LEPAYA – Accord relatif au traitement des données personnelles

Dernière mise à jour : décembre 2020

Bienvenue chez Lepaya (« Lepaya », « LTD Group BV », « LTD NL BV » ou « LTD NL », ou l’une de ses filiales à part entière). Lepaya propose des logiciels et des services permettant d’offrir des parcours d’apprentissage aux employés de ses clients, et de mesurer la progression de ces parcours. Comme indiqué dans notre Politique de confidentialité (https://lepaya.com/fr/privacy/), Lepaya exerce cette activité au titre de son rôle (« Sous-traitant ») défini dans le cadre du RGPD, le client étant le Responsable du traitement des données (« Responsable du traitement »). Le présent Accord relatif au traitement des données (« Accord ») s’applique aux contrats entre Lepaya et ses clients, à moins qu’un Accord spécifique, ou des exceptions ou ajouts spécifiques à l’Accord ci-dessous, ait été convenu par écrit entre Lepaya et le client.

Dans le présent Accord, les « Activités de traitement » désignent toute action ou ensemble d’actions portant sur des données à caractère personnel (les « Données ») , y compris, en tout état de cause, la collecte, l’enregistrement, l’organisation, la conservation, la mise à jour, la modification, l’extraction, la consultation, l’utilisation, la mise à disposition par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la mise en relation, ainsi que la protection, l’effacement ou la destruction des données dans le cadre de la mission confiée par le responsable du traitement à Lepaya lui permettant de mettre à disposition son application (« Application ») au profit de la numérisation du parcours d’apprentissage des employés du Responsable du traitement.

Dans le présent Accord, les « Données » désignent les données personnelles telles que : le prénom, le nom, l’adresse électronique, la fonction, l’ID de l’appareil, les résultats des tests, le numéro de téléphone.

