Transfert sécurisé des RIB

***Paris Notaires Services(« PNS »), est une association qui propose aux professionnels, aux entreprises, aux collectivités et aux particuliers en relation avec eux des services à haute valeur ajoutée conçus par les notaires, et appuyé sur l’expertise notariale reconnue en matière immobilière ou technologique.La multiplication des utilisations frauduleuses de Relevés d’Identité Bancaire (« RIB ») communiqués par courriels entre les offices notariaux et leurs clients, ou les intervenants à un dossier, exige que chaque office soit aujourd’hui doté d’un système sécurisé de transmission de ces documents dans l’intérêt du public et des notaires.A cet effet, PNS a développé un applicatif de transfert sécurisé de RIB (« le Service »), et en a les droits d’utilisation.

PNS ouvre aux clients des offices notariaux et à tous les offices notariaux de son ressort l’utilisation de ce Service à défaut pour les offices notariaux de disposer d’un autre système de transmission des RIB d’un niveau de sécurité au moins équivalent. Les présentes Conditions Générales d’Utilisation (« CGU ») définissent les caractéristiques principales du Service et la manière dont il doit être utilisé au sein des offices et par leurs clients.

1. Description du Service

Le Service est un applicatif web hébergé au sein de la plateforme de services en ligne de PNS. Il permet à tous les notaires et collaborateurs de l’office (« l’Utilisateur »), depuis celui-ci ou à travers un réseau notarial sécurisé (VPN), de faire transiter par un espace sécurisé le RIB de l’office ou le RIB d’un client (l’Utilisateur Tiers ») par la plateforme sécurisée de PNS, d’authentifier l’Utilisateur Tiers par un mécanisme d’authentification à double facteur et de tracer les envois et réceptions du document.

L’Utilisateur qui veut adresser le RIB de l’office à un client utilise le Service afin d’inviter l’Utilisateur Tiers à se connecter à l’interface web et à télécharger le RIB (téléchargement unique) de l’étude après une double authentification de l’identité du destinataire via un numéro de téléphone portable renseigné par l’office. Inversement, pour recevoir le RIB de l’Utilisateur Tiers, l’Utilisateur utilise le Service permettant à l’Utilisateur Tiers de déposer son RIB via l’applicatif web, qui opère une double authentification de l’émetteur avec un numéro de téléphone renseigné par l’office. Les RIB sont disponibles pour l’office durant une durée maximale d’un mois à l’issue de laquelle les fichiers sont supprimés de manière définitive.

2. Obligations et responsabilité de l’Utilisateur et de l’Utilisateur Tiers

En adhérant aux présentes CGU, l’Utilisateur s’engage à :

• utiliser de manière systématique le Service pour l’envoi des RIB de l’office et la réception des RIB des clients et des intervenants à un dossier ; en cas d’interruption du Service, et s’il ne peut attendre son rétablissement pour procéder à une transmission de RIB, l’Utilisateur s’engage à respecter les consignes de sécurité diffusées en la matière tant par PNS que par le CSN,
• ne l’utiliser que pour les transferts de RIB et pour les besoins de l’activité notariale de l’office,
• respecter toutes les procédures d’utilisation et les conditions de son bon fonctionnement,
• dument informer les clients et intervenants dans un dossier des conditions de son utilisation par eux,
• assurer le secret de ses échanges d’informations avec ses clients,
• alerter PNS sans délai de toute anomalie constatée dans le fonctionnement du Service, de toute erreur commise dans son utilisation ou tout risque susceptible d’affecter son bon fonctionnement et son intégrité.

L’Utilisateur ou l’Utilisateur Tiers est responsable :

• de la sécurité et de la configuration de son système informatique. La responsabilité de PNS ne pourra pas être retenue en cas d’inadéquation du système d’information de l’Utilisateur ou de l’Utilisateur Tiers avec le Service,
• des conséquences pour lui-même, ses interlocuteurs et PNS de la transmission de tout virus ou l’utilisation de tout programme tendant à la création d’anomalies affectant le Service,

En outre, l’office utilisant le Service est responsable de la régularité et de la licéité de la collecte et de la transmission des données à caractère personnel et du respect de ses obligations en matière de protection des données personnelles de ses clients et intervenants dans ses dossiers ; il garantit PNS contre toute action ou recours intenté par un tiers en lien avec ces données.

L’Utilisateur ou l’Utilisateur Tiers s’engage à respecter les termes et les obligations découlant des présentes CGU.

3. Obligations et responsabilité de Paris Notaires Services

PNS s’engage à mettre à la disposition de l’Utilisateur ou de l’Utilisateur Tiers le Service et n’est tenue à ce titre qu’à une obligation de moyens et à la fourniture d’aucune autre prestation.

