Accord de traitement des données

ARTICLE 1 – OBJET

Le présent accord a pour finalité de définir les conditions dans lesquelles The Form Company, société éditrice et exploitante de la plateforme logicielle Formulr, agit en qualité de sous-traitant au sens de l’article 4.8 du Règlement (UE) 2016/679, dit Règlement Général sur la Protection des Données (« RGPD »), pour le compte du Responsable de traitement, dans le cadre des prestations définies dans la relation contractuelle entre les parties.

Formulr désigne la plateforme logicielle éditée et exploitée par The Form Company, entité juridique contractante. Toute référence à “Formulr” dans le présent accord fait référence au service fourni par The Form Company, sans constituer une entité juridique autonome.

Le présent accord constitue un avenant obligatoire encadrant les traitements de données à caractère personnel opérés dans le cadre de l’exécution des services. Il complète les conditions générales d’utilisation, de vente ou tout autre contrat conclu entre le Responsable de traitement et The Form Company.

En cas de contradiction entre les stipulations du présent accord et celles des documents contractuels principaux relatifs à la protection des données personnelles, les dispositions du présent accord prévalent.

‍

ARTICLE 2 – ENTRÉE EN VIGUEUR ET DURÉE

Le présent accord prend effet à la date de prise d’effet du contrat principal régissant l’utilisation de la solution Formulr, que ce contrat soit matérialisé par une acceptation en ligne, un bon de commande signé, un devis accepté ou tout autre document contractuel formalisant la relation entre les Parties.

Il demeure applicable pendant toute la durée de la relation contractuelle entre le Responsable de traitement et The Form Company, y compris pour les périodes postérieures nécessaires à la réalisation des opérations de suppression, restitution ou archivage des données à caractère personnel traitées pour le compte du Responsable de traitement.

À l’issue de la relation contractuelle, les dispositions du présent accord continueront à s’appliquer tant que The Form Company conservera des données à caractère personnel pour le compte du Responsable de traitement, notamment dans le respect des obligations de conservation légale ou à des fins de preuve.

ARTICLE 3 – DESCRIPTION DU TRAITEMENT SOUS-TRAITÉ

Dans le cadre de la fourniture des services associés à la plateforme Formulr, The Form Company est amenée à traiter, pour le compte du Responsable de traitement, des données à caractère personnel dont les caractéristiques sont les suivantes :

a. Finalités du traitement

Les traitements réalisés ont pour objectif de permettre au Responsable de traitement d’utiliser la plateforme Formulr pour :

• Collecter des données via des formulaires structurés dans le cadre de campagnes créées et configurées par le Responsable de traitement ;
  
  
• Gérer, centraliser, consulter, vérifier et stocker des dossiers numériques comportant des pièces justificatives et des données personnelles ;
  
  
• Organiser des workflows de validation, d’enrichissement ou de relance automatique ;
  
  
• Exporter ou restituer les informations collectées à des fins administratives, contractuelles ou de gestion de la relation avec les personnes concernées.
  
  

b. Nature des opérations effectuées par The Form Company

Les opérations réalisées en tant que sous-traitant comprennent notamment :

• La mise à disposition d’une infrastructure technique permettant la saisie, le stockage, la consultation, la mise à jour, le tri, l’export ou la suppression de données ;
  
  
• L’hébergement sécurisé des données et documents ;
  
  
• Le déclenchement de notifications et relances configurées par le Responsable de traitement ;
  
  
• Le traitement automatisé ou semi-automatisé de documents (vérification, enrichissement, contrôle de conformité) ;
  
  
• La fourniture de services de support technique.
  
  

c. Types de données à caractère personnel traitées

Les données traitées peuvent inclure, sans s’y limiter :

• Des informations d’identification : nom, prénom, date de naissance, coordonnées postales, email, numéro de téléphone ;
  
  
• Des pièces justificatives transmises par les personnes concernées : documents d’identité, justificatifs de domicile, attestations, statuts, contrats, fichiers PDF ou images ;
  
  
• Des données techniques : journaux de connexion, adresses IP, données de navigation et métadonnées liées aux actions effectuées sur la plateforme.
  
