top of page

Protection des 
données

1. DEFINITIONS 

 

Pour les besoins des présentes, les termes suivants auront le sens qui est donné ci-dessous :

 

  • « Autorité de régulation » : Désigne toute autorité compétente en matière de protection des Données personnelles.

 

  • « Données » : Désigne tous types d’informations et/ou données auxquelles les Parties ont accès dans le cadre des relations contractuelles, quel que soit le format ou le support, que ce soit des Données personnelles ou non (ex : données financières, données clients, données stratégiques, techniques, professionnelles, administratives, commerciales, juridiques, comptables, etc.).

 

  • « Données personnelles » : Désigne toute information relative à une personne physique identifiée ou qui peut être identifiée comme telle, soit directement soit indirectement par regroupement d’informations, par référence à un numéro d’identification ou à des éléments qui lui sont propres : nom, adresse, numéro de téléphone, adresse IP, adresse email, numéro d’immatriculation d’un véhicule, matricule professionnel, identifiant/login, mot de passe, données de connexion, etc.

 

  • « Données sensibles » : Désigne les catégories particulières de Données personnelles dont le Traitement est par principe interdit. Il s’agit des Données personnelles qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le Traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

 

  • « Finalité autorisée » : Désigne l’objet du Traitement de Données personnelles mis en œuvre par MR AND MRS MEDIA, conformément au point 13 « Modalités de traitement des données personnelles ».

 

  • « Instruction » :  Désigne l’ensemble des instructions écrites par le Responsable de Traitement à destination du Sous-traitant. Ces instructions répondent à un formalisme strict et ne sauraient être considérées comme telles que dans la mesure où elles sont formulées par écrit sous la forme de la présente Annexe, d’un courrier électronique ou d’un courrier papier officiel émanant d’une personne dûment habilitée. Les instructions sont accompagnées de toute documentation nécessaire aux fins de leur bonne exécution.

 

  • « Pays Tiers » : Désigne tout pays non-membre de l’Espace Economie Européen. Cette terminologie regroupe également toute organisation internationale comportant des pays non-membres de l’Union européenne.

 

  • « Mesures de sécurité » : Désigne les mesures physiques, techniques et organisationnelles du Sous-traitant et mises à jour régulièrement. 

 

  • « Personnes concernées » : Désigne toute personne physique dont les Données personnelles font l’objet d’un Traitement. Il s’agit des clients enregistrés dans les bases de données préexistantes du Client de MR AND MRS MEDIA.

  • « Règlementation sur la protection des données » : Désigne la réglementation en vigueur applicable au Traitement de Données personnelles et, en particulier : 

  • Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018 dit « Règlement Général sur la Protection des Données » (ci-après « RGPD ») ;

  • La loi « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée ; 

  • Toute législation entrant en vigueur et susceptible d’affecter les Traitements visés par la présente Annexe ; 

  • Tout guide de bonnes pratiques publié par les Autorités de régulation compétentes ou le Comité Européen sur la Protection des Données.

  • « Responsable de traitement » : Désigne le Client en tant que personne morale déterminant seul les moyens et les finalités du Traitement mis en œuvre par MR AND MRS MEDIA dans le cadre de l’exécution du Contrat.

  • « Services ou prestations » : Désigne les prestations de service assurées par MR AND MRS MEDIA dans le cadre du Contrat.  

  • « Sous-traitant » : Désigne MR AND MRS MEDIA en tant que personne morale effectuant des opérations de Traitement de Données personnelles pour le compte et selon les Instructions du Client. Le(s) sous-traitant(s) de MR AND MRS MEDIA qui effectue(nt) des Traitements de Données personnelles en suivant strictement les Instructions délivrées par le Responsable de Traitement est(sont) qualifié(s) de « Sous-traitant(s) ultérieur(s) ».

  • « Traitement » : Désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données personnelles ou des ensembles de Données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

  • « Violation de données personnelles » : Désigne une faille de sécurité qui entraîne accidentellement ou illicitement l’accès à ou la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles transmises, stockées ou traitées.

    2. NOMINATION ET ROLE DE MR AND MRS MEDIA
     

  • 2.1. Le Client, en sa qualité de Responsable de Traitement, désigne MR AND MRS MEDIA en qualité de Sous-traitant pour traiter les Données personnelles en son nom et pour son compte en vue d’atteindre les Finalités autorisées par la présente Annexe dans le cadre de la réalisation des Services. 
     

  • 2.2. Le Client s’engage à transmettre à MR AND MRS MEDIA le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un.

    3. CONSIGNES ET CONFORMITE
     

  • 3.1. Dans le cadre de la mise en œuvre des opérations de Traitement, le Sous-traitant et le Responsable de traitement s’engagent à :
     

  • Respecter la Réglementation sur la protection des données ; 
     

  • Coopérer et se conformer aux instructions ou aux décisions de toute Autorité de régulation.
     

