Le présent Contrat de sous-traitance de données à caractère personnel (ci-après "DPA") est applicable aux relations commerciales entre la société People over Process, immatriculée au registre du commerce et des sociétés de Paris sous le numéro 879 920 981, ayant son siège social au 3 square Claude Debussy, 75017 Paris (ci-après désignée par « Popwork ») et le client (ci-après désigné par le « Client »).

Popwork et le Client sont ci-après désignés collectivement par les « Parties » et, individuellement, par une « Partie ».

Dans le cadre de l’exécution des Conditions Générales de Vente conclues entre Popwork et le Client, le Client, en sa qualité de Responsable de traitement, confie à Popwork, en sa qualité de Sous-traitant, des opérations de traitement de Données à caractère personnel.

Ce Contrat de sous-traitance de données à caractère personnel fait partie intégrante des Conditions Générales de Vente de Popwork.

Les Parties souhaitent respecter la réglementation applicable en matière de Traitement de Données à caractère personnel, et en particulier la Loi n°78-17 du 6 janvier 1978 (dite « Informatique et Libertés ») dans sa version modifiée et le Règlement Général sur la Protection des Données Personnelles n°2016-679 en date du 27 avril 2016 (« RGPD »).

Les Parties sont convenues du présent Contrat afin de respecter les dispositions de l’article 28, en particulier des paragraphes 3 et 4, du RGPD. Le présent Contrat s’applique aux traitements des données à caractère personnel tels que spécifiés à l’article 1.

Les termes utilisés dans le présent Contrat avec une majuscule (tels que. Responsable de traitement, Données à caractère personnel, etc.) correspondent aux définitions contenues dans RGPD.

‍

Les données à caractère personnel et les finalités de traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du Client, en sa qualité de Responsable de traitement, sont :

‍

Popwork ne traite les données personnelles que sur instruction du Client et conformément aux dispositions ci-dessus, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, Popwork informera le Client de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public.

Dans le cas où Popwork estime qu'une instruction du Client constitue une violation en matière de protection des données à caractère personnel, il en informe le Client. Popwork n’est en aucun cas responsable des instructions et décisions du Client ni de leurs éventuelles conséquences.

Les dispositions du présent Contrat constituent des instructions documentées du Client à Popwork.

Popwork ne traite les données personnelles que pour les finalités du traitement exposées dans l’article 1 du présent contrat, à moins que Popwork ne reçoive d’autres instructions documentées de la part du Client.

Popwork traite les données personnelles que pour la durée définie au sein de l’article 1 du présent contrat, à moins que Popwork ne reçoive des instructions documentées du Client.

‍

Popwork s’engage à mettre en place des mesures de sécurité appropriées pour assurer la sécurité des Données à caractère personnel qu’il traite. Pour déterminer le niveau de sécurité approprié, Popwork tient compte de l’état de la technique, des coûts de mise en œuvre, du contexte et des finalités du traitement.

‍

Une description de ces mesures a été documentée par Popwork conformément à l’article 32 du RGPD et est accessible sur demande écrite de la part du Client

Popwork n’accorde à son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution du Service.

‍

Popwork met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat.

À la demande du Client et dans le cas d’indices manifestes de non-conformité, Popwork permet la réalisation d’audits des activités de traitement couvertes par les présentes clauses.

L’audit peut être réalisé à raison d’une fois maximum par an, et moyennant un préavis par écrit de soixante (60) jours à Popwork. Cet audit doit être mené de manière à respecter la sécurité et la confidentialité de la documentation et des procédures de Popwork. Il ne pourra durer plus d'une demi-journée et ce aux horaires normaux de bureau.

Le Client est responsable de tous les coûts et/ou dépenses liés à un éventuel audit.

‍Les Parties mettent à la disposition de l’autorité de contrôle compétente, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

Popwork s'engage à fournir une liste toujours actualisée de ses sous-traitants ultérieurs et de leurs activités de traitement.

