TRAITEMENT DES DONNÉES PERSONNELLES – LOGICIELS

EN VERTU DU REGLEMENT UE 2016/679 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 27 AVRIL 2016

Mise à jour : 25 mai 2018

1.INTRODUCTION

1.1 Le Client a conclu un contrat avec LexisNexis (ci-après désigné le « Contrat »). Le présent document qui a valeur d’avenant au Contrat a pour objet d’informer le Client sur les obligations à la charge de LEXISNEXIS en matière de traitement de données personnelles. Le présent document entre en vigueur à compter du 25 mai 2018, date d’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

1.2 Le présent Avenant s'applique aux traitements de données à caractère personnel mis en œuvre par LEXISNEXIS et ceux réalisés pour le compte du Client en vertu du Contrat.

1.3 Au sens de la réglementation applicable et notamment du Règlement européen de protection des données n°2016-679, ci-après « Règlement », le Client peut constituer « le responsable des traitements » ou « la personne concernée » et LEXISNEXIS constitue le « sous-traitant » ou « le responsable des traitements » en fonction des traitements réalisés.
Les Parties s’engagent à mettre tout en œuvre pour que les traitements mis en œuvre soient progressivement mis en conformité avec les dispositions du Règlement, et ceci dès la signature du contrat.

2. LEXISNEXIS SOUS-TRAITANT AU SENS DU REGLEMENT UE 2016/679

2.1 Objet, durée des traitements et catégories de personnes concernées. Dans le cadre de la fourniture de solutions logiciels et de services associés (LEXIS POLYACTE, LEXIS POLYOFFICE, POLYOFFICE PLUS, POLYACTE PLUS, POLY VB, Lexis PolyExtranet, PolyMobilité, reprise de données, formation etc.) ci-après les « Services », LEXISNEXIS pourra avoir accès, en qualité de sous-traitant, à des données à caractère personnel au sens du Règlement. LEXISNEXIS pourra ainsi être amené à procéder à des traitements de telles données (en particulier les données des membres de la structure du Client, de clients du Client, de fournisseurs du Client, de prestataires du Client, etc.) pour le compte du Client, responsable de traitement, aux seules fins de fourniture des Services et pour la durée prévue au présent Contrat.

2.2 Catégories de données. Le Client a expressément rappelé à LEXISNEXIS le caractère strictement confidentiel de toutes les données à caractère personnel collectées et traitées dans le cadre du Service utilisé et des services associés, en ce incluant notamment les données relatives à l’identification des personnes concernées, leur vie personnelle, leur vie professionnelle, des données de connexion et de traçabilité.

2.3 Nature et finalité(s) des traitements. LEXISNEXIS s’engage à ne pas traiter les données personnelles transmises pour des finalités autres que celles du Client c’est-à-dire l’usage d’un logiciel et de services associés dans le cadre de la gestion de sa structure et la fourniture de conseils auprès de ses propres clients.

2.4 Registre. LEXISNEXIS tient tous les registres requis et dont le contenu est défini par l'article 30(2) du Règlement et les met à sa disposition sur demande.

2.5 Délégué à la protection des données à caractère personnel. Conformément aux articles 38 et 39 du Règlement, le délégué à la protection des données à caractère personnel ou le service responsable de la protection des données personnelles de LEXISNEXIS peut être contacté aux coordonnées suivantes : dpo@lexisnexis.co.uk.

2.6 Obligations du Client vis-à-vis de LEXISNEXIS. Le Client s’engage à :

  • fournir à LEXISNEXIS toutes les données nécessaires à la réalisation de ses obligations en vertu du Règlement;
  • documenter par écrit toute instruction concernant le traitement des données par LEXISNEXIS;
  • veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le de la part de LEXISNEXIS ; -s’engage à répondre dans un délai de quinze (15) jours à toute demande de LEXISNEXIS relative au traitement des données personnelles dans le cadre de la fourniture du Service ;
  • respecter les obligations qui lui incombent en sa qualité de responsable de traitement, en vertu des dispositions du Règlement.

