Considérant que
● Le Responsable du traitement fournit une solution technologique logicielle basée sur des
applications web et mobiles offrant une large gamme de fonctionnalités notamment en
matière de suivi, nutrition, coaching, réservations, gestion des abonnements et de la
facturation ci-après dénommé le « Service ». Le Responsable du traitement est chargé i) de
traiter les données, ii) de stocker les données et iii) d’analyser les données ;
● Le Contrôleur peut fournir des solutions additionnelles pour certaines ou toutes les activités
liées au suivi, nutrition, coaching, réservations, abonnements, facturation et aux autres
informations pouvant être combinées avec le Service du Responsable du traitement dans
l’intérêt du Contrôleur ;
● Le Responsable du traitement et le Contrôleur ont préalablement conclu un accord de licence
concernant le Service, dont le présent Accord de traitement des données fait partie ;
● Pour les fins du traitement des données à caractère personnel, le Responsable du traitement
est considéré comme un responsable du traitement au sens des dispositions de l’article 4 (8)
du Règlement général sur la protection des données de l’Union européenne (RGPD) et le
Contrôleur est considéré comme un contrôleur au sens des dispositions de l’article 4 (7) du
RGPD ;
● Les Parties – partiellement en application des dispositions de l’article 28 (3) du RGPD –
souhaitent documenter un certain nombre de conditions énoncées dans le présent Accord sur
le traitement des données applicables à leur relation dans le contexte des rôles
susmentionnés dans l’intérêt du Contrôleur.
1. Définitions
1.1 Dans le présent Accord sur le traitement des données, les termes suivants ont la signification
qui leur est donnée ci-dessous et les termes voisins s’entendent dans le même sens :
1.1.1 « Information protégée » ou « Information confidentielle » : signifie toute les informations
de nature confidentielle, exclusive ou secrète qui sont ou pourraient être applicable ou liée
d’une quelconque façon à : (i) les activités commerciales, actuelles et futures, du Traiteur ; ou
(ii) la recherche et le développement ou les enquêtes relatives aux informations
confidentielles du Processeur comprennent notamment et sans limitation, l’identité d’un client,
d’un fournisseur ou de tout client du Traiteur, les secrets de commerce, les processus,
formules, données sur les utilisateurs, savoir-faire, améliorations, inventions, brevets, droits
d’auteur, techniques, plans de marketing, politiques, procédures, listes de prix, logiciels
techniques, y compris les codes source et codes objet, les systèmes d’exploitation, les
logiciels pont, les microprogrammes, les logiciels médiateurs et les utilitaires ainsi que les
stratégies, les informations sur les coûts, les profits et les marges, les projections financières
et les plans et modèles d’affaires actuels et futurs.
1.1.2 « Le Service » : le Responsable du traitement a développé une solution technologique
flexible en marque blanche pour les plateformes en ligne offrant des services de wellness et
des apps de téléphonie mobile, dotés de nombreuses fonctionnalités dans les domaines du
suivi, de la nutrition, de la vitalité d’esprit, du coaching, des réservations, de la gestion des
abonnements et de la facturation.
1.1.3 « Annexe » s’entend de toute annexe au présent Accord sur le traitement des données et qui
fait partie intégrante dudit Accord ;
1.1.4 « Accord » signifie l’accord de licence préalablement conclu entre les Parties ;
1.1.5 « Données à caractère personnel » s’entend de toutes les informations se rapportant à une
personne physique identifiée ou indentifiable telles que définies à l’article 4 (2) du RGPD ;
1.1.6 « Traiter » signifie, ainsi que les conjugaisons de ce verbe : le traitement des données à
caractère personnel telles que définies à l’article 4 (2) du RGPD ;
1.1.7 « Accord sur le traitement des données » s’entend du présent Accord ;
1.1.8 « Sous-traitant » signifie le sous-traitant embauché par le Responsable du traitement qui
traite les données à caractère personnel dans le contexte du présent Accord sur le traitement
des données pour le compte du Contrôleur, tel que défini à l’article 28 (4) du RGPD.
1.2 Les dispositions de l’Accord s’appliquent entièrement au présent Accord sur le traitement des
données. En cas de contradiction entre les dispositions concernant le traitement de données à
caractère personnel énoncées dans l’Accord et les dispositions du présent Accord sur le traitement
des données, les dispositions du présent Accord sur le traitement des données prévaleront.
2. Finalité du traitement des données à caractère personnel
2.1 Les Parties souhaitent conclure le présent Accord sur le traitement des données pour
préciser les termes suivant lesquels les Données à caractère personnel sont traitées dans le cadre de
l’Accord. Un aperçu des types de Données à caractère personnel, les catégories de personnes
concernées et les finalités du traitement figure à l’Annexe 1.
