1. Champ d’application
La présente annexe a pour objet d’encadrer les relations entre les Parties concernant les traitements de données à caractère personnel mis en œuvre.
La présente annexe fait partie intégrante du contrat signé entre les Parties.
2. Définitions
• Donnée à caractère personnel : désigne toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro de téléphone, une adresse email, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
• Traitement de données à caractère personnel : désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
• Responsable de traitement : désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ;• Sous-traitant : désigne la personne morale qui traite des Données Personnelles pour le compte du Responsable du Traitement ;
• Instruction : désigne toute instruction écrite ou orale reçue par le Sous-traitant.
• Violation de données à caractère personnel : désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;
3. Textes et loi applicables
• le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données abrogeant la directive 95/46/CE ;
• la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa dernière version ;
• les recommandations, avis et décisions des autorités de contrôle sur la protection des données et du Comité Européen à la Protection des Données ;• la jurisprudence des tribunaux nationaux et communautaires ;
4. Statut des Parties
Les Parties agissent respectivement en leur qualité de :
- Pour le Client, « responsable du traitement » des données à caractère personnel traitées en ce qu’elle les collecte directement auprès des individus, en détermine les finalités et prend la décision de recourir à la prestation du SOUS-TRAITANT.
- Pour le SOUS-TRAITANT, « sous-traitant » des données à caractère personnel en ce que le SOUS-TRAITANT agit au nom et pour le compte du Client, et uniquement sur instructions.
5. Obligations du SOUS-TRAITANT
Le SOUS-TRAITANT s’engage à :
a) Procéder aux traitements des Données à caractère personnel conformément aux Instructions de du Client listées notamment ci-après ;
b) Désigner un Délégué à la protection des données (DPO) ;
c) Traiter les Données à caractère personnel pour les seuls besoins de l’exécution du Contrat ;
d) Ne pas traiter, copier, stocker ou consulter les Données à caractère personnel collectées ou transmises dans le cadre des présentes à d’autres fins que l’exécution des prestations ;
e) Disposer d’une politique interne de gestion des Données à caractère personnel diffusée à l’ensemble de ses collaborateurs ayant accès à des Données à caractère personnel ;
f) Réaliser des programmes de sensibilisation périodique de ses collaborateurs et de ses sous-traitants sur la protection des Données à caractère personnel ;
g) Ne pas divulguer, sous quelque forme que ce soit, tout ou partie des Données à caractère personnel à des tiers, sauf dans le cadre d’Instructions formalisées par écrit du Client ;
h) Collaborer avec le Client à toute analyse d’impact que ce dernier décidera de mener afin d’évaluer la probabilité et la gravité des risques inhérents à un traitement de Données à caractère personnel, compte tenu de sa nature, de sa portée, de son contexte, de ses finalités et des sources du risque. Le SOUS-TRAITANT aura la capacité de facturer les prestations au Client sur la base d’un tarif journalier moyen qu’il aura préalablement communiqué au Client.
i) Faire ses meilleurs efforts pour respecter un code de conduite ou une certification reconnue par les textes applicables.
j) Informer immédiatement le Client, si une instruction constituerait une violation de la législation relative à la protection des Données à caractère personnel ;
6. Mesures de sécurité mises en œuvre par le SOUS-TRAITANT
Le SOUS-TRAITANT s’engage à prendre toutes les mesures de sécurité physiques, logiques et organisationnelles pour garantir un niveau de sécurité élevé de la protection des Données à caractère personnel et notamment afin d’empêcher que ces dernières soient déformées, endommagées ou communiquées à des personnes non autorisées.
Le SOUS-TRAITANT s’engage, en cas de changement des moyens visant à assurer la sécurité, l’intégrité et la confidentialité des Données à caractère personnel, à les remplacer par des moyens ne réduisant pas le niveau de sécurité des Données à caractère personnel.
Le SOUS-TRAITANT se tient à jour des recommandations émises par les autorités de contrôle sur la protection des données.
Le SOUS-TRAITANT mets à disposition du Client, sur simple demande, un plan d’assurance sécurité décrivant l’ensemble des mesures de sécurité déployées sur la Solution.
