Accord de protection des données

ACCORD SUR LA PROTECTION DES DONNÉES PERSONNELLES 

Cet Accord définit les conditions dans lesquelles FASTERIZE effectue pour le compte de ses clients – « Responsables de Traitement », des opérations de traitement de Données Personnelles dans le cadre de l’exécution du Contrat et de l’application des dispositions légales et réglementaires applicables en matière de protection des Données Personnelles issues du règlement UE 2016/679, du règlement UE 2018/1725 et de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et des décisions de la Commission Européenne (ci-après dénommée « Règlementation »).
Lorsque des termes commencent par une lettre majuscule dans cet Accord, ils s’entendent au sens qui leur est donné dans les Conditions Générales ou dans ladite Réglementation.
Les dispositions de cet Accord doivent être lues et interprétées à la lumière des dispositions de la Réglementation et de la nature des traitements décrits ci-après.

Les dispositions de cet Accord ont été rédigées sur la base des clauses contractuelles types entre les responsables du traitement et les sous-traitants issues de la décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 prise au titre de l’article 28 du RGPD.

En cas de contradiction entre les dispositions cet Accord et celles des autres documents contractuels régissant les relations entre les Parties, celles de cet Accord prévaudront.

 

1. QUALIFICATION DES PARTIES

Les Parties reconnaissent que, au sens de la Réglementation :

  • FASTERIZE a la qualité de sous-traitant,
  • Le CLIENT a la qualité de responsable du traitement.

2. MISE EN GARDE

L’attention du CLIENT est attiré sur le fait que :

  • les traitements opérés par FASTERIZE dans le cadre de la fourniture du Service n’implique pas le stockage des Données Personnelles contenues dans les pages des sites web du CLIENT,
  • les traitements opérés par FASTERIZE concernent uniquement le transit du trafic de ces sites web via la Plateforme de FASTERIZE aux seules fins d’optimisation du trafic et de mesures de performance de l’optimisation du trafic,
  • les traitements opérés par FASTERIZE pour le compte du CLIENT ne concernent que des Données Personnelles non directement identifiantes, à l’exception du traitement des données des employés du Client, aux fins de l’exécution du Contrat.
  • FASTERIZE s’engage à ne pas les exploiter autrement que dans le cadre de la fourniture de son Service,
  • FASTERIZE s’engage à ne pas accéder au contenu et aux Données Personnelles générées ou intégrées dans les pages des sites web du CLIENT transitant via sa Plateforme.

C’est dans ce contexte que les dispositions de cet Accord doivent être lues et interprétées.

3. DESCRIPTIF DES TRAITEMENTS

FASTERIZE opère comme un CDN :

  1. Le navigateur transmet une requête HTTPS vers la plateforme Fasterize. FASTERIZE intercepte les requêtes des internautes vers le site (comme un proxy)
  2. FASTERIZE récupère les pages et les ressources demandées aux serveurs d’origine et analyse le code HTML, le Javascript, le CSS et les images. Dans ce cadre, FASTERIZE reçoit une requête contenant l’adresse IP et le « user-agent », transmet cette requête aux serveurs du CLIENT et reçoit des serveurs du CLIENT une réponse contenant la page web demandée.
  3. FASTERIZE applique les règles d’optimisation. Chacune de ces règles est préalablement sélectionnée et testée par nos experts techniques afin de garantir la qualité de nos services.
  4. FASTERIZE génère le contenu optimisé à la volée avant de le renvoyer au navigateur. Celui-ci est mis en cache si la réponse du serveur d’origine le permet.

FASTERIZE traite les Données Personnelles uniquement pour la nature et la finalité des opérations de traitement, ainsi que pour les types de Données Personnelles et les catégories de personnes concernées, figurant ci-dessous.

Traitement

Finalité

Catégories de données à caractère personnel

Catégories de personnes concernées

Nature des prestations réalisées sur les données à caractère personnel

Durée de conservation des données

Optimisation trafic web 

Optimisation du contenu des pages web non cachables

Adresse IP, user-agent, contenu des pages web 

Utilisateurs des sites web

Accès  

Transfert

Le temps du transit des données sur la plateforme (~100ms). 

Cache du trafic web 

Cache du contenu des pages web cachables

Contenu des pages web 

Utilisateurs des sites web

Stockage

Durée du cache configurée sur la plateforme d’optimisation pour une page donnée

Gestion du Content Delivery Network

Optimisation de la diffusion du contenu des pages web non cachables

Adresse IP, user-agent, Contenu des pages web

Utilisateurs des sites web 

Accès  

Transfert

Le temps du transit des données sur la plateforme (~100ms). 

