Accord de protection des données
ACCORD SUR LA PROTECTION DES DONNÉES PERSONNELLES
Cet Accord définit les conditions dans lesquelles FASTERIZE effectue pour le compte de ses clients – « Responsables de Traitement », des opérations de traitement de Données Personnelles dans le cadre de l’exécution du Contrat et de l’application des dispositions légales et réglementaires applicables en matière de protection des Données Personnelles issues du règlement UE 2016/679, du règlement UE 2018/1725 et de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et des décisions de la Commission Européenne (ci-après dénommée « Règlementation »).
Lorsque des termes commencent par une lettre majuscule dans cet Accord, ils s’entendent au sens qui leur est donné dans les Conditions Générales ou dans ladite Réglementation.
Les dispositions de cet Accord doivent être lues et interprétées à la lumière des dispositions de la Réglementation et de la nature des traitements décrits ci-après.
Les dispositions de cet Accord ont été rédigées sur la base des clauses contractuelles types entre les responsables du traitement et les sous-traitants issues de la décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 prise au titre de l’article 28 du RGPD.
En cas de contradiction entre les dispositions cet Accord et celles des autres documents contractuels régissant les relations entre les Parties, celles de cet Accord prévaudront.
1. QUALIFICATION DES PARTIES
Les Parties reconnaissent que, au sens de la Réglementation :
- FASTERIZE a la qualité de sous-traitant,
- Le CLIENT a la qualité de responsable du traitement.
2. MISE EN GARDE
L’attention du CLIENT est attiré sur le fait que :
- les traitements opérés par FASTERIZE dans le cadre de la fourniture du Service n’implique pas le stockage des Données Personnelles contenues dans les pages des sites web du CLIENT,
- les traitements opérés par FASTERIZE concernent uniquement le transit du trafic de ces sites web via la Plateforme de FASTERIZE aux seules fins d’optimisation du trafic et de mesures de performance de l’optimisation du trafic,
- les traitements opérés par FASTERIZE pour le compte du CLIENT ne concernent que des Données Personnelles non directement identifiantes, à l’exception du traitement des données des employés du Client, aux fins de l’exécution du Contrat.
- FASTERIZE s’engage à ne pas les exploiter autrement que dans le cadre de la fourniture de son Service,
- FASTERIZE s’engage à ne pas accéder au contenu et aux Données Personnelles générées ou intégrées dans les pages des sites web du CLIENT transitant via sa Plateforme.
C’est dans ce contexte que les dispositions de cet Accord doivent être lues et interprétées.
3. DESCRIPTIF DES TRAITEMENTS
FASTERIZE opère comme un CDN :
- Le navigateur transmet une requête HTTPS vers la plateforme Fasterize. FASTERIZE intercepte les requêtes des internautes vers le site (comme un proxy)
- FASTERIZE récupère les pages et les ressources demandées aux serveurs d’origine et analyse le code HTML, le Javascript, le CSS et les images. Dans ce cadre, FASTERIZE reçoit une requête contenant l’adresse IP et le « user-agent », transmet cette requête aux serveurs du CLIENT et reçoit des serveurs du CLIENT une réponse contenant la page web demandée.
- FASTERIZE applique les règles d’optimisation. Chacune de ces règles est préalablement sélectionnée et testée par nos experts techniques afin de garantir la qualité de nos services.
- FASTERIZE génère le contenu optimisé à la volée avant de le renvoyer au navigateur. Celui-ci est mis en cache si la réponse du serveur d’origine le permet.
FASTERIZE traite les Données Personnelles uniquement pour la nature et la finalité des opérations de traitement, ainsi que pour les types de Données Personnelles et les catégories de personnes concernées, figurant ci-dessous.
