Accord de traitement des données
Version 1.0 · Dernière mise à jour · Mai 2026
Le présent Accord de traitement des données encadre la manière dont Draft & Goal, agissant en qualité de Sous-traitant, traite des données personnelles pour le compte de ses clients (le Responsable du traitement), conformément au Règlement général sur la protection des données (RGPD).
Le présent Accord de traitement des données (l'« Accord ») fait partie intégrante du contrat de services (le « Contrat principal ») conclu entre le client (la « Société », agissant en qualité de Responsable du traitement) et Draft & Goal (le « Sous-traitant »), ensemble les « Parties ».
Préambule
- (A) La Société agit en qualité de Responsable du traitement.
- (B) La Société souhaite confier certains Services, impliquant le traitement de données personnelles, au Sous-traitant.
- (C) Les Parties entendent mettre en place un accord de traitement des données conforme aux exigences du cadre juridique en vigueur en matière de traitement de données et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données).
- (D) Les Parties souhaitent définir leurs droits et obligations.
Il est convenu ce qui suit.
1. Définitions et interprétation
1.1 Sauf définition contraire dans le présent Accord, les termes et expressions commençant par une majuscule ont la signification suivante :
- « Accord » désigne le présent Accord de traitement des données et l'ensemble de ses annexes ;
- « Données personnelles de la Société » désigne toute Donnée personnelle traitée par un Sous-traitant contractuel pour le compte de la Société au titre du Contrat principal ou en lien avec celui-ci ;
- « Sous-traitant contractuel » désigne un sous-traitant ultérieur ;
- « Lois sur la protection des données » désigne les Lois européennes sur la protection des données et, dans la mesure applicable, les lois relatives à la protection des données ou à la vie privée de tout autre pays ;
- « EEE » désigne l'Espace économique européen ;
- « Lois européennes sur la protection des données » désigne la directive 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou abrogée le cas échéant, y compris par le RGPD et les lois d'application ou de complément du RGPD ;
- « RGPD » désigne le Règlement général sur la protection des données (UE) 2016/679 ;
- « Transfert de données » désigne : (i) un transfert de Données personnelles de la Société de la Société vers un Sous-traitant contractuel ; ou (ii) un transfert ultérieur de Données personnelles de la Société d'un Sous-traitant contractuel vers un sous-traitant de second rang, ou entre deux établissements d'un Sous-traitant contractuel, dans chaque cas lorsque ce transfert serait interdit par les Lois sur la protection des données (ou par les stipulations d'accords de transfert de données conclus pour répondre aux restrictions de transfert prévues par les Lois sur la protection des données) ;
- « Services » désigne les services fournis par la Société ;
- « Sous-traitant ultérieur » désigne toute personne désignée par le Sous-traitant, ou pour son compte, pour traiter des Données personnelles pour le compte de la Société dans le cadre de l'Accord.
1.2 Les termes « Commission », « Responsable du traitement », « Personne concernée », « État membre », « Données personnelles », « Violation de données personnelles », « Traitement » et « Autorité de contrôle » ont la même signification que dans le RGPD, et leurs déclinaisons s'interprètent en conséquence.
2. Traitement des données personnelles de la Société
2.1 Le Sous-traitant s'engage à :
- 2.1.1 respecter l'ensemble des Lois sur la protection des données applicables dans le cadre du Traitement des Données personnelles de la Société ; et
- 2.1.2 ne traiter les Données personnelles de la Société que sur instructions documentées de la Société concernée.
2.2 La Société donne instruction au Sous-traitant de traiter les Données personnelles de la Société.
3. Personnel du Sous-traitant
Le Sous-traitant prend des mesures raisonnables pour s'assurer de la fiabilité de tout employé, mandataire ou prestataire de tout Sous-traitant contractuel susceptible d'avoir accès aux Données personnelles de la Société, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de connaître ou d'accéder aux Données personnelles de la Société concernées, dans la stricte mesure nécessaire aux fins du Contrat principal, et au respect des lois applicables dans le cadre des fonctions exercées par ces personnes auprès du Sous-traitant contractuel, en s'assurant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.
4. Sécurité
4.1 Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre, s'agissant des Données personnelles de la Société, les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, s'il y a lieu, les mesures visées à l'article 32, paragraphe 1, du RGPD.
4.2 Pour évaluer le niveau de sécurité approprié, le Sous-traitant tient compte en particulier des risques que présente le Traitement, notamment en cas de Violation de données personnelles.
5. Sous-traitance ultérieure
5.1 Le Sous-traitant ne désigne aucun sous-traitant ultérieur (et ne divulgue aucune Donnée personnelle de la Société à un sous-traitant ultérieur) sauf si la Société l'exige ou l'autorise.
6. Droits des personnes concernées
6.1 Compte tenu de la nature du Traitement, le Sous-traitant aide la Société, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation, telle que raisonnablement comprise par la Société, de donner suite aux demandes d'exercice des droits des Personnes concernées prévues par les Lois sur la protection des données.
