Protection des données

Objet
Le présent document a pour objet de définir les conditions dans lesquelles l’Agence (ci-après le « Sous-Traitant ») s’engage à effectuer pour le compte du Client, responsable de traitement (ci-après « le Client ») les opérations de traitement de données à caractère personnel définies ci-après.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le Règlement européen sur la protection des données »).

Description du traitement faisant l’objet de la sous-traitance
Le Sous-Traitant est autorisé à traiter pour le compte du Client les données à caractère personnel nécessaires pour fournir le ou les service(s) pour le(s)quel(s) il a été engagé.
Service(s) fourni(s) : 
-Réservation de billets d’avions et autres moyens de transport ;
-Edition et annulation de billets d’avions et autres moyens de transport ;
-Réservation d’hébergement
-Edition et annulation d’hébergement
-Assistance au voyageur pendant son déplacement

Nature des opérations réalisées :
-Edition et envoi de tous messages liés aux réservations ;
-Exports comptables analytiques ;
-Transmission de données nationales d’identité aux fournisseurs et autorités compétentes ;
-Suivi, gestion et validation des voyages ;
-Transmission de données nécessaires à la réservation aux fournisseurs

Finalité(s) du traitement : Gestion des déplacements professionnels des collaborateurs du Client

Données à caractère personnel traitées :
-Nom
-Date de naissance
-Genre
-Email professionnel
-Numéro de passeport
-Date d’expiration du passeport
-Numéro de téléphone

Catégories de personnes concernées :Tous les collaborateurs du Client amenés à voyager dans le cadre d’un déplacement professionnel

Obligations du Sous-Traitant vis-à-vis du Client
Le Sous-Traitant s'engage à :
1. traiter les données uniquement pour la ou les seule(s) finalité(s) mentionnée(s) ci-dessus.
2. traiter les données conformément aux instructions de la présente annexe.

Si le Sous-Traitant considère qu’une instruction constitue une violation du Règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il doit en informer immédiatement le Client.

Si le Sous-Traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit en informer le Client avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre de la présente annexe
4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :- s’engagent à respecter la confidentialité ou soient soumises à une obligation légaleappropriée de confidentialité- reçoivent la formation nécessaire en matière de protection des données à caractère personnel notamment concernant le Règlement Général sur la Protection des Données (RGPD)
5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de « Privacy By Design » et de « Privacy By Default ». 6. en cas de sous traitance ultérieureDans le cas où le Sous-Traitant souhaite faire appel à un autre sous-traitant (ci-après le « Sous-Traitant Ultérieur »), il devra préalablement en informer l’Agence par écrit en indiquant clairement les activités de traitement sous-traitées, l’identité et les coordonnées du Sous-Traitant Ultérieur ainsi que la durée du contrat de sous-traitance.

Le Client dispose d’un délai maximum de 1 (un) mois à compter de la date de réception de cette information pour présenter ses objections. Passé ce délai et en l’absence d’objections de la part du Client, le Sous-Traitant pourra effectuer la sous-traitance ultérieure.

Le Sous-Traitant Ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Client. Il appartient au Sous-Traitant de s’assurer que le Sous-Traitant Ultérieur présente les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées et ce, conformément au Règlement européen sur la protection des données.

En cas de non-respect par le Sous-Traitant Ultérieur de ses obligations en matière de protection des données, le Sous-Traitant demeure pleinement responsable devant le Client de l’exécution de ses obligations.

7. Droit d’information des personnes concernéesIl appartient au Client d’informer les personnes concernées des opérations de traitement dont ils font l’objet au moment de la collecte des données.

