ANNEXE N° 2 – PROTECTION DES DONNEES PERSONNELLES

Préambule

Dans le cadre de la fourniture du Service et de l’accès à la Solution, la présente Annexe a pour objet de définir les conditions dans lesquelles DATAPOLITICS, en sa qualité de sous-traitant traite et traitera, pour le compte du Client, en sa qualité de responsable de traitement, les données à caractère personnel définies ci-dessous.

Le Client et DATAPOLITICS (ci-après « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier :

  • La loi Informatique et Liberté du 6 janvier 1978,
  • Le Règlement Européen sur les Données Personnelles (RGPD.) du 23 mai 2018
  • La loi de transposition du Règlement Européen sur la Protection des Données Personnelles (RGPD) du 20 juin 2018.

Les termes utilisés dans cette Annexe ont le sens qui leur sont conférés par le RGPD ou sont définis dans le Contrat qui lie les parties et auquel cette Annexe est jointe. En cas de contradiction entre l’Annexe et le Contrat, l’Annexe prévaut.

Le Délégué à la Protection de Données de DATAPOLITICS est Mr Antoine Bacalu ; dpo@datapolitics.fr     .

Article 1 – Définitions

Dans le cadre de la présente Annexe, les termes ci-dessous ont la signification qui leur est attribuée au sens du RGPD (Article 4) :  

  • Consentement : « de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » ;
  • Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre » ;
  • Sous-traitant : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ;
  • Traitement : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » ;
  • Violation de données à caractère personnel : « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Article 2 – Traitement des données personnelles par DATAPOLITICS en qualité de responsable de traitement

2.1 Nature des données à caractère personnel

Par exception à ce qui précède, DATAPOLITICS agit en qualité de responsable de traitement des données du Client. Aux fins de la fourniture des Services de DATAPOLITICS et d’accès à la Solution, des données à caractère personnel doivent obligatoirement être traitées par DATAPOLITICS :

  • Le nom, prénom, adresse électronique de la personne référente au sein de l’entreprise Cliente : ces données permettent d’assurer un suivi du Contrat et de fournir une assistance à l’exécution des Services ;
  • Nom, prénom et identifiant des Utilisateurs de la Solution : ces données permettent de fournir toute assistance technique dans le cadre de l’usage de la Solution par les Utilisateurs ;
  • Données de navigation (adresses IP, cookies, traceurs) : ces données et informations de navigation sont utilisées à des fins uniquement d’études statistiques (analyse du trafic du site et de l’expérience utilisateur) et de permettre une amélioration des services de DATAPOLITICS.

2.2 Finalités des traitements

  1. Données du Client (nom, prénom, adresse électronique de la personne référente)

Les données sont utilisées uniquement aux fins de (i) signer le Contrat avec le Client (ii) assurer un suivi du Contrat avec le Client (iii) gérer la facturation du Client (iv) assurer un suivi après-vente.

La base légale est l’Exécution d’un Contrat.

  1. Données des Utilisateurs (nom, prénom, identifiants)

Les données relatives à l’Utilisateur et les données de communication, sont utilisées uniquement aux fins de (i) Valider la création du compte de l’Utilisateur, (ii) créer le profil de l’Utilisateur ainsi que son compte sur la Solution (iii) permettre à l’Utilisateur d’avoir accès aux Services sur la Solution (iv) fournir un service d’assistance technique.  

La base légale est le Consentement de l’Utilisateur du fait de la création de son compte, ce dernier acceptant les présentes dispositions.

  1. Données de navigation

En naviguant sur la Solution, l’Utilisateur peut être amené à renseigner ses données personnelles de connexion (cookies, traceurs, historiques de recherche).

Les données de connexion et informations de navigation sont utilisées à des fins uniquement d’études statistiques (analyse du trafic du site et de l’expérience utilisateur).  La base légale est la suivante :  Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par DATAPOLITICS, notamment de proposer aux Utilisateurs une expérience de navigation fluide et améliorée.

Les données de connexion sont également utilisées pour prévenir et lutter contre toute fraude informatique. La base légale est la réponse à une obligation légale.

2.3 Durée de conservation des données

DATAPOLITICS ne dépasse pas les délais légaux de conservation des données et les données du Client et des Utilisateurs sont conservées uniquement pour la durée nécessaire aux traitements des finalités pour lesquelles elles ont été collectées.

