Dans la mesure où Draft SAS, sis 3, rue de L’Ouche Brûlée, 44118 La Chevrolière, FRANCE – le Sous-traitant – ci-après dénommé « Draft » ou le « Fournisseur », traite pour le compte du Client – le Responsable de Traitement – ci-après dénommé le « Client », dans le cadre de la fourniture du Service, des données personnelles soumises au règlement général sur la protection des données (le « RGPD »), les termes de l’Accord de Traitement Des données s’appliquent (l’« Accord »).

L’objet du présent Accord résulte de l’utilisation de Draft.io et du contrat entre le Fournisseur et le Client, qui a été conclu sous forme de contrat spécifique ou à travers l’acceptation des CGU et des autres documents qui lui sont liés, ensemble appelés le « Contrat ».

La durée de cet Accord correspond à celle du Contrat.

Dans la mesure où la durée de certaines réglementations s’étend au-delà de la durée du présent accord, les obligations correspondantes ne sont pas affectées par sa résiliation. Cela s’applique en particulier à l’obligation de supprimer les données et de restituer les supports de données.

Draft propose un service qui permet de créer des documents visuels et de les partager avec d’autres Utilisateurs. Ce faisant, des Données Personnelles sont demandées et collectées lors de la visite du Site, et de l’inscription au Service et de l’utilisation du Service. Les Données Personnelles sont utilisées pour faire fonctionner et améliorer le Service, pour collecter des statistiques d’audience et d’utilisation du Site et de l’Application et pour communiquer avec les Utilisateurs. La collecte est effectuée soit par Draft lui-même ou soit par des prestataires de services agréés (voir section « Sous-traitement »).

Le traitement des données convenu contractuellement doit essentiellement être effectué dans un État Membre de l’Espace Économique Européen (l’« EEE »). Tout transfert de données vers un État non-membre de l’EEE nécessite l’accord préalable du Client et n’interviendra que si les conditions particulières des articles 44 et suivants du RGPD sont satisfaites. Dans ce cas, le niveau de protection approprié doit être validé par une décision de la Commission européenne ou sur la base de garanties spéciales, telles que des obligations contractuelles comme les clauses types de protection des données de la Commission, des certifications pertinentes ou des obligations internes contraignantes concernant la protection des données.

Dans Draft.io, la collaboration a lieu au sein de tableaux collaboratifs (les « drafts »). Les Utilisateurs peuvent communiquer et partager des données par l’intermédiaire de ces drafts. Une fois que l’Utilisateur partage un draft avec d’autres Utilisateurs, certaines de ces données, par exemple, les adresses e-mail, les noms des utilisateurs, le contenu auquel ils ont contribué et les informations sur le moment où ils ont contribué, sont également partagées pour permettre la collaboration entre Utilisateurs.

Il est entendu que le Fournisseur n’a aucune influence sur le partage de données qui a lieu entre Utilisateurs.

L’objet du traitement des Données Personnelles comprend les types/catégories de données suivants :

• Données personnelles et de contact (par exemple, nom, e-mail) ;
• Données contractuelles (par exemple, coordonnées, relations contractuelles, intérêt pour le produit) ;
• Historique de l’utilisation faite par le Client (par exemple, historique des modifications du contenu) ;
• Données d’identification et d’authentification (par exemple, adresse IP, identifiants de l’Utilisateur, cookies de session, jetons de connexion) ;
• Les données contenues dans les drafts peuvent comprendre des données personnelles en fonction de l’utilisation qui est faite de Draft.io par l’Utilisateur.

Veuillez noter que le Service fourni par Draft n’a pas été conçu pour traiter des catégories particulières de données personnelles telles que définies aux articles 9 et 10 du RGPD.

Les catégories de Personnes Concernées comprennent uniquement les Utilisateurs de l’Application.

Le cas échéant, les Données Personnelles d’autres Personnes Concernées peuvent également être trouvées dans les données contenues dans les drafts dans le cadre de l’utilisation qui est faite de Draft.io par les Utilisateurs.

