Confidentialité et protection des données personnelles | Mr Pasha
×
Mister Pasha
DPD France
Gratuit – Google Play
Obtenir

Politique de confidentialité et de protection des Données Personnelles

ANNEXE

CONFIDENTIALITE ET PROTECTION DES DONNEES PERSONNELLES

Dans le cadre des Prestations qui lui sont confiées, Mister Pasha pourra être amenée à traiter des Données à caractère personnel, appartenant à son Client, à l’expéditeur et éventuellement au destinataire s’il est une personne différente du Client.

Le présent document a pour objet de préciser les obligations de Mister Pasha en matière de gestion des Données à caractère personnel qu’il est susceptible de traiter et/ou auxquelles il est susceptible d’avoir accès dans le cadre de l’exécution des Prestations qui lui sont confiées par ses Clients.

Afin d’assurer une protection élevée des Données Personnelles ainsi qu’un traitement conforme avec l’objet du Contrat et la législation française et européenne, Mister Pasha s’engage à se conformer aux présentes.

ARTICLE 1.     DEFINITIONS & DESIGNATION

Les termes dont la première lettre figure en majuscule ont, dans le présent document, le sens qui leur est attribué ci-dessous.

ARTICLE 2.     OBJET

La présente Annexe a pour but de déterminer dans quelles conditions Mister Pasha agit en qualité de Sous-traitant du Client, Responsable de Traitement.

En tant que Responsable de Traitement, il est expressément prévu que le Client est seul responsable de l’information des Personnes Concernées sur les traitements objet de la présente annexe.

ARTICLE 3.     REFERENTIEL

Le présent document a pour référentiel d’application les textes législatifs et réglementaires suivants :

ARTICLE 4.     DESCRIPTION DU TRAITEMENT

Mister Pasha informe que les Données Personnelles seront utilisées par ses services et par tout tiers situé dans l’Union Européenne participant à l’exécution des services et notamment :

Afin d’optimiser les tournées de collecte et de livraison des colis, et d’assurer la gestion des réclamations, ces données seront conservées pendant 13 mois glissants.

                ARTICLE 5.      OBLIGATIONS DE DPD FRANCE

Afin d’assurer la protection des Données à caractère personnel ainsi que leur traitement conforme, Mister Pasha s’engage à (i) disposer d’une politique interne de protection des Données à caractère personnel et (ii) à traiter les Données à caractère personnel qui lui sont confiées ou auxquelles il aura accès conformément au référentiel défini à l’Article 3.

ARTICLE 6.     OBLIGATIONS DU CLIENT

Le Client s’engage à respecter l’ensemble de la réglementation applicable en matière de protection des données personnelles, notamment en ce qui concerne l’information des personnes dans le cadre de la transmission de leurs données à caractère personnel à Mister Pasha pour les besoins de l’exécution du présent Contrat.

ARTICLE 7.         SECURITE DES DONNEES PERSONNELLES

Mister Pasha fait ses meilleurs efforts pour assurer la sécurité et la confidentialité des Données à caractère personnel qui lui sont communiquées.

A ce titre, elle s’engage (i) à mettre en place des mesures de sécurité organisationnelles ainsi que (ii) des mesures de sécurité techniques appropriées pour préserver la sécurité et l’intégrité des Données à caractère personnel et les protéger contre toute déformation, altération, destruction fortuite ou illicite, endommagement, perte, divulgation ou accès à des tiers non autorisés.

Mister Pasha fait ses meilleurs efforts pour maintenir ces mesures et moyens pour toute la durée du Contrat et à défaut, à en informer dans les plus brefs délais le Client.

En tout état de cause, Mister Pasha s’engage, en cas de changement des moyens visant à assurer la sécurité, l’intégrité et la confidentialité des Données à caractère personnel, à les remplacer par des moyens d’une performance au moins équivalente.

Aucune évolution ne pourra conduire à une régression du niveau de sécurité.

