Mentions légales

Accord sur la protection des données personnelles

Merci de cliquer sur le lien ci-dessous :
Accord sur la protection des données personnelles - 23 septembre 2025

SOFYX - Accord sur la Protection des données personnelles
Version au 23.09.2025

Dans le cadre de la réalisation du Contrat entre SOFYX et le Client, la présente Annexe a pour objet de définir les conditions dans lesquelles les Parties traiteront les données à caractère personnel qui leur seront communiquées. SOFYX et le Client (ci-après « les Parties ») s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier :
‍
- La loi Informatique et Liberté du 6 janvier 1978,
- Le Règlement Européen sur les Données Personnelles (RGPD.) du 23 mai 2018
- La loi de transposition du Règlement Européen sur la Protection des Données Personnelles(RGPD) du 20 juin 2018.

Les termes utilisés dans cette Annexe ont le sens qui leur sont conférés par le RGPD ou sont définis dans le Contrat qui lie les parties et auquel cette Annexe est jointe. En cas de contradiction entre l’Annexe et le Contrat, l’Annexe prévaut.

Article 1 – Définitions
Dans le cadre de la présente Annexe, les termes ci-dessous ont la signification qui leur est attribuée au sens du RGPD (Article 4) :
Consentement : « de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » ;

Responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un Étatmembre » ;

Sous-traitant : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » ;

Traitement : « toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » ;

Violation de données à caractère personnel : « une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Les termes suivants sont également employés :

Client : désigne la personne morale cocontractante de SOFYX, intervenant dans le cadre de son activité professionnelle;

Compte : compte du Client, permettant d’utiliser la Solution et d’accéder aux Services, accessible par son identifiant ainsi que son mot de passe, et contenant ses informations personnelles ainsi que son historique. Il peut s’agir d’un compte administrateur ou utilisateur, dont les fonctionnalités varient et sont décrites au sein de la Documentation;

Contrat : désigne le Contrat liant la Société SOFYX au Client permettant aux Utilisateurs d’accéder à la Solution et aux Services;

Données  : désignent les informations, publications et, de manière générale, les données du Client importées sur la Solution et faisant l’objet des Services et pouvant être consultées uniquement par les Utilisateurs ;

Dossier : désigne un dossier créé par le Client sur la Solution, relativement à l’un de ses clients au titre de son activité professionnelle;

SaaS : (Software as a Service) désigne le mode de mise à disposition à distance des fonctionnalités des Services et de la Solution utilisant les technologies Internet et accessible par l’intermédiaire du réseau Internet ;

Services : désigne les Services fournis par SOFYX au Client et aux Utilisateurs via la Solution tels que définis dans les présentes Conditions; SOFYX ou le Prestataire : désigne la Société SOFYX, SAS au capital de 15.000 €, immatriculée au RCS de Paris sous le numéro 932 422 744, dont le siège social est 97 rue Pelleport 75020 Paris, pouvant être contactée par mail à contact@sofyx.fr;

Solution : désigne la Solution SOFYX.IO accessible par le Client en mode SaaS, en fonction de l’Abonnement souscrit par le Client ;

Utilisateur : désigne toute personne physique habilitée par le Client pouvant avoir accès aux Services età la Solution, dans les limites prévues par les présentes, notamment par les Conditions Générales d’Utilisation.

Article 2 – Rôle des Parties
Le Client met à disposition de SOFYX et autorise ce dernier à traiter aux fins de réalisation des Services dans le cadre du Contrat, des données, fichiers, etc. de quelque nature que ce soit et sous quelque forme que ce soit, constituant des Données personnelles.

Conformément à la règlementation applicable :
- Le Client agit en qualité de Responsable de traitement des Données personnelles traitées par SOFYX pour le compte du Client
- SOFYX agit pour le compte du Client en seule qualité de Sous-traitant pour les traitements indiqués en article 5, conformément au présent Accord et sur seules instructions du Responsable de Traitement ;
- SOFYX agit en qualité de Responsable de traitement pour certains traitements dont il détermine seul la finalité et indiqués en article 5;
- Chaque Partie agit en qualité de Responsable de traitement des Données personnelles de l’autre Partie à des fins de suivi et d’exécution du Contrat.

