Politique de confidentialité de l’application Tedee

du 25.01.2024

Table des matières

§ 1 Définitions

§ 2 Informations générales

§ 3 Quels types de données personnelles nous collectons

§ 4 Pourquoi nous collectons des données personnelles

§ 5 Combien de temps nous conservons les données personnelles

§ 6 Quels sont les droits des Utilisateurs

§ 7 Transférons-nous des données personnelles vers des pays tiers

§ 8 Transmettons-nous des données personnelles à des tiers

§ 9 Accord de traitement des données

§ 10 Responsabilité et droits d’auteur

§ 11 Modification de la politique

§ 1 Définitions

1)Données personnellestoute information relative à une personne physique identifiée ou identifiable (ci-après dénommée « la personne concernée »). Une personne physique est considérée comme identifiable si elle peut être reconnue, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom. En termes simples, les données personnelles sont toutes les informations pouvant être reliées à un individu ;
2)Responsable du traitementune personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles lorsque l’Utilisateur accède à l’application Tedee ;
3)Utilisateur / Voustoute personne physique ou morale accédant à l’application Tedee pour ses besoins personnels ou professionnels, y compris les propriétaires d’appareils, les administrateurs et les utilisateurs invités à accéder aux appareils Tedee ;
4)Application Tedeel’application mobile « Tedee App » disponible sur iOS et AndroidOS ;
5)RGPDle Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
6)Sous-traitantune personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des données personnelles pour le compte du responsable du traitement ;
7)          Politique de confidentialitéla présente politique de confidentialité ;

§ 2 Informations générales

Tedee attache une importance particulière à la protection de la confidentialité et de la vie privée des informations que les Utilisateurs nous confient. L’une de nos responsabilités essentielles est de garantir un niveau de sécurité approprié et une utilisation correcte des informations personnelles des Utilisateurs collectées via notre application.

Le responsable du traitement de vos données personnelles est :

TEDEE Spółka z ograniczoną odpowiedzialnością, inscrite au registre des entrepreneurs du Registre national judiciaire tenu par le tribunal de district de la capitale Varsovie, 12e division commerciale du Registre national judiciaire sous le numéro KRS : 0000712451, NIP : 7010795542, REGON : 369188621, dont le siège social est situé à Varsovie, 02-127, rue Karola Bohdanowicza 21/57, adresse e-mail : [email protected]

Le responsable du traitement informe qu’il exerce ses fonctions de manière indépendante et n’a pas désigné de délégué à la protection des données à cet effet, au sens de l’article 37 du RGPD.

Tedee traite les données personnelles des Utilisateurs à diverses fins et, par conséquent, selon la finalité spécifique, différentes méthodes de collecte, bases juridiques de traitement, modes d’utilisation, de divulgation et périodes de conservation peuvent s’appliquer. Nous collectons uniquement les données personnelles volontairement fournies par les Utilisateurs souhaitant recevoir des informations ou utiliser nos services.

Dans la présente Politique de confidentialité, nous décrivons la manière dont nous collectons et utilisons les données personnelles des Utilisateurs, ainsi que vos droits et votre capacité à exercer un contrôle sur les données que nous détenons. Tous les termes en majuscules dans la présente Politique de confidentialité ont la signification qui leur est attribuée au § 1 Définitions.

Si vous avez des questions sur la manière dont Tedee traite vos données personnelles, nous vous encourageons à nous contacter à l’adresse : [email protected]

§ 3 Quels types de données personnelles nous collectons


Tedee collecte les types de données personnelles suivants concernant l’Utilisateur :

  • adresse e-mail ;
  • localisation GPS de l’Utilisateur et de son terminal ;
  • adresse IP de l’Utilisateur, date et heure d’accès, système d’exploitation, langue, pays ;
  • identifiant utilisateur (user ID) ;
  • données télémétriques de l’appareil de l’Utilisateur ;
  • journaux d’activité, incluant les données historiques de verrouillage et de déverrouillage de l’appareil, associés à votre identifiant utilisateur.