Dans le cas d’un traitement d’anomalies techniques, et dans ce cas seulement, PNS pourra être amenée à analyser les caractéristiques techniques du flux. PNS n’intervenant pas dans les aspects métiers propres au notaire, sa responsabilité ne peut en aucun cas être engagée à ce titre. Dans l’hypothèse où la responsabilité de PNS pourrait se trouver engagée au titre de l’utilisation du Service, elle ne sera pas tenue de l’indemnisation des dommages indirects (notamment dommages commerciaux et moraux, perte de chiffre d’affaires, de données, de clientèle).

4. Durée du Service

Le Service est disponible dans la limite de la durée de souscription d’un an.

PNS peut y mettre fin de manière générale à tout moment en respectant un délai de prévenance de 3 mois. Il peut en retirer l’accès immédiatement à un Utilisateur en cas de non-respect des présentes CGU, moyennant un délai de prévenance de 7 jours ouvrés. En cas d’interruption dans la disponibilité du Service, PNS mettra tous les moyens nécessaires en œuvre pour en rétablir le plus rapidement possible son utilisation. 

 Le Service pourra être suspendu pour des raisons de maintenance ou en cas de risque affectant la sécurité de son fonctionnement.

Aucune suspension ou interruption du Service, quelle qu’en soit la cause, ne pourra donner lieu une indemnisation de l’Utilisateurs Tiers, de l’Utilisateur, de ses clients ou des intervenants dans ses dossiers.

5. Confidentialité

L’Utilisateur et l’Utilisateur Tiers s’engagent à respecter la plus stricte confidentialité des informations transitant au sein du Service. PNS, en sa qualité de fournisseur du Service, s’engage à respecter la confidentialité des informations contenues dans les fichiers ou les flux de données, lesquelles ne pourront pas être lues par un administrateur du Service.

6. Force majeure

La responsabilité de chaque partie sera dégagée dans le cas où il lui deviendrait impossible d’exécuter une partie ou la totalité de ses obligations en raison de la survenance d’événements possédant le caractère de cas fortuits ou de force majeure, telle qu’habituellement retenue par la jurisprudence.

La partie invoquant un événement constitutif d’un cas fortuit ou de force majeure devra en aviser l’autre partie dans les plus brefs délais suivant la survenance ou la menace de cet événement par tout moyen. L’exécution des obligations de la partie empêchée sera alors reportée d’une période égale à celle de la durée de la suspension due à cette cause.

7. Confidentialité

L’ensemble des éléments composant le Service (plateforme technique, éléments du site web, documentation, ...) sont la propriété de PNS. L’Utilisateur ou l’Utilisateur Tiers ne peuvent en aucun cas se prévaloir d’un droit quelconque sur ces éléments dans le cadre de l’utilisation du Service.

8. Protection des données à caractère personnel

8.1 Traitements mis en œuvre par PNS en qualité de sous-traitant

Les droits et obligations de PNS et de l’office utilisant le Service (les « Parties ») en matière de protection des données à caractère personnel lorsque PNS agit en qualité de sous-traitant pour le compte de l’office sont définis à l’Annexe « Engagement en matière de protection des données à caractère personnel » (en ce incluant ses appendices), les Parties s’engageant à en respecter l’intégralité des termes et stipulations.

8.2 Traitements mis en œuvre par PNS en qualité de responsable de traitement

En outre, et sans préjudice des stipulations visées à l’article « Traitements mis en œuvre par PNS en qualité de sous-traitant », PNS est expressément autorisée par l’office à réutiliser des données qui lui seraient communiquées ou rendues accessibles dans le cadre de la fourniture du Service, pour des finalités qui lui sont propres, en qualité de responsable de son propre traitement, et ce pendant toute la durée du Contrat et même après la fin du Contrat, quels qu’en soient la cause et/ou le motif.

A cet égard, il est expressément convenu entre les Parties que PNS peut être amenée à procéder, pour son propre compte, à des opérations de traitement de telles données à caractère personnel pour lesquelles PNS intervient en qualité de responsable de son propre traitement, à des fins des gestion et de suivi du fonctionnement du Service, d’amélioration du Service et de développement par PNS de son activité, mais également à des fins de réalisation d’études, d’analyses, de reportings et de statistiques associés au Service (étant précisé que PNS pourra notamment être amenée à procéder à toutes opérations sur ces données qui pourraient sembler lui nécessaires pour l’ensemble des finalités précitées).

Dans ce cadre, PNS est amenée à collecter et à traiter des données à caractère personnel concernant des Utilisateurs et des Utilisateurs tiers (y compris leurs clients et intervenants dans les dossiers) en qualité de responsable de traitement, aux fins de gestion et de suivi du fonctionnement du Service, d’amélioration du Service et de développement par PNS de son activité, mais également à des fins de réalisation d’études, d’analyses, de reportings et de statistiques associés au Service.

