Version 2
Cet accord sur le traitement des données (l’ « Accord ») fait partie intégrante des contrats applicables entre Willis Towers Watson et le Client y faisant explicitement référence (le « Contrat »).
Lorsque le présent Accord utilise des termes définis dans le Règlement général sur la protection des données de l’UE (Règlement [UE] n°2016/679) ou dans le Règlement général sur la protection des données du Royaume-Uni, comme transposé dans le droit national en application de la section 3 de la loi sur le retrait du Royaume-Uni de l’Union Européenne (European Union (Withdrawal) Act 2018), tels que modifiés (chacun, le « Règlement »), les définitions énoncées dans le Règlement concerné s’appliqueront. « Lois sur la protection des données » désigne toutes les lois et réglementations applicables relatives à la sécurité, à la confidentialité, ou à la protection des Données à caractère personnel, telles que modifiées ou promulguées de temps à autre, notamment le Règlement selon les services fournis dans le cadre du Contrat. En cas de contradiction entre les termes du présent Accord et ceux du Contrat, les termes de cet Accord prévaudront.
Le Client (« Responsable du traitement »), déclare et garantit qu’il a collecté les Données à caractère personnel conformément aux Lois sur la protection des données et qu’il est autorisé par lesdites lois, à les transmettre à Willis Towers Watson (« Sous-traitant ») pour les besoins du Contrat et la fourniture des services afin de les utiliser comme précisé notamment dans la description des traitements de données en Annexe 1 (la « Description du traitement »). Le Client doit se conformer aux obligations qui lui incombent en tant que Responsable du traitement en vertu de la règlementation applicable.
Traitement des données
Concernant les Données à caractère personnel traitées par le Sous-traitant pour le compte du Responsable du traitement :
1.1. Respect du droit.
Les parties se conformeront aux Lois sur la protection des données et ne conduiront pas sciemment l’autre à enfreindre lesdites Lois.
1.2. Restriction d’utilisation.
Le Sous-traitant traitera les Données à caractère personnel uniquement pour les finalités décrites dans le Contrat, notamment conformément aux stipulations de la clause 1.5 ci-dessous et de l’annexe 1 « Description du traitement » et uniquement comme convenu entre les parties par écrit à moins qu’il ne soit tenu de procéder autrement par la règlementions applicable. Le cas échéant, le Sous-traitant en informera le Responsable du traitement, à moins que cette règlementation interdise au Sous-traitant de le faire pour des motifs d’intérêt public importants. Le Sous-traitant informera le Responsable du traitement s’il estime qu’une instruction émise par ce dernier enfreint les Lois sur la protection des données.
1.3. Confidentialité.
Le Sous-traitant s’engage à :
i. préserver la confidentialité des Données à caractère personnel et à exiger que son personnel ou toute autre personne agissant sous son autorité qui traite les Données à caractère personnel soit lié par des obligations de confidentialité, que ce soit en vertu d’un accord écrit ou d’une obligation légale de confidentialité, et à protéger toutes les Données à caractère personnel conformément aux exigences du présent Accord et des Lois sur la protection des données ; et
ii. ne divulguer ou à ne permettre l’accès aux Données à caractère personnel qu’à son personnel ou à toute autre personne agissant sous son autorité qui traite les Données à caractère personnel pour l’accomplissement de ses missions.
1.4. Assistance.
Le Sous-traitant s’engage :
i. dans la mesure du possible et en tenant compte la nature du Traitement, à mettre en place des mesures techniques et organisationnelles pour aider le Responsable du traitement à s’acquitter de son obligation de répondre à :
a. toute demande des Personnes concernées exerçant leurs droits en vertu de toute Loi sur la protection des données ; et
b. toute demande ou communication provenant d’une autorité de contrôle concernant les Données à caractère personnel.
ii. en tenant compte de la nature du Traitement et des informations à sa disposition, à aider le Responsable du traitement à s’acquitter de ses obligations consistant à mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées, à notifier les violations de Données à caractère personnel à l’autorité de contrôle et aux Personnes concernées le cas échéant, à mener des analyses d’impact sur la protection des données et à consulter l’autorité de contrôle concernant ces analyses lorsque la règlementation l’impose.
