Offres
API
Connexion
Documents similaires
unknown - Communauté de communes - Vallée de l'Hérault - 183
unknown - Communauté de communes - Vallée de l'Hérault - 331
unknown - Communauté de communes - Vallée de l'Hérault - 340
Conseil Municipal - 2024 02 09 Annexe D2024 07 Conditions sous traitan
unknown - Communauté de communes - Vallée de l'Hérault - 314
unknown - Communauté de communes - Vallée de l'Hérault - 294
Conseil Municipal - 25.040 Convention de traitement de données avec le
unknown - Communauté de communes - Vallée de l'Hérault - del
unknown - Communauté de communes - Vallée de l'Hérault - 265
unknown - Communauté de communes - Vallée de l'Hérault - 301
unknown - Communauté de communes - Vallée de l'Hérault - 2948 convention cadre sous traitance traitement donnees RGPD
Document publié le Mercredi 1 janvier 2025
Lien du pdf (unknown - Communauté de communes - Vallée de l'Hérault - 2948 convention cadre sous traitance traitement donnees RGPD)
Thèmes du document : Données personnelles, Union Européenne, Industrie,
Republique Fram;:aise
Departement de l'Herault
COMMUNAUTE DE COMMUNESVALLEE DE L'HERAULT
DELIBERATION DU CONSEIL COMMUNAUTAIRE - Reunion du: lundi 11 juillet 2022
CONVENTION-CADRE DE SOUS-TRAITANCE POUR LETRAITEMENT DE DONNEES A CARACTERE PERSONNEL DANS LE CADRE DU RGPD
Le Conseil communautaire de la Cornrnunaute de communes Vallee de l'Herault s'est reuni ce jour, lundi 1 1 juillet 2022 a 17h00 en Salle du Chai de la Gare a Gignac, sous la presidence de Monsieur Jean-Franc;:ois SOTO, President de la cornrnunaute de communes. La convocation a ete adressee le 30 juin 2022.
Etaient presents ou
representes
Procurations
Excuses
Absents
M. [ean-Francois SOTO, Mme Monique GIBERT, M. Yves GUIRAUD, Mme Christine SANCHEZ, Mme
Chantal DUMAS, M. Yannick VERNIERES, Mme Roxane MARC, M. Jean-Pierre GABAUDAN, M. David
CABLAT, M. Robert SIEGEL, M. Xavier PEYRAUD, Mme Veronique NEIL, M. Jean-Pierre PUGENS, M. Olivier
SERVEL, M. Pierre AMALOU, Mme Nicole MORERE, M. Philippe SALA SC, M. Jean-Marc ISURE, M. Daniel
JAUDON, Mme Florence QUINONERO, M. Jean-Luc DARMANIN, M. Pascal DELIEUZE, Mme Martine
BONNET, Mme Marie-Agnes SIBERTIN-BLA NC, M. Claude CARCELLER, Mme Valerie BOUYSSOU, Mme
Josette CUTANDA, M. Christian VILOING, M. Marcel CHRISTOL, M. Philippe LASSALVY, Mme Marie-
Helene SANCHEZ, Mme Martine LABEUR, M.Jose MARTINEZ, Mme Marie-Fran~oise NACHEZ - M.Jean-
Louis RANDON suppleant de M. Bernard GOUZIN, M. Bernard CAUMEIL suppleant de M. Daniel
REQUIRAND.
Mme Jocelyne KUZNIAK a M. Pascal DELIEUZE, M. Henry MARTINEZ a Mme Roxane MARC, M.Anthony
GARCIA a Mme Valerie BOUYSSOU, Mme Stephanie BOUGARD-BRUN a M. Philippe LASSALVY, M. Jean-
Claude CROS a M. David CABLAT, M. Jean-Pierre BERTOLINI a M. Jean-Pierre PUGENS, Mme Beatrice
FERNANDO a M. Daniel JAUDON.
