REGLEMENT GENERAL DE LA PROTECTION DES DONNEES (RGPD) 2020

1. Définitions

a) Une donnée personnelle : « toute information se rapportant à une personne physique identifiée ou identifiable (dénommée « personne concernée »). Est considérée comme une « personne physique identifiable » toute personne physique pouvant « être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

b) Le Sous-traitant est désigné à l’art. 4 du RGPD comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement ». ici, ALERIS

c)  Le Responsable du traitement est désigné comme étant « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement pouvant être prévus par le droit de l'Union ou par le droit d'un État membre ». ici, le Client

2. Objet

Les présentes clauses ont pour objet de définir les conditions dans lesquelles ALERIS (le Sous-traitant) s’engage à effectuer pour le compte du Client (responsable du traitement), les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, le « RGPD »)

3. Description du traitement dans le cadre de la sous-traitance

ALERIS est autorisé à traiter pour le compte du Client les données à caractère personnel des salariés strictement nécessaires à l’exécution de la prestation conformément aux instructions du Client.

La finalité du traitement est l’élaboration des bulletins de paye des salariés, des déclarations sociales afférentes et des documents relatifs aux entrées, sorties et maladies des salariés concernés.

Pour l’exécution du service, le Client met à la disposition d’ALERIS les informations nécessaires transmises via les différents modes de communication en vigueur.

Les données à caractère personnel traitées sont les suivantes : Nom, prénom, nationalité, date et lieu de naissance, numéro de Sécurité Sociale, adresse, salaire, fonction, emploi, type de contrat, date du début et/ ou fin de contrat, heures travaillées dans le mois, primes, absences et type d’absence, mutuelle, prévoyance, RIB, situation familiale.

4. Date d’effet

La date d’effet des présentes Conditions Générales est définie dans les Conditions Particulières de Vente du Client.

5. Obligations du Sous-traitant vis-à-vis du Responsable du traitement

ALERIS s’engage à :

  1. Traiter les données pour la ou les seule(s) finalité(s) du traitement qui fait / font l’objet de la sous-traitance.
  2. Traiter les données conformément aux instructions documentées du Client. Si ALERIS considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union ou du droit des États membres relatives à la protection des données, il doit en informer immédiatement le Client. En outre, si ALERIS est tenu de procéder à un transfert de donnée vers un pays tiers ou une organisation internationale, en vertu du droit de l’Union ou du droit des États membres auquel il est soumis, il doit informer les responsables du traitement de cette obligation juridique avant le traitement sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
  3. Garantir la confidentialité des données à caractère personnel traitées.
  4. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du contrat signé entre les parties, s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
  6. Par la présente, le Client autorise ALERIS à contractualiser avec un sous-traitant ultérieur. Ce dernier est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Client. Il appartient au Sous-traitant initial de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Client de l’exécution par l’autre sous-traitant de ses obligations.

6. Droit d’information des personnes concernées

Il appartient au Client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

7. Exercice des droits des personnes

ALERIS doit aider le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès d’ALERIS des demandes d’exercice de leurs droits, ALERIS doit adresser ces demandes dès réception par courrier électronique au Client.

8. Notification des violations de données à caractère personnel

ALERIS notifie au Client toute violation des données à caractère personnel dans un délai maximum de 48h après en avoir pris connaissance en lui adressant un courrier électronique. Cette notification doit être accompagnée de toute documentation utile afin de permettre au Client, de notifier cette violation à l’autorité de contrôle compétente (la CNIL) et à la personne concernée.

La notification à l’autorité de contrôle doit contenir :

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Après accord du Client, ALERIS communique, au nom et pour le compte du Client, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique.

La communication à cette personne décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient les mêmes informations que la notification à l’autorité de contrôle décrite ci-dessus.

9. Aide du Sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations

ALERIS aide le Client pour la réalisation d’analyses d’impact relatives à la protection des données et pour la réalisation de la consultation préalable de l’autorité de contrôle.

10. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, ALERIS s’engage selon les instructions du Client à :

La destruction ou le renvoi des données doivent être confirmés par écrit par le Sous-traitant.

11. Délégué à la Protection des Données (DPO)

Le Sous-traitant communique au Client le nom et les coordonnées de son délégué à la protection des données :

Clothilde VILLEMINOT – cvilleminot@aleris.fr – tel : 01.86.39.01.40

12. Registre des catégories d’activités du traitement

ALERIS déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du Client comprenant :

- Le nom et les coordonnées du Client pour le compte duquel il agit, des éventuels Sous-traitants et, le cas échéant, du délégué à la protection des données ;

- Les catégories de traitements effectués pour le compte du Client ;

- Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;

- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

13. Documentation

ALERIS met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

14. Obligations du Responsable de traitement vis-à-vis du Sous-traitant

Le Client s’engage à :