Cache des pages sur le Content Delivery Network

Optimisation de la diffusion du contenu des pages web 

Contenu des pages web 

Utilisateurs des sites web 

Stockage

Durée du cache configurée sur le CDN pour une page donnée

Gestion des logs 

Mesures de la qualité et de la performance du service d’optimisation

Adresse IP, user-agent, adresse url des pages web visitées

Utilisateurs des sites web 

Accès

Stockage

Transfert

 

Entre 4 et 7  jours sous forme indexée

30 jours sous forme brute  

Gestion des utilisateurs de la plateforme Fasterize 

Utilisation de la plateforme Fasterize 

Nom, prénom, adresse email, adresse IP, user-agent

Utilisateurs de la plateforme Fasterize

Consultation, lecture, accès,

Enregistrement,

Suppression, destruction (sur demande Client)

Stockage

Durée de l’abonnement au Service

Gestion des alertes 

Avertir les utilisateurs d’un incident ou d’une opération de maintenance programmée

adresse email

Utilisateurs de la plateforme Fasterize

Consultation, lecture, accès,

Enregistrement,

Suppression, destruction (sur demande Client),

Stockage

Durée de l’abonnement au Service

4. LIMITATION DE LA FINALITÉ

FASTERIZE traite les Données Personnelles uniquement pour les finalités spécifiques définies ci-dessus, sauf instruction complémentaire du CLIENT.

5. DURÉE DES TRAITEMENTS ET DE CONSERVATION DES DONNÉES PERSONNELLES

Les traitements sont opérés par FASTERIZE pendant la durée de l’Abonnement du CLIENT.

Les Données Personnelles liées au transit du trafic des sites web via la Plateforme de FASTERIZE ne sont pas conservées, au-delà du délai mentionné ci-dessus.

Les Données Personnelles liées à la gestion des incidents sont conservées pendant un délai maximal de 30 jours comme indiqué dans le tableau ci-dessus.

À compter de la fin des périodes de conservation définies ci-dessus pour chaque catégorie de Données Personnelles, ou de la résiliation ou de l’expiration du Contrat, FASTERIZE devra, de manière sécurisée, restituer toutes les Données Personnelles traitées au nom du CLIENT ou les supprimer, effacer et détruire, ainsi que toutes les copies autorisées (le cas échéant) de ces Données Personnelles, y compris les extractions, les sauvegardes et autres reproductions (le cas échéant), que ce soit sous forme écrite, électronique ou autre format ou support, sauf dans le cas où la conservation de ces Données Personnelles est nécessaire à des fins de conformité à la Règlementation. 

FASTERIZE devra attester par écrit au CLIENT que les Données Personnelles ont été détruites de manière sécurisée.

6. SÉCURITÉ 

FASTERIZE met en œuvre au moins les mesures techniques et organisationnelles précisées dans son Plan d’Assurance Sécurité, disponible sur demande.

 

Figure parmi ces mesures, la protection des Données Personnelles contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles ou l’accès non autorisé à de telles Données Personnelles (cf. Violation de Données Personnelles). 

 

FASTERIZE n’accorde aux membres de son personnel l’accès aux Données Personnelles faisant l’objet des traitements que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi de la fourniture du Service. 

 

FASTERIZE veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité. 

 

FASTERIZE veille à :

  • Garantir et maintenir, pour toute la durée du Contrat ou jusqu’à la destruction des Données Personnelles (la date la plus tardive étant retenue), l’application de toutes les mesures techniques et organisationnelles nécessaires ou appropriées, compte tenu de la nature et du volume de Données Personnelles, afin de : 
      • protéger l’intégrité, la disponibilité, la résilience, la confidentialité et la sécurité de toutes les Données Personnelles,
      • protéger les Données Personnelles de tout(e) destruction, dommage, perte, altération ou accès ou divulgation non autorisé(e) illicite ou accidentel,  

    utiliser la pseudonymisation et chiffrer les Données Personnelles, le cas échéant, et 

  • fournir un niveau de sécurité adéquat en fonction du risque présenté par le Traitement et la nature des Données Personnelles afin que ces dernières soient protégées de la manière requise par les Lois sur la protection des données ;

7. LOCALISATION DU TRAITEMENT 

Les traitements des Données Personnelles sont opérés dans l’Union Européenne.

Dans l’hypothèse où FASTERIZE envisagerait de transférer en dehors de l’Union Européenne tout ou partie des Données Personnelles pour les besoins de la fourniture d’un service, il en informerait préalablement le CLIENT pour lui présenter les conditions d’un tel transfert et obtiendrait son consentement écrit préalable.