Les durées de conservation sont les suivantes :

  • Données relatives à l’Utilisateur : elles sont supprimées ou anonymisées trois (3) ans après le dernier contact émanant de l’Utilisateur sauf si ce dernier a exercé auparavant un droit (en application du RGPD) ayant entraîné la suppression de ses données ;
  • Données relatives aux Clients : elles sont supprimées cinq (5) ans après la fin de la relation commerciale avec le Client, sauf si ce dernier a exercé auparavant un droit (en application du RGPD) ayant entraîné la suppression de ses données ;
  • Données de connexion : elles sont conservées, pour une durée maximale de 13 mois (sauf exception indiquées aux présentes.  

Dans l’établissement de notre politique de traitement des données, nous avons établi une grille de référence pour la durée de conservation des données, élaborée grâce aux recommandations de la CNIL. En outre, DATAPOLITICS est susceptible de conserver certaines données personnelles afin de remplir ses obligations légales ou réglementaires, de permettre l’exercice des droits des utilisateurs, ou à des fins statistiques. A l’expiration de la durée de conservation des données personnelles, celles-ci seront supprimées ou anonymisées.

Article 3 – Traitement des données personnelles par DATAPOLITICS en qualité de responsable de sous-traitant

En sa qualité de sous-traitant, DATAPOLITICS, traite pour le compte du Client, ce dernier agissant en qualité de responsable de traitement – en ce qu’il détermine les finalités et les moyens du traitement – les données à caractère personnel nécessaires à la fourniture des services de la Solution.

3.1 Sources

Les données pour lesquelles DATAPOLITICS agit en qualité de sous-traitant et nécessaires à la fourniture des services et de l’accès à la Solution sont collectées auprès des Sources suivantes :

SourceMode de récupération des données
Articles de presse (national et régional)Les données sont collectées par crawling avec versement de redevance au Centre Français d’exploitation.
YouTubeAPI YouTube
TwitterAPI Twitter
Assemblée NationaleOpen Data Assemblée Nationale https://data.assemblee-nationale.fr/ 
SénatOpen Data Sénat https://data.senat.fr/ 
Vie-publique.frScrapping

3.2 Sujet des données

Les données personnelles collectées par le sous-traitant concernent les catégories de personnes suivantes :

  • Président de la république
  • Députés et sénateurs français (législature en cours et mandats précédents) ;
  • Députés européens (législature en cours et mandats précédents) ;
  • Membres du gouvernement français (ministres et secrétaires d’état)
  • Membre de la commission européenne et du conseil européen ;
  • Députés, sénateurs, personnalités politiques étrangères (chef d’état, ministres, etc.)
  • Anciens présidents de la république française ;
  • Anciens ministres français ;
  • Candidats et Anciens candidats aux élections présidentielles ;
  • Chefs et porte-paroles des partis politiques ;
  • Leaders syndicaux (syndicats patronaux et salariés) ;
  • Membres du conseil constitutionnel.

Ils sont-ci après désignés « les Personnalités ».

3.3 Nature des traitements

Le sous-traitant est mandaté par le responsable de traitement pour collecter et traiter les données suivantes :

  1. Données des personnalités incluant :
  • Nom, prénom, sexe des Personnalités ;
  • Fonctions et mandats en cours ;
  • Photo ;
  • Les signes, acronymes, titres et étiquettes politiques de la liste à laquelle ils appartiennent ;
  • Comptes sur les réseaux sociaux et adresse électronique ;
  • Prises de position, paroles.

Ces données sont collectées et traitées en vue de permettre la réalisation des services de la solution pour le compte du Client et les finalités de traitement suivantes :

  • Calcul d’indicateurs déterminés par le Client (ex : score d’influence, score d’engagement) en vue de l’élaboration des mapping (entendu comme une cartographie de l’ensemble des personnalités en fonction de critères définis par le Client) ;
  • Mise en lumière d’occurrence de mots, lien entre les mots et expressions, évolution des comptages de mots dans la durée par les personnalités, en vue de permettre au client de visualiser      les mots les plus prononcés avec des mots clés ;
  • Indication pour le Client des prises de position des Personnalités sur les Dossiers déterminés par le Client ;
  • Construction des Dossiers déterminés par le Client ;
  • Système de veille et d’alerte sur les Dossiers déterminés par le Client ;
  • Etudes statistiques sur les Dossiers déterminés par le Client ;

Et de façon plus générale, la bonne exécution des services objets du Contrat tels que détaillés au Contrat et sur la base des instructions du Responsable de traitement.

