Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel nécessaires à la fourniture du Service Hesterio.
Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne le RGPD.
Le Sous-traitant est autorisé à traiter, pour le compte du Responsable de traitement, les données personnelles nécessaires au fonctionnement du Service, dans les conditions décrites ci-après.
Les traitements ont pour seule finalité de permettre au Responsable de traitement de gérer l'activité de réception de son établissement au moyen du Service : saisie, stockage, affichage, partage entre équipes et synchronisation en temps réel des informations opérationnelles.
| Catégorie | Exemples |
|---|---|
| Données des utilisateurs (personnel) | Prénom, identifiant de connexion, journal d'activité interne |
| Données des clients de l'établissement | Nom, numéro de chambre, téléphone, demandes (taxi, bagages, gâteaux), notes de séjour |
| Données opérationnelles | Plaque de véhicule, horaires d'arrivée et de départ, statuts |
Le personnel du Responsable de traitement (utilisateurs du Service) et les clients de l'établissement dont les informations sont saisies dans le cadre de la prestation de réception.
Le présent Accord prend effet à la date d'acceptation des Conditions Générales et demeure en vigueur pendant toute la durée de fourniture du Service. Il prend fin automatiquement à la cessation du contrat principal, sous réserve des obligations relatives au sort des données (article 12).
Le Sous-traitant s'engage à :
Le Sous-traitant traite les données sur la seule base des instructions documentées du Responsable de traitement, y compris pour les transferts éventuels, sauf obligation légale contraire. L'utilisation du Service conformément à sa destination vaut instruction. Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD, il en informe le Responsable de traitement.
Le Sous-traitant garantit que toute personne agissant sous son autorité et ayant accès aux données est tenue à une obligation de confidentialité et ne traite les données que sur instruction.
Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants pour l'exécution du Service :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Google (Firebase) | Hébergement et base de données | Union européenne / hors UE (clauses contractuelles types) |
| Cloudflare | Distribution et sécurité réseau | Réseau mondial (clauses contractuelles types) |
Ces prestataires présentent des garanties suffisantes au regard du RGPD. Le Sous-traitant informe le Responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, laissant à ce dernier la possibilité d'émettre des objections.
Dans la mesure du possible, le Sous-traitant aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation). Lorsqu'une personne concernée adresse une demande directement au Sous-traitant, celui-ci la transmet au Responsable de traitement.
Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, par courriel à l'adresse de contact communiquée par le Responsable de traitement. Cette notification s'accompagne de toute information utile permettant au Responsable de traitement, le cas échéant, de procéder à la notification auprès de l'autorité de contrôle compétente (la CNIL) dans le délai réglementaire de 72 heures qui lui incombe.
Les prestataires d'hébergement peuvent opérer des traitements ou stockages hors de l'Union européenne. De tels transferts sont encadrés par les mécanismes de conformité prévus par le RGPD, notamment les clauses contractuelles types de la Commission européenne. Le Sous-traitant ne procède à aucun transfert en dehors de ce cadre sans en informer le Responsable de traitement.
Au terme de la prestation, le Sous-traitant s'engage, selon le choix du Responsable de traitement :
Le Responsable de traitement dispose d'un délai de trente (30) jours après la cessation du contrat pour formuler sa demande. À défaut de demande dans ce délai, le Sous-traitant procède à la suppression définitive des données.
Le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l'article 30.2 du RGPD, et met à disposition la documentation nécessaire pour démontrer le respect de ses obligations.
Le Sous-traitant met à la disposition du Responsable de traitement les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permet la réalisation d'audits, dans des conditions raisonnables et après notification préalable, sous réserve de préserver la confidentialité et la sécurité des données des autres clients.
Le Responsable de traitement s'engage à :