Data Processing Agreement
1. Définitions
Dans le présent data processing agreement (ci-après, le « DPA »), les parties conviennent que les termes définis ci-après auront la signification suivante :
- « Contrat » : les « Conditions de vente et d’utilisation de l’application Twinntax et des services TwinnTax » ;
- « Donnée » ou « Donnée à caractère personnel » ou « DCP » désigne toute information ou donnée tel que défini par le Droit applicable à la protection des Données, concernant une personne physique identifiée ou identifiable (ci-après « Personne concernée »), notamment par référence à un identifiant tel qu’un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou par référence à par un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
- « Droit applicable à la protection des Données » désigne la loi de protection des Données à caractère personnel de l’Etat membre de l’Union européenne où est établi le Responsable du Traitement, à savoir, à compter du 25 mai 2018, le RGPD ainsi que toutes législations et réglementations de l’Etat membre de l’Union européenne applicable(s) au Traitement ;
- « Pays Tiers » désigne tout pays n’appartenant pas à l’Espace Économique Européen (EEE) et ne disposant pas d’une législation en matière de traitement de Données jugée adéquate par décision de la Commission européenne ;
- « Responsable de traitement » désigne toute personne physique ou morale qui détermine les finalités et moyens du Traitement devant être effectué dans le cadre du Contrat. Dans le cadre des présentes, les parties conviennent que le Responsable de Traitement est le Client (tel que défini dans le Contrat) ;
- « RGPD » désigne le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces Données ;
- « Sous-traitant » désigne aux termes du présent DPA, toute personne physique ou morale qui réalise un Traitement pour le compte du Responsable de Traitement. Les parties conviennent que dans le cadre du présent DPA le Sous-traitant est la société à responsabilité limitée Twinntax (BCE 0736.391.138).
- « Traitement » désigne toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés portant sur des DCP, tels que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l'interconnexion, ainsi que la limitation, l'effacement ou la destruction.
2. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable de Traitement les opérations de Traitement de Données définies dans les présentes, et notamment dans la Section A.
3. Entrée en vigueur et durée
Les présentes clauses entrent en vigueur à la date d’entrée en vigueur du Contrat, pour toute la durée du Contrat, et font partie intégrante du Contrat.
4. Obligations du Sous-traitant vis-à-vis du Responsable de traitement
Il est convenu et rappelé entre les parties qu’en aucun cas le Sous-traitant n’est responsable de déterminer les finalités et les moyens des Traitements des Données, lesquels sont définis par le Responsable de traitement dans la Section A.
Le Sous-traitant s'engage à :
- traiter les DCP uniquement pour les seules finalités renseignées dans la Section A par le Responsable de Traitement ;
- traiter les DCP conformément aux instructions documentées du Responsable de traitement figurant dans la Section A, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis. Dans ce cas, le Sous-traitant informera le Responsable de traitement de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public.
Si le Sous-traitant considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du Droit applicable à la protection des Données, il en informera le Responsable de traitement sans délai.
Des instructions peuvent également être données ultérieurement par le Responsable de traitement pendant toute la durée du traitement des Données.
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données dès la conception et de protection des Données par défaut.
5. Sous-traitance
Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après le « Sous-traitant Ultérieur ») pour mener des activités de Traitement spécifiques. La liste à jour des Sous-traitants ultérieurs est disponible en consultant le lien suivant : xxxxx://xxxxxxxx.xxx/xx/xxxxxxxxxxxxxx/
Au moins 15 jours avant que le Sous-traitant engage un Sous-traitant Ultérieur, le Sous-traitant actualisera la liste sur son site internet. Le Responsable de traitement pourra alors s’opposer à ce changement en (i) mettant un terme au Contrat ou (ii) en cessant d’utiliser l’application Twinntax.
