Offres
API
Connexion
Documents similaires
Acte - 2022 42 convention mpo 2
Déliberation - 2022 42 convention mpo 003
Déliberation - 2022 42 convention mpo
Acte - 2022 35d teletransmission des actes soumis au cont
Déliberation - dcm ccas
Déliberation - 2022 34 convention tam 003
Déliberation - 2022 42d adhesion au dispositif de mediation preal
Déliberation - DCM 2022 42 renouvellement convention mission DPD
Compte-Rendu - compte rendu cm du 17.10 2022 2
Déliberation - 063 2022 Convention MPO CDG convention
Acte - 2022 42 convention mpo 2 003
Document publié le undefined NaN undefined NaN à NaNhNaN par la commune de Choisy.
Lien du pdf (Acte - 2022 42 convention mpo 2 003)
Thèmes du document : Données personnelles, Cybersécurité, Industrie,
Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
Publié le
es
ID
: 074-217400761-20221206-2022_42ANN-CC
ANNEXE
RGPD
-— Convention
de
mise
en
VTE
de
la
médiation
préalable
obligatoire
par
le
CDG74
Entre
:
La
collectivité,
ci-après
désignée
par
«
/e responsable
de
traitement>
qui
désigne
la
notion
de
responsable
de
traitement
au
sens
du
Règlement
Général
sur
la
Protection
des
Données,
d'une
part,
Et: Le
CDG74,
ci-après
désigné
par
«
/e
sous-traitant»
qui
désigne
la
notion
de
sous-traitant
au
sens
du
Règlement
Général
sur
la
Protection
des
Données,
d'autre
part,
I.
Objet Les
présentes
clauses
ont
pour
objet
de
définir
les
conditions
dans
lesquelles
le
sous-traitant
s'engage
à
effectuer
pour
le
compte
du
responsable
de
traitement
les
opérations
de
traitement
de
données
à
caractère
personnel
définies
ci-après.
Les
présentes
clauses
s'appliquent
aux
prestations
de
traitement
de
données
à
caractère
personnel
effectuées
par
le
sous-traitant
dans
le
cadre
de
l'exécution
de
la
convention
à
laquelle
elles
sont
annexées.
Dans
le
cadre
de
leurs
relations
contractuelles,
les
parties
s'engagent
à
respecter
la
réglementation
en
vigueur
applicable
au
traitement
de
données
à
caractère
personnel
et,
en
particulier,
le
règlement
(UE)
2016/679
du
Parlement
européen
et
du
Conseil
du
27
avril
2016
applicable
à
compter
du
25
mai
2018
(ci-après,
«
/e
règlement
européen
sur
la
protection
des
données
>»).
IT.
Description
du
traitement
faisant
l’objet
de
la
sous-traitance
Le
sous-traitant
est
autorisé
à
traiter
pour
le
compte
du
responsable
de
traitement
les
données
à
caractère
personnel
nécessaires
pour
fournir
le
ou
les
service(s)
suivant(s)
:médiation
préalable
obligatoire La
nature
des
opérations
réalisées
sur
les
données
est
:
- constitution
d’une
liste
des
collectivités
et
établissements
ayant
confié
la
mise
en
œuvre
de
la
MPO
au
CDG74
La
ou
les
finalité(s)
du
traitement
sont :
- suivi
des
saisines
et
communications
ciblées
Les
données
à
caractère
personnel
traitées
sont
:
- noms,
prénoms,
fonctions,
coordonnées
mail
et téléphone
des
contacts
au
sein
de
chaque
collectivité
et
établissement
Les
catégories
de
personnes
concernées
sont
:
- agents
et élus
des
collectivités
adhérentes
au
dispositif
Pour
l'exécution
du
service
objet
du
présent
contrat,
le
responsable
de
traitement
met
à
la
disposition
du
sous-traitant
les
informations
nécessaires
suivantes
:
- noms,
prénoms,
fonctions,
coordonnées
mail
et
téléphone
des
contacts
au
sein
de
chaque
collectivité
et
établissement
CDG
74
—
Maison
de
la
FPT
de
la
Haute
Savoie
—
55
rue
du
Val
Vert
—
CS
30
138
74601
SEYNOD
Cedex
Tél
:04
50
51
98
50
—
Fax
:04
50
45
52
34
-
Courriel
:cdg74@cdg74.fr Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
UT.
