Partner Tech

Contrat pour le traitement des données


au nom de


entre le client, également appelé "partie" 

et Partner Tech Europe GmbH, également appelé "contractant" ou "partie" 

et collectivement appelé "parties".



1. Généralités

  1. Dans le cadre de la fourniture de services au titre du contrat principal conclu entre les parties, il n'est pas exclu que, lors de la maintenance et de l'entretien du matériel et des logiciels fournis, le contractant entre en contact avec des données personnelles (ci-après dénommées " données du client ") dont le client est l'organe responsable au sens de la réglementation sur la protection des données. Le présent contrat de traitement des données précise les droits et obligations des parties dans le cadre du traitement des données personnelles du client. 
  2. Le preneur d'ordre traite des données personnelles pour le compte du client au sens des articles 4, n° 8, et 4, n° 9, de la loi sur la protection des données. 4 n° 8 et de l'art. 28 du règlement (UE) 2016/679 - règlement général sur la protection des données (RGPD). Le présent accord régit les droits et obligations des parties dans le cadre du traitement des données à caractère personnel pour le compte du client. Les différents services fournis par le contractant sont décrits plus en détail dans le contrat principal conclu entre les parties. D'autres détails sur la collecte, le traitement et l'utilisation des données peuvent être trouvés dans les offres du contractant qui sous-tendent la relation d'affaires et, le cas échéant, dans d'autres commandes individuelles.
  3. Si des termes sont utilisés dans le présent contrat qui sont légalement définis dans le GDPR, la définition correspondante du GDPR sera adoptée et utilisée comme base pour le présent contrat. Cela s'applique en particulier au terme "traitement" (des données) dans l'Art. 4 No. 2 GDPR.


2. Objet du contrat

L'objet du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées sont spécifiés dans le contrat principal.


3. Droits et obligations du client

  1. Le client est le responsable du traitement au sens de l'art. 4 n° 7 GDPR pour le traitement des données au nom du contractant. 
  2. Le client est responsable de la sauvegarde des droits des personnes concernées. Le preneur d'ordre informera immédiatement le client si des personnes concernées font valoir leurs droits à l'encontre du preneur d'ordre.
  3. Le client a le droit de donner à tout moment au preneur d'ordre des instructions supplémentaires concernant le type, l'étendue et la procédure du traitement des données. Les instructions doivent être données sous forme de texte (par exemple par courrier électronique). Les instructions verbales doivent être confirmées immédiatement sous forme de texte.
  4. Les dispositions relatives à l'indemnisation des frais supplémentaires encourus par le preneur d'ordre à la suite d'instructions complémentaires du donneur d'ordre restent inchangées.
  5. Le donneur d'ordre informe immédiatement le preneur d'ordre s'il découvre des erreurs ou des irrégularités en rapport avec le traitement de données à caractère personnel par le preneur d'ordre.
  6. S'il existe une obligation d'information à l'égard de tiers conformément aux articles 33 et 34 du RGPD ou toute autre obligation d'information légale applicable au donneur d'ordre, le donneur d'ordre est responsable du respect de ces obligations.


