Accord sur la protection des données personnelles

1. OBJET

Le présent accord a pour objet de définir les conditions juridiques dans lesquelles NIBELIS, en sa qualité de sous-traitant, s’engage à traiter pour le compte du CLIENT, en sa qualité de responsable du traitement, les données personnelles dans le cadre de la fourniture de son service (ci-après « Service »).

Le présent accord répond à l’obligation de définir, entre un sous-traitant et un responsable du traitement, l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées ainsi que et les obligations et les droits du Responsable du Traitement.

La signature du Contrat par le Responsable du Traitement vaut acceptation des termes du présent accord dont la durée est identique à celle dudit Contrat.

Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018.

2. DEFINITIONS
  • CLIENT : Désigne tout client de NIBELIS ayant souscrit à un Contrat et ayant la qualité de Responsable du traitement.
  • Contrat : Désigne le contrat signé par le CLIENT avec NIBELIS au titre de la fourniture des Services.
  • Données Personnelles : Désigne toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dans le contexte du présent accord, les Données Personnelles sont celles collectées par le CLIENT et rendues accessibles et hébergées par NIBELIS dans le cadre du Service.
  • Environnement : Désigne l’environnement informatique dédié au CLIENT et hébergeant les Modules et les Données Personnelles, tel que rendu accessible par NIBELIS dans le cadre de la fourniture du Service. L’Environnement est hébergé au sein de la Plateforme.
  • Modules : Désigne les Modules édités par NIBELIS et utilisés par le CLIENT dans le cadre de l’utilisation du Service.
  • Plateforme : Ensemble des équipements informatiques et/ou de télécommunications utilisé par NIBELIS dans le cadre de la fourniture du Service. La Plateforme est hébergée par NIBELIS.
  • Politique de Protection des Données Personnelles : désigne le document décrivant les mesures techniques et organisationnelles mises en œuvre par NIBELIS et le CLIENT pour assurer la protection des Données Personnelles. Ce document a été accepté par le CLIENT en même temps que le présent accord.
  • Réglementation : Désigne l’ensemble des textes légaux et réglementaires applicables en France et dans l’Union Européenne en matière de protection des Données Personnelles et en particulier le règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE.
  • Responsable du Traitement : Désigne tout client ayant souscrit au Service et ayant la qualité de Responsable du Traitement en ce qu’il détermine les finalités et les moyens du traitement de Données Personnelles.
  • Service : Désigne le Service fourni par NIBELIS sur la base des Modules dans les conditions visées au sein du Contrat.
  • Utilisateur : Désigne toute personne sous la responsabilité de NIBELIS ou du CLIENT ayant accès à l’Environnement du CLIENT par le biais d’un identifiant et d’un mot de passe.
3. DESCRIPTION DES TRAITEMENTS REALISES PAR NIBELIS

Modules « Electronique »

MODULES PAYE COFFRE-FORT SIGNATURE ELECTRONIQUE
Nature du traitement
Gestion administrative du personnel, gestion de la rémunération
Gestion des bulletins de paie archivés
Gestion documentaire RH
Finalité du traitement
Production des bulletins de paie
Archivage des bulletins de paie
Signature électronique des documents RH
Données personnelles concernées
Gestion administrative des employés, rémunération
Données administratives, rémunération
Données RH
Personnes concernées
Salariés, stagiaires, mandataires sociaux
Salariés, stagiaires, mandataires sociaux
Salariés, stagiaires, mandataires sociaux

Modules « Portail RH »

MODULES NOTES DE FRAIS PORTAIL SALARIES SELF-SERVICE MANAGER
Nature du traitement
Administration des frais professionnels, remboursement des frais
Gestion des demandes administratives RH, gestion des données personnelles, gestion des absences
Gestion des demandes administratives RH, gestion des données personnelles, gestion des absences
Finalité du traitement
Produire des justificatifs de frais et rembourser les salariés
Gérer les demandes RH des salariés, gestion des demandes de remboursement de frais, gestion des auto-évaluations d’entretiens professionnels
Valider les demandes RH des salariés, validation des demandes de remboursement de frais, réaliser les évaluations d’entretiens professionnels
Données personnelles concernées
Gestion administrative des employés
Gestion administrative des employés, évaluations professionnelles
Gestion administrative des employés, évaluations professionnelles
Personnes concernées
Salariés
Salariés
Salariés et Management

