Accord sur le traitement des données Skillhabit

1. Contexte

1.1

Le présent accord sur le traitement des données ("DPA") est conclu à la date d'entrée en vigueur de l'accord principal (défini ci-dessous) par et entre TicTac Learn AB, Corporate Identity No. 556567-7266, Dockplatsen 1, 211 19 Malmö ("Processeur") et le Client (tel que défini dans l'accord principal) qui accepte l'accord principal ("Contrôleur").

1.2

Le contrôleur et le sous-traitant (collectivement, les "parties") ont conclu un accord concernant la fourniture par le sous-traitant d'une plateforme basée sur le cloud appelée Skillhabit (" Skillhabit ").Skillhabit") qui est utilisée par le contrôleur afin de distribuer et de suivre les connaissances de manière numérique (l'"accord principal"). Dans le cadre de l'accord principal, le sous-traitant traitera, en tant que sous-traitant de données, des données personnelles pour lesquelles le contrôleur est le contrôleur de données en vertu des lois et règlements sur la protection des données (le "traitement").

1.3

L'objectif de ce DPA est de garantir que le traitement a lieu conformément aux lois et règlements sur la protection des données, aux instructions du contrôleur et à ce qui a été convenu par ailleurs entre les parties. Le présent DPA est considéré comme faisant partie intégrante de l'Accord principal.

1.4

En cas de conflit entre les dispositions du présent DPA et celles de l'accord principal, le présent DPA prévaut.

2. Droit applicable et définitions

2.1

Les lois et règlements relatifs à la protection des données s'appliquent au traitement.

2.2

" Lois et règlements sur la protection des données " désigne l'ensemble des lois, règlements et règles applicables au traitement des données à caractère personnel, y compris, mais sans s'y limiter, le Règlement général sur la protection des données de l'UE 2016/679/CE et toute modification, tout ajout ou tout règlement remplaçant ces lois, règlements et règles.

2.3

Sauf indication contraire dans le présent DPA, les concepts utilisés dans le présent DPA ont la signification qui leur est donnée dans les lois et règlements relatifs à la protection des données.

3. Responsabilités du contrôleur

3.1

En ce qui concerne les personnes concernées, le responsable du traitement est chargé de veiller à ce que les exigences juridiques relatives au traitement soient conformes aux lois et règlements sur la protection des données.

3.2

Le responsable du traitement confirme que le traitement est conforme aux objectifs pour lesquels les données personnelles couvertes par le traitement ont été collectées.

3.3

Il incombe au responsable du traitement de veiller à ce que le sous-traitant soit informé à tout moment des instructions actuelles du responsable du traitement, telles que celles figurant à l'annexe A et d'autres instructions écrites du responsable du traitement concernant le traitement. Si le responsable du traitement donne de nouvelles instructions concernant le traitement qui s'écartent de celles résultant des services en vertu de l'accord principal, et que ces instructions exigent davantage du sous-traitant et vont au-delà de ce qui est prescrit par les lois et règlements sur la protection des données ou les conseils et déclarations de l'Autorité suédoise pour la protection de la vie privée, le sous-traitant prend en considération ces instructions, mais n'est pas tenu de les accepter. Si ces instructions supplémentaires modifient de manière significative la portée des services fournis par le sous-traitant dans le cadre de l'accord principal, la question sera traitée en premier lieu dans le cadre de l'accord principal.

3.4

Toutes les instructions du contrôleur doivent être écrites ou documentées d'une autre manière.

4. Responsabilités du sous-traitant

4.1

Le traitement est décrit plus en détail à l'annexe A. Le sous-traitant s'engage à traiter les données à caractère personnel uniquement de la manière et aux fins nécessaires pour remplir ses obligations en vertu de l'accord principal, du présent DPA ou conformément aux instructions documentées fournies par le responsable du traitement à l'annexe A et approuvées par le sous-traitant. Le sous-traitant peut également traiter des données à caractère personnel pour fournir tout service supplémentaire commandé par le responsable du traitement de temps à autre.

4.2

Dès réception d'instructions écrites concernant le traitement par le responsable du traitement, telles que celles figurant à l'annexe A, le sous-traitant prend les mesures appropriées dans un délai raisonnable pour veiller à ce que le traitement soit adapté conformément aux instructions. Pour les actions concernant le traitement qui n'ont pas été expressément spécifiées par le responsable du traitement au moment de la conclusion de l'accord principal et du présent DPA, le sous-traitant a le droit de demander une indemnisation spéciale.

4.3

Le sous-traitant s'engage à veiller à ce que toute personne physique qui effectue un travail sous sa direction et qui a accès à des données à caractère personnel soit informée du contenu de la présente DPA et ne traite les données à caractère personnel que conformément à la DPA et aux instructions documentées du responsable du traitement.

4.4

Le sous-traitant aide raisonnablement le contrôleur par des mesures techniques et organisationnelles appropriées dans la mesure où cela est nécessaire pour que le contrôleur remplisse ses obligations de répondre aux demandes d'extraits d'enregistrements ou de rectification, de blocage ou d'effacement de données à caractère personnel formulées par les personnes concernées.

