Mentions et Obligations RGPD

Article 1 – Objet 

Le présent avenant a pour objet de procéder à l’intégration des mentions et obligations de chacune des parties relatives de la protection des données à caractère personnel.

Il s’agit de définir les conditions dans lesquelles le traitement des données à caractère personnel de l’animateur va être opéré par l’APM, ainsi que les conditions dans lesquelles l’animateur va être amené à traiter les données personnelles des personnes concernées dans le cadre de ses missions.

Article 2 – Règlementation applicable

Dans le cadre de leur relation contractuelle, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « le RGPD »).

Article 3 – Définition des termes

Aux termes du présent avenant, est entendus comme : 

• « Responsable de traitement » : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
• « Sous-traitant » : la personne physique ou morale, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
• « Personnes concernées » : ensemble des personnes physiques, associées ou non à une personne morale qui fait l’objet d’une collecte et de traitements de ses données personnelles.
• « Réseau APM » : ensemble des rencontres mensuelles, événements, échanges au sein de la plateforme numérique ou directement entre les membres du Réseau et activités réalisés dans le cadre de l’association APM. 
• « Membres du Réseau APM » : adhérents de l’association APM, animateurs des clubs, référents et experts, mettant à disposition et partageant au sein du Réseau APM, leurs données à caractère personnel et activités au sein de la plateforme numérique d’échange

Article 4 – Traitement des données à caractère personnel de l’Animateur par l’APM

1. Définition des traitements réalisés

L’APM fonctionnant par nature en réseau, la collecte des données à caractère personnel de l’animateur est nécessaire pour permettre son intégration et l’exercice de son activité au sein du réseau.

Dans le cadre de leur relation, l’APM « responsable de traitement », sera amené à opérer les traitements suivants :

1. Finalités de traitement

L’APM procèdera au traitement des données à caractère personnel de l’Animateur nécessaires à la poursuite des finalités suivantes : 

• Permettre l’évaluation des compétences et savoir-faire requis, la rémunération des prestations réalisées et l’intégration de l’animateur au sein du réseau de l’APM.
• Permettre l’exercice de la mission de l’animateur.  

1. Catégorie de données à caractère personnel traitées

L’APM sera susceptible de traiter pour les finalités décrites, les données à caractère personnel suivantes : 

• Données d’identification : Nom, Prénom, Adresse email, Etat-civil, Images et vidéos réalisées dans le cadre des activités du Réseau APM.
• Données professionnelles : CV, Fonction et Titre, et toutes autres informations professionnelles en lien avec son activité au sein du Réseau APM

1. Nature des opérations de traitements réalisés sur les données 

Afin d’accomplir les finalités décrites, les données personnelles de l’Animateur feront l’objet des traitements suivants : 

• Collecte : réalisée au moment du recrutement de l’Animateur et si nécessaires pendant la période contractuelle 
• Structuration des données collectées
• Enregistrement et stockage : au sein de la base de données du Réseau APM 
• Consultation : par les membres de la maison de l’APM et par les membres du Réseau APM
• Publication, diffusion et partage des données collectées auprès des membres du Réseau APM

1. Transfert des données 

Les données à caractère personnel de l’animateur collectées par l’APM sont susceptibles de faire l’objet d‘un transfert au sein d’un pays de l’Union européenne.  Ce transfert pourra notamment s’avérer essentiel dans les cas de programmation d’un Club à l’étranger ou l’organisation éventuelle d’évènements dans un pays tiers. 

1. Durée de conservation 

Les données collectées seront conservées au sein de la base de données du réseau de l’APM et seront effacées 1 an après la fin de la relation contractuelle entre l’APM et l’animateur de Club. 

