Accord sur le traitement des données
pour les services de cloud computing Linkando

1. introduction, champ d'application, définitions

  1. Le présent document ("Accord sur le traitement des données pour les services cloud de Linkando") est intégré dans l'accord entre Linkando GmbH, Ostbahnstr. 17, 76829 Landau ("Prestataire") et le client ("Client") et fait partie d'un contrat principal écrit (également conclu sous forme électronique), les conditions d'utilisation du portail Linkando, entre Linkando et le Client. Le présent contrat régit les droits et obligations du client et du preneur d'ordre (ci-après dénommés "parties") dans le cadre d'un traitement de données à caractère personnel effectué pour le compte de Linkando et de ses sous-traitants dans le cadre de la fourniture de services en nuage.
  2. Les annexes 1 et 2 font partie intégrante du présent DPA. Elles définissent les mesures techniques et organisationnelles à appliquer ainsi que les sous-traitants agréés.
  3. Le présent accord s'applique à toutes les activités dans le cadre desquelles les employés du contractant ou les sous-traitants mandatés par le contractant traitent des données à caractère personnel du client pour le compte de ce dernier.
  4. Les termes utilisés dans le présent accord doivent être compris conformément à leur définition dans le règlement général sur la protection des données de l'UE. Dans ce sens, le donneur d'ordre est le "responsable du traitement" et le preneur d'ordre le "sous-traitant". Dans la mesure où les déclarations ci-après doivent être faites "par écrit", il s'agit de la forme écrite selon le § 126 du Code civil allemand. Par ailleurs, les déclarations peuvent également être faites sous une autre forme, dans la mesure où une preuve adéquate est garantie.

2) l'objet et la durée de la transformation

2.1 Objet

Le contractant se charge des traitements suivants :

  • Communication par e-mail
  • Gestion des clients
  • Sites web Exploitation
  • Formulaires de contact
  • Outil de chat
  • Vidéo conférences
  • Espaces cloud

Le traitement est fondé sur les conditions d'utilisation existant entre les parties (ci-après dénommées "contrat principal").

2.2 Durée

Le traitement commence dès le début du contrat principal et se poursuit pour une durée indéterminée jusqu'à la résiliation du présent accord ou du contrat principal par l'une des parties.

3. la nature, la finalité et les personnes concernées par le traitement des données :

3.1. type de traitement

le traitement est effectué par collecte, enregistrement, organisation, classement, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement ou destruction des données

3.2 Finalité du traitement

Le traitement a pour finalité

Fournir la plateforme cloud Linkando au client et le traitement commercial associé, et fournir le support aux utilisateurs finaux.

3.3. type de données

Les données suivantes sont traitées :

  • Titre de civilité
  • Prénom et nom de famille
  • Adresse électronique
  • Adresse
  • Données de communication
  • données d'utilisation (adresses IP, heure de connexion, nom de connexion)

3.4 Catégories de personnes concernées

on du traitement :

  • Clients du commanditaire
  • Intéressés du pouvoir adjudicateur
  • Collaborateurs du mandant