Modules « Talents »

MODULES RECRUTEMENT FORMATION ENTRETIENS & COMPETENCES
Nature du traitement
Processus de recrutement, alimentation de CVthèque
Gestion des plans de formation, gestion des sessions, gestion administrative de la formation professionnelle
Gestion des campagnes d’entretiens professionnels, gestion prévisionnelle des emplois et compétences
Finalité du traitement
Gérer les candidatures, gérer les pré-embauches
Gérer les formations professionnelles des salariés, administrer l’activité de formation
Gérer les entretiens professionnels des salariés, gérer les carrières des salariés
Données personnelles concernées
Gestion administrative des candidats
Gestion administrative des salariés
Gestion administrative des salariés
Personnes concernées
Salariés, candidats, management
Salariés
Salariés
LOGICIELS ONBOARDING
Nature du traitement
Collecte, traitement et information des données RH
Finalité du traitement
Permet aux salariés en cours d'intégration de préparer en amont les données RH et administratives nécessaires pour l'employeur
Données personnelles concernées
Données relatives à l’état civil, aux information bancaires, et aux documents RH
Personnes concernées
Salariés, Management, candidats
Modules « Planning RH »
MODULES ABSENCES PRESENCE ACTIVITE
Nature du traitement
Gestion des demandes d’absence des salariés, suivi administratif des absences
Gestion du recueil de présence des salariés, suivi administratif des présences
Gestion du recueil de relevé d’activité des salariés, suivi administratif des activités
Finalité du traitement
Gérer la validation des demandes d’absence des salariés, gérer des plannings d’absence
Gérer le suivi du temps de travail des salariés, gérer les plannings
Gérer l’activité des salariés, gérer les plannings
Données personnelles concernées
Gestion administrative des salariés
Gestion administrative des salariés
Gestion administrative des salariés
Personnes concernées
Salariés
Salariés
Salariés
LOGICIELS APPLICATION MOBILE SELF-SERVICE COLLABORATEUR TELETRAVAIL
Nature du traitement
Collecte et traitement des informations par l’application mobile Nibelis.
Gestion du recueil de présence des salariés, suivi administratif des présences
Gestion des demandes de télétravail des salariés, suivi administratif du télétravail
Finalité du traitement
Avoir accès aux modules prévus par l’application mobile Nibelis auxquels a souscrit le client à destination du salarié / manager
Permettre à un salarié ou un manager de mettre à jour les données personnelles d'un salarié (Adresse, informations bancaires, permis de conduire, diplômes, membre de la famille, contacts, puissance fiscale)
Gérer la validation des demandes de télétravail des salariés, gérer des plannings de télétravail
Données personnelles concernées
Données relatives à : Note de frais, Absence, Présence, Activité, Self-Service Collaborateur
Données relatives à : adresse, informations bancaires, permis de conduire, diplôme, membres de la famille, contact, contact en cas d’urgence et puissance fiscale
Gestion administrative des salariés
Personnes concernées
Management et salarié
Salarié et Management
Salariés
LOGICIELS Délégation IRP
Nature du traitement
Gestion des demandes de délégation des salariés ayant un mandat actif, suivi administratif des demandes
Finalité du traitement
Gérer les cumuls des heures de délégation et des plannings des salariés concernés
Données personnelles concernées
Gestion administrative des mandats
Personnes concernées
Salariés ayant un mandat actif

Modules « Pilotage »