8. Exercice des droits des personnesLe Sous-Traitant fera ses meilleurs efforts afin d’aider le Client à s’acquitter de son obligation de donner suite aux demandes des personnes souhaitant exercer leurs droits : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes dès réception par courrier électronique au Client

9. Notification des violations de données à caractère personnelLe Sous-Traitant doit notifier au Client toute violation de données à caractère personnel dans un délai maximum de 24 (vingt-quatre) heures après en avoir pris connaissance. Cette notification se fera par l’envoie d’un email ainsi que d’un courrier recommandé avec accusé de réception.
Cette notification devra être accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Lorsque qu’il existe un risque élevé pour les droits et libertés d'une personne physique, le Client informe la personne concernée de la violation de ses données à caractère personnel, et ce dans les meilleurs délais.

10. Aide du Sous-Traitant dans le cadre du respect par le Client de ses obligations
Le Sous-Traitant aide le Client pour la réalisation de la consultation préalable de l’autorité de contrôle.

11. Mesures de sécurité
Afin de garantir un niveau de sécurité suffisant, le sous-traitant s’engage à mettre en œuvre des mesures de sécurité suffisantes, notamment :- la pseudonymisation et le chiffrement des données à caractère personnel ;- la mise en place de mesures de sécurité physique, dont notamment : surveillance des accès, sécurité incendie ;- la mise en place de mesures de sécurité logique, dont notamment : firewall, anti-virus,détection d'intrusions ;- la mise en place de procédures de gestion des droits d’accès et habilitations des utilisateurs;- la mise en place de mesures de sécurisation des échanges de données personnelles(notamment réseau) ;- les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et larésilience constantes des systèmes et des services de traitement ;- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;- une procédure visant à tester, à analyser ainsi qu’à à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

12. Sort des donnéesAu terme de la prestation de services relative au traitement de ces données, le Sous-Traitant s’engage, au choix du Client :● à renvoyer toutes les données à caractère personnel au Client ou● à renvoyer les données à caractère personnel au sous-traitant désigné par le Client. 
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-Traitant.Une fois détruites, le Sous-Traitant doit justifier par écrit de la destruction des données.

13. Délégué à la protection des données
Le Sous-Traitant communique au Client le nom et les coordonnées de son Délégué à la Protection des Données, s’il en a désigné un conformément à l’article 37 du Règlement européen sur la protection des données. A défaut, le sous-traitant doit communiquer au Client les coordonnées d’un responsable du traitement des données personnelles concernées.

14. Registre des catégories d’activités de traitementLe Sous-Traitant déclare tenir par écrit un registre de toutes les catégories d’activités detraitement effectuées pour le compte du Client comprenant :
● le nom et les coordonnées du Client, des éventuels sous-traitants et du Déléguéà la Protection des Données ;
● les catégories de traitements effectués pour le compte du Client ;
● les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale ainsi que les documents attestant de l'existence de garanties appropriées;
● dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles décrites ci-dessus.

15. Audits
L’Agence se réserve le droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect par le sous-traitant de ses obligations au titre des relations contractuelles les liant, notamment par le biais d’un audit. Le sous-traitant s’engage à répondre aux demandes d’audit du Client et effectuées par le Client lui-même ou par un tiers de confiance qu’il aura sélectionné, reconnu en tant qu’auditeur indépendant, ayant une qualification adéquate, et libre de fournir les détails de ses remarques et conclusion d’audit au Client.
Les audits doivent permettre une analyse du respect du Règlement sur la protection des données, notamment : par la vérification de l’ensemble des mesures de sécurité mises en œuvre par le sous-traitant, par la vérification des journaux de localisation des données, de copie et de suppression des données, par l’analyse des mesures mises en place pour supprimer les données, pour prévenir toutes transmissions illégales de données à des juridictions non adéquates ou pour empêcher le transfert de données vers un pays non autorisé par le Client.
L’audit doit enfin pouvoir permettre de s’assurer que les mesures de sécurité et de confidentialité mises en place ne peuvent être contournées sans que cela ne soit détecté et notifié.

16. Documentation
Le Sous-Traitant met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
Obligations du Client vis-à-vis du sous-traitant s’engage à :
1. fournir au Sous-Traitant les données visées au II des présentes clauses ;
2. documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant;
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement européen sur la protection des données de la part du Sous-Traitant ;