Article 1. Qualification des parties
Pour les traitements liés au site vitrine, à la prospection et à la relation commerciale, AEDUS agit en qualité de responsable de traitement. Pour les traitements effectués dans la plateforme pour le compte du client, AEDUS a vocation à agir en qualité de sous-traitant au sens de l’article 28 du RGPD, le client demeurant responsable de traitement pour les opérations qu’il détermine.
Article 2. Traitement sur instruction documentée
Lorsqu’elle agit comme sous-traitant, AEDUS traite les données personnelles sur instruction documentée du client, sauf obligation légale contraire. Le client garantit que ses instructions sont licites, proportionnées et conformes à la réglementation applicable.
Article 3. Mesures techniques et organisationnelles
AEDUS met en œuvre des mesures techniques et organisationnelles appropriées visant à garantir un niveau de sécurité adapté au risque, notamment en matière de contrôle d’accès, de confidentialité, de disponibilité, de résilience, de traçabilité pertinente et de protection des environnements techniques.
Article 4. Recours à des sous-traitants ultérieurs
Lorsque des prestataires techniques sont mobilisés pour l’hébergement, la sécurité, la maintenance, la messagerie ou le support, AEDUS veille à encadrer leurs interventions par des obligations contractuelles appropriées en matière de confidentialité, de sécurité et de conformité. La liste des sous-traitants significatifs et la localisation des traitements peuvent être précisées contractuellement ou communiquées sur demande.
Article 5. Assistance au responsable de traitement
Dans la mesure raisonnablement possible et au regard de la nature du traitement, AEDUS assiste le client pour répondre aux demandes d’exercice de droits, aux sollicitations des autorités compétentes, aux obligations de sécurité, ainsi qu’aux analyses d’impact et consultations préalables lorsque celles-ci sont requises.
Article 6. Notification des violations de données
En cas de violation de données personnelles affectant des traitements réalisés pour le compte du client, AEDUS informe le client dans les meilleurs délais compatibles avec la qualification de l’incident et lui communique les informations utiles raisonnablement disponibles, afin de lui permettre de satisfaire à ses propres obligations réglementaires.
Article 7. Sort des données à la fin de la prestation
À l’expiration de la relation contractuelle, AEDUS procède, selon les stipulations contractuelles applicables et les instructions documentées du client, à la restitution, à l’export, à l’archivage intermédiaire éventuel ou à la suppression des données, sous réserve des obligations légales de conservation qui lui incomberaient.