.png)
PrimmoAI SAS – « le Sous‑traitant »
Et
les notaires et collaborateurs d’une même étude notariale – « la Société »
Ensemble dénommés « les Parties »
(A) La Société agit en tant que Contrôleur de Données.
(B) La Société souhaite sous‑traiter certains Services, impliquant le traitement de données personnelles, au Sous‑traitant des Données.
(C) Les Parties cherchent à mettre en œuvre un accord de traitement des données conformément aux exigences du cadre juridique actuel en matière de traitement des données et au Règlement (UE) 2016/679 (RGPD).
(D) Les Parties souhaitent établir leurs droits et obligations.
1.1 Sauf définition contraire, les termes et expressions en majuscules utilisés dans cet Accord auront la signification suivante :
1.1.1 “Accord” désigne cet Accord de Traitement des Données et tous les Annexes.
1.1.2 “Données Personnelles de la Société” désigne toute Donnée Personnelle traitée par un Sous‑traitant Contracté pour le compte de la Société conformément ou en lien avec le Contrat Principal.
1.1.3 “Sous‑traitant Contracté” désigne un Sous‑traitant.
1.1.4 “Lois sur la Protection des Données” désigne les Lois de Protection des Données de l'UE et, dans la mesure applicable, les lois de protection des données ou de confidentialité de tout autre pays.
1.1.5 “EEE” désigne l'Espace Économique Européen.
1.1.6 “Lois de Protection des Données de l'UE” désigne la Directive UE 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle qu'amendée, remplacée ou complétée de temps à autre, y compris par le GDPR et les lois mettant en œuvre ou complétant le GDPR.
1.1.7 “GDPR” désigne le Règlement Général sur la Protection des Données de l'UE 2016/679.
1.1.8 “Transfert de Données” désigne :
1.1.8.1 un transfert de Données Personnelles de la Société à un Sous‑traitant Contracté ; ou
1.1.8.2 un transfert ultérieur de Données Personnelles de la Société d'un Sous‑traitant Contracté à un Sous‑traitant Sous‑contracté, ou entre deux établissements d'un Sous‑traitant Contracté, dans chaque cas où un tel transfert serait interdit par les Lois sur la Protection des Données.
1.1.9 “Services” désigne les service d’assistance IA pour études notariales qui comprend :
1.1.10 “Sous‑traitant” désigne toute personne nommée par ou pour le compte du Sous‑traitant pour traiter les Données Personnelles pour le compte de la Société dans le cadre de l'Accord.
1.2 Les termes “Commission”, “Contrôleur”, “Sujet des Données”, “État Membre”, “Données Personnelles”, “Violation de Données Personnelles”, “Traitement” et “Autorité de Surveillance” auront la même signification que dans le RGPD.
2.1 Le Sous‑traitant doit :
2.1.1 se conformer à toutes les Lois de Protection des Données applicables dans le Traitement des Données Personnelles de la Société ; et
2.1.2 ne pas traiter les Données Personnelles de la Société autrement que sur les instructions documentées pertinentes de la Société.
2.2 La Société instruit le Sous‑traitant de traiter les Données Personnelles de la Société.
2bis.1 Objet
Le présent Accord a pour objet de régir le traitement, par le Sous‑traitant, des Données Personnelles de la Société dans le cadre des Services définis à l’article 1.1.9.
2bis.2 Durée
Le présent Accord prend effet à la date de sa signature et reste en vigueur pendant toute la durée du Contrat Principal, puis jusqu’à l’achèvement des obligations de conservation et de suppression prévues aux articles 9 et 9bis.
2bis.3 Finalités
Les Données Personnelles sont traitées exclusivement pour :
2bis.4 Catégories de Données
Les types de données concernées sont :
Le Sous‑traitant doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou contractant de tout Sous‑traitant Contracté qui pourrait avoir accès aux Données Personnelles de la Société, en veillant dans chaque cas à ce que l’accès soit strictement limité à ces individus qui ont besoin de connaître / accéder aux Données Personnelles pertinentes, et à ce que tous ces individus soient soumis à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.
