logo

Sous-traitance RGPD

Mises à jour le 27-02-2023
1. PRÉAMBULE
2. OBJET
3. DURÉE
4. DÉFINITIONS
5. Description des Traitements de Données objet de la sous-traitance
6. OBLIGATIONS DU PROFESSIONNEL
7. OBLIGATIONS DE KANTA
8. SOUS-TRAITANCE ULTÉRIEURE
9. RESPONSABILITÉS
10. DISPOSITIONS DIVERSES
1. PRÉAMBULE

L’Accord de Traitements de Données Personnelles règlemente les traitements de données à caractère personnel des Clients et Utilisateurs du Professionnel effectués par ce dernier dans le cadre de son utilisation de la Plateforme, de l’Outil et des Services (les « Traitements de Données »).

Au sens de l’article 28 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le « RGPD »), KANTA agit en qualité de sous-traitant des Traitements de Données et le Professionnel en qualité de responsable de traitement. Ces qualités sont justifiées par le fait que :

  • KANTA a développé la Plateforme, l’Outil et les Services pour permettre aux Professionnels de gérer leurs opérations de révisions comptables et de simplifier leurs obligations de vigilance en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme ;
  • la Plateforme, l’Outil et les Services ont été développés par KANTA, en sa qualité d’éditeur de logiciels, pour répondre aux besoins des experts-comptables qui procèdent déjà à des opérations de révision comptable et d’évaluation du niveau de risque/vigilance de leurs Clients et réalisent, par voie de conséquence, des traitements de données pour cette finalité ;
  • les Données Clients sont directement transmises sur la Plateforme par le Professionnel qui renseigne les informations de son choix après avoir identifié son Client ou le Bénéficiaire Effectif ou alternativement donne l’ordre à KANTA de les importer de façon automatique.

L’Accord de Traitements de Données Personnelles ne vaut pas renonciation pour KANTA à se prévaloir de son statut de responsable de traitement indépendant pour ses autres activités de traitement, tels que les traitements relatifs à la souscription à l’Abonnement, la fourniture de la Plateforme, de l’Outil et des Services, et/ou le suivi de la relation avec le Professionnel, pour lesquels le Professionnel a reçu l’information requise par la réglementation applicable lors de sa souscription à l’Abonnement.

2. OBJET

L’Accord a pour objet de définir les obligations du Professionnel ainsi que les conditions dans lesquelles ce dernier sous-traite à KANTA l’exécution des Traitements de Données en son nom et pour son compte dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services par le Professionnel.

3. DURÉE

L’Accord est applicable pendant toute la durée des Traitements de Données réalisés dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services par le Professionnel, et survivra, le cas échéant, après la résiliation de l’Abonnement par le Professionnel.

4. DÉFINITIONS

Le contenu de l’Accord faisant partie intégrante des Conditions de Services, tous les termes en majuscule qui se retrouvent dans l’Accord ont le sens qui leur est donné dans les Conditions de Services.

5. Description des Traitements de Données objet de la sous-traitance

Les Traitements de Données réalisés par le Professionnel dans le cadre de l’utilisation de la Plateforme, de l’Outil et des Services sont les suivants :

Finalités
Sous-Finalités 		Catégories de données Personnes concernées

1. Évaluation de la conformité LAB-FT

  • Détermination du niveau de risque / vigilance du Client
  • Suivi du Client

Données d’identification : Nom, prénom, date et lieu de naissance, nationalité, adresse mail, adresse postale, numéro de téléphone, numéro de la carte d’identité ou du passeport, Extrait Kbis du Client.

Données de localisation : pays du Client, pays des Bénéficiaires Effectifs

Activité du Client, Mission confiée au Professionnel

Risque attaché au Client

Clients

2. Gestion du portefeuille Client

  • Importation, récupération et mise à jour du Portefeuille Client
  • Audit du Portefeuille Client
  • Création des Fiches Clients / Bénéficiaires Effectifs

Données d’identification : Nom, prénom, date et lieu de naissance, nationalité, adresse mail, adresse postale, numéro de téléphone, numéro de la carte d’identité ou du passeport, Extrait Kbis du Client.

