Protection des données
à caractère personnel

PREAMBULE

 

 

  • DIX SEPTEMBRE SAS exerce une activité consistant à valoriser les potentiels d’innovation des entreprises, entre autres par l’obtention de Crédits d’Impôt Recherche et Crédits d’Impôt Innovation.

 

  • Dans le cadre de la mission confiée par le CLIENT à DIX SEPTEMBRE SAS, le CLIENT va communiquer, ou DIX SEPTEMBRE SAS va être amené à connaître, des données personnelles du CLIENT, telles que ci-après définies.

 

Le CLIENT a accepté de communiquer ces données personnelles à DIX SEPTEMBRE SAS et/ou de laisser DIX SEPTEMBRE SAS en prendre connaissance, à condition que DIX SEPTEMBRE SAS s’engage à les garder confidentielles et à les traiter dans le respect de la législation applicable en France à la protection des données personnelles, à savoir la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version en vigueur et le Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la « Législation applicable »).

 

  • Les Parties sont donc convenues des termes du présent accord de sous-traitance.

 

 

ARTICLE 1 - IDENTIFICATION DU TRAITEMENT SOUS-TRAITÉ

 

Au titre de la mission d’accompagnement au chiffrage et à la constitution de son dossier de Crédit d’Impôt Recherche (CIR), le CLIENT donne instruction à DIX SEPTEMBRE SAS, de traiter, pour son compte, des données personnelles de ses mandataires sociaux et/ou salariés et/ou prestataires indépendants.

Le CLIENT reconnaît de ce fait que DIX SEPTEMBRE SAS a la qualité de sous-traitant au sens de la Législation applicable.

 

Les catégories de personnes dont les données personnelles sont traitées au titre de cette mission sont les mandataires sociaux et/ou les salariés et/ou les prestataires indépendants du CLIENT (ci-après les « Personnes concernées »).

 

Les données personnelles traitées au titre de cette mission sont (ci-après les « Données personnelles ») :

 

  • des données d’état civil : prénom, nom, date et lieu de naissance, adresse postale, adresse e-mail et numéro de téléphone ;

 

  • des données de vie professionnelle : fonction, CV et diplômes ;

 

  • des données d’ordre économique : salaire.

 

Les opérations effectuées sur les Données personnelles au titre de cette mission sont l’enregistrement, la consultation, l’utilisation et la compilation aux fins de la mission.

 

Les finalités du traitement de ces Données personnelles sont :

 

  • le calcul des dépenses de personnel éligibles au CIR, CII, CIC, JEI (lignes de dépenses de personnel du formulaire CERFA 2069-A-SD) et/ou

 

  • la justification du CIR à destination de l’administration fiscale :

    • justification des lignes de dépenses dans le dossier d’éligibilité à l’aide des bulletins de salaire

    • justification du niveau d’étude et/ou du niveau d’expérience dans le dossier d’éligibilité à l’aide des CV et diplômes pour justifier le statut de chercheur ou de technicien

    • réponse aux questions ou demandes de justificatifs de l’administration fiscale

    • justification des dépenses de sous-traitance agréées CIR/CII de type « experts individuels »

 

Les destinataires des Données personnelles traitées au titre de cette mission sont les mandataires sociaux et salariés de DIX SEPTEMBRE SAS en charge de l’exécution de cette mission.

 

 

ARTICLE 2 - OBLIGATIONS DU CLIENT

 

Le CLIENT s’engage à respecter les obligations mises à la charge des responsables de traitements de données personnelles par la Législation applicable.

 

À cet égard, le CLIENT s’engage notamment à délivrer aux Personnes concernées par le traitement sous-traité les informations prévues par la Législation applicable et à s’assurer que le traitement sous-traité repose valablement sur une des bases légales prévues par la Législation applicable.

 

Vis-à-vis de DIX SEPTEMBRE SAS, le CLIENT s’engage à lui donner accès ou à lui communiquer, selon le cas, les Données personnelles des Personnes concernées, à documenter par écrit toute instruction concernant le traitement sous-traité et à superviser ce traitement.