4.1 Le Sous‑traitant doit, en relation avec les Données Personnelles de la Société, mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant, les mesures de l’article 32(1) du GDPR.
4.2 Dans l’évaluation du niveau de sécurité approprié, le Sous‑traitant doit prendre en compte les risques présentés par le Traitement, notamment ceux résultant d’une Violation de Données Personnelles.
Le Sous‑traitant ne doit pas nommer de Sous‑traitant à moins que requis ou autorisé par la Société, à l’exception de ceux énumérés en Annexe A.
6.1 Compte tenu de la nature du Traitement, le Sous‑traitant doit aider la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour accomplir les obligations de la Société de répondre aux demandes d’exercice des droits des Sujets de Données en vertu des Lois de Protection des Données.
6.2 Le Sous‑traitant doit :
6.2.1 informer rapidement la Société s’il reçoit une demande d’un Sujet de Données concernant ses Données Personnelles ;
6.2.2 ne répondre à cette demande qu’aux seules instructions documentées de la Société, sauf exigence légale impérative, et informer préalablement la Société de cette exigence si la loi le permet.
7.1 Le Sous‑traitant doit notifier la Société sans retard injustifié et au plus tard dans les 72 heures après avoir pris connaissance d’une Violation de Données Personnelles, en fournissant toutes les informations nécessaires sur la nature de l’incident, les catégories et le nombre approximatif de personnes concernées, ainsi que les mesures correctives envisagées.
7.2 Le Sous‑traitant doit coopérer avec la Société et prendre les mesures raisonnables prescrites par la Société pour aider à l’enquête, à l’atténuation et à la remédiation de chaque violation.
Le Sous‑traitant doit fournir une assistance raisonnable à la Société pour toute évaluation d’impact ou consultation préalable avec les Autorités de Surveillance requises par les articles 35 et 36 du GDPR ou toute loi équivalente.
9.1 Sous réserve du présent article, le Sous‑traitant doit, dans un délai de dix (10) jours ouvrables suivant la cessation de toute prestation impliquant le Traitement de Données Personnelles, supprimer et faire supprimer toutes les copies de ces Données.
9.2 Le Sous‑traitant doit fournir une attestation écrite de cette suppression dans les dix (10) jours ouvrables suivant la date de cessation.
Le Sous‑traitant ne conservera les Données Personnelles que pendant la durée nécessaire à l’exécution des Services, puis selon le planning ci‑après avant suppression ou anonymisation.
10.1 Sous réserve du présent article, le Sous‑traitant doit fournir à la Société, sur demande, toutes les informations nécessaires pour démontrer sa conformité et permettre audits et inspections par la Société ou un auditeur mandaté.
10.2 Ces droits d’information et d’audit ne naissent que si l’Accord ne prévoit pas déjà des droits équivalents.
Le Sous‑traitant ne peut transférer ou autoriser le transfert de Données Personnelles vers des pays hors UE/EEE.
12.1 Confidentialité
Chaque Partie doit garder cet Accord et les informations reçues sur l’autre Partie (“Informations Confidentielles”) strictement confidentiels et ne pas les divulguer sans consentement écrit préalable, sauf si requis par la loi ou si ces informations sont déjà publiques.
12.2 Avis
Tous les avis en vertu du présent Accord doivent être écrits et envoyés personnellement, par courrier ou par email aux adresses indiquées en tête de l’Accord ou à toute autre adresse notifiée par écrit.
13.1 Cet Accord est régi par le droit français.
13.2 Tout litige non résolu à l’amiable sera porté devant les tribunaux de Paris, France.
14.1 Délégué à la Protection des Données (DPO)
Le Sous‑traitant désigne M. Nathan Pamart, DPO, joignable : nathan@primmo.co.