Accord sur le traitement des données Règlement général sur la protection des données (GDPR)
Le sous-traitant agit en tant que prestataire de services pour le client. Dans le cadre de cette mission, le sous-traitant a accès aux données personnelles du client ou de ses employés, qui, en tant que responsable du traitement, en sont toujours responsables en dernier ressort. Dans la présente convention de traitement, les parties règlent les modalités et les accords concernant ce traitement.Article 1.
Définitions et termes
Aux fins de la présente annexe, les termes suivants ont la signification suivante :AVG : le règlement général sur la protection des données (règlement UE 2016/679).
Violation des données : violation de la sécurité qui entraîne accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données transmises, stockées ou autrement traitées par le prestataire de services.
Données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable (la personne concernée) que le sous-traitant traite dans le cadre de la présente annexe. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, une donnée de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.
Accord de collaboration : le(s) accord(s) de base entre le Client et le Prestataire de services.
Traitement : opération ou ensemble d'opérations relatives à des données à caractère personnel ou à un ensemble de données à caractère personnel, effectuées ou non par des procédés automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la mise à jour ou la modification, la consultation, l'utilisation, la communication par transmission, diffusion ou mise à disposition, par alignement ou combinaison, le blocage, la suppression ou la destruction des données.
Gestionnaire de traitement :
une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui, seul ou conjointement avec d'autres
Traitant : personne physique ou morale, autorité publique, agence ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Aux fins de la présente annexe, le prestataire de services est considéré comme un transformateur.
Personne concernée : Personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel traitées.
Article 2.
Traitement des données personnelles
2.1. Dans le cadre de la cession entre les parties et dans le cadre du CG, le client agit à titre de partie responsable du traitement et le fournisseur de services agit à titre de transformateur.2.2. En tant que responsable du traitement des données, le Client conserve l'entière maîtrise des Données Personnelles et détermine l'objet, la nature, la finalité, les moyens et la durée du traitement des données personnelles par le Prestataire de Services dans le cadre du présent Contrat de Traitement.
2.3. En tant que sous-traitant, le Prestataire traite les Données Personnelles qui lui sont confiées par et sur instruction du Client dans le cadre des services que le Client achète au Prestataire conformément à l'Accord de Coopération conclu entre eux.
2.4. Lors du traitement des Données Personnelles, le Prestataire et le Client agissent conformément aux dispositions légales et réglementaires en matière de protection des Données Personnelles, y compris la GCPSC.
2.5. Le fait que le client agisse lui-même en tant que sous-traitant d'un tiers responsable du traitement des données ne modifie en rien le contrôle et la responsabilité du client à l'égard des données personnelles dans le cadre du présent contrat de traitement.
2.6. Le Prestataire traite les Données Personnelles qu'il reçoit du Client conformément à la présente Convention de Traitement et à la commande et aux tâches qui lui sont confiées. La nature des données traitées par le Prestataire et les objectifs du traitement sont décrits ci-dessous. Le Client s'assure que seules les Données Personnelles strictement nécessaires aux fins décrites ci-dessous sont fournies au Prestataire de Services et qu'elles sont fournies au Prestataire de Services en toute sécurité.
A. Nature des données personnelles
Généralités : toutes les données relatives à l'administration des commandes et à la gestion des clients qui sont conservées conformément aux dispositions légales, réglementaires ou conventionnelles :
- Coordonnées des personnes de contact : nom et prénom, numéro de téléphone, numéro de téléphone portable, adresse e-mail ;
- Coordonnées (livraison et facturation) : rue, numéro de rue, code postal, ville ;
- Numéro de téléphone (privé et professionnel), Numéro de portable (privé et professionnel), adresse e-mail (privé et professionnel) ;
- Langue ;
- Numéro d'entreprise ;
- Détails de la facture ;
- Données financières : données relatives au numéro de compte bancaire ;
B. Objectifs du traitement
Les Données Personnelles susmentionnées sont traitées par le Prestataire avec des objectifs éventuels, en fonction des besoins et/ou des accords avec le Client :
- Assurer la communication écrite et orale avec les personnes de contact désignées par le Client ;
- Effectuer et conseiller la gestion des commandes des clients et l'administration de la clientèle ;
- Etablissement et transmission des demandes de devis qui découlent de l'administration des commandes aux fournisseurs du Prestataire.
- Traitement de données à des fins d'analyse, de développement, d'implémentation et d'optimisation d'applications logicielles.
- …
2.7. Le Prestataire fera tous les efforts raisonnables pour traiter les Données Personnelles qui lui sont confiées par le Client d'une manière appropriée et prudente.
