La société IP-LABEL (la ”Société »), société par actions simplifiée au capital de 549.728 euros, dont le siège social est situé 90 Boulevard National – 92250 La Garenne-Colombes France, immatriculée au Registre du Commerce et des Société de Nanterre sous le numéro B 327 139 309, a pour principale activité la fourniture de services permettant à ses clients de gérer et d’optimiser leur ”expérience digitale” (les ”Services IPLABEL”).

Les Services IP-LABEL mesurent la qualité de l’expérience des utilisateurs (ci-après les ”Utilisateurs”) de tous les services numériques tels que les apps web, métiers, mobiles ainsi que la téléphonie, la vidéo, la voix, etc. Certains Services d’IP-LABEL (centrée sur l’expérience Utilisateur) permettent ainsi d’améliorer la disponibilité, les temps de réponse et les performances des applications critiques de ses clients. Le Client a conclu avec la Société un contrat (le ”Contrat”) afin de bénéficier d’un ou plusieurs Services IP-LABEL.

Il ressort de ce qui précède que la Société est amenée tout à la fois (i) à collecter des données à caractère personnel et à procéder à leur traitement pour son propre compte et (ii) à collecter des données à caractère personnel au nom et pour le compte du Client, IP-LABEL agissant alors comme un sous-traitant, c’est à dire comme une personne extérieure traitant des données à caractère personnel selon les instructions et sous l’autorité du responsable du traitement, à savoir le Client. On entend par « toute information se rapportant à une personne physique identifiée ou identifiable, toute donnée permettant d’identifier une personne physique, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (les « Données à Caractère Personnel »).

Les Données à Caractère Personnel collectées restent la propriété exclusive des Utilisateurs auprès de qui elles sont collectées. Ces Données à Caractère Personnel sont confiées par mandat à la Société et au Client uniquement dans le cadre de la finalité des Services auxquels le Client souscrit par consentement exprès et sur la base d’une information détaillée sur la finalité des Services concernés, en toute transparence.

La Société procède auprès d’une autorité de contrôle indépendante européenne (ci-après l’”Autorité de Contrôle”) (en France la Commission Nationale de l’Informatique et des Libertés) aux déclarations des traitements de Données à Caractère Personnel qu’elle est amenée à effectuer pour son propre compte. Aucune déclaration particulière n’est effectuée par la Société au titre de ses activités de collecte et de traitement pour le compte du Client dans la mesure où seuls ce dernier est juridiquement responsable du traitement des Données à Caractère Personnel collectées pour son compte, traitement sur lequel la Société ne peut disposer d’un contrôle effectif.

Toutefois, en conformité avec les stipulations du Règlement (UE – 2016/679) du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l’égard du traitement des Données à Caractère Personnel et des règles relatives à la libre circulation de ces données (le ”Règlement Européen”), la Société et le Client s’engagent à observer pendant toute la durée du Contrat dans le cadre de la collecte, la gestion et l’exploitation des Données à Caractère Personnel des Utilisateurs, les stipulations de la présente Charte.

La protection des Données Personnelles collectées et le respect de la vie privée des Utilisateurs sont au cœur des préoccupations de la Société. La Société s’engage par conséquent à déployer tout au long de la chaîne de collecte, d’hébergement, de traitement et de circulation, les moyens techniques et organisationnels nécessaires à cette protection et à ce respect, ainsi qu’à ne travailler qu’avec des acteurs qui déploient des moyens équivalents et qui adhèrent eux-mêmes à la présente Charte, conformément au engagement ci-après:

La Société s’engage à :

1. traiter les Données à Caractère Personnel des Utilisateurs uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet du Contrat ;

2. traiter les Données à Caractère Personnel des Utilisateurs conformément aux instructions documentées du responsable de traitement désigné par le Client en annexe du Contrat. Si la Société considère qu’une instruction constitue une violation du Règlement Européen ou de toute autre disposition du droit de l’Union ou du droit des états membres relative à la protection des données, il en informe immédiatement le responsable de traitement du Client. En outre, si la Société est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel la Société est soumise, elle doit informer le responsable du traitement du Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information ;