iii. afin d’auditer le respect par le Sous-traitant de ses obligations en vertu du présent Accord, le Sous-traitant fournira au Responsable du traitement, moyennant un préavis raisonnable d’au moins trente (30) jours : (a) l’accès aux locaux de traitement des données et aux fichiers pertinents par rapport aux services concernés ; (b) l’assistance et la coopération raisonnables du personnel concerné ; et (c) des installations dans les locaux du Sous-traitant. En outre, sur simple demande au Sous-traitant, celui-ci fournira une assistance et un soutien raisonnables au Responsable du traitement en cas d’enquête menée par une autorité, notamment une autorité en charge de la protection des données, ou une autorité similaire, si et dans la mesure où ladite enquête concerne les Données à caractère personnel traitées pour le compte du Responsable du traitement par le Sous-traitant. Les audits seront aux frais exclusifs du Responsable du traitement, ces frais comprennent le temps consacré par le personnel du Sous-traitant. Le Responsable du traitement pourra mener au maximum un (1) audit tous les douze (12) mois pour tous les services fournis par le Sous-traitant, sauf en cas de violation de données avérée impactant les Données à caractère personnel traitées pour le compte du Responsable du traitement. L’audit ne pourra avoir lieu qu’à condition que : (i) cet audit ait lieu à un moment mutuellement convenu et que la durée de l’audit soit raisonnable ; (ii) cet audit n’interfère pas de manière déraisonnable avec les opérations du Sous-traitant ; (iii) tout tiers effectuant un tel audit pour le compte du Responsable du traitement signe un accord de confidentialité avec le Sous-traitant, acceptable pour le Sous-traitant en ce qui concerne le traitement confidentiel et l’utilisation restreinte des informations confidentielles du Sous-traitant ou de ses Sous-traitants ultérieurs et qu’en aucun cas le Sous-traitant ne soit tenu de divulguer des informations d’autres clients ; (iv) le Responsable du traitement préservera la confidentialité des informations qui lui sont divulguées au cours de l’audit à l’égard des tiers, à l’exception de tout tiers participant à l’audit avec le consentement du Sous-traitant comme décrit ci-dessous ; (v) l’audit sera effectué sous réserve des restrictions raisonnables, en matière de sécurité, du Sous-traitant ; et (vi) le Responsable du traitement reconnaît que le Sous-traitant peut exiger que certains journaux, politiques, dossiers ou autres documents soient examinés sur site en raison de leur nature confidentielle et que l’auditeur du Responsable du traitement ne soit pas autorisé à les copier. Nonobstant ce qui précède, aucun tiers ne pourra participer à un audit à moins que le Responsable du traitement n’obtienne le consentement préalable du Sous-traitant (qui ne doit pas être refusé sans motif valable) et à condition que le Responsable du traitement comprenne que le Sous-traitant ne consentira pas à la participation de tous tiers qui propose des services ou des produits qui concurrencent ceux du Sous-traitant.
1.5. Traitement ultérieur des Données à caractère personnel.
Le Sous-traitant pourra traiter les Données à caractère personnel du Responsable du traitement obtenues dans le cadre des prestations de services : (i) pour le compte du Responsable du traitement et conformément au Contrat ; (ii) pour désigner un sous-traitant ultérieur lorsque ce sous-traitant ultérieur est tenu de fournir les services qui font l’objet du Contrat ; (iii) pour un usage interne afin de développer et d’améliorer les services de Willis Towers Watson ; (iv) pour détecter les incidents de sécurité des données, ou assurer une protection contre les activités frauduleuses ou illégales ; (v) si nécessaire pour se conformer aux lois en vigueur ; (vi) sous réserve des dispositions de la clause 1.8 ci-dessous, pour répondre à une demande dans le cadre d’une enquête civile, pénale ou réglementaire ; et (vii) pour exercer ou défendre des droits en justice. Le Responsable du traitement reconnaît que le Sous-traitant peut rendre anonymes les Données à caractère personnel afin de produire des rapports agrégés et améliorer la qualité des services fournis au Responsable du traitement.
