Skip to content

Protection des données

Politique de protection des données personnelles

Contexte :

L'exécution des prestations objet du Contrat de licence de l'utilisateur final et des Contrats d'hébergement des applications (ci-après les « Contrats ») impliquent qu'INDEX ÉDUCATION accède à des Données à caractère personnel et réalise un ou des traitement(s) sur celles-ci.

Dans le cadre de leurs relations contractuelles, les Parties (INDEX ÉDUCATION et le Client) s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).

Le Client demeure le Responsable du traitement des Données à caractère personnel et en conserve l'entière maîtrise, INDEX ÉDUCATION n'agissant qu'en qualité de Sous-traitant au sens du Droit applicable à la protection des données.

Définition :

Les termes et expressions identifiés par une majuscule sont définies dans l'article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « Règlement »).

Engagement d'INDEX ÉDUCATION :

INDEX ÉDUCATION s'engage à respecter l'ensemble des obligations légales qui s'imposent à lui en application du Droit applicable à la protection des Données et à traiter les Données à caractère personnel qui lui sont confiées par le Client conformément aux dispositions des Contrats. Le Client a sélectionné INDEX ÉDUCATION au regard de son engagement quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à respecter les exigences du Droit applicable à la protection des données et à garantir la protection des droits des Personnes concernées.

Caractéristiques du Traitement :

Le Client autorise INDEX ÉDUCATION, pour la durée et les seuls besoins des Contrats, à procéder au Traitement des Données à caractère personnel requis par les prestations objets des Contrats. Les caractéristiques de ce Traitement confié à INDEX ÉDUCATION sont définies dans l'annexe RGPD annexée au Contrat de licence de l'utilisateur final.

Dans ce cadre, INDEX ÉDUCATION s'engage à traiter les Données à caractère personnel exclusivement sur la base des instructions du Client et s'interdit d'utiliser tout ou partie des Données à caractère personnel pour son propre compte et pour d'autres finalités que celles définies par le Client.

INDEX ÉDUCATION s'engage à tenir un registre des catégories d'activités de traitements effectués pour le compte du Client, registre qui doit se présenter sous une forme écrite y compris la forme électronique.

Sécurité et confidentialité des Données à caractère personnel :

Dans le cadre de la réalisation des prestations objet des Contrats, INDEX ÉDUCATION s'engage à mettre en œuvre les mesures de protection physiques, logiques et d'organisation nécessaires pour préserver la sécurité des Données à caractère personnel, adaptées au risque que présente le Traitement et, notamment, empêcher qu'elles ne soient détruites, perdues, déformées, endommagées, ou que des tiers non autorisés y aient accès, de manière accidentelle ou illicite.

En l'espèce, INDEX ÉDUCATION s'engage à minima à mettre en œuvre les mesures suivantes et à les faire respecter par son personnel et les éventuels Sous-traitants ultérieurs :

- Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel dans le cadre des prestations s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Pour ce faire, INDEX ÉDUCATION s'engage à mettre en place un dispositif permettant de prouver que chaque conseiller a été sensibilisé au respect de la confidentialité des Données à caractère personnel.

- Veiller à ce que ses intervenants dans l'exécution des prestations objet des Contrats soient sensibilisés, formés et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité vis-à-vis des Données à caractère personnel ;

- Prendre toutes les mesures permettant d'éviter toute utilisation détournée ou frauduleuse des Données, documents et informations traités et notamment des mesures de : gestion des droits d'accès et habilitations, journalisation des événements, sécurisation des échanges et du stockage des Données à caractère personnel, sauvegarde des données, moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, moyens permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique, une procédure visant à tester, à analyser, à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles mises en place.

En cas de Violation de données, INDEX ÉDUCATION doit, dans les meilleurs délais après en avoir pris connaissance, notifier au Client cette violation dans le respect du Règlement.

INDEX ÉDUCATION s'engage à coopérer pour permettre au Client de notifier la violation de données à l'Autorité de contrôle.

Sous-traitant ultérieur :

Le Client autorise INDEX ÉDUCATION, de façon générale, à faire intervenir un sous-traitant faisant partie du Groupe Docaposte. INDEX ÉDUCATION s'engage à informer le Client de tout changement concernant l'ajout ou le remplacement d'autres sous-traitants faisant partie du Groupe Docaposte.

S'agissant de sous-traitants ne faisant pas partie du Groupe Docaposte, INDEX ÉDUCATION ne devra pas faire intervenir un Sous-traitant ou un prestataire dans l'exécution des Prestations sans l'autorisation écrite, préalable et spécifique du Client.

INDEX ÉDUCATION s'engage à ce que le(s) contrat(s) qu'il met en place avec ses éventuels Sous-traitants ultérieurs contien(nen)t des engagements au moins aussi stricts que ceux prévus au présent article.

INDEX ÉDUCATION restera pleinement responsable envers le Client en cas de non-respect par le Sous-traitant ultérieur de ses obligations en matière de protection des données.

Droits des Personnes Concernées :

INDEX ÉDUCATION s'engage à :

- Communiquer au Client dans les meilleurs délais, toute demande de communication des Données à caractère personnel ou d'accès à celles-ci qui lui aurait été faite directement par une Personne concernée ou quelle que soit l'autorité dont elle émane, sauf dans le seul cas où cette communication lui est interdite par ladite Personne concernée, et à assister et coopérer avec le Client pour satisfaire aux exigences légales relatives à la protection des Données à caractère personnel ;

- Aider le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d'exercer leurs droits prévus par le Droit applicable à la protection des données ;

- Corriger, mettre à jour, modifier ou supprimer des Données à caractère personnel utilisées dans le cadre de la sous-traitance des prestations sur instruction du Client.

Prestations d'Assistance au Client :

Sur acceptation expresse et préalable par le Client d'un devis émis par INDEX ÉDUCATION spécifiquement pour des prestations d'assistance au Client, INDEX ÉDUCATION pourra aider le Client à garantir le respect de ses obligations prévues par le Droit applicable à la protection des données en matière de sécurité des données, compte tenu des informations à sa disposition. Dans le cas où le Client ferait l'objet d'un contrôle de la part d'une Autorité de contrôle, INDEX ÉDUCATION s'engage à coopérer avec le Client et avec l'Autorité de contrôle.

Information - Audit :

INDEX ÉDUCATION s'engage à mettre à la disposition du Client toutes les informations strictement nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit applicable à la protection des données.

Suivi et amélioration des conditions de sécurité et de confidentialité des Données :

Le délégué à la protection des données d'INDEX ÉDUCATION sera le point de contact référent du délégué à la protection des données ou toute personne référente en la matière désignée par le Client.

Chacune des Parties s'engage à assurer une veille permanente de l'état des connaissances, des pratiques et technologies pertinentes permettant d'améliorer les mesures techniques et organisationnelles mises en place afin de garantir un niveau de sécurité adapté au risque, tout au long des Contrats.