REGLEMENT GENERAL PROTECTION DES DONNEES « RGPD » 2020 version 1

QUALITE DES PARTIES

Conformément à l’article 26 du Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD »), les Parties sont responsables conjoints de traitement car elles déterminent conjointement les moyens et finalités du traitement.

OBLIGATIONS

Dans le cadre de l’exécution de leurs prestations telles que définies au Contrat, les Parties sont amenées à traiter des données personnelles qui ont pour finalité la réalisation des Opérations de paiement en application du Contrat-cadre de Services de paiement. Les Parties s’engagent à :

1. Respecter les lois et règlementations applicables en matière de protection des données personnelles, notamment le RGPD et la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

2. Collecter et traiter les données personnelles de manière licite, loyale et transparente, pour des finalités déterminées, explicites et légitimes ;

3. Informer au préalable les personnes dont les données sont traitées ;

4. Garder les données personnelles strictement confidentielles ;

5. Prendre les mesures de sécurité organisationnelles, physiques et techniques appropriées afin de protéger les données personnelles ;

6. Ne pas transférer hors de l’Union européenne (y compris donner un accès pour consultation hors de l’Union européenne) de données personnelles, sauf vers des pays présentant un niveau de protection dit « adéquat » au sens des autorités européennes de protection des données personnelles, soit vers des organismes ayant signé des clauses contractuelles types telles qu’édictées par les autorités européennes ou des règles internes d’entreprise ;

7. Répercuter sur ses éventuels sous-traitants les obligations qui lui incombent au titre de la réglementation relative à la protection des données à caractère personnel des clients ;

8. Informer les personnes concernées de leurs droits, à savoir : le droit d’accès, le droit de rectification, le droit à la portabilité, le droit à la limitation du traitement, le droit d’opposition et le droit à l’effacement ;

9. Indiquer les informations relatives au délégué à la protection des données, ainsi que le possible recours auprès de l’autorité de contrôle ;

10. Notifier au responsable conjoint de traitement d’une demande d’exercice des droits dans les meilleurs délais si la demande concerne l’autre Partie. Les Parties s’entraident afin de traiter les demandes. Chaque Partie s’abstient de répondre directement à une demande qui ne la concerne pas

    sans le consentement préalable écrit de l’autre Partie. Chaque Partie répondra à sa discrétion aux demandes des dites personnes et autorités de protection des données à caractère personnel si elle la concerne ;

11. Notifier à l’autorité compétence dans les meilleurs délais toute violation de données et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ;

12. Notifier à son responsable de traitement conjoint, toute violation de données dans les meilleurs délais et, si possible 72 heures au plus tard après en avoir pris connaissance ;

13. Tenir un registre des activités de traitement opérées dans le cadre du présent Contrat, conforme à l’article 30 du RGPD ;

14. Transmettre les informations nécessaires à la bonne tenue de son registre de sous-traitant ;

15. Transmettre les noms et coordonnées du délégué à la protection des données personnelles ;

16. S’informer mutuellement de toutes modifications des traitements opérés dans le cadre du présent Contrat et notamment, sans que cette liste ne soit limitative, en cas d’évolution des finalités du traitement ou des mesures de sécurité techniques et organisationnelles qui sont mises en oeuvre ;

17. Assumer la responsabilité en cas de défaillance provenant de leurs sous-traitants ;

18. Etablir un point de contact entre les Parties : DPO DC CASHLESS® - dpo@dc-ipay.com

19. A mettre en oeuvre les mesures organisationnelles et techniques appropriées à la nature, la portée, au contexte, à l’objet du traitement, à la probabilité et à la gravité des risques encourus pour les droits et libertés des personnes en cas de destruction, de perte, d’altération, de divulgation des données à caractère personnel ou d’accès non autorisé, afin d'assurer la sécurité physique et logique des données à caractère personnel, conformément au plus haut des standards suivants :

    • l’état de l’art et des recommandations publiées par les autorités de protection des données à caractère personnel ou les autorités administratives compétentes en matière de sécurité informatique ;

    • standards en vigueur dans l’industrie, notamment les normes ISO.

FINALITE DES TRAITEMENTS

Chaque Partie détermine, sous sa responsabilité, les finalités des traitements dans le présent contrat, ainsi que leurs durées de conservation respectives :

• La gestion des Comptes de paiement ;

• La gestion du KYC ;

• La gestion LCB-FT.