3.4 Recueil du consentement et obligation d’information des Personnalités

Le Client déclare être informé qu’il lui appartient de fournir aux Personnalités concernées par les opérations de traitement, et au moment de la collecte des données, les informations auxquelles celles-ci ont droit. Il s’engage à avoir informé les Personnalités :

  1. De l’existence des traitements ci-dessus mentionnés ;
  2. De l’utilisation de leurs données par la Solution aux finalités de traitement ci-dessus mentionnées ;
  3. Le cas échéant, à avoir recueilli leur consentement.

Le Client garantit à DATAPOLITICS qu’il satisfait à cette obligation de sorte que la responsabilité de DATAPOLITICS le cadre de ses opérations de traitement, ne puisse être recherchée.

3.5 Obligations du Responsable de traitement

Le responsable de traitement s’engage à fournir à DATAPOLITICS toutes les instructions nécessaires au traitement des données personnelles et s’assurer au préalable de la licéité du traitement des Données personnelles.

Il s’engage à fournir l’information aux Personnalités et aux Utilisateurs concernés par les opérations de traitement et assurer aux Personnalités la possibilité d’exercer leurs droits sur leurs données personnelles.

3.6 Obligations du Sous-traitant

Vis-à-vis du Responsable de traitement, DATAPOLITICS s’engage à :

  1. Traiter les données uniquement pour la ou les seule(s) finalité(s) ayant fait l’objet de la sous-traitance et sur instruction documentée du Responsable de traitement ;
  2. Traiter les données conformément aux instructions fournies par le Responsable de traitement et dans la stricte exécution des services objets du Contrat ;
  3. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent Contrat s’engage a) à respecter la confidentialité applicable et b) aient reçu la formation nécessaire en matière de protection des données personnelles.

Dans l’hypothèse où DATAPOLITICS considérerait qu’une instruction constitue une violation de la législation applicable au niveau du droit de l’Union ou du droit des Etats membres en matière de traitement des données personnelles, DATAPOLITICS s’engage à en informer le Client sous les plus brefs délais.

Article 4 – Sous-traitance

4.1 Dispositions générales

Les Parties déclarent et s’engagent à ne faire appel qu’à des sous-traitants localisés au sein de l’Union Européenne ou dans un pays présentant un niveau de protection adéquat des données personnelles tel qu’entendu par la Commission Européenne.

4.2 Sous-traitance déclarée

Le Client est expressément informé que pour la bonne exécution des services et de la Solution, il autorise le Sous-traitant à faire appel aux prestataires suivants (ci-après le « sous-traitant ultérieur ») pour mener les activités suivantes :

NomActivité du sous-traitant ultérieurPaysLégislation applicable
OVHHébergement des données des utilisateurs et des données des personnalitésFranceLoi Informatiques et Libertés du 6 janvier 1978RGPD
AWSHébergement des discours récupérés (ex : prises de paroles, positions des personnalités, etc.)IrlandeRGPD
Google Cloud EuropeHébergement des discours récupérés (ex : prises de paroles, positions des personnalités, etc.)IrlandeRGPD
SendinblueCommunication aux ClientsFranceLoi Informatiques et Libertés du 6 janvier 1978RGPD

Ces derniers disposent d’un accès limité aux données, dans le cadre de l’exécution de ces prestations et ont une obligation contractuelle de les utiliser en conformité avec les dispositions de la réglementation applicable en matière protection des données à caractère personnel.

DATAPOLITICS se réserve le droit de faire appel à un autre sous-traitant ultérieur pour mener des activités de traitement spécifiques. Dans ce cas, il s’engage à en informer préalablement et par écrit le responsable de traitement, en indiquant les activités de traitement sous-traitées, ainsi que l’identité et la localisation des activités sous-traitées.

DATAPOLITICS informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au Client la possibilité d’émettre des objections à l’encontre de ces changements.

Il appartient à DATAPOLITICS de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, DATAPOLITICS demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Les données peuvent également être transmises par DATAPOLITICS à des tiers et autorités compétentes pour répondre à des obligations légales, judiciaires, fiscales ou règlementaires.

Article 5 – Transfert des données hors de l’Union Européenne

Les Parties déclarent et s’engagent à ne pas transférer les données personnelles en dehors de l’Union Européenne ou vers tout pays n’étant pas reconnu comme présentant un niveau de protection adéquat tel qu’entendu par la Commission Européenne, sans avoir pris les mesures légales et réglementaires applicables.

En outre, si DATAPOLITICS est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement.