2.8. Sauf stipulation contraire dans le présent contrat de traitement et sauf obligations légales impératives dans le cadre de l'exécution de sa mission, le prestataire de services ne fournira pas les données personnelles à des tiers.
2.9. Si une disposition légale ou réglementaire applicable au Prestataire ou une décision contraignante d'une autorité ou d'une autorité judiciaire oblige le Prestataire à effectuer un certain traitement, le Prestataire en informe le Client préalablement à ce traitement, sauf si cette disposition interdit cette notification pour des raisons d'intérêt général.
2.10. Le Client garantit que les instructions qu'il donne au Prestataire sont conformes aux lois et règlements relatifs à la protection des données, qu'il applique correctement et intégralement, ainsi qu'aux instructions données au Client par le contrôleur si le Client n'agit pas lui-même comme contrôleur.
2.11. Le Client garantit également que toutes les Données Personnelles confiées au Prestataire de Services ont été légalement collectées et peuvent être traitées légalement pendant toute la durée du présent Contrat de Traitement. Le Client garantit pleinement le Prestataire contre toute réclamation, action ou réclamation de la part de l'Objet des Données, de tiers, d'autorités et du responsable du traitement des données si le Client agit lui-même en tant que sous-traitant des données, qui est déposé à cet égard, ainsi que contre tout dommage en résultant aux frais du Prestataire, y compris les amendes (administratives), tant en termes du capital, des intérêts que des frais.
2.12. Si le Prestataire estime que les instructions du Client violent les lois et règlements en matière de protection des données, il en informera immédiatement le Client et le Prestataire pourra décider de ne pas effectuer et/ou suspendre le traitement. L'absence de notification de la part du Prestataire n'affecte pas la responsabilité du Client à l'égard du Prestataire du fait de l'instruction illégale.
Article 3.
Recours à des tiers
3.1. Dans le cas où le Prestataire fait appel à des tiers dans le cadre du traitement des Données Personnelles et conformément aux dispositions de l'Accord de Coopération, le Prestataire s'efforce toujours de s'assurer que les tiers concernés sont en mesure d'offrir un niveau de protection des données similaire à celui inclus pour le Prestataire dans le présent Accord de Traitement.3.2. Le Prestataire informe le Client conformément à l'article 5, et dans la mesure où les informations sont disponibles, de chaque Datalek déterminé avec un tiers engagé par le Prestataire et ce sans délai déraisonnable dès que le Prestataire en a connaissance.
Article 4.
Sécurité et devoir de confidentialité
4.1. Le Prestataire est tenu de préserver la confidentialité des Données Personnelles qu'il reçoit du Client, sauf si et dans la mesure où une disposition légale l'oblige à divulguer les Données Personnelles, ou si la divulgation est faite sur les instructions du Client.4.2. Le Prestataire prend les mesures techniques et organisationnelles appropriées pour protéger au mieux les Données Personnelles qui lui sont fournies par le Client contre la perte ou toute forme d'accès ou de traitement illicite de celles-ci. Ces mesures visent à assurer un niveau de protection adéquat, en tenant compte des dernières technologies et des coûts liés à la mise en œuvre et à l'exécution des mesures, compte tenu des risques associés au traitement des données personnelles et de leur nature. Ces mesures sont présentées ci-dessous à titre d'exemple.
En particulier, le Prestataire prendra toutes les mesures de sécurité techniques et organisationnelles raisonnables et appropriées, dans la mesure du possible, pour s'assurer que les Données personnelles qui lui sont confiées ne font pas l'objet de perte ou de traitement illicite, y compris l'accès de personnes non autorisées.
Afin de déterminer les mesures de sécurité appropriées, il est procédé à une évaluation du traitement fondée sur les risques, en tenant compte, entre autres, des critères suivants :
- Le type de données à caractère personnel traitées (sensibles ou non sensibles) ;
-La quantité de sujets de données dont les données sont traitées ;
-La finalité pour laquelle les données personnelles sont traitées ;
…
Aperçu des mesures techniques de sécurité :
-L'utilisation d'un antivirus ;
Installation d'un pare-feu ;
L'utilisation d'une politique de mot de passe, c'est-à-dire des codes d'accès uniques et un mot de passe personnel qui est mis à jour régulièrement ;
-Effectuer systématiquement des sauvegardes sécurisées pour se protéger contre la perte de données ;
-Protéger l'accès physique aux données personnelles contre les personnes qui, en vertu de leurs fonctions, ne sont pas tenues d'y avoir accès ;
-Pas d'utilisation de disques durs non sécurisés ;
-Utiliser des techniques de cryptage pour stocker les données personnelles ;
…
Aperçu des mesures organisationnelles :
-L'utilisation d'une politique générale d'information du personnel en matière de respect de la vie privée ;
-Elaboration de procédures internes pour l'embauche et le départ des employés qui gèrent les données personnelles ;
-Élaboration d'une politique et de lignes directrices internes en ce qui concerne le traitement confidentiel des données à caractère personnel ;
-Nomination d'un responsable de la sécurité de l'information ;
-L'application d'une procédure enregistrée pour la suppression des données personnelles qui se trouvent sur les équipements et supports de stockage mis au rebut (par exemple sur les ordinateurs portables et les smartphones) et sur les équipements retournés par les employés qui quittent l'entreprise ;
….