Article 3 – Obligations du Responsable de traitement
Le responsable de traitement s’engage à fournir à SOFYX toutes les instructions nécessaires au traitement des données personnelles et s’assurer au préalable de la licéité du traitement des Données personnelles. Il s’engage à fournir l’information aux sujets concernés par les opérations de traitement et assurer aux Personnes concernées (5.1) la possibilité d’exercer leurs droits sur leurs données personnelles.

Le Responsable de traitement s’engage à informer ses propres clients, prospects, salariés et tout sujet dont les données personnelles sont transmises au Sous-traitant, du traitement de leurs données par le sous-traitant et doit d’assurer de la légalité de toute collecte ou traitement de données. Le Clients ’engage à informer ses propres sujets dont les données sont traitées aux fins des présentes que les données personnelles de paiement feront l’objet d’un traitement dans les conditions ci-après et à respecter les règles applicables en matière de données personnelles, en tant que responsable de traitement. En cas de non-respect de cette obligation d’information préalable et de non-recueil du consentement préalable par le Responsable de traitement, ce dernier s’engage expressément à dégager la responsabilité de SOFYX.

Article 4 – Obligations du Sous-traitant
‍
4.1 Traitement des Données du Client pour le compte du Client
Les Données du Responsable de traitement (ci-après « Données personnelles du Client ») seront collectées et traitées par le Sous-traitant lors de l’exécution des Prestations indiquées au Contrat, aux seules fins de l’exécution des Prestations et dans le cadre des finalités indiquées ci-après à l’article 5.

SOFYX s’interdit ainsi toute utilisation ou traitement des Données personnelles du Client non conforme aux instructions écrites du Client et/ou étranger(ère) à l’exécution des Services. Le Prestataire s’engage en particulier à ne faire aucun usage, y compris commercial, pour son propre compte ou pour le compte de tiers, des Données personnelles du Client traitées à l’occasion de l’exécution des Services pour le compte du Client. Si SOFYX devait traiter des données personnelles pour des finalités qui lui sont propres, il agirait dès lors en qualité de responsable de traitement de ces données.

Ces Données personnelles constituent des informations confidentielles, qui seront traitées comme telles par le Sous-traitant. Il s’assurera que les personnes autorisées à traiter les Données personnelles en vertu du présent Contrat s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité et reçoivent la formation nécessaire en matière de protection des Données Personnelles.

Le Sous-traitant garantit qu’il dispose de compétences techniques et organisationnelles nécessaires afin d’exécuter les Services dans le respect des obligations fixées dans la présente Annexe et tout en assurant la protection des Données Personnelles du Client en conformité avec la Réglementation applicable.

Le Sous-traitant devra conseiller et assister le Responsable de traitement afin de garantir la conformité à la Réglementation application des traitements des Données personnelles du Client réalisés dans le cadre des Services et de lui permettre de respecter ses propres obligations imposées par la Réglementation applicable.

Chaque Partie garantit et indemnise l’autre Partie contre tout recours d’un tiers du fait d’un manquement par la Partie responsable à ses obligations contractuelles ou légales en matière de protection des données à caractère personnel, les limites de responsabilité prévues au sein du Contrat restant toutefois applicables.

Le Prestataire communique au Client le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.

4.2 Instructions
Le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le responsable du traitement pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction donnée par le responsable du traitement constitue une violation du règlement (UE) 2016/679 / du règlement (UE) 2018/1725 ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données.

Le Sous-traitant s’engage à informer le Responsable de traitement dans les plus brefs délais de tout événement affectant le traitement des Données personnelles du Client ou de toute modification ou changement le concernant pouvant impacter ledit traitement.

Au terme de l’exécution des Services, le Sous-traitant s’engage à restituer ou à détruire, selon les instructions et dans les délais indiqués par le Responsable de traitement, sauf s’il est tenu de les conserver pour respecter ses obligations légales et/ou réglementaires, l’ensemble des Données personnelles du Client traitées pour le compte du Client, de manière automatisée ou manuelle.