Le Sous-traitant Ultérieur sera tenu de respecter les obligations du présent DPA, au moyen d’un contrat écrit. A la demande du Responsable de traitement, le Sous-traitant fournira une copie de ce contrat conclu avec le Sous-Traitant Ultérieur et de toute modification qui y est apportée ultérieurement.
Il appartient au Sous-traitant de s’assurer que le Sous-traitant Ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD.
Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des DCP, le Sous- traitant initial demeure pleinement responsable vis-à-vis du Responsable de traitement de l’exécution par le Sous-traitant Ultérieur de ses obligations. Le Sous-traitant informera le Responsable de traitement de tout manquement du Sous-traitant Ultérieur à ses obligations contractuelles.
6. Notification des violations de Données à caractère personnel
Le Sous-traitant notifiera au Responsable de traitement toute violation de DCP dans un délai maximum de quarante-huit (48) heures après en avoir pris connaissance et par courrier électronique.
Cette notification sera accompagnée de toute documentation et les informations utiles afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
7. Assistance du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations
Le Sous-traitant informera sans délai le Responsable de traitement de toute demande qu’il a reçue de la part d’une Personne concernée. Il ne donnera pas lui-même suite à cette demande, à moins que le Responsable du traitement des données ne l’y ait préalablement autorisé. Le Sous-traitant prêtera assistance au Responsable de traitement pour ce qui est de remplir l’obligation qui lui incombe de répondre aux demandes des Personnes concernées d’exercer leurs droits.
Le sous-traitant aidera en outre le Responsable de traitement à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant :
- l’obligation de procéder à une analyse d’impact, lorsqu’un type de traitement est susceptible
de présenter un risque élevé pour les droits et libertés des personnes physiques ;
- l’obligation de consulter l’autorité de contrôle compétente/les autorités de contrôle compétentes préalablement au traitement, lorsqu’une analyse d’impact relative à la protection des données indique que le traitement présenterait un risque élevé si le Responsable du traitement ne prenait pas de mesures pour atténuer le risque;
- l’obligation de veiller à ce que les Données soient exactes et à jour, en informant sans délai le Responsable du traitement si le Sous-traitant apprend que les données à caractère personnel qu’il traite sont inexactes ou sont devenues obsolètes.
Il est précisé que toute assistance au-delà de celle légalement requise sera soumise à un devis devant être accepté par le Responsable de traitement.
8. Sort des données
A la fin du Contrat pour quelque cause que ce soit, à la demande du Responsable de traitement, le Sous-traitant conservera les DCP du Responsable de traitement qui resteront stockées sur l’application Twinntax dans un compte ayant des fonctionnalités limitées réactivé à cette fin (qui pourra faire l’objet
d’une facturation à la tarification journalière habituelle) et ce, pendant une durée de trois mois après l’expiration du Contrat, afin de lui permettre de les extraire. A l’issue de la période de trois mois, le Sous-traitant désactivera définitivement le compte du Responsable de traitement. Dans tous les cas, le Responsable de traitement détruira les données stockées sur l’application dans un délai maximal de douze mois après la fin du Contrat, sauf si le Sous-traitant est autorisé à les conserver pour une durée plus importante ou s’il est enjoint de les supprimer plus rapidement.
Dans l’hypothèse où les données sont extraites par le Responsable de traitement, le Sous-traitant s’engage également à détruire toutes les copies existantes dans ses systèmes d’information sauf si la conservation des DCP est exigée en vertu de l’article 28 du RGPD.
9. Registre des catégories d’activités de traitement
Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d’activités de Traitement
effectuées pour le compte du Responsable de traitement comprenant :
- le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants ;
- les catégories de Traitements effectués pour le compte du Responsable du traitement ;
- le cas échéant, les transferts de DCP vers un Pays Tiers ou à une organisation internationale, y compris l'identification de ce Pays Tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ;
- une description générale des mesures de sécurité techniques et organisationnelles telles que visées dans la Section B du présent DPA.