M. Ronny PONCE, M.Thibaut BARRAL.
M. Gregory BRO, M. Laurent ILLUMINATI, M. Nicolas ROUSSARD.
Quorum: /6 Presents : 36 Votants :43 Pour: 43 Contre: 0
Secreta,re de seance : Morie-Helene SANCHEZ Abstent1on : 0 Ne prend pas part : 0
Agissant conformement aux dispositions du Code general des collectivites territoriales et en particulier ses articles L 5214-/ et suivants et L 5211-6 alinea I.
Agissant conformement aux dispositions de son reglement interieur.
VU la loi N° 78-17 du 6 janvier 1978 relative a l'informatique, aux ftchiers et aux libertes ; VU le reglement UE 2016/6 79 du Parlement Europeen relatif a la protection des donnees a caractere personnel (RGPD) et en particulier son article 28;
VU ensemble, la deliberation du 21 juin 2021 relative a la deftnition de /'interet communautaire et l'arrete prefectoral n°20/9-l-/657du 3 mai 2021 ftxant les derniers statuts en vigueur de la Communaute de communes Vallee de l'Herault (CCVH) ;
CONSIDERANT que le RGPD qualifie de donnees a caractere personnel toute information se rapportant a une personne physique identifiee ou identifiable, directement ou indirectement, CONSIDERANT que la collecte, l'enregistrement et l'organisation de ces donnees sont au sens du RGPD definis comme des traitements,
CONSIDERANT que le responsable de traitement est la personne ou l'autorite publique, qui determine les finalites et les moyens du traitement,
CONSIDERANT que sera considere comme sous-traitant tout prestataire ayant a traiter des donnees a caractere personnel pour le compte sur instruction et sous l'autorite du responsable de traitement,
CONSIDERANT que l'article 28-3 du RGPD prevoit que le traitement de donnees a caractere personnel par un sous-traitant est regi par un contrat passe avec le responsable du traitement, definissant l'objet et la duree du traitement, la nature et la finalite du traitement, le type de donnees a caractere personnel et les categories de personnes concernees, ainsi que les obligations et les droits des deux parties,
CONSIDERANT que la CCVH, peut etre amenee a recourir a des bureaux d'etudes ou a d'autres prestataires et a leur confier le traitement d'un certain nombre de donnees a caractere personnel qu'elle a recueillie dans le cadre de l'exercice de ses missions,
CONSIDERANT que ce sera notamment le cas pour l'etude prealable necessaire a la mise en place d'une Taxe d'Enlevement des Ordures Menageres (TEOM) incitative, CONSIDERANT des lors l'interet de disposer d'une convention cadre pour la sous-traitance de traitement de donnees a caractere personnel pouvant etre signee par le President avec chacun d' entre eux, Le Conseil communautaire de la Cornmunaute de communes Vallee de l'Herault, APRES EN AVOIR DELIBERE,
Le quorum etant atteint
DECIDE
a l'unanimite des suffrages exprimes,
- d'approuver les termes de la convention cadre ci-annexee organisant la sous-traitance par la CCVH de donnees a caractere personnel,
- d'autoriser Monsieur le President a signer les conventions subsequentes a intervenir sur ce rnodele et a accomplir toutes forrnalites en lien avec ce dossier.
Transmission au Representant de l'Etat
N° 2948
Publication le 12/07/2022
Notification le
DELIBERATION CERTIFIEE EXECUTOIRE
Gignac, le 12/07/2022
ldentifiant de l'acte: 034-243400694-2022071 l-8161-DE-l-l
Auteur de l'acte: [ean-Francois SOTO, President de la Cornmunaute de communes Vallee de l'Herault
Le President de la communaute de communes
Jean-Franc;:ois SOTO
Secretaire de seance
Marie-Helene SANCHEZ ~ E DE L'HfRAULT COMMUNAUTt DE COMMUNES
RGPD
Convention de sous-traitance
de traitement de donnees a caractere personnel
ENTRE LES SOUSSIGNES
La Cornmunaute de communes Vallee de l'Herault, dont le siege est situe 2 Parc d'activites de Carnalce, 34150 GIGNAC, representee par M. Jean-Franc;:ois SOTO agissant en sa qualite de President, ci-apres designee « le responsable de traitement »,
D'UNE PART
ET
Et [... ], domicile (adresse)
Ci-apres designe "le sous-traitant",
D'AUTRE PART
Article 1 - Objet
Les presentes clauses ont pour objet de definir les conditions dans lesquelles le sous-traitant s'engage a effectuer pour le compte du responsable de traitement les operations de traitement de donnees a caractere personnel definies ci-apres.