Données de localisation : pays du Client, pays des Bénéficiaires Effectifs

Activité du Client, Mission confiée au Professionnel

Clients

3. Gestion des droits d’accès et d’administration des Utilisateurs

Gestion des droits d’administration des dossiers Clients, des droits d’affectation aux dossiers Clients et des droits d’accès à l’Outil, à la Plateforme et aux services.

Données d’identification : Nom, prénoms, adresse mail, identifiant et mot de passe.

Utilisateurs

6. OBLIGATIONS DU PROFESSIONNEL

Le Professionnel, en tant que Responsable de traitement, s’engage à respecter l’ensemble de ses obligations au titre du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004 puis par la loi du 20 juin 2018 relative à l’informatique, aux fichiers et aux libertés (la « LIL »), et de toute autre réglementation française ou européenne applicable en matière de protection de Données Personnelles (la « Législation Applicable sur la Protection des Données Personnelles ») et notamment, le cas échéant, à tenir un registre des activités de traitements de Données Personnelles et à réaliser une analyse d'impact relative à la protection des Données Personnelles, lorsqu’il réalise des Traitements de Données susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le Professionnel s’engage en outre à traiter les Données Personnelles conformément aux termes de l’Accord. S’il entend traiter les Données Personnelles pour une finalité autre que celles prévues à l’Accord, il s’engage à ne le faire qu'après s'être assuré que cette utilisation ultérieure est compatible avec l’utilisation initiale prévue par l’Accord.

Le Professionnel s’engage par ailleurs à fournir à KANTA toutes les informations et instructions documentées nécessaires à la bonne exécution des Traitements de Données et toutes autres informations requises et nécessaires aux personnes concernées sur les Traitements de Données et à lui indiquer toute évolution des Traitements de Données, étant précisé que les instructions fournies par le Professionnel ne peuvent en aucune façon avoir pour objet ou pour effet de modifier les conditions et modalités de l’Accord, ou des Conditions de Services et, à coopérer avec KANTA et lui fournir, le cas échéant, les coordonnées de son référent données personnelles.

7. OBLIGATIONS DE KANTA

KANTA s’engage à agir en stricte conformité avec les termes des présentes, ainsi que l’ensemble de la Législation Applicable sur la Protection des Données Personnelles.

KANTA devra agir exclusivement sur les instructions documentées du Professionnel pendant la durée des présentes, y compris en ce qui concerne les transferts de Données vers un pays situé en dehors de l’Union européenne (sous réserve de la mise en œuvre de ses obligations légales dont KANTA devra alors préalablement informer le Professionnel, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public). Si toutefois KANTA considère qu’une instruction constitue une violation de la Législation Applicable sur la Protection des Données Personnelles, elle en informera immédiatement le Professionnel par écrit.

Plus particulièrement, KANTA devra respecter les obligations énumérées ci-après et les faire respecter par son personnel ainsi que par ses propres sous-traitants :