MODULES RAPPORTS LEGAUX SIMULATION BUDGETAIRE DECISIONNEL
Nature du traitement
Elaboration de rapports RH à caractères légaux
Elaboration de budgets d’évolution de la masse salariale
Production et analyse de tableaux de bord RH
Finalité du traitement
Produire le Bilan Social, la Base de Données Economique et Sociale
Réaliser des budgets prévisionnels basés sur la masse salariale réelle
Communiquer des tableaux de bord RH destinés aux managers et aux décideurs
Données personnelles concernées
Gestion administrative des salariés, données de rémunération
Gestion administrative des salariés, données de rémunération
Gestion administrative des salariés, données de rémunération
Personnes concernées
Salariés, stagiaires
Salariés
Salariés, stagiaires
4. DUREE DE CONSERVATION

Les données personnelles sont conservées pendant toute la durée du Contrat et jusqu’à 30 jours suivant la dernière DSN à déclarer du CLIENT.
En cas de cessation des relations contractuelles et ce pour quelque cause que ce soit, NIBELIS s’engage, au choix du Responsable du Traitement et à moins que la Règlementation n'en exige la conservation, à :

  • Supprimer les données personnelles en sa possession,
  • Restituer lesdites données personnelles au Responsable du Traitement, dans les conditions prévues à l’article 10 du Contrat
5. OBLIGATIONS DE NIBELIS

Le présent article a pour objet de définir les obligations incombant à NIBELIS en sa qualité de sous-traitant pour protéger la sécurité et la confidentialité des données personnelles.

Conformément à la Réglementation, NIBELIS s’engage à :

  • Ne traiter les Données Personnelles que sur instruction documentée du Responsable du Traitement, y compris en ce qui concerne les transferts de Données Personnelles vers un pays tiers ou à une organisation internationale,
  • Soumettre ses employés intervenant dans le traitement des données personnelles :
    • à une obligation de confidentialité des données personnelles,
    • à des sessions de formation en matière de protection des données personnelles.
  • Prendre toutes les mesures de sécurité visées au sein de sa « Politique Générale de Protection des Données Personnelles »,
  • Respecter les conditions fixées par la Réglementation en matière de recours à la sous-traitance,
  • Aider le Responsable du Traitement, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits d'accès, de rectification, d’opposition, d’effacement, de limitation et de portabilité des données les concernant, dans le cadre des services applicables au secteur des Systèmes d’Information pour les Ressources Humaines (SIRH).
  • Aider le Responsable du Traitement à garantir le respect de ses obligations en matière de sécurité du traitement, de notification à la CNIL et de communication aux personnes concernées en cas de violation de Données Personnelles, d’analyse d'impact relative à la protection des Données Personnelles et de consultation préalable de la CNIL le cas échéant,
  • Mettre à disposition du Responsable du Traitement toutes les informations nécessaires pour démontrer le respect des obligations visées ci-dessus et pour permettre la réalisation d'audits par le Responsable du Traitement,
  • Contribuer aux audits diligentés par le Responsable du Traitement,
  • Imposer à son cocontractant, en cas de sous-traitance, les mêmes obligations que celles visées au sein du présent document,
  • Tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable du Traitement,
  • Coopérer avec la CNIL, en cas de demande de celle-ci.

NIBELIS s'engage également à :

  • Traiter les données personnelles uniquement pour les seules finalités qui font l’objet du Service souscrits par le Responsable du Traitement,
  • Informer le Responsable du Traitement s’il considère qu’une instruction constitue une violation de la Réglementation,
  • Ce que le Service intègre de façon effective les principes relatifs à la protection des données personnelles.

NIBELIS s’engage également, dans toute la mesure du possible, à aider le Responsable du Traitement :

  • dans la réalisation de toute analyse d’impact des traitements liés au Service,
  • en cas de consultation préalable de la CNIL.
6. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

NIBELIS ne pouvant agir que sur instruction du Responsable du Traitement, le Responsable du Traitement, en sa qualité de responsable du traitement, s’engage à documenter et à fournir à NIBELIS par écrit toutes instructions concernant les traitements des données personnelles.

