Mentions Légales

SOUS-TRAITANCE RGPD

Mises à jour le 26/11/2020

1. PRÉAMBULE

Le présent accord de traitement de données à caractère personnel (« l’Accord de Traitements de Données Personnelles » ou « l’Accord ») fait partie intégrante des CGA et des CGU, lorsque le Professionnel souscrit à un Abonnement et utilise la Plateforme, l’Outil et les Services.

L’Accord de Traitements de Données Personnelles réglemente les traitements de données à caractère personnel des Clients et Collaborateurs du Professionnel effectués par ce dernier dans le cadre de son utilisation de la Plateforme, de l’Outil et des Services (les « Traitements de Données »).

Au sens de l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »), KANTA agit en qualité de sous-traitant des Traitements de Données et le Professionnel en qualité de responsable de traitement. Ces qualités sont justifiées par le fait que :

  • KANTA a développé la Plateforme, l’Outil et les Services pour permettre aux Professionnels de gérer leurs opérations de révisions comptables et de simplifier leurs obligations de vigilance en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme ;
  • la Plateforme, l’Outil et les Services ont été développés par KANTA, en sa qualité d’éditeur de logiciels, pour répondre aux besoins des experts-comptables qui procèdent déjà à des opérations de révision comptable et d’évaluation du niveau de risque/vigilance de leurs Clients et réalisent, par voie de conséquence, des traitements de données pour cette finalité ;
  • les données relatives à leurs clients/bénéficiaires effectifs sur la Plateforme sont transmises par le Professionnel qui peut librement renseigner les informations de son choix au moyen de la case « Code » après avoir procédé à l’identification de son client ou du bénéficiaire effectif.

L’Accord de Traitements de Données Personnelles ne vaut pas renonciation pour KANTA à se prévaloir de son statut de responsable de traitement indépendant pour ses autres activités de traitement, tels que les traitements relatifs à la souscription à l’Abonnement, la fourniture de la Plateforme, de l’Outil et des Services, et/ou le suivi de la relation avec le Professionnel, pour lesquels le Professionnel a reçu l’information requise par la réglementation applicable lors de sa souscription à l’Abonnement.

2. OBJET

L’Accord a pour objet de définir les obligations du Professionnel ainsi que les conditions dans lesquelles ce dernier sous-traite à KANTA l’exécution des Traitements de Données en son nom et pour son compte dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services par le Professionnel.

3. DURÉE

L’Accord est applicable pendant toute la durée des Traitements de Données réalisés dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services par le Professionnel, et survivra, le cas échéant, après la résiliation de l’Abonnement par le Professionnel.

4. DÉFINITIONS

Le contenu de l’Accord faisant partie intégrante des CGA et des CGU, tous les termes en majuscule qui se retrouvent dans l’Accord ont le sens qui leur est donné dans les CGA et les CGU.

5. Description des Traitements de Données objet de la sous-traitance

Les Traitements de Données réalisés par le Professionnel dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services sont les suivants :

Finalités
Sous-Finalités
Catégories de données Personnes concernées

1. Gestion des risques clients en matière de lutte anti-blanchiment et de financement du terrorisme

  • Création des Fiches Clients
  • Création des Fiches Bénéficiaires Effectifs
  • Détermination du niveau de risque/vigilance du Client
  • Suivi du Client

Données d’identification : Nom, prénom, date et lieu de naissance, nationalité, adresse mail, adresse postale, numéro de téléphone, numéro de la carte d’identité ou du passeport, Extrait Kbis du Client.

Données de localisation : pays du Client, pays des Bénéficiaires Effectifs

Activité du Client, Mission confiée au Professionnel

Risque attaché au Client

Clients

2. Gestion des habilitations d’accès du personnel du professionnel

Gestion des habilitations d’accès à la Plateforme, à l’Outil et au Services du personnel du professionnel

Données d’identification : Nom, prénoms, adresse mail, identifiant et mot de passe.

Collaborateurs

6. OBLIGATIONS DU PROFESSIONNEL

Le Professionnel, en tant que Responsable de traitement, s’engage à respecter l’ensemble de ses obligations au titre du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004 puis par la loi du 20 juin 2018 relative à l’informatique, aux fichiers et aux libertés (la « LIL »), et de toute autre réglementation française ou européenne applicable en matière de protection de Données Personnelles (la « Législation Applicable sur la Protection des Données Personnelles ») et notamment, le cas échéant, à tenir un registre des activités de traitements de Données Personnelles et à réaliser une analyse d'impact relative à la protection des Données Personnelles, lorsqu’il réalise des Traitements de Données susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le Professionnel s’engage en outre à traiter les Données Personnelles conformément aux termes de l’Accord. S’il entend traiter les Données Personnelles pour une finalité autre que celles prévues à l’Accord, il s’engage à ne le faire qu'après s'être assuré que cette utilisation ultérieure est compatible avec l’utilisation initiale prévue par l’Accord.

Le Professionnel s’engage par ailleurs à fournir à KANTA toutes les informations et instructions documentées nécessaires à la bonne exécution des Traitements de Données et toutes autres informations requises et nécessaires aux personnes concernées sur les Traitements de Données et à lui indiquer toute évolution des Traitements de Données, étant précisé que les instructions fournies par le Professionnel ne peuvent en aucune façon avoir pour objet ou pour effet de modifier les conditions et modalités de l’Accord, des CGA et/ou des CGU et, à coopérer avec KANTA et lui fournir, le cas échéant, les coordonnées de son référent données personnelles.