S’agissant des traitements susvisés, les Utilisateurs et Utilisateurs tiers bénéficient, dans les conditions définies par les dispositions applicables aux traitements de données à caractère personnel, d’un droit d’interrogation et d’accès à leurs données, d’un droit de rectification, d’effacement et de portabilité de leurs données, ainsi que du droit d’obtenir la limitation du traitement desdites données, d’un droit d’opposition au traitement de leurs données (étant précisé qu’elles disposent en tout état de cause du droit de s’opposer à toute prospection à tout moment sans avoir à fournir de motif ou d’explication) et du droit de retirer leur consentement à tout moment et sans justification particulière (lorsque le traitement de leurs données est soumis à un tel consentement). Les Utilisateurs et Utilisateurs tiers disposent également du droit de définir des directives relatives au sort de leurs données à caractère personnel et à la manière dont elles souhaitent que leurs droits soient exercés après leur décès. Ces droits s’exercent par email à : donneespersonnelles.pns@paris.notaires.fr ou par courrier postal à : PNS – 12 avenue Victoria – 75001 Paris. Ils sont également informés que PNS a désigné un délégué à la protection des données auprès de la Cnil, à savoir : Agil’IT, 11 rue d’Uzès, 75002 Paris – privacy@agilit.law. Ils disposent enfin du droit d’introduire une réclamation relative au traitement de leurs données à caractère personnel auprès de la Cnil (www.cnil.fr).

Pour en savoir plus sur le traitement des données mis en œuvre par PNS, il convient de se reporter à la politique de protection des données accessible à l’adresse suivante : https://confiance-rib-client.espacenotarial.com/rgpd_personal.php.

9. Conclusion du contrat

Les présentes CGU forment le Contrat conclu entre PNS et l’Utilisateur. Le Contrat est considéré comme conclu lors de l’acceptation des présentes conditions générales d’utilisation du Service par l’Utilisateur et prend effet pour la demande. PNS se réserve la possibilité d’adapter ou de modifier à tout moment les présentes CGU. Les nouvelles conditions générales d’utilisation seront, le cas échéant, portées à la connaissance de l’Utilisateur par tout moyen.

LES PRESENTES SONT REGIES PAR LA LOI FRANÇAISE.

EN CAS DE DIFFEREND CONCERNANT L’EXECUTION OU L’INTERPRETATION DU PRESENT CONTRAT ET APRES RECHERCHE INFRUCTUEUSE D’UNE SOLUTION AMIABLE, COMPETENCE EXPRESSE ET EXCLUSIVE EST ATTRIBUEE AU TGI DE PARIS, NONOBSTANT PLURALITE DE DEFENDEURS OU APPEL EN GARANTIE, MEME POUR LES PROCEDURES D’URGENCE OU LES PROCEDURES CONSERVATOIRES, EN REFERE OU PAR REQUETE.

Annexe : Engagement en matière de protection des données à caractère personnel

Dans le cadre de la fourniture du Service, PNS est amenée à procéder à des opérations de traitement de données à caractère personnel pour lesquelles PNS intervient en qualité de sous-traitant pour le compte de chaque office utilisant le Service (le cas échéant par l’intermédiaire de la chambre souscrivant au Service pour le compte de l’office), chaque office intervenant lui-même en qualité de responsable de son propre traitement.

La présente annexe (ci-après désignée l’ « Engagement ») a pour objet d’encadrer la répartition des rôles et responsabilités s’agissant des traitements de données à caractère personnel mis en œuvre par PNS en qualité de sous-traitant pour le compte de l’office, qui agit en qualité de responsable de traitement.

Les Parties conviennent que les termes et conditions stipulés dans l’Engagement font partie intégrante du Contrat.

Par ailleurs, il est expressément convenu entre les Parties que :

• en cas de contradiction avec le Contrat ou avec tout autre document formant une partie du Contrat, les stipulations de l’Engagement prévalent ;
• les obligations et engagements à la charge de l’office résultant de l’Engagement sont considérés comme essentiels pour PNS ;
• les engagements et obligations de PNS dans le cadre de l’Engagement s’appliquent aux seuls traitements de données à caractère personnel mis en œuvre par PNS lorsqu’il agit en qualité de sous-traitant pour le compte de l’office dans le cadre de la fourniture du Service, et non aux autres traitements de données à caractère personnel qui peuvent être mis en œuvre par PNS en qualité de responsable de traitement, ce que l’office reconnaît et accepte.