3.2. En sa qualité de Sous-traitant, MR AND MRS MEDIA s’engage auprès du Responsable de traitement à :

 

  • Traiter uniquement les Données personnelles nécessaires aux Finalités autorisées, conformément aux Instructions, et s’interdit de traiter les Données personnelles à d’autres fins à moins qu’elle ne soit tenue d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel elle est soumise. Dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le Traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public ;

 

  • Préserver la confidentialité des Données personnelles traitées dans le cadre de la présente Annexe ;

 

  • Veille à ce que les personnes autorisées à traiter les Données personnelles en vertu de la présente Annexe : 

 

  1. S’engagent à respecter leur confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;

 

  1. Aient sensibilisés leur personnel sur les problématiques relatives à la protection des Données personnelles ;

 

  • Respecter les Instructions formulées par le Responsable de traitement, et s’assurer de leur respect par les Destinataires autorisés et Sous-traitants ultérieurs. Des instructions peuvent également être données ultérieurement par le Responsable de traitement pendant toute la durée du Traitement. Ces instructions doivent toujours être documentées.

 

4. COOPERATION ET ASSISTANCE

 

4.1. Chaque Partie s’engage à : 

 

  • Désigner un interlocuteur privilégié chargé de la représenter auprès de l’autre Partie ;

 

  • Adhérer et participer activement à une logique de coopération afin de s’assurer du respect de la Réglementation sur la protection des Données personnelles et des bonnes pratiques préconisées par l’autre Partie dans le cadre de cette règlementation. Chaque Partie doit particulièrement fournir à l’autre une pleine coopération, des informations et une assistance en cas de plainte, de demande d’avis, de communication, ou de faille réelle ou présumée de sécurité affectant des Données personnelles.

 

4.2. En sus des obligations listées à l’article 5.1 susvisé, le Sous-traitant s’engage auprès du Responsable de traitement à :

 

  • Informer le Responsable de traitement dans un délai raisonnable :

 

  • Si des Instructions délivrées par lui relatives aux Traitements sont illégales ou lui paraissent contraires à la Réglementation sur la protection des données ;

 

  • En cas de survenance d’une Violation de Données personnelle, ou en cas de survenance d’une faille de sécurité affectant le système informatique du Sous-traitant ou de l’un de ses Sous-traitants ultérieurs, et ce immédiatement après en avoir eu connaissance dans les conditions prévues à l’article 5.2 de la présente Annexe ;

  • Si le Sous-traitant reçoit une plainte, un avis ou une communication d’une Personne concernée dans le cadre de l’exercice de ses droits, ou d’une Autorité de régulation qui concerne directement ou indirectement le Traitement ou la conformité de l’une des Parties à la Réglementation sur la protection des données dans le cadre du Traitement.
     

  • Aider le Responsable de traitement à respecter les obligations qui lui incombent au titre de la Règlementation sur la protection des données en tenant compte de la nature du Traitement et des informations mises à la disposition du Sous-traitant et des Sous-traitants ultérieurs. Cette assistance peut inclure la fourniture d'informations et la réalisation d’analyses d'impact en relation avec les opérations de Traitement mis en œuvre par un sous-traitant, ou un Sous-traitant ultérieur.
     

  • 4.3. Le Responsable de traitement est informé que toute demande d’aide et d’assistance formulée pourra, selon la complexité de celle-ci, faire l’objet d’une facturation supplémentaire des Services.

    5. SECURITE
     

  • 5.1. Le Sous-traitant s'engage auprès du Responsable de traitement à : 
     

  • S’assurer que des mesures techniques et organisationnelles appropriées ont été mises en place pour garantir un niveau de sécurité adapté au risque, répondant aux attentes raisonnables de l’état de l’art au regard des risques engendrés par les Traitements et dans le cadre de la Réglementation sur la protection des données.
     

  • S’assurer que les Sous-traitants ultérieurs mettent en œuvre et maintiennent à jour des Mesures de sécurité conformes à ce qui peut être attendu par l’état de l’art eu égard aux risques générés par les Traitements.
     

  • 5.2. En cas de survenance d’une Violation de données personnelles qualifiée affectant les Services, le Sous-traitant s’engage à : 
     

  • Notifier le Responsable de traitement de toute faille de sécurité pouvant entraîner une Violation de Données personnelles dans les meilleurs délais suivant la connaissance de ladite faille ;
     

  • Accompagner la notification de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de procéder à une notification de cette violation auprès de l’Autorité de contrôle compétente ou de la Personne concernée.  
     