4.5

Le sous-traitant informe le responsable du traitement dans un délai raisonnable à partir du moment où il a pris connaissance d'une violation de données à caractère personnel. Le sous-traitant aide, dans une mesure raisonnable, le responsable du traitement à obtenir les informations dont ce dernier a besoin pour s'acquitter de ses obligations concernant la notification de la violation de données à caractère personnel à l'autorité de contrôle compétente et, le cas échéant, fournit des informations aux personnes concernées au sujet de la violation de données à caractère personnel.

4.6

Le sous-traitant s'engage à aider le responsable du traitement à réaliser des analyses d'impact sur la protection des données et des consultations préalables, ainsi qu'à participer aux enquêtes sur les violations de données à caractère personnel avec les autorités de contrôle compétentes.

4.7

Le sous-traitant a droit à une rémunération équitable pour le travail effectué dans le cadre des engagements énoncés aux paragraphes 4.4 et 4.6.

5. Transfert de données à caractère personnel

5.1 Transfert vers des pays non membres de l'UE/EEE

5.1.1

Le sous-traitant s'engage à ne pas transférer de données à caractère personnel vers un lieu situé en dehors de l'UE/EEE sans l'accord écrit préalable du responsable du traitement.

5.1.2

Si le transfert de données à caractère personnel à des destinataires situés en dehors de l'UE/EEE est autorisé par la loi lorsqu'un accord spécial a été conclu (ou que d'autres mesures ont été prises) dans le but de maintenir un niveau de protection adéquat et que le sous-traitant peut démontrer qu'un tel accord existe (ou que de telles mesures ont été prises), le responsable du traitement n'est pas en droit de refuser ce transfert.

5.2 Transfert à des tiers

5.2.1

Le sous-traitant ne peut pas divulguer de données à caractère personnel à des tiers sans le consentement écrit préalable du responsable du traitement, à moins que la divulgation ne soit requise par la loi applicable ou une décision gouvernementale. Toutefois, le sous-traitant a toujours le droit de divulguer des données à caractère personnel à des sous-traitants conformément à la section "Embauche de sous-traitants" ci-dessous et à des parties dont les services sont distribués par le sous-traitant.

5.2.2

Si un tribunal ou une autorité ordonne au sous-traitant de divulguer des données à caractère personnel ou de prendre d'autres mesures à la suite du traitement, le sous-traitant a droit à une indemnisation raisonnable pour le travail effectué. Le sous-traitant a également droit à une rémunération équitable pour la divulgation de données à caractère personnel à d'autres personnes que le responsable du traitement et pour les mesures liées à cette divulgation.

6. Embauche de sous-traitants secondaires

6.1

Le Responsable du traitement reconnaît et accepte que le Sous-traitant fasse appel à des sous-traitants pour l'exécution du Traitement ("Sous-traitant"). Le transfert de données à caractère personnel au Sous-Traitant se fait aux risques du Sous-Traitant et n'entraîne aucune modification de la répartition des responsabilités qui s'applique entre le Sous-Traitant et le Responsable du traitement.

6.2

Le sous-traitant s'engage à informer le responsable du traitement par écrit avant d'engager un sous-traitant ultérieur. Le contrôleur a la possibilité de s'opposer au choix du sous-traitant par le sous-traitant dans un délai de cinq (5) jours à compter de la réception de l'avis du sous-traitant à cet effet. Le sous-traitant ne peut pas utiliser le sous-traitant secondaire choisi si le contrôleur a présenté des objections raisonnables. Les parties conviennent que le contrôleur peut être considéré comme ayant été informé que le sous-traitant a l'intention d'utiliser le sous-traitant secondaire énuméré à l'annexe B.

6.3

Lorsque le sous-traitant fait appel à un soustraitant pour l'exécution du traitement, le sous-traitant s'engage à signer un accord pour le traitement des données à caractère personnel avec le soustraitant, en vertu duquel le soustraitant est soumis aux mêmes obligations qu'en vertu du présent accord.

7. Mesures de sécurité techniques et organisationnelles

7.1

Le sous-traitant prend les mesures techniques et organisationnelles requises par les lois et règlements sur la protection des données pour assurer un niveau de sécurité approprié au risque, en particulier en ce qui concerne les risques liés à l'accès non autorisé, à la destruction et à l'altération des données à caractère personnel couvertes par le traitement. Le sous-traitant décide de la manière dont ces mesures doivent être mises en œuvre pour atteindre le niveau de protection requis.

7.2

Si le contrôleur estime qu'une nouvelle mesure de sécurité est nécessaire ou que les mesures de sécurité existantes doivent être adaptées pour satisfaire aux exigences légales relatives au niveau de sécurité approprié ou pour se conformer aux décisions gouvernementales, les parties discutent de la mise en œuvre de cette mesure ou de la modification de la mesure de sécurité existante. Les mesures de sécurité étendues ou supplémentaires nécessitent un accord écrit entre les parties. Dans ce cas, le sous-traitant a droit à une compensation spéciale pour les mesures de sécurité prises.

