Contrat de sous-traitance
Entre: La Ville de Bruxelles représentée par son Collège des Bourgmestre et Echevins, au nom duquel agissent, Ahmed El Ktibi, Officier de l’état civil et Xxx Xxxxxxx, Secrétaire communal,
Ci-après dénommé la Ville de Bruxelles, dont le siège est sis boulevard Xxxxxxx, 6, à 0000 Xxxxxxxxx, étant le responsable du traitement
Coordonnées du DPO : xxxxxxx@xxxxxxx.xx
et: Editions Vanden Broele SA, dont le siège social est situé à Xxxxxxxxxxxx 00, 0000 Xxxxxx, numéro d’entreprise 0451.355.351, représenté légalement par Vanden Broele Invest SPRLavec pour représentant permanent Monsieur Tom Van den Broele.
Ci-après dénommé « Vanden Broele”, étant le sous-traitant.
Coordonnées du DPO : xxx@xxxxxxxxxxxx.xx
Il est convenu ce qui suit:
1. Contexte général et dispositions antérieures
Le responsable du traitement dispose de données à caractère personnel dont il souhaite confier certains aspects du traitement au sous-traitant. Le présent contrat vise à réglementer l'exécution et l'organisation de ce traitement par le sous-traitant.
Toutes les parties impliquées s'engagent expressément à respecter les dispositions suivantes:
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l' égard des traitements de données à caractère personnel, ci-après dénommée «loi sur la protection des données à caractère personnel».
• Règlement général sur la protection des données (RGPD), adopté le 27/04/2016 et applicable depuis le 25/05/2018.
• Normes minimales sécurité de l’information BCSS - Normes minimales Version 2015 (ISO 27002: 2013) 1.
• Lignes directrices concernant la sécurité de l'information des données à caractère personnel dans les villes et les communes, dans les institutions qui font partie du réseau géré par la Banque Carrefour de la Sécurité Sociale et aux CPAS intégrés aux Communes. Version: 3.0 2.
• Autres réglementations pertinentes.
1 xxxxx://xxx.xxx-xxxx.xxxx.xx/xx/xxxxxxxxxx-xx-xxxxxxx/xxxxxxxxxxx/xxxxxxxx-xxxxxx
2. Dispositions contractuelles
Si une disposition de ce contrat est jugée nulle ou invalide, celle-ci n’affecte pas les autres dispositions du contrat et la disposition en question sera remplacée par une disposition valide qui reflète le mieux possible l'intention initiale des parties.
Les modifications ou les ajouts à ce contrat seront convenus par écrit entre le sous-traitant et le responsable du traitement. Les modifications ou les ajouts seront contenus dans un addendum à ce contrat et ne sont contraignants que si cet addendum a été signé par les deux parties.
3. Contexte général
Le présent contrat de sous-traitance fait partie de l’entente des deux parties dans des accords conclus/à conclure et leurs annexes et est uniquement destiné à formaliser la relation des parties concernant la protection des données à caractère personnel conformément au Règlement général sur la protection des données (RGPD), adopté le 27/04/2016 et applicable depuis le 25/05/2018.
Le sous-traitant agit exclusivement pour le compte du responsable du traitement et ne prend connaissance et/ou ne traite les données à caractère personnel que si et dans la mesure où cela est nécessaire à l'exécution du contrat, à savoir, l’anonymisation d’actes officiels à des fins d’enseignement ou de formations scientifiques. Le sous-traitant se conformera à toutes les instructions documentées du responsable du traitement.
Conformément à ces instructions documentées et aux dispositions du présent contrat, le sous-traitant ne traitera les données à caractère personnel au nom du responsable du traitement qu'aux fins suivantes (également appelées finalités): l’anonymisation des actes d’état civil mis à disposition.
Les parties peuvent ajouter au moyen d’une simple annexe à ce contrat de nouvelles applications de traitement.