  • A ce titre, le Sous-traitant précisera dans la mesure du possible au regard de son état de connaissance les points suivants :
     

  • la description de la nature de la Violation de Données personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de Données personnelles concernés ;
     

  • le nom et les coordonnées du délégué à la protection des données et/ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

  1. la description des conséquences probables de la Violation de Données personnelles ; et

 

  1. la description des mesures prises ou envisagées par le Sous-traitant pour remédier à la Violation de Données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. 

 

  • Communiquer les informations définies ci-avant de manière échelonnée et sans autre retard indu dans le cas où il n’est pas possible pour le Sous-traitant de fournir toutes les informations précisées en même temps, ou si des précisions peuvent être apportées sur certains éléments déjà communiqués.

 

6. DESTINATAIRES DES DONNEES PERSONNELLES 

 

6.1. Le Sous-traitant garantit au Responsable de traitement qu'il :

 

  • Restreint l'accès aux Données personnelles aux seuls Destinataires autorisés et Sous-traitants ultérieurs ayant besoin d'avoir accès aux Données ;

 

  • N’accorde aux membres de son personnel l’accès aux Données personnelles faisant l’objet du Traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du Contrat ; et

 

  • Impose aux Sous-traitants ultérieurs des obligations de confidentialité et de sécurité juridiquement contraignantes équivalentes à celles contenues dans la présente Annexe ; 

 

6.2 Dans le cadre de la réalisation des Services, le Sous-traitant est expressément autorisé par le Responsable de traitement à désigner un ou plusieurs Sous-traitants ultérieurs pour traiter les Données personnelles. Les Sous-traitants ultérieurs seront désignés :

 

  • à condition qu'un contrat ou tout autre acte juridique contraignant soit conclu avec le Sous-traitant ultérieur avant qu’il ne transfère ou n'accède à des Données personnelles, et que ledit contrat contienne des obligations relatives au Traitement qui sont au moins équivalentes à celles énoncées dans la présente Annexe ; et

 

  • à condition que le Sous-traitant veille à ce que le Sous-traitant ultérieur respecte les obligations en matière de protection des Données personnelles et de confidentialité, énoncées dans le contrat de sous-traitance ultérieure.

 

6.3. Toute sous-traitance ultérieure qui serait réalisée dans le cadre des Services ne libère pas le Sous-traitant de ses responsabilités et obligations envers le Responsable de traitement en vertu de la présente Annexe.

 

7. PERSONNES CONCERNEES

 

7.1. Le Client s’assure que les Personnes concernées se voient communiquer les informations relatives au Traitement au moment de la collecte de leurs Données, conformément aux dispositions des Articles 13 et 14 du RGPD.

 

7.2. Le Sous-traitant prête assistance au Responsable de traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des Personnes concernées d’exercer leurs droits, en tenant compte de la nature du Traitement.

7.3. Dans l’exécution de ses obligations, le Sous-traitant se conforme aux instructions du Responsable de traitement conformément à l’Article 4.2 des présentes.

 

7.4. Il incombe au Client de fournir l’information aux Personnes concernées par les opérations de Traitement au moment de la collecte des Données personnelles.

 

7.5. Toute opération réalisée par le Sous-traitant dans le cadre d’une demande d’exercice de droit pourra, le cas échéant, donner lieu à une facturation complémentaire compte tenu des investigations techniques réalisées à la demande du Responsable de traitement.

 

8. TRANSFERTS VERS LES PAYS TIERS

 

8.1. Tout transfert de données vers un pays tiers ou une organisation internationale par le Sous-traitant n’est effectué que sur la base d’instructions documentées du Responsable du traitement ou afin de satisfaire à une exigence spécifique du droit de l’Union ou du droit de l’État membre à laquelle le Sous-traitant est soumis et s’effectue conformément à la Règlementation sur la protection des données.

 

8.2. Le Responsable du traitement convient que lorsque le Sous-traitant recrute un Sous-traitant ultérieur et que ces activités de traitement impliquent un transfert de données à caractère personnel, le Sous-traitant et le Sous-traitant ultérieur peuvent garantir le respect de la Règlementation sur la protection des données et notamment en utilisant un instrument juridique contraignant prévu par la Règlementation sur la protection des données.

 

9. AUDIT ET CONTROLE

 

9.1. Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations en tant que Sous-traitant.

 

9.2. Le Responsable de traitement peut commander la réalisation d’audits sur pièces afin de s’assurer du niveau de conformité du Sous-traitant. Ne sont pas concernées par l’audit sur pièces les éléments confidentiels confiés au Sous-traitant par d’autres clients.

