Traitement des données personnelles

EN VERTU DU REGLEMENT UE 2016/679 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016

1.INTRODUCTION

1.1 Le Client a conclu un contrat avec Mounki (ci-après désigné le « Contrat »). Le présent document qui a valeur d’avenant au Contrat a pour objet d’informer le Client sur les obligations à la charge de Mounki en matière de traitement de données personnelles. Le présent document entre en vigueur à compter du 25 mai 2018, date d’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

1.2 Le présent Avenant s'applique aux traitements de données à caractère personnel mis en œuvre par Mounki et ceux réalisés pour le compte du Client en vertu du Contrat.

1.3 Au sens de la réglementation applicable et notamment du Règlement européen de protection des données n°2016-679, ci-après « Règlement », le Client peut constituer « le responsable des traitements » ou « la personne concernée » et Mounki constitue le « sous-traitant » ou « le responsable des traitements » en fonction des traitements réalisés. Les Parties s’engagent à mettre tout en œuvre pour que les traitements mis en œuvre soient mis en conformité avec les dispositions du Règlement, et ceci dès la signature du contrat.


‍2. MOUNKI SOUS-TRAITANT AU SENS DU REGLEMENT UE 2016/679

2.1 Objet, durée des traitements et catégories de personnes concernées.
‍
‍Dans le cadre de la fourniture de solutions logiciels et de services associés, ci-après les «Services », Mounki pourra avoir accès, en qualité de sous-traitant, à des données à caractère personnel au sens du Règlement.

Mounki pourra ainsi être amené à procéder à des traitements de telles données (en particulier les données des membres de la structure du Client, de clients du Client, de fournisseurs du Client, de prestataires du Client, etc.) pour le compte du Client, responsable de traitement, aux seules fins de fourniture des Services et pour la durée prévue au présent Contrat.

‍2.2 Catégories de données.
‍
‍Le Client a expressément rappelé à Mounki le caractère strictement confidentiel de toutes les données à caractère personnel collectées et traitées dans le cadre du Service utilisé et des services associés, en ce incluant notamment les données relatives à l’identification des personnes concernées, leur vie personnelle, leur vie professionnelle, des données de connexion et de traçabilité.

‍2.3 Nature et finalité des traitements.
‍
‍Mounki s’engage à ne pas traiter les données personnelles transmises pour des finalités autres que celles du Client et pour assurer le bon fonctionnement des Services MOUNKI, c’est-à-dire l’usage d’un logiciel et de services associés dans le cadre de l’apprentissage de la conduite, et le cas échéant de la gestion de son activité.  

2.4 Registres.
‍
‍Mounki tient tous les registres requis et dont le contenu est défini par l'article 30(2) duRèglement et les met à sa disposition sur demande et aux frais du demandeur.

‍2.5 Obligations du Client vis-à-vis de Mounki.
‍
Le Client s’engage à :
- fournir à Mounki toutes les données nécessaires à la réalisation de ses obligations en vertu du Règlement ;
- documenter par écrit toute instruction concernant le traitement des données par Mounki ;
- veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement de la part de Mounki ;  
- répondre dans un délai de quinze (15) jours à toute demande de Mounki relative au traitement des données personnelles dans le cadre de la fourniture du Service ;
- respecter les obligations qui lui incombent en sa qualité de responsable de traitement, en vertu des dispositions du Règlement.

‍2.6 Obligations de Mounki vis-à-vis du Client :
‍
Mounki garantit qu’il met en œuvre toutes les mesures nécessaires pour préserver la sécurité, l’intégrité, la disponibilité, la résilience et la confidentialité des données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat.

Aussi, Mounki s’engage à prendre toutes les mesures requises en vertu de l’article 32 du Règlement et notamment les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, d’intégrité et de confidentialité, et notamment à :
- ne traiter, consulter ces données à caractère personnel et fichiers que dans le cadre des instructions du Client ;
- ne pas traiter, consulter lesdites données à caractère personnel ou les fichiers dans lesquelles elles figurent à d’autres fins que l’exécution du Service qu’il effectue pour le Client au titre du Contrat ;
- ne pas insérer dans les traitements de données à caractère personnel des données étrangères auxdits traitements ;
- prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel et des fichiers ;
- prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;
- prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;
- s’interdire la consultation et le traitement des données à caractère personnel autres que celles concernées par les présentes et ce, même si l’accès à ces données à caractère personnel est techniquement possible ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent par écrit à respecter la confidentialité de ces dernières ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;
- ne pas prendre copie ou stocker, quelles qu'en soit la forme et la finalité, tout ou partie desdites données à caractère personnel contenues sur les supports ou documents qui lui ont été confiées ou recueillies par lui au cours de l'exécution du présent Contrat (outre les opérations techniques strictement nécessaires à l’exécution du Contrat et l’exécution des opérations lui permettant de respecter ses obligations de conservation et de rétablissement de la disponibilité des données).