Le sous-traitant conserve un registre des activités de traitement qu'il effectue pour le compte du responsable du traitement. Le RGPD énumère les éléments qui doivent figurer dans le registre, plus précisément en son article 30 “Registre des activités de traitement”.
Le sous-traitant est tenu de soumettre ce registre à la demande raisonnable du responsable du traitement. Le sous-traitant s'engage à créer ce registre pour l’entrée en vigueur de la présente convention au plus tard.
Le sous-traitant assistera le responsable du traitement à titre gratuit, a) dans le cadre du respect par le responsable du traitement des obligations qui lui incombent en vertu des articles 32 à 36 du GDPR et b) dans le cadre de toute demande des personnes concernées concernant l'exercice de leurs droits.
4. Secret et confidentialité
Le sous-traitant est tenu de garder confidentielles les données à caractère personnel qu'il reçoit du responsable du traitement. Une exception à cette règle n'est possible que dans la mesure où une disposition légale ou une décision du tribunal oblige le sous-traitant à les divulguer ou lorsque les données sont fournies pour le compte du responsable du traitement.
2 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxxxxxxxx/xxxxx/xxxxxxxxx/Xxxxxx%00xx%00xxxxxxxxx_x%000.0_0.xxx
Toute communication légalement requise de données à caractère personnel à des tiers doit être notifiée à l'avance par le sous-traitant au responsable du traitement, à moins que cela ne soit interdit par la loi.
L’obligation de confidentialité reste permanente après le transfert ou la résiliation de ce contrat.
5. Utilisation des données
5.1 Partage de données
Les données ne peuvent être traitées par le sous-traitant qu'aux fins décrites dans le présent contrat.
La communication de données à des tiers qui ne participent pas directement à l'exécution de la mission est interdite, à moins que cela ne soit imposé par ou conformément à la loi ou en vertu d'une décision judiciaire. Toute communication légalement requise des données à caractère personnel à des tiers doit être notifiée à l'avance par le sous-traitant au responsable du traitement, à moins que cela ne soit interdit par la loi.
5.2 Sous-traitance
Pour l'exécution pratique de sa mission, le sous-traitant peut conclure des contrats de sous-traitance avec des tiers.
Le responsable du traitement accepte spécifiquement la nomination de Vanden Broele Productions SPRL, de Vanden Broele Invest SPRL et de Novado SPRL en tant que sous-sous-traitant.
Le responsable du traitement autorise spécifiquement le sous-sous-traitement des données à caractère personel pour atteindre les objectifs. Si le sous-traitant externalise le traitement des données à caractère personnel pour le compte du responsable du traitement, il le fait toujours au moyen d'un contrat écrit avec le sous-sous-traitant qui impose au sous-sous-traitant des obligations de protection des données identiques ou au moins équivalentes aux obligations imposées par le présent contrat. Si le sous-sous-traitant ne remplit pas son obligation de protection des données en vertu d'un tel contrat écrit, le sous-traitant restera entièrement responsable vis-à-vis du responsable du traitement du respect de ces obligations.
Le sous-traitant maintient une liste à jour des contrats de sous-sous-traitance actifs avec les sous-sous-traitants et les communique au responsable du traitement dans un délai raisonnable sur demande écrite (y compris par e-mail). Le sous-traitant informera ponctuellement le responsable du traitement de tout changement de la liste. Cette obligation de fournir des renseignements ne s'applique pas aux changements qui surviennent de temps à autre relatifs à la nomination de consultants indépendants qui travaillent essentiellement à temps plein pour le sous-traitant.
Le fait que le sous-traitant confie tout ou partie de ses engagements à des tiers ne le dégage pas de sa responsabilité vis-à-vis du responsable du traitement. Ce dernier ne reconnaît aucune relation contractuelle avec ces tiers.
Le sous-traitant imposera le même devoir de confidentialité à ses employés ou sous-traitants. Il gardera à la disposition du responsable du traitement une preuve de leur conformité.