 

9.3. Le Client peut commander la réalisation d’audits objectifs de conformité à la Réglementation sur la protection des données sur les opérations de Traitement réalisées aux fins de l’exécution des Services dans les conditions définies ci-après :

 

  • L’audit est diligenté par un auditeur extérieur sélectionné ensemble par les Parties pour son expertise, son indépendance et son impartialité ;

 

  • L’auditeur sélectionné est lié au Parties par un accord de confidentialité et/ou par le secret professionnel ;

 

  • Le Responsable de traitement avise, par écrit et moyennant le respect d’un préavis minimum de quinze (15) jours ouvrés, le Sous-traitant de son intention de faire procéder à un audit de conformité ;

 

  • En aucune manière, l’audit réalisé ne saurait détériorer ou ralentir les Services proposés par le Sous-traitant ou porter atteinte à la gestion organisationnelle du Sous-traitant. Les opérations d’audit ne devront pas comporter d’actions pouvant potentiellement endommager l’infrastructure du Sous-traitant ni interférer avec les autres Services procurés par le Sous-traitant à ses autres clients ;

  • Un exemplaire du rapport d’audit identique est remis au Responsable de traitement ainsi qu’au Sous-traitant suite à la réalisation de la mission d’audit. Les Parties pourront formuler leurs observations au sujet du rapport d’audit. 

 

  • Les frais de l’audit de conformité seront à la charge exclusive du Responsable de traitement ;

 

  • Le Responsable de traitement pourra réaliser jusqu’à un (1) audit par an pendant toute la durée du Contrat ; et

 

  • Le Sous-traitant disposera d’un délai déterminé conjointement par les Parties à compter de la communication du rapport d’audit pour corriger à ses frais les manquements et/ou non-conformités constatés. Le cas échéant, le Sous-traitant pourra allonger ce délai après avoir expressément informé le Responsable de traitement et justifier objectivement un tel allongement.

 

9.4. Dans l’hypothèse d’un contrôle réalisé par une Autorité de régulation compétente pouvant intéresser les Traitements du Responsable de traitement, le Sous-traitant s’engage à coopérer pleinement avec l’Autorité de régulation.

 

10. RESPONSABILITE 

 

10.1. Le Sous-traitant accepte d'indemniser le Client des seuls dommages directs matériels et immatériels subis par lui et ayant pour origine un défaut ou une négligence du Sous-traitant, de ses employés, de ses représentants, de ses agents ou de ses Sous-traitants ultérieurs dans la sécurité des Données personnelles.

 

10.2. Le Sous-traitant s’engage à mettre en œuvre tous les moyens nécessaires et raisonnables pour assurer la sécurité des Traitements, et sera dès lors responsable des dommages liés à une défaillance de sécurité imputable exclusivement au Sous-traitant entrainant une indisponibilité, une perte de traçabilité, un doute sur l’intégrité ou un défaut de confidentialité des Données personnelles. Il est néanmoins expressément convenu entre les Parties que le risque zéro en matière de sécurité n’existe pas et que le Sous-traitant reste soumis à une obligation de moyens. Il ne saurait non plus être responsable des dommages liés à une défaillance de sécurité qui serait imputables aux choix technologiques, logiciels ou informatiques opérés par le Client.

 

11. SORT DES DONNEES

 

11.1. À l'expiration ou à la résiliation du Contrat pour quelque raison que ce soit, selon le choix du Responsable de traitement, le Sous-traitant s’engage à : 

 

  • supprimer, dans un délai raisonnable, toutes les Données personnelles pour le compte du Responsable de traitement et certifier auprès de celui-ci dans un délai raisonnable qu’il a procédé à cette suppression ; ou 

 

  • renvoyer toutes les Données personnelles au Responsable de traitement et détruire les copies existantes, à moins que le droit de l’Union ou le droit national n’impose de les conserver plus longtemps. 

 

11.2. A défaut d’instructions spécifiques concernant la réversibilité des Données personnelles ou de leur reprise, le Sous-traitant procèdera à la suppression définitive de l’ensemble des Données personnelles dans les meilleurs délais à compter de la fin du ou des Traitements à moins que le droit de l’Union ou le droit de l’Etat-membre applicable n’en dispose autrement.

Les copies existantes des Données personnelles pourront faire l’objet d’une conservation par le Sous-traitant en bases archivées à des fins probatoires pour les délais de prescription légale applicables, à moins que le droit de l’Union Européenne ou le droit français n’exige la conservation de certaines Données personnelles pour des délais plus longs.

 

12. MODIFICATION DE L’ANNEXE 

 

12.1 Cette annexe peut être modifiée par voie d’avenant écrit signé par les représentants dûment autorisés de chacune des Parties.

 

12.2 En cas de modification de la Réglementation sur la protection des données, il est convenu que les Parties pourront réviser les dispositions de la présente Annexe et négocier de bonne foi pour se conformer à la Réglementation sur la protection des données mise à jour.

 

13. MODALITÉS DE TRAITEMENT DES DONNÉES PERSONNELLES

Capture d’écran 2025-09-26 à 11.08.30.png
Capture d’écran 2025-09-26 à 11.09.21.png
bottom of page