1. Mission

  • Le Responsable du traitement a conclu un contrat avec Lepaya afin de renforcer son offre de formation/enseignement. Cela conduit à la réalisation d’Activités de traitement, telles que décrites dans le contrat entre le Responsable du traitement et LTD, ainsi que dans le présent Accord relatif au traitement de données. En cas de conflit entre le contrat de service et le présent Accord, le contenu du présent Accord prévaudra.
  • Lepaya n’est pas autorisée à effectuer d’actions relatives aux Données autrement que sur la base d’instructions écrites du Responsable du traitement. Lepaya ne traitera les Données qu’aux fins énoncées dans le contrat et Lepaya garantit qu’elle n’exploitera, n’utilisera ou ne traitera jamais les données à ses propres fins (commerciales). Si une loi de l’Union ou d’un État membre applicable à Lepaya l’oblige au traitement desdites données, Lepaya avisera le Responsable du traitement de cette disposition légale avant le traitement, à moins que cette législation n’interdise toute notification pour des raisons importantes d’intérêt public.
  • Lepaya peut sous-traiter les Activités de traitement visées à l’article 1.1 à des tiers, y compris à des sociétés affiliées ou des sous-traitants. Parmi les sous-traitants figurent Auth0 à des fins d’authentification des utilisateurs, et Amazon Web Services pour l’hébergement de notre plateforme. La liste complète des sous-traitants peut être consultée ici. Lepaya s’assurera que ces tiers sont liés par tout ce qui est stipulé dans cet accord. Lepaya reste responsable de toute action et/ou omission de la part des tiers impliqués.
  • Lepaya veillera à ce que seuls les employés ou autres sous-traitants de Lepaya qui sont tenus de traiter les Données aient accès à ces dernières. Lepaya donnera des instructions adéquates à ces employés ou autres subordonnés de Lepaya et s’assurera qu’ils sont informés des responsabilités et obligations en vertu du présent accord et des lois et règlements applicables.
  • Lepaya mettra à disposition, à la demande du Responsable du traitement, les informations nécessaires afin de démontrer le respect du présent Accord de traitement des données ainsi que le respect des lois et règlements applicables en matière de protection des données.
  • À la demande du Responsable du traitement, Lepaya accordera à celui-ci l’accès aux Données et répondra à ses questions et demandes concernant le traitement des Données. Lepaya s’engage également, dans un délai de deux (2) semaines suivant la demande du Responsable du traitement à :
    • a) fournir au Responsable du traitement une copie de toutes les Données ou des Données concernant une personne spécifique qui sont en sa possession ou sous son contrôle ainsi qu’une copie de tous les documents dans lesquels ces Données sont incluses, et un aperçu de tous les systèmes comprenant ces Données et de tout autre traitement de ces Données qui est effectué par Lepaya, dans un format raisonnablement demandé par le Responsable du traitement ;
    • b) supprimer, bloquer ou corriger certaines Données conformément aux instructions du Responsable du traitement ; et/ou
    • c) consigner tout non-respect des demandes spécifiques d’effacement, de blocage ou de correction et les raisons de ce non-respect.
  • Lepaya informera le Responsable du traitement dans un délai de soixante-douze (72) heures si une autorité compétente a fait une demande juridiquement contraignante de fourniture des Données, à moins que Lepaya ne soit pas autorisée à en informer le Responsable du traitement, par exemple en cas d’injonction pénale pour préserver la confidentialité de toute enquête menée par les forces de l’ordre.
  • Lepaya informera le Responsable du traitement dans un délai de soixante-douze (72) heures si elle reçoit une demande d’une personne concernée relative aux Données, y compris, mais sans s’y limiter, une demande d’accès, de rectification, d’effacement ou de limitation du traitement, de portabilité des données, et/ou une objection au traitement. Lepaya aidera le Responsable du traitement à s’acquitter de son obligation de répondre aux demandes d’exercice des droits des personnes concernées au moyen de mesures techniques et organisationnelles appropriées.
  • Lepaya informera le Responsable du traitement si, à tout moment, elle n’est pas (plus) en mesure de remplir ses obligations en vertu du présent Accord de traitement relatif au données ou si elle prévoit qu’elle ne sera pas (plus) en mesure de le faire dans un avenir proche. Le Responsable du traitement peut alors décider (i) de cesser de fournir des Données à Lepaya avec effet immédiat, (ii) de demander à Lepaya de suspendre les Activités de traitement jusqu’à ce que Lepaya soit à nouveau en mesure de remplir ses obligations en vertu du présent Accord et/ou (iii) de résilier le présent Accord avec effet immédiat.
  • Lepaya respectera une stricte confidentialité à l’égard des Données et garantira que les personnes autorisées à traiter les Données se sont engagées à respecter la confidentialité ou sont liées par une obligation légale de confidentialité appropriée. Lepaya s’assurera également qu’elle a pris des mesures pour garantir que pas plus de personnes n’ont accès aux Données que nécessaire, et que toute personne physique agissant sous l’autorité de Lepaya et ayant accès aux Données, ne les utilise que dans le cadre du traitement ordonné par le Responsable du traitement, à moins que la personne physique ne soit tenue par le droit de l’Union ou des États membres de procéder au traitement.
  • Lepaya informera le Responsable du traitement si, de l’avis de Lepaya, une instruction du Responsable du traitement est en conflit avec les lois et/ou réglementations applicables, y compris, mais sans s’y limiter, les lois et réglementations applicables en matière de protection des données, ou si un changement à venir dans les lois et réglementations applicables est susceptible d’avoir un effet négatif sur la manière dont Lepaya sera en mesure de remplir ses obligations en vertu du présent accord.
  • Lepaya informera le Responsable du traitement par écrit, dans un délai de quarante-huit (48) heures après en avoir pris connaissance, de toute violation présumée ou réelle en rapport avec des données personnelles (une « violation des données »), y compris, mais sans s’y limiter, de tout accès, divulgation, utilisation, perte, dommage ou destruction non autorisés, réels ou présumés, des données par un employé, un contractant ou un agent en fonction ou ancien de Lepaya ou par toute autre personne ou tiers. Lepaya fournira au Responsable du traitement toute l’assistance nécessaire pour remplir les obligations du Responsable du traitement à cet égard, en l’aidant, si demandé, à le signaler à l’autorité de contrôle et / ou à la ou aux personnes concernées.
  • Lepaya assistera et soutiendra en temps utile le Responsable du traitement en cas d’enquête menée par une autorité de contrôle, si et dans la mesure où cette enquête est liée de quelque manière que ce soit au traitement des Données tel que visé dans le présent Accord relatif au traitement des données.
  • Lepaya fournira à tout moment une assistance en temps utile au Responsable du traitement concernant l’exécution des obligations qui lui incombent en vertu des articles 32 à 36 du RGDP, y compris, mais sans s’y limiter, les obligations du Responsable du traitement en ce qui concerne la sécurité du traitement et la réalisation d’évaluations d’impact sur la protection des données.