Obligations
du
sous-traitant
vis-à-vis
du
responsable
de
tral
rubis
ie
——
Le
sous-traitant
s'engage
à
:
ID : 074-217400761-20221206-2022_42ANN-CC
1.
traiter
les
données
uniquement
pour
la
ou
les
seule(s)
finalité(s)
qui
fait/font
l'objet
de
la
sous-traitance
2.
traiter
les
données
conformément
aux
instructions
spécifiques
documentées
du
responsable
de
traitement
figurant
en
annexe
de
la
présente
convention.
Si
le
sous-traitant
considère
qu'une
instruction
constitue
une
violation
du
règlement
européen
sur
la
protection
des
données
ou
de
toute
autre
disposition
du
droit
de
l'Union
ou
du
droit
des
Etats
membres
relative
à
la
protection
des
données,
il
en
informe
immédiatement
le
responsable
de
traitement.
En
outre,
si
le
sous-traitant
est
tenu
de
procéder
à
un
transfert
de
données
vers
un
pays
tiers
ou
à
une
organisation
internationale,
en
vertu
du
droit
de
l'Union
ou
du
droit
de
l'Etat
membre
auquel
il
est
soumis,
il
doit
informer
le
responsable
du
traitement
de
cette
obligation
juridique
avant
le
traitement,
sauf
si
le
droit
concerné
interdit
une
telle
information
pour
des
motifs
importants
d'intérêt
public.
En
l'absence
d'instructions
spécifiques
documentées
du
responsable
de
traitement,
les
instructions
figurant
dans
le
ZI.
« Description
du
traitement
faisant
l'objet
de
la
sous-
traitance
» de
la
présente
annexe
seront
appliquées
dans
le
respect
de
la
politique
de
protection
des
données
du
CDG74
accessible
sur
son
site
Internet.
3.
garantir
la
confidentialité
des
données
à
caractère
personnel
traitées
dans
le
cadre
du
présent
contrat
4.
veiller
à ce
que
les
personnes
autorisées
à
traiter
les
données
à
caractère
personnel
en
vertu
du
présent
contrat
:
"s'engagent
à
respecter
la
confidentialité
ou
soient
soumises
à
une
obligation
légale
appropriée
de
confidentialité
"reçoivent
la
formation
nécessaire
en
matière
de
protection
des
données
à
caractère
personnel.
5.
prendre
en
compte,
s'agissant
de
ses
outils,
produits,
applications
ou
services,
les
principes
de
protection
des
données
dès
la
conception
et
de
protection
des
données
par
défaut
6.
Sous-traitance Le
sous-traitant
peut
faire
appel
à
un
autre
sous-traitant
(ci-après,
«
/e sous-traitant
ultérieur
>)
pour
mener
des
activités
de
traitement
spécifiques.
Dans
ce
cas,
il informe
préalablement
et
par
écrit
le
responsable
de
traitement
de
tout
changement
envisagé
concernant
l'ajout
ou
le
remplacement
d'autres
sous-traitants.
Cette
information
doit
indiquer
clairement
les
activités
de
traitement
sous-traitées,
l'identité
et
les
coordonnées
du
sous-traitant
et
les
dates
du
contrat
de
sous-traitance.
Le
responsable
de
traitement
dispose
d'un
délai
minium
de
1 mois
à
compter
de
la date
de
réception
de
cette
information
pour
présenter
ses
objections.
Cette
sous-traitance
ne
peut
être
effectuée
que
si
le
responsable
de
traitement
n'a
pas
émis
d'objection
pendant
le délai
convenu.
Le
sous-traitant
ultérieur
est
tenu
de
respecter
les
obligations
du
présent
contrat
pour
le
compte
et selon
les
instructions
du
responsable
de
traitement.
Il appartient
au
sous-
traitant
initial
de
s'assurer
que
le sous-traitant
ultérieur
présente
les
mêmes
garanties
suffisantes
quant
à
la
mise
en
œuvre
de
mesures
techniques
et
organisationnelles
appropriées
de
manière
à
ce
que
le traitement
réponde
aux
exigences
du
règlement
européen
sur
la
protection
des
données.
Si
le sous-traitant
ultérieur
ne
remplit
pas
ses
obligations
en
matière
de
protection
des
données,
le sous-traitant
initial
demeure
pleinement
responsable
devant
le
responsable
de
traitement
de
l'exécution
par
l’autre
sous-traitant
de
ses
obligations.