  

Le Responsable de traitement demeure seul décisionnaire quant aux catégories exactes de données collectées et à leur configuration dans la plateforme.

d. Catégories de personnes concernées

Les personnes concernées sont les individus dont les données sont collectées, stockées ou traitées via la solution Formulr, notamment :

• Les clients finaux ou bénéficiaires de services du Responsable de traitement ;
  
  
• Les personnes invitées à compléter un formulaire ou à déposer des documents ;
  
  
• Éventuellement, les collaborateurs ou partenaires du Responsable de traitement dans le cadre de l’utilisation de la plateforme.
  
  

e. Durée du traitement

Les données à caractère personnel sont traitées et conservées par The Form Company pendant toute la durée de la relation contractuelle avec le Responsable de traitement, ou selon les durées définies par ce dernier dans la plateforme.

À l’issue de cette relation, elles seront supprimées ou restituées conformément aux dispositions de l’article 11 du présent accord.

‍

ARTICLE 4 – ENGAGEMENTS DU SOUS-TRAITANT

The Form Company, agissant en qualité de sous-traitant au sens de l’article 4.8 du RGPD, s’engage à respecter les obligations suivantes dans le cadre des traitements réalisés pour le compte du Responsable de traitement :

4.1 – Traitement sur instruction uniquement

The Form Company s’engage à ne traiter les données à caractère personnel confiées que sur la base d’instructions documentées et licites transmises par le Responsable de traitement, y compris pour les transferts vers un pays tiers ou à une organisation internationale. Si The Form Company est tenue de procéder à un traitement particulier en vertu du droit de l’Union ou du droit français, elle en informera préalablement le Responsable de traitement, sauf si la loi l’interdit pour des motifs d’intérêt public.

4.2 – Obligation de confidentialité

Le Sous-traitant garantit que les personnes agissant sous son autorité et accédant aux données personnelles (salariés, prestataires, administrateurs, etc.) :

• Sont soumises à une obligation contractuelle de confidentialité ou de secret professionnel équivalente ;
  
  
• Ont été formées de manière appropriée à la réglementation en matière de protection des données ;
  
  
• Ont accès uniquement aux données strictement nécessaires à l’exercice de leurs fonctions.
  
  

4.3 – Tenue d’un registre des traitements

The Form Company tient à jour un registre décrivant les catégories d’activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l’article 30.2 du RGPD, et le met à disposition en cas de demande de l’autorité de contrôle compétente.

4.4 – Sécurité des traitements

The Form Company met en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque présenté par les traitements, conformément à l’article 32 du RGPD. Ces mesures sont détaillées à l’Annexe 2 du présent accord.

4.5 – Obligation d’alerte

Si le Sous-traitant estime qu’une instruction transmise par le Responsable de traitement constitue une violation manifeste de la réglementation applicable, et notamment du RGPD, il en informe immédiatement ce dernier. En l’absence de modification de l’instruction ou d’indication écrite contraire, The Form Company pourra suspendre l’exécution du traitement concerné jusqu’à clarification.

4.6 – Assistance à la conformité

The Form Company collabore activement avec le Responsable de traitement afin de l’aider à démontrer le respect de ses obligations en matière de protection des données, y compris :

• La réalisation d’analyses d’impact relatives à la protection des données (AIPD/DPIA) si nécessaire ;
  
  
• La coopération avec l’autorité de contrôle en cas de demande ;
  
  
• La fourniture d’informations utiles ou de documentation en cas d’audit RGPD ;
  
  
• L’assistance à la tenue à jour de la documentation du Responsable de traitement.
  
  

ARTICLE 5 – OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

Le Responsable de traitement, au sens de l’article 4.7 du RGPD, conserve l’entière maîtrise des finalités et des moyens des traitements de données à caractère personnel réalisés via la solution Formulr. À ce titre, il s’engage à respecter l’ensemble de ses obligations légales et réglementaires, et notamment à :

5.1 – Définir les traitements

Déterminer les finalités et les modalités de chaque traitement de données personnelles effectué via la plateforme Formulr, et s’assurer que ceux-ci sont mis en œuvre dans le respect des principes de licéité, loyauté, transparence, minimisation, exactitude, limitation des finalités et conservation, intégrité et confidentialité.