6.2 Le Sous-traitant s'engage à :
- 6.2.1 notifier sans délai à la Société toute demande reçue d'une Personne concernée au titre d'une Loi sur la protection des données concernant les Données personnelles de la Société ; et
- 6.2.2 ne répondre à cette demande que sur instructions documentées de la Société ou lorsque les lois applicables auxquelles le Sous-traitant est soumis l'exigent, auquel cas le Sous-traitant informe la Société de cette obligation légale, dans la mesure permise par les lois applicables, avant que le Sous-traitant contractuel ne réponde à la demande.
7. Violation de données personnelles
7.1 Le Sous-traitant notifie à la Société, dans les meilleurs délais après en avoir pris connaissance, toute Violation de données personnelles affectant les Données personnelles de la Société, en fournissant à la Société des informations suffisantes pour lui permettre de satisfaire à ses obligations de notification ou d'information des Personnes concernées au titre des Lois sur la protection des données.
7.2 Le Sous-traitant coopère avec la Société et prend les mesures commerciales raisonnables demandées par celle-ci pour contribuer à l'investigation, à l'atténuation et à la remédiation de chaque Violation de données personnelles.
8. Analyse d'impact relative à la protection des données et consultation préalable
Le Sous-traitant apporte une assistance raisonnable à la Société pour toute analyse d'impact relative à la protection des données et toute consultation préalable des Autorités de contrôle ou d'autres autorités compétentes en matière de protection des données que la Société estime raisonnablement requises par les articles 35 ou 36 du RGPD ou par des dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement pour le Traitement des Données personnelles de la Société par les Sous-traitants contractuels, et compte tenu de la nature du Traitement et des informations dont ils disposent.
9. Suppression ou restitution des données personnelles de la Société
9.1 Sous réserve du présent article 9, le Sous-traitant supprime, et fait supprimer, toutes les copies des Données personnelles de la Société dans les meilleurs délais et, en tout état de cause, dans les 10 jours ouvrés suivant la date de cessation de tout Service impliquant le Traitement de Données personnelles de la Société (la « Date de cessation »).
9.2 Le Sous-traitant fournit à la Société une attestation écrite confirmant qu'il s'est pleinement conformé au présent article 9 dans les 10 jours ouvrés suivant la Date de cessation.
10. Droits d'audit
10.1 Sous réserve du présent article 10, le Sous-traitant met à la disposition de la Société, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord, et permet la réalisation d'audits, y compris des inspections, par la Société ou un auditeur mandaté par elle, portant sur le Traitement des Données personnelles de la Société par les Sous-traitants contractuels, et y contribue.
10.2 Les droits d'information et d'audit de la Société au titre de l'article 10.1 ne s'appliquent que dans la mesure où l'Accord ne lui confère pas par ailleurs des droits d'information et d'audit satisfaisant aux exigences pertinentes des Lois sur la protection des données.
11. Transfert de données
11.1 Le Sous-traitant ne peut transférer ni autoriser le transfert de données vers des pays situés en dehors de l'UE ou de l'Espace économique européen (EEE) sans le consentement écrit préalable de la Société. Si des données personnelles traitées au titre du présent Accord sont transférées d'un pays de l'Espace économique européen vers un pays situé en dehors de celui-ci, les Parties veillent à ce que ces données personnelles bénéficient d'une protection adéquate. À cette fin, les Parties s'appuient, sauf accord contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.
12. Dispositions générales
12.1 Confidentialité. Chaque Partie garde confidentiels le présent Accord ainsi que les informations qu'elle reçoit au sujet de l'autre Partie et de son activité dans le cadre du présent Accord (les « Informations confidentielles »), et s'interdit d'utiliser ou de divulguer ces Informations confidentielles sans le consentement écrit préalable de l'autre Partie, sauf dans la mesure où :
- (a) la divulgation est exigée par la loi ; ou
- (b) les informations concernées relèvent déjà du domaine public.
12.2 Notifications. Toutes les notifications et communications effectuées au titre du présent Accord doivent l'être par écrit et sont remises en main propre, envoyées par courrier postal ou par e-mail à l'adresse postale ou électronique indiquée en tête du présent Accord, ou à toute autre adresse notifiée par l'une des Parties en cas de changement d'adresse.
13. Droit applicable et juridiction
13.1 Le présent Accord est régi par le droit désigné dans le Contrat principal.
13.2 Tout litige survenant en lien avec le présent Accord que les Parties ne parviennent pas à résoudre à l'amiable est soumis à la compétence exclusive des juridictions désignées dans le Contrat principal, sous réserve de tout droit d'appel disponible.
Un exemplaire signable du présent Accord de traitement des données est disponible. Pour demander un ATD contresigné, contactez notre équipe ou téléchargez le PDF.
Montrez-nous le workflow.
Nous vous montrerons le 10x.
Apportez le workflow marketing qui dévore votre semaine. Nous le construirons en direct, avec vos données et vos modèles, en 30 minutes.