Traitement | Finalité | Catégories de données à caractère personnel | Catégories de personnes concernées | Nature des prestations réalisées sur les données à caractère personnel | Durée de conservation des données |
Optimisation trafic web | Optimisation du contenu des pages web non cachables | Adresse IP, user-agent, contenu des pages web | Utilisateurs des sites web | Accès Transfert | Le temps du transit des données sur la plateforme (~100ms). |
Cache du trafic web | Cache du contenu des pages web cachables | Contenu des pages web | Utilisateurs des sites web | Stockage | Durée du cache configurée sur la plateforme d’optimisation pour une page donnée |
Gestion du Content Delivery Network | Optimisation de la diffusion du contenu des pages web non cachables | Adresse IP, user-agent, Contenu des pages web | Utilisateurs des sites web | Accès Transfert | Le temps du transit des données sur la plateforme (~100ms). |
Cache des pages sur le Content Delivery Network | Optimisation de la diffusion du contenu des pages web | Contenu des pages web | Utilisateurs des sites web | Stockage | Durée du cache configurée sur le CDN pour une page donnée |
Gestion des logs | Mesures de la qualité et de la performance du service d’optimisation | Adresse IP, user-agent, adresse url des pages web visitées | Utilisateurs des sites web | Accès Stockage Transfert
| Entre 4 et 7 jours sous forme indexée 30 jours sous forme brute |
Gestion des utilisateurs de la plateforme Fasterize | Utilisation de la plateforme Fasterize | Nom, prénom, adresse email, adresse IP, user-agent | Utilisateurs de la plateforme Fasterize | Consultation, lecture, accès, Enregistrement, Suppression, destruction (sur demande Client) Stockage | Durée de l’abonnement au Service |
Gestion des alertes | Avertir les utilisateurs d’un incident ou d’une opération de maintenance programmée | adresse email | Utilisateurs de la plateforme Fasterize | Consultation, lecture, accès, Enregistrement, Suppression, destruction (sur demande Client), Stockage | Durée de l’abonnement au Service |
4. LIMITATION DE LA FINALITÉ
FASTERIZE traite les Données Personnelles uniquement pour les finalités spécifiques définies ci-dessus, sauf instruction complémentaire du CLIENT.
5. DURÉE DES TRAITEMENTS ET DE CONSERVATION DES DONNÉES PERSONNELLES
Les traitements sont opérés par FASTERIZE pendant la durée de l’Abonnement du CLIENT.
Les Données Personnelles liées au transit du trafic des sites web via la Plateforme de FASTERIZE ne sont pas conservées, au-delà du délai mentionné ci-dessus.
Les Données Personnelles liées à la gestion des incidents sont conservées pendant un délai maximal de 30 jours comme indiqué dans le tableau ci-dessus.
À compter de la fin des périodes de conservation définies ci-dessus pour chaque catégorie de Données Personnelles, ou de la résiliation ou de l’expiration du Contrat, FASTERIZE devra, de manière sécurisée, restituer toutes les Données Personnelles traitées au nom du CLIENT ou les supprimer, effacer et détruire, ainsi que toutes les copies autorisées (le cas échéant) de ces Données Personnelles, y compris les extractions, les sauvegardes et autres reproductions (le cas échéant), que ce soit sous forme écrite, électronique ou autre format ou support, sauf dans le cas où la conservation de ces Données Personnelles est nécessaire à des fins de conformité à la Règlementation.
FASTERIZE devra attester par écrit au CLIENT que les Données Personnelles ont été détruites de manière sécurisée.
6. SÉCURITÉ
FASTERIZE met en œuvre au moins les mesures techniques et organisationnelles précisées dans son Plan d’Assurance Sécurité, disponible sur demande.
Figure parmi ces mesures, la protection des Données Personnelles contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles ou l’accès non autorisé à de telles Données Personnelles (cf. Violation de Données Personnelles).
FASTERIZE n’accorde aux membres de son personnel l’accès aux Données Personnelles faisant l’objet des traitements que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi de la fourniture du Service.
FASTERIZE veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité.
FASTERIZE veille à :
- Garantir et maintenir, pour toute la durée du Contrat ou jusqu’à la destruction des Données Personnelles (la date la plus tardive étant retenue), l’application de toutes les mesures techniques et organisationnelles nécessaires ou appropriées, compte tenu de la nature et du volume de Données Personnelles, afin de :
-
- protéger l’intégrité, la disponibilité, la résilience, la confidentialité et la sécurité de toutes les Données Personnelles,
- protéger les Données Personnelles de tout(e) destruction, dommage, perte, altération ou accès ou divulgation non autorisé(e) illicite ou accidentel,
utiliser la pseudonymisation et chiffrer les Données Personnelles, le cas échéant, et
-
- fournir un niveau de sécurité adéquat en fonction du risque présenté par le Traitement et la nature des Données Personnelles afin que ces dernières soient protégées de la manière requise par les Lois sur la protection des données ;
7. LOCALISATION DU TRAITEMENT
Les traitements des Données Personnelles sont opérés dans l’Union Européenne.
