Le présent accord sur le traitement des Données à Caractère Personnel (ci-après l’« Accord ») complète le Contrat, les conditions générales d’utilisation ainsi que tout autre accord conclu entre le Responsable de Traitement et la société AFFAAF!, SAS au capital de 12 721,10 euros, immatriculée au Registre du Commerce et des Sociétés de Bobigny sous le numéro 814 387 585, dont le siège social est situé au 7 place du 11 novembre 1918, 93000 Bobigny, ci-après désignée « Ekie » ou le « Sous-Traitant ».
Au sens du présent Accord, le « Responsable de Traitement » désigne toute entité ayant souscrit aux services d'Ekie ou utilisant la Plateforme dans le cadre d'un partenariat. Selon le service concerné, le Responsable de Traitement peut être un Comité Social et Économique ou une Direction des Ressources Humaines ayant souscrit aux services d'Ekie au bénéfice de ses salariés, ou un Avocat partenaire du réseau Ekie utilisant la plateforme dans le cadre de son activité professionnelle.
En souscrivant aux services d'Ekie ou en utilisant la Plateforme, le Responsable de Traitement accepte les termes du présent Accord.
Les parties s'engagent à respecter la réglementation applicable en matière de protection des Données à Caractère Personnel, et notamment le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données à Caractère Personnelet à la libre circulation de ces données (ci-après le « RGPD ») ainsi que la loi n° 78-17 du 6 janvier 1978 dite Loi Informatique et Libertés.
Le présent Accord a pour objet de définir les conditions dans lesquelles Ekie, agissant en qualité de sous-traitant, traite des Données à Caractère Personnel pour le compte du Responsable de Traitement dans le cadre de la fourniture des services décrits en Annexe du présent Accord.
La nature des traitements, leurs finalités, les catégories de Données à Caractère Personnel traitées, les catégories de personnes concernées ainsi que les durées de conservation applicables sont détaillées dans l'Annexe du présent Accord, laquelle en fait partie intégrante.
Ekie traite les Données à Caractère Personnel conformément au présent Accord et dans la stricte mesure nécessaire à la fourniture des services souscrits par le Responsable de Traitement. Le présent Accord, le Contrat et les Conditions générales d’utilisation constituent les instructions documentées du Responsable de Traitement au sens de l'article 28 du RGPD. Toute instruction complémentaire doit être formulée par écrit.
Ekie garantit la confidentialité des Données à Caractère Personnel traitées dans le cadre du présent Accord. L'accès aux données est strictement limité aux collaborateurs d’Ekie dont les fonctions le requièrent, lesquels sont soumis à une obligation de confidentialité contractuelle ou légale.
Ekie met en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures visent notamment à protéger les données contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé.
À ce titre, l'accès à la Plateforme Ekie est sécurisé par le protocole HTTPS (via TLS). Les services d'hébergement auxquels Ekie fait appel sont certifiés PCI DSS Niveau 1, SOC 1, SOC 2 et SOC 3, ainsi que par les principales normes internationales en matière de sécurité de l'information, notamment ISO 27001, ISO 27017 et ISO 27018. Ces certifications font l'objet d'un audit annuel réalisé par un organisme tiers indépendant.
Ekie applique les principes de protection des données dès la conception et par défaut (privacy by design), conformément à l'article 25 du RGPD.
Ekie tient un registre des activités de traitement réalisées pour le compte du Responsable de Traitement, conformément à l'article 30, paragraphe 2, du RGPD.
Ekie prête assistance au Responsable de Traitement dans le cadre de l'exécution de ses obligations au titre du RGPD. Cette assistance porte notamment sur la réponse aux demandes d'exercice des droits des personnes concernées, tels que le droit d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité, ainsi que sur la réalisation d'analyses d'impact relatives à la protection des données et, le cas échéant, sur la consultation préalable de l'autorité de contrôle compétente.