2.7 Obligations de LEXISNEXIS vis-à-vis du Client :
LEXISNEXIS garantit qu’il met en œuvre toutes les mesures nécessaires pour préserver la sécurité, l’intégrité, la disponibilité, la résilience et la confidentialité des données à caractère personnel auxquelles il pourrait accéder ou qui pourraient lui être communiquées dans le cadre de l’exécution du Contrat. Aussi, LEXISNEXIS s’engage à prendre toutes les mesures requises en vertu de l’article 32 du Règlement et notamment les mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements, qui seraient nécessaires au respect par lui-même et par son personnel de ces obligations de sécurité, d’intégrité et de confidentialité, et notamment à :

  • ne traiter, consulter ces données à caractère personnel et fichiers que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou de la législation française ; dans ce cas, LEXISNEXIS informera le Client de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  • ne pas traiter, consulter lesdites données à caractère personnel ou les fichiers dans lesquelles elles figurent à d’autres fins que l’exécution du Service qu’il effectue pour le Client au titre du Contrat ; -ne pas insérer dans les traitements de données à caractère personnel des données étrangères auxdits traitements ;
  • prendre toute mesure permettant d’empêcher toute utilisation détournée, malveillante ou frauduleuse de ces données à caractère personnel et des fichiers ;
  • prendre toutes précautions utiles afin de préserver la sécurité desdites données à caractère personnel, de veiller à ce qu’elles ne soient pas déformées, endommagées, que des tiers non autorisés y aient accès, et d’empêcher tout accès qui ne serait pas préalablement autorisé par le responsable de traitement ;
  • prendre toutes mesures afin (i) de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement utilisés, (ii) de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans les délais appropriés en cas d’incident physique ou technique et (iii) de tester, analyser et évaluer régulièrement l’efficacité de ces mesures ;
  • s’interdire la consultation et le traitement des données à caractère personnel autres que celles concernées par les présentes et ce, même si l’accès à ces données à caractère personnel est techniquement possible ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent par écrit à respecter la confidentialité de ces dernières ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
  • ne pas divulguer, sous quelque forme que ce soit, tout ou partie desdites données à caractère personnel ;
  • ne pas prendre copie ou stocker, quelles qu'en soit la forme et la finalité, tout ou partie desdites données à caractère personnel contenues sur les supports ou documents qui lui ont été confiés ou recueillies par lui au cours de l'exécution du présent Contrat (outre les opérations techniques strictement nécessaires à l’exécution du Contrat).

2.8 Suppression et réversibilité des données. En fin de Contrat, LEXISNEXIS s’engage à procéder à la restitution des fichiers détenus et des données à caractère personnel traitées pour le compte de le Client dans un format standard et dans les conditions prévues à votre contrat, et à la destruction de tous fichiers manuels ou informatisés stockant lesdits fichiers et données à caractère personnel (et de toute copie éventuelle) après s’être assuré auprès de le Client que ce dernier dispose bien de ces informations, à moins que le droit de l’Union européenne ou la législation française n’exige la conservation de ces données à caractère personnel.

2.9 Sous-traitants ultérieurs. Par ailleurs, sauf disposition contraire dans les présentes, LEXISNEXIS ne pourra sous-traiter l'exécution du Service que dans les conditions prévues à l’article I.11 du Contrat. LEXISNEXIS s’engage en outre à informer et à signer un contrat écrit avec chaque sous-traitant imposant à ce dernier le respect des normes édictées par le Règlement, étant précisé qu’en cas de non-respect par un sous-traitant de ses obligations en matière de protection des données à caractère personnel, LEXISNEXIS demeurera pleinement responsable à l’égard du Client. Par cet avenant, le Client donne son consentement général pour le recrutement d'autres sous-traitants à des fins de traitement des données à caractère personnel. LEXISNEXIS conserve une liste des sous-traitants à l’adresse suivante https://www.lexisnexis.com/global/privacy/fr/subprocessor-lnf.page, qui pourra être actualisée de temps en temps. Au moins 14 jours avant l’arrivée d’un nouveau sous-traitant susceptible de traiter des données à caractère personnel, la liste établie par LEXISNEXIS sur son site Internet sera actualisée et LEXISNEXIS fournira un mécanisme permettant au Client d'être avertis de cette mise à jour.

2.10 Sécurité et confidentialité. Au titre de la sécurité et de la confidentialité des données personnelles, LEXISNEXIS s’engage à (i) garder les données personnelles strictement confidentielles, (ii) mettre en œuvre au sein de ses services en ce compris son infrastructure d’hébergement, les mesures organisationnelles et techniques appropriées afin de protéger les données personnelles, et (iii) établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information). Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en place des mesures techniques et organisationnelles appropriées, afin d'assurer un niveau de sécurité adapté aux risques, incluant notamment, selon les besoins :

  • la pseudonymisation et le chiffrement des données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique ; et
  • une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.
    Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite. Les Parties prendront des mesures pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de votre part, sauf si elle est tenue de les traiter par le droit de l'Union ou d'un État membre.

