vu le règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes
et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001
et la décision nº 1247/2002/CE [ci-après le «règlement (UE) 2018/1725»], et
le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE [ci-après le «règlement (UE) 2016/679],
considérant ce qui suit:
(1) L’article 29 du règlement (UE) 2018/1725 dispose que lorsqu’un traitement doit être effectué pour
le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent
des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de
manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de
la personne concernée. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique
au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable
du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de
données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du
responsable du traitement.
(2) L’article 28 du règlement (UE) 2016/679 dispose que lorsqu’un traitement doit être effectué pour le compte
d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties
suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le
traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne
concernée. Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du
droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement,
définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à
caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable
du traitement,
SONT CONVENUS DE CE QUI SUIT:
Article premier – Parties
Le présent accord sur le traitement des données (l’«accord») est établi entre les parties énoncées ci-après:
1. la Commission européenne (la «Commission») et sa direction générale de l’informatique
(DG DIGIT) (ci-après le «prestataire de services» ou le «sous-traitant») et
2. la personne physique ou morale qui crée une enquête dans l’outil EUSurvey ou pour
le compte de laquelle une enquête est créée (ci-après le «propriétaire de l’enquête», l’utilisateur
ou le «responsable du traitement»), que l’enquête soit mise à la disposition de tiers ou non.
Les parties sont ci-après dénommées individuellement «partie» et collectivement «parties».
Article 2 – Champ d’application du présent accord
2.1 Le présent accord prévoit la répartition des rôles, responsabilités et modalités pratiques respectifs
entre le responsable du traitement et le sous-traitant, aux fins du respect des obligations qui leur
incombent en matière de protection des données en vertu du règlement (UE) 2018/1725 et du règlement (UE)
2016/679, respectivement, au moment de l’opération de traitement sur EUSurvey, lorsqu’ils créent, utilisent,
promeuvent ou encore mettent à la disposition de tiers une enquête au moyen de l’outil EUSurvey, et
comprend un ensemble commun standard d’instructions fourni au sous-traitant (prestataire de services)
par le responsable du traitement (propriétaire de l’enquête).
2.2. La question de savoir si c’est le règlement (UE) 2018/1725 ou le règlement (UE) 2016/679 qui
s’applique dépendra du règlement auquel le propriétaire de l’enquête est soumis. Si le propriétaire
de l’enquête est une institution, un organe ou un organisme de l’Union, c’est le règlement (UE) 2018/1725
qui sera d’application; dans les autres cas, ce sera le règlement (UE) 2016/679. En tout état de cause,
le prestataire de services est soumis au règlement (UE) 2018/1725. S’il n’est soumis ni au règlement (UE)
2018/1725 ni au règlement (UE) 2016/679, le propriétaire de l’enquête s’engage à respecter la législation
ou les règles applicables dans la juridiction dont il relève.
2.3. Aux fins du présent accord, les définitions énoncées respectivement à l’article 3 du règlement
(UE) 2018/1725 et à l’article 4 du règlement (UE) 2016/679 s’appliquent.
2.4 Description du service: EUSurvey est une application web gratuite pour la création et la publication
d’enquêtes en ligne. Elle a été développée par la DG DIGIT, qui en assure l'exploitation et la maintenance.
Afin de fournir le service au propriétaire de l’enquête, le sous-traitant doit procéder au traitement
de données à caractère personnel. Toutes les données, à caractère personnel ou non, recueillies au moyen
de l’outil EUSurvey sont hébergées dans les centres de données du prestataire de services
(ci-après l’«opération de traitement»).
