Définir sa roadmap de financement de l'innovation
S'inscrire au Webinaire !
cir cii

Clause de confidentialité pour les contrats clients

Traitement des données personnelles
Version du : 18/09/2025

Les parties s’assurent du respect de la législation applicable en matière de protection des données personnelles, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 et la loi n°78-17 du 6 janvier 1978. Aux fins des présentes, les termes « responsable de traitement », « sous-traitant », « traitement », « traiter », « personnes concernées » et « données personnelles » ont la même définition que dans la Législation sur les Données Personnelles.  

1. RESPONSABILITÉ DU TRAITEMENT  

Dans le cadre du traitement présenté à l’article 5, il est expressément convenu que : le CLIENT est le Responsable de Traitement au sens de la Législation sur les Données Personnelles ; BARRIÈRE CONSEIL INNOVATION est le Sous-Traitant au sens de la Législation sur les Données Personnelles.

Dans le cadre des opérations de prospections commerciales, le traitement des données est précisé sur le site internet de BARRIERE CONSEIL INNOVATION www.bconseil.fr dans l’onglet « Politique de confidentialité ».

2. CONFORMITÉ A LA LÉGISLATION SUR LES DONNÉES PERSONNELLES

Chacune des parties doit se conformer à la Législation sur les Données Personnelles. En particulier, le Responsable de Traitement doit obtenir et conserver toute autorisation, notification et/ou déclaration règlementaires nécessaire aux termes de la Législation sur les Données Personnelles.  

3. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT  

Le Responsable de Traitement s’engage à :  

a. fournir au sous-traitant les données visées à l’article 1 des présentes clauses ;

b. documenter par écrit toute instruction concernant le traitement des données par le Sous-Traitant ;

c. garantir que toutes les données personnelles fournies par le Responsable de Traitement et toutes les instructions données au Sous-Traitant sont conformes à la Législation sur les Données Personnelles ;

d. superviser le traitement des données auprès du Sous-Traitant ;

e. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le Règlement Européen sur la Protection des Données de la part du Sous-Traitant.

4. INSTRUCTIONS AU SOUS-TRAITANT  

Le Sous-Traitant traite des données personnelles pour le compte du Responsable de Traitement. En conséquence, le Sous-Traitant devra :  

a. traiter les données personnelles uniquement sur et conformément aux instructions documentées du Responsable de Traitement ;  

b. informer le Responsable de Traitement de toute obligation l’obligeant à traiter les données personnelles d’une autre manière que conformément aux Instructions de Traitement (sauf si d’autres obligations légales interdisent au Sous-Traitant de divulguer cette information) ;

c. informer le Responsable de Traitement si, selon lui, une Instruction de Traitement contrevient à la Législation sur les Données Personnelles. Le cas échéant, le Sous-Traitant ne saurait être tenu responsable de tout dommage résultant :  

i. de son échec à informer le Responsable de Traitement ;  

ii. de tout traitement ou refus de traitement de données personnelles conformément aux instructions de traitement, postérieurement à la réception par le Responsable de Traitement de cette information.  

d. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat ;

e. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de la protection des données par défaut.

5. DÉTAILS DU TRAITEMENT  

Le traitement de données personnelles accompli par le Sous-Traitant est le suivant :

- Finalité du traitement de données personnelles : réalisation de la Mission ;

- Durée du traitement de données personnelles : durée des présentes, conservation pour 6 ans (durée de la prescription fiscale) ;

- Nature du traitement de données personnelles : saisie, hébergement, transfert ;

- Type de données personnelles : données comptables et financières, fiches de paies, CV, diplômes, donnés d’identification, coordonnées professionnelles ;

- Catégorie de personnes concernées : personnel/prestataires du Client.