Le Responsable du Traitement convient que seules sont traitées les données nécessaires à la fourniture du Service en termes de quantité de données, d’étendue de leur traitement et de durée de conservation, l’accès aux données étant limité aux seules personnes habilitées par NIBELIS.

A cet égard, le Responsable du Traitement s’engage à communiquer à NIBELIS, les seules données personnelles nécessaires aux traitements réalisés dans le cadre du Service.

Le Responsable du Traitement est informé qu’il lui appartient de :

  • fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données,
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Réglementation,
  • superviser le traitement et de réaliser des audits s’il l’estime nécessaire, dans les conditions visées à l’article « Audit » ci-après.
7. MISE EN GARDE

Compte tenu de la nature du Service fournis par NIBELIS et du fait que NIBELIS ne peut pas exercer une action et/ou un contrôle sur l’ensemble des mesures de protection des Données Personnelles qui doivent être mises en œuvre pour répondre aux exigences de la réglementation par le Responsable du Traitement, celui-ci s’engage, indépendamment des mesures prises par NIBELIS, à mettre en œuvre les mesures techniques et organisationnelles nécessaires pour protéger l’accès à l’Environnement du CLIENT et aux Données Personnelles, telles que visées au sein de la Politique générale de protection des données personnelles.

Le Responsable du Traitement reconnait que la responsabilité de NIBELIS est limitée aux mesures de protection des Données Personnelles relatives aux éléments utilisés pour fournir les Services, à savoir principalement la Solution, la Plateforme et l’Environnement.

Aux termes de l’article 82 du RGPD, le prestataire est tenu pour responsable du dommage causé par le traitement dès lors :

  • qu'il n'a pas respecté les obligations prévues dans le RGPD qui incombent spécifiquement aux sous-traitants ou ;
  • qu’il a agi en-dehors des instructions licites du responsable de traitement ou ;
  • qu’il a agi contrairement aux instructions licites du responsable de traitement.

En cas d’incidents en lien avec des mesures de protection des Données Personnelles sous le contrôle du Responsable du Traitement, le Responsable du Traitement s'engage à en informer NIBELIS qui fera ses meilleurs efforts pour l’aider à y remédier.

Le Responsable du Traitement reconnait que NIBELIS n’est en aucun cas responsable :

  • de la survenance d’un cas de force majeure,
  • d’un manquement du Responsable du Traitement à ses obligations au titre de la Réglementation,
8. MODALITES D’EXERCICE DES DROITS DES PERSONNES

Dans le cadre des services applicables au secteur des SIRH, NIBELIS met à la disposition du Responsable du Traitement toutes les fonctionnalités standard ainsi qu’un outil de réversibilité lui permettant de garantir aux personnes concernées un droit d’accès, de rectification, d’opposition, d’effacement, de limitation et de portabilité de leurs données personnelles collectées.

NIBELIS s’engage, dans toute la mesure du possible, à aider le Responsable du Traitement dans le traitement de ces demandes.

Toute demande du Responsable du Traitement issue d’une réclamation d’une personne dont les données personnelles ont été collectées, doit être notifiée à NIBELIS via l’adresse email suivante : dpo@nibelis.com

Lorsqu’une personne exerce ses droits directement auprès de NIBELIS ce dernier s’engage, dès réception de cette demande, à l’adresser au Responsable du Traitement par email à l’adresse suivante : voir Annexe RGPD du contrat.

NIBELIS s’assurera, dans les plus brefs délais, de la mise en œuvre des actions correspondantes à la demande de la personne concernée.

NIBELIS attire l’attention du Responsable du Traitement sur le fait qu’il lui appartient de tenir à jour un registre de suivi des demandes d’accès, de rectification et d’opposition sous format électronique, contenant les différentes dates et la description des échanges intervenus avec les personnes concernées.

9. NOTIFICATION DES VIOLATIONS DE DONNEES PERSONNELLES

En cas de violation de données personnelles, NIBELIS notifie par email au Responsable de Traitement une telle violation dans les plus brefs délais après sa prise de connaissance.

