CHARTE DE SOUS-TRAITANCE DES DONNÉES PERSONNELLES

PRÉAMBULE

Le présent engagement de protection et de confidentialité des données personnelles (ci-après la « Charte » ou l'« Engagement ») a pour objet de définir les modalités selon lesquelles la société HALLIA, SARL au capital de 50 000 euros, immatriculée au RCS de Lyon sous le numéro 901 198 382, dont le siège social est situé 14 Avenue Barthélémy Thimonnier, 69300 Caluire-et-Cuire (ci-après « HALLIA » ou le « Sous-Traitant »), s'engage à effectuer, pour le compte du Client, les traitements de données à caractère personnel décrits ci-après.

Dans ce cadre, HALLIA agit en qualité de sous-traitant et le Client agit en qualité de responsable de traitement au sens de l'article 4 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (ci-après le « RGPD »).

Les Parties s'engagent à respecter la réglementation applicable en matière de protection des données personnelles, notamment :

• Le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) ;
• La loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
• Toute réglementation européenne ou nationale applicable.

La présente Charte constitue l'acte d'engagement de sous-traitance au sens de l'article 28 du RGPD et fait partie intégrante du cadre contractuel entre HALLIA et le Client.

ARTICLE 1 – DÉFINITIONS

Au sens de la présente Charte, les termes suivants ont la signification ci-dessous :

• Client : la personne morale responsable de traitement qui a conclu un contrat avec HALLIA pour la fourniture des Services.
• Données Client ou Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (« Personne Concernée ») traitée par HALLIA pour le compte du Client dans le cadre des Services.
• Personne Concernée : toute personne physique dont les données personnelles sont traitées par HALLIA pour le compte du Client, notamment les utilisateurs autorisés par le Client et les participants aux échanges via la Plateforme.
• RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
• Responsable de traitement : le Client, qui détermine les finalités et les moyens du traitement des Données Client.
• Services : les services numériques et prestations fournis par HALLIA, notamment via la Plateforme SaaS HALLIA.
• Sous-Traitant : HALLIA, qui traite des données à caractère personnel pour le compte du Client.
• Sous-Traitant ultérieur : tout autre sous-traitant engagé par HALLIA pour réaliser des activités de traitement spécifiques pour le compte du Client.
• Traitement : toute opération ou ensemble d'opérations effectuées sur des données personnelles, notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la consultation, l'utilisation, la communication, la limitation, l'effacement ou la destruction.
• Violation de données : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles ou l'accès non autorisé à de telles données.

ARTICLE 2 – OBJET DE LA SOUS-TRAITANCE

2.1 Cadre général

HALLIA est autorisée à traiter, pour le compte du Client et selon ses instructions documentées, les Données Client nécessaires à la fourniture des Services numériques proposés par HALLIA.

2.2 Description des Services

Les Services consistent notamment à :

• Automatiser des processus métier pour le compte du Client ;
• Fournir des outils d'analyse, de reporting et d'intelligence artificielle ;
• Permettre l'intégration de systèmes et la formation des utilisateurs du Client ;
• Héberger et maintenir la Plateforme SaaS HALLIA ;
• Assurer le support technique et la maintenance de la Plateforme ;
• Effectuer des sauvegardes et garantir la continuité d'activité.

2.3 Accès aux Services

Le Client donne accès aux Services à ses utilisateurs autorisés (les « Utilisateurs »), qui sont susceptibles de divulguer, importer ou générer des Données Client dans le cadre de l'utilisation des Services.

ARTICLE 3 – FINALITÉS DU TRAITEMENT

3.1 Finalités autorisées

Les Données Client sont traitées par HALLIA exclusivement pour les finalités suivantes :

• Fournir et exploiter les Services HALLIA conformément au contrat ;
• Permettre l'automatisation de processus ou la synthèse de contenus professionnels selon les instructions du Client ;
• Gérer l'accès aux comptes utilisateurs et à la Plateforme ;
• Assurer la maintenance, la sécurité, la performance et le support technique de la Plateforme ;
• Effectuer les sauvegardes et garantir la résilience des systèmes ;
• Se conformer aux obligations légales et réglementaires applicables.