Ekie met à la disposition du Responsable de Traitement, sur demande écrite formulée avec un préavis raisonnable de quinze (15) jours, toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent Accord.
Le Responsable de Traitement peut effectuer un audit documentaire à distance, dans la mesure où celui-ci est motivé par une obligation légale ou réglementaire ou par la suspicion raisonnable et motivée d'une violation des dispositions du présent Accord. Cet audit est limité à une fois par période de dix-huit (18) mois, sauf en cas de violation avérée de Données à Caractère Personnel. Il est réalisé aux frais exclusifs du Responsable de Traitement.
L'audit documentaire peut prendre la forme de questionnaires de conformité, de demandes de transmission de documents relatifs aux mesures de sécurité, aux certifications en vigueur, au registre des traitements ou aux rapports de tests réalisés par des tiers indépendants.
Ekie peut satisfaire à cette obligation en communiquant au Responsable de Traitement un rapport d'audit ou de certification réalisé par un organisme tiers indépendant, dès lors que ce rapport couvre les obligations visées par le présent Accord. Les résultats de l'audit sont soumis à une obligation de confidentialité stricte et ne peuvent être communiqués à des tiers sans l'accord préalable écrit d'Ekie.
Ekie a désigné un Délégué à la Protection des Données, joignable à l'adresse suivante : dataprivacy@ekie.co.
En cas de violation de Données à Caractère Personnel au sens de l'article 4, paragraphe 12, du RGPD, Ekie notifie le Responsable de Traitement dans un délai raisonnable et au plus tard dans un délai de quarante-huit (48) heures à compter du moment où elle en a eu connaissance.
Ekie coopère pleinement avec le Responsable de Traitement afin de lui permettre de satisfaire à ses obligations de notification à l'autorité de contrôle et, le cas échéant, aux personnes concernées, en application des articles 33 et 34 du RGPD.
Le Responsable de Traitement autorise Ekie, de manière générale, à faire appel à des sous-traitants ultérieurs pour la réalisation des traitements décrits dans l'Annexe 1 du présent Accord, conformément à l'article 28, paragraphe 2, du RGPD.
La liste actualisée des sous-traitants ultérieurs auxquels Ekie fait appel est consultable à l'adresse suivante : https://www.ekie.co/sous-traitants. Cette liste précise le nom de chaque sous-traitant ultérieur, sa localisation ainsi que la nature des traitements réalisés.
Ekie s’est assurée que l’ensemble de ses sous-traitants ultérieurs respectent des standards élevés en matière de protection des données - notamment via la signature de clause contractuelle type de la Commission européenne - et travaillent en conformité avec la réglementation en vigueur.
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Ekie en informe le Responsable de Traitement avec un préavis minimal de quinze (15) jours avant la mise en place du changement.
Les Données à Caractère Personnel traitées par Ekie dans le cadre du présent Accord sont hébergées et traitées au sein de l'Espace Économique Européen.
Lorsque le pays destinataire ne bénéficie pas d'une décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD, les transferts sont encadrés par la mise en place de Clauses Contractuelles Types conformes à la Décision d'exécution (UE) 2021/914 de la Commission européenne, ou par tout autre mécanisme de transfert prévu par la réglementation applicable.
En cas de modification de la localisation principale des traitements, Ekie en informe le Responsable de Traitement dans les conditions prévues à l'Article 4 du présent Accord, relatives aux changements de sous-traitants ultérieurs.
Le Responsable de Traitement s'engage à s'assurer que les Données à Caractère Personnel communiquées à Ekie ont été collectées et traitées conformément à la réglementation applicable, et notamment qu'il dispose d'une base légale valide pour chaque traitement concerné.
Le Responsable de Traitement veille à informer les personnes concernées du traitement de leurs Données à Caractère Personnel conformément aux articles 13 et 14 du RGPD, y compris du recours à Ekie en qualité de sous-traitant.
Le présent Accord entre en vigueur à la date de souscription aux services d'Ekie et demeure applicable pendant toute la durée du Contrat ou du partenariat.