‍2.7 Suppression et réversibilité des données.
‍
‍En fin de Contrat, Mounki s’engage à procéder à votre demande à la restitution des fichiers détenus et des données à caractère personnel traitées pour le compte du Client dans un format standard et dans les conditions prévues à votre contrat, et à la destruction de tous fichiers manuels ou informatisés stockant lesdits fichiers et données à caractère personnel (et de toute copie éventuelle) après s’être assuré auprès de le Client que ce dernier dispose bien de ces informations, à moins que le droit de l’Union européenne ou la législation française n’exige la conservation de ces données à caractère personnel.

‍2.8 Sous-traitants ultérieurs.
‍
Pour chaque cas de sous-traitance ultérieure, les Parties font application de l’article 28, 4° du RGPD.

‍2.9 Sécurité et confidentialité.
‍
‍Les parties feront application de l’article 32. 1. du RGPD qui dispose que :

‍« Compte tenu de l'état des connaissances, des coûts de mise en œuvre et dela nature, de la portée, du contexte et des finalités du traitement ainsi quedes risques, dont le degré de probabilité et de gravité varie, pour les droitset libertés des personnes physiques, le responsable du traitement et lesous-traitant mettent en œuvre les mesures techniques et organisationnellesappropriées afin de garantir un niveau de sécurité adapté au risque, y comprisentre autres, selon les besoins :a) la pseudonymisation et le chiffrement des données à caractère personnel;b) des moyens permettant de garantir la confidentialité, l'intégrité, ladisponibilité et la résilience constantes des systèmes et des services detraitement ;c) des moyens permettant de rétablir la disponibilité des données àcaractère personnel et - l'accès à celles-ci dans des délais appropriés en casd'incident physique ou technique ;d) une procédure visant à tester, à analyser et à évaluer régulièrementl'efficacité des mesures techniques et organisationnelles pour assurer lasécurité du traitement ».

‍Si les mesures techniques et organisationnelles à mettre en œuvre engendrent des frais, Mounki informera le Client des frais engendrés par l'introduction desdites mesures techniques et organisationnelles. Dès que le Client aura confirmé qu'il prend ces frais à sa charge, Mounki pourra mettre lesdites mesures techniques et organisationnelles en œuvre.

Au titre de la sécurité et de la confidentialité des données personnelles, Mounki s’engage à(i) garder les données personnelles strictement confidentielles, (ii) mettre en œuvre au sein de ses services en ce compris son infrastructure d’hébergement, les mesures organisationnelles et techniques appropriées afin de protéger les données personnelles, et (iii) établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

‍2.10 Collaboration.

‍Mounki s’engage également à coopérer avec le Client en vue :
- de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecte ses obligations en vertu du Règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que Mounki fournira au regard du respect de telles obligations ;
- du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;
- du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel ;
- Mounki avertira le Client dans les meilleurs délais dès connaissance d'une violation des données à caractère personnel et répondra raisonnablement aux demandes d'informations supplémentaires du Client, afin de l’aider à remplir ses obligations en vertu des articles 33 et 34 du RGPD ;
- d’informer immédiatement le Client si, selon lui, une instruction constitue une violation du Règlement ou d’autres dispositions du droit de l’Union ou du droit des Etats membres relatives à la protection des données ;
- de la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client. Mounki s’engage également à informer dans les meilleurs délais le Client si, selon lui, une instruction constitue une violation des dispositions applicables en matière de protection des données à caractère personnel.

‍2.11 Documentationet audit.

‍Mounki met à la disposition du Client la documentation raisonnablement nécessaire pour démontrer le respect de toutes ses obligations.

Le Client aura la possibilité d’auditer les sous-traitants de Mounki pour s’assurer du respect par ceux-ci des dispositions de l’article 28 du RGPD, sous réserve de respecter un délai de préavis raisonnable qui ne pourra être inférieur à quinze (15)jours. À la suite de l’audit, l’auditeur dressera un rapport qu’il communiquera à Mounki qui disposera d’un délai de trente (30) jours ouvrés pour formuler ses observations.

La consultation de documentation et l’audit s’effectuent aux frais du Client.

Le Client est conscient du fait que les contrôles en personne et sur place peuvent perturber considérablement les activités d'exploitation de Mounki et se révéler coûteuses en temps et en argent. Le Client ne pourra par conséquent effectuer un contrôle en personne et sur place, à raison d’une fois par an, que si Client dédommage Mounki des frais ou charges engendrés dans le chef de Mounki par la perturbation de ses activités professionnelles, et si le moment et l'endroit du contrôle ont été déterminés préalablement en concertation entre les parties.