4obligations générales du preneur d'ordre

  1. Le preneur d'ordre traite les données à caractère personnel exclusivement dans le cadre des accords conclus et/ou conformément aux instructions complémentaires du donneur d'ordre. Ceci ne s'applique pas aux dispositions légales qui peuvent obliger le preneur d'ordre à traiter les données d'une autre manière. Dans ce cas, le contractant informera le client de ces exigences légales avant le traitement, à moins que la loi applicable n'interdise une telle notification pour des raisons d'intérêt public important. Dans le cas contraire, l'objet, le type et l'étendue du traitement des données sont exclusivement régis par le présent contrat et/ou les instructions du client. Il est interdit au contractant de traiter les données d'une autre manière, à moins que le client n'ait donné son accord écrit.
  2. Le traitement des données du client par le contractant pour le compte du client a généralement lieu dans les États membres de l'Union européenne (UE) ou de l'Espace économique européen (EEE). Toutefois, le contractant peut également traiter les données du client en dehors de l'EEE, conformément aux dispositions du présent contrat, s'il satisfait aux exigences des articles 44 et suivants de la loi sur la protection des données. 44 ff. GDPR.
  3. Le contractant informera immédiatement le client s'il estime qu'une instruction donnée par le client enfreint les dispositions légales. Le preneur d'ordre est autorisé à suspendre l'exécution de l'instruction en question jusqu'à ce qu'elle ait été confirmée ou modifiée par le donneur d'ordre. Si le contractant peut démontrer que le traitement effectué conformément aux instructions du client pourrait engager sa responsabilité au titre de l'art. 82 GDPR, le contractant est libre de suspendre tout traitement ultérieur à cet égard jusqu'à ce que la responsabilité entre les parties ait été clarifiée.
  4. Le traitement de données pour le compte du client en dehors des locaux commerciaux du contractant ou de ses sous-traitants n'est autorisé qu'avec le consentement du client, qui doit être donné au moins par écrit. Le traitement de données pour le compte du client dans des domiciles privés est généralement autorisé. Le client a le droit de s'opposer à un tel traitement au domicile privé dans des cas justifiés ; le contractant peut, à sa discrétion, poursuivre le traitement à son siège social ou remédier aux motifs d'opposition du client.
    Le contractant veille à ce que les mesures techniques et organisationnelles soient respectées. Le client est conscient que cela peut entraîner une limitation des possibilités de contrôle.
  5. Le contractant traite les données qu'il traite pour le compte du client séparément des autres données. La séparation physique n'est pas obligatoire. 

5. Délégué à la protection des données du contractant
  1. Le contractant confirme qu'il a désigné un délégué à la protection des données conformément à l'art. 37 DU RGPD. Le contractant veille à ce que le délégué à la protection des données dispose des qualifications et de l'expertise nécessaires. Le contractant communique par écrit au client, sur demande, le nom et les coordonnées de son délégué à la protection des données. 
  2. L'obligation de désigner un délégué à la protection des données conformément au paragraphe 1 ne s'applique pas si le contractant peut prouver qu'il n'est pas légalement tenu de désigner un délégué à la protection des données et qu'il peut prouver qu'il existe des règles opérationnelles garantissant que les données à caractère personnel sont traitées conformément aux dispositions légales, aux dispositions du présent contrat et à toute autre instruction du client.


6obligations d'information du contractant

  1. Le contractant est tenu d'informer immédiatement le client de toute violation des dispositions relatives à la protection des données ou des accords contractuels conclus et/ou des instructions données par le client, survenue dans le cadre du traitement des données par lui-même ou par d'autres personnes impliquées dans le traitement. Il en va de même pour toute violation de la protection des données à caractère personnel que le contractant traite pour le compte du client.
  2. En outre, le contractant informera immédiatement le client si une autorité de contrôle prend des mesures à l'encontre du contractant conformément à l'article 58 du RGPD, ce qui peut également avoir des conséquences pour le contractant. 58 GDPR et que cela peut également affecter le traitement effectué par le contractant pour le compte du client.
  3. Le contractant aidera le client à remplir les obligations de déclaration conformément à l'Art. 33 GDPR et l'obligation de notification conformément à l'Art. 34 DU GDPR. Le rapport du contractant au client doit notamment contenir les informations suivantes :

    • une description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, les catégories de données à caractère personnel concernées et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    • une description des mesures prises ou proposées par le contractant pour remédier à la violation de données à caractère personnel et, le cas échéant, des mesures visant à en atténuer les éventuelles conséquences négatives.


7obligations de coopération du contractant

  1. Le contractant soutient le client dans son obligation de répondre aux demandes d'exercice des droits des personnes concernées conformément aux articles 12 à 22 du GDPR. Les dispositions de la section 11 du présent contrat s'appliquent.
  2. Le contractant assiste le client dans l'établissement des registres des activités de traitement. Il fournit au client les informations nécessaires à cet égard de manière appropriée.
  3. Le contractant aide le client à respecter les obligations énoncées aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont il dispose.