7. Sous-traitance
Dans le cadre de l’exécution des présentes, le SOUS-TRAITANT à recours aux sous-traitants suivants pour réaliser les traitements de données :
- Google Cloud Platform pour l’hébergement des données en Belgique
Le SOUS-TRAITANT s’engage à :
- Exiger sous forme contractuelle écrite que chaque sous-traitant engagé par lui pour traiter les Données sur lesquelles porte le présent Contrat lui respecte les obligations des présentes afin d’empêcher le traitement non autorisé ou illicite ou la perte ou la destruction accidentelle des Données et qu’il lui confirme la mise en application de ces moyens ;
- Ne pas recruter de nouveau sous-traitant concernant les traitements de Données à caractère personnel sans l’information préalable du Client et en laissant la possibilité au Client d’émettre des observations dans un délai de 15 jours.
Dans tous les cas, le SOUS-TRAITANT demeure pleinement responsable de l’exécution par ces autres sous-traitants des traitements de Données à caractère personnel réalisés pour le compte du Client.
8. Transfert de données en dehors de l’Union Européenne
Le SOUS-TRAITANT s’engage à ne pas opérer de traitement de données à caractère personnel en dehors de l’Union Européenne sans l’information préalable du Client
Lorsque le SOUS-TRAITANT est autorisé par le Client à opérer un transfert de données en dehors de l’Union Européenne vers un pays reconnu comme étant d’un niveau de protection non adéquat, il s’assure de l’encadrement de ce transfert au moyen de clauses contractuelles types adoptées par la Commission Européenne ou une autorité de contrôle de protection des données.
9. Violation de données à caractère personnel
Le SOUS-TRAITANT s’engage à notifier dans les meilleurs délais au Client, toute Violation de données à caractère personnel détectée.
La notification de la Violation doit préciser :
- Date de la détection
- Nature de la violation
- Nombre de personnes concernées par la violation
- Typologies de Données à caractère personnel concernées
- Mesures déjà prises ou celles qui sont proposées pour y remédier ;
Seul le Responsable du Traitement peut notifier la Violation de données à l’autorité de contrôle compétente ainsi que, le cas échéant, à la personne concernée. En aucun cas, le SOUS-TRAITANT ne peut agir directement.
10. Gestion des droits des personnes concernées
Le SOUS-TRAITANT s’engage à collaborer avec le CLIENT pour toute demande d’exercice d’un droit d’accès, de rectification, d’opposition, d’effacement, de limitation ou de portabilité formulée par un individu auprès du Client.
Lorsque le SOUS-TRAITANT reçoit directement une demande d’exercice de droit d’individu, il en informe sans délai le CLIENT et collabore avec le CLIENT sur la réponse à apporter.
11. Relation avec les autorités de contrôle
En cas de contrôle réalisé par une autorité de contrôle sur la protection des données réalisé sur le système d’information ou le site du Client, le SOUS-TRAITANT s’engage à collaborer avec le Client pour lui communiquer toute information requise.
Le Sous-traitant informe sans délai le Client de toute opération de contrôle subie dans ses locaux ou en ligne et qui concernerait des traitements de données mis en œuvre pour le compte de du Client.
12. Fin du contrat
À la date effective de résiliation du présent accord, le SOUS-TRAITANT s'engage, au choix du Client:
• Détruire toutes les Données à caractère personnel ou
• Renvoyer toutes les Données à caractère personnel.
Le renvoi des Données à caractère personnel doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du SOUS-TRAITANT.
Une fois détruites, le SOUS-TRAITANT adressera au CLIENT une copie du certificat de destruction.
13. Audit
Le Client a la faculté de vérifier l’application de la présente annexe au moyen d’un audit du système d’information du SOUS-TRAITANT. Le Client en avise le Prestataire dans un délai minimum de 20 jours ouvrés précédant sa réalisation.
Les frais d’audit seront à la charge du Client. Le Client communique au SOUS-TRAITANT le rapport d’audit. Les frais d’assistance à l’audit pourront faire l’objet d’une facturation au Client sur la base d’un tarif journalier moyen qu’il aura préalablement communiqué au Client.
Les frais liés à la mise en conformité du SOUS-TRAITANT seront à la charge exclusive de ce dernier.
14. Délégué à la Protection des Données
Le Délégué à la Protection des données de chaque Parties peut être contactés de la façon suivante :
- Le Sous-traitant : dpo@allkey.me
- Le Client : Les coordonnées sont indiquées sur les conditions particulières.