Dans le cadre de leurs relations contractuelles, les parties s'engagent a respecter la reglementation en vigueur applicable au traitement de donnees a caractere personnel et, en particulier, le reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016 applicable a compter du 25 mai 2018 (ci-apres, « le reglement europeen sur la protection des donnees »).
Article 2 - Description du traitement faisant l'objet de la sous-traitance
Le sous-traitant est autorise a traiter pour le compte du responsable de traitement les donnees a caractere personnel necessaires pour fournir le ou les service(s) suivant(s) [...].
La nature des operations realisees sur les donnees est [...].
La ou les finalite(s) du traitement sont [...].
Les donnees a caractere personnel traitees sont [...].
Les categories de personnes concernees sont [...].
Pour l'execution du service objet du present contrat, le responsable de traitement met a la disposition du sous-traitant les informations necessaires suivantes [... ]
Article 3 - Duree du contrat
Le present contrat entre en vigueur a compter du [...] pour une duree de [...] ~ E DE L'HfRAULT COMMUNAUTt DE COMMUNES
Article 4 - Obligations du sous-traitant vis-a-vis du responsable de traitement
Le sous-traitant s'engage a :
~ I - Traiter les donnees uniquement pour la ou les seule(s) finalite(s) qui faitlfont l'objet de la sous-traitance
~ 2 - Traiter les donnees conformement aux instructions documentees du responsable de traitement.
2.1 Devoir de conseil
Si le sous-traitant considere qu'une instruction constitue une violation du reglernent europeen sur la protection des donnees ou de toute autre disposition du droit de l'Union ou du droit des Etats membres relative a la protection des donnees, il en informe irnrnediaternent le responsable de traitement.
2.2 Devoir d'information
Si le sous-traitant est tenu de proceder a un transfert de donnees vers un pays tiers ou a une organisation internationale, en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerne interdit une telle information pour des motifs importants d'interet public.
~ 3 - Garantir la confidentialite, l'integrite et la disponibilite des donnees a caractere personnel traitees dans le cadre du present contrat et pouvoir retracer l'acces a ces donnees.
~ 4 - Veiller a ce que les personnes autorisees a traiter les donnees a caractere personnel en vertu du present contrat :
■ s'engagent a respecter la confidentialite ou soient soumises a une obligation legale
appropriee de confidentialite
■ rec;:oivent la formation necessaire en matiere de protection des donnees a caractere
personnel
~ 5 - Prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des donnees des la conception et de protection des donnees par defaut:
~ 6 - Sous-traitance :
■ Le sous-traitant peut faire appel a un autre sous-traitant (ci-apres, « le sous-traitant
ulterieur») pour mener des activites de traitement specifiques. Dans ce cas, il informe prealablement et par ecrit le responsable de traitement de tout changement envisage concernant l'ajout ou le remplacement d'autres sous-traitants. Cette information doit indiquer clairement les activites de traitement sous-traitees, l'identite et les coordonnees du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d'un delai minium de [...] a compter de la date de reception de cette information pour presenter ses objections. Cette sous-traitance ne peut etre effectuee que si le responsable de traitement n'a pas emis d'objection pendant le delai convenu. ~ E DE L'HfRAULT COMMUNAUTt DE COMMUNES
■ Le sous-traitant ulterieur est tenu de respecter les obligations du present contrat pour
le compte et selon les instructions du responsable de traitement. 11 appartient au sous- traitant initial de s'assurer que le sous-traitant ulterieur presente les rnernes garanties suffisantes quant a la mise en oeuvre de mesures techniques et organisationnelles appropriees de rnaniere a ce que le traitement reponde aux exigences du reglernent europeen sur la protection des donnees. Si le sous-traitant ulterieur ne remplit pas ses obligations en rnatiere de protection des donnees, le sous-traitant initial demeure pleinement responsable devant le responsable de traitement de l'execution par l'autre sous-traitant de ses obligations.