Dans l’hypothèse où FASTERIZE envisagerait de transférer en dehors de l’Union Européenne tout ou partie des Données Personnelles pour les besoins de la fourniture d’un service, il en informerait préalablement le CLIENT pour lui présenter les conditions d’un tel transfert et obtiendrait son consentement écrit préalable.
8. OBLIGATIONS GÉNÉRALES DE FASTERIZE
En sa qualité de sous-traitant au sens de la Réglementation, FASTERIZE:
- ne traite les Données Personnelles que sur instruction documentée du CLIENT,
- informe immédiatement le CLIENT dans le cas où, selon l’avis raisonnable de FASTERIZE, une quelconque instruction ou directive du CLIENT enfreindrait les Lois sur la protection des données ;
- traite les Données Personnelles conformément à la durée, à la finalité, au type et aux catégories de Personnes Concernées spécifiés, tel que décrit à l’Article 3 « Descriptif des Traitements ;
- s’engage à ne pas Traiter les Données Personnelles ou permettre leur Traitement ou leur accès, en partie ou en totalité, de toute autre manière que celle requise par l’Accord et uniquement dans la mesure raisonnablement nécessaire à l’exécution du présent Accord ;
- veille à ce que les personnes autorisées à traiter les Données Personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation de confidentialité,
- prend toutes les mesures requises garantir un niveau de sécurité adapté au risque d’atteinte à la protection des Données Personnelles, reprenant a minima les mesures de sécurité visées au sein de son Plan Assurance Sécurité,
- s’engage à ne pas copier, exporter ou extraire une quelconque Donnée Personnelle de quelque façon que ce soit, et s’assurer de la pleine conformité à la présente obligation par ses représentants et ses potentiels sous-traitants ultérieurs, tel que défini en vertu du présent Accord;
- ne recrute ou ne change pas un autre sous-traitant sans en informer le CLIENT en lui donnant ainsi la possibilité d’émettre des objections à l’encontre de ces changements, dans les conditions définies à l’article 10,
- aide le CLIENT, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits,
- aide le CLIENT à garantir le respect des obligations relative à la sécurité des Données Personnelles, compte tenu de la nature du traitement et des informations à sa disposition,
- s’engage à mettre en œuvre les principes de protection de la vie privée dès la conception et de protection des données par défaut pour les outils et les applications qu’il utilise dans le cadre du Contrat, en particulier concernant la minimisation des Données Personnelles traitées et le respect des droits des Personnes Concernées.
9. AUDIT
FASTERIZE met à la disposition du CLIENT toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de cet Accord et pour permettre la réalisation d’audits, y compris des inspections, par le CLIENT ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
Le CLIENT peut décider de procéder lui-même à l’audit ou de mandater un auditeur indépendant.
Les audits peuvent également comprendre des inspections dans les locaux de FASTERIZE et sont, le cas échéant, effectués moyennant un préavis raisonnable.
10. CONDITIONS DE RECOURS À DES SOUS-TRAITANTS
Lorsqu’il recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du CLIENT, FASTERIZE s’engage à imposer au sous-traitant concerné des obligations identiques ou similaires à celles fixées dans cet Accord.
FASTERIZE n’est pas autorisé à sous-traiter à un sous-traitant les opérations de traitement qu’il effectue pour le compte du CLIENT en vertu des présentes clauses sans l’information écrite spécifique préalable du CLIENT.
Lors de la signature du Devis, le CLIENT a été informé et a agréé l’intervention des sous-traitants visées en annexe de cet Accord.
FASTERIZE demeure pleinement responsable, à l’égard du CLIENT, de l’exécution des obligations de ses sous-traitants.
11. DEVOIR D’ASSISTANCE
FASTERIZE prête assistance au CLIENT afin de remplir son obligation de répondre aux demandes des personnes concernées d’exercer leurs droits, en tenant compte de la nature du traitement.
FASTERIZE aide en outre le CLIENT, compte tenu de la nature du traitement et des informations dont dispose FASTERIZE, à assurer le respect des obligations suivantes :
- l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des Données Personnelles («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques;
- l’obligation de consulter l’autorité de contrôle compétente préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le CLIENT ne prenait pas de mesures pour atténuer le risque;
- l’obligation de veiller à ce que les Données Personnelles soient exactes et à jour, en informant sans délai le CLIENT si FASTERIZE apprend que les Données Personnelles qu’il traite sont inexactes ou sont devenues obsolètes;
- les obligations applicables en matière de sécurité des Données Personnelles.