4.3 Données sensibles
Si le traitement porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ou des données relatives aux condamnations pénales et aux infractions («données sensibles»), le sous-traitant applique des limitations spécifiques et/ou des garanties supplémentaires.

Article 5 – Description des traitements
‍
5.1 Catégories de personnes concernées dont les données sont traitées
Le Responsable de traitement peut soumettre des Données à caractère personnel au Sous-traitant, pouvant inclure les catégories suivantes de personnes :
‍
5.1.1 Données traitées par le Sous-traitant pour le compte du Responsable de traitement
Catégorie
Personnes
Catégorie 1
Utilisateurs et/ou salariés du Responsable de traitement utilisant les Services et la Solution de SOFYX et selon les instructions du Responsable de traitement chargé de créer les comptes Utilisateurs.
Catégorie 2

Toute personne dont les données personnelles sont incluses dans les documents et Données du Client et notamment dans les Dossiers et faisant l’objet de l’exécution des Services du Prestataire et notamment de l’utilisation par le Client de la Solution.

Il est spécifiquement convenu entre les Parties que la Solution permet au Client de paramétrer des niveaux de confidentialité afin de limiter l’accès au Sous-traitant aux données traitées via la Solution. Le Client s’engage donc à paramétrer – dès l’installation de la Solution sur son environnement informatique – des niveaux de confidentialité suffisants afin de garantir la confidentialité de ses propres données et notamment des données particulièrement sensibles ou faisant l’objet d’une confidentialité spécifique.

Le Responsable de traitement s’engage, avant d’utiliser la Solution, à avoir informé les personnes concernées – dont les données personnelles sont traitées via la Solution – du traitement de leur donnée par la Solution et à avoir, le cas échéant, recueilli leur consentement pour pouvoir justifier du traitement de leurs données par le Sous-traitant sur l’une des bases légales prévues à l’article 6 du Règlement Général de Protection des Données.

Dans le cas contraire, le Responsable de traitement s’engage à dégager spécifiquement la responsabilité du Sous-traitant pour tout traitement non autorisé et non conforme aux obligations réglementaires du Responsable de traitement.


5.1.2 Données traitées par chaque Partie relativement aux données de l’autre Partie
Catégorie
Personnes
Catégorie 3
Employés, agents, conseillers ou travailleurs indépendants de chaque Partie (personnes physiques) ;

5.2 Catégories de données à caractère personnel traitées
Le Responsable de traitement peut soumettre des Données à caractère personnel au Sous-traitant, pouvant inclure, mais sans s’y limiter, les catégories suivantes de données à caractère personnel :
Catégorie
Données
Catégorie 1
  • DonnĂ©es d’identitĂ©

Nom, prénom, mail professionnel, poste, taux horaire, n° de téléphone professionnel, photo de profil (optionnel) à des fins de création et gestion du compte utilisateur.

  • DonnĂ©es de connexion

IP utilisé, log de connexion (user, horodatage), traceurs, cookies, à des fins de contrôle de la qualité du service.

Catégorie 2

Toute donnée fournie par le Client et les Utilisateurs via la Solution et contenue dans les Dossiers. Il est de la seule responsabilité du Client de mettre à jour les données. Le Client s’engage à ne pas importer de données sensibles ou obsolètes sur la Solution. Il est de la responsabilité du Client de paramétrer ses accès Utilisateurs en fonction du degré de confidentialité de ses Données.

Catégorie 3
  • DonnĂ©es d’identitĂ©

Nom, prénom, mail et n° de téléphone à des fins de suivi du contrat et de gestion de la facturation.

  • DonnĂ©es de facturation

RIB, coordonnées de paiement à des fins de gestion de la facturation et d’émission des paiements.

5.3 Nature et finalités du Traitement
‍
5.3.1 Traitements opérés par SOFYX en qualité de Responsable de traitement
Catégorie
Finalités des traitements
Catégorie 1

Connexion et inscription sur la Solution

  • Valider la crĂ©ation du compte Utilisateur sur la Solution ;
  • Lui fournir les services liĂ©s Ă  son compte et les Services de la Solution ;
  • Fournir la maintenance et l’assistance Utilisateurs ;
  • GĂ©rer les demandes de fermeture de compte ;
  • Adresser Ă  l’Utilisateur des courriels liĂ©s aux services de la Solution et Ă  l’utilisation de son compte.