4. obligations du contractant

  1. Le preneur d'ordre traite les données à caractère personnel exclusivement comme convenu par contrat ou comme indiqué par le donneur d'ordre, à moins que le preneur d'ordre ne soit légalement tenu de procéder à un traitement spécifique. Si de telles obligations existent pour lui, le preneur d'ordre les communique au donneur d'ordre avant le traitement, à moins que la communication ne lui soit interdite par la loi. En outre, le preneur d'ordre n'utilise pas les données confiées pour le traitement à d'autres fins, notamment à ses propres fins.
  2. Le contractant confirme qu'il est au courant des dispositions générales applicables en matière de protection des données. Il respecte les principes d'un traitement des données en bonne et due forme.
  3. Le contractant s'engage à respecter strictement la confidentialité lors du traitement.
  4. Les personnes susceptibles de prendre connaissance des données traitées dans le cadre de la mission doivent s'engager par écrit à respecter la confidentialité, dans la mesure où elles ne sont pas déjà soumises à une obligation de secret pertinente en vertu de la loi.
  5. Le contractant garantit que les personnes qu'il emploie pour le traitement ont été familiarisées avec les dispositions pertinentes en matière de protection des données et avec le présent accord avant le début du traitement. Les mesures de formation et de sensibilisation correspondantes doivent être répétées régulièrement de manière appropriée. Le contractant veille à ce que les personnes chargées du traitement des données soient correctement formées et contrôlées en permanence en ce qui concerne le respect des exigences en matière de protection des données.
  6. Dans le cadre du traitement confié, le contractant aide le client, si nécessaire, à remplir ses obligations en matière de protection des données, notamment à établir et à mettre à jour le registre des activités de traitement, à réaliser l'analyse d'impact relative à la protection des données et à consulter l'autorité de contrôle si nécessaire. Les données et la documentation nécessaires doivent être tenues à disposition et transmises sans délai au donneur d'ordre à sa demande.
  7. Si le donneur d'ordre fait l'objet d'un contrôle de la part des autorités de surveillance ou d'autres instances ou si des personnes concernées font valoir des droits à son encontre, le preneur d'ordre s'engage à assister le donneur d'ordre dans la mesure nécessaire, dans la mesure où le traitement en sous-traitance est concerné.
  8. Le contractant ne peut fournir des informations à des tiers ou à la personne concernée qu'avec l'accord préalable du client. Il transmettra immédiatement au donneur d'ordre les demandes qui lui sont directement adressées.
  9. Si la loi l'exige, le contractant désigne une personne compétente et fiable comme délégué à la protection des données. Il convient de s'assurer qu'il n'existe aucun conflit d'intérêts pour le délégué. En cas de doute, le client peut s'adresser directement au délégué à la protection des données. Le contractant communique immédiatement au client les coordonnées du délégué à la protection des données ou justifie les raisons pour lesquelles aucun délégué n'a été désigné. Le contractant informe immédiatement le client de toute modification concernant la personne ou les tâches internes du délégué.
  10. Le traitement des commandes s'effectue exclusivement au sein de l'UE ou de l'EEE.
  11. Si le contractant n'est pas établi dans l'Union européenne, il désigne un interlocuteur responsable dans l'Union européenne conformément à l'article 27 du RGPD. Les coordonnées de la personne de contact ainsi que tous les changements concernant la personne de contact doivent être communiqués sans délai au client.

5. sécurité du traitement

  1. Les mesures de sécurité des données décrites dans l'annexe 1 sont considérées comme obligatoires. Elles définissent le minimum dû par le contractant. La description des mesures doit être suffisamment détaillée pour qu'un tiers compétent puisse à tout moment, sur la base de la seule description, identifier sans équivoque ce qui doit être le minimum dû. Il n'est pas permis de faire référence à des informations qui ne peuvent pas être directement extraites de la présente convention ou de ses annexes.
  2. Les mesures de sécurité des données peuvent être adaptées en fonction de l'évolution technique et organisationnelle, tant que le niveau convenu ici n'est pas inférieur. Le contractant doit immédiatement mettre en œuvre les modifications nécessaires au maintien de la sécurité des informations. Les modifications doivent être communiquées immédiatement au client. Les modifications importantes doivent faire l'objet d'un accord entre les parties.
  3. Dans la mesure où les mesures de sécurité prises ne répondent pas ou plus aux exigences du donneur d'ordre, le preneur d'ordre en informe immédiatement ce dernier.
  4. Le contractant garantit que les données traitées dans le cadre de la commande sont strictement séparées des autres fichiers de données.
  5. Aucune copie ou duplication n'est effectuée à l'insu du client. Font exception les copies temporaires techniquement nécessaires, dans la mesure où toute atteinte au niveau de protection des données convenu ici est exclue.
  6. Le traitement des données dans les domiciles privés est autorisé. Dans la mesure où un tel traitement a lieu, le contractant doit veiller à ce qu'un niveau de protection et de sécurité des données conforme au présent accord soit maintenu et à ce que les droits de contrôle du client définis dans le présent accord puissent également être exercés sans restriction dans les logements privés concernés. Le traitement de données en sous-traitance à l'aide d'appareils privés n'est en aucun cas autorisé.
  7. Les supports de données dédiés qui proviennent du donneur d'ordre ou qui sont utilisés pour le donneur d'ordre sont spécialement identifiés et font l'objet d'une gestion courante. Ils doivent être conservés de manière adéquate à tout moment et ne doivent pas être accessibles aux personnes non autorisées. Les entrées et les sorties sont documentées.
  8. Le contractant apporte régulièrement la preuve du respect de ses obligations, notamment de la mise en œuvre intégrale des mesures techniques et organisationnelles convenues ainsi que de leur efficacité.

6) les règles relatives à la rectification, à l'effacement et au verrouillage des données

  1. Le preneur d'ordre ne rectifiera, supprimera ou bloquera les données traitées dans le cadre de la commande que conformément à l'accord contractuel conclu ou aux instructions du donneur d'ordre.
  2. Le preneur d'ordre se conformera à tout moment aux instructions correspondantes du donneur d'ordre et ce, même après la fin du présent accord.