1.6. Mesures de sécurité.
Le Sous-traitant maintiendra un programme écrit concernant la sécurité des informations contenant des mesures de protection des données à caractère personnel, techniques, physiques et organisationnelles appropriées afin de protéger lesdites données contre les menaces anticipées ou les dangers pour leur sécurité, leur confidentialité ou leur intégrité et, compte tenu de l’évolution des technologies, le coût de mise en œuvre et la nature, le contexte du champ d’application et les finalités du Traitement, le Sous-traitant mettra en œuvre les mesures de sécurité et de confidentialité techniques et organisationnelles appropriées (notamment la pseudonymisation et/ou l’anonymisation des Données à caractère personnel, le cas échéant, en tenant compte de la nature du Traitement) nécessaires pour se protéger contre le Traitement non autorisé ou illégal des Données à caractère personnel et contre la perte ou la destruction accidentelle des données, ou des dommages causés aux Données à caractère personnel, en tenant compte du préjudice qui pourrait résulter du Traitement non autorisé ou illégal ou de la perte accidentelle, destruction ou dommage desdites données. Ce programme écrit de sécurité des informations ne sera pas modifié si ces modifications diminuent le niveau de protection des Données à caractère personnel.
1.7. Incident de sécurité.
Le Sous-traitant informera sans retard injustifié le Responsable du traitement chaque fois qu’il a connaissance d’une violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation non autorisée ou un accès accidentel ou illégal aux Données à caractère personnel traitées par le Sous-traitant dans le cadre du présent Accord (« Incident de sécurité »). Le Sous-traitant enquêtera sur l’Incident de sécurité et prendra les mesures nécessaires pour éliminer ou contenir les conséquences de l’Incident de sécurité et tenir le Responsable du traitement informé de l’évolution de l’Incident de sécurité et concernant toute question liée.
1.8. Notification des demandes d’accès ou des réclamations.
Le Sous-traitant informera rapidement le Responsable du traitement de toute demande en provenance d’une autorité chargée de l’application de la loi concernant les Données à caractère personnel traitées en vertu du présent Contrat, sous réserve que la loi n’interdise pas une telle information. Le Sous-traitant ne se conformera pas au demande de divulgation de Données à caractère personnel sans l’autorisation écrite du Responsable du traitement, à moins qu’il ne soit obligé de le faire en vertu de la loi, d’une décision de justice ou de tout autre mécanisme légalement contraignant.
1.9. Restitution ou suppression.
Le Responsable du traitement peut demander au Sous-traitant de supprimer ou de renvoyer les Données à caractère personnel après la résiliation ou l’expiration du Contrat. Le Sous-traitant se conformera aux instructions du Responsable du traitement et lui confirmera, à sa demande, la suppression des données. Le Sous-traitant sera néanmoins autorisé à conserver les données nécessaires pour répondre à ses obligations légales ou règlementaires, pour défendre ses droits en justice, ou en ce qui concerne les supports de sauvegarde et les Données à caractère personnel archivées pour lesquels la suppression sélective des fichiers n’est pas possible, à condition que le Sous-traitant continue de se conformer aux conditions pertinentes du présent Accord concernant toute Donnée à caractère personnel conservée et sous réserve qu’il ne traite pas les Données à caractère personnel conservées pour d’autres finalités.
1.10. Sous-traitance ultérieure.
Le Responsable du traitement comprend et autorise par les présentes le Sous-traitant à solliciter des sous-traitants ultérieurs pour les besoins du Contrat et comme décrit dans l’annexe 1 « Description du traitement », sous réserve que le Sous-traitant (i) demeure responsable de l’exécution de ses obligations en vertu du présent Accord, (ii) engage les sous-traitants ultérieurs conformément aux Lois sur la protection des données (le cas échéant), et (iii) s’assure qu’il conclut des accords écrits et légalement contraignants avec lesdits sous-traitants ultérieurs contenant des obligations au moins aussi strictes que celles prévues aux présentes. Le Sous-traitant est expressément autorisé à solliciter les sous-traitants ultérieurs nécessaires pour fournir les services au Responsable du traitement et fournira une liste des sous-traitants ultérieurs sur demande.
Le Sous-traitant peut modifier ou ajouter des sous-traitants ultérieurs de temps en temps sous réserve d’en informer au préalable le Responsable du traitement afin de lui permettre de s’opposer, pour des motifs légitimes et dans un délai de quatorze (14) jours à compter de cette information, à la modification proposée.