1. Obligations de l’APM 

Au terme du présent avenant, le responsable de traitement s’engage à : 

1. Traiter les données uniquement pour les seules finalités décrites dans la convention 
2. Garantir la confidentialité des données à caractère personnel traitées dans le cadre de la convention.
3. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel de l’Animateur en vertu de la la convention  et afin de remplir les finalités décrites :

• s’engagent à respecter la confidentialité de ses données ou soient soumises à une obligation légale appropriée de confidentialité.
• reçoivent la formation nécessaire en matière de protection des données à caractère personnel. 

4. Donner suite aux demandes d’exercice des droits de l’Animateur : droit d’accès, de rectification, d’effacement et d’opposition et droit à la limitation du traitement. Lorsque l’Animateur souhaite effectuer des demandes d’exercice de droits, il doit adresser ces demandes à dpo@apm.fr ou par écrit à la Maison de l’APM, 120/122, rue Réaumur, 75 002 PARIS.
5. Mettre en œuvre les mesures et techniques organisationnelles appropriées afin d’assurer un niveau de sécurité adapté aux risques conformément à la législation et à la réglementation relatives aux données à caractère personnel et en particulier l’article 32 du Règlement européen sur la protection des données.
6. Prendre en compte, s’agissant de ses outils, activités, ou services, les principes de protection des données à caractère personnel.
7. En cas d’appel à un sous-traitant, amené à traiter les données à caractère personnel de l’animateur, du transfert de ses données au sein ou en dehors de l’Union Européenne, l’APM s’engage à contrôler que le sous-traitant dispose des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles répondant aux exigences du règlement européen sur la protection des données. 
8. Détruire les données à caractère personnel de l’Animateur au-delà de la durée de conservation fixée par le présent dans la convention et au regard des finalités pour lesquelles elles ont été collectées quel que soit le lieu et support de conservation. 
9. Tenir un registre de toutes les catégories de traitements effectués sur les données personnelles de l’Animateurs, comprenant : 

• Le nom et les coordonnées des éventuels sous-traitants et du délégué à la protection des données à caractère personnel ;
• Les catégories de traitements effectués sur les données personnelles des animateurs ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers, y compris l'identification de ce pays tiers et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du Règlement européen sur la protection des données, les documents attestant de l'existence de garanties appropriées ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : 
• Des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

1. Obligations de l’animateur 

L’Animateur s’engage, pendant la durée de la convention , à :

1. Autoriser l’APM à collecter toutes données à caractère personnel nécessaires à la réalisation des finalités décrites. 
2. Autoriser l’APM à transférer les données à caractère personnel collectées à ses sous-traitants, exerçant sur le territoire français ou dans un pays tiers, pour réaliser les finalités décrites.
3. Veiller, au préalable et pendant l’intégralité de la durée de la convention , au respect des obligations relatives à la protection des données par le règlement (UE) 2016/679 sur la protection des données à caractère personnel. 

Article 5 – Traitement des données à caractères personnel par l’Animateur  

1. Définition des traitements réalisés 

Dans le cadre de l’exercice de ses missions, l’Animateur de Club sera amené à collecter les données à caractère personnel des différentes personnes participants aux Clubs (« les adhérents », et éventuellement « les experts ») ou de tout autres personnes souhaitant intégrer le réseau APM (« les candidats-adhérents »). 

En outre, l’Animateur de Club agit pour le compte de l’APM (« responsable de traitement ») et sera susceptible d’opérer les traitements suivants : 

1. Finalités de traitement

Le traitement des données personnelles des adhérents, experts ou candidats par l’Animateur de Club est nécessaire et constitutif de l’exercice de sa mission d’animation.