ARTICLE 8.     COMMUNICATION A DES TIERS

Les Données à caractère personnel traitées en exécution du Contrat ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat ou de ceux prévus par une disposition légale et/ou réglementaire.

Le Prestataire informera le Client de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires.

ARTICLE 9.     TRANSFERT DES DONNEES PERSONNELLES

Mister Pasha s’engage à ce que pendant toute la durée du Contrat les Données à caractère personnel soient hébergées au sein de datacenters situés sur le territoire de l’Union Européenne.

Toutefois, pour certaines prestations spécifiques, Mister Pasha peut avoir recours à des sous-traitants établis en dehors de l’UE. Certaines Données Personnelles peuvent alors leur être communiquées pour les stricts besoins de leurs missions. Dans ce cas, conformément à la règlementation en vigueur, Mister Pasha exige de ses sous-traitants qu’ils fournissent les garanties nécessaires à l’encadrement et à la sécurisation de ces transferts, notamment par la signature de clauses contractuelles types de la Commission européenne.

ARTICLE 10.    SOUS-TRAITANCE DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL

Conformément aux dispositions du Contrat, Mister Pasha définit librement les voies et moyens de transport et confie l’exécution des Prestations à un ou plusieurs sous-traitants, au sens de la règlementation applicable en matière de protection des données à caractère personnel, de son choix.

En qualité de responsable de traitement, le Client donne une autorisation générale au Prestataire lui permettant de recourir à d’autres sous-traitants dans le cadre de l’exécution de ses prestations. A ce titre, Mister Pasha s’engage à mettre à la charge de son (ou ses) sous-traitant(s) les mêmes obligations que celles fixées au présent Contrat pour que soient respectées la confidentialité, la sécurité et l’intégrité des Données à caractère personnel.

Mister Pasha demeure pleinement responsable devant le Client de l’exécution par les sous- traitants de leurs obligations en matière de protection des Données à caractère personnel.

ARTICLE 11.   AUDIT

Le Client, s’il le souhaite, pourra réaliser un audit, directement ou par l’intermédiaire de tout sous-traitant externe indépendant, non concurrent direct de Mister Pasha, afin de s’assurer du respect des obligations de Mister Pasha relevant de la réglementation sur la protection des données personnelles.

Il est convenu entre les Parties que le Client ne pourra réaliser un audit qu’une fois par an et devra procéder à un tel audit durant les heures d’ouverture, sans toutefois que l’audit ne puisse perturber les activités de Mister Pasha. Dans ce cas, le Client communiquera à Mister Pasha au moins un mois avant toute demande d’audit, la date de l’audit ainsi que le nom et les références des personnes en charge de l’audit.

Toutefois, sauf en cas de manquement avéré et justifié, le Prestataire pourra produire le résultat d’un audit précédent réalisé par un tiers sur le même périmètre et datant de moins de 12 mois en lieu et place de l’audit demandé par le Client. Dans ce cas, le Prestataire sera réputé avoir satisfait le droit d’audit du Client.

Mister Pasha pourra demander à ce que la date imposée par le Client soit décalée si (i) un autre audit est prévu dans ses locaux aux mêmes dates ou (ii) si la tenue de cet audit risque d’impacter de manière conséquente ses activités. Dans ce cadre, les Parties se mettront d’accord sur une nouvelle date pour la tenue de l’audit.

Il est expressément prévu que le droit d’audit appartient exclusivement au Client.

Mister Pasha pourra refuser pour motif légitime les personnes désignées pour réaliser l’audit. En cas de refus, les Parties se rencontreront afin de s’accorder sur la désignation de l’auditeur. Tout différend sera porté devant les juridictions compétentes.

Mister Pasha collaborera de bonne foi avec l’auditeur et lui communiquera les informations, et documents strictement nécessaires à la réalisation de l’audit.

A l’issue de l’audit, le Client s’engage à communiquer le rapport d’audit à Mister Pasha . Mister Pasha reconnaît et accepte de s’en tenir aux conclusions du rapport de l’auditeur qui lui sera communiqué par le Client et d’en tirer toutes les conséquences nécessaires.