Article 6 – Exercice du droit des personnes

6.1 Données pour lesquelles DATAPOLITICS agit en qualité de responsable de traitement

Au regard des dispositions légales de la Loi Informatiques et Libertés du 6 janvier 1978 et du Règlement Européen sur la Protection des Données (« RGPD »), le Client et les Utilisateurs disposent des Droits suivants :

  1. droit d’accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données des Clients, droit de verrouillage ou d’effacement des données des Clients à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdit
  2. droit de retirer à tout moment un consentement (article 13-2c RGPD)
  3. droit à la limitation du traitement des données des Clients (article 18 RGPD)
  4. droit d’opposition au traitement des données des Clients (article 21 RGPD)
  5. droit à la portabilité des données que les Clients auront fournies, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
  6. droit de définir le sort des données des Clients après leur mort et de choisir à qui DATAPOLITICS devra communiquer (ou non) ses données à un tiers qu’il aura préalablement désigné.

Pour exercer l’un des droits, il suffit d’écrire un courrier à DATAPOLITICS à l’adresse du Siège social en contactant le DPO Monsieur Antoine Bacalu ou en écrivant un courriel à dpo@datapolitics.com.

Les demandes seront traitées dans un délai d’un mois, sauf motif impérieux avancé et justifié par DATAPOLITICS justifiant un rallongement du délai. Si      DATAPOLITICS ne satisfait pas la demande de l’Utilisateur ou du Client, ces derniers sont en droit de saisir la CNIL (Commission Nationale de l’Informatique et des Libertés, https://www.cnil.fr) afin de faire prévaloir leurs droits.

6.2 Données pour lesquelles DATAPOLITICS agit en qualité de sous-traitant

Le Client s’engage à respecter les dispositions légales et règlementaires applicables en matière de collecte du consentement et de respect de droit des personnes et s’engage à informer les sujets des données de leurs droits d’accès, de rectification, de suppression, de limitation du traitement, de rectification, d’opposition, de portabilité de leurs données personnelles. Le Client sera responsable de l’application desdits droits au sein de son entité et traitera toutes les demandes d’exercice des droits qui lui seront adressées.

Dans la mesure du possible, DATAPOLITICS s’engage à assister le Client par des mesures techniques et organisationnelles appropriées à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes.

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier à l’adresse indiquée au devis ou à toute adresse électronique fournie à cet effet par le Client.

Article 7 – Sécurité des données personnelles

Les Parties déclarent et s’engagent à mettre tout en œuvre pour proposer des mesures de sécurité et de confidentialité des données personnelles conformes aux dispositions légales applicables. Ces mesures sont prises selon les règles de l’art – et adaptées aux capacités financières et matérielles de chacune des Parties – et devront assurer un niveau adéquat de sécurité des données personnelles.

Les Parties s’engagent notamment à mettre en place :

  • Des mesures organisationnelles et techniques de sécurité et de confidentialité ;
  • Des procédures spécifiques en cas de violation des données.

Chacune des Parties devra assurer la sécurité des traitements effectués par elle. En cas de manquement de l’une des Parties à son obligation de sécurité ayant entraîné une violation de données personnelles, la partie défaillante sera tenue pour seule responsable des conséquences de cette violation auprès des personnes concernées, après une enquête ayant déterminé et attesté de sa responsabilité, des autorités de contrôle et de tout tiers.

Les parties garantissent également que tous les individus ayant accès aux données personnelles (incluant, sans limitation, le personnel de la partie et/ou ses sous-traitants) se sont engagés à respecter les obligations de confidentialité indiquées aux présentes ou sont soumises à des obligations similaires de confidentialité et de protection des données personnelles.

La Partie ayant identifié une violation de données personnelles devra notifier à l’autre Partie ladite violation dans un délai maximal de quarante-huit (48) heures à compter de la découverte de la violation.

Cette notification s’accompagnera de :

  • La nature de la violation de données personnelles ;
  • Les coordonnées du délégué à la protection des données ;
  • Les catégories et le nombre approximatif de personnes concernées par la violation ;
  • Les conséquences probables de la violation de données personnelles ;
  • Toute la documentation pertinente relative à la violation et permettant aux parties de prendre les mesures appropriées en vue d’avertir les sujets des données et de remédier aux conséquences éventuelles.

En cas de violation des données, les Parties procèderont à une enquête contradictoire en vue de déterminer la responsabilité de ladite violation. La partie responsable garantira l’autre partie contre toute action, réclamation, pertes et dommages subies par l’autre partie ou par un tiers relatif à cette violation de données.

Article 8 – Sort des données

Au terme de la prescription applicable au traitement de ces données, DATAPOLITICS s’engage à détruire toutes les données à caractère personnel ou, sur demande du Client, à fournir des services complémentaires de transfert des données au Client ou à tout tiers désigné par lui à cette fin.