ENTRE
ENTRE
Le « Soumissionnaire »
ET
La société anonyme de droit public A.S.T.R.I.D. ayant son siège social à 0000 Xxxxxxxxx, Boulevard du Régent 54, Représentée par Xxxxxxxx Xxxxx, en sa qualité de Directeur général,
Dénommée ci-après « A.S.T.R.I.D. »
SONT
Dénommés individuellement par le terme « Partie » et ensemble par le terme « les Parties »
DANS LE CADRE DU PRÉSENT MARCHÉ PUBLIC
Dénommé ci-après les « Prestations »,
CONSIDÉRANT QU’AUX TERMES DE LA PRÉSENTE CONVENTION DE CONFIDENTIALITE ÉTENDUE
1. La présente Convention arrête les conditions relatives à l’échange d’Informations entre les Parties ;
2. On entend par :
Client : Tout service, institution, société ou association tel que défini à l'article 3 §1 de la loi du 8 juin 1998 relative aux radiocommunications des services de secours et de sécurité ;
Communauté : Groupe de personnes qui partagent des intérêts communs ;
Convention : La présente Convention de Confidentialité Étendue ;
Information·s : Toutes les Informations ou données appartenant ou confiées à A.S.T.R.I.D., indépendamment de leur forme ou de leur nature, et qui ont de l’importance pour A.S.T.R.I.D. et ses utilisateurs y compris les données à caractère personnel, le savoir-faire technique, les spécifications, les plans, les modèles, les logiciels, les techniques, les dessins, les schémas, les procédures, ainsi que les droits de propriété industrielle et intellectuelle, les données d’entreprise, les Informations sur les fournisseurs et clients d’A.S.T.R.I.D., et en général, toutes les Informations communiquées ou divulguées au Soumissionnaire et·ou traitées pour le compte d’A.S.T.R.I.D., ses employés, ses Parties tierces ou ses Sous-traitants par le Soumissionnaire ;
Infrastructures : Les systèmes A.S.T.R.I.D. ou toute infrastructure dans lesquels ces systèmes sont déployés, inclus les solutions Cloud, exploités, développés, entretenus ou doivent être installés, constitués, adaptés ou élargis et dans lesquels des Informations sont stockées, traitées, manipulées, enrichies ou rendues disponibles ;
Partenaires : Personne·s ou groupe·s de personnes associés pour la réalisation d’un projet ; Parties tierces : Personne·s ou groupe·s de personnes extérieures à la présente Convention ; Propriétaire de l’Information : Partie qui dispose de la propriété intellectuelle ;
Sous-traitants : Personne·s qui exécute·nt une mission pour compte d’une des Parties ;
Soumissionnaire : Le Soumissionnaire, y compris ses employés, et le cas échéant ses Parties tierces et Sous-traitants ;
Utilisateur/usager : Tout membre (du personnel) du Client qui recourt aux systèmes et services A.S.T.R.I.D. ;
3. A.S.T.R.I.D. est l’opérateur des réseaux de sécurité et d’urgence (cf. les articles 102 et 103 de l’arrêté royal du 16 janvier 2017 établissant le troisième contrat de gestion d’A.S.T.R.I.D.). Sur ces réseaux transitent des Informations qui pourraient, lors d’incidents, être divulguées sous quelque forme ou nature que ce soit ;
4. La « Loi 98 » désigne la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ainsi que ses arrêtés royaux et ministériels d’application y incluant l’ensemble des modifications apporté par le législateur ;
5. Les Informations classifiées comme « CONFIDENTIEL - Loi 11.12.1998 », « SECRET - Loi 11.12.1998 » ou « TRÈS SECRET - Loi 11.12.1998 » peuvent être échangées entre A.S.T.R.I.D. et le Soumissionnaire selon les modalités définies par la Loi 98 ;
6. A.S.T.R.I.D. classifie ses Informations conformément au standard Traffic Light Protocol (TLP, xxxxx://xxx.xxxxx.xxx/xxx/) : TLP:CLEAR : Les bénéficiaires peuvent diffuser l’information dans le monde entier, il n'y a pas de limite à la diffusion ; TLP:GREEN : Diffusion limitée, les bénéficiaires peuvent diffuser cette information au sein de leur communauté ;
TLP:AMBER : Diffusion limitée, les bénéficiaires ne peuvent diffuser ces informations qu'en fonction du besoin d'en connaitre au sein de leur organisation et de ses clients ;
TLP:RED : Pour les yeux et les oreilles des bénéficiaires individuels uniquement, aucune autre diffusion ;
7. Le Règlement Général sur la Protection des Données (EU 2016/679) (RGPD) et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (EU 2016/680) sont strictement d’applications ;
8. Les Informations suivantes ne relèvent pas de la présente Convention :
- Les Informations qui respectent le considérant 9 de la présente Convention ;
- Les Informations pour lesquelles A.S.T.R.I.D. marque son accord formel pour leur divulgation ;
- Les Informations devant être divulguées en tout ou en partie par décision de justice ;
9. Ne font pas parties des Informations :
- Les Informations déjà en possession du Soumissionnaire – sans violation d’une obligation de confidentialité – avant qu’elles n’aient été communiquées par A.S.T.R.I.D. ;