1. Définitions

Pour les besoins de l’Engagement, et plus généralement du Contrat, les termes ci-après auront la signification suivante, qu’ils soient employés au singulier ou au pluriel :

• « règlementation en matière de protection des données à caractère personnel » : désigne le Règlement européen n°2016/679 du 27 avril 2016 dit « RGPD » (Règlement Général sur la Protection des Données) et la loi française n°78-17 du 6 janvier 1978 dite « loi Informatique et libertés », ainsi que ses éventuels décrets d’application ;
• pour la bonne compréhension des stipulations suivantes, les termes « données à caractère personnel », « responsable de traitement », « sous-traitant », « autorité de contrôle », « personne concernée », « violation de données à caractère personnel », « analyse d’impact relative à la protection des données » et « traitement » ont la signification définie par la règlementation en matière de protection des données à caractère personnel, qu’ils soient employés au singulier ou au pluriel.

Les termes commençant par une majuscule, qui ne sont pas définis autrement dans l’Engagement, ont le sens qui leur est donné dans le Contrat.

Par ailleurs, il est précisé que les coordonnées du référent en matière de protection des données à caractère personnel désigné par PNS sont les suivantes : support.applicatif@paris.notaires.fr.

2. Engagements de PNS en qualité de sous-traitant

2.1 Présentation du traitement de données à caractère personnel et instructions

Dans le cadre de la fourniture du Service, PNS peut avoir accès, en qualité de sous-traitant, à des Données à caractère personnel qu’il traite pour le compte de l’office. PNS peut ainsi être amené dans ce cadre à procéder à des traitements de telles données à caractère personnel ou y avoir accès pour le compte de l’office, responsable de traitement, aux fins de fourniture du Service et pour la durée du Contrat.

A cette fin, les instructions initiales de l’office relatives aux traitements de données à caractère personnel devant être mis en œuvre pour son compte par PNS dans le cadre de la fourniture du Service figurent en appendice 1. Ces instructions pourront être amenées à évoluer, étant précisé que les Parties reconnaissent la notion d’instruction documentée comme étant acquise lorsque PNS agit (i) sur instructions ou demandes de l’office, sur quelque support et sous quelque format que ce soit, adressées à PNS ou encore plus généralement (ii) aux fins de fourniture du Service (ce dont il résulte que PNS est réputée agir conformément aux instructions documentées de l’office dès lors qu’elle traite des données à caractère personnel aux fins de fourniture du Service, et plus généralement d’exécution du Contrat).

PNS s’engage à ne traiter les données à caractère personnel susvisées que dans le cadre des instructions licites et documentées de l’office, y compris, sous réserve des stipulations du présent Engagement relatives au recours par PNS à des sous-traitants ultérieurs, en ce qui concerne les transferts de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale, à moins qu’elle ne soit tenue d’y procéder en vertu du droit de l’Union européenne ou d’un Etat membre auquel PNS est soumise ; dans ce cas, PNS informera l’office de cette obligation avant le traitement des données à caractère personnel, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

PNS informera immédiatement l’office si, selon elle, une instruction constitue une violation de la règlementation en matière de protection des données à caractère personnel. A cet égard, il est expressément convenu entre les Parties et accepté par ces dernières que PNS se réserve le droit de ne pas exécuter les instructions de l’office qui seraient illicites, sans que sa responsabilité puisse être engagée à ce titre d’aucune façon. Dans une telle hypothèse, l’office s’engage à coopérer et collaborer avec PNS en vue de la bonne exécution du Contrat, et notamment de la poursuite de la fourniture du Service.

2.2 Sécurité et confidentialité

PNS met en œuvre des mesures pour préserver la sécurité, et notamment la confidentialité, des données à caractère personnel qu’elle traite pour le compte de l’office. Aussi, PNS prend des mesures techniques et organisationnelles appropriées, compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités des traitements de données à caractère personnel ainsi que du niveau de risques présenté par lesdits traitements, qui seraient strictement nécessaires et proportionnées en vue de préserver la sécurité, y compris la confidentialité, des données à caractère personnel que PNS traite pour le compte de l’office.

En outre, PNS veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation conventionnelle ou légale appropriée de confidentialité.

Les moyens, mis en œuvre par PNS, destinés à assurer la sécurité et la confidentialité des données à caractère personnel sont spécifiés en appendice 2, l’office garantissant que ces moyens sont conformes à ses exigences en termes de sécurité des données à caractère personnel. PNS pourra être amenée à procéder à des changements parmi ces moyens au cours de l’exécution du Contrat et, dans cette hypothèse, en informera l’office, par tout moyen à la convenance de PNS. En tout état de cause, PNS s’engage en cas de changement des moyens visant à assurer la sécurité et la confidentialité des données à caractère personnel, à les remplacer par des moyens d’une performance similaire ou supérieure.

