Charte RGPD

Dans le cadre des relations commerciales et contractuelles engagées avec ses clients, fournisseurs et collaborateurs, TOUTécrit s’engage à respecter la règlementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement 5UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après « le règlement européen dur la protection des données » ou « RGPD »).

Description du traitement faisant l’objet de la collaboration 

TOUTécrit s’engage à offrir à ses clients, prestataires et collaborateurs des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, afin que le traitement des données réponde aux exigences du règlement européen sur la protection des données.

TOUTécrit est autorisé à traiter pour le compte de ses clients, fournisseurs ou collaborateurs les données à caractère personnel nécessaires pour les service(s) suivant(s) : 

Organisation & gestion 
Gestion de la relation commerciale avec les clients

Suivi et gestion des projets (rédaction, mise en page, impression, routage)Règlement des factures fournisseurs 
Développement commercial (prospection, devis) 
RH 

Recrutement (CVthèque) 
Enregistrement des collaborateurs (logiciel de paye, organismes sociaux)
Gestion des rémunérations
Gestion et paiement des charges sociales 

Obligations de TOUTécrit 

TOUTécrit s’engage à :

– Traiter et utiliser les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet d’une sous-traitance ou d’une collaboration décrite à l’article susvisé.

– Traiter et utiliser les données conformément aux présentes et aux éventuelles instructions écrites documentées des clients, fournisseurs ou collaborateurs s’inscrivant en complément de la présente charte RGPD. 

– N’utiliser aucune donnée personnelle qui serait fournie, celle-ci pouvant être celle d’un adhérent ou d’un abonné de l’un de nos clients, autrement pour que l’exécution d’une prestation dûment contractualisée (routage).
 

Si TOUTécrit considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement son client, fournisseur, collaborateurs par tous moyens permettant d’assurer une réception certaine.

– Garantir la confidentialité des données à caractère personnel traitées dans le cadre de la relation contractuelle ou commerciale engagée :

  • Ne réaliser aucune copie des documents et/ou des supports d’informations qui lui seraient confiés, à l’exception des copies nécessaires pour les besoins de l’exécution de sa prestation, à la seule condition que le client, fournisseur ou collaborateur ait préalablement donné son accord par écrit.
  • Ne pas utiliser les documents et informations traités à des fins autres que celles spécifiées par le client, le fournisseur ou le collaborateur.
  • Ne pas divulguer ces documents ou informations à d’autres personnes, qu’il s’agisse de personnes privées ou publiques, physiques ou morales.
  • Prendre toutes mesures permettant d’éviter toute utilisation détournée ou frauduleuse des fichiers informatiques tout au long du contrat qui lie le client et son prestataire.
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel, en vertu du contrat ou de la collaboration liant le client, le fournisseur ou le collaborateur, s’engagent à respecter la confidentialité soumise à une obligation légale et reçoivent la formation nécessaire en matière de protection des données à caractère personnel. 
  • Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut (en garantissant que seules les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue du traitement, de la durée de conservation et du nombre de personnes qui y a accès).

Sous-traitance du traitement de données à caractère personnel

Dans le cas où TOUTécrit ferait appel à un sous-traitant pour le traitement des données personnelles qui lui auraient été confiées, il devra :

  • S’assurer que celui-ci respecte la règlementation concernant la RGPD.  
  • Disposer d’un contrat de sous-traitance au sens de la RGPD avec son (ses) sous-traitant(s). 
  • Informer expressément son client de cette sous-traitance par écrit, préalablement à la mise en place de cette sous-traitance, de sorte que le client dispose d’une faculté d’opposition.

Droit d’information des personnes concernées

Il appartient aux clients, fournisseurs ou collaborateurs de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte de leurs données.

Exercice des droits des personnes

TOUTécrit doit assister son client, fournisseur ou collaborateur sur toute demande circonstanciée, à s’acquitter de son obligation de donner suite aux demandes d’exercices des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès de TOUTécrit des demandes d’exercice de leurs droits, TOUTécrit doit adresser ces demandes au client, fournisseur ou collaborateur dès réception, et ceci par tout moyen (mail, courrier).

