Skip to content
DPA

Accord de traitement des données

Les conditions de l'article 28 du RGPD selon lesquelles Alpha Analytics s.r.o. traite des données à caractère personnel pour le compte de ses clients dans le cadre de la fourniture des services Carsdata.com.

Dernière mise à jour9 juin 2026

Champ d'application et rôles des parties

Le présent Accord de traitement des données (le « DPA ») fait partie intégrante de l'accord conclu entre le client (le « Responsable du traitement ») et Alpha Analytics s.r.o. (le « Sous-traitant ») pour l'utilisation des services Carsdata.com (les « Services »). Il régit le traitement des données à caractère personnel que le Sous-traitant effectue pour le compte du Responsable du traitement et s'applique chaque fois qu'un tel traitement est soumis au Règlement (UE) 2016/679 (le « RGPD »).

Le Responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel et est responsable de la licéité de ce traitement. Le Sous-traitant ne traite les données à caractère personnel que pour le compte et sur les instructions documentées du Responsable du traitement. Lorsque le Sous-traitant détermine les finalités et les moyens du traitement pour ses propres activités, il agit en qualité de responsable du traitement et ce traitement est régi par la Politique de confidentialité et non par le présent DPA.

En cas de conflit entre le présent DPA et le reste de l'accord entre les parties en ce qui concerne le traitement des données à caractère personnel, le présent DPA prévaut.

Définitions

Les termes tels que « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « violation de données à caractère personnel » et « autorité de contrôle » ont le sens qui leur est donné dans le RGPD. On entend par « législation applicable en matière de protection des données » le RGPD et toute autre législation en matière de protection des données ou de la vie privée applicable au traitement des données à caractère personnel au titre de l'accord.

Objet, durée, nature et finalité du traitement

L'objet du traitement est la fourniture des Services. Le Sous-traitant traite les données à caractère personnel pendant la durée de l'accord et aussi longtemps après que nécessaire pour se conformer à ses obligations légales ou selon ce qui est par ailleurs prévu dans le présent DPA.

La nature et la finalité du traitement sont l'exploitation et la fourniture des Services au Responsable du traitement, y compris l'hébergement, le stockage, l'analyse et les opérations techniques nécessaires à la mise à disposition des Services. Le Sous-traitant traite les catégories de données à caractère personnel et de personnes concernées que le Responsable du traitement soumet aux Services, ou rend disponibles par leur intermédiaire — généralement les données d'identification et de contact des représentants et des utilisateurs autorisés du Responsable du traitement, ainsi que toute donnée à caractère personnel contenue dans les enregistrements que le Responsable du traitement choisit de traiter au moyen des Services.

Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • ne traiter les données à caractère personnel que sur les instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers, à moins que la loi ne l'exige — auquel cas le Sous-traitant informera le Responsable du traitement de cette exigence légale avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  • informer immédiatement le Responsable du traitement si, selon lui, une instruction enfreint la législation applicable en matière de protection des données ;
  • veiller à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • mettre en œuvre et maintenir les mesures techniques et organisationnelles de sécurité décrites dans le présent DPA ;
  • respecter les conditions de recours à des sous-traitants ultérieurs énoncées dans le présent DPA ;
  • aider le Responsable du traitement, compte tenu de la nature du traitement, à répondre aux demandes des personnes concernées exerçant leurs droits ;
  • aider le Responsable du traitement à garantir le respect de ses obligations en matière de sécurité du traitement, de notification des violations, d'analyses d'impact relatives à la protection des données et de consultation préalable, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant ;
  • selon le choix du Responsable du traitement, supprimer ou restituer toutes les données à caractère personnel après la fin de la fourniture des Services, et supprimer les copies existantes, sauf si la loi exige leur conservation ;
  • mettre à la disposition du Responsable du traitement les informations nécessaires pour démontrer le respect des obligations d'un sous-traitant, et permettre la réalisation d'audits et y contribuer, conformément aux dispositions du présent DPA.

Obligations du Responsable du traitement

Le Responsable du traitement est tenu de s'assurer qu'il dispose d'une base juridique valable pour le traitement des données à caractère personnel au moyen des Services, qu'il a fourni les informations et obtenu les consentements requis des personnes concernées, et que ses instructions au Sous-traitant respectent la législation applicable en matière de protection des données. Le Responsable du traitement ne doit soumettre, au moyen des Services, aucune donnée à caractère personnel qu'il n'est pas habilité à traiter.

Confidentialité

Le Sous-traitant traite toutes les données à caractère personnel comme confidentielles et veille à ce que l'accès soit limité au personnel qui en a besoin pour fournir les Services. Ce personnel est lié par des obligations écrites de confidentialité et reçoit une formation appropriée en matière de protection des données et de sécurité.

