Se rendre au contenu

Parties :

Les entreprises qui ont passé une commande dont les données sont connues et les commandes exécutées, ci-après le Responsable du traitement

et

PaceX B.V. Marktweg 71, 8451CD à Oudeschoot, ci-après le Sous-traitant

considérant que

le Responsable du traitement souhaite faire effectuer certaines formes de traitement par le Sous-traitant, le Responsable du traitement désignant les finalités et les moyens,

le Sous-traitant est disposé à le faire et est également prêt à respecter les obligations relatives à la sécurité et à d'autres aspects du Règlement général sur la protection des données (ci-après : ‘RGPD’), dans la mesure de ses capacités,

Les parties, tenant compte de l'exigence de l'article 28, paragraphe 3 du RGPD, souhaitent consigner par écrit leurs droits et obligations,

ont convenu de ce qui suit

Contrat :

  1. Champ d'application

1.1 Ce contrat s'applique dans la mesure où, lors de la fourniture des services dans le cadre du Contrat principal, un ou plusieurs traitements ont lieu qui sont énumérés à l'Annexe 1.

1.2 Les traitements de l'Annexe 1 qui ont lieu lors de la fourniture des services sont appelés ci-après : “les Traitements”. Les données personnelles qui y sont traitées : “les Données personnelles”.

1.3 En ce qui concerne les Traitements, le Responsable du traitement est le responsable du traitement et le Sous-traitant est le sous-traitant. Les personnes physiques qui utilisent effectivement les services du Sous-traitant dans le cadre du Contrat principal et, le cas échéant, leurs représentants, sont également désignées ci-après comme “les Utilisateurs finaux”.

1.4 Tous les termes de cet accord ont la signification qui leur est donnée dans le RGPD.

  1. Objectifs du traitement

2.1 Le sous-traitant s'engage, dans les conditions de cet Accord de Sous-traitance, à traiter des données personnelles pour le compte du Responsable du traitement. Le traitement n'aura lieu que dans le but d'exécuter les services informatiques fournis dans le cadre de Cloud, Sécurité, Web et Logiciel. Cela peut inclure les services suivants : l'utilisation du logiciel PaceX sur un système informatique propre ou sur un système hébergé par PaceX B.V.

Ainsi que les objectifs qui y sont raisonnablement liés ou qui sont déterminés avec un consentement supplémentaire. Le sous-traitant ne traitera, pour le compte du Responsable du traitement, que les données personnelles (particulières) qui lui ont été fournies par le Responsable du traitement dans le cadre de cet Accord de Sous-traitance pour les objectifs établis dans cet Accord. Le sous-traitant ne traitera pas les données personnelles à d'autres fins que celles établies par le Responsable du traitement. Le Responsable du traitement informera le sous-traitant des objectifs de traitement dans la mesure où ceux-ci ne sont pas déjà mentionnés dans cet Accord de Sous-traitance. Les catégories de données personnelles et les objectifs de traitement sont décrits plus en détail dans l'annexe 1.

2.2 Les données personnelles à traiter pour le compte du Responsable du traitement restent la propriété du Responsable du traitement et/ou des personnes concernées.

2.3 Le Responsable du traitement s'engage à tenir un registre des traitements régis par cet Accord de Sous-traitance. Le Responsable du traitement indemnise le sous-traitant contre toutes les réclamations et demandes liées à la non-conformité ou à la mauvaise conformité à l'obligation de tenir un registre.

  1. Obligations du Responsable du traitement

3.1 En ce qui concerne les traitements mentionnés à l'article 1, le Responsable du traitement veillera au respect de la législation et de la réglementation applicables, y compris la législation sur la protection des données personnelles, telle que le RGPD.

3.2 Le Responsable du traitement informera le Responsable du traitement, à sa première demande, des mesures qu'il a prises concernant ses obligations en vertu de ce contrat de traitement.

3.3 Les obligations du Responsable du traitement découlant de ce contrat de traitement s'appliquent également à ceux qui traitent des données personnelles sous l'autorité du Responsable du traitement, y compris mais sans s'y limiter aux employés, au sens large du terme.

3.4 Le Responsable du traitement fournira la coopération nécessaire au Responsable du traitement lorsque, dans le cadre d'un traitement, une évaluation d'impact sur la protection des données, également appelée Data Protection Impact Assessment (DPIA) ou consultation préalable de l'autorité de contrôle, sera nécessaire.