(collectivement : « Données personnelles »).

La fourniture de vos données personnelles au Responsable du traitement est entièrement volontaire, bien que la fourniture de données exactes et complètes puisse être nécessaire pour l’exécution d’un service particulier ou la réalisation d’un objectif spécifique pour Tedee ou l’Utilisateur. Par exemple, dans le cas de :

  1. l’inscription d’un compte utilisateur sur l’application Tedee – il est nécessaire de fournir au Responsable du traitement : (i) le nom d’utilisateur (ID) et (ii) l’adresse e-mail afin de fournir à l’Utilisateur le service de compte utilisateur de l’application Tedee ;
  2. le début de l’utilisation des fonctionnalités de l’application Tedee – il est nécessaire de fournir au Responsable du traitement : (i) la localisation GPS de l’Utilisateur et de son terminal, (ii) l’identifiant utilisateur, (iii) les données télémétriques de l’appareil, (iv) la langue et (v) le pays afin de permettre à l’Utilisateur d’utiliser ces fonctionnalités ;
  3. l’intégration de l’appareil de l’Utilisateur avec un intégrateur tiers de maison intelligente (ex. Amazon Alexa, Google Home) – il est nécessaire de fournir au Responsable du traitement : (i) le nom d’utilisateur (ID) et (ii) l’adresse e-mail afin de faciliter l’intégration ;
  4. la surveillance du bon fonctionnement de l’application Tedee et le dépannage – il est nécessaire de fournir au Responsable du traitement : (i) l’adresse IP de l’Utilisateur, (ii) la date et l’heure d’accès, (iii) le système d’exploitation et (iv) l’adresse e-mail afin de permettre la surveillance, le dépannage et l’information de l’Utilisateur sur les problèmes potentiels et les questions importantes liées à l’application Tedee.

(collectivement : « Services »)

Tedee ne traite que les données personnelles que l’Utilisateur nous fournit lui-même, à l’exception des données de surveillance et de dépannage collectées automatiquement afin d’assurer le fonctionnement continu de l’application Tedee.

§ 4 Pourquoi nous collectons des données personnelles

Tedee collecte vos données personnelles aux fins suivantes :

  1. inscription d’un compte utilisateur sur l’application Tedee
    • l’exécution d’obligations contractuelles, c’est-à-dire la conclusion et l’exécution des obligations de Tedee au titre d’un contrat de fourniture du service de compte utilisateur de l’application Tedee – sur la base de l’article 6, paragraphe 1, point b) du RGPD et de l’article 6, paragraphe 1, point a) du RGPD ;
  2. début de l’utilisation des fonctionnalités de l’application Tedee
    • l’exécution d’obligations contractuelles, c’est-à-dire la conclusion et l’exécution des obligations de Tedee au titre d’un contrat de fourniture des fonctionnalités de l’application Tedee – sur la base de l’article 6, paragraphe 1, point b) du RGPD et de l’article 6, paragraphe 1, point a) du RGPD ;
  3. intégration de l’appareil de l’Utilisateur avec un intégrateur tiers de maison intelligente (ex. Amazon Alexa, Google Home)
    • faciliter l’utilisation par l’Utilisateur de l’intégration tierce via l’application Tedee – sur la base de l’article 6, paragraphe 1, point a) du RGPD ;
  4. surveillance du bon fonctionnement de l’application Tedee et dépannage
    • permettre l’amélioration continue de l’application Tedee et de la qualité générale des services, ainsi que la surveillance des performances et l’optimisation de l’utilisation des données – sur la base de l’article 6, paragraphe 1, point f) du RGPD.
  5. archivage
    • établissement de registres du traitement des données personnelles, tel que requis par le RGPD et la législation applicable – sur la base de l’article 6, paragraphe 1, point c) et de l’article 6, paragraphe 1, point f) du RGPD ;
    • archivage d’informations à des fins probatoires, afin d’établir les faits pertinents – sur la base de l’article 6, paragraphe 1, point c) du RGPD.