  • traiter les Données Personnelles au nom et pour le compte du Professionnel pour les seules finalités déterminées par le Professionnel et identifiées à l’Article 5 de la présente, étant précisé que KANTA s’interdit d’utiliser pour quelque fin que ce soit, à son profit, les Données Utilisateurs et Clients collectées dans le cadre des Traitements de Données ;
  • mettre à la disposition du Professionnel toutes les informations nécessaires pour démontrer le respect des obligations prévues par la Législation Applicable sur la Protection des Données Personnelles, permettre la réalisation d'audits ou d’analyses d’impact et y contribuer ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des Données adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des Traitements ainsi que des risques ;
  • garantir la confidentialité des Données Personnelles traitées et veiller à ce que son personnel ou ses sous-traitants s’engagent à en respecter la confidentialité ;
  • notifier le Professionnel d’une violation de Données Personnelles qu’elle aurait subi, dans les meilleurs délais, après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Professionnel, si nécessaire, de notifier cette violation à la CNIL ;
  • aider et assister le Professionnel à garantir le respect des obligations prévues par la Législation Applicable sur la Protection des Données Personnelles, en particulier dans le cadre de la réalisation d’analyses d’impact, en matière de sécurité des Traitements, pour la consultation préalable de la CNIL, la notification à la CNIL d’une violation de Données Personnelles et, le cas échéant, sa communication à la personne concernée, et ce compte tenu de la nature du Traitement et des informations à la disposition de KANTA ;
  • procéder, au choix du Professionnel, à la restitution ou à la destruction de tous fichiers papiers ou informatisés, stockant les Données Personnelles et qui sont en la possession de KANTA, et le cas échéant, à la destruction des copies, à l’exception de toute conservation qui serait exigée par le droit applicable à compter de la fin de l’Abonnement.

Dans le cadre des points visés ci-dessus, le Professionnel s’engage à formuler ses demandes dans des délais suffisants pour permettre à KANTA d’y répondre sans désorganiser son activité, ni avoir à travailler dans l’urgence.

Par ailleurs, KANTA s’engage à tenir et à prendre à sa charge, sous sa responsabilité et à ses frais, conformément à l’article 30.2 du RGPD, un registre des activités de traitements effectuées en sa qualité de sous-traitant.

8. SOUS-TRAITANCE ULTÉRIEURE

8.1. Le Professionnel convient que KANTA a la possibilité de faire appel à un autre sous-traitant pour réaliser les Traitements de Données. Dans ce cas, il informe préalablement et par écrit le Professionnel de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants donnant ainsi au Professionnel la possibilité d’émettre des objections et des réserves.

Le Professionnel est informé que KANTA fait appel à OVH en qualité d’hébergeur des Données.

8.2. KANTA devra répercuter toutes les obligations prévues aux présentes dans son contrat avec chacun de ses sous-traitants autorisés ayant accès aux Données et vocation à les traiter, et ces sous-traitants seront tenus de les respecter. Ceci s’appliquera, en particulier, aux garanties suffisantes à présenter quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin que les Traitements de Données répondent aux exigences de la Législation Applicable sur la Protection des Données Personnelles.

9. RESPONSABILITÉS

Lorsque l’une des Parties est individuellement responsable d’un dommage causé par le Traitement de Données, elle est tenue pour seule responsable de ce dommage dans sa totalité afin de garantir aux personnes concernées une réparation effective.

Le Professionnel devra tenir KANTA indemne de toute condamnation/conséquence financière auxquelles celui-ci pourra être exposé en cas de revendications ou actions d’un tiers résultant d’un manquement à ses obligations de responsable de traitement qui ne résulterait pas d’un manquement de KANTA à ses obligations de sous-traitant.

KANTA est tenu pour responsable du dommage causé par les Traitements de Données, dès lors qu'il n'a pas respecté les obligations prévues par la Législation Applicable sur la Protection des Données Personnelles qui incombent spécifiquement aux sous-traitants ou qui lui ont été délégués par le Professionnel ou qu’il a agi en-dehors des instructions documentées du Professionnel ou contrairement à celles-ci.

En cas de condamnation du Professionnel à une amende administrative ou à toute autre décision leur créant préjudice, KANTA s’engage, par voie de conséquence, si sa responsabilité est prouvée par le Professionnel, à le dédommager à hauteur des condamnations ou préjudices exposés.

10. DISPOSITIONS DIVERSES

La loi applicable et la juridiction compétente en cas de réclamation, action, demande, procédure et/ou poursuite relatives à l'existence, la validité, l’interprétation, l’exécution, la violation ou la résiliation de l’Accord sont celles indiquées aux Conditions de Services.

Toute modification de l’Accord ne prendra effet que s’il est convenu par écrit entre les Parties et signé par une personne autorisée par chacune des Parties.