 
Dans le cas où une telle autorisation serait donnée, elle sera subordonnée à la conclusion, dans les meilleurs délais, d’un/d’accord(s) supplémentaire(s) portant sur le Traitement des données et toute autre mesure appropriée afin de régir tout transfert transfrontalier dans le respect de la Réglementation. 
 
De tel(s) accord(s) supplémentaire(s) portant sur le Traitement des données peuvent comprendre, de manière non exhaustive, les Clauses contractuelles types de la Commission européenne portant sur le transfert de Données Personnelles d’un Responsable du traitement de données vers un Sous-traitant de données ou tout autre mécanisme de transfert valable conformément à la Réglementation, et autres dispositions relatives à la protection des données.

8. OBLIGATIONS GÉNÉRALES DE FASTERIZE 

En sa qualité de sous-traitant au sens de la Réglementation, FASTERIZE:

  1. ne traite les Données Personnelles que sur instruction documentée du CLIENT,
  2. informe immédiatement le CLIENT dans le cas où, selon l’avis raisonnable de FASTERIZE, une quelconque instruction ou directive du CLIENT enfreindrait les Lois sur la protection des données ;
  3. traite les Données Personnelles conformément à la durée, à la finalité, au type et aux catégories de Personnes Concernées spécifiés, tel que décrit à l’Article 3 « Descriptif des Traitements ;  
  4. s’engage à ne pas Traiter les Données Personnelles ou permettre leur Traitement ou leur accès, en partie ou en totalité, de toute autre manière que celle requise par l’Accord et uniquement dans la mesure raisonnablement nécessaire à l’exécution du présent Accord ; 
  5. veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité,
  6. prend toutes les mesures requises garantir un niveau de sécurité adapté au risque d’atteinte à la protection des Données Personnelles, reprenant a minima les mesures de sécurité visées au sein de son Plan Assurance Sécurité, 
  7. s’engage à ne pas copier, exporter ou extraire une quelconque Donnée Personnelle de quelque façon que ce soit, et s’assurer de la pleine conformité à la présente obligation par ses représentants et ses potentiels sous-traitants ultérieurs, tel que défini en vertu du présent Accord;  
  8. ne recrute ou ne change pas un autre sous-traitant sans en informer le CLIENT en lui donnant ainsi la possibilité d’émettre des objections à l’encontre de ces changements, dans les conditions définies à l’article 10,
  9. aide le CLIENT, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits,
  10. aide le CLIENT à garantir le respect des obligations relative à la sécurité des Données Personnelles, compte tenu de la nature du traitement et des informations à sa disposition, 
  11. s’engage à mettre en œuvre les principes de protection de la vie privée dès la conception et de protection des données par défaut pour les outils et les applications qu’il utilise dans le cadre du Contrat, en particulier concernant la minimisation des Données Personnelles traitées et le respect des droits des Personnes Concernées.

9. AUDIT 

FASTERIZE met à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de cet Accord et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Le CLIENT peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant.

Les audits peuvent également comprendre des inspections dans les locaux de FASTERIZE et sont, le cas échéant, effectués moyennant un préavis raisonnable.

 

10. CONDITIONS DE RECOURS À DES SOUS-TRAITANTS 

Lorsqu’il recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du CLIENT, FASTERIZE s’engage à imposer au sous-traitant concerné des obligations identiques ou similaires à celles fixées dans cet Accord.

FASTERIZE n’est pas autorisé à sous-traiter à un sous-traitant les opérations de traitement qu’il effectue pour le compte du CLIENT en vertu des présentes clauses sans l’information écrite spécifique préalable du CLIENT. 

Lors de la signature du Devis, le CLIENT a été informé et a agréé l’intervention des sous-traitants visées en annexe de cet Accord.

FASTERIZE informera par écrit le CLIENT de tout changement de sous-traitants au moins 30 jours à l’avance, donnant ainsi au CLIENT suffisamment de temps pour pouvoir émettre des réserves et en discuter avec FASTERIZE.
En cas de réserves, le CLIENT devra fournir les arguments objectifs motivant son refus et FASTERIZE devra demander à son sous-traitant de prendre en compte les réserves émises par le CLIENT ou proposer un autre sous-traitant.
Chaque sous-traitant présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées définies en annexe de cet Accord.

FASTERIZE demeure pleinement responsable, à l’égard du CLIENT, de l’exécution des obligations de ses sous-traitants.

11. DEVOIR D’ASSISTANCE 

FASTERIZE prête assistance au CLIENT afin de remplir son obligation de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement.