8pouvoirs de contrôle

  1. Le client a le droit de contrôler à tout moment et dans la mesure nécessaire le respect par le contractant des dispositions légales en matière de protection des données et/ou des dispositions contractuelles convenues entre les parties et/ou des instructions du client.
  2. Le contractant est tenu de fournir au client les informations nécessaires à l'exécution du contrôle au sens du paragraphe 1.
  3. Le donneur d'ordre peut demander l'accès aux données traitées par le preneur d'ordre pour le compte du donneur d'ordre ainsi qu'aux systèmes et programmes de traitement des données utilisés.
  4. Le donneur d'ordre peut, moyennant un préavis raisonnable, effectuer le contrôle au sens du paragraphe 1 dans les locaux du preneur d'ordre pendant les heures de bureau normales. Le donneur d'ordre veille à ce que les contrôles ne soient effectués que dans la mesure nécessaire pour ne pas perturber de manière disproportionnée les activités commerciales du preneur d'ordre.
  5. Le contrôle visé au point (4) peut également être effectué par un expert désigné par le donneur d'ordre. Le contractant doit être informé de cette nomination à l'avance et en temps utile afin de pouvoir s'y opposer dans des cas justifiés, par exemple si l'expert est un concurrent potentiel du contractant. Dans le cas d'une telle objection, le client peut, à sa discrétion, effectuer lui-même l'inspection en question ou remédier aux motifs d'objection du contractant (par exemple en désignant un autre expert). 
  6. En cas de mesures prises par l'autorité de surveillance à l'encontre du client au sens de l'article 58 du RGPD, en particulier en ce qui concerne l'utilisation de l'expertise par le contractant, le client peut demander à l'autorité de surveillance d'effectuer l'inspection en question. 58 GDPR, notamment en ce qui concerne les obligations d'information et de contrôle, le contractant est tenu de fournir au client les informations nécessaires et de permettre à l'autorité de contrôle compétente de procéder à une inspection sur place. Le preneur d'ordre doit informer le client des mesures prévues.


9. Sous-traitance

  1. Le client accepte que le preneur d'ordre fasse appel à des sous-traitants. Le preneur d'ordre informera le donneur d'ordre avant d'engager des sous-traitants supplémentaires ou de remplacer des sous-traitants existants. Le donneur d'ordre peut s'opposer au changement pour des motifs valables dans les deux semaines suivant la réception de l'information du preneur d'ordre, en le notifiant au bureau désigné par le preneur d'ordre. Si aucune objection n'est formulée dans ce délai, le consentement à la modification est réputé avoir été donné. Les sous-traitants employés par le contractant au moment de la signature du contrat sont énumérés à la page suivante XXX et sont acceptés par le client.
  2. Le contractant conclut avec le sous-traitant un accord de traitement des données conforme aux exigences de l'art. 28 GDPR. En outre, le contractant impose au sous-traitant les mêmes obligations de protection des données à caractère personnel que celles convenues entre le client et le contractant. Une copie de l'accord sur le traitement des données doit être fournie au client sur demande.
  3. Le contractant est notamment tenu de garantir par des dispositions contractuelles que les pouvoirs de contrôle (section 8 du présent contrat) du client et des autorités de contrôle s'appliquent également au sous-traitant et que les droits de contrôle correspondants des clients et des autorités de contrôle sont convenus. Il doit également être stipulé dans le contrat que le sous-traitant doit tolérer ces mesures de contrôle et les éventuelles inspections sur place.
  4. Les services que l'entrepreneur utilise auprès de tiers en tant que services purement auxiliaires pour mener à bien ses activités commerciales ne doivent pas être considérés comme des relations de sous-traitance au sens de l'article 9. Il s'agit par exemple de services de nettoyage, de services de télécommunications purs sans lien spécifique avec les services que le contractant fournit au client, de services postaux et de messagerie, de services de transport et de services de sécurité. Le preneur d'ordre est néanmoins tenu de s'assurer que des précautions et des mesures techniques et organisationnelles appropriées ont été prises pour garantir la protection des données à caractère personnel, même dans le cas de services auxiliaires fournis par des tiers. La maintenance et l'entretien de systèmes ou d'applications informatiques constituent une relation de sous-traitance nécessitant un consentement et un traitement de la commande au sens de l'art. 28 GDPR si la maintenance et les tests concernent des systèmes informatiques qui sont également utilisés dans le cadre de la prestation de services pour le client et si des données à caractère personnel traitées pour le compte du client sont accessibles pendant la maintenance.


10obligation de confidentialité et de secret

  1. Les deux parties s'engagent à traiter de manière confidentielle toutes les informations qu'elles reçoivent dans le cadre de l'exécution du présent contrat pour une durée illimitée et à ne les utiliser que pour l'exécution du contrat. 
  2. Aucune des parties n'est autorisée à utiliser ces informations, en tout ou en partie, à d'autres fins que celles mentionnées ci-dessus ou à mettre ces informations à la disposition de tiers. La disposition ci-dessus ne s'applique pas aux audits réalisés dans le cadre du traitement des commandes.
  3. Les obligations susmentionnées aux points 1 et 2 ne s'appliquent pas aux informations que l'une des parties a manifestement reçues de tiers sans être tenue à la confidentialité ou qui sont connues du public.
  4. Le contractant est tenu à la confidentialité lors du traitement des données et des informations qu'il reçoit ou dont il a connaissance dans le cadre de la commande. Le preneur d'ordre s'engage à respecter les mêmes règles de confidentialité que celles qui s'appliquent au donneur d'ordre. Le donneur d'ordre est tenu d'informer le preneur d'ordre de toute règle de confidentialité particulière.
  5. Le preneur d'ordre garantit qu'il connaît les dispositions applicables en matière de protection des données et qu'il est familiarisé avec leur application. Le preneur d'ordre garantit en outre qu'il familiarisera ses employés avec les dispositions pertinentes en matière de protection des données. 
  6. Le preneur d'ordre garantit en outre qu'il a obligé les employés participant à l'exécution des travaux à respecter la confidentialité et qu'il les a informés des instructions du donneur d'ordre. Sur demande, le donneur d'ordre doit fournir la preuve de cette obligation des employés.


11. Protection des droits des personnes concernées

  1. Le contractant est tenu de soutenir le client dans son obligation de traiter les demandes des personnes concernées conformément aux articles 12 à 22 du RGPD. Ce faisant, le contractant veillera en particulier à ce que les informations nécessaires soient fournies sans délai au client afin que ce dernier puisse remplir ses obligations au titre de l'art. 12 (3) GDPR. En particulier, le contractant prendra les mesures nécessaires conformément aux instructions du client. 
  2. Si une personne concernée contacte le contractant pour exercer ses droits relatifs au traitement de ses données, le contractant transmettra les informations pertinentes au client.



12. Mesures techniques et organisationnelles pour la sécurité des données

  1. Le contractant s'engage envers le client à respecter les mesures techniques et organisationnelles nécessaires pour se conformer aux réglementations applicables en matière de protection des données. Il s'agit en particulier des exigences de l'article 32 du RGPD. 32 GDPR.
  2. L'état des mesures techniques et organisationnelles existant au moment de la conclusion du contrat est documenté à l'adresse [LINK]. Les parties conviennent que des modifications des mesures techniques et organisationnelles peuvent être nécessaires pour s'adapter aux circonstances techniques et juridiques. Les mesures qui ne portent pas atteinte à l'intégrité, à la confidentialité et à la disponibilité des données à caractère personnel peuvent être mises en œuvre par le contractant sans consultation du client. Le client peut à tout moment consulter une version actualisée des mesures techniques et organisationnelles prises par le contractant via le lien susmentionné. 
  3. Le contractant vérifie régulièrement et ponctuellement l'efficacité des mesures techniques et organisationnelles qu'il a prises et fournit généralement des informations sur les modifications nécessaires sur la page correspondante.


13. Durée du contrat ; résiliation

  1. La durée du présent contrat correspond à la durée du contrat principal. Les dispositions relatives à la résiliation ordinaire du contrat principal s'appliquent en conséquence.
  2. Le client est en droit de résilier le présent contrat à tout moment pour de justes motifs. Pour le client, il y a motif valable notamment lorsque
    • le contractant viole une obligation essentielle du présent contrat,
    • le contractant utilise les données du client à des fins autres que celles autorisées par le présent contrat,
    • le contractant n'exécute pas une instruction du client,
    • le contractant refuse d'exercer les droits de contrôle du client ou entrave considérablement cet exercice, ou
    • le contractant fait appel à un autre sous-traitant contrairement aux dispositions de l'article 9.
  3. En cas de résiliation du présent contrat, le contrat principal ne peut être poursuivi que s'il est exclu que le contractant traite les données du client. En cas de doute, la résiliation du contrat principal vaut également résiliation du présent contrat, et la résiliation du présent contrat vaut également résiliation du contrat principal.


14. Responsabilité

Le contractant est responsable, conformément aux dispositions légales en matière de responsabilité, des dommages subis par le client en raison d'une violation fautive du présent contrat par le contractant ou des obligations légales en matière de protection des données directement applicables au contractant. Les autres limitations de responsabilité convenues entre les parties (par exemple dans le contrat principal) ne s'appliquent pas à cet égard. 


15. Résiliation

  1. En cas de résiliation du contrat, le preneur d'ordre effacera tous les documents, données et résultats de traitement ou d'utilisation créés dans le cadre de la relation contractuelle et entrés en sa possession. L'effacement doit être documenté de manière appropriée. 
  2. Les éventuelles obligations légales de conservation ou autres obligations de stockage des données ne sont pas affectées. Les supports de données doivent être détruits à la demande du client, en respectant au moins le niveau de sécurité 3 de la norme ISO 21964-1 à 3 ; la preuve de la destruction doit être fournie au client.
  3. Le client a le droit de vérifier que les données ont été restituées et supprimées par le contractant dans leur intégralité et conformément au contrat. Il peut également le faire en inspectant les équipements de traitement des données dans les locaux du preneur d'ordre. Le donneur d'ordre est tenu d'informer le preneur d'ordre dans un délai raisonnable de toute inspection sur place.


16. Droit de rétention

Les parties conviennent que le droit de rétention du preneur d'ordre au sens de l'article 273 du Code civil allemand (BGB) est exclu en ce qui concerne les données traitées et les supports de données associés.


17dispositions finales

  1. Si les biens du client se trouvant dans les locaux du preneur d'ordre sont menacés par des mesures prises par des tiers (par exemple par saisie ou confiscation), par une procédure d'insolvabilité ou par d'autres événements, le preneur d'ordre en informera immédiatement le client. Le preneur d'ordre informe immédiatement les créanciers que les données en question sont traitées pour le compte du donneur d'ordre.
  2. Les accords annexes doivent être conclus par écrit.
  3. La nullité de certaines parties du présent contrat n'affecte pas la validité des autres dispositions du contrat. Les parties s'engagent à remplacer la disposition invalide par une disposition légale admissible qui se rapproche le plus de l'objectif de la disposition invalide et qui répond le mieux aux exigences de l'art. 28 GDPR. 28 GDPR.
  4. En cas de contradiction entre le présent contrat et d'autres accords entre les parties, notamment le contrat principal et les conditions générales, les dispositions du présent contrat priment.
  5. Le présent contrat est joint aux conditions générales et fait partie intégrante des accords contractuels entre les parties. Une déclaration séparée de l'intention des parties de conclure cet accord sur le traitement des données (par exemple par une signature) n'est pas nécessaire.