3. garantir la confidentialité des Données à Caractère Personnel des Utilisateurs traitées dans le cadre du Contrat et des Services ;

4. veiller à ce que le personnel de la Société autorisé à traiter les Données à Caractère Personnel des Utilisateurs en vertu du Contrat (a) s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et (b) reçoivent la formation nécessaire en matière de protection des Données à Caractère Personnel ;

5. prendre en compte, s’agissant de ses logiciels et ou Services, les principes de protection des Données à Caractère Personnel des Utilisateurs dès la conception ;

6. informer préalablement et par écrit le responsable de traitement du Client de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants auxquels elle peut faire appel. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les
coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le Client dispose d’un délai minimum de trente (30) jours à compter de la date de réception de cette information pour présenter ses objections. En cas d’objection du Client, il devra adresser à la Société – avant l’expiration du délai
de trente (30) jours et de la prise d’effet de l’ajout ou du remplacement d’un sous-traitant – une lettre recommandée avec accusé de réception, prononçant la résiliation du ou des Services concernés par l’ajout ou le remplacement du sous-traitant. Cette résiliation prendra alors effet à compter de l’expiration du délai de trente (30) jours précité. Le Client supportera les conséquences éventuelles de cette résiliation anticipée prévues par le Contrat. A défaut de Notification de résiliation adressé par le Client au Prestataire avant l’expiration du délai de trente (30) jours précité, le Client sera réputé avoir irrévocablement accepté l’ajout ou le remplacement de sous-traitants. Tout sous-traitant est tenu de respecter les obligations de la Charte. Il appartient à la Société de s’assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement Européen. La Société demeure pleinement responsable devant le Client de l’exécution par le soustraitant de ses obligations.

7. mettre en œuvre les mesures de sécurité permettant de garantir la confidentialité des Données à Caractère Personnel et leur intégrité, afin que des tiers non autorisés ne puissent les modifier, les endommager ou simplement y avoir accès, avec des moyens proportionnés à la valeur ou la criticité
des Données à Caractère Personnel concernées, y compris entre autres, selon les besoins : (i) la pseudonymisation et le chiffrement des Données à Caractère Personnel ; (ii) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des
services de traitement ; (iii) des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; (iv) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures
techniques et organisationnelles pour assurer la sécurité du traitement.

8. notifier au responsable de traitement du Client toute violation de Données à Caractère Personnel des Utilisateurs après en avoir pris connaissance et par courrier électronique confirmé par lettre recommandée avec accusé de réception. Cette notification est accompagnée de toute documentation
utile afin de permettre au Client, si nécessaire, de notifier cette violation à l’Autorité de Contrôle compétente.

9. aider le Client, dans la mesure du possible et aux tarifs éventuellement prévus par le Contrat, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Utilisateurs : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit
à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque qu’un Utilisateur concerné exerce auprès de la Société des demandes d’exercice de ses droits, la Société adressera ces demandes dès réception par courrier électronique au responsable de traitement désigné par le Client.

10. détruire toutes les Données à Caractère Personnel des Utilisateurs au terme des Services relatifs au traitement de ces données.

11. aider le Client, dans le cadre des services souscrits, aux tarifs éventuellement prévus par le Contrat, pour toute prestation relative à la protection des Données à Caractère Personnel des Utilisateurs. La Société aidera le Client pour la réalisation de l’éventuelle consultation préalable de l’Autorité de
Contrôle.