5.3 Copie et conservation des données
Le sous-traitant ne peut copier les informations mises à disposition, sauf dans le but d'une sauvegarde, ou à moins que cela ne soit nécessaire pour l'exécution de sa mission, telle que décrite dans le présent contrat.
Le sous-traitant ne conservera pas les données plus longtemps que nécessaire pour l'exécution des services pour lesquels elles sont mises à sa disposition et ceci pour une période maximale de 6 mois après la résiliation du présent contrat. Si les données ci-dessous ne sont plus nécessaires, le sous-traitant les supprimera irrémédiablement ou les renverra au responsable du traitement, conformément aux dispositions convenues dans le SLA. En l'absence de SLA, le terme est déterminé par les deux parties.
En ce qui concerne le renvoi des données après la résiliation du contrat, il est précisé que la fourniture de données brutes (par exemple Oracle, SQL) est gratuite. Le transfert de données/serveurs traités s’effectue conformément aux contrats conclus/à conclure.
Après la fin du traitement, le sous-traitant doit, à la demande du responsable du traitement, mettre immédiatement à sa disposition et/ou détruire irremédiablement toutes les copies des données à caractère personnel traitées et des produits dérivés provenant du responsable du traitement ou traitées par le responsable du traitement.
Le sous-traitant ne conservera jamais les données à l'extérieur de l'Espace économique européen et ne les transmettra jamais à des pays situés en dehors de l'Espace économique européen. En outre, le sous-traitant ne conservera pas les données à l'extérieur du territoire belge sans le consentement écrit préalable du responsable du traitement. Le responsable du traitement peut conditionner son consentement.
Les mêmes limitations et obligations s’appliquent aux copies éventuelles des données ainsi qu’aux dérivés des données originales.
6 Sécurité
Le sous-traitant assure une protection adéquate des données à caractère personel qu'il traite. Cela inclut au moins les éléments ci-dessous:
6.1 Accès aux données
Le sous-traitant garantit que les personnes qui travaillent en son nom et pour son compte n'ont accès qu'aux données dont elles ont besoin pour accomplir leur tâche ou leur mission contractuelle. Ceci s'applique au personnel engagé ou temporaire et aux tiers éventuels qui sont directement ou indirectement impliqués dans l'exécution de la mission.
Le sous-traitant empêche, par la séparation des fonctions, qu’une combinaison des droits d’accès puisse entrainer des actions non autorisées et/ou l’accès non autorisé aux données.
Le sous-traitant prend des mesures concernant la prévention et la détection de la fraude et toute autre utilisation ou accès frauduleux aux systèmes et réseaux.
Les réseaux et systèmes d'information sont activement surveillés et gérés par le sous-traitant. Une procédure est également mise en place pour gérer les fuites de données. Une partie de cette procédure consiste à en informer le responsable du traitement.
À la demande raisonnable du responsable du traitement, le sous-traitant fournira les informations nécessaires sur les mécanismes d'accès physique et/ou électronique aux systèmes et aux données du responsable du traitement. Ces mécanismes doivent fournir un moyen manifestement sécurisé de fournir l'accès aux données.
À la demande raisonnable du responsable du traitement, le sous-traitant fournit une liste à jour du personnel engagé ou temporaire et des tiers directement ou indirectement impliqués dans l'exécution du contrat et des autorisations qui leur sont accordées concernant les données traitées.
6.2 Signalement des incidents
Le sous-traitant s'engage à signaler toutes les tentatives de traitement ou d’accès illégaux ou autrement non autorisés aux données à caractère personel ou à d'autres données confidentielles. Le sous-traitant les signale immédiatement au responsable du traitement et à son DPO, au plus tard 24 heures après la survenance de l'incident. En outre, le sous-traitant prendra toutes les mesures raisonnablement nécessaires pour empêcher ou limiter (davantage) la violation des mesures de sécurité.