  1. Transfert de données personnelles

4.1 Le Responsable du traitement peut traiter les données personnelles dans des pays de l'Union européenne. Le transfert vers des pays en dehors de l'Union européenne est interdit.

4.2 Le Responsable du traitement ne transmet les données stockées du Responsable du traitement dans le logiciel PaceX qu'aux Marketeurs mandatés par le Responsable du traitement. Cela se fait par le biais d'un processus automatisé.

  1. Répartition des responsabilités

5.1 Les traitements autorisés seront effectués par le Responsable du traitement dans un environnement (semi-) automatisé.

5.2 Le sous-traitant est uniquement responsable du traitement des données personnelles dans le cadre de cet accord de sous-traitance, conformément aux instructions du responsable du traitement et sous la responsabilité (finale) expresse du responsable du traitement. Pour les autres traitements de données personnelles, y compris, mais sans s'y limiter, la collecte des données personnelles par le responsable du traitement, les traitements pour des finalités qui n'ont pas été communiquées par le responsable du traitement au sous-traitant, les traitements par des tiers et/ou pour d'autres finalités, le sous-traitant n'est expressément pas responsable.

5.3 Le responsable du traitement garantit que le contenu, l'utilisation et la commande des traitements des données personnelles tels que prévus dans cet accord, ne sont pas illégaux et ne portent pas atteinte à un droit de tiers.

  1. Engagement de sous-traitants

6.1 Le responsable du traitement donne par la présente au sous-traitant l'autorisation d'utiliser un sous-traitant pour le traitement des données personnelles, sur la base de cet accord de sous-traitance, en tenant compte de la législation sur la protection de la vie privée applicable.

6.2 Un aperçu des sous-traitants engagés par le sous-traitant est inclus en annexe 2. Le responsable du traitement a le droit de s'opposer à tout sous-traitant engagé par le sous-traitant. Lorsque le responsable du traitement s'oppose à des sous-traitants engagés par le sous-traitant, les parties entreront en consultation pour parvenir à une solution.

6.3 Le sous-traitant veille à ce que ces sous-traitants prennent par écrit les mêmes obligations que celles convenues entre le responsable du traitement et le sous-traitant concernant le traitement des données personnelles.

  1. Sécurité

7.1 Le sous-traitant prendra des mesures techniques et organisationnelles appropriées concernant le traitement des données personnelles à effectuer, contre la perte ou toute forme de traitement illégal (tel que l'accès non autorisé, la détérioration, la modification ou la divulgation des données personnelles).

7.2 Dans le centre de données à partir duquel le service est fourni, les mesures suivantes ont été prises : contrôle d'accès logique, utilisant éventuellement : des mots de passe, des cartes d'accès personnelles, une vérification biométrique ;

  1. Mesures physiques pour la sécurité d'accès ;
  2. Chiffrement (cryptage) des fichiers de sauvegarde numériques contenant des données personnelles ;
  3. Mesures organisationnelles pour la sécurité d'accès ;
  4. Contrôle aléatoire de la conformité aux politiques ;
  5. Sécurisation des connexions réseau via la technologie Secure Socket Layer (SSL) ;
  6. Un réseau interne sécurisé ;
  7. Restrictions d'accès ciblées ;
  8. Contrôle des autorisations accordées.

7.3 Le sous-traitant ne garantit pas que la sécurité est efficace dans toutes les circonstances. Si une sécurité explicitement décrite est absente dans le contrat de sous-traitance, le sous-traitant s'efforcera de garantir que la sécurité respecte un niveau qui, compte tenu de l'état de la technique, de la sensibilité des données personnelles et des coûts associés à la mise en place de la sécurité, n'est pas déraisonnable.

7.4 Le responsable du traitement ne met à la disposition du sous-traitant que des données personnelles pour traitement, s'il s'est assuré que les mesures de sécurité requises ont été prises. Le responsable du traitement est responsable du respect des mesures convenues par les Parties.