4.3. Le Prestataire de services s'assure que tout son personnel impliqué dans le traitement des Données personnelles est conscient des obligations qu'il a incluses dans le présent Contrat de traitement et qu'il est tenu de les remplir. Pour ce faire, une déclaration de confidentialité est annexée au contrat de travail et/ou au règlement du travail, des politiques internes sont mises en place et le personnel est régulièrement informé au moyen de séances d'information.
4.4. Après la résiliation du présent Contrat de traitement, l'obligation de signaler les Fuites de données conformément à l'article 5 et l'obligation de confidentialité subsisteront, dans la mesure où il s'agit de Données personnelles que le Prestataire de services a traitées sur instruction du Client.
Article 5.
Traitement des fuites de données
5.1. Le Prestataire informera en détail le Client si une Fuite de Données ayant un impact potentiel sur le Client s'est produite dans les locaux du Client et est imputable au Client, et ce au plus tard dans les 2 jours ouvrables après que le Prestataire en a eu connaissance.5.2. De sa propre initiative, le Prestataire fournit au Client toutes les informations disponibles concernant la Fuite de Données, y compris la nature et la portée des Données Personnelles, une estimation du nombre de parties impliquées et les mesures de sécurité prises.
5.3. Le Prestataire de services fournira au Client toute la coopération raisonnablement nécessaire afin d'avoir une idée de la gravité et des conséquences (possibles) d'une fuite de données établie chez le Prestataire de services.
Article 6.
Durée de conservation et suppression des données personnelles
6.1. Le Prestataire conserve les Données Personnelles pendant la période nécessaire à l'exécution de la mission, telle que définie dans le Contrat de Coopération avec le Client, y compris les renouvellements, et en outre pendant une période maximale de 10 ans après son expiration, à moins que des raisons justifiées ne nécessitent une période de conservation plus longue.6.2. Après l'expiration de la période de conservation prévue à l'art. 6.1, le Prestataire de services détruira les Données personnelles traitées dans le cadre de l'Accord de coopération de manière prudente et sûre à la demande expresse et écrite du Client, dans la mesure où le Prestataire de services n'est pas légalement obligé de conserver certaines Données personnelles pendant une certaine période de temps.
6.3. Sur demande expresse et écrite du Client, les Données Personnelles peuvent lui être restituées après l'expiration du délai de conservation prédéfini. Le retour aura lieu au plus tôt après une période de trois mois commençant après l'expiration de la période de conservation et ne se fera que sous forme électronique.
6.4. Le Prestataire peut déroger à la suppression susmentionnée dans la mesure où cela est nécessaire pour prouver au Client l'exécution de ses obligations.
6.5. Le retour et/ou la destruction des Données Personnelles tel que stipulé dans cet article donne lieu à une compensation raisonnable pour le Prestataire aux frais du Client, dont les modalités peuvent être convenues.
Article 7.
Dispositions diverses
7.1. Le Client a toujours le droit, sous réserve du respect de l'obligation de confidentialité prévue à l'Entente de coopération, de vérifier la conformité du Fournisseur de services à la présente Entente de traitement en demandant des renseignements au Fournisseur de services qui démontre que ce dernier respecte les obligations contenues dans la présente Entente de traitement.7.2. Le Fournisseur de services a le droit (i) d'apporter toute modification et/ou mise à jour aux mesures et processus décrits dans le présent document afin de pouvoir continuer à respecter ses obligations en vertu de la présente Convention de traitement et (ii) d'apporter toute modification nécessaire afin de pouvoir se conformer aux obligations légales du Fournisseur de services ou aux décisions contraignantes d'un gouvernement ou d'une autorité judiciaire.
7.3. Si vous avez des questions, vous pouvez toujours contacter
privacy@ckfive.be