1. Personnes concernées par la collecte

Afin de permettre la réalisation des finalités décrites, les données personnelles des personnes suivantes sont susceptibles de faire l’objet d’un traitement par l’Animateur : 

• Les « adhérents » 
• Les « candidats-adhérents » 
• Les « experts »

1. Catégorie de données à caractère personnel traitées

L’Animateur sera susceptible de collecter pour les finalités décrites, les données à caractère personnel suivantes : 

• Données d’identification : Nom, Prénom, Adresse email, Etat-civil, Images et vidéos réalisées dans le cadre du Réseau APM
• Données professionnelles : Société, CV, Fonction et Titre

1. Nature des opérations de traitements réalisés sur les données 

Les données à caractère personnel collectées feront l’objet des traitements suivants : 

• Collecte : réalisée par l’animateur durant ses missions.
• Structuration des données : par l’animateur pour le déroulement de ses missions. 
• Enregistrement et stockage : au sein de la base de données du réseau APM
• Publication, diffusion et partage des données collectées auprès des membres du réseau APM.    

1. Durée de conservation 

Les données collectées seront conservées au sein de la base de données du réseau de l’APM. 

Les données personnelles des adhérents seront effacées 1 an après la fin du contrat d’adhésion s’agissant des adhérents ayant choisis de sortir définitivement du réseau, ou 1 an après la fin du contrat d’ancien-adhérent pour ceux ayant consentit à la conservation de leurs données personnelles dans le Réseau APM. 

Les données personnelles des candidats de toute nature n’ayant pas procédé à leur intégration au réseau APM seront effacées 10 ans après l’invalidation de leur candidature pour traçabilité. 

1. Obligations de l’animateur 

Par le présent avenant, l’Animateur s’engage à : 

1. Traiter les données uniquement pour les seules finalités décrites dans la convention.
2. Garantir la confidentialité des données à caractère personnel traitées dans le cadre de cette convention
3. Donner suite aux demandes d’exercice des droits des personnes concernées par les traitements. En outre, lorsque les personnes concernées effectuent auprès de l’Animateur des demandes d’exercice de leurs droits, il doit adresser ces demandes dès réception par courrier électronique à dpo@apm.fr
4. Garantir la sécurité des données à caractère personnel qu’il traite pour les finalités décrites. 
5. Ne pas conserver les données à caractère personnel au-delà de la durée de conservation fixée par cette convention et au regard des finalités pour lesquelles elles ont été collectées quel que soit le lieu et support de conservation. 
6. Détruire toutes les données à caractère personnel ou renvoyer toutes les données à caractère personnel aux personnes concernées au terme des durées de conservation établis. 
7. Respecter les décisions des anciens-adhérents à l’effacement de leurs données du réseau de l’APM en procédant ou contribuant à leur suppression au terme de la durée de conservation établie (1 an).
8. Conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du règlement général sur la protection des données du 27 avril 2016, l’Animateur s’engage à prendre toutes précautions conformes aux usages et à l’état de l’art dans le cadre de ses missions afin de protéger la confidentialité des informations auxquelles il a accès, et en particulier d’empêcher qu’elles ne soient communiquées à des personnes non expressément autorisées par l’Association APM à recevoir ces informations.

L’Animateur s’engage en particulier à :

• Ne pas utiliser les données auxquelles il peut accéder à des fins autres que celles définies par les finalités et missions définies dans ce document ;
• Ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;
• Ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de ses missions ;
• Prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de ses missions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;
• Prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité physique et logique de ces données ;
• S’assurer, dans la limite de ses missions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;
• A l’issue de la relation contractuelle et dans un délai d’un mois, à restituer ou détruire intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

Cet engagement de confidentialité, en vigueur pendant toute la durée de la présente convention, demeurera effectif, sans limitation de durée après la cessation des fonctions de l’animateur, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel collectées dans le cadre de celui-ci.

Le non-respect de cette clause expose l’Animateur à des sanctions pénales conformément à la réglementation en vigueur, notamment au regard des articles 226-16 à 226-24 du code pénal.

1. Obligations de l’APM  

Par le présent avenant, le responsable de traitement s’engage à : 

1. Autoriser l’Animateur à collecter les données de ses adhérents et des candidats-adhérents, afin de permettre la réalisation des finalités déterminées. 
2. Veiller à ce que les Animateurs de Club reçoivent l’information nécessaire en matière de protection des données à caractère personnel. 

Janvier 2020