Article 3 – Nature et finalité du traitement
3.1. En ce qui concerne les activités de traitement décrites au présent paragraphe, le propriétaire de
l’enquête agira en tant que responsable du traitement des données dès la création d’une enquête et le
prestataire de services agira en tant que sous-traitant des données. La principale opération de
traitement comprend les activités de traitement suivantes:
-
le prestataire de services, par l’intermédiaire d’EUSurvey, recueille et utilise les données à
caractère personnel du propriétaire de l’enquête afin de permettre à l’utilisateur de se connecter
à l’application EUSurvey et d’utiliser le service fourni pour créer, gérer, partager et publier des
questionnaires et des enquêtes en ligne. Le nom complet (prénom et nom) et l’adresse électronique
sont des données extraites par un processus de vérification automatique d'identité d’EULogin et de
la base centrale sur les utilisateurs de la Commission européenne, qui est stockée dans le centre
de données de la Commission européenne. Les coordonnées du propriétaire de l’enquête (prénom et nom,
adresse électronique) peuvent également être utilisées pour contacter l’utilisateur ou lui apporter
un soutien ainsi qu’à d’autres fins liées à la gestion de la qualité;
-
EUSurvey utilise
Europa Analytics pour établir des statistiques relatives au trafic et les analyser. Europa Analytics
est le service de la Commission qui surveille et évalue l’efficacité des sites web de la Commission sur
le site Europa. Europa Analytics repose sur la plateforme d’analyse «Matomo», un logiciel libre, et est
installé sur un serveur web. Tant les infrastructures que les logiciels de ce service sont sous le
contrôle total de la Commission et respectent la législation de l’UE en vigueur en matière de protection
des données;
-
toutes les données relatives à l’outil EUSurvey, c’est-à-dire les données à caractère personnel
susceptibles d’être collectées dans le cadre d’une enquête, sont stockées sur les serveurs du prestataire
de services. Ces informations relèvent de la responsabilité et du contrôle direct du propriétaire de
l’enquête (l’utilisateur).
3.2. Les données relatives au contenu propre à EUSurvey qui constituent des données à caractère personnel,
et qui peuvent être recueillies dans le cadre d’une enquête, ne relèvent pas du champ d’application du
présent accord. Cette activité de traitement relève de la responsabilité exclusive de chaque propriétaire
d’enquête lorsqu’il crée et partage une enquête avec des tiers, et agit en tant que responsable du
traitement des données afin de veiller à ce que la collecte des données à caractère personnel soit effectuée
conformément au règlement (UE) 2018/1725 (règlement européen sur la protection des données ou «RPDUE») ou
au règlement (UE) 2016/679 (RGPD).
3.3 EUSurvey est un outil protégé par EU Login, qui est couvert par le registre sous la référence DPR-EC-03187
et ne relève pas du champ d’application du présent accord. La DG DIGIT traite les données personnelles du
propriétaire de l’enquête (utilisateur) pendant le processus d’authentification de l’utilisateur afin de vérifier
de manière sécurisée l’identité de l’utilisateur et de lui accorder l’accès à l’application qu’il a l’intention
d’utiliser. Les données saisies par l’utilisateur sont comparées aux informations relatives au compte stockées
et enregistrées par l’utilisateur lors de la création de son profil EU Login, ce qui permet d’authentifier
l’utilisateur. En ce qui concerne EU Login, l’unité D3 de la DG DIGIT est la seule responsable du traitement.
3.4 Des informations détaillées sur les opérations de traitement et les activités de traitement décrites au
paragraphe 3.1. figurent à l’annexe I du présent accord, qui constitue le registre des activités de traitement
qui doit être tenu par le sous-traitant des données conformément à l’article 31, paragraphe 2, du règlement (UE)
2018/1725 et à l’article 30, paragraphe 2, du règlement (UE) 2016/679, respectivement.
3.5. Lors de la création d’un compte dans EUSurvey et avant la création d’une enquête en tant que propriétaire
d’enquête, l’utilisateur doit fournir un ensemble minimal de données à caractère personnel pour pouvoir utiliser
l’outil. À ce stade et avant la création d’une enquête, la Commission européenne est considérée comme étant la
seule responsable du traitement (DPR-EC-01488). Une fois l’enquête créée, les paragraphes 3.1. à 3.4. s’appliquent.
Article 4 – Traitement des données à caractère personnel par le prestataire de services en qualité de sous-traitant
4.1. En tant que prestataire de services, la Commission européenne recueille et utilise les données à caractère
personnel du propriétaire de l’enquête par l’intermédiaire d’EUSurvey afin que le propriétaire de l’enquête puisse
se connecter à l’application EUSurvey et utiliser le service permettant de créer et de publier des questionnaires
en ligne.