3.2 Absence de traitement pour compte propre

HALLIA s'interdit de traiter les Données Client pour ses propres finalités commerciales ou pour toute finalité non expressément autorisée par le Client ou non nécessaire à la fourniture des Services.

3.3 Amélioration du Service

Les Données Client peuvent être utilisées de manière strictement anonymisée et agrégée pour améliorer la qualité, la performance et les fonctionnalités du Service, dans le respect des principes suivants :

• Suppression de tout élément permettant l'identification directe ou indirecte des Personnes Concernées ;
• Agrégation avec d'autres données anonymisées ;
• Impossibilité technique de ré-identification ;
• Respect absolu de la confidentialité.

ARTICLE 4 – NATURE ET CATÉGORIES DES DONNÉES CLIENT

4.1 Catégories de Données Client traitées

Les données à caractère personnel traitées par HALLIA pour le compte du Client incluent notamment :

4.2 Catégories de Personnes Concernées

Les Personnes Concernées par le traitement sont :

• Les Utilisateurs autorisés par le Client (employés, collaborateurs, prestataires) ;
• Les participants aux échanges et communications utilisant la Plateforme ;
• Les personnes mentionnées dans les contenus traités via la Plateforme.

4.3 Données sensibles

En principe, HALLIA ne traite pas de catégories particulières de données au sens de l'article 9 du RGPD (données dites « sensibles » : origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, données biométriques, données relatives à la vie sexuelle, etc.).

Si le Client envisage d'importer de telles données via la Plateforme, il doit :

• En informer préalablement HALLIA par écrit ;
• S'assurer de disposer d'une base légale appropriée (consentement explicite, intérêt public essentiel, etc.) ;
• Mettre en œuvre des mesures de protection renforcées.

ARTICLE 5 – INSTRUCTIONS DU CLIENT ET OBLIGATIONS DE HALLIA

5.1 Traitement sur instruction documentée

HALLIA s'engage à traiter les Données Client uniquement sur instruction documentée du Client, telle que définie :

• Dans les Conditions Générales de Vente (CGV) et les Conditions d'Utilisation (CU) ;
• Dans la présente Charte de Sous-Traitance ;
• Dans toute instruction complémentaire écrite communiquée par le Client par email ou via l'interface d'administration de la Plateforme.

5.2 Notification en cas d'instruction contraire au RGPD

Si HALLIA estime qu'une instruction du Client est manifestement contraire au RGPD ou à toute autre disposition européenne ou nationale applicable en matière de protection des données, HALLIA en informera immédiatement le Client par écrit et suspendra l'exécution de l'instruction jusqu'à clarification.

5.3 Garantie de confidentialité

HALLIA garantit que toute personne agissant sous son autorité et ayant accès aux Données Client :

• Est soumise à une obligation de confidentialité contractuelle ou légale ;
• A reçu une formation appropriée en matière de protection des données personnelles ;
• N'accède aux données que dans la mesure strictement nécessaire à l'accomplissement de ses fonctions.

5.4 Formation du personnel

HALLIA s'engage à former régulièrement son personnel aux obligations en matière de protection des données personnelles, notamment :

• Les principes du RGPD (licéité, transparence, minimisation, etc.) ;
• Les bonnes pratiques de sécurité informatique ;
• La gestion des violations de données ;
• Les droits des Personnes Concernées.

5.5 Protection des données dès la conception (Privacy by Design)

HALLIA intègre la protection des données dès la conception de ses Services et met en œuvre par défaut des mesures techniques et organisationnelles appropriées pour garantir un niveau élevé de protection.

ARTICLE 6 – SOUS-TRAITANCE ULTÉRIEURE

6.1 Autorisation générale du Client

Le Client autorise HALLIA à faire appel à des sous-traitants spécialisés (« Sous-Traitants ultérieurs ») pour certaines activités techniques spécifiques nécessaires à la fourniture des Services, notamment :

• L'hébergement de l'infrastructure et des données ;
• Les services d'intelligence artificielle et de traitement du langage naturel ;
• La maintenance technique et la supervision des systèmes ;
• Les services de messagerie et de communication.