10. Obligations du Responsable de traitement vis-à-vis du Sous-traitant
Le Responsable de traitement s’engage à :
- respecter le principe de limitation des DCP nécessaires au regard des finalités de Traitement. Par conséquent, le Responsable de traitement s’engage ne confier au Sous-traitant que les DCP strictement nécessaires à l’exécution du Contrat ;
- s’assurer que les Traitements et leurs finalités sont conformes au RGPD ;
- fournir au Sous-traitant la description du Traitement et les instructions associées, lesquelles doivent être renseignées dans la Section A des présentes ;
- veiller, au préalable et pendant toute la durée du Traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
- superviser le Traitement, y compris réaliser les audits et les inspections auprès du Sous- traitant.
11. Collecte des DCP des Personnes concernées
Il appartient au Responsable de traitement de fournir l’information aux Personnes concernées par les
opérations de Traitement au moment de la collecte des Données.
Il incombe au Responsable de traitement de faire toutes les déclarations nécessaires, et d’obtenir toutes les autorisations, consentements et approbations préalables nécessaires de la part des Personnes concernées.
Le Responsable de traitement s’engage à indemniser et tenir indemne le Sous-traitant de toute réclamation, dommages, responsabilités et dépenses (y compris les frais juridiques et d’avocat) subis ou encourus par le Sous-traitant découlant du non-respect de l’obligation mentionnée ci-dessus.
Il est convenu entre les Parties que le Responsable de traitement conserve la propriété de toutes les Données collectées par ce dernier et traitées par le Sous-traitant dans le cadre du Contrat.
12. Exercice des droits des Personnes concernées
De manière générale, il est convenu et rappelé entre les Parties que le Responsable de traitement fait son affaire de toute demande d’exercice des droits des Personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Nonobstant ce qui précède, dans la mesure où cela est nécessaire et possible, le Sous-traitant aidera le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes concernées.
Lorsque les Personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant adressera ces demandes dès réception par courrier électronique au Responsable de Traitement.
13. Mesures de sécurité
Le Sous-traitant mettra au moins en œuvre les mesures techniques et organisationnelles précisées dans la Section B pour assurer la sécurité des données à caractère personnel. Figure parmi ces mesures la protection des données contre toute violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données (violation de données à caractère personnel).
Le Sous-traitant n’accordera aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Le Sous-traitant veillera à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des DCP.
14. Transfert
Les DCP que le Sous-traitant traite pour le compte du Responsable de traitement ne seront transférées
en dehors de l’Union européenne que dans les conditions prévues par le RGPD.
Ainsi, le Responsable du traitement convient que lorsque le Sous-traitant recrute un Sous-traitant ultérieur pour mener des activités de Traitement spécifiques (pour le compte du Responsable du traitement) et que ces activités de Traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du RGPD, le sous-traitant et le Sous-traitant Ultérieur peuvent garantir le respect du chapitre V du RGPD en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du RGPD.
15. Documentation / Audit
Le Sous-traitant :
- mettra à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de ses obligations au titre des présentes clauses ; et
- permettra par ailleurs la réalisation d'audits, y compris des inspections, aux frais du Responsable de traitement dans les limites précisées ci-dessous et dans l’hypothèse où Responsable de traitement émet des doutes sérieux sur le respect des obligations du Sous- traitant, que la documentation transmise en application de la disposition reprise ci-dessus ne permettrait pas d’écarter.
L’audit mentionné au point (ii) ci-dessus pourra être mené maximum une fois par an par le Responsable de Traitement ou un auditeur qu’il a mandaté, sous réserve que ce dernier ne soit pas un concurrent du Sous-traitant et soit soumis à une obligation de confidentialité.