Traitements opérés : collecte, enregistrement, conservation, organisation, structuration.

Support et assistance

Via la Solution, tout Utilisateur bénéficie d’un service de support et d’assistance. À cette fin, son nom, prénom et courriel sont exploités ainsi que l’IP utilisé, le log de connexion (user, horodatage) et les actions effectuées par l’Utilisateur sur son compte.

Les données personnelles sont traitées aux fins de :

  • Valider la demande d’assistance ;
Catégorie 2

Contrôle de la qualité du Service

  • Les donnĂ©es suivantes des Utilisateurs sont utilisĂ©es Ă  des fins de contrĂ´le de la qualitĂ© du Service : IP utilisĂ©e, LOG de connexion (user, horodatage), traceurs, cookies).

    Traitements opérés : collecte, enregistrement, utilisation.


5.3.2 Traitements opérés par SOFYX en qualité de Sous-traitant
Le traitement des Données personnelles intervient dans le cadre de l’exécution des Services par SOFYX. Nature des opérations de traitement par le Sous-traitant :
Catégorie
Finalités des traitements
Catégorie 1

Au titre du contrat liant l’Éditeur et SOFYX, les données exploitées sont les suivantes : Nom, prénom, courriel, mot de passe.

Les données personnelles sont traitées aux fins de :

  • Fourniture de la Solution au Responsable de traitement ;
  • Fourniture d’un Back Office au Responsable de traitement ;
  • Permettre au Responsable de traitement de gĂ©rer son activitĂ© et ses Dossiers ;
  • Fournir une assistance aux utilisateurs dans l’utilisation de la Solution et du Back Office ;
  • Support et maintenance de la Solution et du Back Office.

Traitements opérés : collecte, enregistrement, conservation, organisation, structuration.

Catégorie 2

Traitements liés au fonctionnement de la Solution

  • Fourniture de la Solution au Responsable de traitement ;
  • Permettre au Responsable de traitement de bĂ©nĂ©ficier des services de la Solution ;
  • Fournir une assistance aux utilisateurs dans l’utilisation de la Solution ;
  • Support et maintenance de la Solution.

Traitements opérés : organisation, structuration.

La base légale est l’Exécution d’un Contrat entre les Parties.

5.3.2 Traitements opérés par chaque Partie sur les données de l’autre Partie
Catégorie 3

Suivi et exécution du Contrat ; Gestion de la facturation, relance des impayés, gestion des litiges.

Traitements opérés : collecte, enregistrement, conservation, consultation, utilisation

La base légale est l’Exécution d’un Contrat entre les Parties.

En outre, le Client autorise SOFYX à lui adresser toute information commerciale sur les services proposés par SOFYX (par courriel, téléphone ou tout autre moyen employé par le Prestataire). Le Client peut à tout moment retirer son consentement en adressant une demande au responsable de traitement de SOFYX.

Tout autre traitement ou tout autre finalité ne saurait rentrer dans le champ d’application de cette annexe et chaque Partie dégagera la responsabilité de l’autre Partie pour tout litige lié à ces traitements tiers.

5.4 Durée du traitement et durée de conservation des données
Le sous-traitant procèdera au Traitement de Données à caractère personnel pour toute la durée du Contrat, sauf accord contraire entre les Parties, par écrit. Il est de la responsabilité du Client de mettre régulièrement à jour sa base de données et de supprimer toute donnée obsolète.

Les durées de conservation des données sont les suivantes :
Catégorie
Durée de conservation
Catégorie 1

Conservées tout le temps de l’exécution du Contrat puis supprimées dans un délai maximal de trente (30) jours après la fin du Contrat.

Conservées jusqu’à 2 ans après la fin de ce dernier, à des fins de gestion des litiges et de conservation des preuves.

Catégorie 2

Les données ne sont pas conservées par le Prestataire.

Catégorie 3

Conservées jusqu’à 5 ans après la fin du Contrat, à l’exception des données de facturation qui seront conservées jusqu’à dix ans.