 

 

ARTICLE 3 - OBLIGATIONS DE DIX SEPTEMBRE SAS

 

DIX SEPTEMBRE SAS s’engage à ne réaliser le traitement sous-traité que sur instruction documentée du CLIENT, dont celles spécifiées ci-dessus. DIX SEPTEMBRE SAS s’engage à informer le CLIENT dans les meilleurs délais dans le cas où elle considérerait qu’une instruction de celui-ci contrevient à la Législation applicable.

 

3.1. Confidentialité et sécurité des Données personnelles

 

DIX SEPTEMBRE SAS s’engage à ce que les mandataires sociaux et les salariés autorisés à intervenir au titre du traitement sous-traité respectent la sécurité et la confidentialité des Données personnelles.

 

DIX SEPTEMBRE SAS a mis en place des mesures techniques et organisationnelles de nature à assurer la sécurité et la confidentialité des Données personnelles compte tenu du niveau de risque présenté par le traitement sous-traité. Les moyens mis en œuvre par DIX SEPTEMBRE SAS destinés à assurer la confidentialité et la sécurité des données sont définis comme suit :

Sécurité informatique avec la mise en place d’un bureau Virtuel CITRIX permettant de garantir :

  • La gestion sécurisée et contrôlée des accès

  • La détection et prévention des intrusions,

  • L’hébergement des données en France…

 

Dans le cas où le CLIENT souhaiterait, préalablement à la mise en œuvre du traitement sous-traité, réaliser lui-même une analyse d’impact de celui-ci sur la protection des Données personnelles des Personnes concernées et, en cas de risque élevé, consulter l’autorité de contrôle dont le CLIENT relève, DIX SEPTEMBRE SAS s’engage à l’assister en lui communiquant toute information en sa possession que le Client pourrait requérir à ces fins.

 

3.2. Documentation et vérification

 

DIX SEPTEMBRE SAS s’engage à inscrire le traitement sous-traité dans le registre qu’elle tient à cet effet.

 

DIX SEPTEMBRE SAS s’engage à mettre à la disposition du CLIENT la documentation qu’elle aura constituée pour démontrer qu’elle respecte les obligations à sa charge au titre du présent accord. En outre, le CLIENT pourra réaliser ou faire réaliser des audits des mesures techniques et organisationnelles mises en œuvre par DIX SEPTEMBRE SAS pour s’assurer qu’elle respecte ces obligations, à l’aide notamment de la documentation remise par DIX SEPTEMBRE SAS.

 

Le CLIENT devra avertir DIX SEPTEMBRE SAS de la réalisation de tout audit avec un préavis d’au moins quinze (15) jours. Tout audit sera réalisé par principe par un auditeur indépendant du CLIENT choisi d’un commun accord des Parties ou directement par le CLIENT avec l’accord exprès de DIX SEPTEMBRE SAS. L’auditeur choisi ne pourra démarrer sa mission qu’après avoir signé, avec DIX SEPTEMBRE SAS et, le cas échéant, avec le CLIENT, un accord de confidentialité définissant précisément le périmètre de sa mission et mettant des obligations de confidentialité appropriées à sa charge et, le cas échéant, à la charge du CLIENT. Dans le cas où le rapport de l’auditeur révélerait un manquement de DIX SEPTEMBRE SAS aux obligations susvisées, DIX SEPTEMBRE SAS s’engage à y remédier dans les meilleurs délais. Les coûts de l’audit seront à la charge du CLIENT. Concernant les audits dans les locaux de DIX SEPTEMBRE SAS, le CLIENT ne pourra pas réaliser plus d’un (1) audit sur site par année civile.

 

3.3. Délégué à la Protection des Données

 

DIX SEPTEMBRE SAS a désigné un délégué à la protection des données, Audrey LEVER, qu'il est possible de contacter à l'adresse suivante : audrey.lever@dixseptembre.fr

 

3.4. Exercice des droits des Personnes concernées

 

DIX SEPTEMBRE SAS s’engage à aider le CLIENT, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes des Personnes concernées par le traitement sous-traité visant à exercer les droits qu’elles tiennent de la Législation applicable (selon le cas, droit d’accès, droit de rectification, droit à la limitation, droit à l’effacement, droit de retirer leur consentement, droit d’opposition, droit à la portabilité de leurs données, droit de définir des directives sur le sort des données personnelles à leur décès, sous réserve des conditions d’application fixées par la Législation applicable).

