matière de protection des données personnelles, comprenant notamment le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi française n°78-17 modifiée (ci-après ensemble la « Règlementation »). Le Client conserve la qualité de responsable de traitement pour les opérations de traitement réalisées dans le cadre du Contrat.

Le Prestataire reconnaît avoir pris connaissance des exigences de la Règlementation et déclare mettre en œuvre une organisation, des procédures et des mesures techniques et organisationnelles compatibles avec ces exigences. Ces engagements constituent une condition déterminante du consentement du Client au Contrat.

Les caractéristiques détaillées des traitements confiés au Prestataire (finalités, catégories de données, catégories de personnes concernées, durée de conservation, etc.) sont précisées, le cas échéant, dans une annexe « Description des traitements ».

OBLIGATIONS DU PRESTATAIRE

1. Dispositions générales

En sa qualité de sous-traitant au sens de la Règlementation, le Prestataire s’engage à :

• Ne traiter les données à caractère personnel que sur instruction écrite, documentée et licite du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou à une organisation internationale, sauf s’il y est tenu par le droit de l’Union ou le droit d’un État membre auquel il est soumis. Dans ce cas, il informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
• Informer sans délai le Client si, selon lui, une instruction constitue une violation de la Règlementation.
• Garantir la confidentialité des données à caractère personnel traitées dans le cadre du Contrat.
• Veiller à ce que les personnes physiques autorisées à traiter les données personnelles pour son compte (salariés, intérimaires, prestataires) soient soumis à une obligation de confidentialité (contractuelle ou légale) et aient reçu une sensibilisation / formation appropriée à la protection des données personnelles.
• Prendre en compte, pour ses outils, produits, applications et services, les principes de protection des données dès la conception et de protection des données par défaut.

Le Prestataire désigne un correspondant RGPD / point de contact dédié à la protection des données, joignable à l’adresse suivante : Luc de Murard, luc.de.murard@futurlog.com

2. Mesures de sécurité

Le Prestataire s’engage à mettre en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques, conformément à l’article 32 du RGPD.

À ce titre, le Prestataire met notamment en œuvre, de façon adaptée à ses services logistiques et informatiques :

• Hébergement en France / UE
  • Les données personnelles sont hébergées sur des serveurs situés en France, au sein de l’Union européenne.
• Contrôle des accès et traçabilité
  • Gestion des habilitations par profil, limitation des accès aux seules personnes ayant besoin d’y accéder pour l’exécution de leurs fonctions.
  • Mécanismes d’authentification (identifiant/mot de passe robuste, et le cas échéant authentification renforcée).
  • Journalisation des accès aux systèmes traitant des données personnelles et revue régulière des habilitations.
• Intégrité et disponibilité
  • Mise en place de mesures visant à garantir l’intégrité des données (garanties de non-altération, contrôles de cohérence).
  • Sauvegardes régulières des bases de données et procédures de restauration permettant de rétablir la disponibilité et l’accès aux données dans des délais appropriés en cas d’incident physique ou technique.
• Sécurité des infrastructures
  • Utilisation de dispositifs de sécurité réseau appropriés (pare-feu, segmentation, filtrage des flux, etc.) et, le cas échéant, chiffrement des flux entre les différentes composantes de l’infrastructure.
• Anonymisation / minimisation
  • La plateforme exploitée par le Prestataire intègre une fonctionnalité d’anonymisation des adresses de livraison, permettant de limiter la conservation des données identifiantes au strict nécessaire pour la gestion opérationnelle des commandes, des expéditions et des retours, sur instruction du Client et/ou conformément aux paramétrages définis par ce dernier.

Le Prestataire s’engage plus généralement à :

• Fournir, documenter et maintenir des solutions logicielles, techniques et organisationnelles permettant de garantir la confidentialité, l’intégrité, la disponibilité, la résilience et la minimisation des données personnelles.
• Tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles mises en place pour assurer la sécurité du traitement.

3. Aide au Client – analyses d’impact et consultation

Le Prestataire assiste le Client, dans la mesure du raisonnable et compte tenu de la nature du traitement et des informations à sa disposition :

• Pour la réalisation, si nécessaire, d’analyses d’impact relatives à la protection des données (AIPD) liées aux traitements mis en œuvre dans le cadre du Contrat.
• Pour la consultation préalable de l’autorité de contrôle, si une telle consultation s’avère nécessaire.

4. Notification des violations de données personnelles

Le Prestataire s’engage à informer le Client dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles susceptible d’affecter les données traitées pour le compte du Client, et au plus tard dans un délai compatible avec celui imposé au Client par la Règlementation.

Cette notification précise, dans la mesure des informations dont dispose le Prestataire :

• La nature de la violation de données,
• Les catégories et le nombre approximatif de personnes concernées,
• Les catégories et le nombre approximatif d’enregistrements de données concernés,
• Les conséquences probables de la violation,
• Les mesures prises ou que le Prestataire propose de prendre pour remédier à la violation, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

La notification se fera auprès du contact désigné par le Client à cet effet dans le Contrat ou, à défaut, auprès du contact habituel du Client, par tout moyen permettant d’en conserver la preuve (notamment courrier électronique).

