Annexe sur la protection des données personnelles traitées par le service SITEW pour le compte des utilisateurs du service SITEW

Article 1 : Objet

Le présent document a pour objet de définir les conditions dans lesquelles SITEW traite, dans le cadre du Service, les données à caractère personnel des visiteurs ou clients finaux (“les Visiteurs”) du site Internet opéré par le Client ou l’Utilisateur gratuit du Service (ci-après « les Données Personnelles »), selon leur définition donnée à l’article 4.1 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

Il constitue l’accord écrit sur le traitement des Données Personnelles, requis par l’article 28 du RGPD, entre le responsable du traitement et le sous-traitant, et vient compléter les CGV ou CGU validées par le Client, dont il est partie intégrante.

Il est applicable à tous les traitements susceptibles d’être effectués par SITEW dans le cadre du Service souscrit par le Client ; qu’il s’agisse d’hébergement, de visualisation, de stockage, de modification, de diffusion, ou d’extraction de données à caractère personnel.

Le Tableau des Traitements récapitule les actes de traitements autorisés en fonction des prestations effectuées.

Article 2 : Responsabilités respectives des parties

Le Client assumera seul la qualité de responsable du traitement au sens du RGPD, des Données Personnelles des Visiteurs traitées par SITEW dans le cadre du Service ; SITEW n’ayant que la qualité de « sous-traitant» de ces données en sa qualité de prestataire.

SITEW ne sera tenue responsable, en sa qualité de sous-traitant, que des obligations spécifiquement mises à sa charge par l’Abonnement, ou par la réglementation en vigueur sur le respect des données personnelles ; ou encore s’il a agi en dehors des instructions précises du Client.

SITEW ne saurait être tenue responsable des manquements du Client à cette réglementation, et qui ne lui seraient aucunement imputables, en application de l’article 82.3 du RGPD.

En toutes hypothèses, la responsabilité de SITEW vis-à-vis du Client, en cas de recours d’un Visiteur au titre de la responsabilité solidaire instituée par l’article 82.4 du RGPD, est limitée au montant indiqué à l’article « Responsabilité » des Conditions Générales de Service.

Article 3 : Obligations du Client - garantie

Pour toutes les Données Personnelles que le Client est amené à traiter dans le cadre de l’utilisation du Service, et notamment celles traitées dans le cadre de son site Internet, ou des services de Messagerie et d’Emailing, le Client garantit à SITEW qu’il a procédé à l’ensemble des obligations qui lui incombent aux termes de la loi du 6 janvier 1978 dite «Informatique & Libertés » et en vertu des autres dispositions législatives et réglementaires, françaises et européennes, notamment au titre du RGPD. En conséquence, le Client garantit SITEW qu’il a informé les personnes physiques concernées et notamment les Visiteurs, de l’usage qui est fait de leurs données ainsi que des droits qui leur sont concédés (droit d’opposition, d’effacement, de limitation du traitement, droit d’accès et de rectification) et qu’il a, le cas échéant, obtenu leur consentement préalable notamment en cas de traitement à des fins de prospection commerciale. Il appartient au Client de fournir et de mettre en ligne sur son site Internet une politique de confidentialité qui soit conforme à la règlementation en vigueur. SiteW ne propose pas de “document type”, mais met à disposition du Client des outils techniques lui permettant de paramétrer certains critères de traitement des données personnelles, tels que la définition de la durée du traitement, leur effacement, ou encore l’extraction des données dans le cadre du droit d’accès.

Le Client garantit SITEW contre tout recours, plainte, ou réclamation émanant d’une personne physique (et notamment d’un Visiteur), dont les données personnelles seraient traitées par SITEW, ou ses sous-traitants, de quelque façon que ce soit, dans le cadre du Service. En conséquence, le Client garantit SITEW contre toute indemnité ou condamnation pouvant être mise à sa charge du fait du recours d’une personne physique, dont les Données Personnelles sont hébergées, copiées, visualisées, ou traitées d’une quelconque manière par SITEW dans le cadre du Service, et lié au non-respect par le Client de ses obligations légales ou contractuelles prévues à la présente Politique.

Article 4 : Traitements autorisés

Le Client autorise SITEW, en qualité de sous-traitant, à traiter les Données Personnelles, pour son compte, exclusivement pour les finalités prévues au Tableau des Traitements.

SITEW s'engage à :

  1. traiter les Données Personnelles uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance
  2. traiter les Données Personnelles conformément aux instructions documentées du Client.
  3. garantir la confidentialité des Données Personnelles traitées dans le cadre du présent contrat ;
  4. veiller à ce que les personnes autorisées à traiter les Données Personnelles en vertu du présent contrat :
    • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
    • reçoivent la formation nécessaire en matière de protection des données à caractère personnel

Article 5 : Sous-traitance ultérieure

En cas de recrutement de sous-traitants ultérieurs, au sens du RGPD, SITEW en informera préalablement et par écrit le Client, en indiquant clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Client disposera d’un délai de 15 jours à compter de la date de réception de cette information pour présenter ses objections. À défaut d'objection émise pendant ce délai, le sous-traitant ultérieur sera réputé agréé par le Client.

Les sous-traitants mentionnés au Tableau des Traitements ci-dessous sont réputés agréés par le Client à la date de la Commande.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du responsable de traitement. Il appartient à SITEW de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen sur la protection des données. En toutes hypothèses, SITEW demeurera pleinement responsable vis-à-vis du Client de l’exécution par le sous-traitant ultérieur de ses obligations.