2.3 Sous-traitance ultérieure

Il est expressément convenu entre les Parties que PNS est autorisée par l’office, dans le cadre d’une autorisation générale, à avoir recours à d’autres sous-traitants (désignés les « sous-traitants ultérieurs ») de son choix pour mener des activités de traitement spécifiques.

Les sous-traitants ultérieurs identifiés et autorisés au jour de la formation du Contrat sont visés en appendice 3. PNS informera, par tout moyen à sa convenance, l’office de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants ultérieurs. L’office disposera alors d’un délai de dix (10) jours calendaires à compter de la date de réception de cette information pour présenter ses objections. PNS pourra sans autre formalisme avoir recours à ces autres sous-traitants ultérieurs si l’office n’a pas émis d’objection pendant le délai précité.

PNS s’engage en outre à ce que les sous-traitants ultérieurs respectent les obligations mises à la charge de PNS par le présent Engagement en matière de protection des données à caractère personnel. PNS s’engage à conclure à cette fin un contrat écrit avec chaque sous-traitant ultérieur, étant précisé qu’en cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des données à caractère personnel, PNS demeurera pleinement responsable à l’égard de l’office.

Il est d’ores et déjà convenu que les sous-traitants ultérieurs auxquels PNS peut avoir recours peuvent être établis hors Union européenne. Dans une telle hypothèse, PNS s’engage à mettre en œuvre les transferts de données à caractère personnel hors Union européenne pouvant en résulter conformément à la règlementation en matière de protection des données à caractère personnel qui lui est applicable.

2.4 Coopération

PNS, en sa qualité de sous-traitant, aide, dans la mesure du possible, compte tenu de la nature du traitement et des informations dont elle dispose, l’office en vue :

• du respect par l’office de ses propres obligations en matière de sécurité et de confidentialité des données à caractère personnel ;
• de la réalisation des analyses d’impact relatives à la protection des données à caractère personnel si la nature des traitements l’exige et de l’éventuelle consultation préalable de l’autorité de contrôle si celle-ci est nécessaire le cas échéant au regard de la règlementation en matière de protection des données à caractère personnel.

A cet égard, il est précisé que l’obligation de réalisation de telles analyses d’impact ou encore l’obligation de consultation de l’autorité de contrôle dans les hypothèses prévues par la règlementation en matière de protection des données à caractère personnel n’incombent pas à PNS et sont de la responsabilité exclusive de l’office. Toutefois, PNS communiquera, par tout moyen à sa convenance, à l’office, sur demande écrite de ce dernier adressée au référent en matière de protection des données à caractère personnel désigné par PNS, les informations en sa possession demandées par l’office et qui seraient nécessaires à l’office pour le respect par ce dernier desdites obligations ;

• de la gestion des demandes d’exercice des droits reconnus aux personnes concernées par la règlementation en matière de protection des données à caractère personnel (droit d’accès, de rectification, d’effacement et à la portabilité desdites Données à caractère personnel, droit d’opposition et droit à la limitation du Traitement, droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage) et des réponses à y apporter.

La réponse à de telles demandes n’incombe pas à PNS et est de la responsabilité exclusive de l’office. Aussi, PNS ne répondra pas elle-même à ce type de demandes. Toutefois, PNS informera l’office, par tout moyen à la convenance de PNS, de toute demande reçue en ce sens. PNS communiquera également, par tout moyen à sa convenance, à l’office, sur demande écrite de ce dernier adressée au référent en matière de protection des données à caractère personnel désigné par PNS, les informations en sa possession demandées par l’office et qui seraient nécessaires en vue du traitement des demandes d’exercice de leurs droits par les personnes concernées et de l’élaboration des réponses appropriées auxdites demandes ;

• du respect, par l’office, de son obligation de notification à l’autorité de contrôle et d’information des personnes concernées en cas de violation de données à caractère personnel.

Ces obligations n’incombent pas à PNS et sont de la responsabilité exclusive de l’office. Aussi, PNS ne procèdera pas elle-même à cette notification à l’autorité de contrôle ni à l’information des personnes concernées. Toutefois, PNS informera l’office, par tout moyen à la convenance de PNS, dans les meilleurs délais après qu’elle en a eu connaissance, de toute violation de données à caractère personnel. PNS communiquera également, par tout moyen à sa convenance, à l’office, sur demande écrite de celui-ci adressée au référent en matière de protection des données à caractère personnel désigné par PNS, les informations en sa possession demandées par l’office et qui seraient nécessaires pour procéder à la notification et à l’information précitées lorsqu’elles sont requises par la règlementation en matière de protection des données à caractère personnel.

Les Parties conviennent que, dans le cadre de la présente obligation de coopération, la communication par PNS d’informations et/ou éléments nécessaires à l’office en vue d’aider ce dernier à s’acquitter de ses obligations en qualité de responsable de traitement sera réalisée aux frais exclusifs de l’office (en ce compris les frais internes de PNS).