2.11 Collaboration. LEXISNEXIS, s’engage également à coopérer avec le Client en vue :

  • de l’avertir dans les meilleurs délais de toutes demandes de personnes concernées reçues, et de coopérer raisonnablement avec lui afin de lui permettre de respecte ses obligations en vertu du Règlement en relation avec de telles demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que LEXISNEXIS fournira au regard du respect de telles obligations ;
  • du respect par le Client de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ; -du respect de l’obligation de notification à l'autorité de contrôle et d’information de la personne concernée d'une violation de données à caractère personnel ; LEXISNEXIS avertira le Client dans les meilleurs délais dès connaissance d'une violation des données à caractère personnel et répondra raisonnablement aux demandes d'informations supplémentaires du Client, afin de l’aider à remplir ses obligations en vertu des articles 33 et 34 du RGPD ;
  • d’informer immédiatement le Client si, selon lui, une instruction constitue une violation du Règlement ou d’autres dispositions du droit de l’Union ou du droit des Etats membres relatives à la protection des données ;
  • De la réalisation d’analyses d’impact relatives à la protection des données ou en cas de consultation préalable de la CNIL par le Client. LEXISNEXIS s’engage également à informer dans les meilleurs délais le Client si, selon lui, une instruction constitue une violation des dispositions applicables en matière de protection des données à caractère personnel.

2.12 Contrôle et audit. Le Client se réserve le droit de procéder, à ses frais, à toute vérification qui lui paraîtrait utile pour constater le respect par LEXISNEXIS de ses obligations au titre des présentes, notamment au moyen d’audits ou d’inspections. Ces vérifications pourront être réalisées par le Client lui-même ou par un tiers, une fois par an, qu’il aura sélectionné, missionné et mandaté à cette fin, non concurrent de LEXISNEXIS. Dans ce cadre, LEXISNEXIS mettra à la disposition de le Client ou dudit tiers les informations nécessaires pour apporter la preuve du respect des obligations prévues au sein du présent Contrat, et s’engage à contribuer auxdites vérifications. Les audits doivent permettre une analyse du respect par le Client des présentes et des dispositions applicables en matière de protection des données à caractère personnel, et notamment de s’assurer que des mesures techniques et organisationnelles de sécurité et de confidentialité adéquates sont mises en œuvre, qu’elles ne peuvent pas être contournées sans que cela ne soit détecté et que, dans une telle hypothèse ou dans toute autre hypothèse de survenance d’une violation de données à caractère personnel, une procédure de notification et de traitement par LEXISNEXIS est mise en œuvre afin d’y remédier sans délai. Plus généralement, chacune des Parties garantit à l’autre le respect des obligations légales et règlementaires lui incombant en matière de protection des données à caractère personnel. 2.13 Transferts des données. Nous veillerons à ce que, dans la mesure où de quelconques données à caractère personnel provenant de l’Union Européenne sont transférées par nos soins à un autre sous-traitant dans un pays ou territoire en dehors de la France et/ou de l’Union Européenne n'ayant pas fait l'objet d'une décision d'adéquation contraignante de la part de la Commission européenne ou de l'autorité nationale compétente en matière de protection des données, un tel transfert soit soumis à un mécanisme de transfert approprié, assurant un niveau de protection adéquat aux termes du Règlement.

2.14 Responsabilité. En toute hypothèse, il est rappelé que les Services fournis par LEXISNEXIS constitue un élément contributif mais non suffisant à la mise en conformité du Client avec l’ensemble des exigences réglementaires en matière de protection des données, et que la responsabilité de LEXISNEXIS en matière de conformité à la règlementation est strictement limitée au périmètre des Services opérés par ses soins. Le Client devra disposer, sans que cette liste ne revête un caractère exhaustif, d’un système d’information adapté au traitement des données personnelles, d’une analyse de risques et d’impacts le cas échéant, d’une politique de sécurité de son système d’information, d’une charte d’utilisation des moyens informatiques, d’un programme de formation et de sensibilisation de ses utilisateurs à la sécurité et à la protection des données, sous sa seule responsabilité. En aucun cas la responsabilité de LEXISNEXIS ne peut être recherchée en cas de non-respect par le Client des mesures organisationnelles et techniques de protection des données personnelles lui incombant, ni plus généralement dans la détermination par ses soins des catégories de données collectées et/ou chargées par ses soins au sein des Services, des finalités poursuivies et des traitements mis en œuvre par ses soins ou à sa demande.