Dans l’hypothèse où des manquements à la Réglementation auraient été constatés au cours de l’audit et non contestés par Mounki, Mounki devra y remédier, dans les meilleurs délais. Le Client s’engage à coopérer avec Mounki dans le choix et lamise en œuvre des mesures visant à remédier auxdits manquements.

‍2.12 Transferts des données.

‍Nous veillerons à ce que, dans la mesure où de quelconques données à caractère personnel provenant de l’Union Européenne sont transférées par nos soins à un autre sous-traitant dans un pays ou territoire en dehors de la France et/ou de l’Union Européenne n'ayant pas fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

‍2.13 Responsabilité.

‍En toute hypothèse, il est rappelé que les Services fournis par Mounki constituent un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité de Mounki en matière de conformité à la règlementation est strictement limitée au périmètre des Services opérés par ses soins.

Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité.

En aucun cas la responsabilité de Mounki ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des Services, des finalités poursuivies et des traitements mis en œuvre par ses soins ou à sa demande.


‍3. MOUNKI RESPONSABLE DU TRAITEMENT AU SENS DU REGLEMENT UE 2016/679

‍3.1 Dans le cadre de la fourniture de ses Services, Mounki traite des données à caractère personnel au sens de la loi n°78-17 du 6 janvier1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel, en qualité de responsable du traitement.

‍3.2 Les données recueillies dans le cadre des services susvisés sont traitées aux fins de gérer la relation commerciale et clients, la maintenance et l’améliorations des services, la prospection et l’élaboration de statistiques sur la base des données d’usage des Services et pour d’autres finalités complémentaires conformément à la Politique de Confidentialité.

‍3.3 Les données collectées sont notamment les coordonnées personnelles des abonnées et utilisateurs, les informations d’identification du compte, les données bancaires, tout commentaire ou information soumis , les coordonnées professionnelles et les données pédagogiques.

Les destinataires des données sont le personnel habilité du service marketing & communication, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ; le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) au sein de Mounki, leClient, nos partenaires, et nos éventuels sous-traitants dans le respect de la règlementation française et conformément à la Politique de Confidentialité.

‍3.4 Les données sont conservées pendant le délai strictement nécessaire à l’accomplissement des finalités susvisées conformément à la Politique de Confidentialité. Les données sont susceptibles de transfert hors du territoire de l’Espace économique européen mais bénéficient des garanties appropriées ou d’une décision d’adéquation conformément à la réglementation applicable.

‍3.5 Vous reconnaissez que, lors de l'accès aux services en ligne et de l'utilisation de ces derniers, il vous sera demandé, ainsi qu'aux utilisateurs, de fournir des données à caractère personnel. Vous déclarez et garantissez que les utilisateurs et vous avez respecté toutes les obligations applicables aux termes de la législation relative à la protection des données lorsque vous nous avez fourni des données à caractère personnel, notamment la transmission de toutes notifications requises et l'obtention de tous consentements et autorisations nécessaires pour nous permettre de traiter lesdites données à caractère personnel.

‍3.6 Conformément à la réglementation applicable en matière de protection des données personnelles, vous disposez des droits suivants, sous réserve le cas échéant de la justification de votre identité.   

‍Droit d’accès 
A ce titre, vous avez la confirmation que vos données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, vous disposez du droit de demander une copie de vos données et des informations concernant :
- les finalités du traitement ;
- les catégories de données personnelles concernées ;
- les destinataires ou catégories de destinataires ainsi que, le cas échéant si de telles communication devaient être réalisées, les organisations internationales auxquelles les données personnelles ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ;
- lorsque cela est possible, la durée de conservation des données personnelles envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
- l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de vos données personnelles, du droit de demander une limitation du     traitement de vos données personnelles, du droit de vous opposer à ce traitement ;
- le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
- des informations relatives à la source des données quand elles ne sont pas collectées directement auprès des personnes concernées ;
- l’existence d’une prise de décision automatisée, y compris de profilage, et dans ce dernier cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour les personnes concernées.

‍Droit à l’effacement des données       
Vous pouvez nous demander l’effacement de vos données à caractère personnel lorsque l’un des motifs suivants s’applique :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ; vous retirez le consentement préalablement donné (et ne pouvez donc plus bénéficier de l’accès au Service) ;
- vous vous opposez au traitement de vos données personnelles lorsqu’il n’existe pas de motif légitime impérieux pour le traitement ;
- le traitement de données personnelles n’est pas conforme aux dispositions de la législation et de la réglementation applicable.