§ 5 Combien de temps nous conservons les données personnelles

Tedee collecte et traite (utilise) vos données personnelles à compter de l’inscription du compte utilisateur dans l’application Tedee et continue de le faire tout au long de la prestation des Services, et :

  • jusqu’à l’expiration du contrat de prestation de services en vertu des Conditions d’utilisation de l’application Tedee et de la présente Politique de confidentialité ;
  • jusqu’à l’expiration du délai de prescription des créances pécuniaires/personnelles en vertu de la législation applicable – concernant les données des Utilisateurs ;
  • jusqu’à l’expiration de l’obligation de conservation des registres résultant de réglementations légales spécifiques, y compris la législation fiscale – concernant les données des Utilisateurs,
    – selon laquelle de ces échéances survient en premier.

§ 6 Quels sont les droits des Utilisateurs

Conformément aux dispositions des articles 15 à 20 du RGPD, chaque Utilisateur dispose des droits suivants concernant ses données personnelles traitées par Tedee :

  1. Droit d’accès aux données personnelles (article 15 du RGPD)
    La personne concernée a le droit d’obtenir du Responsable du traitement la confirmation que ses données personnelles sont traitées ou non. Dans l’affirmative, cette personne a également le droit d’accéder à ces données.
    Si les données personnelles de l’Utilisateur sont transférées vers un pays tiers ou une organisation internationale, l’Utilisateur a le droit d’être informé des garanties appropriées relatives à ce transfert.
  2. Droit de rectification des données personnelles (article 16 du RGPD)
    La personne concernée a le droit d’obtenir du Responsable du traitement la rectification, dans les meilleurs délais, des données personnelles inexactes la concernant.
    De plus, l’Utilisateur a également le droit de demander la complétion des données personnelles incomplètes, notamment en fournissant une déclaration complémentaire.
  3. Droit à l’effacement (droit à l’oubli) (article 17 du RGPD)
    La personne concernée a le droit d’obtenir du Responsable du traitement l’effacement de ses données de la base de données du Responsable du traitement dans les meilleurs délais.
    Le Responsable du traitement peut choisir de ne pas supprimer les données en cas de retrait du consentement par l’Utilisateur, si le consentement n’était pas le seul motif principal du traitement de ses données. C’est notamment le cas lorsque le traitement est nécessaire à l’exécution des obligations découlant du contrat entre l’Utilisateur et le Responsable du traitement, ou lorsque le traitement est nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public, à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice.
  4. Droit à la limitation du traitement des données personnelles (article 18 du RGPD)
    La personne concernée a le droit d’obtenir du Responsable du traitement la limitation du traitement de ses données dans des situations telles que :
    • la contestation par l’Utilisateur de l’exactitude de ses données personnelles (pendant une durée permettant au Responsable du traitement de vérifier l’exactitude de celles-ci) ;
    • un traitement illicite, l’Utilisateur s’opposant à l’effacement des données et demandant à la place la limitation de leur traitement ;
    • une situation dans laquelle le Responsable du traitement n’a plus besoin des données personnelles aux fins du traitement, mais celles-ci sont encore nécessaires à l’Utilisateur pour la constatation, l’exercice ou la défense de droits en justice ;
    • lorsque l’Utilisateur s’est opposé au traitement en vertu de l’article 21, paragraphe 1 du RGPD, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le Responsable du traitement prévalent sur ceux de la personne concernée.
  5. Droit à la portabilité des données (article 20 du RGPD)
    La personne concernée reçoit, sur demande, les données personnelles la concernant dans un format structuré, couramment utilisé et lisible par machine (ex. .doc, .docx, .pdf, etc.).
    Ces données ont été fournies au Responsable du traitement par l’Utilisateur et sont traitées par celui-ci. Par ailleurs, l’Utilisateur a le droit de demander que ces données soient transmises à un autre responsable du traitement. Il a également le droit de transférer ces données à un autre responsable sans qu’il y soit fait obstacle.
  6. Droit d’opposition (article 21 du RGPD)
    La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement des données personnelles la concernant fondé sur les intérêts légitimes du Responsable du traitement ou d’un tiers, y compris le profilage fondé sur ces dispositions.
    À compter du dépôt de l’opposition jusqu’à son issue, le Responsable du traitement n’est pas autorisé à traiter vos données personnelles à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés, ou pour la constatation, l’exercice ou la défense de droits en justice.