7. OBLIGATIONS DE KANTA

KANTA s’engage à agir en stricte conformité avec les termes des présentes, ainsi que l’ensemble de la Législation Applicable sur la Protection des Données Personnelles.

KANTA devra agir exclusivement sur les instructions documentées du Professionnel pendant la durée des présentes, y compris en ce qui concerne les transferts de Données vers un pays situé en dehors de l’Union européenne (sous réserve de la mise en œuvre de ses obligations légales dont KANTA devra alors préalablement informer le Professionnel, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public). Si toutefois KANTA considère qu’une instruction constitue une violation de la Législation Applicable sur la Protection des Données Personnelles, elle en informera immédiatement le Professionnel par écrit.

Plus particulièrement, KANTA devra respecter les obligations énumérées ci-après et les faire respecter par son personnel ainsi que par ses propres sous-traitants :

  1. traiter les Données Personnelles au nom et pour le compte du Professionnel pour les seules finalités déterminées par le Professionnel et identifiées à l’Article 5 de la présente, étant précisé que KANTA s’interdit d’utiliser pour quelque fin que ce soit, à son profit, les Données Collaborateurs, Clients et Bénéficiaires Effectifs collectées dans le cadre des Traitements de Données ;
  2. mettre à la disposition du Professionnel toutes les informations nécessaires pour démontrer le respect des obligations prévues par la Législation Applicable sur la Protection des Données Personnelles, permettre la réalisation d'audits ou d’analyses d’impact et y contribuer ;
  3. mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des Traitements ainsi que des risques ;
  4. garantir la confidentialité des Données Personnelles traitées et veiller à ce que son personnel ou ses sous-traitants s’engagent à en respecter la confidentialité ;
  5. notifier le Professionnel d’une violation de Données Personnelles qu’elle aurait subi, dans les meilleurs délais, après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Professionnel, si nécessaire, de notifier cette violation à la CNIL ;
  6. aider et assister le Professionnel à garantir le respect des obligations prévues par la Législation Applicable sur la Protection des Données Personnelles, en particulier dans le cadre de la réalisation d’analyses d’impact, en matière de sécurité des Traitements, pour la consultation préalable de la CNIL, la notification à la CNIL d’une violation de Données Personnelles et, le cas échéant, sa communication à la personne concernée, et ce compte tenu de la nature du Traitement et des informations à la disposition de KANTA ;
  7. procéder, au choix du Professionnel, à la restitution ou à la destruction de tous fichiers papiers ou informatisés, stockant les Données Personnelles et qui sont en la possession de KANTA, et le cas échéant, à la destruction des copies, à l’exception de toute conservation qui serait exigée par le droit applicable à compter de la fin des CGA.

Dans le cadre des points visés ci-dessus, le Professionnel s’engage à formuler ses demandes dans des délais suffisants pour permettre à KANTA d’y répondre sans désorganiser son activité, ni avoir à travailler dans l’urgence.

Par ailleurs, KANTA s’engage à tenir et à prendre à sa charge, sous sa responsabilité et à ses frais, conformément à l’article 30.2 du RGPD, un registre des activités de traitements effectuées en sa qualité de sous-traitant.

8. SOUS-TRAITANCE ULTÉRIEURE

8.1. Le Professionnel convient que KANTA a la possibilité de faire appel à un autre sous-traitant pour réaliser les Traitements de Données. Dans ce cas, il informe préalablement et par écrit le Professionnel de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants donnant ainsi au Professionnel la possibilité d’émettre des objections et des réserves.

Le Professionnel est informé que KANTA fait appel à OVH en qualité d’hébergeur des Données.

8.2. KANTA devra répercuter toutes les obligations prévues aux présentes dans son contrat avec chacun de ses sous-traitants autorisés ayant accès aux Données et vocation à les traiter, et ces sous-traitants seront tenus de les respecter. Ceci s’appliquera, en particulier, aux garanties suffisantes à présenter quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin que les Traitements de Données répondent aux exigences de la Législation Applicable sur la Protection des Données Personnelles.

9. RÉSPONSABILITÉS

Lorsque l’une des Parties est individuellement responsable d’un dommage causé par le Traitement de Données, elle est tenue pour seule responsable de ce dommage dans sa totalité afin de garantir aux personnes concernées une réparation effective.

Le Professionnel devra tenir KANTA indemne de toute condamnation/conséquence financière auxquelles celui-ci pourra être exposé en cas de revendications ou actions d’un tiers résultant d’un manquement à ses obligations de responsable de traitement qui ne résulterait pas d’un manquement de KANTA à ses obligations de sous-traitant.

KANTA est tenu pour responsable du dommage causé par les Traitements de Données, dès lors qu'il n'a pas respecté les obligations prévues par la Législation Applicable sur la Protection des Données Personnelles qui incombent spécifiquement aux sous-traitants ou qui lui ont été délégués par le Professionnel ou qu’il a agi en-dehors des instructions documentées du Professionnel ou contrairement à celles-ci.

En cas de condamnation du Professionnel à une amende administrative ou à toute autre décision leur créant préjudice, KANTA s’engage, par voie de conséquence, si sa responsabilité est prouvée par le Professionnel, à le dédommager à hauteur des condamnations ou préjudices exposés.

10. DISPOSITIONS DIVERSES

La loi applicable et la juridiction compétente en cas de réclamation, action, demande, procédure et/ou poursuite relatives à l'existence, la validité, l’interprétation, l’exécution, la violation ou la résiliation de l’Accord sont celles indiquées aux CGA et CGU.

Toute modification de l’Accord ne prendra effet que s’il est convenu par écrit entre les Parties et signé par une personne autorisée par chacune des Parties.