4.2 La Commission européenne n’est toutefois pas responsable des politiques ou des pratiques en matière de protection
de la vie privée et des données mises en œuvre par le propriétaire de l’enquête qui utilise l’application EUSurvey
pour créer, communiquer et publier une enquête EUSurvey destinée à un public plus large (autres utilisateurs de l’enquête).
Toutes les données à caractère personnel collectées dans le cadre d’une telle enquête seront traitées par le propriétaire
de l’enquête et sous sa responsabilité, à savoir, notamment, une collecte licite de données à caractère personnel,
conformément à l’article 5, paragraphe 1, du règlement (UE) 2018/1725 et/ou à l’article 6, paragraphe 1, du règlement
(UE) 2016/679, respectivement.
4.3 Lors du traitement de données à caractère personnel au moyen de cet outil, il est vivement recommandé au propriétaire
de l’enquête de créer et d’adopter une déclaration relative à la protection de la vie privée (avis) distincte ainsi qu’un
registre des opérations de traitement, et d’en informer toutes les personnes qui contribuent à l’enquête
4.4. Le prestataire de services traite, pour le compte du propriétaire d’une enquête EUSurvey (utilisateur), toutes les
données à caractère personnel figurant dans le présent accord sur le traitement des données ou relatives à cet accord,
conformément au règlement (UE) 2018/1725 et uniquement aux fins énoncées dans le présent document. L’objet, la durée,
la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes
concernées liés au traitement par le prestataire de services pour le compte de l’utilisateur sont énoncés ci-après.
En ce qui concerne la mise à disposition, l’exploitation et la gestion de l’outil EUSurvey:
4.5 La localisation et l’accès aux données à caractère personnel traitées par le sous-traitant sont
limités au territoire de l’Union européenne et de l’Espace économique européen et restent au sein de ce
territoire.
Article 5 – Obligations générales incombant au prestataire de services
Le prestataire de services aide le propriétaire de l’enquête (utilisateur) à remplir les obligations
qui incombent à ce dernier au titre, respectivement, des articles 33 à 41 du règlement (UE) 2018/1725
ou des articles 32 à 43 du règlement (UE) 2016/679, pour:
-
garantir le respect de ses obligations en matière de protection des données en ce qui concerne la
sécurité du traitement et la confidentialité des communications électroniques et des annuaires
d’utilisateurs;
-
notifier une violation de données à caractère personnel au Contrôleur européen de la protection
des données ou à l’autorité compétente en matière de protection des données dont relève le
propriétaire de l’enquête ;
-
communiquer une violation de données à caractère personnel à la personne concernée dans les
meilleurs délais, le cas échéant;
-
effectuer des analyses d’impact relatives à la protection des données et des consultations préalables dans la mesure nécessaire.
Le prestataire de services ne peut agir que conformément aux instructions écrites et documentées et sous la supervision du propriétaire
de l’enquête (l’utilisateur), notamment en ce qui concerne les finalités du traitement, les catégories de données pouvant être traitées,
les destinataires des données et les moyens par lesquels les personnes concernées peuvent exercer leurs droits.
Le prestataire de services informe immédiatement le propriétaire de l’enquête si, selon lui, une instruction de ce dernier
constitue une violation du règlement (UE) 2018/1725 ou d’autres dispositions de l’Union relatives à la protection des données.
Le prestataire de services informe dans les meilleurs délais le responsable du traitement de toute demande
juridiquement contraignante de divulgation des données à caractère personnel traitées pour le compte du
responsable du traitement qui lui est adressée par toute autorité publique nationale, y compris une autorité
d’un pays tiers. Le prestataire de services ne peut accorder cet accès sans l’autorisation écrite préalable
du responsable du traitement, à moins d’y être obligé par le droit de l’Union ou le droit d’un État membre.
Le prestataire de services donne à son personnel l’accès aux données dans la mesure strictement nécessaire à la
mise en œuvre, à la gestion et au suivi de l’accord. Le prestataire de services doit veiller à ce que les personnes
autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises
à une obligation légale appropriée de confidentialité, conformément aux dispositions de l’article 28, paragraphe 3,
point b), du règlement (UE) 2016/679 ou de l’article 29, paragraphe 3, point b), du règlement (UE) 2018/1725.
