Offres
API
Connexion
Documents similaires
unknown - Communauté de communes - Coeur de Loire - Conventi
unknown - Communauté de communes - Coeur de Loire - N°13 Ren
unknown - Communauté de communes - Coeur de Loire - Annexe N
unknown - Communauté de communes - Coeur de Loire - N°2 Stra
unknown - Communauté de communes - Coeur de Loire - N°15 Eco
unknown - Communauté de communes - Coeur de l'Avesnois - 202
unknown - Communauté de communes - Coeur de Loire - N°2 Stra
unknown - Communauté de communes - Coeur de l'Avesnois - 202
unknown - Communauté de communes - Coeur de Loire - N°2 Stra
unknown - Communauté de communes - Coeur de Loire - N°6 Conv
unknown - Communauté de communes - Coeur de Loire - Annexe 2 convention de collaboration dev eco
Document publié le Lundi 1 janvier 2024
Lien du pdf (unknown - Communauté de communes - Coeur de Loire - Annexe 2 convention de collaboration dev eco)
Thèmes du document : Données personnelles, Union Européenne, Cybersécurité,
ANNEXE 2 : ACCORD DE RESPONSABILITE CONJOINTE
SUR LES TRAITEMENTS DE DONNEES A CARACTERE
PERSONNEL
I. Objet et champ d’application
1. Les parties seront les responsables conjoints du traitement de données personnelles, au sens de l’article 26 du RGPD. Cet accord a pour objet de définir les conditions dans lesquelles elles effectueront ce traitement.
2. Les parties sont amenées à déterminer conjointement les finalités et les moyens essentiels d’un traitement de données personnelles régi par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée).
3. Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel (ci-après, « Législation relative à la protection des données »), qui comprend en particulier :
• La loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après, « loi Informatique et Libertés ») et le décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés ;
• Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, « RGPD ») ;
4. Les présentes clauses doivent être lues et interprétées à la lumière des dispositions de la Législation relative à la protection des données et ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du RGPD.
II. Description du traitement de données à caractère personnel
Les responsables conjoints de traitement en définissent les caractéristiques comme suit.
1. Finalités du traitement
Les finalités du traitement sont énumérées à l’article 3 de la convention et à l’annexe 1. 2. Catégories de personnes concernées
Les personnes concernées sont les dirigeants d’entreprises et leurs salariés, les porteurs de projets de création / reprise d’entreprises, les partenaires, les usagers/administrés, etc.
3. Catégories de données personnelles
Les types de données personnelles traitées sont : état civil, identité, images, données sur la vie personnelle, donnée sur la vie professionnelle, informations d’ordre économique et financier.
III. Rôles respectifs et obligations respectives des responsables de traitement / relations vis-à-vis des personnes concernées
1. Information des personnes concernées
a) Les personnes concernées par les opérations de traitement recevront les informations requises, au moment de la collecte de données lorsque des données à caractère personnel sont collectées auprès de la personne concernée, ou dans les délais requis lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, conformément aux articles 12 à 14 du RGPD.
b) Les responsables conjoints de traitement conviennent qu’il revient à chaque partie d’informer les personnes concernées sur le présent traitement et notamment de :
• L’identité et des coordonnées des représentants des toutes les parties liées par
la convention et du fait qu’elles seront les coresponsables de traitement des données personnelles pour le traitement en cause,
• Les finalités du traitement telles que définies ci-dessus (voir article 3 de la
convention et annexe 1),
• La base légale du traitement,
• Les destinataires ou les catégories de destinataires du traitement,
• La durée de conservation des données personnelles ou les critères utilisés pour
déterminer cette durée,
• La faculté pour les personnes concernées d’exercer les droits issus du RGPD
et de la Loi Informatique et Libertés, dans les conditions prévues par ces textes.
2. Exercice des droits des personnes concernées / responsabilité
a) Il est convenu entre les parties que les personnes concernées peuvent exercer leurs droits « Informatique et Libertés » auprès de Nevers Agglomération. b) Pour toute information ou exercice des droits « Informatique et Libertés », les personnes concernées peuvent saisir le Délégué à la protection des données de Nevers Agglomération à l’adresse mail suivante : dpo@ville-nevers.fr ou par courrier postale : Délégué à la protection des données, Nevers Agglomération, 124 route de Marzy - CS 90041, 58027 Nevers cedex.
c) Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables conjoints de traitement. Chaque partie renseigne les coordonnées de son délégué à la protection des données au point 9 du présent accord.
IV. Respect des principes « Informatiques et Libertés »
1. Exactitude et minimisation des données
a) Chaque responsable conjoint de traitement veille à ce que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour.
b) Chaque responsable conjoint de traitement prend toutes les mesures raisonnables pour que les données à caractère personnel qui sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées sans tarder.
2. Limitation de la finalité
a) Les parties traitent les données à caractère personnel uniquement pour les finalités spécifiques du traitement, telles que définies à l’article II, sauf exceptions prévues par la règlementation.
b) Chaque partie doit s’assurer qu’elle dispose d’une base juridique pour le traitement et que les données ne sont pas traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées par le responsable de traitement qui partage les données.
3. Limitation de la conservation
a) Les parties ne conservent pas les données à caractère personnel plus longtemps que ce qui est nécessaire aux finalités pour lesquelles elles sont traitées.
b) Les parties mettent en place des mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, notamment l’effacement ou l’anonymisation des données et de toutes leurs sauvegardes à la fin de la période de conservation.