8. La confidentialité

8.1

Le sous-traitant s'engage à ne pas divulguer à des tiers les informations qu'il reçoit du responsable du traitement en tant que responsable du traitement des données ou les informations qu'il traite par ailleurs en tant que responsable du traitement des données pour le responsable du traitement. Le sous-traitant s'engage à s'assurer que les personnes travaillant sous sa direction se sont engagées à respecter la confidentialité conformément à la présente section intitulée "Confidentialité". Toutefois, les engagements de confidentialité ne s'appliquent pas aux informations qui :

i) est connue du public ou est portée à la connaissance du public autrement que par des violations du présent DPA ;

ii) les informations dont le sous-traitant peut démontrer qu'elles étaient en sa possession avant que le sous-traitant ne reçoive les informations du responsable du traitement dans le cadre de la présente DPA ;

iii) les informations que le sous-traitant reçoit à juste titre de la part de tiers en dehors de cette relation contractuelle, sans limitation ; ou

iv) les informations que la partie est légalement tenue de fournir en vertu d'une législation contraignante, d'une décision de justice ou d'une décision d'une autre autorité.

9. Les audits

9.1

Le contrôleur a le droit d'effectuer, avec un préavis de trente (30) jours et à ses frais, lui-même ou par l'intermédiaire d'un tiers autorisé (le "vérificateur"), des audits (y compris des inspections) pour vérifier que le sous-traitant se conforme au présent DPA.

9.2

Lors de la désignation de l'auditeur, le responsable du traitement prend en compte les aspects de concurrence liés aux relations commerciales entre le sous-traitant et l'auditeur envisagé. À cet égard, l'auditeur doit être approuvé par le transformateur. Toutefois, le transformateur ne peut pas refuser cette approbation de manière déraisonnable.

9.3

Le sous-traitant s'engage à fournir au contrôleur ou au vérificateur l'accès à la documentation nécessaire pour démontrer que le sous-traitant a rempli ses obligations en vertu du RGPD et à aider de toute autre manière le contrôleur ou le vérificateur à effectuer l'audit et l'inspection. Les audits et les inspections peuvent être effectués pendant les heures de bureau, les jours ouvrables entre 9 heures et 17 heures.

9.4

Le Processeur peut donner au Vérificateur un accès limité aux locaux du Processeur où le Traitement est effectué. Lors d'une telle inspection des lieux, l'auditeur doit se conformer aux règles de travail raisonnables du sous-traitant, aux exigences de sécurité et aux autres réglementations applicables sur le lieu de travail et ne doit pas interférer avec les activités quotidiennes du sous-traitant. L'auditeur n'a pas accès aux informations confidentielles relatives aux autres clients du sous-traitant ou à d'autres données à caractère personnel qui ne sont pas traitées dans le cadre du présent DPA.

10. Dommages et responsabilité à l'égard des tiers

10.1

La première partie s'engage à indemniser l'autre partie au cas où celle-ci subirait un préjudice du fait du traitement de données à caractère personnel par la première partie en violation des lois et règlements relatifs à la protection des données ou du présent DPA. Ces dommages peuvent inclure, sans s'y limiter, l'obligation de verser des dommages-intérêts à une personne concernée ou de payer des amendes administratives décidées par l'autorité de contrôle compétente.

10.2

Une partie n'est pas tenue de verser une compensation pour des dommages indirects tels que le manque à gagner au titre du présent DPA.

11. Période et mesures en cas de résiliation de l'accord

11.1

Le DPA s'applique à partir du moment où les deux parties le signent et aussi longtemps que le sous-traitant traite des données à caractère personnel pour le compte du contrôleur. Les dispositions relatives à la résiliation figurent dans l'accord principal.

11.2

Sauf si le responsable du traitement donne expressément instruction au sous-traitant de restituer les données à caractère personnel, le sous-traitant s'engage à supprimer toutes les données à caractère personnel couvertes par le traitement des systèmes utilisés dans le cadre du traitement au moment de la résiliation du présent DPA, sauf si cette procédure est incompatible avec le droit national ou européen applicable. La demande de restitution des données à caractère personnel doit être formulée par écrit et soumise au sous-traitant au plus tard dans le cadre de la résiliation de l'accord principal.

11.3

Si l'accord principal est résilié et qu'un nouvel accord de ce type, qui prévoit également le traitement de données à caractère personnel, est conclu sans qu'un accord sur le traitement des données ne soit conclu, le présent DPA s'applique également au traitement des données à caractère personnel effectué dans le cadre des services fournis au titre du nouvel accord.

12. Choix de la loi et règlement des litiges

12.1

Le présent DPA est régi et élaboré conformément au droit substantiel de la Suède.

12.2

Les litiges relatifs à ce DPA seront définitivement réglés par un tribunal général, le tribunal de district de Malmö étant la première instance.