Article 6 – Responsabilité de la sécurité du traitement
Le prestataire de services a adopté des mesures de sécurité techniques et organisationnelles appropriées en ce qui
concerne les services fournis 1. Ces deux types de mesures tiennent dûment compte des risques inhérents au traitement
ainsi que de la nature, de la portée, du contexte et des finalités du traitement, afin de:
-
garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
-
rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
-
garantir une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement;
-
garantir des mesures visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation non autorisée de données
à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, d’origine accidentelle ou illicite.
Article 7 – Gestion des incidents de sécurité, notamment des violations de données à caractère personnel
Le prestataire de services notifie au propriétaire de l’enquête toute violation de données à caractère
personnel pertinente dans les meilleurs délais après en avoir pris connaissance, en tenant compte de la
nature du traitement et des informations dont le prestataire de services dispose à ce moment-là.
En pareils cas, le prestataire de services communique au moins les informations suivantes au propriétaire
de l’enquête:
-
la nature de la violation de données à caractère personnel y compris, si possible, les catégories et
le nombre approximatif de personnes concernées par la violation et les catégories et le nombre
approximatif de données à caractère personnel concernées;
-
les conséquences probables de la violation;
-
les mesures prises ou proposées pour remédier à la violation, y compris, s’il y a lieu, les
mesures destinées à en atténuer les éventuelles conséquences négatives.
Article 8 – Demandes présentées par les personnes concernées
Une personne concernée dont les données à caractère personnel sont traitées par le responsable du traitement dans le cadre de la création d’enquêtes par le propriétaire de l’enquête (utilisateur) dispose de droits particuliers en vertu du chapitre III (articles 14 à 25) du règlement (UE) 2018/1725 ou du chapitre III (articles 13 à 23) du règlement (UE) 2016/679, et notamment le droit d’accéder à ses données à caractère personnel, de les rectifier ou de les effacer, le droit de limiter le traitement de ces données ou, le cas échéant, le droit de s’y opposer ou le droit à la portabilité des données. Pour toute question concernant le traitement de leurs données à caractère personnel, les personnes concernées s’adressent au responsable du traitement des données. Elles peuvent également s’adresser au délégué à la protection des données du responsable du traitement, le cas échéant. Les personnes concernées ont le droit d’introduire à tout moment une réclamation auprès du Contrôleur européen de la protection des données.
Le sous-traitant aide le propriétaire de l’enquête (utilisateur) à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits dans le cadre du présent accord. Le sous-traitant informe dans les meilleurs délais le propriétaire de l’enquête des demandes qui lui sont adressées.
La durée du traitement des données à caractère personnel par le prestataire de services par type d’activité de traitement ne dépassera pas la période mentionnée au début du présent accord. À la fin de cette période, le prestataire de services, à la demande et selon le choix du propriétaire de l’enquête, effacera totalement ou partiellement toutes les données à caractère personnel (y compris toutes les copies) traitées pour le compte du propriétaire de l’enquête, dans les meilleurs délais, à moins que le droit de l’Union n’exige une conservation plus longue de ces données à caractère personnel. Toutes les données figurant dans les enquêtes ou questionnaires peuvent être définitivement supprimées par le propriétaire de l’enquête lui-même. En outre, chaque propriétaire d’enquête peut supprimer définitivement le compte dont il est titulaire sur l’application EUSurvey en cliquant sur l’onglet «supprimer le compte».
Veuillez noter que la suppression des données de sauvegarde est soumise à la politique de conservation de la Commission européenne.
Le prestataire de services doit conserver les données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles les données à caractère personnel sont traitées.
La sous-traitance du service ou l’exécution du contrat par des tiers nécessite l’autorisation écrite préalable du client. Si tout ou partie du traitement des données à caractère personnel est sous-traité à un tiers, le prestataire de services transmet par écrit à ces parties, y compris aux sous-traitants, les obligations visées à l’annexe. À la demande du client, le prestataire de services fournit un document attestant de cet engagement.
ANNEXE 1: Registre des activités de traitement
Article 31, paragraphe 2, points a), b), c) et d), du RPDUE – article 30, paragraphe 2, du RGPD
1 Ces mesures organisationnelles comprennent l'utilisation appropriée du service et de ses fonctionnalités.