3. LEXISNEXIS RESPONSABLE DU TRAITEMENT AU SENS DU REGLEMENT UE 2016/679

3.1 Dans le cadre de la fourniture de service Logiciels (LEXIS POLYACTE, LEXIS POLYOFFICE, POLYOFFICE PLUS, POLYACTE PLUS, POLY VB) de services associés (comme Lexis PolyExtranet, reprise de données) et le cas échéant de fourniture de services en ligne (Lexis 360, Lexis Actu, etc.) et d’abonnement à des encyclopédies et/ou revues papier, LEXISNEXIS traite des données à caractère personnel au sens de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et du Règlement européen 2016/679 du 27 avril 2016 relatif aux données à caractère personnel, en qualité de responsable du traitement.

3.2 Les données recueillies dans le cadre des services susvisés sont traitées aux fins de gérer la relation commerciale, la prospection et l’élaboration de statistiques sur la base des données d’usage des Services et pour d’autres finalités complémentaires conformément à la Politique de confidentialité présente sur le site web https://www.lexisnexis.fr/politique-confidentialite.

3.3 Les données collectées sont : les coordonnées personnelles des abonnées et utilisateurs, les informations d’identification du compte, les données bancaires, tout commentaire ou information soumis et les coordonnées professionnelles. Les destinataires des données sont le personnel habilité du service marketing, du service commercial, des services chargés de traiter la relation client et la prospection, des services administratifs, des services logistiques et informatiques ainsi que leurs responsables hiérarchiques ; le personnel habilité des services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle...) au sein de LexisNexis SA, le Client, nos partenaires, nos filiales et nos éventuels sous-traitants dans le respect de la règlementation française et conformément à la Politique de confidentialité.

3.4 Les données sont conservées pendant le délai strictement nécessaire à l’accomplissement des finalités susvisées conformément à la Politique de de confidentialité. Les données sont susceptibles de transfert hors du territoire de l’Espace économique européen mais bénéficient des garanties appropriées ou d’une décision d’adéquation conformément à la réglementation applicable.

3.5 Vous reconnaissez que, lors de l'accès aux services en ligne et de l'utilisation de ces derniers, il vous sera demandé, ainsi qu'aux utilisateurs, de fournir des données à caractère personnel. Vous déclarez et garantissez que les utilisateurs et vous avez respecté toutes les obligations applicables aux termes de la législation relative à la protection des données lorsque vous nous avez fourni des données à caractère personnel, notamment la transmission de toutes notifications requises et l'obtention de tous consentements et autorisations nécessaires pour nous permettre de traiter lesdites données à caractère personnel.

3.6 Sur demande, nous fournirons au Client des données et analyses concernant l'utilisation des services en ligne par les Utilisateurs (ci-après les « Analyses »). Ces analyses identifieront clairement les différents utilisateurs et détailleront leurs activités (y compris, de manière non limitative, les documents et le contenu auxquels ils auront accédé, qu'ils auront imprimés, envoyés par e-mail, téléchargés et recherchés). Nous fournirons les Analyses au Client, à la condition impérative que :

  • vous ne les utilisiez en aucun cas à des fins autres que le soutien des processus décisionnels internes, le contrôle de l'utilisation des Documents et des Services en ligne, les activités que vous menez avec nous en matière d'adoption de produits, ainsi que l'évaluation des niveaux d'utilisation ;
  • les données des Analyses ne soient pas communiquées à des tiers sans avoir obtenu notre accord écrit préalable ;
  • vous assumiez la responsabilité exclusive de la transmission de toutes notifications requises et de l'obtention de tous consentements et autorisations nécessaires de la part des Utilisateurs autorisés au regard de toutes les utilisations des Analyses ;
  • vous nous garantissiez, ainsi que nos sociétés affiliées, sur demande, contre toute responsabilité, tous préjudices, dommages-intérêts, recours, amendes, sanctions, frais et dépens encourus en raison de tout recours d'un tiers à notre encontre résultant de ou en relation avec tout non-respect par le Client des stipulations du présent article.

3.7 Conformément à la réglementation applicable en matière de protection des données personnelles, toute personne dispose des droits (i) d’accès, (ii) de rectification, (iii) d’effacement, (iv) de limitation, (v) de portabilité des données et (vi) d’opposition au traitement en s’adressant via notre portail Centre de Confidentialité, à notre DPO dpo@lexisnexis.co.uk ou bien à l’adresse suivante vosdonnees@lexisnexis.fr, sous réserve le cas échéant de la justification de l’identité de la personne.

3.8 En cas de litige, vous disposez également du droit de saisir la CNIL. Pour plus d’informations sur les traitements mis en œuvre, veuillez consulter la Politique de confidentialité – données personnelles à l’adresse suivante https://www.lexisnexis.fr/politique-confidentialite.