7. relations de sous-traitance

  1. Le recours à des sous-traitants est laissé à l'appréciation du sous-traitant, à condition que le sous-traitant informe le client à l'avance (par e-mail ou par un message sur le portail d'assistance) de tout ajout ou remplacement prévu dans la liste des sous-traitants et que le client puisse s'opposer à de telles modifications conformément aux dispositions suivantes. Le contractant choisit le sous-traitant avec soin, en accordant une attention particulière à l'adéquation des mesures techniques et organisationnelles prises par le sous-traitant.
  2. Si, conformément à la législation sur la protection des données, le client a un motif légitime de s'opposer au traitement des données à caractère personnel par les nouveaux sous-traitants, il peut résilier l'accord par une déclaration écrite adressée au sous-traitant avec effet à une date fixée par le client, mais au plus tard à l'expiration d'un délai de trente jours à compter de la date de notification du nouveau sous-traitant par le sous-traitant au client. Si le donneur d'ordre ne résilie pas l'accord dans ce délai de trente jours, le nouveau sous-traitant est réputé approuvé par le donneur d'ordre.
  3. Dans la période de trente jours à compter de la date de la notification du sous-traitant au client, dans laquelle le client est informé du nouveau sous-traitant, le client peut demander que les parties se rencontrent de bonne foi et discutent de la résolution du conflit. Ces discussions ne prolongent pas le délai de préavis et n'affectent pas le droit du contractant de faire entrer en service le(s) nouveau(x) sous-traitant(s) à l'expiration du délai de trente jours. Toute résiliation en vertu de la présente section sera considérée par les deux parties comme n'étant pas due à une faute et sera soumise aux dispositions du contrat.
  4. Le recours à des sous-traitants qui effectuent des traitements pour le compte de tiers non exclusivement à partir du territoire de l'UE ou de l'EEE n'est possible que si les conditions mentionnées au chapitre 4 (10) et (11) du présent accord sont respectées. Elle n'est notamment autorisée que dans la mesure où et aussi longtemps que le sous-traitant offre des garanties appropriées en matière de protection des données. Le contractant communique au client les garanties concrètes de protection des données offertes par le sous-traitant et la manière d'en obtenir la preuve. Dans la mesure où des clauses contractuelles standard actuellement en vigueur sur la base d'une décision de la Commission européenne (par exemple conformément à la décision 2010/87/UE de la Commission) ou des clauses standard de protection des données conformément à l'article 46 du RGPD sont utilisées comme garanties appropriées, le donneur d'ordre autorise le sous-traitant, en le libérant de l'interdiction de double représentation conformément à l'article 181 du Code civil allemand, à effectuer tous les actes nécessaires à cet effet ainsi qu'à émettre et à recevoir des déclarations de volonté vis-à-vis du sous-traitant. En outre, le preneur d'ordre est autorisé à exercer les droits et les pouvoirs du donneur d'ordre découlant du présent accord vis-à-vis du sous-traitant.
  5. Le contractant doit contrôler de manière appropriée le respect des obligations du sous-traitant à intervalles réguliers, au plus tard tous les 12 mois. Le contrôle et son résultat doivent être documentés de manière suffisamment pertinente pour qu'un tiers compétent puisse les comprendre. La documentation doit être présentée spontanément au client. Le sous-traitant conserve la documentation relative aux contrôles effectués au moins jusqu'à la fin de la troisième année civile suivant la fin du traitement des données à caractère personnel et la présente à tout moment au client à sa demande.
  6. Si le sous-traitant ne respecte pas ses obligations en matière de protection des données, le contractant en est responsable vis-à-vis du client.
  7. Actuellement, les sous-traitants désignés à l'annexe 2 par leur nom, leur adresse et le contenu de leur mission sont chargés du traitement des données à caractère personnel dans la mesure indiquée à l'annexe 2 et sont autorisés par le donneur d'ordre. Les autres obligations du contractant à l'égard des sous-traitants, telles que définies dans le présent document, ne sont pas affectées.
  8. Les relations de sous-traitance au sens du présent accord ne concernent que les prestations qui ont un lien direct avec la fourniture de la prestation principale. Les prestations annexes, telles que le transport, l'entretien et le nettoyage, ainsi que le recours à des services de télécommunication ou à des services aux utilisateurs, ne sont pas couvertes. L'obligation du contractant de garantir également dans ces cas le respect de la protection et de la sécurité des données reste inchangée.