Le Responsable de traitement s’engage à notifier avec un préavis minimum de quinze (15) jours au Sous-traitant tout audit, en lui communiquant notamment l’objet de la mission, la durée envisagée et le nom du ou des auditeur(s). Le Sous-traitant pourra opposer un refus d’auditeur pour préserver ses intérêts légitimes. Le Sous-traitant mettra en place les moyens raisonnables pour permettre à l’auditeur de mener à bien son audit. Lorsque les parties estiment de commun accord que, pour vérifier le respect des obligations du Sous-traitant, l’audit devra être mené dans les locaux de ce dernier, les opérations d’audit et les demandes d’information devront être effectuées pendant les heures travaillées du Sous-traitant et ne devront pas perturber le bon fonctionnement des activités de ce dernier. Toute mobilisation de ressource du Sous-traitant pour cette assistance fournie au Responsable de traitement dans le cadre de l’audit sera facturée au Responsable de traitement. Une copie du rapport d’audit sera remise au Sous-traitant. Les Parties examineront de bonne foi ce rapport et décideront, le cas échéant, des actions qui devront être engagées par l’une ou l’autre des Parties pour mettre en œuvre les éventuelles recommandations issues du rapport d’audit et/ou pour remédier aux éventuels manquements identifiés lors de l’audit.
Le Sous-traitant traitera de manière rapide et adéquate les demandes du Responsable de traitement concernant le Traitement des Données conformément du présent DPA.
SECTION A : DESCRIPTION DU/DES TRAITEMENT(S)
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les Données à caractère personnel dans le contexte suivant.
La ou les finalité(s) du Traitement sont : utilisation de l’application Twinntax (qui permet notamment d’assister le Responsable de traitement dans le cadre des missions comptables et fiscales qui lui ont été confiées par ses propres clients).
Dans le cadre de cette finalité (utilisation de l’application Twinntax), les services offerts par Twinntax impliquent, en fonction des services choisis par le Responsable de traitement, les Traitements de Données suivants liés à :
- la création des identifiants des utilisateurs supplémentaires de l’application Twinntax (login, mots de passe) ;
- l’enregistrement des préférences d’utilisation de l’application Twinntax (langue, etc.) ;
- l’extraction de données et collecte de documents auprès de l’administration fiscale
(MyMinFin, Tax-on-Web, FinProf …) ;
- à la demande du Responsable de traitement, la synchronisation avec les logiciels d’autres
prestataires ;
- la gestion des déclarations 273 (précompte mobilier) ;
- la gestion et de la soumission des fiches 281 (dirigeant d’entreprise) ;
- la gestion des droits d’auteur et les déclarations relatives.
- La confirmation des UBO
- La gestion, le calcul et l’envoi des déclarations IPP
- Les convocations aux AG et la gestion des PVs
Les services offerts par l’application Twinntax comprennent par ailleurs des traitements nécessaires et inhérents à l’utilisation de l’application Twinntax, comme le stockage et la sauvegarde des données, ainsi que de l’assistance technique (support).
La nature des opérations réalisées sur les Données est : la manipulation des données des personnes de contact au sein du Responsable de traitement (utilisateurs effectifs de l’application Twinntax) et des (personnes de contact au sein des) clients du Responsable de traitement.
Les Données à caractère personnel traitées sont : les données d’identité, éventuellement de contact des personnes de contact au sein du Responsable de traitement, ainsi que les données d’identité, éventuellement de contact, comptables et fiscales des (personnes au sein) clients du Responsable de traitement.
Durée du Traitement : aussi longtemps que le Responsable de traitement souscrit aux services de Twinntax (durée du Contrat) ; suppression des données à l’issue d’une période maximale de douze mois après la fin du Contrat pour quelque motif que ce soit.
Les catégories de Personnes concernées sont : les (personnes au sein des) du Responsable de traitement et des clients du Responsable de traitement.
SECTION B : MESURES DE SECURITE
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement tels que décrits ci-dessus, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et les libertés des personnes physiques, le Sous- traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques susmentionnés.
La liste à jour des mesures de sécurité mises en place par le Sous-traitant est disponible en consultant le lien suivant : xxxxx://xxxxxxxx.xxx/xx/xxxx-xxxxxxxx/
Dernière version : mars 2024