En cas de manquement du Sous-traitant aux obligations prévues par le présent Accord, le Responsable de traitement lui adresse une notification écrite précisant la nature du manquement constaté. Ekie dispose d'un délai de trente (30) jours à compter de la réception de cette notification pour y remédier. À défaut, le Responsable de traitement peut suspendre le traitement puis, si la conformité n'est pas rétablie dans les quatre (4) mois suivant la suspension, résilier le Contrat ou mettre fin au partenariat.
Au terme du présent Accord, Ekie supprime les Données à Caractère Personnel de ses systèmes en production dans un délai de trois (3) mois à compter de la résiliation. Le Responsable de traitement peut, dans le même délai, demander la restitution de ses données, dans un format structuré et couramment utilisé, aux frais du Responsable de traitement.
Par dérogation, les données relatives aux échanges entre les Utilisateurs et les Avocats partenaires et à l'accès à l'Espace Personnel Utilisateur sont conservées pendant cinq (5) ans à compter de la fin du Contrat avec le Client, conformément à la politique de confidentialité d'Ekie, afin de permettre aux Utilisateurs et aux Avocats partenaires de consulter l'historique de leurs échanges.
Le présent Accord est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Paris.
Pour toute question relative au présent Accord ou à la protection des Données à Caractère Personnel, le Responsable de Traitement peut contacter le Délégué à la Protection des Données d'Ekie à l'adresse suivante : dataprivacy@ekie.co.
La présente annexe décrit les traitements de Données à Caractère Personnel réalisés par Ekie pour le compte du Responsable de Traitement, conformément aux exigences de l'article 28, paragraphe 3, du RGPD. Elle détaille la nature et les finalités de chaque traitement, les catégories de Données à Caractère Personnel traitées, les catégories de personnes concernées et les durées de conservation applicables. Les durées de conservation mentionnées ci-dessous sont conformes aux politiques de confidentialité publiées par Ekie.
Responsable de Traitement : Comité Social et Économique ou Direction des Ressources Humaines ayant souscrit au service.
Durées de conservation : les données d'identification et de contact des salariés sont conservées en base active jusqu'à cinq ans après la fin de l'abonnement du Client (afin de leur permettre l’accès à l’historique de leurs échanges avec les Avocats partenaires sur la Plateforme).
Responsable de Traitement : Avocat partenaire du réseau Ekie.
Secret professionnel : les données relatives au contenu des Prestations juridiques sont couvertes par le secret professionnel de l'Avocat, conformément à l'article 66-5 de la loi du 31 décembre 1971. Les échanges entre l’Avocat et les Utilisateurs sont strictement confidentiels.
Durées de conservation : les données relatives à la gestion du compte, de l'espace et de l'agenda de l'Avocat, les métadonnées de contact entre l'Avocat et les Utilisateurs, ainsi que les données de suivi opérationnel de l'activité sont conservées en base active jusqu'à cinq ans après la fin du partenariat entre l'Avocat et Ekie. Lorsque le Contrat du Client est toujours en vigueur au moment de la fin du partenariat avec l'Avocat, les données relatives à l'historique des prestations juridiques sont conservées jusqu'à la fin de la relation contractuelle avec le Client concerné (afin de permettre l’accès des Utilisateurs à l’historique de leurs échanges sur la Plateforme).
Responsable de Traitement : Comité Social et Économique ayant souscrit au service de rédaction de procès-verbaux.
Durées de conservation : les enregistrements audio des réunions sont conservés en base active pendant une durée maximale de deux (2) mois à compter de leur réception par Ekie, puis supprimés définitivement. Les données d'identification et les documents associés aux procès-verbaux sont conservés en base active pendant cinq (5) ans à compter de la fin de l’abonnement du Client (sauf toute demande écrite contraire de la part du Client), puis archivés à des fins probatoires et contentieuses pour une durée maximale de cinq (5) ans à compter de la suppression en base active.
.svg)
