- RGPD -

Version du 25 mai 2018

Les présentes mentions font parties intégrantes des Conditions Générales d’Utilisation « CGU » acceptées par l’Utilisateur et/ou les Professionnels de santé « Client » lesquels ont signé un contrat avec CallBOOSTER. Dans la suite de ces présentes mentions, le terme « Contrat » signifiera, pour un Utilisateur, les CGU seules, alors que pour un Client, le terme « Contrat » signifiera, le contrat signé entre le Client et CallBOOSTER complété des CGU.

Toutefois, en cas de contradiction, les présentes prévalent.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018 ("Règlement Général sur la Protection des Données") ci-après "RGPD".

Aux fins des présentes, CallBOOSTER agit en tant que "Sous-traitant" et le Client est présumé agir en tant que " Responsable du traitement ". Les termes " Sous-traitant " et " Responsable du traitement " ont le sens qui leur est donné au sein du RGPD.

La présente annexe sera, ci-après, dénommée « DPA » « Data Processing Agreement » Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans les CGU. La finalité du présent DPA est de définir les conditions dans lesquelles CallBOOSTER, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite, sur instruction du Client, des données à caractère personnel telles que définies dans le RGPD ("Données à caractère personnel").

Les présentes mentions font parties intégrantes des Conditions Générales d’Utilisation « CGU » acceptées par l’Utilisateur et/ou les Professionnels de santé « Client » lesquels ont signé un contrat avec CallBOOSTER. Dans la suite de ces présentes mentions, le terme « Contrat » signifiera, pour un Utilisateur, les CGU seules, alors que pour un Client, le terme « Contrat » signifiera, le contrat signé entre le Client et CallBOOSTER complété des CGU. Toutefois, en cas de contradiction, les présentes prévalent.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, applicable à compter du 25 mai 2018 ("Règlement Général sur la Protection des Données") ci-après "RGPD". Aux fins des présentes, CallBOOSTER agit en tant que "Sous-traitant" et le Client est présumé agir en tant que " Responsable du traitement ". Les termes " Sous-traitant " et " Responsable du traitement " ont le sens qui leur est donné au sein du RGPD.

La présente annexe sera, ci-après, dénommée « DPA » « Data Processing Agreement »

Les expressions qui commencent par une lettre majuscule et qui ne sont pas définies dans le présent DPA ont le sens qui leur est donné dans les CGU. La finalité du présent DPA est de définir les conditions dans lesquelles CallBOOSTER, en qualité de Sous-traitant et dans le cadre des Services définis dans le Contrat, traite, sur instruction du Client, des données à caractère personnel telles que définies dans le RGPD ("Données à caractère personnel").

1. Champ d’application

CallBOOSTER est autorisée à traiter les Données à caractère personnel des Utilisateurs dans la mesure nécessaire à la fourniture des Services en tant que Sous-traitant agissant selon les instructions du Client. La nature des opérations menées par CallBOOSTER concernant les Données à caractère personnel peut être tout Service tel que décrit dans le Contrat. Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par le Client, à sa seule discrétion. Les activités de traitement sont effectuées par CallBOOSTER pour la durée prévue au Contrat.

2. Obligations de CallBOOSTER en tant que sous-traitant

CallBOOSTER s’engage à :

traiter les Données à caractère personnel uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance telle(s) que définis dans le Contrat,

traiter les Données à caractère personnel conformément aux instructions documentées du Responsable de traitement.

informer immédiatement le Client si, à son avis et compte tenu des informations dont il dispose, une des instructions du Client enfreint les dispositions du RGPD ou d’autres dispositions de l’Union européenne ou d’un État membre de l’Union européenne en matière de protection des données personnelles,

s’assurer que les employés de CallBOOSTER autorisés à traiter les Données à caractère personnel dans le cadre du Contrat sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Données à caractère personnel,

prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut et assumer une politique des mots de passe conforme avec le RGPD,

dans le cas de demandes reçues d’une autorité compétente et relatives aux Données à caractère personnel traitées en vertu du Contrat, à informer le Client (à moins que les lois applicables ou l’injonction d’une autorité compétente ne l’interdise), et à limiter la communication des données à ce que l’autorité a expressément demandé,

sur demande écrite du Client, CallBOOSTER fournit au Client une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données dans la mesure où le Client est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux traitements de Données à caractère personnel opérés par CallBOOSTER en vertu du Contrat.