6.2 Liste des Sous-Traitants ultérieurs autorisés

Sont d'ores et déjà autorisés les Sous-Traitants ultérieurs suivants :

6.3 Information et opposition

HALLIA tiendra à jour la liste des Sous-Traitants ultérieurs et la communiquera au Client sur demande.

En cas d'ajout ou de remplacement d'un Sous-Traitant ultérieur, HALLIA informera le Client par écrit (email) avec un préavis minimum de trente (30) jours.

Le Client dispose d'un droit d'opposition pour des motifs légitimes liés à la protection des données. Il doit exercer ce droit par écrit dans un délai de quinze (15) jours suivant la notification. En cas d'opposition fondée, les Parties rechercheront de bonne foi une solution alternative.

6.4 Obligations contractuelles envers les Sous-Traitants ultérieurs

HALLIA s'engage à imposer à tout Sous-Traitant ultérieur, par voie contractuelle, les mêmes obligations de protection des données que celles figurant dans la présente Charte, notamment :

• Le traitement des données sur instruction uniquement ;
• La confidentialité et la sécurité des données ;
• L'assistance pour l'exercice des droits des Personnes Concernées ;
• La notification des violations de données ;
• La suppression ou restitution des données en fin de contrat ;
• La réalisation d'audits de conformité.

6.5 Responsabilité de HALLIA

HALLIA demeure pleinement responsable vis-à-vis du Client du respect par ses Sous-Traitants ultérieurs des obligations en matière de protection des données personnelles.

En cas de manquement d'un Sous-Traitant ultérieur, HALLIA en assumera l'entière responsabilité comme s'il s'agissait de son propre manquement.

ARTICLE 7 – EXERCICE DES DROITS DES PERSONNES CONCERNÉES

7.1 Droits des Personnes Concernées

Conformément aux articles 12 à 22 du RGPD, les Personnes Concernées disposent des droits suivants :

• Droit d'accès (article 15) : obtenir confirmation du traitement de leurs données et en recevoir une copie ;
• Droit de rectification (article 16) : obtenir la rectification de données inexactes ou incomplètes ;
• Droit à l'effacement (« droit à l'oubli », article 17) : obtenir l'effacement de leurs données dans certaines conditions ;
• Droit à la limitation du traitement (article 18) : obtenir la limitation du traitement dans certains cas ;
• Droit à la portabilité (article 20) : recevoir les données dans un format structuré et les transmettre à un autre responsable de traitement ;
• Droit d'opposition (article 21) : s'opposer au traitement pour des motifs légitimes ;
• Droit de ne pas faire l'objet d'une décision automatisée (article 22) : ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

7.2 Rôle du Client

Le Client, en qualité de responsable de traitement, est responsable de la gestion des demandes d'exercice des droits des Personnes Concernées.

Le Client informe les Personnes Concernées des modalités d'exercice de leurs droits et traite les demandes dans les délais légaux (un mois à compter de la réception, renouvelable une fois).

7.3 Rôle de HALLIA

Toute demande d'exercice des droits RGPD reçue directement par HALLIA de la part d'une Personne Concernée sera immédiatement transmise au Client par email, dans un délai maximum de quarante-huit (48) heures.

HALLIA n'est pas autorisée à répondre directement aux demandes sans instruction expresse du Client.

7.4 Assistance de HALLIA

HALLIA s'engage à assister le Client dans le traitement des demandes d'exercice des droits, notamment en :

• Fournissant les outils techniques permettant au Client de rechercher, extraire, rectifier, supprimer ou limiter les Données Client ;
• Mettant à disposition des fonctionnalités d'export des données dans un format structuré et couramment utilisé ;
• Fournissant toute information nécessaire pour permettre au Client de répondre dans les délais légaux.

Cette assistance peut faire l'objet d'une facturation complémentaire en cas de demandes complexes nécessitant des développements spécifiques, sauf si la complexité résulte d'un manquement de HALLIA.

7.5 Contact pour l'exercice des droits

Les Personnes Concernées peuvent exercer leurs droits auprès :

• Du Client (recommandé) : selon les modalités communiquées par le Client dans sa politique de confidentialité ;
• De HALLIA (qui transférera la demande au Client) : rgpd@hallia.ai

ARTICLE 8 – NOTIFICATION DES VIOLATIONS DE DONNÉES

8.1 Obligation de notification

Conformément à l'article 33 du RGPD, HALLIA s'engage à notifier au Client, sans délai et au plus tard dans les quarante-huit (48) heures suivant la découverte d'une violation de données personnelles susceptible d'affecter les Données Client, toute violation constatée.