5.2 – Information des personnes concernées

Fournir aux personnes concernées, préalablement à toute collecte, une information claire, accessible et conforme aux articles 12 à 14 du RGPD, portant sur :

• L’identité du Responsable de traitement ;
  
  
• Les finalités des traitements ;
  
  
• Les droits dont disposent les personnes concernées ;
  
  
• Les modalités d’exercice de ces droits ;
  
  
• L’existence d’éventuels transferts hors UE et des garanties associées.
  
  

Le Responsable de traitement garantit que ces obligations d’information ont bien été respectées, y compris lorsqu’il utilise Formulr pour collecter des données via un lien d’invitation ou une campagne.

5.3 – Assurer la base légale

S’assurer que tous les traitements réalisés via la plateforme reposent sur une base juridique valide au sens de l’article 6 du RGPD (consentement, obligation contractuelle, intérêt légitime, obligation légale, etc.) et que celle-ci est dûment documentée.

5.4 – Configurer les traitements de manière conforme

Mettre en œuvre, dans les outils de Formulr, des paramétrages respectueux du principe de “Privacy by design” et “Privacy by default”, et ne pas demander au Sous-traitant de procéder à des traitements non conformes à la réglementation en vigueur.

5.5 – Respecter les droits des personnes

Mettre en place les procédures et moyens nécessaires pour permettre l’exercice effectif des droits des personnes concernées, et répondre aux demandes dans les délais requis par le RGPD.

5.6 – Fournir les instructions nécessaires

Transmettre au Sous-traitant toute instruction utile, complète et actualisée pour permettre la bonne exécution des traitements dans le cadre du présent accord.

ARTICLE 6 – RECOURS À DES SOUS-TRAITANTS SECONDAIRES

6.1 – Autorisation générale

Le Responsable de traitement reconnaît expressément à The Form Company la possibilité de recourir à des prestataires tiers (désignés comme « sous-traitants ultérieurs ») afin de confier à ces derniers tout ou partie des traitements de données à caractère personnel réalisés dans le cadre du présent accord.

Ces sous-traitants sont sélectionnés par The Form Company en fonction de leur aptitude à se conformer aux exigences du RGPD et à garantir un niveau de sécurité, de confidentialité et de protection des droits des personnes concernées équivalent à celui imposé par le présent accord.

La liste des sous-traitants ultérieurs en vigueur peut être communiquée au Responsable de traitement sur simple demande écrite, ou être mise à disposition par voie électronique selon les modalités définies dans le contrat principal.

6.2 – Possibilité d’opposition

Avant d’intégrer un nouveau sous-traitant ultérieur ou de remplacer un prestataire existant, The Form Company informera le Responsable de traitement par écrit, au plus tard quinze (15) jours calendaires avant la date prévue de la mise en œuvre effective.

Le Responsable de traitement pourra, dans un délai de dix (10) jours ouvrés à compter de la réception de cette information, notifier toute objection motivée et légitime relative à ce changement.

À défaut d’opposition exprimée dans le délai imparti, le recours au nouveau sous-traitant sera considéré comme accepté. En cas d’opposition recevable, les parties s’efforceront de convenir d’une solution acceptable. Si aucun accord n’est trouvé, le Responsable de traitement aura la faculté de résilier le contrat principal selon les modalités qui y sont prévues.

6.3 – Encadrement contractuel des sous-traitants ultérieurs

The Form Company s’engage à formaliser ses relations avec chaque sous-traitant ultérieur par un contrat écrit incluant des obligations en matière de protection des données personnelles équivalentes à celles stipulées dans le présent accord. Ces obligations couvriront notamment la sécurité des traitements, la confidentialité des données, l’assistance au Responsable de traitement et la notification des incidents.