Pour exercer l’un des droits mentionnés ci-dessus, veuillez contacter le Responsable du traitement à l’adresse physique indiquée au § 1 de la Politique de confidentialité ou à l’adresse e-mail : [email protected], en indiquant dans le corps du message l’étendue de la demande de l’Utilisateur. Le délai de réponse à la demande est de 30 jours à compter de la date de réception effective d’une demande dûment complétée.

Le Responsable du traitement souhaite préciser que l’exercice des droits susmentionnés n’est pas absolu et ne s’applique pas dans la même mesure à toutes les activités de traitement des données personnelles entreprises par le Responsable du traitement. Des informations détaillées concernant les limitations susmentionnées sont disponibles dans le texte du Règlement RGPD.

Outre la possibilité de faire valoir leurs droits directement auprès du Responsable du traitement, chaque Utilisateur a le droit d’introduire une réclamation auprès de l’autorité de contrôle chargée de la protection des données personnelles, qui est le Président de l’Office de protection des données personnelles, ul. Stawki 2, 00-193 Varsovie, à l’adresse : [email protected] ou via la boîte de dépôt électronique (ESP) à l’adresse : https://uodo.gov.pl/pl/83/153.

§ 7 Transférons-nous des données personnelles vers des pays tiers

Le Responsable du traitement informe que les données personnelles de l’Utilisateur peuvent être transférées en dehors de l’Union européenne et de l’Espace économique européen vers des pays tiers, sous réserve du respect de toutes les exigences de sécurité prévues par la législation applicable, y compris le RGPD.

Le maintien des standards susmentionnés tient au fait que les données personnelles ne sont partagées qu’avec les entités (sous-traitants) qui :

  1. sont établies dans un pays pour lequel la Commission européenne a adopté une décision d’exécution reconnaissant un niveau de protection adéquat des données personnelles (ex. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0915&locale-en) ;
  2. ont conclu dans leurs contrats avec le Responsable du traitement des clauses contractuelles types (CCT) garantissant le niveau de protection des données personnelles requis par la législation applicable ;

§ 8 Transmettons-nous des données personnelles à des tiers

Le Responsable du traitement informe que, afin d’exécuter correctement les services visés dans la Politique de confidentialité et les Conditions d’utilisation, les données personnelles de l’Utilisateur peuvent être mises à la disposition de tiers avec lesquels le Responsable du traitement coopère, dans le respect de toutes les exigences de sécurité découlant de la législation applicable, y compris le RGPD.

Les données des Utilisateurs peuvent être mises à la disposition des entités suivantes :

  1. Partenaires commerciaux en matière d’intégration maison intelligente (ex. Amazon Alexa, Google Home, Fibaro, Homey, Krossbooking) – dans le cas où l’Utilisateur décide d’intégrer ses appareils avec un intégrateur tiers via l’application Tedee, l’Utilisateur peut autoriser Tedee à partager ses données personnelles avec cet intégrateur ;
  2. Aux autorités administratives publiques (ex. les autorités chargées de l’application de la loi, le Président de l’UOKiK) – dans le cas d’une demande d’un organisme autorisé de fournir les données personnelles de l’Utilisateur afin de remplir une obligation légale ;
  3. Aux fournisseurs de services auxiliaires (ex. prestataires de services juridiques, comptables, informatiques) – dans la mesure où ces entités fournissent des services de support juridique/RH/informatique au Responsable du traitement, avec l’exigence de minimiser les données personnelles partagées avec ces entités ;
  4. Aux propriétaires et administrateurs d’appareils – si vous utilisez l’application Tedee sur la base d’une invitation à un appareil spécifique, vos journaux d’activité liés à cet appareil (heure et méthode d’accès) sont automatiquement partagés avec le propriétaire et les administrateurs de cet appareil pour assurer la sécurité et le contrôle d’accès.