Sécurité du traitement

Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque pour les droits et libertés des personnes concernées, le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites dans l'aperçu Sécurité et comprennent, le cas échéant, le chiffrement des données à caractère personnel, la capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes de traitement, la capacité de rétablir la disponibilité et l'accès dans des délais appropriés en cas d'incident, ainsi qu'une procédure visant à tester et à évaluer régulièrement l'efficacité de ces mesures.

Sous-traitants ultérieurs

Le Responsable du traitement accorde au Sous-traitant une autorisation générale de recourir à des sous-traitants ultérieurs pour soutenir la fourniture des Services (par exemple, des prestataires d'infrastructure et de stockage en nuage). Le Sous-traitant tient à jour une liste des sous-traitants ultérieurs et informe le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en donnant au Responsable du traitement la possibilité de s'y opposer pour des motifs raisonnables tenant à la protection des données.

Le Sous-traitant impose à chaque sous-traitant ultérieur, par voie contractuelle, des obligations en matière de protection des données qui ne sont pas moins protectrices que celles énoncées dans le présent DPA, et demeure pleinement responsable envers le Responsable du traitement de l'exécution des obligations de chaque sous-traitant ultérieur.

Assistance relative aux droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Lorsque le Sous-traitant reçoit une demande directement d'une personne concernée, il transmet, sans retard injustifié, la demande au Responsable du traitement et n'y répond pas lui-même, sauf instruction en ce sens du Responsable du traitement.

Notification des violations de données à caractère personnel

Le Sous-traitant notifie au Responsable du traitement, sans retard injustifié, après avoir pris connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel traitées pour le compte du Responsable du traitement. La notification comprend, dans la mesure du possible, une description de la nature de la violation, les conséquences probables, les mesures prises ou proposées pour y remédier, ainsi qu'un point de contact pour de plus amples informations. Le Sous-traitant aide le Responsable du traitement à s'acquitter de ses propres obligations de notification des violations et de communication aux autorités de contrôle et aux personnes concernées.

Analyses d'impact relatives à la protection des données

Le Sous-traitant fournit une assistance raisonnable au Responsable du traitement pour toute analyse d'impact relative à la protection des données et toute consultation préalable des autorités de contrôle que le Responsable du traitement estime raisonnablement requise au titre des articles 35 ou 36 du RGPD, dans chaque cas uniquement en lien avec le traitement des données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement et compte tenu des informations à la disposition du Sous-traitant.

Transferts internationaux de données

Le Sous-traitant traite et stocke principalement les données à caractère personnel au sein de l'Union européenne / de l'Espace économique européen. Le Sous-traitant ne transfère pas de données à caractère personnel vers un pays situé en dehors de l'EEE ne bénéficiant pas d'une décision d'adéquation, sauf s'il a mis en place un mécanisme de transfert approprié reconnu par le RGPD, tel que les Clauses contractuelles types de la Commission européenne, ainsi que toute mesure supplémentaire nécessaire pour garantir un niveau de protection adéquat.

Audits et inspections

Le Sous-traitant met à la disposition du Responsable du traitement les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, y compris d'inspections, menés par le Responsable du traitement ou un auditeur qu'il mandate, et y contribue. Les audits sont menés moyennant un préavis raisonnable, pendant les heures normales de bureau, au maximum une fois par an (sauf lorsqu'une autorité de contrôle l'exige ou à la suite d'une violation de données à caractère personnel), et d'une manière qui ne perturbe pas les opérations du Sous-traitant ni ne compromet la confidentialité des données d'autres clients. Le Sous-traitant peut satisfaire aux demandes d'audit en fournissant les rapports d'audit ou les certifications pertinents de tiers, lorsqu'ils sont disponibles.

Restitution et suppression des données

À la résiliation ou à l'expiration des Services, le Sous-traitant, selon le choix du Responsable du traitement, supprime ou restitue toutes les données à caractère personnel traitées pour le compte du Responsable du traitement et supprime les copies existantes, sauf si la législation applicable exige une conservation continue. Les sauvegardes système standard sont supprimées conformément au cycle de conservation documenté du Sous-traitant.

Responsabilité, durée et droit applicable

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité énoncées dans l'accord entre les parties. Le présent DPA prend effet à la date d'entrée en vigueur de l'accord et reste en vigueur aussi longtemps que le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement. Le présent DPA est régi par le droit de la République tchèque, sauf disposition contraire de l'accord entre les parties, et sans préjudice des dispositions impératives du RGPD.

Pour demander un exemplaire contresigné du présent DPA, ou pour discuter de dispositions particulières en matière de protection des données, contactez-nous à info@carsdata.com.

Coordonnées de la société
Alpha Analytics s.r.o.
Siège social
Gustav Mahlerplein 2
1082 MA Amsterdam
Pays-Bas
Identifiant de la société (IČO)
228 01 154
Registre du commerce
Krajský soud v Ústí nad Labem
Numéro de dossier C 32406

Des questions concernant ce document ? Écrivez-nous à info@carsdata.com.