The Form Company reste entièrement responsable, vis-à-vis du Responsable de traitement, de la bonne exécution des engagements pris par les sous-traitants ultérieurs dans le cadre des traitements concernés.

‍

ARTICLE 7 – TRANSFERTS DE DONNÉES EN DEHORS DE L’ESPACE ÉCONOMIQUE EUROPÉEN

The Form Company s’engage à ne pas transférer de données à caractère personnel traitées pour le compte du Responsable de traitement en dehors de l’Espace Économique Européen (EEE), sauf dans les cas suivants :

7.1 – Transferts autorisés

Un transfert de données en dehors de l’EEE peut être réalisé si l’une des conditions suivantes est remplie :

• Le transfert est effectué vers un pays bénéficiant d’une décision d’adéquation rendue par la Commission européenne en vertu de l’article 45 du RGPD ;
  
  
• Le transfert est encadré par des clauses contractuelles types (CCT) adoptées par la Commission européenne en application de l’article 46.2.c du RGPD, ou toute autre garantie équivalente validée par l’autorité compétente ;
  
  
• Le transfert repose sur une dérogation spécifique prévue à l’article 49 du RGPD, à condition qu’elle soit applicable au cas d’usage envisagé.
  
  

7.2 – Information et documentation

The Form Company s’engage à :

• Informer le Responsable de traitement de tout transfert hors EEE envisagé ou effectué, en précisant le pays destinataire, le fondement juridique applicable et, le cas échéant, les garanties supplémentaires mises en place (ex : mesures techniques complémentaires) ;
  
  
• Mettre à disposition du Responsable de traitement, sur demande, les documents contractuels encadrant les transferts (extraits des clauses contractuelles types signées avec les sous-traitants concernés, mesures de sécurité associées).
  
  

7.3 – Coopération et transparence

Le Sous-traitant coopère avec le Responsable de traitement pour lui permettre d’évaluer la légalité et la légitimité des transferts réalisés, notamment dans le contexte du respect des exigences issues de la jurisprudence « Schrems II » et des lignes directrices du CEPD.

‍

‍

ARTICLE 8 – ASSISTANCE À L’EXERCICE DES DROITS DES PERSONNES CONCERNÉES

The Form Company s’engage à fournir au Responsable de traitement toute l’assistance nécessaire pour répondre aux demandes formulées par les personnes concernées dans l’exercice de leurs droits prévus aux articles 12 à 22 du RGPD, et notamment :

• Le droit d’accès aux données les concernant ;
  
  
• Le droit de demander la rectification de données inexactes ou incomplètes ;
  
  
• Le droit à l’effacement (« droit à l’oubli ») lorsque les conditions sont réunies ;
  
  
• Le droit à la limitation du traitement dans les cas prévus par la loi ;
  
  
• Le droit de s’opposer à un traitement fondé sur l’intérêt légitime ;
  
  
• Le droit à la portabilité des données dans un format structuré, couramment utilisé et lisible par machine.
  
  

En cas de réception directe, par The Form Company, d’une demande relevant de l’un de ces droits, celle-ci s’engage à en informer immédiatement le Responsable de traitement, sans y répondre de manière autonome, sauf instruction écrite contraire et préalable de ce dernier.

Le Responsable de traitement demeure seul responsable de l’évaluation de la recevabilité et du traitement effectif de la demande. The Form Company s’engage à coopérer activement, notamment en fournissant sans délai les éléments sous sa garde ou accessibles via la plateforme, dans la limite de ce qui est raisonnablement possible et techniquement réalisable.

‍

ARTICLE 9 – NOTIFICATION DES VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

En cas d’incident de sécurité affectant les données personnelles traitées dans le cadre du présent accord — tel que perte, altération, divulgation non autorisée, accès illicite ou toute atteinte à l’intégrité ou à la confidentialité des données — The Form Company s’engage à en informer le Responsable de traitement sans délai injustifié dès qu’elle en a eu connaissance.