Il est entendu que le Fournisseur n’a aucune influence sur ce type d’utilisation et ne sait donc pas quelles personnes sont concernées.

Le Fournisseur ne peut, de sa propre autorité, rectifier, effacer ou restreindre le Traitement des données traitées pour le compte du Client ; le Fournisseur ne l’effectuer que sur instructions écriteds du Client. Dans la mesure où une Personne Concernée contacte directement le Fournisseur concernant une rectification, un effacement ou une limitation du traitement, le Fournisseur transmettra immédiatement la demande de la Personne Concernée au Client.

La politique d’effacement, le « droit à l’oubli », la rectification, la portabilité des données et l’accès doivent être assurés par le Fournisseur conformément aux instructions documentées du Client, sans retard injustifié.

En plus de se conformer aux règles énoncées dans le présent Accord, le Fournisseur devra se conformer aux exigences légales visées aux articles 28 à 33 du RGPD ; à ce titre, le Fournisseur s’assure notamment du respect des exigences suivantes :

1. Le Fournisseur doit nommer un Délégué à la Protection des Données qui exerce ses fonctions dans le respect des articles 38 et 39 du RGPD. Ses coordonnées doivent être disponibles et facilement accessibles sur le Site du Fournisseur ;
2. Le Fournisseur doit respecter la confidentialité du traitement des Données Personnelles du Client, conformément à l’article 28, paragraphe 3, phrase 2, point b, articles 29 et 32, paragraphe 4 du RGPD. Cet engagement se prolonge après la fin de la relation contractuelle avec le Client. Le Fournisseur confie le Traitement des données décrit dans le présent Accord uniquement à des employés tenus à la confidentialité et préalablement familiarisés avec les dispositions en matière de protection des données pertinentes pour leur poste et leur travail. L’obligation de confidentialité continue d’exister même après la fin de la relation de travail. Le Fournisseur et toute personne agissant sous son autorité qui a accès aux Données Personnelles ne doivent pas traiter ces données sauf sur instructions du Client, ce qui inclut les pouvoirs accordés dans le présent accord, sauf si cela est requis par une loi de l’UE ou d’un État Membre auquel le Fournisseur est soumis ;
3. Le Fournisseur doit mettre en œuvre et respecter toutes les Mesures Techniques et Organisationnelles de Sécurité nécessaires à l’exécution du présent Accord conformément à l’article 28, paragraphe 3, phrase 2, point c, de l’article 32 du RGPD ;
4. Le Client et le Fournisseur doivent coopérer, sur demande, avec l’Autorité de Contrôle dans l’exécution de ses missions ;
5. Le Client devra être immédiatement informé de toutes les inspections et mesures entreprises par l’Autorité de Contrôle dans la mesure où elles se rapportent au présent Accord. Cette obligation s’applique également dans la cas où le Fournisseur fait l’objet d’une enquête ou est partie à une enquête menée par une autorité compétente en relation avec des violations de toute loi civile ou pénale ou réglementation administrative concernant le traitement des Données Personnelles dans le cadre de la mise en oeuvre du présent Accord ;
6. Dans la mesure où le Client fait l’objet d’un contrôle de la part l’Autorité de Contrôle, d’une procédure administrative ou pénale, d’une action en responsabilité de la part d’une Personne Concernée ou d’un tiers, ou de toute autre action en relation avec l’Accord de Traitement des Données par le Fournisseur, le Fournisseur devra fournir ses meilleurs efforts pour accompagner le Client ;
7. Le Fournisseur devra surveiller périodiquement les processus internes et les Mesures Techniques et Organisationnelles de Sécurité pour garantir que le Traitement réalisé dans son domaine de responsabilité est conforme aux exigences de la loi applicable en matière de protection des données et à la protection des droits de la Personne Concernée ;
8. Le Client doit s’assurer que le respect des Mesures Techniques et Organisationnelles de Securité est vérifiable par le Client dans le cadre des pouvoirs de contrôle du Client conformément à la section « Pouvoirs de contrôle du Client » du présent Accord ;
9. Le Fournisseur doit informer le Client, sauf interdiction prononcée par un tribunal ou une autorité, de la mise en danger de ses données par une saisie, une confiscation ou autre ;
10. Le Fournisseur doit informer le Client en cas de changement de Délégué à la Protection des Ponnées ou de contact responsable de la protection des données.