Le Prestataire tient à la disposition du Client la documentation nécessaire pour lui permettre, le cas échéant, de satisfaire à ses propres obligations de notification auprès de l’autorité de contrôle et, si nécessaire, des personnes concernées.

5. Sous-traitants ultérieurs

Le Prestataire s’engage à ne pas recruter un autre sous-traitant (un « sous-traitant ultérieur ») pour effectuer des activités de traitement pour le compte du Client sans l’autorisation écrite préalable du Client, spécifique ou générale.

En cas d’autorisation générale, le Prestataire informe le Client de tout projet d’ajout ou de remplacement de sous-traitants ultérieurs, afin que le Client puisse émettre des objections motivées.

Le Prestataire s’engage à ce que tout sous-traitant ultérieur soit tenu, par contrat écrit, de respecter des obligations au moins équivalentes à celles prévues par la présente clause. Le Prestataire demeure en tout état de cause pleinement responsable vis-à-vis du Client de l’exécution par les sous-traitants ultérieurs de leurs obligations, et répond de tout manquement pouvant entraîner un préjudice ou un dommage pour le Client.

Le Prestataire met à la disposition du Client, sur demande, la liste à jour de ses sous-traitants ultérieurs impliqués dans l’exécution du Contrat (notamment hébergeur, outil de messagerie transactionnelle, etc.).

6. Transferts de données

Le Prestataire s’engage à traiter, que ce soit directement ou par l’intermédiaire de ses sous-traitants ultérieurs autorisés, les données personnelles uniquement au sein de l’Union européenne / EEE.

Les données personnelles ne pourront être transférées vers un pays situé en dehors de l’Espace économique européen ou vers une organisation internationale qu’avec l’accord préalable écrit du Client et sous réserve de la mise en place de garanties appropriées au sens des articles 44 et suivants du RGPD (telles que, notamment, des clauses contractuelles types adoptées par la Commission européenne).

En toute hypothèse, le Prestataire se porte fort du respect de ces garanties par les tiers avec lesquels il contracte.

7. Exercice des droits des personnes concernées

Le Prestataire met en place et maintient une procédure interne permettant de prendre en compte, dans des délais raisonnables, les demandes des personnes concernées visant à exercer leurs droits (accès, rectification, effacement, opposition, limitation, portabilité, etc.), lorsque ces demandes lui sont adressées directement mais concernent un traitement dont le Client est responsable.

Lorsque les personnes concernées exercent directement auprès du Prestataire une demande relative à leurs droits, le Prestataire :

• Ne répond pas sur le fond, sauf instruction écrite contraire du Client,
• Transmet sans délai excessif la demande au Client, à l’adresse de contact désignée par celui-ci dans le Contrat ou communiquée ultérieurement,
• Fournit, si nécessaire, une assistance raisonnable au Client pour lui permettre de répondre à la demande dans les délais impartis par la Règlementation.

8. Sort des données personnelles à l’issue du Contrat

Au terme de l’exécution du Contrat et des prestations impliquant des traitements de données personnelles, le Prestataire s’engage, au choix du Client, à :

• Supprimer les données personnelles des systèmes actifs du Prestataire, ou
• Renvoyer au Client ou au sous-traitant désigné par le Client l’intégralité des données personnelles (dans un format structuré, couramment utilisé et lisible par machine lorsque cela est applicable), puis les supprimer de ses systèmes actifs.

Sauf disposition légale ou réglementaire imposant une conservation plus longue, le Prestataire s’engage à ne conserver, le cas échéant, que les archives nécessaires à la preuve de la bonne exécution de ses obligations contractuelles, pendant la durée de prescription applicable, en accès restreint et avec un niveau de sécurité adapté.

Le Prestataire attestera, sur demande du Client, de la destruction effective des données personnelles restantes dans ses systèmes, hors obligations légales de conservation.

OBLIGATIONS DU CLIENT

En sa qualité de responsable de traitement, le Client s’engage à :

• Fournir au Prestataire des données personnelles licites, collectées et traitées conformément à la Règlementation (notamment existence d’un fondement juridique approprié).
• Documenter par écrit toute instruction relative au traitement des données personnelles par le Prestataire et s’assurer que ces instructions sont conformes à la Règlementation.
• Informer les personnes concernées, lors de la collecte de leurs données, des traitements mis en œuvre et des droits dont elles disposent, y compris du fait que certaines de leurs données sont susceptibles d’être confiées à un prestataire logistique agissant comme sous-traitant.
• Tenir, le cas échéant, un registre des activités de traitement incluant les traitements confiés au Prestataire.
• Réaliser, lorsque nécessaire, les analyses d’impact relatives à la protection des données et, le cas échéant, la consultation préalable de l’autorité de contrôle.
• Superviser les traitements réalisés pour son compte, y compris, le cas échéant, en procédant à des audits ou inspections raisonnables auprès du Prestataire, selon des modalités à convenir entre les Parties (fréquence, périmètre, durée, confidentialité, etc.).