8.2 Contenu de la notification

La notification de violation comprendra au minimum les informations suivantes, dans la mesure où elles sont disponibles :

• La nature de la violation de données (accès non autorisé, perte, destruction, altération, divulgation, etc.) ;
• Les catégories et le nombre approximatif de Personnes Concernées affectées ;
• Les catégories et le nombre approximatif d'enregistrements de données concernés ;
• Les conséquences probables de la violation ;
• Les mesures prises ou envisagées par HALLIA pour remédier à la violation et en atténuer les effets négatifs ;
• Le nom et les coordonnées du point de contact auprès de HALLIA pour obtenir davantage d'informations.

Si toutes les informations ne peuvent être fournies simultanément, elles seront communiquées progressivement sans retard injustifié.

8.3 Documentation de la violation

HALLIA documentera toute violation de données à caractère personnel, y compris les faits concernant la violation, ses effets et les mesures prises pour y remédier.

Cette documentation sera tenue à la disposition du Client et des autorités de contrôle (CNIL).

8.4 Assistance pour la notification à la CNIL et aux Personnes Concernées

HALLIA assistera le Client pour permettre à ce dernier de respecter ses propres obligations de notification :

• À la CNIL (article 33 du RGPD) : dans les 72 heures suivant la découverte de la violation, si elle présente un risque pour les droits et libertés des personnes ;
• Aux Personnes Concernées (article 34 du RGPD) : sans délai, si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

HALLIA fournira toutes les informations nécessaires pour permettre au Client de procéder à ces notifications.

8.5 Coopération avec les autorités

En cas d'enquête de la Commission Nationale de l'Informatique et des Libertés (CNIL) ou de toute autre autorité de contrôle compétente suite à une violation, HALLIA coopérera pleinement et fournira toute documentation et information requise.

ARTICLE 9 – EMPLACEMENT ET LOCALISATION DES DONNÉES CLIENT

9.1 Hébergement dans l'Union européenne

Les Données Client sont stockées et hébergées exclusivement au sein de l'Union européenne, conformément aux exigences du RGPD.

9.2 Absence de transfert hors UE

HALLIA s'engage à ne procéder à aucun transfert des Données Client hors de l'Union européenne sans l'accord écrit préalable du Client.

En cas de nécessité absolue d'un transfert hors UE (par exemple, pour un support technique de niveau 3), HALLIA mettra en place les garanties appropriées prévues par le RGPD :

• Clauses contractuelles types de la Commission européenne (articles 46.2.c et 46.5) ;
• Ou certification selon un mécanisme approuvé (article 46.2.f) ;
• Ou tout autre mécanisme de transfert autorisé par le RGPD.

9.3 Accès depuis l'extérieur de l'UE

Bien que les données soient stockées dans l'UE, HALLIA ne limite pas la zone géographique d'accès des Utilisateurs au Service. Les Utilisateurs peuvent accéder à la Plateforme depuis n'importe quel pays via Internet, sous réserve des restrictions d'export éventuelles.

Cette accessibilité mondiale ne constitue pas un transfert de données au sens du RGPD, les données restant hébergées dans l'UE.

9.4 Information en cas de modification

Toute modification significative de la localisation géographique des Données Client sera notifiée au Client avec un préavis minimum de soixante (60) jours.

ARTICLE 10 – DIVULGATION DES DONNÉES CLIENT

10.1 Principe de non-divulgation

HALLIA s'engage à ne pas divulguer, communiquer, transférer ou donner accès aux Données Client à des tiers, sauf dans les cas expressément prévus par la présente Charte ou autorisés par le Client.

10.2 Exceptions autorisées

HALLIA peut divulguer des Données Client uniquement dans les cas suivants :

• Sur instruction écrite du Client : pour répondre à une demande expresse et documentée ;
• Aux Sous-Traitants ultérieurs autorisés : dans les conditions prévues à l'article 6, strictement nécessaire à la fourniture des Services ;
• Pour répondre à une obligation légale : en cas de réquisition judiciaire, administrative ou légale impérative (assignation, mandat de perquisition, ordonnance, etc.).