7.
Droit
d'information
des
personnes
concernées
Il appartient
au
responsable
de
traitement
de
fournir
l'information
aux
personnes
concernées
par
les
opérations
de
traitement
au
moment
de
la collecte
des
données.
CDG
74
—
Maison
de
la
FPT
de
la
Haute
Savoie
—
55
rue
du
Val
Vert
—
CS
30
138
74601
SEYNOD
Cedex
Tél
:04
50
51
98
50
— Fax
:04
50
45
52
34
—
Courriel
:cdg74@cdg74.fr Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
8.
Exercice
des
droits
des
personnes
Publié le
element
Dans
la
mesure
du
possible,
le sous-traitant
doit
aider
le
respd}1b:074-217400761-20221206-2022_42ANN-cC
s'acquitter
de
son
obligation
de
donner
suite
aux
demandes
d'exercice
des
droits
des
personnes
concernées
:droit
d'accès,
de
rectification,
d'effacement
et
d'opposition,
droit
à
la
limitation
du
traitement,
droit
à
la
portabilité
des
données,
droit
de
ne
pas
faire
l'objet
d’une
décision
individuelle
automatisée
(y
compris
le
profilage).
Lorsque
les
personnes
concernées
exercent
auprès
du
sous-traitant
des
demandes
d'exercice
de
leurs
droits,
le
sous-traitant
doit
adresser
ces
demandes
dès
réception
par
courrier
électronique
à
yguillotte@choisy.fr
ou
par
courrier
postal
à
l'adresse
indiquée
en
préambule
de
la
convention
en
l'absence
d'adresse
électronique.
9,
Notification
des
violations
de
données
à
caractère
personnel
Le
sous-traitant
notifie
au
responsable
de
traitement
toute
violation
de
données
à
caractère
personnel
dans
un
délai
maximum
de
72
heures
après
en
avoir
pris
connaissance
et
par
le
moyen
suivant
:message
électronique
ou
courrier
en
l'absence
d'adresse
de
messagerie
indiquée
au
point
8.
Cette
notification
est
accompagnée
de
toute
documentation
utile
afin
de
permettre
au
responsable
de
traitement,
si
nécessaire,
de
notifier
cette
violation
à
l'autorité
de
contrôle
compétente.
Après
accord
du
responsable
de
traitement,
le
sous-traitant
notifie
à
l'autorité
de
contrôle
compétente
(la
CNIL),
au
nom
et
pour
le
compte
du
responsable
de
traitement,
les
violations
de
données
à
caractère
personnel
dans
les
meilleurs
délais
et,
si
possible,
72
heures
au
plus
tard
après
en
avoir
pris
connaissance,
à
moins
que
la
violation
en
question
ne
soit
pas
susceptible
d'engendrer
un
risque
pour
les
droits
et
libertés
des
personnes
physiques. La
notification
contient
au
moins
:
"
la
description
de
la
nature
de
la
violation
de
données
à
caractère
personnel
y compris,
si
possible,
les
catégories
et
le
nombre
approximatif
de
personnes
concernées
par
la
violation
et
les
catégories
et
le
nombre
approximatif
d'enregistrements
de
données
à
caractère
personnel
concernés
;
"
le
nom
et
les
coordonnées
du
délégué
à la
protection
des
données
ou
d'un
autre
point
de
contact
auprès
duquel
des
informations
supplémentaires
peuvent
être
obtenues
;
n
la
description
des
conséquences
probables
de
la
violation
de
données
à
caractère
personnel
;
»
la
description
des
mesures
prises
ou
que
le
responsable
du
traitement
propose
de
prendre
pour
remédier
à
la
violation
de
données
à
caractère
personnel,
y
compris,
le
cas
échéant,
les
mesures
pour
en
atténuer
les
éventuelles
conséquences
négatives.
Si,
et
dans
la
mesure
où
il nest
pas
possible
de
fournir
toutes
ces
informations
en
même
temps,
les
informations
peuvent
être
communiquées
de
manière
échelonnée
sans
retard
indu. Après
accord
du
responsable
de
traitement,
le
sous-traitant
communique,
au
nom
et
pour
le
compte
du
responsable
de
traitement,
la
violation
de
données
à
caractère
personnel
à
la
personne
concernée
dans
les
meilleurs
délais,
lorsque
cette
violation
est
susceptible
d'engendrer
un
risque
élevé
pour
les
droits
et
libertés
d'une
personne
physique.