Cette notification devra être transmise dans un délai maximal de 48 heures à compter de la prise de connaissance effective de l’incident par The Form Company, et devra contenir les éléments suivants, dans la mesure où ces informations sont disponibles à ce stade :

• Une description précise de la nature de la violation, incluant les catégories de données concernées et, si possible, le volume approximatif de données et de personnes affectées ;
  
  
• La date et l’heure à laquelle la violation a été constatée ;
  
  
• Les conséquences techniques et/ou juridiques envisagées pour les personnes concernées ou pour le Responsable de traitement ;
  
  
• Les mesures techniques ou organisationnelles prises ou proposées afin de remédier à l’incident et d’en atténuer les effets ;
  
  
• Les coordonnées de la personne à contacter chez The Form Company pour assurer le suivi du dossier, notamment pour coopérer avec la CNIL ou d’autres autorités compétentes si nécessaire.
  
  

Dans l’hypothèse où certains éléments ne pourraient être communiqués immédiatement, ils seront fournis dans un second temps, dès qu’ils seront disponibles, sans retard excessif.

The Form Company apportera son concours actif au Responsable de traitement dans l’ensemble des démarches liées à la gestion de l’incident, notamment en vue de remplir, dans les délais réglementaires, les obligations de notification auprès des autorités de contrôle ou des personnes concernées lorsque cela est requis.

‍

ARTICLE 10 – MESURES DE SÉCURITÉ

The Form Company s’engage à mettre en œuvre et à maintenir, pendant toute la durée d’exécution du présent accord, des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques liés aux traitements de données personnelles réalisés pour le compte du Responsable de traitement, conformément à l’article 32 du RGPD.

Ces mesures incluent notamment, sans s’y limiter :

• La protection contre les accès non autorisés aux systèmes et aux données hébergées, notamment par l’usage de protocoles de chiffrement, de pare-feux, de contrôles d’accès basés sur des rôles, et d’authentifications renforcées ;
  
  
• La sécurisation des échanges de données via des protocoles de communication chiffrés (par exemple TLS) ;
  
  
• L’isolement logique des environnements de production, test et développement ;
  
  
• L’enregistrement et la traçabilité des accès aux données et des opérations sensibles au sein de la plateforme Formulr ;
  
  
• La gestion rigoureuse des habilitations, selon le principe du moindre privilège, avec des procédures d’octroi, de révision et de retrait des droits d’accès ;
  
  
• La mise en place de sauvegardes régulières, avec procédures de restauration testées périodiquement, afin d’assurer la disponibilité et la résilience des services ;
  
  
• Des mécanismes de détection d’anomalies et de vulnérabilités, associés à des processus de réponse aux incidents documentés et régulièrement mis à jour ;
  
  
• La sélection rigoureuse des prestataires techniques et l’encadrement contractuel de leurs obligations en matière de sécurité.
  
  

Les mesures techniques et organisationnelles effectivement en place au sein de The Form Company sont décrites de manière détaillée à l’Annexe 2 – Mesures de sécurité du présent accord.

The Form Company s’engage à maintenir ces mesures en condition opérationnelle, et à les faire évoluer si nécessaire en fonction de l’état de l’art, des évolutions réglementaires ou des instructions du Responsable de traitement.

‍

ARTICLE 11 – SORT DES DONNÉES À L’ISSUE DU CONTRAT

À l’expiration du contrat principal ou en cas de cessation de l’accès à la plateforme Formulr, quel qu’en soit le motif, The Form Company procédera, sur instruction écrite du Responsable de traitement, au traitement approprié des données personnelles traitées pour son compte, selon l’une des modalités suivantes :

• Restitution : Les données seront restituées au Responsable de traitement dans un format structuré, couramment utilisé et lisible par machine, permettant leur réutilisation ou leur migration vers un autre système ;
  
  
• Suppression : Les données seront supprimées de manière définitive, sécurisée et irréversible, y compris des systèmes de sauvegarde dans un délai raisonnable.
  
  

Sauf instruction contraire du Responsable de traitement, la suppression des données interviendra au plus tard dans un délai de soixante (60) jours calendaires à compter de la date de fin de contrat ou de résiliation effective du service.