Notification des violations de données à caractères personnel

TOUTécrit notifie à son client, fournisseur ou collaborateur toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance. 

Cette notification est accompagnée de toute documentation utile, afin de permettre aux clients, fournisseurs ou collaborateurs, de notifier cette violation à l’autorité de contrôle compétente.

La notification contient au moins :

  • La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés. 
  • Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues. 
  • La description des conséquences probables de la violation de données à caractère personnel. 
  • La description des mesures prises ou que le prestataire propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

Assistance dans le cadre du respect par le responsable de traitement de ses obligations

TOUTécrit assiste le client, le fournisseur ou le collaborateur pour la réalisation d’analyses d’impact relative à la protection des données et lui fournit toute information nécessaire au respect des obligations qui lui incombent au titre du règlement européen sur la protection des données.

TOUTécrit assiste le client, le fournisseur ou le collaborateur pour la réalisation de la consultation préalable de l’autorité de contrôle.

Mesure de sécurité

Le prestataire s’engage à mettre en œuvre les mesures de sécurité suivantes et toute autre mesure rendue nécessaire à l’issue de l’éventuelle analyse d’impact relative à la protection des données réalisée par le client responsable de traitement :

  • Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. 
  • Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

Sort des données

  • Les données contractuelles et/ou commerciales, concernant les clients et/ou les collaborateurs de TOUTécrit, sont définitivement supprimés à l’extinction de la relation entre TOUTécrit et son client et/ou son collaborateur. 
  • Les données financières (RIB) sont conservées 5 ans. Les RIB des clients, collaborateurs et prestataires sont définitivement supprimées après extinction de la relation engagée.
  • Les données collectées, relatives à la prospection commerciales, sont supprimées après 3 ans et n’ont aucune autre finalité que celle d’informer les prospects des offres et services proposés par TOUTécrit.   
  • Les CV sont conservés 5 ans, à compter de la date de leur réception par TOUTécrit, puis ils sont supprimés, sauf si l’autorisation nous est expressément donnée, par chacune des personnes ayant fait acte de candidature, de conserver le leur.     

Dans le cas de la suppression, TOUTécrit doit justifier de cette destruction par écrit et selon toute modalité permettant d’accuser réception à date certaine.

Délégué à la protection des données

Le délégué à la protection des données, désigné conformément à l’article 37 du règlement européen sur la protection des données est Stéphane DUBOURDIEU : toutecrit1@gmail.com / 09 72 63 66 01 

Registre des catégories d’activités de traitement

TOUTécrit s’engage à tenir un tableau des registres pour l’ensemble des finalités pour lesquelles les données sont utilisées et conservées. 

  • Le nom et les coordonnées des clients, fournisseurs et collaborateurs pour le compte desquels il agit, des éventuels sous-traitants de rang ultérieur et, le cas échéant, du délégué à la protection des données.
  • Les catégories de traitements effectuées pour le compte du client, fournisseurs et collaborateurs.
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des données, les documents attestant de l’existence de garanties appropriées.
  • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins :
    – Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.
    – Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

Documentation

TOUTécrit met à la disposition de ses clients, fournisseurs et collaborateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et permettre la réalisation d’audits, y compris des inspections, par les clients, fournisseurs, collaborateurs ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Le client, le fournisseur ou le collaborateur se réserve le droit de procéder à toute vérification qui lui paraît utile pour constater le respect des obligations précitées.

Obligations des clients, fournisseurs et collaborateurs

Les clients, fournisseurs et collaborateurs s’engagent à :

1. Fournir à TOUTécrit les données visées aux présentes clauses.

2. Documenter par écrit toute instruction concernant le traitement des données par TOUTécrit.

3. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du prestataire.

4. Superviser le traitement, avec la possibilité notamment de réaliser les audits et les inspections auprès de TOUTécrit. 

Fait à Paris, le 1er mars 2024 

Stéphane DUBOURDIEU
Gérant de TOUTécrit