8. droits et obligations du client

  1. Le donneur d'ordre est seul responsable de l'évaluation de la licéité du traitement confié ainsi que de la protection des droits des personnes concernées.
  2. Le donneur d'ordre passe tous les ordres, ordres partiels ou instructions par écrit. En cas d'urgence, les instructions peuvent être données oralement. Le donneur d'ordre confirmera immédiatement ces instructions par écrit.
  3. Le donneur d'ordre informe immédiatement le preneur d'ordre s'il constate des erreurs ou des irrégularités lors de la vérification des résultats de la commande.
  4. Le donneur d'ordre est en droit de contrôler lui-même ou par l'intermédiaire de tiers, dans une mesure raisonnable, le respect des dispositions relatives à la protection des données et des accords contractuels chez le preneur d'ordre, notamment en demandant des informations et en consultant les données enregistrées et les programmes de traitement des données ainsi qu'en effectuant d'autres contrôles sur place. Le contractant doit permettre aux personnes chargées du contrôle d'y accéder et de les examiner si nécessaire. Le contractant est tenu de fournir les informations nécessaires, de faire des démonstrations de processus et de produire les justificatifs requis pour l'exécution d'un contrôle. Le contractant est en droit de refuser les contrôles effectués par des tiers dans la mesure où ceux-ci sont en relation de concurrence avec lui ou pour des raisons similaires.
  5. Les contrôles chez le fournisseur doivent être effectués sans perturber de manière évitable ses activités. Sauf indication contraire pour des raisons d'urgence à documenter par le client, les contrôles ont lieu après un préavis raisonnable et pendant les heures de bureau du fournisseur, et pas plus souvent que tous les 12 mois. Dans la mesure où le contractant apporte la preuve de la mise en œuvre correcte des obligations convenues en matière de protection des données comme prévu au chapitre 5 (8) du présent accord, un contrôle doit se limiter à des échantillons.

9. obligations de communication

  1. Le contractant informe immédiatement le client de toute violation de la protection des données à caractère personnel traitées dans le cadre de la commande. Les soupçons fondés à cet égard doivent également être communiqués. La notification doit être envoyée à l'adresse indiquée par le client au plus tard dans les 24 heures suivant la prise de connaissance par le contractant de l'événement en question. Elle doit contenir au moins les informations suivantes
    1. une description de la nature de la violation des données à caractère personnel, en précisant si possible les catégories et le nombre approximatif de personnes concernées, les catégories concernées et le nombre approximatif d'enregistrements de données à caractère personnel concernés
    2. le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact pour de plus amples informations ;
    3. une description des conséquences probables de la violation de la protection des données à caractère personnel ;
    4. une description des mesures prises ou proposées par le contractant pour remédier à la violation de données à caractère personnel et, le cas échéant, des mesures prises pour en atténuer les effets négatifs éventuels
  2. De même, toute perturbation importante dans l'exécution de la commande ainsi que toute violation par le contractant ou les personnes qu'il emploie des dispositions relatives à la protection des données ou des stipulations du présent accord doivent être communiquées sans délai.
  3. Le sous-traitant informe immédiatement le client des contrôles ou des mesures prises par les autorités de contrôle ou d'autres tiers, dans la mesure où ceux-ci ont un rapport avec le traitement de la commande.
  4. Le contractant s'engage à assister le client dans la mesure nécessaire pour ses obligations en vertu des articles 33 et 34 du RGPD.

10. instructions

  1. Le donneur d'ordre se réserve un droit d'instruction étendu en ce qui concerne le traitement dans le cadre de la commande.
  2. Le donneur d'ordre et le preneur d'ordre désignent les personnes exclusivement habilitées à donner et à recevoir des instructions. Si aucune personne habilitée à donner des instructions n'est désignée, seules les personnes habilitées à représenter la partie concernée sont habilitées à donner des instructions.
  3. En cas de changement ou d'empêchement de longue durée des personnes désignées, les successeurs ou représentants doivent être immédiatement communiqués à l'autre partie.
  4. Le preneur d'ordre attirera immédiatement l'attention du donneur d'ordre s'il estime qu'une instruction donnée par le donneur d'ordre enfreint des dispositions légales. Le preneur d'ordre est en droit de suspendre l'exécution de l'instruction en question jusqu'à ce qu'elle soit confirmée ou modifiée par le responsable chez le donneur d'ordre.
  5. Le contractant doit documenter les instructions qui lui sont données et leur mise en œuvre.