 

À cet égard, DIX SEPTEMBRE SAS s’engage à effectuer, dans les meilleurs délais, sur les Données personnelles des Personnes concernées en sa possession, toute action que le CLIENT lui donnerait instruction de faire pour donner suite à cette demande. Dans ce cas, DIX SEPTEMBRE SAS pourra facturer au CLIENT les frais résultants du traitement de cette demande dans la mesure permise par la Législation applicable.

 

Par ailleurs, DIX SEPTEMBRE SAS s’engage à répercuter au CLIENT, dans les meilleurs délais, toute demande qu’une Personne concernée par le traitement sous-traité formerait directement auprès d’elle pour exercer un droit qu’elle tient de la Législation applicable, afin que le CLIENT puisse donner suite à cette demande comme il l’entend.

 

3.5. Violation des Données personnelles

 

DIX SEPTEMBRE SAS s’engage à assister le CLIENT dans l’exécution de ses obligations de notification et de communication des violations des Données personnelles des Personnes concernées par le traitement sous-traité en lui notifiant toute violation de Données personnelles dans les meilleurs délais et, si possible dans les 48 heures, à partir du moment où elle en a connaissance et en lui communiquant toute information en sa possession que le CLIENT pourrait requérir pour se conformer à ses obligations de notification et de communication.

 

3.6. Sous-traitance ultérieure

 

DIX SEPTEMBRE SAS est autorisé à faire appel à un autre sous-traitant (ci-après le « Sous-traitant ultérieur ») pour réaliser une partie spécifique du traitement sous-traité pour le compte du CLIENT. Dans ce cas, DIX SEPTEMBRE SAS s’engage à informer préalablement le CLIENT par écrit du recours à un Sous-traitant ultérieur ou du changement d’un Sous-traitant ultérieur existant. Au titre de cette information, DIX SEPTEMBRE SAS indiquera la partie du traitement sous-traité confiée au Sous-traitant ultérieur, l’identité et les coordonnées de celui-ci ainsi que les dates du contrat de sous-traitance. Le CLIENT disposera d’un délai de quinze (15) jours calendaires à compter de la réception de cette information pour s’opposer par écrit au recours ou au changement de Sous-traitant ultérieur. En l’absence d’opposition écrite dans ce délai, le recours ou le changement de Sous-traitant ultérieur sera réputé accepté par le CLIENT.

 

DIX SEPTEMBRE SAS s’engage à faire ses meilleurs efforts pour soumettre tout Sous-traitant ultérieur aux mêmes obligations que celles à sa charge au titre du présent accord. DIX SEPTEMBRE SAS sera tenu responsable vis-à-vis du CLIENT des manquements de tout Sous-traitant ultérieur à ces obligations.

 

ARTICLE 4 – DURÉE DE L’ACCORD ET CONSERVATION DES DONNÉES PERSONNELLES

 

Le présent accord est conclu pour la durée nécessaire à la réalisation de la mission susvisée et au-delà de la durée de prescription fiscale, pour une durée de dix ans à compter de la fourniture du fac-similé du formulaire 2069-A-SD.

 

Le CLIENT donne instruction à DIX SEPTEMBRE SAS de conserver les Données personnelles pour la durée nécessaire à la réalisation de la mission susvisée.

 

Au-delà, le CLIENT donne instruction à DIX SEPTEMBRE SAS de conserver en archives intermédiaires les Données personnelles nécessaires à la preuve des droits du CLIENT auprès de l’administration fiscale et des juridictions pour la durée de prescription fiscale ci-dessus.

 

A l’issue de ce délai, DIX SEPTEMBRE SAS s’engage à détruire les Données Personnelles du CLIENT et sera libéré de toute obligation de conservation de ces données.