Votre attention est attirée sur le fait que le droit à l’effacement des données n’est pas un droit général et qu’il ne pourra y être fait droit que si un des motifs prévus dans la réglementation applicable est présent. Ainsi, si aucun de ces motifs n’est présent, Mounki ne pourra répondre favorablement à votre demande ; tel sera le cas si, Mounki est tenu de conserver les données en raison d’une obligation légale ou réglementaire ou pour la constatation, l’exercice ou la défense de droits en justice. 

‍Droit à la limitation des traitements de données 
‍Vous pouvez demander la limitation du traitement de vos données à caractère personnel dans les cas prévus par la législation et la réglementation. 

‍Droit d’opposition aux traitements de données 
Vous disposez du droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel dont la base juridique est l’intérêt légitime poursuivi par le responsable du traitement. En cas d’exercice d’un tel droit d’opposition, nous veillerons à ne plus traiter vos données à caractère personnel dans le cadre du traitement concerné sauf si nous pouvons démontrer que nous pouvons avoir des motifs légitimes et impérieux pour maintenir ce traitement. Ces motifs devront être supérieurs à vos intérêts et à vos droits et libertés, ou le traitement se justifier pour la constatation, l'exercice ou la défense de droits en justice. 

Vous disposez du droit de vous opposer à la prospection commerciale ainsi qu’au profilage dans la mesure où il est lié à une telle prospection. 

‍Droit à la portabilité des données 
‍Vous disposez du droit à la portabilité de vos données à caractère personnel. Nous attirons votre attention sur le fait qu’il ne s’agit pas d’un droit général. En effet, toutes les données de tous les traitements ne sont pas portables et ce droit ne concerne que les traitements automatisés à l’exclusion des traitements manuels ou papiers. 

Ce droit est limité aux traitements dont la base juridique est votre consentement ou l’exécution des mesures précontractuelles ou d’un contrat. 

Ce droit n’inclut ni les données dérivées ni les données inférées, qui sont des données personnelles créées par Mounki. 

Les données sur lesquelles peut s’exercer ce droit sont :
- uniquement vos données personnelles, ce qui exclut les données personnelles anonymisées ou les données qui ne vous concernent pas ;
- les données personnelles déclaratives ainsi que les données personnelles de fonctionnement.

Le droit à la portabilité ne peut pas porter atteinte aux droits et libertés de tiers telles que celles protégées par le secret des affaires. 

Vous pouvez demander la portabilité des données en précisant si vous souhaitez les recevoir vous-même ou si cela est techniquement possible pour nous, que nous les transmettions directement à un autre responsable de traitement. 

Dans ce dernier cas, vous veillerez à nous indiquer la dénomination exacte de ce responsable, ses coordonnées ainsi que le service ou la personne qui devrait en être destinataire. Afin de faciliter l’exercice de ce droit vous devrez informer ce destinataire de votre demande auprès de nos services. 

‍Droit de retrait du consentement 
‍Lorsque les traitements de données que nous mettons en œuvre sont fondés sur votre consentement, vous pouvez le retirer à n’importe quel moment. Nous cessons alors de traiter vos données à caractère personnel sans que les opérations antérieures pour lesquelles vous aviez consenti ne soient remises en cause. 

‍Droit d’introduire un recours 
‍Vous avez le droit d’introduire une réclamation auprès de la Cnil sur le territoire français et ce sans préjudice de tout autre recours administratif ou juridictionnel. 

‍Droit de définir des directives post-mortem 
‍Vous avez la possibilité de définir des directives particulières relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès auprès de nos services selon les modalités ci-après définies. Ces directives particulières ne concerneront que les traitements mis en œuvre par nos soins et seront limitées à ce seul périmètre. Vous disposerez également lorsque cette personne aura été désignée par le pouvoir exécutif définir des directives générales aux mêmes fins. 

‍3.7 Modalités d’exercice de vos droits 

Vous pouvez exercer ces droits à tout moment en vous adressant à notre service client :  
- Par courrier postal : Société Mounki 96 boulevard Marius Vivier Merle 69003 Lyon ;
- Par courriel : contact@mounki.fr , en précisant votre référence client.

Toute demande par courrier postal ou courriel devra être signée et accompagnée de la photocopie d’un titre d’identité portant votre signature et préciser l’adresse à laquelle devra vous parvenir la réponse. Une réponse vous sera alors adressée dans un délai d’un mois suivant la réception de la demande. 

En cas de litige, vous disposez également du droit de saisir la CNIL dans le cadre de votre droit d’introduire un recours évoqué plus haut.