Les dispositions de cet Accord définissent les mesures appropriées par lesquelles FASTERIZE est tenu de prêter assistance au CLIENT en l’application du présent article, ainsi que la portée et l’étendue de l’assistance requise.
12. NOTIFICATION DE VIOLATIONS DE DONNÉES PERSONNELLES
En cas de violation de Données Personnelles, FASTERIZE coopère avec le CLIENT et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent.
En cas de violation de Données Personnelles en rapport avec des Données traitées par FASTERIZE pour le compte du CLIENT, FASTERIZE assiste le CLIENT :
- aux fins de la notification de la violation de Données Personnelles à l’autorité de contrôle compétente, dans les meilleurs délais après que le CLIENT en a eu connaissance, le cas échéant (sauf si la violation de Données Personnelles est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques),
- aux fins de l’obtention des informations suivantes devant figurer dans la notification du CLIENT, et inclure, au moins :
-
la nature des Données Personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de Données Personnelles concernés;
-
les conséquences probables de la violation de Données Personnelles;
-
les mesures prises ou les mesures que le CLIENT propose de prendre pour remédier à la violation de Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
-
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
- Aux fins de satisfaire à l’obligation du CLIENT de communiquer dans les meilleurs délais la violation de Données Personnelles à la personne concernée, lorsque la violation de Données Personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
En cas de violation de Données Personnelles en rapport avec des données traitées par FASTERIZE, celui-ci en informe le CLIENT dans les meilleurs délais après en avoir pris connaissance.
Cette notification contient au moins:
- une description de la nature de la violation constatée (y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et d’enregistrements de Données Personnelles concernés);
- les coordonnées d’un point de contact auprès duquel des informations supplémentaires peuvent être obtenues au sujet de la violation de Données Personnelles;
- ses conséquences probables et les mesures prises ou les mesures qu’il est proposé de prendre pour remédier à la violation, y compris pour en atténuer les éventuelles conséquences négatives.
Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et, à mesure qu’elles deviennent disponibles, des informations supplémentaires sont communiquées par la suite dans les meilleurs délais.
13. PROCÉDURE D’ÉVALUATION DU NIVEAU DE SÉCURITÉ
FASTERIZE a mis en place une procédure d’évaluation du niveau de sécurité appliqué à la protection des Données Personnelles traitées dans le cadre de son Service.
Cette procédure a pour objet de vérifier, une fois par an, si les mesures visées dans son Plan Assurance Qualité sont toujours pertinentes et appropriées eu égard à la Réglementation.
14. CONSÉQUENCES DU NON-RESPECT DE L’ACCORD
Sans préjudice des dispositions de la Réglementation, en cas de manquement de FASTERIZE aux obligations qui lui incombent en vertu de cet Accord, le CLIENT pourra lui donner instruction de suspendre le traitement jusqu’à ce que ce dernier s’y conforme ou jusqu’à ce que l’Abonnement soit résilié.
FASTERIZE devra, le cas échéant, informer rapidement le CLIENT s’il n’est pas en mesure de se conformer à cet Accord, pour quelque raison que ce soit.
Le CLIENT est en droit de résilier l’Abonnement, suite à une suspension, si :
- le respect de cet Accord n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension,
- FASTERIZE est en violation grave ou persistante de cet Accord ou des obligations qui lui incombent en vertu de la Réglementation,
- FASTERIZE ne se conforme pas à une décision contraignante d’une juridiction compétente ou de l’autorité de contrôle compétente concernant les obligations qui lui incombent en vertu de cet Accord ou de la Réglementation.
Au terme de l’Abonnement, FASTERIZE supprimera toutes les Données Personnelles traitées pour le compte du CLIENT et certifiera auprès de celui-ci qu’il a procédé à cette suppression,
FASTERIZE continuera de veiller à la conformité aux présentes clauses jusqu’à l’arrêt du Service et la suppression des Données Personnelles.
15. RESPONSABILITÉ
FASTERIZE déclare avoir souscrit une police d’assurance contre tous les risques opérationnels et notamment contre les risques cyber, auprès d’une compagnie d’assurance notoirement solvable, afin de couvrir sa responsabilité.
FASTERIZE sera tenu de conserver une telle assurance pour toute la durée de l’exécution de ses obligations en vertu du Contrat et s’engage à fournir une copie du certificat d’assurance au CLIENT avant la signature du Contrat, puis sur simple demande.
16. DPO
FASTERIZE a désigné un délégué à la protection des données personnelles joignable par email : dpo@fasterize.com