10.3 Demandes des autorités

En cas de demande d'accès aux Données Client émanant d'une autorité publique, administrative ou judiciaire, HALLIA s'engage à :

• Informer immédiatement le Client de cette demande, avant toute divulgation, sauf si la loi ou l'autorité requérante l'interdit expressément ;
• Vérifier la légalité et la validité formelle de la demande ;
• Limiter la divulgation aux seules données strictement requises par la demande ;
• Contester la demande si elle apparaît illégale, disproportionnée ou contraire au RGPD ;
• Documenter toute divulgation effectuée.

10.4 Transparence

HALLIA tiendra un registre des demandes d'accès reçues des autorités et des divulgations effectuées, et le communiquera au Client sur demande, dans la mesure permise par la loi.

ARTICLE 11 – ANONYMISATION ET PSEUDONYMISATION

11.1 Outils d'anonymisation

HALLIA met à disposition du Client des outils et fonctionnalités permettant d'anonymiser ou de pseudonymiser les Données Client, notamment :

• Fonctions de suppression ou masquage d'éléments identifiants avant traitement ;
• Agrégation et statistiques ne permettant plus l'identification des personnes ;
• Techniques de hachage et de chiffrement des identifiants directs.

11.2 Responsabilité du Client

Il appartient au Client de :

• Utiliser ces outils d'anonymisation lorsque cela est approprié et nécessaire ;
• S'assurer que les Personnes Concernées ont donné leur consentement ou qu'une autre base légale existe pour le traitement des données personnelles ;
• Vérifier que le niveau d'anonymisation est suffisant pour empêcher toute ré-identification.

11.3 Pseudonymisation par HALLIA

HALLIA applique des techniques de pseudonymisation pour certaines opérations techniques internes (journaux d'activité, analyses statistiques) afin de réduire les risques pour les Personnes Concernées.

ARTICLE 12 – ASSISTANCE ET COOPÉRATION DU CLIENT

12.1 Analyses d'impact relatives à la protection des données (AIPD)

Conformément à l'article 35 du RGPD, si le Client doit réaliser une analyse d'impact relative à la protection des données (AIPD) compte tenu de la nature du traitement et des risques pour les droits et libertés des Personnes Concernées, HALLIA s'engage à assister le Client en fournissant :

• Une description détaillée des opérations de traitement effectuées par HALLIA ;
• Les mesures techniques et organisationnelles de sécurité mises en œuvre ;
• Une évaluation des risques résiduels et des mesures d'atténuation ;
• Toute information nécessaire pour permettre au Client de mener à bien l'AIPD.

Cette assistance est incluse dans les Services, sauf si elle nécessite des travaux exceptionnels dépassant le cadre normal de coopération.

12.2 Consultation préalable de l'autorité de contrôle

Si, à l'issue de l'AIPD, il ressort que le traitement présente un risque élevé et que le Client doit consulter la CNIL en application de l'article 36 du RGPD, HALLIA assistera le Client en fournissant toute information ou documentation complémentaire requise par l'autorité.

12.3 Assistance générale à la conformité RGPD

HALLIA s'engage à assister raisonnablement le Client pour lui permettre de respecter ses obligations en tant que responsable de traitement, notamment concernant :

• La tenue du registre des activités de traitement (article 30 RGPD) ;
• La mise en œuvre des principes de protection des données dès la conception et par défaut (article 25 RGPD) ;
• La notification de violations de données à la CNIL et aux Personnes Concernées (articles 33 et 34 RGPD) ;
• Les réponses aux demandes d'exercice des droits (articles 12 à 22 RGPD) ;
• La coopération avec les autorités de contrôle.

12.4 Limite de l'assistance

L'assistance fournie par HALLIA ne se substitue pas aux obligations propres du Client en tant que responsable de traitement. Le Client reste seul responsable de la conformité de ses traitements au RGPD et aux autres réglementations applicables.