Aux fins du présent Accord, la sous-traitance doit être comprise comme les services directement liés à la fourniture du service principal. Cela n’inclut pas les services auxiliaires, tels que les services de télécommunication, les services postaux/de transport, ainsi que d’autres mesures visant à garantir la confidentialité, la disponibilité, l’intégrité et la résilience du matériel et des logiciels des équipements de traitement de données. Toutefois, le Fournisseur est tenu de conclure des dispositions contractuelles appropriées et juridiquement contraignantes et de prendre les mesures de contrôle appropriées pour garantir la protection et la sécurité des données du Client, même en cas de services auxiliaires externalisés.

Le Fournisseur ne peut faire appel à des Sous-traitants qu’après le consentement préalable, explicite, écrit ou documenté du Client. Dans le cadre de cet Accord, le Client accepte le recours aux Sous-traitants listés dans la « Liste des Sous-traitants », conformément à l’article 28, paragraphes 2 à 4 du RGPD.

Le transfert des Données Personnelles du Client au Sous-traitant et le traitement des données par le Sous-traitant ne sera entrepris qu’une fois que toutes les exigences seront remplies.

Si le Sous-traitant fournit le service convenu en dehors de l’UE/EEE, le fournisseur veillera au respect de la réglementation de l’UE sur la protection des données par des mesures appropriées.

Toute sous-traitance ultérieure par le Sous-traitant nécessite le consentement explicite, par écrit, du Client ; toutes les dispositions contractuelles de la chaîne contractuelle doivent être communiquées et convenues avec chaque Sous-traitant ultérieur.

Après consultation du Fournisseur, le Client a le droit de procéder à des contrôles ou de les faire effectuer par un auditeur à désigner dans chaque cas. Il a le droit de s’assurer du respect de cet accord par le Fournisseur dans ses opérations commerciales au moyen de contrôles aléatoires, qui doivent généralement être annoncés à l’avance.

Le Fournisseur veillera à ce que le Client puisse vérifier le respect de ses obligations conformément à l’article 28 du RGPD. Le Fournisseur s’engage à fournir au Client les informations demandées et notamment à démontrer la bonne exécution des Mesures Techniques et Organisationnelles de Sécurité.

Le Fournisseur peut demander une indemnisation pour permettre l’inspection du Client.

Les résultats des contrôles doivent être documentés par le Client.

Le Fournisseur aidera le Client à répondre aux demandes et réclamations des Personnes Concernées conformément au chapitre III du RGPD ainsi qu’à ses obligations concernant la sécurité des Données Personnelles, à ses exigences de reporting en cas de violation de données, aux évaluations d’impact sur la protection des données et les consultations préalables visées aux articles 32 à 36 du RGPD. Celles-ci inclus:

1. L’obligation d’assurer un niveau de protection approprié grâce à des Mesures Techniques et Organisationnelles de Sécurité qui tiennent compte des circonstances et des finalités du traitement ainsi que de la probabilité et de la gravité supposées d’une éventuelle violation de la loi en raison de failles de sécurité et qui permettent la détection immédiate des informations pertinentes. événements d’infraction ;
2. L’obligation de signaler immédiatement une Violation de Données Personnelles au Client ;
3. Le devoir d’assister le Client dans le cadre de son obligation de fournir des informations à la Personne Concernée et de fournir immédiatement au Client toutes les informations pertinentes à cet égard ;
4. L’accompagnement du Client dans son évaluation d’impact de la protection des données ;
5. L’accompagnement du Client en ce qui concerne la consultation préalable de l’Autorité de Contrôle.