En outre, chaque Partie est susceptible de conserver certaines données personnelles afin de remplir ses obligations légales ou réglementaires, de permettre l’exercice des droits des personnes. A l’expiration de la durée de conservation des données personnelles, celles-ci seront supprimées ou anonymisées.

Les données peuvent également être transmises par une Partie à des tiers et autorités compétentes pour répondre à des obligations légales, judiciaires, fiscales ou réglementaires.

Article 6 – Obligations du Sous-traitant

6.1 Obligations du Sous-traitant
Le sous-traitant dispose de l’autorisation générale du responsable du traitement pour ce qui est du recrutement de sous-traitants ultérieurs sur la base d’une liste convenue et après accord préalable, exprès et écrit du responsable de traitement. Le sous-traitant informe spécifiquement par écrit le responsable du traitement de tout projet de modification de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins dix jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s’opposer à ces changements avant le recrutement du ou des sous-traitants ultérieurs concernés. Le sous-traitant fournit au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

Lorsque le sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat qui impose au sous-traitant ultérieur, en substance, les mêmes obligations en matière de protection des données que celles imposées au sous-traitant en vertu des présentes clauses.

Il appartient à SOFYX de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, SOFYX demeure pleinement responsable devant le responsable de traitement de l’exécution par l’autre sous-traitant de ses obligations.

Le sous-traitant convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire selon laquelle— dans le cas où le sous-traitant a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable — le responsable du traitement a le droit de résilier le contrat conclu avec le sous-traitant ultérieur et de donner instruction au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.

Les données personnelles du Client pourront toutefois être fournies à toute autorité judiciaire, administrative ou règlementaire qui en ferait la demande en application d’une quelconque loi, réglementation ou décision judiciaire.

6.2 Liste des sous-traitants ultérieurs
En interne, les salariés de SOFYX ont accès aux données dans les conditions suivantes :
- Service IT de SOFYX : traite les données à des fins de maintenance et de support de la Solution. SOFYX se réserve également le droit de faire appel à des sous-traitants à des fins de maintenance de la Solution.
- Service commercial de SOFYX : traite les données à des fins de résolution de tout litige lié à l’exécution du Contrat.

Le Sous-traitant a recours aux sous-traitants ultérieurs suivants :
DĂ©nomination
Pays
Traitements opérés
LĂ©gislation applicable
STRIPE
1 Grand Canal Street Lower,
Grand Canal Dock, Dublin.
D02 H210, Ireland
Irlande
Paiement des abonnements
Loi Informatique et Libertés
Règlement Général de Protection des Données
SCALEWAY
11 bis rue Roquépine
75008 Paris
France
HĂ©bergeur de la Solution
Loi Informatique et Libertés
Règlement Général de Protection des Données
MAILGUN
États-Unis
Envoi de courriels aux utilisateurs
Privacy Shield
Décision d’adéquation de la Commission Européenne EU 2023/1795 du 10 juillet 2023
DOCUSEAL
États-Unis
Outil de signature Ă©lectronique
Privacy Shield
Décision d’adéquation de la Commission Européenne EU 2023/1795 du 10 juillet 2023
AIRCALL
11 rue Saint George
75009 Paris
France
Module de téléphonie IP
Loi Informatique et Libertés
Règlement Général de Protection des Données
3CX
États-Unis
Module de téléphonie IP
Privacy Shield
Décision d’adéquation de la Commission Européenne EU 2023/1795 du 10 juillet 2023
RINGOVER
50 bis rue Maurice Arnoux
92120 Montrouge
France
Module de téléphonie IP
Loi Informatique et Libertés
Règlement Général de Protection des Données

Article 7 – Transfert des données hors de l’Union Européenne
A l’exclusion des sous-traitants ultérieurs ci-dessus cités, les Parties déclarent et s’engagent à ne pas transférer les données personnelles en dehors de l’Union Européenne ou vers tout pays n’étant pas reconnu comme présentant un niveau de protection adéquat tel qu’entendu par la Commission Européenne, sans avoir pris les mesures légales et réglementaires applicables et notamment :
- Quand le tiers (sous-traitant ultérieur ou affilié de SOFYX est établi dans un pays tiers, signer les clauses contractuelles types sur le modèle le plus récent de la Commission Européenne ;
- Se conformer à toutes les obligations qui en découlent et fournir une copie des clauses à l’autre Partie ;
- Si la situation l’exige, à signer des Règles d’entreprise contraignantes (BCR) avec le tiers autorisé.