IMPORTANT : L’utilisation des données personnelles de l’Utilisateur par des partenaires commerciaux tiers d’intégration maison intelligente est facilitée par le partage de données personnelles sur la base du consentement explicite de l’Utilisateur. Étant donné qu’une telle intégration ne constitue pas une sous-traitance au sens de l’article 28 du RGPD, les conditions spécifiques de traitement des données personnelles de l’Utilisateur sont accessibles via la documentation de politique de confidentialité respective mise à disposition par ces intégrateurs tiers. Il est conseillé de toujours examiner attentivement ces documents avant d’accorder son consentement au partage des données personnelles de l’utilisateur.

§ 9 Accord de traitement des données

Dans le cas où vous (l’Utilisateur) agissez en qualité de responsable du traitement des données personnelles de tiers, et que, lors de l’inscription et de la configuration du compte utilisateur de l’application Tedee, ces données personnelles doivent être traitées, transférées, divulguées ou mises à disposition du Responsable du traitement par tout usage de l’application Tedee, en acceptant la présente Politique de confidentialité, vous et Tedee concluez – sans qu’aucune autre action ne soit nécessaire à cet égard – un Accord de traitement des données tel que défini à l’article 28 du RGPD (ATD), dans lequel vous agissez en qualité de responsable du traitement des données personnelles confiées et Tedee agit en qualité de sous-traitant des données personnelles ainsi reçues, dont le contenu est annexé en tant qu’Annexe n° 1 à la présente Politique de confidentialité.

Tous les termes en majuscules utilisés dans l’Accord de traitement des données ont la même signification que celle définie aux fins de la présente Politique de confidentialité.

§ 10 Responsabilité et droits d’auteur

Le Responsable du traitement informe que tout le contenu de la présente Politique de confidentialité est la propriété exclusive du Responsable du traitement et est protégé par le droit d’auteur, tel que défini dans la loi sur la protection des droits d’auteur et des droits voisins.

Toute tentative de copie du contenu de la Politique de confidentialité effectuée sans le consentement écrit exprès du Responsable du traitement constitue une violation illicite des droits d’auteur, passible des sanctions légales prévues par les dispositions pertinentes du droit commun applicable.

§ 11 Modification de la politique

La présente Politique de confidentialité est en vigueur à compter du 25 janvier 2024.

Tedee se réserve le droit de modifier périodiquement la présente politique en lien avec le développement continu de l’application Tedee, laquelle modification vous sera opposable dès votre acceptation de la nouvelle version publiée, affichée dans l’application Tedee.

Versions archivées de la Politique de confidentialité :

  1. Politique de confidentialité Tedee du 25 janvier 2025
  2. Politique de confidentialité Tedee du 2 juin 2023 ;

Annexe n° 1

ACCORD DE TRAITEMENT DES DONNÉES (ATD)
conclu à Varsovie, Pologne


entre :
l’Utilisateur,
ci-après dénommé le Responsable du traitement
et
Tedee,
ci-après dénommé le Sous-traitant,
ci-après dénommés collectivement les Parties et individuellement une Partie.

§ 1 Objet du contrat

  1. Dans le cadre de la conclusion du contrat de fourniture des Services, le Responsable du traitement confie au Sous-traitant le traitement des données personnelles indiquées au § 3 du Contrat (Données personnelles) (ordre de traitement).
  2. Le Sous-traitant traitera les données personnelles confiées par le Responsable du traitement uniquement aux fins de l’exécution des Services.
  3. Le Sous-traitant est autorisé à effectuer, de manière non automatisée, les opérations de traitement sur les données personnelles suivantes : collecte, enregistrement, organisation, structuration, conservation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, limitation, effacement ou destruction – uniquement dans la mesure nécessaire à l’exécution du présent Contrat.
  4. Les Parties conviennent que le Sous-traitant ne traitera pas les données confiées de manière automatisée, au sens de l’article 22 du RGPD, y compris par le recours au profilage.