La
communication
à
la
personne
concernée
décrit,
en
des
termes
clairs
et
simples,
la
nature
de
la
violation
de
données
à
caractère
personnel
et
contient
au
moins
:
"
la
description
de
la
nature
de
la
violation
de
données
à
caractère
personnel
y compris,
si
possible,
les
catégories
et
le
nombre
approximatif
de
personnes
concernées
par
la
violation
et
les
catégories
et
le
nombre
approximatif
d'enregistrements
de
données
à
caractère
personnel
concernés
;
"
le
nom
et
les
coordonnées
du
délégué
à
la
protection
des
données
ou
d'un
autre
point
de
contact
auprès
duquel
des
informations
supplémentaires
peuvent
être
obtenues
;
"
la
description
des
conséquences
probables
de
la
violation
de
données
à
caractère
personnel
;
"
la
description
des
mesures
prises
ou
que
le
responsable
du
traitement
propose
de
prendre
pour
remédier
à
la
violation
de
données
à
caractère
personnel,
y
compris,
le
cas
échéant,
les
mesures
pour
en
atténuer
les
éventuelles
conséquences
négatives.
CDG
74
—
Maison
de
la
FPT
de
la
Haute
Savoie
—
55
rue
du
Val
Vert
—
CS
30
138
74601
SEYNOD
Cedex
Tél
:04
50
51
98
50
— Fax
:04
50
45
52
34
—
Courriel
:cdg/4@cdg74.fr Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
10.
Aide
du
sous-traitant
dans
le
cadre
du
respect
par
le
rd
Publiée
ment
de
ses
obligations
ID
:074-217400761-20221206-2022_42ANN-CC
Le
sous-traitant
aide
le
responsable
de
traitement
pour
la
réalisation
d'analyses
d'impact
relatives
à
la
protection
des
données.
Le
sous-traitant
aide
le
responsable
de
traitement
pour
la
réalisation
de
la
consultation
préalable
de
l'autorité
de
contrôle.
11.
Mesures
de
sécurité
Le
sous-traitant
s'engage
à
prendre
toutes
les
précautions
utiles
afin
de
préserver
la
sécurité
des
données
et
notamment
de
les
protéger
contre
toute
destruction
accidentelle
ou
illicite,
perte
accidentelle
ou
illicite,
altération,
diffusion
ou
accès
non
autorisés,
ainsi
que
contre
toute
autre
forme
de
traitement
illicite
ou
communication
à
des
personnes
non
autorisées. Le
sous-traitant
s'engage
notamment
à
mettre
en
œuvre
:
“les
moyens
permettant
de
garantir
la
confidentialité,
l'intégrité,
la
disponibilité
et
la
résilience
constantes
des
systèmes
et des
services
de
traitement;
“les
moyens
permettant
de
rétablir
la
disponibilité
des
données
à
caractère
personnel
et
l'accès
à
celles-ci
dans
des
délais
appropriés
en
cas
d'incident
physique
ou
technique;
"une
procédure
visant
à
tester,
à
analyser
et
à
évaluer
régulièrement
l'efficacité
des
mesures
techniques
et
organisationnelles
pour
assurer
la
sécurité
du
traitement,
"les
mesures
de
sécurité
prévues
par
la
politique
de
protection
des
données
du
CDG74.
Le
sous-traitant
s'engage
à
transmettre
au
responsable
de
traitement,
à
sa
demande,
la
liste
des
mesures
de
sécurité
mises
en
œuvre.
12.
Sort
des
données
Au
terme
de
la
prestation
de
services
relative
au
traitement
de
ces
données,
le sous-
traitant
s'engage
à
:
.
à
renvoyer
les
données
à
caractère
personnel
au
sous-traitant
désigné
par
le
responsable
de
traitement
Le
renvoi
doit
s'accompagner
de
la
destruction
de
toutes
les
copies
existantes
dans
les
systèmes
d'information
du
sous-traitant.
Une
fois
détruites,
le sous-traitant
doit
justifier
par
écrit
de
la
destruction.
13.
Délégué
à
la
protection
des
données
Le
sous-traitant
communique
au
responsable
de
traitement
le
nom
et
les
coordonnées
de
son
délégué
à
la
protection
des
données,
s'il
en
a
désigné
un
conformément
à
l'article
37
du
règlement
européen
sur
la
protection
des
données.