ARTICLE 13 – MESURES DE SÉCURITÉ

13.1 Obligation générale de sécurité

Conformément à l'article 32 du RGPD, HALLIA met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques présentés par le traitement des Données Client, compte tenu :

• De l'état des connaissances techniques ;
• Des coûts de mise en œuvre ;
• De la nature, de la portée, du contexte et des finalités du traitement ;
• Des risques pour les droits et libertés des Personnes Concernées.

13.2 Mesures techniques de sécurité

13.3 Mesures organisationnelles de sécurité

13.4 Mesures spécifiques pour l'intelligence artificielle

Pour les traitements impliquant des algorithmes d'intelligence artificielle :

• Validation et tests des modèles d'IA avant déploiement ;
• Surveillance continue de la performance et des biais potentiels ;
• Documentation des modèles, de leurs limites et des risques associés ;
• Intervention humaine possible dans les processus décisionnels.

13.5 Évolution des mesures de sécurité

HALLIA s'engage à faire évoluer continuellement ses mesures de sécurité en fonction :

• De l'état de l'art technologique ;
• De l'évolution des menaces et des risques ;
• Des retours d'expérience et des incidents constatés ;
• Des recommandations des autorités de contrôle (CNIL, ANSSI).

ARTICLE 14 – SORT DES DONNÉES CLIENT EN FIN DE CONTRAT

14.1 Période de conservation transitoire

À la fin du contrat (résiliation, non-renouvellement, expiration), pour quelque cause que ce soit, HALLIA conserve les Données Client pendant une durée maximale de quatre-vingt-dix (90) jours calendaires pour permettre au Client d'en effectuer l'extraction.

14.2 Outils d'export

Durant cette période transitoire, HALLIA met à disposition du Client des outils d'export permettant de récupérer les Données Client dans un format structuré, couramment utilisé et lisible par machine (par exemple : JSON, CSV, XML, PDF).

L'accès aux outils d'export s'effectue via l'espace d'administration du Client sur la Plateforme.

14.3 Responsabilité du Client

Il appartient au Client de procéder à l'export de ses Données Client pendant la période de quatre-vingt-dix (90) jours. Passé ce délai, aucune récupération ne sera plus possible.

HALLIA ne saurait être tenue responsable en cas de défaut d'export par le Client dans les délais impartis.

14.4 Suppression définitive

À l'issue de la période de quatre-vingt-dix (90) jours suivant la fin du contrat, HALLIA procède à la suppression définitive et irréversible de toutes les Données Client, incluant :

• Les données en production (bases de données, systèmes de fichiers) ;
• Les sauvegardes et copies de résilience ;
• Les données en cache et les copies temporaires ;
• Les données présentes chez les Sous-Traitants ultérieurs.

La suppression est effectuée de manière sécurisée conformément aux standards reconnus (effacement sécurisé, destruction physique des supports si nécessaire).

14.5 Certificat de destruction

Sur demande écrite du Client, HALLIA fournit un certificat de destruction attestant de la suppression définitive des Données Client, mentionnant :

• La date de suppression ;
• Les catégories de données supprimées ;
• Les méthodes de suppression utilisées ;
• La confirmation de la suppression chez les Sous-Traitants ultérieurs.

14.6 Exceptions – Conservation légale

Par dérogation aux dispositions précédentes, HALLIA peut conserver certaines données pendant les durées requises par la loi ou les règlements applicables, notamment :

• Les données de facturation et comptables (10 ans conformément au Code de commerce) ;
• Les données nécessaires à l'établissement de la preuve d'un droit ou d'un contrat ;
• Les données devant être conservées en application d'une obligation légale.

Ces données conservées sont archivées de manière sécurisée, avec accès strictement limité, et ne sont plus accessibles via les Services.

14.7 Restitution alternative

À la demande expresse du Client formulée avant la fin du contrat, HALLIA peut procéder à une restitution des Données Client sur support physique sécurisé (disque dur chiffré remis en main propre ou par transporteur sécurisé). Cette prestation peut faire l'objet d'une facturation complémentaire.

ARTICLE 15 – REGISTRE DES ACTIVITÉS DE TRAITEMENT

15.1 Obligation de tenue du registre

Conformément à l'article 30.2 du RGPD, HALLIA tient un registre des catégories d'activités de traitement effectuées pour le compte de ses clients (responsables de traitement).