Le sous-traitant indiquera ce qui suit dans cette notification, si disponible:
• nature de l'incident
• moment de la survenance
• données impactées
• mesures directes prises pour limiter (davantage) les dommages
• moment de la clôture de l’incident
• mesures prises pour empêcher les risques à l’avenir
Si l'information n'est pas disponible, celle-ci sera communiquée à une date ultérieure.
Le responsable du traitement communiquera, dans les délais légaux, à l'autorité de contrôle concernée toutes les violations de données soumises à une obligation légale de déclaration.
6.3 Sensibilisation et formation du personnel ayant accès aux données
Le sous-traitant s'engage à informer les personnes travaillant sous sa responsabilité ou autorité au sujet:
• de toute réglementation concernant la protection de la vie privée en ce qui concerne le traitement des données à caractère personel
• de toute autre réglementation applicable au traitement des données dans le cadre de la cession à laquelle s'applique le présent contrat.
Le sous-traitant informe le responsable du traitement par écrit (y compris par e-mail) de la manière exacte dont il remplit cet engagement.
6.4 Mesures techniques et organisationnelles minimales
Le sous-traitant garantit, dans la mesure où cela est techniquement possible, l'intégrité, la disponibilité et la confidentialité de toutes les données qu'il traite dans le cadre de ce contrat. Il le fait au moins en mettant en œuvre et en utilisant des technologies et des techniques de sécurité conformes aux meilleures pratiques de l'industrie. Cela inclut des mécanismes pour détecter et/ou identifier les failles et la mise en œuvre en temps opportun des correctifs et/ou des mises à jour.
Le sous-traitant garantit que, dans la mesure où il devrait raisonnablement le savoir, aucun équipement ou logiciel utilisé dans le cadre du présent contrat ne viole les droits de propriété intellectuelle d'un tiers (tels que droit d'auteur, brevet, droit sui generis, marque, ...)
Le sous-traitant a nommé un délégué à la protection des données et à en place une politique et un plan de sécurité à jour révisés chaque année.
Les activités que les utilisateurs effectuent avec des données à caractère personel ou des dérivés sont enregistrées dans des fichiers. Il en va de même pour les autres événements pertinents, tels que les tentatives d'accès non autorisées à des données à caractère personnel et les interruptions susceptibles d'entraîner des modifications ou la perte de données pertinentes.
Le sous-traitant met en place des procédures pour assurer la disponibilité de l'information, des logiciels et d'autres actifs, y compris les procédures pour assurer la disponibilité des données pendant les moments critiques.
Le sous-traitant conclu un SLA en consultation avec le responsable du traitement concernant la disponibilité des données et des services pertinents. Ces contrats doivent être clairs, non ambigus et de préférence quantifiables. Le sous-traitant signale cela au responsable du traitement au moins une fois par an.
7 Audits
Le responsable du traitement a le droit à tout moment de vérifier la conformité du sous-traitant au présent contrat. À cette fin, il a le droit de procéder à des contrôles, sur place, dans les locaux ou les lieux où le sous- traitant effectue le traitement des données où les lieux où il met à disposition les informations pertinentes en rapport avec ce droit de contrôle. Le responsable du traitement en informera le responsable par écrit (y compris par e-mail) au moins dix (10) jours avant la réalisation du contrôle. Un tel audit n'aura pas lieu plus d'une fois par année contractuelle.
À la simple demande raisonnable du responsable du traitement, le sous-traitant est tenu de fournir toutes les informations raisonnablement requises, y compris la politique et le plan de sécurité, et d'aider à la réalisation des audits.
Les lacunes identifiées dans les audits sont prises en compte par le sous-traitant et converties en plan. Il sera mis en œuvre conformément au SLA concernant la gestion des incidents - et des changements de management ou, en l'absence d'un SLA, dans un délai raisonnable proportionnel à la gravité et la complexité de la lacune identifiée pour évaluation et approbation du responsable du traitement.