11. fin de la mission

  1. Si, à la fin de la relation contractuelle, des données traitées dans le cadre de la commande ou des copies de celles-ci se trouvent encore sous le contrôle du preneur d'ordre, celui-ci doit, au choix du donneur d'ordre, soit détruire les données, soit les remettre au donneur d'ordre. Le donneur d'ordre doit faire son choix dans les deux semaines suivant la demande du preneur d'ordre. La destruction doit être effectuée de manière à ce qu'une récupération des informations résiduelles ne soit plus possible à un coût raisonnable. La destruction physique s'effectue conformément à la norme DIN 66399.
  2. Le preneur d'ordre est tenu de procéder à la destruction ou à la restitution immédiate, y compris chez les sous-traitants.
  3. Le preneur d'ordre doit apporter la preuve de la destruction en bonne et due forme et la présenter immédiatement au donneur d'ordre.
  4. Les documents servant à prouver la conformité du traitement des données doivent être conservés par le contractant au moins jusqu'à la fin de la troisième année civile suivant la fin du contrat. Il peut les remettre au donneur d'ordre à sa décharge.

12. responsabilité

  1. Le donneur d'ordre et le preneur d'ordre sont solidairement responsables de l'indemnisation des dommages subis par une personne en raison d'un traitement non autorisé ou incorrect des données dans le cadre de la relation contractuelle.
  2. Il incombe au sous-traitant de prouver qu'un dommage ne résulte pas d'une circonstance qui lui est imputable, dans la mesure où les données pertinentes ont été traitées par lui dans le cadre du présent accord. Tant que cette preuve n'a pas été apportée, le preneur d'ordre garantit le donneur d'ordre, à première demande, contre toutes les réclamations formulées à l'encontre du donneur d'ordre en rapport avec le traitement des données. Dans ces conditions, le sous-traitant rembourse également au client tous les frais de défense juridique encourus.
  3. Le preneur d'ordre est responsable vis-à-vis du donneur d'ordre des dommages causés par la faute du preneur d'ordre, de ses collaborateurs ou des personnes qu'il a chargées de l'exécution du contrat ou des sous-traitants qu'il a engagés dans le cadre de la fourniture de la prestation contractuelle confiée.
  4. Les points (2) et (3) ne s'appliquent pas dans la mesure où le dommage résulte de la mise en œuvre correcte du service commandé ou d'une instruction donnée par le client.

13. droit de résiliation spécial

  1. Le client peut résilier le contrat principal et le présent accord à tout moment et sans préavis ("résiliation extraordinaire") en cas de violation grave par le sous-traitant de la législation sur la protection des données ou des dispositions du présent accord, si le sous-traitant ne peut ou ne veut pas exécuter une instruction légitime du client ou si le sous-traitant refuse les droits de contrôle du client en violation du contrat.
  2. Il y a notamment manquement grave lorsque le contractant ne respecte pas ou n'a pas respecté dans une large mesure les obligations définies dans le présent accord, notamment les mesures techniques et organisationnelles convenues.
  3. En cas de manquements mineurs, le client fixe au preneur d'ordre un délai raisonnable pour remédier à la situation. Si le remède n'est pas apporté dans les délais, le client est en droit de résilier le contrat de manière extraordinaire, comme décrit dans le présent paragraphe.
  4. Le preneur d'ordre est tenu de rembourser au donneur d'ordre tous les frais que ce dernier a dû engager en raison de la résiliation prématurée du contrat principal ou du présent accord à la suite d'une résiliation extraordinaire par le donneur d'ordre.

14. autres

  1. Les deux parties sont tenues de traiter de manière confidentielle toutes les connaissances acquises dans le cadre de la relation contractuelle concernant les secrets commerciaux et les mesures de sécurité des données de l'autre partie, même après la fin du contrat principal. En cas de doute sur la question de savoir si une information est soumise à l'obligation de secret, elle doit être traitée comme confidentielle jusqu'à sa validation écrite par l'autre partie.
  2. Si la propriété du donneur d'ordre chez le preneur d'ordre est menacée par des mesures prises par des tiers (par exemple par une saisie ou une confiscation), par une procédure d'insolvabilité ou de règlement judiciaire ou par d'autres événements, le preneur d'ordre doit en informer immédiatement le donneur d'ordre.
  3. Pour les accords annexes, la forme écrite et la référence expresse à la présente convention sont nécessaires.
  4. L'exception du droit de rétention au sens de l'article 273 du Code civil allemand est exclue en ce qui concerne les données traitées dans le cadre de la commande et les supports de données correspondants.
  5. Si certaines parties de la présente convention sont invalides, cela n'affecte pas la validité du reste de la convention.


ANNEXE 1 - Mesures techniques et organisationnelles

Voir page : Mesures techniques et organisationnelles


ANNEXE 2 - Sous-traitants agréés

Nous envoyons volontiers à tous nos clients une liste de nos sous-traitants agréés. Veuillez nous envoyer un e-mail à

datenschutz@linkando.com et nous vous fournissons ces informations en toute confidentialité.