Cette notification est accompagnée de toute information utile afin de permettre au Responsable de Traitement, si nécessaire, de notifier cette violation à la CNIL.

10. MESURES DE SECURITE ET GARANTIES

Les mesures de sécurité et les garanties apportées par NIBELIS quant à la mise en œuvre de mesures techniques et organisationnelles appropriées destinée à la protection des données personnelles sont décrites au sein de la Politique de Protection des Données Personnelles figurant en annexe du Contrat.

11. REGISTRE DES ACTIVITES DE TRAITEMENT

NIBELIS informe le Responsable du Traitement qu’il dispose d’un registre sous format électronique comportant toutes les informations suivantes :

  • Le nom et les coordonnées du Responsable du Traitement ainsi que des sous-traitants de NIBELIS ainsi que les noms et les coordonnées du représentant du Responsable du Traitement et de NIBELIS et celles des délégués à la protection des Données Personnelles.
  • Les catégories de traitements effectués pour le compte du Responsable du Traitement
  • Si nécessaire, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, le cas échéant, les documents attestant de l'existence de garanties appropriées,
  • Une description générale des mesures de sécurité techniques et organisationnelles reprenant les termes du présent document.

NIBELIS informe le Responsable du Traitement que ce registre est susceptible d’être mis à la disposition de la CNIL sur demande et qu’il ne dispense pas le Responsable du Traitement de disposer de son propre registre lequel doit faire figurer, en plus des informations susvisées :

  • Les finalités du traitement,
  • Une description des catégories de personnes concernées et des catégories de Données Personnelles,
  • Les catégories de destinataires auxquels les Données Personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales,
  • Les délais prévus pour l'effacement des différentes catégories de données.
12. PROCEDURE D’EVALUATION DU NIVEAU DE SECURITE

NIBELIS a mis en place une procédure d’évaluation du niveau de sécurité appliqué à la protection des données personnelles traitées dans le cadre du Service.

Cette procédure a pour objet de vérifier, une fois par an, si les mesures visées au sein de la Politique de Protection des Données Personnelles de NIBELIS pour assurer la protection des données sont toujours pertinentes et appropriées eu égard à la Réglementation.

13. INFORMATION ET CONSEIL

Le Responsable du Traitement déclare que du fait des termes du présent accord et de la Politique de Protection des Données Personnelles communiqués par NIBELIS, il a obtenu les informations, les conseils et l’assistance nécessaire pour s’assurer du respect par NIBELIS de ses obligations au titre de la Réglementation et qu’il a pu vérifier qu’il était lui-même en conformité avec les obligations à sa charge prévues par ladite Règlementation.

14. AUDIT

Le Responsable du Traitement pourra procéder, à ses frais, au maximum une fois tous les douze (12) mois, à un audit des mesures de protection des Données Personnelles prises par NIBELIS.

Cet audit pourra être effectué par les soins d’une structure d’audit interne du Responsable du Traitement ou par un cabinet extérieur indépendant, pour autant que celui-ci n’exerce pas également lui-même une activité concurrente de celle de NIBELIS ou n’ait aucun lien juridique avec un concurrent.

Si NIBELIS justifie de raisons objectives pour estimer que le cabinet d’audit choisi par le Responsable du Traitement ne présente pas des garanties d’indépendance et d’impartialité suffisantes, il sera en droit de refuser que l’audit soit effectué par ce tiers.

Le Responsable du Traitement reconnaît en outre que son personnel ou celui du cabinet d’audit indépendant qui aura été choisi, adhèrera et se conformera aux obligations et règles de sécurité et de confidentialité communiquées par NIBELIS pendant toute la durée de réalisation de l’audit.

Un accord de confidentialité devra être signé préalablement entre NIBELIS et la structure d’audit.

Le Responsable du Traitement devra informer NIBELIS par écrit de son intention de faire procéder à un tel audit et de l’identité de la structure d’audit retenue lorsqu’il s’agit d’un cabinet extérieur et du plan d’audit envisagé, moyennant le respect d’un préavis de quinze (15) jours ouvrés.