Tout transfert de données vers un pays tiers ou une organisation internationale par le sous-traitant n’est effectué que sur la base d’instructions documentées du responsable du traitement.

En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement.

Article 8 – Protection des Données personnelles et sécurité du traitement
Le sous-traitant met au moins en œuvre les mesures techniques et organisationnelles précisées ci-après, pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel). Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les personnes concernées.

Le sous-traitant n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Mesures prises par le Sous-traitant :
- Mesures de pseudonymisation et de chiffrement des données à caractère personnel
- Mesures de sauvegarde :- Mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement- Mesures assurant de disposer de moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
- Procédures visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ;- Mesures d’identification et d’autorisation de l’utilisateur
- Mesures de protection des données pendant la transmission- Mesures de protection des données pendant le stockage

Article 9 – Violation des Données personnelles
En cas de violation de données à caractère personnel, le sous-traitant coopère avec le responsable du traitement et lui prête assistance aux fins de la mise en conformité avec les obligations qui lui incombent en vertu de la règlementation applicable.

La Partie ayant identifié une violation de données personnelles devra notifier à l’autre Partie ladite violation dans un délai maximal de quarante-huit (48) heures à compter de la découverte de la violation.

Cette notification s’accompagnera de :
- Description et la nature de la violation, y compris si possible, les catégories et le nombre approximatif des Personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements des Données personnelles concernées,
- Les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ;
- Les catégories et le nombre approximatif de personnes concernées par la violation ;- Les conséquences probables de la violation de données personnelles ;
- Toute la documentation pertinente relative à la violation et permettant aux parties de prendre les mesures appropriées en vue d’avertir les sujets des données et de remédier aux conséquences éventuelles.

En cas de violation des données, les Parties procèderont à une enquête contradictoire en vue de déterminer la responsabilité de ladite violation. La partie responsable garantira l’autre partie contre toute action, réclamation, pertes et dommages subies par l’autre partie ou par un tiers relatif à cette violation de données.

En cas de violation de Données à caractère personnel, le Sous-traitant mettra en place ou, le cas échéant, assistera le Responsable de traitement dans la mise en place, sans que cela puisse donner lieu à facturation supplémentaire, des actions destinées à mettre fin à la violation, réparer les dommages qu’elle est susceptible d’avoir occasionnée et éviter qu’elle ne se reproduise.

Article 10 – Droits des Personnes concernées

10.1 Données des Parties
Au regard des dispositions légales de la Loi Informatiques et Libertés du 6 janvier 1978 et du Règlement Européen sur la Protection des Données (« RGPD »), chaque Partie dispose des Droits suivants :
‍
a. droit d'accès (article 15 RGPD) et de rectification (article 16 RGPD), de mise à jour, de complétude des données, droit de verrouillage ou d’effacement des données de la Partie à caractère personnel (article 17 du RGPD), lorsqu’elles sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdit
b. droit de retirer Ă  tout moment un consentement (article 13-2c RGPD)
c. droit à la limitation du traitement des données (article 18 RGPD)
d. droit d’opposition au traitement des données (article 21 RGPD)
e. droit à la portabilité des données, lorsque ces données font l’objet de traitements automatisés fondés sur leur consentement ou sur un contrat (article 20 RGPD)
f. droit de définir le sort des données après leur mort et de choisir à qui les communiquer (ou non) ses à un tiers préalablement désigné.

Pour exercer l’un des droits, il suffit d’écrire un courrier aux responsables de traitement respectifs des Parties.

Les demandes seront traitées dans un délai d’un mois, sauf motif impérieux avancé et justifié par une Partie justifiant un rallongement du délai. Si le Partie ne satisfait pas la demande de l’autre Partie, cette dernière est en droit de saisir la CNIL (Commission Nationale de l’Informatique et des Libertés,https://www.cnil.fr) afin de faire prévaloir ses droits.