L’audit sera réalisé aux seuls frais du Client.

En tout état de cause, afin de garantir le respect des obligations mises à sa charge aux termes des présentes, Mister Pasha s’engage, à faire réaliser à ses frais, un audit relatif à la mise en conformité à la nouvelle règlementation européenne en matière de données à caractère personnel dans les deux ans qui suivent son entrée en vigueur.

Cet audit sera réalisé par un cabinet d’audit indépendant et de renommée. Mister Pasha partagera avec le Client, sur demande de ce dernier, les conclusions de l’audit et les plans d’action à mener. 

ARTICLE 12.   NOTIFICATION D’INCIDENTS DE SECURITE

Un « incident de sécurité » (ci-après désigné « Incident ») s’entend comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée à des tiers de Données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Mister Pasha s’engage à notifier sans délai injustifié au Client, et en particulier à la personne désignée comme point de contact, par téléphone et par email, puis confirmer par écrit, tout Incident entraînant accidentellement ou de manière illicite la perte, l’altération, la divulgation ou l’accès non autorisé à des Données à caractère personnel faisant l’objet du traitement.

Cette notification doit préciser :

 

Dès qu’il est informé d’un Incident, Mister Pasha procède à toutes investigations utiles sur les manquements aux règles de protection afin d’y remédier dans un délai aussi rapide que possible et de faire en sorte d’en diminuer l’impact pour les personnes concernées.

Mister Pasha s’engage à informer le Client de ses investigations.

Mister Pasha s’engage à collaborer activement avec le Client pour qu’il soit en mesure de répondre à ses obligations réglementaires et contractuelles.

Il revient au Client, en tant que Responsable du Traitement, de notifier cette violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée.

ARTICLE 13.   DROIT DES PERSONNES

Mister Pasha s’engage à permettre au Client l’exécution de ses obligations légales en lien avec le respect du droit des Personnes concernées par la prestation, incluant :

 

Dans l’hypothèse où Mister Pasha serait saisie directement, d’une demande portant sur les droits visés ci-dessus, elle s’engage à traiter la demande dans les délais légaux et réglementaires prévus.

Conformément au Référentiel défini à l’Article 3, il est entendu que le Client peut exercer les droits ci-dessus par l’envoi d’un courrier recommandé avec accusé de réception adressé au Service Juridique à l’adresse du siège social de DPD France SAS ou par email à l’adresse suivante : rectificatif-cnil@dpd.fr, en précisant ses nom, prénom, adresse postale et en joignant une copie recto-verso de sa pièce d’identité.

En cas de difficulté en lien avec la gestion de ses données personnelles, le Client a le droit d’introduire une réclamation auprès de la CNIL ou auprès de toute autorité de contrôle compétente.

Le Client est informé que, le Délégué à la Protection des Données peut être contacté à l’adresse suivante :

Madame la Déléguée à la Protection des Données du groupe La Poste, CP C703, 9 rue du colonel Pierre Avia 75015 Paris.

ARTICLE 14.   EVOLUTION

Le présent document pourra être modifié par Client et soumis à l’approbation de Mister Pasha. Le document modifié sera communiqué à Mister Pasha qui s’engage à le respecter sans délai, à moins que son application soit particulièrement onéreuse pour Mister Pasha. Dans cette hypothèse les Parties acceptent de se rencontrer pour négocier et adapter les termes du document modifié. En dehors de cette hypothèse et en cas de refus de Mister Pasha, le Client aura le droit de résilier le Contrat, dans les termes prévus en cas de résiliation pour faute.

ARTICLE 15.   ENTREE EN VIGUEUR ET DUREE

Dans la mesure où le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE est sera applicable à partir du 25 mai 2018, le présent accord entre en vigueur à cette même date et reste en vigueur pour la durée du Contrat, étant entendu que les clauses qui par nature survivent au Contrat continueront à s’appliquer.