  1. Obligation de notification

8.1 En cas de violation de données (entendue comme une atteinte à la sécurité qui entraîne accidentellement ou illégalement la destruction, la perte, la modification ou la divulgation non autorisée de ou l'accès non autorisé à des données transmises, stockées ou autrement traitées), concernant les données personnelles du Responsable du traitement, le Sous-traitant informera immédiatement le Responsable du traitement, ou dans les 24 heures suivant la prise de connaissance de la violation par le Sous-traitant, à la suite de quoi le Responsable du traitement évaluera s'il doit informer les personnes concernées et/ou les autorités de contrôle pertinentes. Le Sous-traitant s'efforce de rendre les informations fournies complètes, correctes et précises. L'obligation de notification s'applique indépendamment de l'impact de la violation.

8.2 Si la législation et/ou la réglementation l'exige, le Sous-traitant coopérera à l'information des autorités compétentes et/ou des personnes concernées.

8.3 L'obligation de notification implique en tout cas de signaler qu'une violation a eu lieu. De plus, l'obligation de notification comprend :

  1. la date à laquelle la violation a eu lieu (si aucune date exacte n'est connue : la période pendant laquelle la violation a eu lieu) ;
  2. la (supposée) cause de la violation ;
  3. la date et l'heure auxquelles la violation a été portée à la connaissance du Sous-traitant ou d'un tiers ou sous-traitant qu'il a engagé ;
  4. une description du groupe de personnes dont les données ont été divulguées, y compris le type ou les types de données personnelles qui ont été divulguées ;
  5. si les données ont été chiffrées, hachées ou rendues d'une autre manière incompréhensibles ou inaccessibles aux personnes non autorisées ;
  6. quelles sont les mesures envisagées et/ou déjà prises pour colmater la fuite et limiter les conséquences de la fuite ;
  7. coordonnées pour le suivi de la notification.
  8. Traitement des demandes des personnes concernées

9.1 Dans le cas où une personne concernée adresse une demande d'exercice de ses droits légaux au Responsable du traitement, le Responsable du traitement transmettra la demande au Responsable du traitement et informera la personne concernée. Le Responsable du traitement traitera ensuite la demande de manière autonome.

9.2 Dans le cas où une personne concernée adresse une demande d'exercice de l'un de ses droits légaux au Responsable du traitement, le Responsable du traitement, si le Responsable du traitement le demande, fournira son assistance dans la mesure où cela est possible et raisonnable. Le Responsable du traitement peut facturer des frais raisonnables au Responsable du traitement pour cela.

  1. Confidentialité et secret

10.1 Toutes les données personnelles que le Responsable du traitement reçoit du Responsable du traitement et/ou collecte lui-même dans le cadre de cet Accord de traitement sont soumises à une obligation de confidentialité envers des tiers. Le Responsable du traitement n'utilisera pas ces informations à d'autres fins que celles pour lesquelles il les a obtenues, même si elles ont été présentées sous une forme qui ne peut pas être retracée aux personnes concernées.

10.2 Cette obligation de confidentialité ne s'applique pas dans la mesure où le Responsable du traitement a donné son consentement explicite pour fournir les informations à des tiers, si la fourniture des informations à des tiers est logiquement nécessaire compte tenu de la nature de la mission confiée et de l'exécution de cet Accord de traitement, ou s'il existe une obligation légale de fournir les informations à un tiers.

  1. Audit

11.1 Le Responsable du traitement a le droit de faire réaliser des audits par un expert ICT indépendant soumis à une obligation de confidentialité pour vérifier le respect de tous les points de l'Accord de traitement.

11.2 Cet audit n'a lieu que lorsque le Responsable du traitement a demandé, évalué et fourni des arguments raisonnables justifiant un audit initié par le Responsable du traitement. Un tel audit est justifié lorsque les rapports d'audit similaires disponibles chez le Sous-traitant ne fournissent pas ou fournissent des informations insuffisantes sur le respect de cet Accord de traitement par le Sous-traitant. L'audit initié par le Responsable du traitement a lieu deux semaines après l'annonce préalable par le Responsable du traitement, et au maximum une fois par an.

11.3 Lors de la réalisation d'un audit, toutes les informations raisonnablement pertinentes, y compris les données de support telles que les journaux système, et les employés, seront mises à disposition dans les meilleurs délais et dans un délai raisonnable, un délai maximum de deux semaines étant considéré comme raisonnable. Le Responsable du traitement veillera à ce que l'audit ait le moins d'impact perturbateur possible sur les autres activités du Sous-traitant.