6. MESURES TECHNIQUES ET ORGANISATIONNELLES

Le Sous-Traitant, conformément à la Législation sur les Données Personnelles, fournit des garanties suffisantes pour mettre en œuvre des mesures de sécurité appropriées concernant le traitement des données personnelles. Il assurera notamment les mesures suivantes :

a. l’accès aux données n’est fourni qu’aux collaborateurs autorisés par le Sous-Traitant à participer à la Mission ;

b. les ordinateurs des collaborateurs et les plateformes de stockages de données sont protégés par un système d’authentification individuel et un anti-virus.

7. SOUS-TRAITANTS ULTÉRIEURS  

Dans le cadre de l’exécution des présentes, le Responsable de Traitement pourra autoriser le Sous-Traitant à engager des Sous-Traitants Ultérieurs pour l’accomplissement des traitements de données personnelles objet des présentes. Une telle autorisation sera réputée acquise :

a. si le Sous-Traitant informe le Responsable de Traitement de l’identité du Sous-Traitant Ultérieur projeté ; et  

b. en l’absence de refus écrit par le Responsable de Traitement, justifié par le fait que le Sous-Traitant Ultérieur serait inapte à remplir les obligations résultant de la présente annexe, dans les dix (10) jours suivant l’information par le Sous-Traitant de l’identité du Sous-Traitant Ultérieur.

Le Responsable de Traitement reconnaît que l'impossibilité d'utiliser un Sous-Traitant Ultérieur particulier peut entraîner un retard dans l'exécution des services objet des présentes, l'impossibilité de les exécuter ou une augmentation du prix.

Le Responsable de Traitement autorise d’ores et déjà le Sous-Traitant à recourir à titre de Sous-Traitant Ultérieur à :

a. Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irlande ;

b. OpenAI Ireland Limited,1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlande ;

c. LFE Partners, 33 rue du Faubourg St Antoine, 75011 Paris, France ;

d. DonkeyCode, 195 rue des Pyrénées, 75020 Paris, France ;

e. Adobe Systems Software Ireland Limited, 3100 Lakedrive Saggard, D24 City West Bus. Campus Unit, Ireland.

8. PERSONNEL  

Le Sous-Traitant s’engage à ce que les personnes autorisées à traiter les données personnelles :

a. s’engagent à respecter la confidentialité par un accord de confidentialité ;

b. reçoivent la formation nécessaire en matière de protection des données à caractère personnel.  

9. DROIT DES PERSONNES CONCERNÉES

Aux fins des présentes, le terme « Requête d’une Personne Concernée » désigne une demande faite par une personne concernée en vue d’exercer ses droits en vertu de la Législation sur les Données Personnelles : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).  

Il appartient au Responsable de Traitement de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données. Dans la mesure du possible, le Sous-Traitant doit aider le responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.

Lorsque les Personnes Concernées exercent auprès du Sous-Traitant des demandes d’exercice de leurs droits, le Sous-Traitant doit adresser ces demandes au Responsable de Traitement par courrier électronique dans les sept jours ouvrés suivant la réception de ladite demande. Lorsque le nombre de Requêtes de Personnes Concernées soumises dépasse cinq par mois, le Responsable de Traitement doit payer les frais du Sous-Traitant aux tarifs à définir entre les parties pour l'enregistrement et le renvoi des Requêtes de Personnes Concernées conformément au présent article.  

10. ASSISTANCE À LA CONFORMITÉ DU RESPONSABLE DE TRAITEMENT  

Sans préjudice de l’article 2 de la présente annexe et sous réserve du paiement des frais visés ci-dessous, le Sous-Traitant doit fournir une assistance au Responsable de Traitement, notamment dans le cadre de la réalisation :  

a. d’analyses d’impact relative à la protection des données ;

b. de la consultation préalable de l’autorité de contrôle.

10. TRANSFERTS DE DONNÉES PERSONNELLES EN DEHORS DE L’ESPACE ÉCONOMIQUE EUROPÉEN

Le Sous-Traitant s'engage à traiter l'ensemble des données personnelles exclusivement sur le territoire de l’Union Européenne (UE), le territoire d’un pays de l’Espace Économique Européen (EEE), d’un pays reconnu comme adéquat par la Commission Européenne, y compris lors d’un recours à un sous-traitant ultérieur. Le Sous-traitant s’assure qu’aucune donnée personnelle ne sera transférée hors de ce territoire par lui, ses propres sous-traitants, ou les personnes agissant sous son autorité ou pour son compte.  