12. mettre à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par un auditeur qu’il a mandaté (un ”Tiers Auditeur”), et contribuer à ces audits. Le Client pourra donc, à ses frais, se
faire assister par tout Tiers Auditeur désigné par lui sous réserve que celui-ci soit titulaire du label octroyé par l’Autorité de Contrôle, n’exerce pas lui-même une activité directement ou indirectement concurrente de l’activité de la Société, ni ne soit lié à une société exerçant directement ou indirectement l’activité de la Société et ait préalablement accepté par écrit d’être soumis à l’obligation de confidentialité visée par le Contrat et ait remis une déclaration d’absence de conflit d’intérêts. La Société pourra décider de récuser le Tiers Auditeur désigné sur motif justifié, sans préjudice alors du
droit pour le Client de désigner un autre Tiers Auditeur dans les conditions ci-dessus. Le Client sera limité à un audit par année contractuelle, après adressé à la Société un préavis de quinze (15) jours.
L’audit devra respecter des dispositions et méthodologie fixée par la délibération n° 2011-316 du 6 octobre 2011 de la CNIL, portant adoption d’un référentiel pour la délivrance de labels en matière de procédure d’audit tendant à la protection des personnes à l’égard du traitement des Données à
Caractère Personnel.

13. tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte
du Client comprenant :

(a) le nom et les coordonnées du responsable de traitement pour le compte duquel elle agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;

(b) les catégories de traitements effectués pour le compte du responsable du traitement ;

(c) le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du Règlement Européen sur la protection des données, les documents attestant de l’existence de garanties appropriées ;

(d) dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :

  (i) la pseudonymisation et le chiffrement des Données à Caractère Personnel ;

  (ii) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement

  (iii) des moyens permettant de rétablir la disponibilité des Données à Caractère Personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

  (iv) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Pour sa part, le Client déclare :

1. qu’aucune collecte ni aucun traitement de Données à Caractère Personnel ne sera confié à la Société en l’absence de déclaration du Client ou d’autorisation d’une Autorité de Contrôle obtenu par le Client ;

2. que la finalité du traitement des Données à Caractère Personnel confié à la Société est déterminée, explicite et légitime. Le consentement « opt-in » de l’Utilisateur recueilli par le Client est éclairé, sur la base d’un service dont la finalité et les contours sont expliqués clairement, sans qu’il soit possible d’en
détourner l’usage.

Le Client s’engage par ailleurs, à : 

1. ne pas revendre ou exploiter les Données à Caractère Personnel en dehors du cadre strict accepté par les Utilisateurs, qui gardent le droit de modifier leur consentement à tout instant et sur tout support numérique mis à leur disposition, conformément à la législation applicable ;

2. ce que tout Utilisateur dispose du droit d’accès, de rectification et de suppression de toute ou partie de ses Données à Caractère Personnel. Ainsi chacun des Utilisateurs peut, gratuitement et sur simple demande, avoir accès à l’intégralité des informations le concernant et les rectifier, les compléter ou s’opposer à leur traitement ;

3. désigner un responsable de traitement dans le cadre du Contrat et notifier à la Société ses nom, prénom, et coordonnées téléphoniques et électroniques par lettre recommandée avec accusé de réception, à défaut le responsable du traitement sera le représentant légal du Client. Le Client est libre à tout moment au cours du Contrat de procéder au remplacement du responsable du traitement précédemment désigné par l’envoi d’une notification écrite à la Société.

La présente Charte entre en vigueur à compter de date de signature du Contrat pour toute la durée de celui-ci. La présente Charte est régie par le droit français. Tout litige relatif à l’interprétation, l’exécution ou la validité de la Charte sera soumis à la compétence du Tribunal de Commerce de Paris, y compris en cas de référé et nonobstant pluralité de défendeurs ou appel en garantie.

Le fait pour l’une des parties de ne pas se prévaloir d’un manquement, par l’autre partie, à l’une quelconque de ses obligations au titre de la Charte, ne saurait être interprété comme une renonciation à l’obligation en cause ou comme un avenant à la Charte, et ne pourra empêcher la partie non-défaillante de s’en prévaloir à l’avenir.

Si l’une (ou plusieurs) des stipulations de la Charte est tenue, rendue ou déclarée non valide en raison d’une loi, d’une réglementation ou d’une décision d’une juridiction compétente, les parties se concerteront pour convenir d’une ou des stipulation(s) remplaçant la ou les stipulation(s) invalide(s) et permettant d’atteindre, dans la mesure du possible, le but visé par la ou les clause(s) d’origine. Toutes les autres stipulations de la Charte gardent toute leur force et leur portée.