§ 2 Déclarations du Responsable du traitement

  1. Le Responsable du traitement déclare par la présente que, dans le cadre du présent Contrat, il :
    • agit en qualité de responsable du traitement des données personnelles, au sens du Règlement RGPD ;
    • traite les données personnelles de manière pleinement licite ;
    • les données personnelles ont été obtenues de manière licite, à des fins légitimes ;
    • respecte les exigences légales auxquelles le responsable du traitement est soumis ;
    • confie le traitement des données personnelles d’une manière qui ne viole aucune disposition contractuelle ni aucun droit de tiers ;
    • demeure seul responsable du respect de l’obligation d’information envers ces personnes au titre de l’article 13 du RGPD, y compris les informer que leur accès est enregistré et qui a accès à ces journaux.
  2. Le Responsable du traitement s’engage à coopérer avec le Sous-traitant dans l’exécution du contrat, notamment en fournissant au Sous-traitant toutes les informations nécessaires à l’exécution du contrat.
  3. Le Responsable du traitement s’engage à documenter par écrit toute instruction relative au traitement des données personnelles donnée au Sous-traitant.

§ 3 Catégories de personnes concernées et types de données personnelles

  1. Le Sous-traitant traitera les types et catégories de données personnelles qui lui sont confiés par le Responsable du traitement dans le cadre de l’utilisation des Services par ce dernier.

§ 4 Obligations du Sous-traitant

  1. Le Sous-traitant s’engage à traiter les données personnelles uniquement aux fins pour lesquelles elles lui ont été confiées.
  2. Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable du traitement, sauf si l’obligation de traiter les données personnelles découle de la loi, auquel cas le Sous-traitant en informe le Responsable du traitement avant de procéder au traitement, à moins que cette information ne soit interdite par la loi pour des raisons d’intérêt public important.
  3. Le Sous-traitant est tenu d’informer immédiatement le Responsable du traitement si, à son avis, l’instruction du Responsable du traitement est illicite.
  4. Le Sous-traitant déclare avoir mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité du traitement, de manière à offrir un niveau de sécurité adapté au risque d’atteinte aux droits et libertés des personnes physiques. Les mesures techniques et organisationnelles utilisées par le Sous-traitant sont décrites au § 5 du Contrat.
  5. Le Sous-traitant n’autorisera que les membres du personnel pour lesquels l’accès aux données confiées est nécessaire, et uniquement dans la mesure nécessaire au traitement des données personnelles, toute personne accédant aux données personnelles sous l’autorité du Sous-traitant s’engageant à en préserver la confidentialité.
  6. Le Sous-traitant déclare que le personnel visé ci-dessus a été sensibilisé aux réglementations relatives à la protection des données personnelles ainsi qu’à la responsabilité de protéger les données contre tout accès non autorisé, modification, perte, publication ou acquisition.
  7. Le Sous-traitant déclare n’avoir pas désigné de délégué à la protection des données. Pour toute question relative au RGPD et au traitement des données personnelles, veuillez contacter [email protected].
  8. Le Sous-traitant s’engage à coopérer avec le Responsable du traitement, en tenant compte de la nature du traitement, dans l’accomplissement de l’obligation de répondre aux demandes des personnes concernées pour l’exercice de leur droit à l’information, d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données et d’opposition, par des moyens techniques et organisationnels appropriés. En cas de réception d’une telle demande, le Sous-traitant la communique rapidement au Responsable du traitement par e-mail à : [email protected], et ce au plus tard dans les trois jours suivant la réception de la demande.
  9. Le Sous-traitant s’engage à coopérer avec le Responsable du traitement dans l’accomplissement des obligations prévues aux articles 32 à 36 du RGPD, à savoir la sécurisation des données, la notification des violations de données, la notification des personnes concernées en cas de violation, la réalisation d’une analyse d’impact relative à la protection des données et la consultation préalable de l’autorité de contrôle concernant les données confiées.
  10. Le Sous-traitant s’engage à notifier immédiatement le Responsable du traitement, et au plus tard dans les 48 heures, de toute violation de la protection des données identifiée, par e-mail à [email protected]