15.2 Contenu du registre

Le registre comprend au minimum les informations suivantes :

• Le nom et les coordonnées de HALLIA et de chaque responsable de traitement pour le compte duquel HALLIA agit ;
• Les catégories de traitements effectués pour le compte de chaque responsable de traitement ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale ;
• Une description générale des mesures techniques et organisationnelles de sécurité mises en œuvre.

15.3 Communication du registre

Le registre est tenu à la disposition de l'autorité de contrôle (CNIL) sur demande.

HALLIA communique au Client, sur demande, les informations du registre le concernant spécifiquement.

ARTICLE 16 – DOCUMENTATION ET AUDITS

16.1 Mise à disposition de la documentation

HALLIA met à disposition du Client toute la documentation nécessaire pour démontrer le respect des obligations énoncées dans la présente Charte et dans le RGPD, notamment :

• Les politiques et procédures de sécurité et de protection des données ;
• Les certifications et rapports d'audit obtenus (ISO 27001, SOC 2, etc.) ;
• La présente Charte et ses mises à jour ;
• Les contrats avec les Sous-Traitants ultérieurs (sur demande et sous réserve de confidentialité).

16.2 Droit d'audit du Client

Le Client (ou un auditeur mandaté par le Client) a le droit de réaliser des audits et des inspections concernant le respect par HALLIA de ses obligations en matière de protection des données.

Modalités d'exercice :

• Demande d'audit formulée par écrit avec un préavis minimum de quinze (15) jours ouvrés ;
• Fréquence raisonnable : un audit par an maximum, sauf incident ou violation justifiant un audit supplémentaire ;
• Périmètre défini en concertation entre les Parties, limité aux traitements concernant les Données Client ;
• Respect de la confidentialité et de la sécurité des installations de HALLIA et des données des autres clients ;
• Signature d'un accord de confidentialité préalable par l'auditeur externe le cas échéant.

Coûts :

• Le premier audit annuel programmé dans des conditions normales est inclus dans les Services ;
• Les audits supplémentaires ou extraordinaires peuvent faire l'objet d'une facturation complémentaire pour couvrir les coûts (mobilisation du personnel, préparation de la documentation, etc.).

16.3 Audits réalisés par HALLIA

HALLIA s'engage à réaliser régulièrement des audits internes et externes de ses pratiques de sécurité et de protection des données.

Les rapports d'audit (ou synthèses non confidentielles) peuvent être communiqués au Client sur demande, sous réserve de la protection des informations confidentielles et des données d'autres clients.

16.4 Audit par l'autorité de contrôle

HALLIA autorise et contribue aux audits réalisés par la CNIL ou toute autre autorité de contrôle compétente, conformément à l'article 28.3.h du RGPD.

ARTICLE 17 – OBLIGATIONS DU CLIENT

17.1 Instructions claires et documentées

Le Client s'engage à fournir à HALLIA des instructions claires, précises et documentées concernant le traitement des Données Client.

Le Client reconnaît que les présentes CGV, CU et Charte constituent les instructions documentées au sens de l'article 28.3.a du RGPD.

17.2 Garantie de licéité des traitements

Le Client garantit qu'il dispose d'une base légale appropriée pour tous les traitements de Données Client effectués via les Services, conformément à l'article 6 du RGPD (consentement, exécution d'un contrat, obligation légale, intérêt légitime, etc.).

Le Client s'engage à respecter tous les principes du RGPD, notamment :

• Licéité, loyauté et transparence ;
• Limitation des finalités ;
• Minimisation des données ;
• Exactitude ;
• Limitation de la conservation ;
• Intégrité et confidentialité.

17.3 Information des Personnes Concernées

Le Client s'engage à informer les Personnes Concernées de manière transparente et complète :

• De l'identité du responsable de traitement (le Client) et de ses coordonnées ;
• Des finalités et de la base légale du traitement ;
• Des catégories de données collectées et traitées ;
• Des destinataires des données, y compris HALLIA en tant que sous-traitant et les Sous-Traitants ultérieurs ;
• De la durée de conservation des données ;
• Des droits des Personnes Concernées et des modalités de leur exercice ;
• Du droit d'introduire une réclamation auprès de la CNIL.