4. Confidentialité des données a) Les parties garantissent la confidentialité des données à caractère personnel traitées dans le cadre de la convention.
b) Les parties veillent à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent accord :
• S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• Reçoivent la sensibilisation nécessaire en matière de protection des données à caractère personnel ;
• Soient soumises à des obligations de discrétion professionnelle, ou le cas échéant au secret professionnel ;
• Agissent sur instruction du responsable de sécurité des systèmes d’information, du délégué à la protection des données à caractère personnel ou de leurs représentants.
5. Sécurité du traitement
a) Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci- après la « violation de données à caractère personnel »).
b) Les parties s’engagent notamment à mettre en œuvre :
• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité
et la résilience constantes des systèmes et des services de traitement;
• Des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité
des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
c) Les parties s’engagent à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
V. Le recours à des sous-traitants
a) Les parties ne doivent recourir qu’à des sous-traitants qui offrent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées. b) Tout traitement de données à caractère personnel effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique établi par écrit, y compris sous forme électronique, et contraignant conformément à l’article 28 du RGPD.
VI. Les transferts vers un pays tiers
a) Tout transfert de données à caractère personnel doit toujours se faire conformément au chapitre V du RGPD.
b) Les parties s’engagent à recourir à des moyens de traitement de données situés sur le territoire de l’Union européenne ou à des moyens de traitement hors de l’Union européenne et de l’Espace économique européen sous réserve du respect des conditions suivantes :
• Le pays de destination des données fait l’objet d’une décision d’adéquation adoptée par la Commission européenne ou le transfert est encadré par des règles d’entreprises contraignantes approuvées par l’autorité de contrôle compétente ;
• En cas de transfert des données hors de l’Union européenne et de l’Espace économique européen ou vers un Etat ne figurant pas dans la liste des pays disposant d’un niveau de protection adéquat et ne reposant pas sur un moyen reconnu par le chapitre V du RGPD comme conférant aux données un niveau de protection suffisant et adéquat, les responsables conjoints de traitement s’engagent à conclure un contrat encadrant ce transfert de données, reprenant les clauses contractuelles types adoptées par la Commission européenne dans sa décision d’exécution n°2021/914 du 4 juin 2021, pour autant que les conditions d’utilisation de ces clauses contractuelles soient remplies ;
• Le transfert est sécurisé par des moyens techniques et organisationnels adaptés.
c) En tout état de cause, aucun transfert de données hors du territoire de l’Union européenne et de l’Espace économique européen ne doit diminuer d’une quelconque manière que ce soit la protection accordée aux personnes concernées.
d) Lorsque des transferts vers des pays tiers ou à des organisations internationales sont requis par le droit de l’Union ou le droit de l’État membre auquel le responsable conjoint de traitement est soumis, ce dernier informe les autres responsables conjoints de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
e) Tout transfert ultérieur est soumis au respect de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
VII. Les analyses d’impact relatives à la protection des données
a) Les parties ont l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel (« analyse d’impact relative à la protection des données ») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques.
b) Lorsqu'une analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, les parties ont l’obligation de consulter l'autorité de contrôle compétente préalablement au traitement.
VIII. Violations des données
a) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées, les parties prennent des mesures appropriées pour remédier à la violation desdites données, y compris des mesures visant à en atténuer les effets négatifs potentiels.
b) Chaque partie notifie aux autres responsables conjoints du traitement toute violation
de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile. Il appartient à la partie à l’origine de la violation de données de notifier cette violation à l’autorité de contrôle compétente, lorsque cela s’avère obligatoire par la réglementation.
c) La notification contient au moins :
• La description de la nature de la violation de données à caractère personnel y
compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
• Le nom et les coordonnées du délégué à la protection des données ou d'un
autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• La description des conséquences probables de la violation de données à
caractère personnel ;
• La description des mesures prises ou que le responsable du traitement propose
de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
d) En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, les parties informent également sans tarder les personnes concernées de la violation de données à caractère personnel et de sa nature, en leur communiquant les informations mentionnées au paragraphe (c) à moins qu’il n’ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou libertés des personnes physiques ou que cette notification n’exige des efforts disproportionnés. e) Les responsables conjoints de traitement répertorient tous les faits pertinents relatifs à la violation de données à caractère personnel, notamment ses effets et les mesures prises pour y remédier, et en gardent une trace.
IX. Documentation et conformité
a) Chaque partie déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées.
b) Chaque partie communique aux autres parties le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
Coordonnées du
responsable de la
protection des données
Adresse mail Adresse postale
Nevers Agglomération dpo@ville-nevers.fr 124 route de Marzy – CS 90041, 58027 Nevers cedex
La Communauté de
Communes Cœur de
Loire
La Communauté de
Communes Les
Bertranges
X. Mise à disposition des personnes concernées
Les grandes lignes de cet accord seront mises à disposition des personnes concernées aux sièges des différentes parties.
XI. Durée
Le présent accord sera en vigueur pendant toute la durée du traitement de données personnelles visé ici. Il régira cette coresponsabilité, à toute époque, y compris après son terme.
XII. Notifications
En cas de changement de domicile ou de coordonnées téléphoniques ou électroniques, la partie concernée en informera l’autre dans les meilleurs délais. À défaut, les notifications seront valablement effectuées en utilisant les dernières coordonnées connues.