10.2 Données des Personnes concernées par les opérations de traitement
Dans la mesure du possible, chaque Partie s’engage à assister l’autre Partie par des mesures techniques et organisationnelles appropriées à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes.

Le Prestataire s’engage (sans répondre directement aux Personnes Concernées) à :
- Transmettre au Client, dans un délai approprié et ne dépassant pas soixante-douze (72)heures, toute requête et/ou toute demande et/ou toute notification d’une Personne concernée ayant pour objet l’exercice de ses droits en vertu de la règlementation applicable(droits d’accès, de rectification, d’opposition, de limitation, droit à l’oubli, à la portabilité, etc.).
- A compter de l’information susvisée, coopérer avec le Responsable de traitement et lui fournir dans un délai approprié, ne pouvant excéder dix (10) jours, les informations nécessaires pour permettre au Responsable de traitement de répondre aux Personnes concernées ;
- Dans tous les cas, mettre en œuvre et faire mettre en œuvre par les Sous-traitants Ultérieurs, dans un délai approprié et ne pouvant excéder dix (10) jours, toute demande du Responsable de Traitement concernant les droits des Personnes concernées.

Article 11 – Documentation
Le sous-traitant déclare tenir un registre de traitement de toutes les activités de traitement effectuées pour le compte du Client comprenant :
- Les catégories de traitements effectués pour le compte du Client ;
- Les coordonnées du Responsable de traitement et de son Délégué à la Protection des Données ;
- Le cas échéant, les transferts de données vers un pays tiers ou une organisation internationale, hors et dans l’Union européenne ;
- Une description des mesures de sécurité prises par le Sous-traitant.

Le sous-traitant met à la disposition du responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Le Responsable de traitement communiquera au Sous-traitant et au moins sept (7) jours avant toute demande d’opération d’audit, la date de l’audit et les coordonnées des personnes chargées de sa réalisation. Le rapport d’audit finalisé sera transmis au Sous-traitant qui pourra émettre des réserves. Le Prestataire collaborera de bonne foi avec l’auditeur et lui communiquera toutes les informations utiles. Si l’audit fait apparaitre des manquements aux obligations du Sous-traitant, et en l’absence de réserves dûment justifiées de la part du Sous-traitant, ce dernier s’engage expressément à mettre en œuvre à ses frais toutes les mesures correctives nécessaires dans un délai raisonnable et à en justifier par écrit auprès du Responsable de traitement. A défaut, le Responsable de traitement pourra mettre un terme immédiatement, de plein droit et sans autre formalité, à la relation d’affaires, sans aucun droit à dédommagement ou pénalités pour le Sous-traitant.

Article 12 – Autorités de contrôle
Chaque partie communique à l’autre Partie les coordonnées de son DPO s’il en a désigné un, conformément à l’article 37 du RGPD, ou à défaut, d’un point de contact unique compétent sur les problématiques de protection des Données personnelles. Si nécessaire et sur demande du Client, SOFYX aidera le Client pour la réalisation de la consultation préalable de l’autorité de contrôle compétente. SOFYX prêtera également assistance au Client afin de lui permettre de répondre à toute demande d’information d’une autorité de contrôle compétente dans les délais impartis.

SOFYX informera le Client sans délai, et au plus tard dans les cinq (5) jours ouvrés, de toute demande d’une autorité de contrôle compétente portant sur le traitement des données personnelles du Client effectué pour le compte du Client. SOFYX informera également le Client immédiatement de tout contrôle, sur place ou sur pièces, de l’autorité de contrôle portant sur ce même traitement ainsi que de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de dispositions légales ou règlementaires. Avant tout accès ou communication de Données personnelles du Client traitées pour le compte du Client, SOFYX devra avoir procédé aux vérifications nécessaires quant au bienfondé de la demande, notamment auprès du Client, sauf si SOFYX n’est pas autorisée à prévenir le Client du fait de dispositions légales ou réglementaires applicables.
Sofyx ©2025 | Tous droits réservés