2.2 Le Responsable du traitement des données s’engage à traiter les données à caractère
personnel uniquement pour les fins des activités décrites dans le présent Accord sur le traitement des
données. Le Responsable du traitement des données garantit qu’il n’utilisera pas les Données à
caractère personnel traitées dans le contexte du présent Accord sur le traitement des données pour
ses propres fins, ou celles de tiers, sans le consentement écrit explicite du Contrôleur, sauf si i) la
finalité est énoncée de manière explicitement différente dans le présent Accord sur le traitement des
données ou dans des accords préalablement signés, ou ii) qu’une obligation légale impose cela au
Responsable du traitement des données. Dans un tel cas, le Responsable du traitement des données
doit immédiatement aviser le Contrôleur de cette exigence légale avant le traitement, à moins que
ladite loi n’interdise que le Contrôleur soit ainsi notifié.
3. Dispositions à caractère technique et organisationnel
3.1 Le Responsable du traitement assistera le Contrôleur, en tenant compte de la nature du
Traitement dans la mesure du possible, afin de lui permettre de respecter les obligations lui
incombant en vertu du RGPD et pour la prise de mesures techniques et organisationnelles dont le
niveau de sécurité est adapté au risque. Ces mesures seront conçues de manière à établir un niveau
de sécurité approprié, compte tenu des meilleures pratiques et des coûts de la mise en œuvre, au
regard des risques inhérents au Traitement des données à caractère personnel et à la nature des
données nécessitant une protection. Le Responsable du traitement des données prendra tous les
moyens commerciaux adéquats pour protéger les Données à caractère personnel contre la
destruction accidentelle ou illicite, la perte accidentelle ou volontaire, la contrefaçon, la distribution ou
l’accès non autorisé ou toute autre forme de traitement illicite.
3.2 Le Responsable du traitement fournira un document décrivant les mesures techniques et
organisationnelles adéquates devant être prises par lui. Ce document sera joint au présent Accord sur
le traitement des données sous forme d’Annexe.
4. Confidentialité
4.1 Le Responsable du traitement exigera des employés impliqués dans l’exécution du présent
Accord sur le traitement des données qu’ils signent une déclaration de confidentialité et qui en tous
les cas devra mentionner que lesdits employés sont tenus de maintenir la stricte confidentialité des
Données à caractère personnel.
5. Traitement des données personnelles en dehors de l’Europe
5.1 Le Responsable du traitement est autorisé à transférer les Données à caractère personnel en
dehors de l’Espace économique européen si cela est fait de manière à respecter les obligations
légales applicables.
6. Sous-traitants
6.1 Le Responsable du traitement est autorisé, suivant les instructions du Contrôleur, à
sous-traiter partiellement ou entièrement la mise en œuvre du Traitement à des Sous-traitants, ces
parties étant décrites à l’Annexe III. Dans l’éventualité où le Responsable du traitement souhaiterait
faire appel à des Sous-traitants, le Responsable du traitement informera le Contrôleur de toute
modification concernant l’ajout ou le remplacement de tels sous-traitants. Le Contrôleur peut
s’opposer à de telles modifications dans un délai de 5 jours ouvrables après réception de la
confirmation écrite du changement de Sous-traitant choisi par le Responsable du traitement, pour
autant toutefois que cette objection soit fondée sur un motif raisonnable.
6.2 Le Responsable du traitement s’efforce de contraindre chaque Sous-traitant à respecter les
obligations en matière de confidentialité, les obligations en matière de notification et les mesures de
sécurité relatives au Traitement de Données à caractère personnel, les obligations et mesures devant
tout au moins être conformes aux dispositions du présent Accord sur le traitement des données.
7. Responsabilité
7.1 Pour ce qui est des obligations relatives à la responsabilité et à l’indemnisation incombant au
Responsable du traitement en vertu du présent Accord sur le traitement des données, les dispositions
en matière de limitation de responsabilité de l’Accord, y compris si elles sont incorporées par
référence, sont applicables.
7.2 La responsabilité des Parties à l’égard l’une de l’autre est engagée en ce qui a trait à tout
dommage direct découlant de ou relatif à l’exécution ou à l’inexécution des obligations leur incombant
en vertu du présent Accord sur le traitement des données. Toutefois, toute responsabilité établie en
rapport avec le présent Accord sur le traitement des données, qu’elle soit afférente à une demande
ou à une réclamation basée sur la négligence, la responsabilité délictuelle ou tout autre forme de
responsabilité, pour tous les événements, actes ou omissions survenus en vertu du présent Accord,
ne saurait en aucun cas dépasser le montant des frais payés ou dus en vertu de l’Accord pendant
une période maximum de six mois.
8. Violation de données à caractère personnel
8.1 S’il advenait que le Responsable du traitement soit informé d’un incident susceptible d’avoir
un impact important sur la protection de Données à caractère personnel, le Responsable du
traitement i) notifiera le Contrôleur dans les 24 heures suivant le moment où il a eu connaissance de
l’incident et ii) il prendra toutes les mesures appropriées pour prévenir ou limiter l’impact de l’incident
et pour prévenir la survenue d’incidents dans le futur.