Le sous-traitant est responsable de la mise en œuvre des mesure corrective à ses propres frais et ce, conformément au calendrier précisé dans le plan proposé (voir ci-dessus), à moins que les parties n'en conviennent autrement.
8 Début et fin du contrat
Le présent contrat entre en vigueur à sa signature par les deux parties. Le présent contrat est conclu pour la période pendant laquelle les accords relatifs aux activités de traitement sont en vigueur. Si ces accords sont résiliés, le présent contrat prendra fin, à l’exception des dispositions concernant la confidentialité, qui restent en vigueur après le transfert ou la résiliation du présent contrat (voir point 4).
Ce contrat ne peut être modifié qu'avec le consentement des deux parties et les modifications n’entreront en vigueur entre les deux parties que si elles sont convenues par écrit.
Chaque partie peut résilier le contrat, en tout ou en partie, si l’autre partie manque à ses obligations et qu’elle ne remédie pas à ce manquement dans les trente (30) jours de la notification de ce manquement par écrit (y compris e-mail), sans préjudice du droit à une indemnisation.
Chaque partie peut mettre fin au présent contrat par lettre recommandée / e-mail à l'autre partie moyennant un préavis qui ne peut être inférieur à 30 jours. Ce délai de préavis commence à courir le premier jour de la semaine suivant l’envoi
Si, après la fin de l'accord, toutes les données et bases de données ont été renvoyées, le sous-traitant met immédiatement un terme à tout traitement des données et détruit (irrémédiablement) chaque copie et sauvegarde (voir point 5.3) des données qu'il avait encore en sa possession, sauf accord contraire des parties. Le processeur remet une "Déclaration de destruction" signée au responsable du traitement après l'exécution de la destruction.
9 Responsabilité des parties
Le sous-traitant est responsable des dommages résultant du non-respect du présent contrat ainsi que des réglementations applicables au sous-traitant en vertu de la loi sur la protection de la vie privée, sans préjudice de sa responsabilité découlant d’autres règlementations applicables.
Toutefois, la responsabilité du sous-traitant à l'égard du responsable du traitement est limitée au maximum à l'équivalent de 6 mois de services liés aux services concernés par l'infraction. Le sous-traitant n'est pas responsable des dommages indirects ou consécutifs, y compris (mais sans s'y limiter) la perte de profits, la perte de chiffre d'affaires, la perte d'opportunité et la perte de données.
Le sous-traitant ne sera en aucun cas responsable des dommages résultant des instructions du responsable du traitement. Si le responsable du traitement est mis en cause par une personne concernée, le sous-traitant interviendra dans la procédure.
Si le responsable du traitement est tenu responsable, il peut récupérer, dans les limites prévues par cet article, les indemnités auprès du sous-traitant si celui-ci a raisonnablement manqué au respect du présent contrat ou des réglementations émises conformément à la loi sur la protection de la vie privée.
10 Litiges
Tous les litiges relatifs à l'exécution du présent contrat seront soumis au tribunal compétent de l’arrondissement du lieu où se trouve le responsable du traitement. Le droit belge s'applique à ce contrat.
11 Dispositions finales
En signant ce document, le sous-traitant déclare accepter de se conformer aux mesures susmentionnées et également les imposer aux employés de son organisation et à toute personne qu’il peut, le cas échéant, engager dans le cadre de l’exécution de ce contrat.
Il se rend compte que son organisation peut être tenue responsable de l'abus ou de la négligence de ses employés.
Fait le jj/mm/aa en deux exemplaires.
Pour le responsable du traitement,Pour le sous-traitant,
Indiquant la mention “lu et approuvé” indiquant la mention “lu et approuvé”
Nom: Nom: Tom Van den Broele
Fonction: Fonction: CEO Editions Vanden Broele
Signature: Signature: