Accord de traitement des données

à caractère personnel (DPA) — Naia

Version 1.0 — publié sur www.naiahydro.com/dpa · Annexe au contrat d’abonnement Naia

Le présent Accord de traitement des données (le « DPA ») fait partie intégrante du contrat d’abonnement (le « Contrat ») et des Conditions Générales conclus entre le Client et le Prestataire (selon l’entité indiquée au Contrat : Hydro Software Services SRL, Rue Fernand Stimart 7, 5020 Namur, Belgique, BCE 1025.825.775, ou MDA SAS, France). Il encadre le traitement des données à caractère personnel effectué par le Prestataire pour la fourniture du Service Naia, conformément au Règlement (UE) 2016/679 (« RGPD »).

Rôle des Parties. Pour les données traitées dans le cadre de la fourniture du Service, le Client agit en qualité de responsable du traitement et le Prestataire en qualité de sous-traitant, au sens de l’article 28 du RGPD. Pour la gestion de ses propres comptes membres et de son programme communautaire (création de comptes, sécurité, statistiques agrégées), le Prestataire peut agir en qualité de responsable de traitement indépendant, conformément à sa politique de confidentialité publiée sur www.naiahydro.com.

1. Définitions

Les termes en majuscule non définis ici ont le sens donné par le RGPD ou par le Contrat et les Conditions Générales.

« Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, traitée par le Prestataire pour le compte du Client.

« Personne concernée » : la personne physique à laquelle se rapportent les Données personnelles.

« Traitement » : toute opération portant sur des Données personnelles (collecte, enregistrement, conservation, consultation, communication, effacement, etc.).

« Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des Données personnelles.

« Sous-traitant ultérieur » : tout sous-traitant auquel le Prestataire fait appel pour traiter des Données personnelles pour le compte du Client.

« Autorité de contrôle » : une autorité publique indépendante de protection des données compétente (en Belgique, l’Autorité de protection des données ; en France, la CNIL).

« Mesures techniques et organisationnelles » : les mesures destinées à protéger les Données personnelles, décrites à l’Annexe 3.

2. Objet et instructions

2.1 Le Prestataire traite les Données personnelles uniquement pour fournir le Service Naia et sur instruction documentée du Client. Le Contrat, les Conditions Générales et le présent DPA (y compris ses annexes) constituent les instructions initiales et complètes du Client.

2.2 Le Prestataire informe le Client s’il estime qu’une instruction constitue une violation du RGPD ou d’une autre disposition applicable en matière de protection des données.

2.3 Si le Prestataire est tenu de traiter les Données personnelles au-delà des instructions du Client en vertu du droit de l’Union ou d’un État membre, il en informe le Client avant le traitement, sauf interdiction légale.

3. Détails du traitement (Annexe 1)

La nature, la finalité, les catégories de Données personnelles et de Personnes concernées, ainsi que la durée du Traitement sont décrites à l’Annexe 1.

4. Obligations du Prestataire (sous-traitant)

Le Prestataire s’engage à :

• traiter les Données personnelles uniquement sur instruction documentée du Client, y compris en cas de transfert hors de l’Union européenne ;
• veiller à ce que les personnes autorisées à traiter les Données personnelles soient soumises à une obligation de confidentialité ;
• mettre en œuvre et maintenir les Mesures techniques et organisationnelles décrites à l’Annexe 3 ;
• aider le Client, par des mesures appropriées et dans la mesure du possible, à répondre aux demandes d’exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) ;
• aider le Client à assurer le respect de ses obligations en matière de sécurité, de notification des Violations de données, d’analyses d’impact (AIPD) et de consultation préalable de l’Autorité de contrôle ;
• mettre à la disposition du Client les informations nécessaires pour démontrer le respect de l’article 28 du RGPD et permettre des audits, dans les conditions de l’article 4 ci-dessous ;
• notifier au Client, sans délai, toute demande contraignante de divulgation émanant d’une autorité (sauf interdiction légale) et toute demande reçue directement d’une Personne concernée, sans y répondre lui-même sauf autorisation ;
• selon le choix du Client, supprimer ou restituer les Données personnelles au terme de la prestation, conformément à l’article 9.

4.bis Les audits sont réalisés sur préavis raisonnable, pendant les heures ouvrables, sans perturber excessivement l’activité du Prestataire, dans le respect de la confidentialité, et aux frais du Client lorsqu’ils excèdent la simple mise à disposition de documentation.

5. Obligations du Client (responsable du traitement)

5.1 Le Client garantit que la collecte et la communication des Données personnelles au Prestataire reposent sur une base légale valable et respectent le RGPD, et qu’il a, le cas échéant, informé les Personnes concernées et recueilli les consentements requis.

5.2 Le Client est responsable de l’exactitude des Données personnelles qu’il fournit et de la licéité de ses instructions.

6. Sous-traitants ultérieurs (Annexe 2)

6.1 Le Client autorise le recours aux Sous-traitants ultérieurs listés à l’Annexe 2 pour la fourniture du Service.

6.2 Le Prestataire informe le Client de tout projet d’ajout ou de remplacement de Sous-traitant ultérieur. Le Client peut s’y opposer pour un motif raisonnable et légitime, par écrit, dans un délai de quatorze (14) jours. À défaut de solution, le Client peut résilier la partie du Service concernée.

6.3 Le Prestataire impose à chaque Sous-traitant ultérieur, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure responsable de leurs prestations.

7. Transferts hors de l’Union européenne

Le Service est hébergé au sein de l’Union européenne. Tout transfert de Données personnelles vers un pays tiers n’a lieu que s’il est encadré par un mécanisme de transfert valable au titre du RGPD (décision d’adéquation ou clauses contractuelles types de la Commission européenne), assorti des garanties appropriées.

8. Violation de données

Le Prestataire notifie au Client toute Violation de données la concernant dans les meilleurs délais après en avoir pris connaissance, avec les informations raisonnablement disponibles, et l’assiste dans ses obligations de notification à l’Autorité de contrôle et, le cas échéant, aux Personnes concernées.

9. Durée, suppression et restitution

9.1 Le présent DPA s’applique pendant toute la durée du Traitement réalisé dans le cadre du Contrat.

9.2 Au terme de la prestation, le Prestataire supprime ou restitue, au choix du Client, les Données personnelles, et en supprime les copies existantes, sauf obligation légale de conservation.

9.3 Durées de conservation indicatives : les données techniques (production, météo, débits) sont conservées pendant la durée du Contrat majorée de douze (12) mois ; les données contractuelles et de facturation, sept (7) ans ; les journaux d’audit de la communauté, sept (7) ans ; les sauvegardes, trente (30) jours en rotation. Les données de compte communautaire sont supprimées sur demande, sous réserve de la conservation des statistiques anonymisées.

10. Responsabilité

La responsabilité au titre du présent DPA est régie par les stipulations de limitation de responsabilité des Conditions Générales, qui s’appliquent de manière globale à l’ensemble de la relation contractuelle.

11. Dispositions diverses

11.1 En cas de contradiction relative à la protection des données entre le présent DPA et les autres documents contractuels, le DPA prévaut sur ces seules questions.

11.2 Si une stipulation du DPA est jugée invalide, les autres demeurent en vigueur et la stipulation concernée est remplacée par une stipulation valide d’effet équivalent.

11.3 Sans préjudice de l’application du RGPD, le présent DPA est régi par le même droit que le Contrat (droit belge si le Prestataire est Hydro Software Services SRL ; droit français si le Prestataire est MDA SAS).

Annexe 1 — Détails du traitement

Catégories de Personnes concernées : les Utilisateurs et contacts du Client (gérants, employés, mandataires) ; les membres et utilisateurs de Naia Community rattachés au Client ; le cas échéant, les contacts mentionnés dans les mandats DSO.

Catégories de Données personnelles : données d’identification et de contact (nom, prénom, fonction, e-mail, téléphone) ; identifiants et données de connexion ; données relatives à l’abonnement et à la facturation ; contributions communautaires (commentaires, réponses aux enquêtes) ; journaux d’usage et d’audit. Les Données de production des centrales sont des données techniques ; elles ne constituent des Données personnelles que dans la mesure où elles se rattachent à une personne physique identifiable.

Catégories particulières de données : aucune n’est requise ni sollicitée par le Service.

Nature et finalité du Traitement : hébergement, supervision et analyse de la production des centrales ; gestion des comptes et des accès ; fourniture du module communautaire et du programme de fidélité ; support, facturation et amélioration du Service.

Durée : la durée du Contrat, sous réserve des durées de conservation de l’article 9.3.

Annexe 2 — Sous-traitants ultérieurs

Liste des Sous-traitants ultérieurs autorisés (à actualiser par le Prestataire ; la version à jour est publiée sur www.naiahydro.com/dpa) :

Note : la localisation et la finalité doivent être vérifiées et tenues à jour par le Prestataire. Les sous-traitants situés hors UE relèvent de l’article 7.

Annexe 3 — Mesures techniques et organisationnelles

Le Prestataire met en œuvre et maintient des mesures de sécurité conformes à l’état de l’art et adaptées au risque, notamment :

• chiffrement des communications (HTTPS/TLS) et chiffrement des données sensibles au repos ;
• gestion stricte des droits d’accès (principe du moindre privilège, procédure d’arrivée/départ des collaborateurs) et authentification robuste ;
• cloisonnement des environnements et des données entre clients ;
• journalisation des accès et des actions d’administration, et détection des usages anormaux ;
• sauvegardes régulières (rotation 30 jours) et procédures de restauration ;
• politique de sécurité, sensibilisation des collaborateurs et engagements de confidentialité ;
• hébergement au sein de l’Union européenne et recours à des fournisseurs présentant des garanties suffisantes ;
• réévaluation périodique des mesures au regard des risques et de l’évolution des techniques.