8.2 Le Responsable du traitement coopérera avec le Contrôleur, dans la mesure où cela est
approprié, afin de permettre à ce dernier de remplir ses obligations légales découlant de tout incident
ainsi identifié.
8.3 Le Responsable du traitement assistera le Contrôleur, dans la mesure où cela est approprié,
afin que ce dernier remplisse son obligation de notification à l’endroit de l’Autorité de protection des
données relativement aux Données à caractère personnel et/ou aux personnes concernées, au sens
des articles 33 (3) et 34 (1) du RGPD. Le Responsable du traitement n’est jamais tenu, en vertu du
présent Accord sur le traitement des données, de faire rapport à l’Autorité de protection des données
sur une violation des Données à caractère personnel et/ou sur les personnes concernées.
8.4 La responsabilité du Responsable du traitement ne sera engagée en matière d’obligation de
notification (en temps voulu et exhaustive) au supérieur hiérarchique concerné et/ou aux personnes
concernées, au sens des articles 33 et 34 du RGPD.
9. Coopération
9.1 Le responsable du traitement se montrera, pour autant que cela soit raisonnablement
possible, coopératif à l’égard du Contrôleur dans l’exécution de ses obligations en vertu du RGPD afin
de répondre aux demandes formulées par des personnes concernées dans l’exercice de leurs droits,
en particulier le droit d’accès (article 15 du RGPD), le droit de rectification (article 16 du RGPD), le
droit à l’effacement (article 17 du RGPD), le droit à la limitation (article 18 du RGPD), le droit à la
portabilité des données (article 20 du RGPD) et le droit d’opposition (articles 21 et 22 du RGPD). Le
Responsable du traitement soumettra la plainte ou la demande d’une personne concernée
concernant le Traitement de Données à caractère personnel au Contrôleur dès que raisonnablement
possible suivant sa réception, car le Contrôleur peut être (partiellement) responsable du traitement de
la demande. Le Responsable du traitement est habilité à facturer tous les coûts liés à la coopération
avec le Contrôleur au regard d’une quelconque disposition du présent Accord sur le traitement des
données. Le Contrôleur est seul responsable des frais imputés en vertu du présent article, y compris,
mais sans s’y limiter, les honoraires au taux horaire de 69.- payables au Responsable du traitement
pour le temps consacré à des demandes mentionnées dans cette partie.
9.2 Le Responsable du traitement offrira, pour autant que cela soit raisonnablement possible, une
aide appropriée au Contrôleur dans l’exécution de son obligation en vertu du RGPD consistant en la
réalisation d’une analyse d’impact relative à la protection des données (articles 35 et 36 du RGPD).
Le Contrôleur est seul responsable des frais imputés en vertu du présent article, y compris, mais sans
s’y limiter, les honoraires au taux horaire de 69.- payables au Responsable du traitement pour le
temps consacré à des demandes mentionnées dans cette partie.
9.3 Le Responsable du traitement fournira au Contrôleur toutes les informations raisonnablement
nécessaires pour démontrer que le Responsable du traitement remplit ses obligations en vertu du
RGPD. En outre, le Responsable du traitement permettra – à la demande du Contrôleur – la tenue
d’audits, y compris des inspections par un auditeur mandaté par le Contrôleur. Dans le cas où le
Responsable du traitement est d’avis qu’une instruction concernant les dispositions du présent
paragraphe constitue une violation du RGPD ou d’une autre loi applicable sur la protection des
données, le Responsable du traitement informe immédiatement le Contrôleur. Le Contrôleur est seul
responsable des frais imputés en vertu du présent article, y compris, mais sans s’y limiter, les
honoraires au taux horaire de 150.- payables au Responsable du traitement pour le temps consacré à
la préparation et à l’assistance au cours de l’inspection ou de l’audit requis.
10. Résiliation et généralités
10.1 Les dispositions relatives à la résiliation énoncées dans l’Accord s’appliquent au présent
Accord sur le traitement des données. Sans préjudice des dispositions spécifiques de l’Accord, le
Responsable du traitement supprimera ou renverra toutes les Données à caractère personnel sur
lesquelles le Contrôleur exerce son contrôle à la première demande de ce dernier et il supprimera
toutes les copies existantes desdites données, à moins que le Responsable du traitement ne soit
légalement tenu d’en conserver une partie ou la totalité.
10.2 Le Responsable du traitement est, suivant le droit applicable, libre de décider de la durée de
la rétention permise pour le traitement des Données à caractère personnel par le Responsable du
traitement.
10.3 Les obligations énoncées dans le présent Accord sur le traitement des données, qui sont de
nature conçues pour subsister après la résiliation, resteront également en vigueur après la résiliation
du présent Accord sur le traitement des données.
10.4 Le droit applicable et le for seront déterminés conformément aux dispositions applicables de
l’Accord.
Tous les prix sont dans la même devise que l’Accord.