i:!ib 7 - Droit d'information des personnes concernees :
11 appartient au responsable de traitement de fournir l'information aux personnes concernees par les operations de traitement au moment de la collecte des donnees.
~ 8 - Exercice des droits des personnes :
Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement a s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernees : droit d'acces, de rectification, d'effacement et d'opposition, droit a la limitation du traitement, droit a la portabilite des donnees, droit de ne pas faire l'objet d'une decision individuelle automatisee (y compris le profilage).
Le sous-traitant doit repondre, au nom et pour le compte du responsable de traitement et dans les delais prevus par le reglement europeen sur la protection des donnees aux demandes des personnes concernees en cas d'exercice de leurs droits, s'agissant des donnees faisant l'objet de la sous-traitance prevue par le present contrat. Le sous-traitant informe systematiquement et dans les meilleurs delais le responsable de traitement des demandes et des reponses effectuees dans ce cadre.
~ 9- Notification des violations de donnees a caractere personnel
Le sous-traitant notifie au responsable de traitement toute violation de donnees a caractere personnel dans un delai maximum de 24 heures apres en avoir pris connaissance et par le moyen suivant : envoi a (a completer). Cette notification est accompagnee de toute documentation utile afin de permettre au responsable de traitement, si necessaire, de notifier cette violation a l'autorite de contr61e competente. Apres accord du responsable de traitement, le sous-traitant notifie a l'autorite de contr61e competente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de donnees a caractere personnel dans les meilleurs delais et, si possible, 72 heures au plus tard apres en avoir pris connaissance, a moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertes des personnes physiques.
La notification contient au moins :
□ la description de la nature de la violation de donnees a caractere personnel y compris, si possible, les categories et le nombre approximatif de personnes concernees par la violation et
les categories et le nombre approximatif d'enregistrements de donnees a caractere personnel concernes;
□ le nom et les coordonnees du delegue a la protection des donnees ou d'un autre point de contact aupres duquel des informations supplementaires peuvent etre obtenues ; ~ E DE L'HfRAULT COMMUNAUTt DE COMMUNES
□ la description des consequences probables de la violation de donnees a caractere personnel; D la description des mesures prises ou que le responsable du traitement propose de prendre
pour rernedier a la violation de donnees a caractere personnel, y compris, le cas echeant, les mesures pour en attenuer les eventuelles consequences negatives.
Si, et dans la mesure ou il n'est pas possible de fournir toutes ces informations en rnerne temps, les informations peuvent etre cornrnuniquees de rnaniere echelonnee sans retard indu. Apres accord du responsable de traitement, le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de donnees a caractere personnel a la personne concernee dans les meilleurs delais, lorsque cette violation est susceptible d'engendrer un risque eleve pour les droits et libertes d'une personne physique. La communication a la personne concernee decrit, en des termes clairs et simples, la nature de la violation de donnees a caractere personnel et contient au moins :
□ la description de la nature de la violation de donnees a caractere personnel y compris, si possible, les categories et le nombre approximatif de personnes concernees par la violation et
les categories et le nombre approximatif d'enregistrements de donnees a caractere personnel concernes;
□ le nom et les coordonnees du delegue a la protection des donnees ou d'un autre point de contact aupres duquel des informations supplementaires peuvent etre obtenues ;
□ la description des consequences probables de la violation de donnees a caractere personnel;
D la description des mesures prises ou que le responsable du traitement propose de prendre pour remedier a la violation de donnees a caractere personnel, y compris, le cas echeant, les mesures pour en attenuer les eventuelles consequences negatives.
