Annexe RGPD

La présente annexe encadre le traitement des données à caractère personnel réalisé par BY HIBISCUS BLANC (le « Sous-traitant ») pour le compte du Client (le « Responsable de traitement ») dans le cadre des prestations d'accompagnement stratégique, de conseil et de développement commercial définies aux CGV.

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens que leur donne l'article 4 du RGPD.

• Finalités : conseil et accompagnement commercial B2B, mise en relation qualifiée, préparation et suivi de rendez-vous, reporting d'activité.
• Catégories de données : nom, prénom, fonction, raison sociale, numéro de téléphone professionnel, adresse e-mail professionnelle, échanges et notes d'appels.
• Catégories de personnes : contacts professionnels (B2B) ciblés par le Client.
• Durée : durée de la mission, augmentée d'une période de conservation à titre probatoire n'excédant pas 3 ans après le dernier contact, sauf instruction contraire du Client.

Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée.

Le Sous-traitant s'engage à :

• traiter les données uniquement sur instruction documentée du Client, y compris pour les transferts hors UE ;
• garantir la confidentialité des données et s'assurer que les personnes autorisées à les traiter sont soumises à une obligation de confidentialité ;
• mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) décrites à l'article 4 ci-après ;
• assister le Client dans l'exercice des droits des personnes concernées et dans le respect de ses obligations (analyses d'impact, notification de violations) ;
• notifier au Client toute violation de données dans un délai maximal de 72 heures après en avoir pris connaissance, en précisant la nature de la violation, les catégories et le volume de données concernées et les mesures correctives prises.

• chiffrement des données en transit (TLS 1.2 minimum) ;
• contrôle d'accès individuel par authentification forte aux outils CRM et de téléphonie utilisés ;
• hébergement des données au sein de l'Union européenne ou pays reconnu adéquat par la Commission européenne ;
• journalisation des accès et revue périodique des habilitations ;
• sensibilisation et formation régulière des collaborateurs aux règles de protection des données.

Le Client autorise le Sous-traitant à recourir aux sous-traitants ultérieurs strictement nécessaires à l'exécution des prestations (notamment : outil CRM, opérateur de téléphonie, hébergeur, service d'envoi d'e-mails). La liste à jour est communiquée sur demande à alexandre.welment@byhibiscusblanc.com.

Toute modification est notifiée au Client par e-mail au moins 30 jours avant sa mise en œuvre. Le Client peut s'y opposer pour motif légitime ; à défaut, le contrat pourra être résilié sans pénalité.

Aucun transfert de données hors UE n'est effectué sans le consentement écrit du Client et, le cas échéant, la mise en place des garanties appropriées (clauses contractuelles types adoptées par la Commission européenne ou autre mécanisme prévu au chapitre V du RGPD).

Le Sous-traitant assiste le Client, par des mesures techniques et organisationnelles appropriées, pour répondre dans les meilleurs délais aux demandes d'exercice des droits des personnes concernées : accès, rectification, effacement, opposition, limitation, portabilité.

Si une personne concernée s'adresse directement au Sous-traitant, ce dernier transmettra la demande au Client sous 5 jours ouvrés et n'y répondra qu'avec son accord.

Le Client peut, à ses frais, vérifier le respect des obligations du Sous-traitant par tout moyen documentaire ou, après préavis écrit d'au moins 30 jours, par un audit sur site limité à une fois par an et conduit par un tiers indépendant soumis à confidentialité.

Au terme de la prestation, le Sous-traitant restitue au Client l'ensemble des données traitées dans un format lisible et exploitable, puis procède à leur destruction définitive (y compris des sauvegardes) dans un délai maximal de 30 jours, sauf obligation légale de conservation. Un certificat de destruction est remis sur demande.

Le Sous-traitant déclare être couvert par une police de responsabilité civile professionnelle en cours de validité. Sa responsabilité au titre de la présente annexe est encadrée par les dispositions des CGV, sous réserve des dispositions impératives du RGPD (notamment articles 82 et 83).