Si une Personne Concernée contacte directement le Fournisseur pour des questions ou des demandes de transfert, de limitation du Traitement, de rectification ou de suppression de ses données, le fournisseur transmettra immédiatement cette demande au Client et informera la Personne Concernée que le Client est l’entité Responsable du Traitement au sens du RGPD. Si le Fournisseur ne peut pas rediriger la Personne Concernée vers un Client spécifique, le Fournisseur orientera la Personne Concernée vers l’entité qu’il considère être Responsable du Rraitement.

Le Fournisseur peut réclamer une indemnisation pour les prestations de support qui ne sont pas incluses dans la description du Service et qui ne sont pas imputables à des défaillances du Fournisseur dans la mesure où celles-ci ne dépassent pas de manière significative les prestations contractuellement convenues. Le Fournisseur doit expliquer et prouver ses dépenses et coûts concrets supplémentaires.

Le Client confirmera immédiatement les instructions orales par écrit.

Les instructions sont reçues via le support client du Fournisseur, de préférence par email à l’adresse support@draft.io.

Le Fournisseur informera immédiatement le Client s’il estime qu’une instruction viole le RGPD et d’autres dispositions relatives à la protection des données de l’UE ou des États Membres. Le Fournisseur est en droit de suspendre l’exécution de l’instruction jusqu’à ce qu’elle soit confirmée ou modifiée par le Client.

Les copies des données ne pourront pas être créés à l’insu du Client, à l’exception des :

1. Copies temporairement nécessaires pour permettre aux Utilisateurs de collaborer ;
2. Copies de sauvegarde dans la mesure où celles-ci sont nécessaires pour garantir le bon Traitement des données ;
3. Données devant être conservées pour répondre aux exigences de l’Union ou des États Membres en matière de conservation des données.

Au terme du Contrat ou sur demande du Client, le Fournisseur remettra au Client ou, sous réserve de l’accord préalable du Client, détruira toutes les données liées au Contrat qui sont en sa possession. Selon les cas, des exceptions à cette règle peuvent s’appliquer aux données de contenu selon le contexte de l’Utilisateur propriétaire (« Propriétaire ») du draft :

1. Les draft peuvent être supprimés par leurs Propriétaires. La suppression du draft entraîne la suppression des données de contenu ;
2. Les drafts qui ne sont accessibles qu’au Propriétaire sont supprimés lorsque le compte du Propriétaire est supprimé ;
3. Les drafts qui sont accessibles par des Utilisateurs qui ne font pas partie de l’équipe du Propriétaire (« Membres de l’Equipe ») sont supprimés lorsque le Propriétaire est supprimé.
4. Les drafts accessibles aux Membres de l’Equipe deviendront, dès la suppression du Propriétaire, sauf contre-indication écrite de la part du Client, la propriété de l’un des autres Membres de l’Equipe.

Les documents utilisés pour démontrer le traitement ordonné des données conformément au Contrat seront conservés au-delà de la durée du Contrat par le Fournisseur, conformément aux délais de conservation respectifs. Il pourra remettre cette documentation au Client à la fin de la durée du Contrat pour décharger le Fournisseur de cette obligation contractuelle.

Il est fait référence à l’article 82 du RGPD.

Le Client peut résilier le Contrat à tout moment sans respecter de délai de préavis si le Fournisseur a gravement violé les règles de protection des données ou les dispositions du présent Accord, si le Fournisseur ne peut ou ne veut pas exécuter une instruction du Client ou si le Fournisseur refuse les pouvoirs de contrôle du Client. En particulier, le non-respect des obligations stipulées dans le présent Accord et dérivées de l’article 28 du RGPD constitue une violation grave du Contrat.

Délégué à la Protection des Données

Draft SAS

3, rue de l’Ouche Brûlée

44118 La Chevrolière 

FRANCE

Email: support@draft.io