~ I O - Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations : Le sous-traitant aide le responsable de traitement pour la realisation d'analyses d'impact relative a la protection des donnees. Le sous-traitant aide le responsable de traitement pour la realisation de la consultation prealable de l'autorite de contr61e.
~ 11- Mesures de securite : Le sous-traitant s'engage a mettre en ceuvre toutes les mesures de securite necessaires et notamment : la pseudonymisation et le chiffrement des donnees a caractere personnel, tous moyens permettant de garantir la confidentialite, l'integrite, la disponibilite et la resilience constantes des systemes et des services de traitement
r!ib 12. Sort des donnees
Au terme de la prestation de services relatifs au traitement de ces donnees, le sous-traitant s'engage a:
■ detruire toutes les donnees a caractere personnel ou
■ renvoyer toutes les donnees a caractere personnel au responsable de traitement. Le
renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systemes d'information du sous-traitant. Une fois detruites, le sous-traitant doit justifier par ecrit de la destruction.
~ 13. Delegue a la protection des donnees
Le sous-traitant communique au responsable de traitement le nom et les coordonnees de son delegue a la protection des donnees, s'il en a designe un conformement a l'article 37 du reglement europeen sur la protection des donnees. ~ E DE L'HfRAULT COMMUNAUTt DE COMMUNES
~ 14. Registre des categories d'activites de traitement
Le sous-traitant declare tenir par ecrit un registre de toutes les categories d'activites de traitement effectuees pour le compte du responsable de traitement comprenant : D le nom et les coordonnees du responsable de traitement pour le compte duquel il agit, des eventuels sous-traitants et, le cas echeant, du delegue a la protection des donnees: D les categories de traitements effectues pour le compte du responsable du traitement; □ le cas echeant, les transferts de donnees a caractere personnel vers un pays tiers ou a une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts vises a l'article 49, paragraphe 1, deuxierne alinea du reglement europeen sur la protection des donnees, les documents attestant de l'existence de garanties appropriees;
□ dans la mesure du possible, une description generale des mesures de securite techniques et organisationnelles, y compris entre autres, selon les besoins :
-,¢,- la pseudonymisation et le chiffrement des donnees a caractere personnel;
-,¢,- des moyens permettant de garantir la confidentialite, l'integrite, la disponibilite et la
resilience constantes des systemes et des services de traitement;
-,¢,- des moyens permettant de retablir la disponibilite des donnees a caractere personnel
et l'acces a celles-ci dans des delais appropries en cas d'incident physique ou technique; -,¢,- une procedure visant a tester, a analyser et a evaluer regulierement l'efficacite des mesures techniques et organisationnelles pour assurer la securite du traitement.
~ 15. Documentation
Le sous-traitant met a la disposition du responsable de traitement la documentation necessaire pour demontrer le respect de toutes ses obligations et pour permettre la realisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandate, et contribuer a ces audits.
Article 5 - Obligations du responsable de traitement vis-a-vis du sous-traitant
Le responsable de traitement s'engage a:
~ 1 - fournir au sous-traitant les donnees visees au II des presentes clauses
~ 2 - documenter par ecrit toute instruction concernant le traitement des donnees par le sous- traitant
~ 3 - veiller, au prealable et pendant toute la duree du traitement, au respect des obligations prevues par le reglement europeen sur la protection des donnees de la part du sous-traitant ~ 4 - superviser le traitement, y compris realiser les audits et les inspections aupres du sous- traitant
Fait a Gignac, le 2022
En deux exemplaires originaux,
Pour le sous-traitant, Pour la Communaute de communes
Vallee de l'Herault,
Le President,
Jean-Franc;:ois SOTO