11.4 Les conclusions résultant de l'audit réalisé seront évaluées par les Parties en concertation et, en conséquence, seront mises en œuvre ou non par l'une des Parties ou par les deux Parties conjointement.

11.5 Les coûts de l'audit sont à la charge du Responsable du traitement.

  1. Responsabilité et dispositions pénales

12.1 Le Responsable du traitement n'est responsable que des dommages directs résultant d'un manquement imputable à l'exécution de cet Accord de traitement et qui est survenu en raison des travaux du Responsable du traitement. Le Responsable du traitement n'est pas responsable des dommages indirects, sauf si le Responsable du traitement prouve que cela a été causé par une intention ou une négligence grave équivalente de la direction de l'entreprise du Responsable du traitement.

12.2 La responsabilité du Responsable du traitement est limitée par événement (une série d'événements consécutifs est considérée comme un seul événement) à l'indemnisation des dommages directs, jusqu'à un maximum du montant des indemnités reçues par le Responsable du traitement pour les travaux dans le cadre de cet Accord de traitement au cours des trois mois précédant l'événement ayant causé le dommage. La responsabilité du Responsable du traitement pour les dommages directs ne dépassera jamais un total de 15 000 EUR.

12.3 Les dommages directs sont uniquement entendus comme tous les dommages consistant en :

  1. dommages directement causés aux biens matériels ("dommages matériels");
  2. coûts raisonnables et prouvables pour inciter le Responsable du traitement à respecter à nouveau l'Accord de traitement ;
  3. coûts raisonnables pour établir la cause et l'étendue des dommages dans la mesure où ils concernent les dommages directs tels que définis ici ; et
  4. coûts raisonnables et prouvables engagés par le Responsable du traitement pour prévenir ou limiter les dommages directs tels que mentionnés dans cet article.

12.4 On entend par dommages indirects tous les dommages qui ne sont pas des dommages directs et incluent en tout cas, mais sans s'y limiter, les dommages consécutifs, le manque à gagner, les économies manquées, la diminution de la goodwill, les dommages dus à l'arrêt des activités, les dommages liés à la non-détermination des objectifs marketing, les dommages liés à l'utilisation des données ou fichiers de données prescrits par le Responsable du traitement, ou la perte, la déformation ou la destruction de données ou de fichiers de données.

12.5 Les exclusions et limitations visées dans cet article sont annulées si et dans la mesure où les dommages résultent d'une intention de la part du Sous-traitant ou de sa direction.

12.6 Sauf si l'exécution par le Sous-traitant devient définitivement impossible, la responsabilité du Sous-traitant pour manquement imputable à l'exécution du Contrat ne naît que si le Responsable du traitement met le Sous-traitant en demeure par écrit sans délai, en fixant un délai raisonnable pour remédier au manquement, et si le Sous-traitant continue à manquer à ses obligations après ce délai. La mise en demeure doit contenir une description aussi complète et détaillée que possible du manquement, afin que le Sous-traitant soit en mesure de réagir de manière adéquate.

12.7 Toute demande de réparation par le Responsable du traitement contre le Sous-traitant qui n'est pas spécifiée et explicitement signalée expire par le simple écoulement de douze (12) mois après la naissance de la demande.

  1. Durée et résiliation

13.1 Cet Accord de Sous-traitance est conclu par la signature des Parties et à la date de la dernière signature.

13.2 Cet accord de traitement est conclu pour la durée déterminée dans le contrat principal entre les Parties et, à défaut, pour la durée de la collaboration.

13.3 Dès que l'accord de traitement, pour quelque raison et de quelque manière que ce soit, est résilié, le Traitant retournera toutes les données personnelles en sa possession, sous forme originale ou copiée, au Responsable du traitement, puis supprimera et/ou détruira celles-ci ainsi que toutes copies.

13.4 Les Parties ne peuvent modifier cet accord qu'avec un consentement mutuel.

  1. Droit applicable et règlement des litiges

14.1 L'accord de traitement et son exécution sont régis par le droit néerlandais.

14.2 Tous les litiges pouvant survenir entre les Parties en rapport avec l'accord de traitement seront soumis au tribunal compétent du district où le Traitant est établi.

14.3 Tous les services fournis sont soumis aux conditions générales de PaceX. Une copie sera envoyée sur demande.