Popwork s'assure que le sous-traitant présente des garanties suffisantes pour que le traitement réponde aux exigences du RGPD.

‍

Il appartient au Client d’informer les Personnes concernées du traitement de leurs données et de leurs droits au titre de la loi Informatique et Libertés et du RGPD. Popwork ne peut en aucun cas être tenu responsable de ces obligations.

En tant que sous-traitant, Popwork assiste le Client dans l’accomplissement de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits, compte tenu de la nature du traitement et des instructions du Client.

‍

En cas d’inspection, de contrôle ou d’audit réalisé par une autorité publique, chaque Partie s’engage à apporter toute l’assistance nécessaire à l’autre.

Si l’autorité publique estime que le traitement réalisé porte atteinte à la réglementation en vigueur en matière de protection des Données à caractère personnel, les Parties s’engagent à communiquer et prendre sans délai les mesures nécessaires.

‍

En cas de violation de données à caractère personnel, Popwork coopère avec le Client et lui prête assistance aux fins de la mise en conformité du Client avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, sur la base de la nature du traitement et des informations dont dispose Popwork. Si ladite violation n’est pas du fait du Client, Popwork s’engage à prendre immédiatement des mesures correctives.

Popwork notifie toute atteinte au Client immédiatement après l’avoir constaté. Cette notification devra contenir l’ensemble des informations pertinentes au sujet de l’atteinte, afin de permettre au Client, le cas échéant, de notifier cette atteinte à l’Autorité de contrôle concernée et/ou aux personnes concernées, conformément à ses obligations en qualité de Responsable de traitement.

Les Parties s’engagent à coopérer afin de mettre fin à l’atteinte dans les meilleurs délais.

‍

Les données à caractère personnel traitées par Popwork pour le compte du Client et les sites Internet et bases de données de Popwork sont hébergés par Google Cloud Platform sur des serveurs situés à Bruxelles, Belgique en Union Européenne ("UE").

‍Tout transfert de données vers un pays tiers ou une organisation internationale par Popwork ne sera effectué que sur la base du présent Contrat ou afin de répondre à une exigence spécifique du droit de l'Union ou des États membres à laquelle le sous-traitant est soumis et aura lieu dans le respect du chapitre V du RGPD.

Popwork peut transférer des données à caractère personnel aux sous-traitants autorisés et identifiés.

‍

Popwork se réserve le droit de modifier à tout moment le présent DPA. Le Client est informé de ces modifications par email ou sur le site pop.work.

A l’issue de la relation entre les Parties, le Client dispose d’un délai de 30 jours pour demander par écrit la restitution, en format brut et sous sa responsabilité, de ses données.

À défaut d’une telle demande dans ce délai, Popwork peut procéder à la destruction définitive de l’ensemble des données.

‍

Popwork dispose d’un délégué à la protection des données, joignable par courrier électronique à l’adresse suivante : [email protected]

‍

Popwork s’engage à tenir à jour un Registre des activités de traitement réalisées en sa qualité de Sous-traitant, incluant les éléments suivants :

‍

‍

Pendant la durée du Contrat conclu entre Popwork et le Client, Popwork garantit la confidentialité des Données à caractère personnel traitées en sa qualité de Sous-traitant et s’assure que les membres de son personnel, autorisés à traiter les Données à caractère personnel, respectent ce principe de confidentialité et ont été formés sur le sujet.

‍

Le Client s'engage à collecter et à traiter les Données Personnelles dans le respect de la réglementation applicable en droit du travail et en matière de protection des données.

Le Client s'engage à fournir à Popwork toutes les informations nécessaires à l'exécution des activités de traitement prévues dans le respect des réglementations applicables et à documenter toute instruction concernant le traitement.

Le Client s'engage à fournir à Popwork les Données personnelles identifiées à l'article 1 du présent Contrat et à garantir l'exactitude des données. Le Client s'engage également à assurer l'effectivité des droits des Personnes concernées.

Le Client garantit Popwork de toute réclamation ou action à cet égard.