CallBOOSTER rappelle que tous ses serveurs de service et de stockage sont hébergés en France chez OVH, lequel s’engage à mettre en place les mesures de sécurité techniques et organisationnelles suivantes :

des mesures de sécurité physique destinées à empêcher les personnes non autorisées d’accéder à l’infrastructure dans laquelle les données du client sont stockées,

des contrôles d’identité et d’accès au moyen d’un système d’authentification et d’une politique en matière de mots de passe,

un système de gestion des accès qui limite l’accès aux locaux, aux personnes ayant besoin d’y accéder dans l’exercice de leurs fonctions et dans le cadre de leurs responsabilités,

un système qui isole physiquement et/ou de façon logique les clients les uns des autres,

des processus d’authentification des utilisateurs et des administrateurs, ainsi que des mesures visant à protéger l’accès aux fonctions d’administration,

un système de gestion de l’accès, pour les opérations de soutien et d’entretien, qui fonctionne selon les principes du moindre privilège et du besoin de savoir ;

des processus et des mesures de suivi des actions effectuées sur son système d’information.

3. Notification des violations des Données à caractère personnel

CallBOOSTER notifie au Responsable du traitement toute violation de Données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification doit contenir : la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrement de Données à caractère personnel concernés, la description des conséquences probables de la violation de Données à caractère personnel, la description des mesures prises ou proposées par CALLBOOSTER en réponse pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives, le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues. Si, et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

3. Notification des violations des Données à caractère personnel

CallBOOSTER notifie au Responsable du traitement toute violation de Données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification doit contenir :

• la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrement de Données à caractère personnel concernés,
• la description des conséquences probables de la violation de Données à caractère personnel,
• la description des mesures prises ou proposées par CALLBOOSTER en réponse pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives,
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues. Si, et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

3. Notification des violations des Données à caractère personnel

CallBOOSTER notifie au Responsable du traitement toute violation de Données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification doit contenir :

• la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrement de Données à caractère personnel concernés,
• la description des conséquences probables de la violation de Données à caractère personnel,
• la description des mesures prises ou proposées par CALLBOOSTER en réponse pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives,
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues. Si, et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

3. Notification des violations des Données à caractère personnel

CallBOOSTER notifie au Responsable du traitement toute violation de Données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification doit contenir :

• la description de la nature de la violation de Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrement de Données à caractère personnel concernés,
• la description des conséquences probables de la violation de Données à caractère personnel,
• la description des mesures prises ou proposées par CALLBOOSTER en réponse pour remédier à la violation de Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives,
• le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues. Si, et dans la mesure où il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

4. Localisation et transfert des Données à caractère personnel

Tous les serveurs où sont stockées les Données à caractère personnel sont localisés en France dans les datacenters de OVH à Roubaix. CallBOOSTER, depuis le tout début de son activité, a toujours privilégié une localisation au sein du territoire Français, offrant les plus grandes garanties en matière de sécurité. Sous réserve des clauses du Contrat, CALLBOOSTER s’interdit de modifier, sans l’accord du Client, la localisation de ses données. Sous réserve de la disposition précédente relative à la localisation des Datacenters, tout autre pays reconnu par l’Union européenne comme assurant un niveau de protection adéquat des Données à caractère personnel ("Décision d’adéquation") serait possible. Les données stockées par le Client dans le cadre des Services ne sont pas accessibles à CALLBOOSTER à partir d’un pays qui ne fait pas l’objet d’une Décision d’adéquation, sauf :

• si cet accès est expressément prévu
• si le Client choisit un Datacenter
• sauf accord spécifique du Client.

dans le Contrat, situé en dehors de l’Union européenne dans un pays qui n’est pas soumis à une Décision d’adéquation, Dans le cas où les Données à caractère personnel traitées en vertu des présentes sont transmises hors de l’Union européenne vers un pays qui ne fait pas l’objet d’une Décision d’adéquation, un accord de transfert de données, conforme aux clauses contractuelles types adoptées par la Commission européenne ou, à la discrétion de CALLBOOSTER, toute autre mesure de protection reconnue comme suffisante par la Commission européenne, est mis en œuvre. Lorsqu’un tel transfert résulte de la sélection par le Client d’un Service pour lequel un Datacenter situé en dehors de l’Union européenne est utilisé, la mise en œuvre de l’accord de transfert de données susmentionné (ou de mesures de protection équivalentes) n’est pas automatique et nécessite une demande spécifique du Client. Le Responsable du traitement doit accomplir toutes les formalités et obtenir toutes les autorisations nécessaires (y compris, le cas échéant, auprès des personnes concernées et des autorités compétentes en matière de protection des données) pour transférer des données à caractère personnel dans le cadre du Contrat.