Le Client met à jour sa politique de confidentialité en conséquence.

17.4 Obtention des consentements

Lorsque le traitement repose sur le consentement des Personnes Concernées, le Client s'engage à obtenir un consentement libre, spécifique, éclairé et univoque, conformément à l'article 4.11 et à l'article 7 du RGPD.

Le Client conserve la preuve des consentements obtenus et permet aux Personnes Concernées de retirer leur consentement à tout moment.

17.5 Coopération avec HALLIA

Le Client s'engage à coopérer de bonne foi avec HALLIA pour permettre le respect des obligations de protection des données, notamment :

• Répondre aux demandes d'information de HALLIA dans des délais raisonnables ;
• Fournir les éléments nécessaires à la gestion des demandes d'exercice des droits ;
• Participer aux analyses d'impact et aux consultations des autorités si nécessaire ;
• Informer HALLIA de toute évolution significative des traitements ou des risques.

ARTICLE 18 – RESPONSABILITÉ ET CONFORMITÉ

18.1 Responsabilité du Sous-Traitant

HALLIA est responsable des dommages causés par le traitement des Données Client si elle n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou si elle a agi en dehors des instructions licites du Client ou contrairement à celles-ci.

18.2 Responsabilité du Responsable de traitement

Le Client demeure le responsable de traitement au sens du RGPD et, à ce titre, assume l'entière responsabilité :

• De la licéité des traitements et de l'existence d'une base légale appropriée ;
• De l'information et de l'obtention du consentement des Personnes Concernées ;
• De la réponse aux demandes d'exercice des droits ;
• De la notification des violations à la CNIL et aux Personnes Concernées ;
• De la réalisation des AIPD et des consultations préalables si nécessaire.

18.3 Limitation de responsabilité

La responsabilité de HALLIA est soumise aux limitations prévues dans les CGV, notamment le plafonnement financier et l'exclusion des dommages indirects.

18.4 Traitement pour compte propre

Lorsque HALLIA traite des données personnelles pour ses propres besoins (création et gestion des comptes Utilisateurs, facturation, prospection commerciale avec consentement), elle agit en qualité de responsable de traitement indépendant.

Dans ce cas, HALLIA applique sa propre Politique de Confidentialité, disponible sur www.hallia.ai/privacy, et assume l'entière responsabilité de ces traitements conformément au RGPD.

ARTICLE 19 – DURÉE ET RÉSILIATION

19.1 Durée

La présente Charte entre en vigueur à la date de conclusion du contrat entre HALLIA et le Client et demeure applicable pendant toute la durée de fourniture des Services.

19.2 Résiliation

La présente Charte prend fin automatiquement à la date de résiliation ou d'expiration du contrat principal (CGV) entre HALLIA et le Client.

19.3 Survie de certaines obligations

Les dispositions relatives à la confidentialité, à la suppression des données, aux audits en cours et à la responsabilité survivent à la cessation de la présente Charte pendant la durée nécessaire à leur pleine exécution.

ARTICLE 20 – MODIFICATION DE LA CHARTE

HALLIA se réserve le droit de modifier la présente Charte pour des raisons légales, réglementaires, techniques ou pour améliorer la protection des données.

Toute modification substantielle sera notifiée au Client par courrier électronique avec un préavis minimum de trente (30) jours avant son entrée en vigueur.

Le Client dispose d'un droit d'opposition en cas de modification défavorable substantielle. En l'absence d'opposition dans les trente (30) jours, la modification est réputée acceptée.

ARTICLE 21 – DROIT APPLICABLE ET JURIDICTION

21.1 Droit applicable

La présente Charte est régie par le droit français et interprétée conformément au RGPD et à la loi Informatique et Libertés modifiée.

21.2 Juridiction compétente

Tout litige relatif à l'interprétation, l'exécution ou la résiliation de la présente Charte sera soumis, à défaut de règlement amiable, à la compétence exclusive du Tribunal de Commerce de Lyon.

ARTICLE 22 – CONTACT

Pour toute question relative à la présente Charte ou à la protection des données personnelles, le Client peut contacter HALLIA :