2.5 Restitution et destruction

Au terme du Contrat, et ce quel qu’en soit la cause ou le motif, PNS s’engage à procéder, dans un délai de trente (30) jours calendaires à compter de la fin du Contrat, à :

• la restitution des données à caractère personnel traitées, par l’intermédiaire du Service, par PNS en qualité de sous-traitant pour le compte de l’office, si ce dernier en fait la demande avant le terme du Contrat ;
• la destruction de tous fichiers manuels ou informatisés stockant lesdites données à caractère personnel, y compris leurs copies éventuelles, à moins que la règlementation applicable à PNS justifie que ce dernier les conserve, et sans préjudice de la possibilité pour PNS de conserver les données à caractère personnel qu’il traite le cas échéant en qualité de responsable de traitement.

En cas de demande par l’office de restitution des données à caractère personnel, ce dernier s’engage à collaborer activement avec PNS afin de faciliter la récupération desdites données à caractère personnel.

Les opérations de restitution et/ou de destruction précitées seront réalisées aux frais exclusifs de l’office (en ce compris les frais internes de PNS).

2.6 Vérifications

L’office dispose du droit de procéder à toute vérification qui lui paraîtrait utile pour constater le respect par PNS de ses obligations en matière de protection des données à caractère personnel, notamment au moyen d’audits (ou d’inspections), à la convenance et aux frais de l’office (en ce compris les frais internes de PNS). Ces vérifications pourront être réalisées par l’office lui-même ou par un tiers qu’il aura sélectionné, missionné et mandaté à cette fin, non concurrent de PNS.

Dans ce cadre, PNS mettra à la disposition de l’office ou dudit tiers les informations nécessaires pour permettre la réalisation de ces vérifications et apporter la preuve du respect de ses obligations en matière de protection des données à caractère personnel, et s’engage à contribuer auxdites vérifications en collaborant avec l’office.

En tout état de cause, s’agissant de ces vérifications, l’Office ne pourra demander qu’un (1) audit ou qu’une (1) inspection par année contractuelle, sauf si PNS manque gravement à ses obligations en matière de protection des données à caractère personnel, auquel cas l’office pourra demander un audit ou une inspection supplémentaire. En vue de ces opérations de vérification, l’office notifiera PNS par lettre recommandée avec avis de réception de la date de l’audit ou de la vérification envisagée au moins trente (30) jours calendaires avant ladite date et inclura un plan détaillé de sa demande dans cette notification.

L’office soumettra à la validation de PNS ce plan détaillé qui devra comporter, a minima :

• l’identité de l’auditeur ou de l’inspecteur et son employeur ;
• le nombre et les fonctions des personnes avec lesquelles l’auditeur ou l’inspecteur souhaite s’entretenir ;
• le planning des opérations de vérification envisagées (dates / heures).

Les principes suivants s’appliqueront en toutes circonstances :

• il est expressément convenu que ne seront pas soumis aux opérations de vérification : toute donnée financière ou donnée à caractère personnel qui ne concerne pas l’office, toute information dont la divulgation serait susceptible d’affecter la sécurité des systèmes et/ou données de PNS (par exemple risque pour la confidentialité des informations ou des données) ou d’autres clients de PNS (et notamment autres offices utilisant le Service), ou encore le code source des programmes informatiques utilisés dans le cadre de l’exécution du Contrat ;
• la durée des opérations de vérification ne dépassera pas trois (3) jours ouvrables ;
• la personne en charge des opérations de vérification ne pourra pas faire copie de document, fichier, donnée ou information, en tout ou partie, ni prendre des photographies, numériser, ou capter des enregistrements sonores, vidéos ou informatiques ; elle ne pourra pas non plus demander que tout ou partie de ces éléments lui soient fournis ou envoyés ; PNS pourra organiser une montrée de documents dans un environnement sécurisé ;
• toute personne en charge des opérations de vérification ne pourra être admise sur un site ou dans des locaux qu’après déclaration par l’office de son identité ; l’office devra s’assurer de la probité des personnes mandatées aux fins de réalisation des opérations de vérification, qu’elles soient employées / collaborateurs de l’office ou tiers à celui-ci, et l’office garantit PNS que ces personnes respecteront les obligations de confidentialité mentionnées dans le présent Engagement, et plus généralement une confidentialité la plus absolue des éléments dont elles pourraient avoir connaissance dans le cadre de ces opérations de vérification ;
• les opérations de vérification devront se dérouler pendant les heures d’ouverture normales des bureaux de PNS et seront conduites de façon à ne gêner ni l’activité effectuée par PNS au bénéfice de l’office ni l’activité effectuée au bénéfice des autres clients de PNS (y compris les autres offices utilisant le Service), lesquels resteront en tous cas de figure prioritaires sur la réalisation des opérations de vérification ; PNS pourra à tout moment interrompre ces opérations de vérification si la fourniture et/ou la réalisation de toute autre activité effectuée par PNS, notamment au bénéfice de ses autres clients, exigent que les ressources et/ou les moyens occupés par les vérifications soient mobilisés à d’autres fins.