The Form Company pourra conserver une copie des données uniquement si cela est nécessaire pour répondre à une obligation légale, réglementaire ou contractuelle, dans la limite de la durée imposée par le texte applicable. Dans ce cas, les données concernées seront isolées, sécurisées, et ne feront l’objet d’aucun autre traitement.

Le Responsable de traitement pourra, sur demande écrite et dans un délai raisonnable, obtenir une attestation de suppression ou de restitution conforme émanant de The Form Company.

‍

ARTICLE 12 – AUDITS ET DOCUMENTATION

The Form Company s’engage à mettre à disposition du Responsable de traitement l’ensemble des informations nécessaires à la démonstration du respect des obligations prévues par le RGPD, et à permettre, dans des conditions raisonnables, la réalisation de vérifications relatives aux traitements opérés pour son compte.

Le Responsable de traitement est ainsi autorisé à effectuer ou faire effectuer, à ses frais, un audit portant exclusivement sur la conformité des traitements de données personnelles aux exigences du présent accord et de la réglementation applicable.

Les conditions de réalisation de ces audits sont les suivantes :

• L’audit devra être planifié d’un commun accord entre les parties, avec un préavis raisonnable, sauf en cas d’urgence ou de suspicion fondée de manquement grave ;
  
  
• Il ne pourra intervenir plus d’une fois par an, sauf obligation légale ou événement justifiant une vérification supplémentaire ;
  
  
• Le Responsable de traitement ou l’auditeur désigné devra respecter des obligations de confidentialité équivalentes à celles du présent accord, et ne pas perturber le fonctionnement normal des services ou la sécurité des infrastructures.
  
  

The Form Company coopérera de bonne foi à toute demande d’audit dans la limite de ce qui est raisonnablement réalisable, et pourra opposer des restrictions à l’accès à certaines informations si celles-ci relèvent d’un secret industriel, commercial ou de la protection de données d’autres clients.

Une synthèse des conclusions de l’audit pourra être partagée avec The Form Company afin de convenir, si nécessaire, des mesures correctrices à mettre en œuvre.

‍

ARTICLE 13 – RESPONSABILITÉS ET LIMITES

Chacune des parties s’engage à respecter les obligations qui lui incombent en matière de protection des données à caractère personnel, en vertu de la réglementation applicable et du présent accord.

The Form Company est responsable des traitements de données réalisés pour le compte du Responsable de traitement dans la limite de ses missions définies au titre du présent accord et dans le respect des instructions fournies. Elle ne saurait être tenue pour responsable de toute conséquence résultant :

• D’un manquement du Responsable de traitement à ses obligations légales ou contractuelles ;
  
  
• D’une mauvaise configuration de la plateforme ou d’une utilisation non conforme des services ;
  
  
• Ou d’instructions illicites ou incompatibles avec le RGPD.
  
  

Le Responsable de traitement demeure seul responsable :

• De la licéité des traitements opérés via la plateforme Formulr ;
  
  
• De la véracité, de la qualité et de la pertinence des données collectées ;
  
  
• Du respect de ses propres obligations d’information, de transparence et de recueil du consentement lorsque requis.
  
  

En cas de dommage subi par l’une ou l’autre des parties résultant d’une violation de leurs obligations respectives, la responsabilité de la partie fautive pourra être engagée dans les limites prévues par le contrat principal.

Les parties conviennent expressément que chacune répond uniquement des dommages causés par sa propre faute.

‍

ARTICLE 14 – LOI APPLICABLE ET JURIDICTION COMPÉTENTE

Le présent accord est soumis au droit français, à l’exclusion de toute autre législation.

En cas de désaccord relatif à l’interprétation ou à l’exécution des obligations issues du présent accord, les parties s’efforceront de résoudre le différend à l’amiable.

À défaut d’accord dans un délai raisonnable, le litige sera porté devant les juridictions compétentes dans le ressort du siège social de The Form Company, sauf disposition légale impérative contraire.

‍