  
  

  CATEGORIE DES DONNEES PERSONNELLES

  Les données personnelles traitées par les Parties concernent :

• Les données d’identité / d’état civil ;

• Les données de connexion ;

• Les données d’information d’ordre économique et financière.

OBLIGATION DES SOUS TRAITANTS

Les sous traitants doivent être autorisés à procéder par écrit préalablement par leur responsable de traitement respectif. Les sous-traitants répondent aux mêmes engagements que ceux de la présente clause :

1. Respecteront en tout temps leurs obligations ;

2. Prendront toutes les mesures nécessaires à la protection de la sécurité et de la confidentialité des données personnelles, y compris en cas de transfert des données hors Union européenne ;

3. Obtiendront préalablement et par écrit l’autorisation de leur responsable de traitement afin de procéder à des transferts de données hors Union européenne ;

4. Fourniront les garanties suivantes pour veiller à la mise en oeuvre des mesures de confidentialité et de sécurité :

1. Indépendance ;

2. Etablissement et fourniture à première demande de la documentation décrivant la confidentialité mise en oeuvre au sein de la solution pour protéger les données personnelles ;

3. Conclusion de clauses contractuelles types encadrant un éventuel transfert des données à un sous- traitant ultérieur qui ne serait pas situé dans l’Union européenne, ou de tout dispositif équivalent dûment reconnu par les autorités de contrôle ;

4. Contrôles et audits internes réguliers de nature à vérifier la permanence des dispositifs et procédures de protection internes des données personnelles, pendant tout le temps de leur conservation ;

5. Mise en oeuvre et maintien d’une procédure de signalement de toute violation ou tout accès non autorisé aux données, avéré ou suspecté, conduisant à l’alerte dans les meilleurs délais du responsable de traitement et le cas échéant

   de l’autorité de contrôle et de la personne concernée ;

6. Mise en oeuvre et maintien d’une procédure de réception et d’exécution des demandes d’exercice des droits des personnes.

2.4. LIMITATION DE L’UTILISATION DES DONNEES

Les Parties s’engagent à s’abstenir d’exploiter ou utiliser, faire des copies ou créer des fichiers des données personnelles au sein des systèmes d’informations à ses propres fins ou pour le compte de tiers.

SECURITE DES DONNEES ET TRANSPARENCE

Les mesures de sécurité devront garantir la confidentialité, l’intégrité, la disponibilité des données à caractère personnel, la traçabilité de l’accès, à tout moment et inclure notamment :

1. Le chiffrement des données à caractère personnel conformément aux exigences de l'état de l'art en la matière ;

2. La formation du personnel susceptible d'accéder aux données à caractère personnel aux bonnes pratiques de sécurité de l'information et de conformité réglementaire ;

3. L'identification et la sécurisation des locaux (par exemple : accès verrouillés, accès restreint et nécessitant une autorisation et une authentification) ;

4. L’identification et le contrôle strict des accès du personnel aux données à caractère personnel et aux Environnements supportant les Services délivrés (comptes nominatifs, politique de mots de passe, traçabilité des accès et actions, revue des comptes...) ;

5. La sécurité logique (par exemple : segmentation réseau, durcissement des configurations, sondes anti-intrusions, firewalls, authentification et archivage des accès sur les données à caractère personnel, simulations d’incidents, clocks synchronization) ;

6. La protection des interfaces d'administration contre les accès non autorisés (utilisation de VPN, authentification forte, utilisation de protocoles sécurisés et chiffrés) ;

7. Le maintien en conditions de sécurité de l'ensemble des éléments sous la responsabilité de Lemon Way (backups, security monitoring, patch management) ;

8. Pour les systèmes exposés sur les réseaux publics, l'implémentation des mesures de sécurité adaptées (reverse proxy, WAF, anti-DDoS) ;

9. La mise en oeuvre d’une architecture technique répondant

   aux exigences exprimées par le Client en matière de disponibilité ;

10. La sécurisation des flux d'échanges de données à caractère personnel de manière qu'ils ne puissent être exploités par un tiers non autorisé ;

11. L’historicisation des activités sur le système informatique ;

12. La protection des Environnements informatiques par logiciel antivirus à jour (programmes et signatures virales) ;

13. La destruction sécurisée des données à caractère personnel ;

14. La mise en place de procédures de contrôles pour s'assurer du niveau de sécurité (par exemple : tests d’intrusion, des scans de vulnérabilité, des audits de sécurité…).