Le rapport de vérification sera communiqué à PNS dans les plus brefs délais.

3. Engagements de l’office en qualité de responsable de traitement

L’office, en qualité de responsable de traitement, est responsable des traitements de données à caractère personnel mis en œuvre ou réalisés par PNS dans le cadre de la fourniture du Service mais également plus généralement de la licéité de la collecte et du traitement de toutes les données à caractère personnel que l’office ou le client de l’office communique ou auxquelles il donne accès au moyen du Service. L’office est seul responsable et garantit PNS du respect des dispositions prévues par la règlementation en matière de protection des données à caractère personnel et de la licéité des instructions communiquées à PNS s’agissant des traitements de données à caractère personnel ayant vocation à être mis en œuvre par PNS le compte de l’office.

Il appartient également à l’office, qui s’y engage et en est seul responsable, de s’assurer :

• du caractère licite, loyal et transparent de la collecte et du traitement des données à caractère personnel qu’il met en œuvre au moyen du Service (notamment information des personnes concernées, voire recueil du consentement desdites personnes concernées lorsque celui-ci est requis en particulier en raison de la finalité ou des modalités du traitement ou encore des données à caractère personnel collectées et traitées). L’office déclare et garantit à cet égard que les personnes concernées ont notamment été informées conformément à la règlementation en matière de protection des données à caractère personnel que leurs données à caractère personnel pourraient être utilisées, par lui-même ou par des tiers, en particulier par PNS, pour les finalités d’utilisation envisagées par l’office, voire qu’elles y ont consenties lorsque tel est nécessaires au regard des dispositions applicables ;
• que ces données à caractère personnel ne sont traitées que pour une finalité déterminée, explicite et légitime, et qu’elles ne sont pas traitées pour des finalités ultérieures incompatibles avec cette finalité initiale ;
• que les données à caractère personnel collectées et traitées par l’office sont adéquates, pertinentes, non excessives et limitées à ce qui est nécessaire au regard des finalités poursuivies, et que la collecte et le traitement de telles données à caractère personnel ne sont pas illicites. Notamment, l’office s’engage à ne pas traiter, hors les hypothèses strictement autorisées par la règlementation en matière de protection des données à caractère personnel, des données à caractère personnel relatives à des infractions, condamnations ou mesures de sûreté, ou encore des données à caractère personnel nécessitant une protection particulière telles que des opinions politiques, des données à caractère personnel sur l’état de santé, des données à caractère personnel révélant l’origine raciale ou ethniques,… ;
• de la qualité, de l’actualité, de la mise à jour et de l’exactitude de ces données à caractère personnel ;
• que les données à caractère personnel ne sont conservées sous une forme permettant l’identification des personnes concernées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. A cet égard, les durées de conservation implémentées par défaut sont celles visées en appendice 1, l’office devant indiquer à PNS, par email à l’attention du référent en matière de protection des données à caractère personnel désigné par PNS, toute autre durée de conservation qu’il souhaiterait voir implémenter sur le Service, étant toutefois précisé que des dispositions d’ordre réglementaire, légal ou contractuel pourraient justifier que PNS détermine une autre durée de conservation des données à caractère personnel. ;
• que les habilitations données à tout Utilisateur et à tout Utilisateur tiers sont strictement limitées aux personnes qui ont la nécessité d’en connaître, sur la base de la règle du moindre privilège ;
• qu’il met en œuvre, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données à caractère personnel adapté au risque ;
• que les destinataires des données à caractère personnel sont strictement justifiés et que la communication des données à caractère personnel à leur attention est effectuée conformément à la règlementation en matière de protection des Données à caractère personnel ;
• du respect des droits des personnes concernées (droit d’accès, d’interrogation, de rectification, d’opposition, d’effacement, de limitation, de portabilité, etc.) et à répondre selon les modalités et dans les délais impartis par la règlementation en matière de protection des données à caractère personnel aux demandes formulées en ce sens par les personnes concernées.

L’office libère PNS de toute revendication émanant de personnes concernées dont les données à caractère personnel sont traitées dans le cadre de la fourniture du Service par PNS.

En sa qualité de responsable de traitement, l’office s’engage à mettre à disposition de PNS l’ensemble des informations et éléments nécessaires en vue du respect par PNS de ses propres obligations en matière de protection des données à caractère personnel.