5. Sous-traitance

Sous réserve des dispositions de la clause "Localisation et transfert des Données à caractère personnel" ci-dessus, CALLBOOSTER peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des Services ("Sous-traitant ultérieur"). Le Client autorise expressément CALLBOOSTER à engager ses Sociétés Apparentées CallBOOSTER en tant que Sous-traitants ultérieurs. La liste des Sociétés Apparentées CALLBOOSTER ayant la qualité de Sous-traitants ultérieurs est disponible dans le Contrat. CALLBOOSTER s’engage à informer le Client, dans un délai de trente (30) jours, avant de faire intervenir en qualité de Sous-traitant ultérieur, une nouvelle Société Apparentée CallBOOSTER. Sous réserve des dispositions contraires du Contrat, CALLBOOSTER ne fait pas intervenir sans le consentement préalable du Client de Sous-traitant ultérieur n’ayant pas la qualité de Société Apparentée CALLBOOSTER (« Sous-traitant ultérieur tiers »). Lorsque le Contrat prévoit la possibilité d’engager des Sous-traitants ultérieurs tiers, la validation de ce Contrat par le Client est considérée comme une approbation des Sous-traitants ultérieurs listés. CALLBOOSTER veille à ce que le Sous-traitant ultérieur soit, au minimum, en mesure de remplir les obligations mises à la charge de CALLBOOSTER dans le présent DPA concernant le traitement des Données à caractère personnel effectué par le Sous-traitant ultérieur. À cette fin, CALLBOOSTER conclut un accord avec le Sous-traitant ultérieur. CALLBOOSTER reste vis-à-vis du Client entièrement responsable de l’exécution de toute obligation que le Sous-traitant ultérieur ne remplit pas. Nonobstant ce qui précède, CALLBOOSTER est expressément autorisée à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des gestionnaires de points d’interconnexion de réseaux ou des datacenters colocalisés, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer le Client ou obtenir son autorisation préalable, à condition que ces fournisseurs tiers n’aient pas accès aux Données à caractère personnel.

6. Obligations du client et du Responsable du traitement

Pour le traitement des Données à caractère personnel conformément au Contrat, le client doit fournir à CALLBOOSTER par écrit :

• toute instruction pertinente
• toute information nécessaire à la création du registre des activités de traitement du sous-traitant. Le Client reste seul responsable du traitement des informations et instructions communiquées à CALLBOOSTER.

Le Responsable du traitement a la responsabilité de s’assurer que :

le traitement des Données personnelles du Responsable du traitement dans le cadre de l’exécution du service a une base juridique appropriée (par exemple, le consentement de la personne concernée, les intérêts légitimes du Responsable de traitement, etc.),

toutes les procédures et formalités requises (telles que analyse d’impact relative à la protection des données, notification et demande d’autorisation à l’autorité de contrôle compétente en matière de traitement de données personnelles ou à tout autre organisme compétent, le cas échéant) ont été effectuées,

la personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,

les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits, relatifs aux données, prévus par le RGPD directement auprès du Client ou du Responsable du traitement.

Le Client est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité de CALLBOOSTER tel que prévu au Contrat (notamment tous les systèmes et logiciels déployés et exploités par le Client ou les Utilisateurs au sein des Services).

7. Droit d’information des personnes concernées

Dans le cas où le Client fournit des données personnelles à CallBOOSTER afin d’exercer le service objet du contrat, il appartient au Responsable de traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Dans le cas où CallBOOSTER, dans l’exécution du service tel que défini dans le Contrat, collecte des Données à caractère personnel, il devra fournir aux personnes concernées par ladite collecte, l’information relative aux traitements de données qu’il réalise. La formulation et le format de l’information doivent être convenus avec le Responsable de traitement avant la collecte de données.

8. Exercice des droits des personnes

Dans la mesure du possible, le sous-traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées :

• droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement,
• droit à la portabilité des données,
• droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au Responsable de traitement. Si le Contrat le prévoit, le sous-traitant doit répondre, au nom et pour le compte du responsable de traitement et dans les délais prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas d’exercice de leurs droits, s’agissant des données faisant l’objet de la sous-traitance prévue par le présent contrat.

Dans tous les cas le Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité. CALLBOOSTER fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à :

• communiquer au Client toute demande reçue directement de la personne concernée,
• permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. Le Responsable du traitement est seul responsable des réponses à ces demandes. Le Client reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiteraient des ressources importantes de la part de CALLBOOSTER, cela pourra être facturé au Client à condition de le lui notifier et d’obtenir son accord au préalable.

9. Sort des Données à caractère personnel

Au terme de la prestation de services relatifs au traitement de ces données, CallBOOSTER s’engage à :

• détruire toutes les Données à caractère personnel ou
• à renvoyer toutes les Données à caractère personnel au Responsable de traitement ou
• à renvoyer les Données à caractère personnel au sous-traitant désigné par le Responsable de traitement. Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de CallBOOSTER sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exige autrement. Une fois détruite, CallBOOSTER doit justifier par écrit de la destruction.

10. Responsabilité

CallBOOSTER ne peut être tenue responsable que des dommages causés par un traitement pour lequel :

• elle n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants,
• elle a agi en-dehors des instructions licites du Client ou contrairement à celles-ci.