Ce préavis pourra éventuellement être raccourci d’un commun accord entre les Parties.

Le Responsable du Traitement communiquera préalablement à cet audit l’identité de ses salariés ou des experts détachés par le cabinet d’audit indépendant.

L’audit diligenté par le Responsable du Traitement portera uniquement sur le respect des engagements contractuels de NIBELIS en termes de protection des Données Personnelles.

NIBELIS s'engage, le cas échéant, à permettre l’accès des auditeurs aux site(s) affecté(s) à l’exécution du contrat(s) concerné(s), à coopérer de bonne foi avec eux et à leur fournir toutes les informations nécessaires.

Néanmoins, si l’intervention de Nibelis nécessite la mobilisation de ressources internes, celle-ci pourra être soumise à devis.

En tout état de cause, les opérations d’audit ne devront pas perturber le fonctionnement du Service de NIBELIS au-delà des contraintes inhérentes à un audit.

L’audit ne pourra pas porter sur des informations non spécifiques au Responsable du Traitement, ceci afin de préserver la confidentialité des informations propres aux autres clients de NIBELIS ou des informations dont la divulgation serait susceptible de porter atteinte à la sécurité des autres clients et d’autres données personnelles les concernant.

Un exemplaire du rapport d’audit sera remis à NIBELIS dès que possible.

Le rapport fera alors l’objet d’un examen contradictoire.

Au cas où le rapport d’audit ferait apparaître des manquements de NIBELIS, à ses obligations visées au sein du présent accord, ce dernier s’engage à mettre en œuvre, à ses frais, les mesures correctives nécessaires dans les meilleurs délais.

Si les conclusions de l’audit contiennent des recommandations, leurs conditions de mise en œuvre seront étudiées contradictoirement dans les meilleurs délais.

15. DELEGUE A LA PROTECTION DES DONNEES

Le délégué à la protection des données désigné par NIBELIS est Monsieur François Philippon - dpo@nibelis.com.

16. SOUS-TRAITANCE DE SECOND NIVEAU

Le Responsable de Traitement a été informé et a agréé l’intervention des sous-traitants de NIBELIS qui sont listés au sein de la Politique de Protection des Données Personnelles.

Le Responsable de Traitement est également informé que NIBELIS pourra faire appel à un autre sous-traitant pour mener des activités de traitement spécifiques.

Dans ce cas, NIBELIS informera préalablement et par écrit le Responsable de Traitement de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants.

Cette information précisera les activités de traitement sous-traitées et l’identité et les coordonnées du sous-traitant.

Le Responsable de Traitement disposera alors d’un délai maximum de 8 jours à compter de la date de réception de cette information pour présenter ses réserves.

En l’absence de réserves dans le délai précité, le sous-traitant concerné sera réputé agréé par le Responsable du Traitement.

En cas de réserves, le Responsable de Traitement devra fournir les arguments objectifs motivant son refus.

Si ces arguments sont fondés, NIBELIS demandera à son sous-traitant de prendre en compte les réserves émises par le Responsable du Traitement ou proposera un autre sous-traitant.

NIBELIS s’engage à s’assurer que ses sous-traitants présentent les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées définies au sein de sa Politique de Protection des Données Personnelles, de manière que chaque traitement réponde aux exigences de la Réglementation.

Chaque sous-traitant de NIBELIS est tenu de respecter les obligations du présent accord.

17. TRANSFERT HORS U.E.

Aucun transfert de données à caractère personnel ne peut intervenir en dehors de l’Union Européenne sans l’accord préalable, exprès et spécial du Responsable de Traitement.

En cas d’accord du Responsable de Traitement, le Prestataire s’engage à respecter l’ensemble des obligations en matière de transfert de données à caractère personnel vers un pays tiers et notamment à conclure un acte juridique contraignant avec le destinataire des données comme des clauses contractuelles types ou des BCR et d’en justifier auprès du responsable de traitement.