L’office s’engage également à faciliter la tâche de PNS en lui fournissant l’ensemble des éléments d’information et instructions nécessaires à la fourniture du Service, mais également les informations qui seraient nécessaires pour démontrer, en cas de besoin, la conformité des traitements de données à caractère personnel mis en œuvre par l’office.

APPENDICE 1 : DESCRIPTION DU TRAITEMENT ET INSTRUCTIONS DE L’OFFICE S’AGISSANT DES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL DEVANT ETRE MIS EN ŒUVRE PAR PNS EN QUALITE DE SOUS-TRAITANT

QUESTIONS	REPONSES
Responsable de traitement Dénomination / nom	L’office ayant souscrit au Service
Finalités du traitement effectué pour le compte du responsable de traitement	Fourniture du Service pour les besoins des échanges de RIB entre l’office et ses clients
Données à caractère personnel pouvant être traitées pour le compte du responsable de traitement	Identité et état-civil (nom, prénom, identifiant,…) Coordonnées (numéro de téléphone, adresse de courrier électronique,…) Vie professionnelle (poste occupé, profil Utilisateur,…) Informations d’ordre économique ou financier ou administratif (et en particulier RIB, ou encore La référence du dossier) Logs de connexion / traçabilité des actions Et plus généralement l’ensemble des données à caractère personnel qui seraient nécessaires dans le cadre de la fourniture du Service
Personnes concernées Cf. les personnes dont les données font l’objet du traitement pour le compte du responsable de traitement	Utilisateurs Utilisateurs tiers Et plus généralement toute autre personne dont le traitement des données à caractère personnel serait nécessaire dans le cadre de la fourniture du Service
Nature des opérations de traitement effectuées sur les données à caractère personnel pour le compte du responsable de traitement	Consultation Collecte Saisie / modification / suppression Stockage / hébergement Sauvegarde Maintenance Analyse Et plus généralement l’ensemble des opérations de traitement qui seraient nécessaires dans le cadre de la fourniture du Service
Durées de conservation des données pour le compte du responsable de traitement	RIB de l’Utilisateur tiers : 30 jours maximum après la date de téléchargement puis suppression Demandes de téléchargement et d’upload des RIB : 30 jours maximum à compter de la date de la demande puis suppression. Données de reporting de l’ensemble des échanges sans document attaché : 1 an puis suppression Logs de connexion (traçabilité des actions) : 1 an maximum après l’envoi du fichier puis suppression

L’office reconnaît expressément que le présent appendice correspond à ses instructions initiales au titre des traitements de données à caractère personnel mis en œuvre par PNS en qualité de sous-traitant dans le cadre de la fourniture du Service.

APPENDICE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES DE SECURITE PRISES PAR PNS EN MATIERE DE PROTECTION DES DONNEES A CARACTERE PERSONNEL TRAITEES PAR PNS EN QUALITE DE SOUS-TRAITANT POUR LE COMPTE DE L’OFFICE

Mise en œuvre de moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique

Mise en place d’une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement

Information et sensibilisation des utilisateurs chez PNS

Mise en place d’une authentification forte chez PNS (identifiant pour chaque utilisateur, politique de mot de passe, obligation de changement de mot de passe, limitation du nombre de tentatives d’accès au compte) et accès au Service par les Utilisateurs au moyen d’un login / mot de passe

Gestion rigoureuse des habilitations (profils d’habilitations, suppression des permissions d’accès obsolètes, réaliser une revue annuelle des habilitations)

Traçage des accès et gestion des incidents (journalisation des accès, procédures de notification de violation des données personnelles)

Sécurisation des postes de travail (procédure de verrouillage automatique de session, utilisation d’un antivirus régulièrement mis à jour, installation d’un « pare-feu » logiciel, recueil de l’accord de l’utilisation avant intervention sur son poste)

Protection du réseau informatique interne (limiter le flux réseaux au strict nécessaire, sécurisation des accès distants par VPN, mise en œuvre du protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi)

Sécurisation des serveurs (accès aux outils et interfaces aux seules personnes habilitées, installation des mises à jour critiques, assurer une disponibilité des données personnelles)

Sauvegarde et continuité d’activité (sauvegardes régulières, stockage des supports de sauvegarde dans un endroit sûr, moyens sécurisés de convoyage des sauvegardes, prévoir et tests réguliers de la continuité de l’activité)

Encadrement de la maintenance et destruction des données personnelles (enregistrement des interventions de maintenance dans un main courante, encadrement par un responsable de l’organisme des interventions par des tiers, effacement des données personnelles de tout matériel avant sa mise au rebut)

Protection des locaux

APPENDICE 3 : LISTE DES SOUS-TRAITANTS ULTERIEURS

Dénomination	Activité	Localisation
ADNOV	Support de niveau 1	France