11. REGISTRE DES ACTIVITÉS DE TRAITEMENT  

Le Sous-Traitant devra tenir un registre des activités de traitements effectués pour le compte du Responsable de Traitement, tel que cela est exigé par la Législation sur les Données Personnelles, comprenant :

a. le nom et les coordonnées du Responsable de Traitement pour le compte duquel il agit, des éventuels Sous-Traitants et, le cas échéant, du délégué à la protection des données ;

b. les catégories de traitements effectués pour le compte du Responsable du Traitement ;

c. dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

12. CONFORMITÉ, INFORMATION ET AUDIT  

Le Sous-Traitant doit, conformément à la Législation sur les Données Personnelles, mettre à la disposition du Responsable de Traitement les informations raisonnablement nécessaires pour démontrer sa conformité aux obligations des sous-traitants en vertu de la Législation sur les Données Personnelles, et ne pas s’opposer et contribuer aux audits diligentés par le Responsable de Traitement (ou un autre auditeur mandaté par lui) à cette fin. Le Responsable de Traitement pourra diligenter un tel audit/demande d’information/ vérification/ inspection sous réserve de :  

a. donner au Sous-Traitant un préavis raisonnable ;  

b. s'assurer que tout auditeur est soumis à des obligations contraignantes de confidentialité ;

c. s'assurer que cette vérification ou inspection est entreprise avec un minimum de perturbation pour l'entreprise du Sous-Traitant et ses clients ; et  

d. payer les coûts raisonnables du Sous-Traitant pour aider à la fourniture d'informations et permettre et contribuer aux audits.  

13. NOTIFICATION DE VIOLATION  

En cas de violation de données personnelles liée aux services objet des présentes impliquant le Sous-Traitant, le Sous-Traitant doit en informer dans un délai de 48 heures après en avoir pris connaissance le Responsable de Traitement par courrier électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

14. EFFACEMENT OU RESTITUTION DES DONNÉES PERSONNELLES

Le Sous-Traitant doit, à la demande écrite du Responsable de Traitement, pouvoir supprimer ou restituer les données personnelles objet des présentes au Responsable de Traitement en copie papier ou électronique dans un délai d’un mois après la fin des services objet des présentes liés au traitement, et supprimer les copies existantes (à moins que le stockage des données soit requis par la loi applicable). Le Responsable de Traitement paiera au Sous-Traitant les frais raisonnables de suppression et / ou de restitution des données personnelles liés à cette opération.

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-Traitant s’engage à détruire toutes les données à caractères personnel et justifier cette destruction par mail au Responsable de Traitement. Cette destruction aura lieu une fois le délai de conservation dépassé ou dans un délai raisonnable suivant une demande écrite du Responsable de Traitement.

15. RESPONSABILITÉ  

Le Responsable de Traitement indemnisera le Sous-Traitant pour tout dommage résultant de ou en relation avec :  

a. toute non-conformité par le Responsable de Traitement avec la Législation sur les Données Personnelles ;  

b. toute violation par le Responsable de Traitement de ses obligations de protection des données en vertu de la présente annexe ;  

c. tout traitement effectué par le Sous-Traitant conformément à une Instruction de Traitement qui enfreint la Législation sur les Données Personnelles. Si une partie reçoit une demande d'indemnisation d'une personne concernée relative au traitement des données personnelles objet des présentes, elle doit promptement en informer l’autre partie et lui fournir tous détails appropriés.  

15. DÉLÉGUÉ A LA PROTECTION DES DONNÉES

Le Responsable de Traitement peut contacter le délégué à la protection des données du Sous-Traitant à l’adresse électronique « dpo@bconseil.fr », conformément à l’article 37 du règlement européen sur la protection des données.

En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing.
PréférencesRefuserAccepter