2. Législation et réglementation pertinentes

  • Lepaya se conformera à toutes les obligations qui lui incombent en vertu du présent accord ainsi qu’à toutes les lois et réglementations applicables, y compris, mais sans s’y limiter, la Loi sur la protection des données à caractère personnel (« Wbp ») lors de l’exécution des Activités de traitement et au Règlement général sur la protection des données (« RGPD »), et accepte par la présente toutes les obligations (futures) qui en découleront.

3. Sécurité

  • Lepaya prendra les mesures techniques et organisationnelles adéquates pour sécuriser les Données et appliquera un niveau de sécurité garantissant la confidentialité et la protection des Données contre toute perte, modification, destruction, divulgation ou accès, ainsi que contre toute autre forme de traitement illicite des Données. Compte tenu des possibilités techniques les plus récentes et du coût de leur mise en œuvre, ces mesures garantiront un degré de sécurité approprié, eu égard aux risques liés au traitement et à la nature des Données à protéger.

4. Traitement en dehors de l’EEE

  • Lepaya ne traitera pas ou ne fera pas traiter les Données en dehors de l’Espace économique européen sans le consentement écrit préalable du Responsable du traitement.

5. Durée et résiliation

  • Le présent accord entrera en vigueur à la même date que l’entrée en vigueur de tout contrat entre Lepaya et le client, et restera valable pendant un (1) an après la fin de ce contrat.
  • Chacune des parties peut résilier prématurément le présent accord en donnant un avis de résiliation par écrit en respectant un délai de préavis de trois (3) mois. La partie qui résilie ne doit à l’autre partie aucune indemnité liée à la résiliation, à l’exception des frais prévus dans le contrat commercial entre Lepaya et le client.
  • Si l’un des cas suivants se produit pour une des parties, le présent accord sera résilié avec effet immédiat et de plein droit, sans qu’une mise en demeure soit nécessaire et sans que les parties se doivent une quelconque indemnité :
    • La (société de cette) partie a cessé d’exister ou a été dissoute ;
    • La partie a été déclarée en faillite ou s’est vu accorder un moratoire sur ses paiements, de manière temporaire ou non ;
    • La partie a demandé une suspension des paiements ou cette partie se voit accorder une suspension des paiements ; et/ou
    • La partie est placée sous administration.

6. Conséquences de la résiliation

  • Si le présent accord prend fin, si le Responsable du traitement demande la cessation des Activités de traitement, si la période de conservation des Données de deux (2) ans a expiré, ou si la période de conservation des Données d’un (1) an a expiré, Lepaya cessera les activités de traitement des Données avec effet immédiat et, elle retournera au Responsable du traitement, de son propre chef, sans délai, mais au plus tard dans un délai d’une (1) semaine après l’expiration de la période de conservation, tous les documents, disquettes informatiques et autres supports d’information, y compris les copies de ceux-ci, contenant des Données, que le contenu de ces supports d’information ait été créé par le Sous-traitant, par le Responsable du traitement ou par un tiers. Dans la mesure où les Données sont stockées dans un système informatique de Lepaya ou sont enregistrées sous une autre forme qui ne peut raisonnablement être donnée à une autre partie, Lepaya détruira ces Données, sous réserve d’autres instructions du Responsable du traitement et à moins que Lepaya ne soit obligée de conserver les Données en vertu d’une loi de l’UE ou d’un État membre.

7. Droit applicable/juridiction

  • Le présent accord est exclusivement soumis au droit néerlandais. L’applicabilité de la Convention de Vienne portant sur les ventes est expressément exclue.
    Tous les litiges découlant du présent accord, y compris les litiges concernant son existence et sa validité, seront tranchés par le tribunal compétent d’Amsterdam.

8. Divers

  • Le présent accord n’est transférable par aucune des parties, sauf avec le consentement écrit préalable de l’autre partie.
  • Le présent accord ne peut être modifié ou complété que par écrit.

9. Des questions ?
Pour toute question concernant le présent Accord, vous pouvez nous contacter aux coordonnées suivantes :

LTD NL BV (« Lepaya »)
Nieuwe Looiersdwarsstraat 9
1017 TZ, Amsterdam
Les Pays-Bas
Numéro délivré par la Chambre de commerce (Kamer van Koophandel) : 69556318
Numéro de TVA : NL 857917171B01
E-mail : info@lepaya.com