§ 5 Mesures techniques et organisationnelles

  1. Dans le cadre de l’exécution de ses obligations au titre du présent Contrat, compte tenu de la nature, de la portée, du contexte et des finalités du traitement des données personnelles, ainsi que du risque d’atteinte aux droits et libertés des personnes physiques, en tenant compte de la probabilité et de la gravité de cette atteinte, le Sous-traitant déclare avoir mis en œuvre dans son organisation les mesures techniques et organisationnelles suivantes, au sens de l’article 32 du RGPD :
    • pseudonymisation et chiffrement des données personnelles ;
    • mesures techniques garantissant la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles traitées dans les systèmes ;
    • mesures techniques garantissant un accès efficace aux données personnelles en cas d’incident de sécurité technique ou physique ;
    • tests, analyses et évaluations cycliques des mesures techniques et organisationnelles utilisées.
  2. Le Sous-traitant déclare respecter au minimum les exigences minimales en matière de protection des données, notamment :
    • mesures organisationnelles :
      • mise en œuvre d’une documentation définissant les bases de la protection des données personnelles dans l’entreprise du Sous-traitant ;
      • organisation de formations initiales et continues sur la protection du traitement des données personnelles auprès du personnel du Sous-traitant ;
      • application d’un contrôle d’accès physique aux locaux du Sous-traitant ;
    • mesures techniques :
      • identification des locaux sécurisés où les données peuvent être traitées ;
      • mise en œuvre de mesures de sécurité appropriées, ex. contrôle d’accès, verrouillage de l’accès aux équipements ;
    • mesures de sécurité du contrôle d’accès :
      • chaque membre du personnel du Sous-traitant dispose d’un mot de passe d’accès distinct et unique à l’ordinateur et au système informatique où les données personnelles sont traitées ;
      • mise en œuvre d’une politique de mots de passe forts, modifiés périodiquement ;
      • mise en œuvre du chiffrement des données personnelles traitées sur les appareils mobiles professionnels ;
      • l’accès distant aux données personnelles est géré et surveillé de manière centralisée.
    • mesures de sécurité opérationnelles :
      • les applications et systèmes informatiques utilisés par le Sous-traitant pour traiter les données personnelles sont régulièrement mis à jour, vérifiés et testés pour détecter les vulnérabilités aux cyberattaques, et protégés par un logiciel antivirus ;
      • mise en œuvre de mesures de protection contre les accès non autorisés aux systèmes et au réseau de l’entreprise au moyen d’un pare-feu ;
      • mise en œuvre de systèmes de surveillance du trafic réseau, de détection d’anomalies et de réponse rapide.
  3. Le Sous-traitant déclare tenir un registre des catégories de données personnelles traitées couvrant les données personnelles confiées au traitement, conformément à l’article 30, paragraphe 2 du RGPD, sauf s’il est exempté de cette obligation en vertu de l’article 30, paragraphe 5 du RGPD.


