Nous sommes heureux de vous compter par nos clients et utilisateurs de nos services d’envoi de messages commerciaux.
Comme vous le savez, ce 25 mai entre en application le Règlement Général sur la Protection des Données.
A ce titre et suite aux changements apportés en la matière par le Règlement Général sur la Protection des Données (RGPD) nous avons mis à jour notre Politique de protection des données personnelles.
Conformément aux dispositions du RGPD, ce document a pour objet de définir les conditions dans lesquelles M TARGET s’engage, en qualité de sous-traitant, à traiter les données à caractère personnel que nous hébergeons et stockons dans le cadre de votre utilisation de nos services.
Vous y trouverez le détail des conditions dans lesquelles nous nous engageons à traiter les données à caractère personnel. Nous vous invitons à consulter l’annexe relative au traitement de données personnelles.
Nous vous remercions de votre confiance et nous restons à votre disposition pour toute information.
CONDITIONS SUR LES DONNEES A CARACTERE PERSONNEL V25052018
1. Description du traitement faisant l’objet de la sous-traitance
M TARGET est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :
– Service d’envoi de message commerciaux à destination de personnes physiques par mail / sms / push vocal.
La nature des opérations réalisées sur les données est :
– réception des données
– stockage des données
– transmission des donnés à l’opérateur téléphonique
La ou les finalité(s) du traitement sont
– Envoi de messages par sms provenant de nos clients vers l’utilisateur final
– Production de logs, statistiques et reporting de campagne
– Monitoring des envois pour assurer la délivrabilité des messages
Les données à caractère personnel traitées sont :
– Numéro de gsm
– Nom / prénom / adresse
Les catégories de personnes concernées sont :
– Personnes physiques clientes ou prospects du Client
Pour l’exécution du service objet du présent avenant, le Client met à la disposition de M TARGET toutes les informations nécessaires à l’exécution de sa prestation.
2. Obligation de M TARGET vis-à-vis du Client
2.1 M TARGET s’engage à :
– traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ;
– traiter les données conformément aux instructions documentées du Client figurant en annexe du contrat. Si M TARGET considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des États membres relative à la protection des données, il en informe immédiatement le Client. En outre, si M TARGET est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
– garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent avenant ;
– veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent avenant :
• s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
• reçoivent la formation nécessaire en matière de protection des données à caractère personnel
– prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut
2.2 Sous-traitance
M TARGET peut faire appel à un autre Sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Client de tout changement envisagé concernant l’ajout ou le remplacement d’autres Sous-traitants.
Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minium de 48 heurs à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n’a pas émis d’objection pendant le délai convenu.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient au sous-traitant initial de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.
2.3 Droit d’information des personnes concernées
Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
2.4 Exercice des droits des personnes
Dans la mesure du possible, le M TARGET doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès de M TARGET des demandes d’exercice de leurs droits, M TARGET doit adresser ces demandes dans les meilleurs délais par courrier électronique au Client.
2.5 Notification des violations de données à caractère personnel
M TARGET notifie au Client toute violation de données à caractère personnel dans les 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
2.6 Aide de M TARGET dans le cadre du respect par le Client de ses obligations
M TARGET aide le Client pour la réalisation d’analyses d’impact relative à la protection des données.
M TARGET aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.
2.7 Mesures de sécurité
M TARGET s’engage à mettre en œuvre les mesures de sécurité suivantes :
• la pseudonymisation et le chiffrement des données à caractère personnel
• les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
• une procédure visant à tester, à ’analyser et à ’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement]
2.8 Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, M TARGET s’engage à restituer les données au Client et ensuite à les détruire.
2.9 Délégué à la protection des données
M TARGET communique au Client le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
Le mail de contact est le suivant : dpo@mtarget.fr
2.10 Registre des catégories d’activités de traitement
M TARGET déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :
• le nom et les coordonnées du Client pour le compte duquel il agit,
• des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données;
• les catégories de traitements effectués pour le compte du responsable du traitement;
• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées;
• dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
- lapseudonymisation et le chiffrement des données à caractère personnel;
- des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité etla résilience constante des systèmes et des services de traitement;
- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
- une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
2.11 Documentation
M TARGET met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. Etant précisé que le coût de ces audits sera intégralement supporté par le Client.
3. Obligations du Client vis-à-vis de M TARGET
Le Client s’engage à :
– fournir à M TARGET les données visées à l’article 2 des présentes clauses et garantir la licéité des traitements mis en œuvre ;
– documenter par écrit toute instruction concernant le traitement des données par M TARGET ;
– veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part de M TARGET ;
– superviser le traitement, y compris réaliser les audits et les inspections auprès de M TARGET.