FASTERIZE aide en outre le CLIENT, compte tenu de la nature du traitement et des informations dont dispose FASTERIZE, à assurer le respect des obligations suivantes : 

  • l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des Données Personnelles («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;
  • l’obligation de consulter l’autorité de contrôle compétente préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le CLIENT ne prenait pas de mesures pour atténuer le risque;
  • l’obligation de veiller à ce que les Données Personnelles soient exactes et à jour, en informant sans délai le CLIENT si FASTERIZE apprend que les Données Personnelles qu’il traite sont inexactes ou sont devenues obsolètes;
  • les obligations applicables en matière de sécurité des Données Personnelles.


Les dispositions de cet Accord définissent les mesures appropriées par lesquelles FASTERIZE est tenu de prêter assistance au CLIENT en l’application du présent article, ainsi que la portée et l’étendue de l’assistance requise.

12. NOTIFICATION DE VIOLATIONS DE DONNÉES PERSONNELLES 

En cas de violation de Données Personnelles, FASTERIZE coopère avec le CLIENT et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent.

En cas de violation de Données Personnelles en rapport avec des Données traitées par FASTERIZE pour le compte du CLIENT, FASTERIZE assiste le CLIENT :

  • aux fins de la notification de la violation de Données Personnelles à l’autorité de contrôle compétente, dans les meilleurs délais après que le CLIENT en a eu connaissance, le cas échéant (sauf si la violation de Données Personnelles est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques),
  • aux fins de l’obtention des informations suivantes devant figurer dans la notification du CLIENT, et inclure, au moins :
    • la nature des Données Personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés; 

    • les conséquences probables de la violation de Données Personnelles; 

    • les mesures prises ou les mesures que le CLIENT propose de prendre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 


Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

  • Aux fins de satisfaire à l’obligation du CLIENT de communiquer dans les meilleurs délais la violation de Données Personnelles à la personne concernée, lorsque la violation de Données Personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.


En cas de violation de Données Personnelles en rapport avec des données traitées par FASTERIZE, celui-ci en informe le CLIENT dans les meilleurs délais après en avoir pris connaissance. 


Cette notification contient au moins:

  • une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d’enregistrements de Données Personnelles concernés);
  • les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de Données Personnelles;
  • ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.

Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.

13. PROCÉDURE D’ÉVALUATION DU NIVEAU DE SÉCURITÉ

FASTERIZE a mis en place une procédure d’évaluation du niveau de sécurité appliqué à la protection des Données Personnelles traitées dans le cadre de son Service. 


Cette procédure a pour objet de vérifier, une fois par an, si les mesures visées dans son Plan Assurance Qualité sont toujours pertinentes et appropriées eu égard à la Réglementation.

14. CONSÉQUENCES DU NON-RESPECT DE L’ACCORD 

Sans préjudice des dispositions de la Réglementation, en cas de manquement de FASTERIZE aux obligations qui lui incombent en vertu de cet Accord, le CLIENT pourra lui donner instruction de suspendre le traitement jusqu’à ce que ce dernier s’y conforme ou jusqu’à ce que l’Abonnement soit résilié. 


FASTERIZE devra, le cas échéant, informer rapidement le CLIENT s’il n’est pas en mesure de se conformer à cet Accord, pour quelque raison que ce soit.

Le CLIENT est en droit de résilier l’Abonnement, suite à une suspension, si :

  • le respect de cet Accord n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension,
  • FASTERIZE est en violation grave ou persistante de cet Accord ou des obligations qui lui incombent en vertu de la Réglementation,
  • FASTERIZE ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente concernant les obligations qui lui incombent en vertu de cet Accord ou de la Réglementation.


Au terme de l’Abonnement, FASTERIZE supprimera toutes les Données Personnelles traitées pour le compte du CLIENT et certifiera auprès de celui-ci qu’il a procédé à cette suppression, 

FASTERIZE continuera de veiller à la conformité aux présentes clauses jusqu’à l’arrêt du Service et la suppression des Données Personnelles.

15. RESPONSABILITÉ

FASTERIZE déclare avoir souscrit une police d’assurance contre tous les risques opérationnels et notamment contre les risques cyber, auprès d’une compagnie d’assurance notoirement solvable, afin de couvrir sa responsabilité. 

FASTERIZE sera tenu de conserver une telle assurance pour toute la durée de l’exécution de ses obligations en vertu du Contrat et s’engage à fournir une copie du certificat d’assurance au CLIENT avant la signature du Contrat, puis sur simple demande.

16. DPO

FASTERIZE a désigné un délégué à la protection des données personnelles joignable par email : dpo@fasterize.com  

Solutions