§ 6 Audit

  1. À la demande du Responsable du traitement, le Sous-traitant mettra à disposition toutes les informations nécessaires pour effectuer ou démontrer le respect de ses obligations au titre du RGPD.
  2. Le Responsable du traitement se réserve le droit d’inspecter l’exécution du contrat, au moins tous les 12 mois et toujours en cas de violation de la protection des données par le Sous-traitant.
  3. Le Sous-traitant est tenu de coopérer dûment avec le Responsable du traitement en ce qui concerne les activités de contrôle. En particulier, le Sous-traitant s’engage à :
    • fournir au Responsable du traitement la documentation relative au traitement des données personnelles ;
    • donner au Responsable du traitement accès aux locaux où les données personnelles sont traitées ;
    • permettre au Responsable du traitement de faire des copies des documents relatifs au traitement des données personnelles.
  4. L’audit sera réalisé après notification de la date d’audit au Sous-traitant. L’audit sera conduit pendant les heures de travail du Sous-traitant.
  5. Le Sous-traitant s’engage à remédier aux lacunes constatées lors de l’inspection et à mettre en œuvre les recommandations du Responsable du traitement dans un délai maximum de 30 jours. Le Sous-traitant informera rapidement le Responsable du traitement des mesures prises à cet effet.
  6. Le Responsable du traitement se réserve le droit de recourir à des tiers pour réaliser des audits (auditeurs), ainsi que de réaliser lui-même ces audits.

§ 7 Sous-traitance ultérieure

  1. Le Sous-traitant peut confier certaines opérations sur les données personnelles à un traitement ultérieur dans le cadre d’un contrat avec un autre sous-traitant (sous-traitance ultérieure).
  2. Le Sous-traitant s’engage à s’assurer que l’entité chargée du traitement ultérieur des données personnelles présente au moins les mêmes garanties et exigences en matière de protection des données personnelles que celles imposées au Sous-traitant en vertu du Contrat. Cette exigence concerne notamment l’obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de sorte que le traitement réponde aux exigences du RGPD.
  3. Le Sous-traitant est tenu d’informer immédiatement le Responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants. Le Responsable du traitement a le droit de s’opposer aux changements envisagés par le Sous-traitant.
  4. Le Sous-traitant ne peut pas confier l’exécution intégrale du contrat à un autre sous-traitant.
  5. Le Sous-traitant est entièrement responsable envers le Responsable du traitement du manquement du sous-traitant ultérieur à ses obligations au titre du présent contrat.

§ 8 Lieu de traitement

  1. Le Sous-traitant déclare que, dans le cadre de l’exécution du présent Contrat, aucun transfert de données vers un pays tiers, au sens du RGPD, n’aura lieu, que ce soit du fait d’une action ou d’une inaction du Sous-traitant ou des sous-traitants ultérieurs, sauf si les obligations légales imposées au Sous-traitant par la législation applicable l’exigent.
  2. Si le Sous-traitant a l’intention de transférer les données personnelles couvertes par le présent Contrat vers un pays tiers, il en informe le Responsable du traitement par écrit et lui permet de participer au processus de mise en conformité d’un tel transfert ou de résiliation du présent Contrat.

§ 9 Durée

  1. Le Contrat est conclu pour une durée indéterminée et reste en vigueur jusqu’à la résiliation du contrat de fourniture des Services ou l’expiration ou la suppression du compte utilisateur de l’application Tedee associé.
  2. À la résiliation du Contrat, le Sous-traitant, selon la demande du Responsable du traitement, restituera ou supprimera les données confiées et supprimera toutes les copies existantes, sauf si le droit de l’Union ou d’un État membre exige la conservation des données personnelles. L’absence de décision à cet égard lors de la résiliation du Contrat entraîne la suppression automatique de toutes les données personnelles confiées au Sous-traitant.


§ 10 Dispositions finales

  1. Le Contrat a été établi par voie électronique, sous forme documentaire.
  2. Toute modification et tout ajout aux dispositions du présent contrat devront être effectués sous forme documentaire, à peine de nullité.
  3. Le Sous-traitant n’a pas droit à une rémunération distincte pour l’exécution de ses obligations contractuelles.
  4. Les questions non couvertes par le présent Contrat sont régies par les dispositions du Code civil polonais, du RGPD, ainsi que par les dispositions des autres lois réglementant la protection des données personnelles.
  5. Tout litige pouvant survenir en lien avec la conclusion ou l’exécution du contrat sera tranché par le tribunal compétent en fonction du siège social du Responsable du traitement.