1.11. Transferts des données.
Le Responsable du traitement confirme que le Sous-traitant peut transférer des Données à caractère personnel à ses sociétés affiliées et sous-traitants ultérieurs à l’international, y compris en dehors du Royaume-Uni et de l’Espace économique européen, à condition de s’assurer que ces transferts soient effectués conformément à la règlementation applicable, notamment sous réserve de la mise en œuvre de mesures de protection appropriées permettant d’assurer un niveau équivalent de protection des Données à caractère personnel et des protections contractuelles appropriées, comme imposées par la règlementation applicable, l’autorité de contrôle concernée ou le régulateur. Il est précisé que lorsque le Sous-traitant transfère les données dans le cadre de la fourniture des services, à ses sociétés affiliées ou à des sous-traitants ultérieurs en dehors du Royaume-Uni ou de l’Espace économique européen, ces transferts sont encadrés par l’addendum aux clauses contractuelles types (portant sur le transfert des données du Royaume-Uni vers un pays tiers) et/ou les clauses contractuelles types de l’UE.
Annexe 1: Description du traitement des données à caractère personnel
1. Objet, nature et finalité
Les données à caractère personnel seront traitées (notamment collectées, organisées et analysées) uniquement lorsque cela est nécessaire pour faciliter la fourniture des services objet du Contrat.
2. Durée du traitement des données à caractère personnel
Le Sous-traitant traitera les données à caractère personnel le temps nécessaire à la fourniture des services, objet du Contrat, au Responsable du traitement et conservera celles-ci, après cette date, en archivage conformément aux stipulations convenues dans le Contrat et cet Accord.
3. Catégories de Personnes concernées
Les personnes concernées sont notamment les personnes désignées dans une police ou un régime au titre desquels le Sous-traitant s’engage à fournir ses services et/ou les personnes qui sont bénéficiaires desdits polices ou régimes ou ont présenté des demandes d’indemnisation à ce titre ou sont impliquées d’une quelconque manière dans le cadre de ces polices ou régimes. Généralement, les personnes concernées sont : (1) les employés passés, actuels ou futurs, les contractuels ou autres collaborateurs du Responsable du traitement ou les membres ou bénéficiaires de plans de retraite ou de pension dont le Responsable du traitement est responsable (« les Travailleurs »), et/ou les membres de leur famille, représentants ou autres personnes liées aux Travailleurs ; (2) les clients passés, actuels ou futurs du Client, et/ou leurs employés ou d’autres personnes liées à eux, et/ou les membres de leur famille, leurs représentants ou d’autres personnes liées ; et/ou (3) les plaignants ou demandeurs passés, actuels ou futurs dans le cadre des polices d’assurance, et/ou les membres de leur famille, leurs représentants ou d’autres personnes liées à eux.
4. Types de données à caractère personnel
Les services fournis dans le cadre du Contrat peuvent impliquer le traitement des catégories de données à caractère personnel suivantes :
- noms et coordonnées ;
- les informations démographiques (comme le sexe, l’âge, la date de naissance, le statut marital, la nationalité, la formation/le parcours professionnel, les diplômes ou compétences professionnelles, les données professionnelles, les passions, la composition familiale et les personnes à charge) ;
- les documents d’identité et les informations liées comme le numéro de passeport et le matricule salarié ;
- les données économiques et financières comme les numéros de compte bancaire et les informations relatives aux transactions ;
- les informations liées à la fourniture des services, comme les données relatives à la police et les déclarations, notamment les informations liées aux sinistres donnant lieu aux déclarations et les pertes liées ;
- enregistrement des communications ; et
- les données relatives aux ressources humaines, comme l’intitulé de poste et les fonctions, les avantages et les informations relatives à la rémunération, les informations relatives aux personnes à charge/bénéficiaires ; les informations sur la formation, les diplômes ou compétences professionnelles, les contacts en cas d’urgence ; et des informations sur la gestion des performances.
5. Types de catégories particulières de données visées à l’article 9 du Règlement
Les données à caractère personnel traitées par le Responsable du traitement peuvent comporter les catégories particulières de données à caractère personnel suivantes : caractéristiques personnelles et situations sensibles telles que l’origine raciale ou ethnique, la vie sexuelle ou l’orientation sexuelle, la santé mentale et physique, les informations génétiques, les détails des blessures, les médicaments/traitements reçus, les convictions politiques ou croyances religieuses et l’appartenance syndicale.