Article 6 : Sécurité des données

SITEW mettra en œuvre les mesures nécessaires pour assurer la sécurité et la confidentialité des Données Personnelles qu’elle est amenée à traiter dans le cadre du Service.

Plus spécifiquement, SITEW s’engage à mettre en œuvre les mesures de sécurité suivantes :

  • Chiffrement de la transmission des données si l'option SSL est active sur le Site
  • Stockage sur des serveurs sécurisés
  • Mise à jour régulière des serveurs
  • Limitation des accès aux seuls services utilisés
  • Sauvegarde automatique et codée des données
  • Journalisation des accès afin de détecter tout accès non autorisé
  • Procédure de test régulière

En outre, en fonction de la nature des données personnelles, de leur sensibilité, et des risques pour les personnes concernées en cas de violation des données, SITEW mettra en œuvre, sur instructions du Client, des mesures supplémentaires de sécurité des Données Personnelles. Ces mesures pourront inclure un chiffrement des Données, leur pseudonymisation, ou encore des audits réguliers de la disponibilité et de la sécurité des Données. Elles donneront lieu, le cas échéant, à facturation supplémentaire, ou révision du prix de l’Abonnement, pour tenir compte des coûts induits par ces mesures de sécurité supplémentaires demandées par le Client.

Article 7 : Transfert de données hors Union européenne

Toutes les Données traitées par SITEW dans le cadre du Service sont stockées, ou hébergées sur des serveurs localisés dans l’Union européenne.

SITEW s’engage à ne réaliser aucun transfert de Données hors Union européenne.

Par ailleurs, SITEW s'engage à faire appel uniquement à des sous-traitants :

  • établis dans un pays de l'Union Européenne, et de préférence en France, ou
  • établis dans un pays présentant un niveau de protection dit adéquat au sens des autorités européennes de protection des données ou
  • disposant de garanties appropriées en application de l'article 46 du RGDP.

Article 8 : Exercice des droits par les Personnes Concernées

Il appartiendra au Client de traiter les demandes des personnes concernées quant à l’exercice des droits qui leur sont offerts par la réglementation applicable (notamment droit d’opposition, droit d’accès et de rectification, droit à la portabilité, droit d’effacement des données des mineurs, droit de limitation du traitement). Si les personnes concernées venaient à exercer auprès de SITEW des demandes d’exercice de leurs droits, celles-ci seront systématiquement renvoyées au Client pour qu’il les traite dans les délais légaux.

Article 9 : Violation de Données Personnelles

SITEW s’engage à notifier au Client toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance et par email. Cette notification sera accompagnée de toute documentation utile afin de permettre au Client, en tant que responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

Article 10 : Registre des traitements

SITEW déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :

  • le nom et les coordonnées du responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
  • les catégories de traitements effectués pour le compte du responsable du traitement ;
  • dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, mises en œuvre pour assurer la sécurité des Données.

Article 11 : Durée des traitements - restitution des Données Personnelles

Sauf accord contraire des Parties, les Données Personnelles seront traitées pour la durée de l’Abonnement souscrit par le Client, ou jusqu’à la clôture du Compte Client/Utilisateur, si celle-ci intervient plus tôt.

Au terme de l’Abonnement ou à la clôture de son Compte, SITEW s’engage à :

  • restituer toutes les Données Personnelles au Client ou, sur demande du Client, effectuée dans un délai de 60 jours à compter de la fin de l’Abonnement ou de la clôture de son Compte,
  • à les restituer à la société, nouveau sous-traitant, désigné par le Client.

Ces données seront restituées ou transmises sous un format lisible et ouvert, dans les conditions prévues à l’article « Conséquences de la fin de l’Abonnement » des Conditions Générales d’Utilisation (CGU) ou de Service (CGS).

Article 12 : Devoir d’assistance

SITEW fera ses meilleurs efforts pour assister le Client dans ses démarches visant à garantir la conformité des traitements de données personnelles avec la réglementation en vigueur. À ce titre, SITEW mettra à la disposition du Client toutes les informations nécessaires en cas de réalisation de tout audit de conformité ou sécurité, ou toute analyse d’impact menée par le Client. En revanche, la réalisation de démarches propres au Client, telles que la rédaction d’analyses d’impact, ou la déclaration à la CNIL d’une violation de Données, donnera lieu, le cas échéant, à facturation d’une prestation distincte.

Article 13 : Tableau des traitements

Prestation Actes de traitement autorisé Finalité
Hébergement
  • Enregistrement
  • Organisation
  • Consultation
  • Effacement
  • Destruction
  • Hébergement des Sites du Client
  • Suppression de Contenus illicites ou contraires aux CGU/CGV
Maintenance et Support
  • Enregistrement
  • Consultation
  • Extraction
  • Maintenance Corrective des Sites Assistance à l’Utilisateur
Messagerie
  • Enregistrement
  • Organisation et Structuration
  • Communication par transmission
  • Conservation
  • Effacement
  • Création d’adresses emails pour les Utilisateurs
  • Envoi et réception de messages électroniques pour le compte du Client
  • Filtre des spams et messages non sollicités
  • Maintenance du service
Emailing
  • Enregistrement
  • Organisation et Structuration
  • Utilisation
  • Communication par transmission
  • Diffusion
  • Conservation
  • Effacement
  • Envoi de Messages en masse sur la base de données fournie ou constituée par le Client
  • Présentation des résultats de la campagne et fourniture de statistiques

Article 14 : Liste des sous-traitants

Prestation sous-traitée Identité du sous-traitant
Hébergement
  • OVH
  • H8l.io
  • Scaleway