Pour
le CDG74,
il s'agit
de
:
David
GONCALVES,
société
Groupe
Si2A
— dpo@cdg74.fr
14.
Registre
des
catégories
d'activités
de
traitement
Le
sous-traitant
déclare
tenir
par
écrit
un
registre
de
toutes
les
catégories
d'activités
de
traitement
effectuées
pour
le
compte
du
responsable
de
traitement
comprenant
:
.
le
nom
et
les
coordonnées
du
responsable
de
traitement
pour
le
compte
duquel
il agit,
des
éventuels
sous-traitants
et,
le
cas
échéant,
du
délégué
à
la
protection
des
données;
.
les
catégories
de
traitements
effectués
pour
le
compte
du
responsable
du
traitement;
,
le
cas
échéant,
les
transferts
de
données
à
caractère
personnel
vers
un
pays
tiers
ou
à
une
organisation
internationale,
y compris
l'identification
de
ce
pays
tiers
ou
de
cette
organisation
internationale
et,
dans
le
cas
des
transferts
visés
à
l'article
49,
paragraphe
1,
deuxième
alinéa
du
règlement
européen
sur
la
protection
des
données,
les
documents
attestant
de
l'existence
de
garanties
appropriées:
°
dans
la
mesure
du
possible,
une
description
générale
des
mesures
de
sécurité
techniques
et
organisationnelles,
y
compris
entre
autres,
selon
les
besoins
:
o
la
pseudonymisation
et
le
chiffrement
des
données
à
caractère
personnel;
CDG
74
—
Maison
de
la
FPT
de
la
Haute
Savoie
—
55
rue
du
Val
Vert
—
CS
30
138
74601
SEYNOD
Cedex
Tél
:04
50
51
98
50
— Fax
:04
50
45
52
34
—
Courriel
:cdg74@cdg74.fr Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
o
des moyens
permettant de garantir la confidentialité,
Pub le
ME ET
la
résilience
constantes
des
systèmes
et
des
servicelID
: 074-217400761-20221206-2022_42ANN
CC
o
des
moyens
permettant
de
rétablir
la
disponibilité
des
données
à
caractère
personnel
et
l'accès
à
celles-ci
dans
des
délais
appropriés
en
cas
d'incident
physique
ou
technique;
o
une
procédure
visant
à
tester,
à
analyser
et
à
évaluer
régulièrement
l'efficacité
des
mesures
techniques
et
organisationnelles
pour
assurer
la
sécurité
du
traitement.
15.
Documentation Le
sous-traitant
met
à
la
disposition
du
responsable
de
traitement
la documentation
nécessaire
pour
démontrer
le
respect
de
toutes
ses
obligations
et
pour
permettre
la
réalisation
d'audits,
y compris
des
inspections,
par
le
responsable
du
traitement
où
un
autre
auditeur
qu'il
a
mandaté,
et contribuer
à
ces
audits.
V.
Obligations
du
responsable
de
traitement
vis-à-vis
du
sous-traitant
Le
responsable
de
traitement
s'engage
à
:
1.
fournir
au
sous-traitant
les
données
visées
au
II des
présentes
clauses
2.
documenter
par
écrit
toute
instruction
concernant
le
traitement
des
données
par
le
sous-
traitant
3.
veiller,
au
préalable
et
pendant
toute
la
durée
du
traitement,
au
respect
des
obligations
prévues
par
le
règlement
européen
sur
la
protection
des
données
de
la
part
du
sous-traitant
4.
superviser
le traitement,
y compris
réaliser
les audits
et les
inspections
auprès
du
sous-traitant
Fait
en
2
exemplaires,
Pour
le
responsable.
de
traitement,
Pour
le sous-traitant,
ï
OI 1)
Le Président du CDG74
|
LEA
Baup
y
M,
Yves
GUILLOTTE
M.
Antoine
de
MENTHON
CDG
74
—
Maison
de
la
FPT
de
la
Haute
Savoie
—
55
rue
du
Val
Vert
—
CS
30
138
74601
SEYNOD
Cedex
Tél
: 04
50
51
98
50
— Fax
: 04
50
45
52
34
-— Courriel
: cdg/4@cdg74.fr Envoyé
en
préfecture
le
12/12/2022
Reçu
en
préfecture
le
12/12/2022
Publié le
lement
ID
: 074-217400761-20221206-2022_42ANN-CC