- Les Informations qui font déjà partie du domaine public au moment de la signature de la présente Convention ;
- Les Informations qui, après leur réception, tombent dans le domaine public sans que l’une des parties soit en cause ;
- Les Informations que le Soumissionnaire obtient d’un tiers qui les détenait de bonne foi et était autorisé à les lui communiquer ;
- Les Informations qui ont été développées par le Soumissionnaire de manière indépendante et non basée sur ou utilisant une quelconque donnée ou Information communiquée ou divulguée par A.S.T.R.I.D. ;
10. Le Soumissionnaire pourrait être amené à prendre connaissance des Informations communiquées par A.S.T.R.I.D., ses employés, ses Parties tierces ou ses Sous-traitants ou éventuellement par ses Utilisateurs ;
11. Le Soumissionnaire pourrait être amené à accéder aux Infrastructures ;
12. Le Soumissionnaire qui accède aux Informations ou aux Infrastructures se doit de respecter strictement les conditions de prestations ci-dessous ;
LES CONDITIONS DE PRESTATIONS SUIVANTES SONT STRICTEMENT D’APPLICATION
13. Le Soumissionnaire reconnait le caractère confidentiel des Infrastructures relatives aux Prestations ;
14. Le Soumissionnaire reconnait le caractère confidentiel des Informations dont il a eu ou a connaissance de façon directe ou indirecte à l’exception des Informations reprises au considérant 8 et relatives aux Prestations ;
15. Le Soumissionnaire doit respecter l’ensemble des règlementations européennes et les lois belges applicables aux Prestations ;
16. Le Soumissionnaire, pour chacun de ses travailleurs belges employés dans le cadre des Prestations et habilités au sens de la Loi 98, doit fournir à l’Officier de Sécurité d’A.S.T.R.I.D. tous les renseignements (références, dates, niveaux de sécurité …) relatifs aux habilitations de sécurité de ses employés visés par les Prestations ainsi que leurs données personnelles ;
17. L’Officier de Sécurité d’A.S.T.R.I.D. est joignable par xxxxxxxx (🖅 xxx.xxxxxx@xxxxxx.xx)
18. Le Soumissionnaire, pour chacun de ses travailleurs belges employés dans le cadre des Prestations et sans habilitation au sens de la Loi 98 et titulaire d’un numéro de registre national et résidant en Belgique depuis plus de 5 ans de façon continue, doit obtenir par l’intermédiaire d’A.S.T.R.I.D. un avis de sécurité au sens de la Loi 98 auprès de l’Autorité Nationale de Sécurité (ANS) belge ;
19. Le Soumissionnaire, pour chacun de ses travailleurs belges employés dans le cadre des Prestations et ne répondant pas aux conditions du point 18. ci-dessus, doit obtenir une habilitation de sécurité au sens de la Loi 98 auprès de l’ANS belge. Il fournira à l’Officier de Sécurité d’A.S.T.R.I.D. tous les renseignements (références, dates, niveaux de sécurité …) relatifs aux habilitations de sécurité obtenus pour ses employés ainsi que leurs données personnelles ;
20. Si nécessaire, le Soumissionnaire effectuera les démarches auprès de l’ANS belge pour habiliter sa société au sens de la Loi 98 avec un niveau au minimum équivalent à celui requis par A.S.T.R.I.D. dans le cadre de l’exécution des Prestations ;
21. Si nécessaire, le Soumissionnaire désignera un Officier de Sécurité au sens de la Loi 98 auprès de l’ANS belge et il communiquera à l’Officier de Sécurité d’A.S.T.R.I.D. les coordonnées de celui-ci ;
22. Si le Soumissionnaire emploie un travailleur non belge, il doit alors contacter l’ANS locale du travailleur et obtenir pour celui-ci une habilitation du niveau requis par A.S.T.R.I.D. dans le cadre de l’exécution des Prestations ;
23. Seules les habilitations de sécurité délivrées par l’Autorité Nationale de Sécurité d’un pays membre de l’Europe ou de l’OTAN, par l’Europe ou l’OTAN et d’un niveau égal ou supérieur à confidentiel sont autorisées par l’ANS belge, le niveau restreint n’est pas autorisé ;
24. Les montants relatifs à l’obtention d’un avis de sécurité sont entièrement à charge du Soumissionnaire ;
25. Les montants relatifs à l’obtention d’une habilitation de sécurité pour personne physique ou morale sont entièrement à charge du Soumissionnaire ;
26. Il est de la responsabilité du Soumissionnaire de signaler à l’Officier de Sécurité d’A.S.T.R.I.D. toute modification concernant les habilitations et avis de sécurité demandés et reçus, pour ses travailleurs concernés par les Prestations, tels que l’annulation ou le retrait d’une habilitation ou d’un avis de sécurité ;
27. Il est de la responsabilité du Soumissionnaire de s’assurer du bon renouvèlement en heure et en temps des habilitations et avis de sécurité détenus par ses travailleurs concernés par les Prestations ;
28. Les Sous-traitants du Soumissionnaire ne peuvent s’adresser qu’à l’Officier de Sécurité du Soumissionnaire. L’Officier de Sécurité d’A.S.T.R.I.D. refusera les demandes qui lui sont directement adressées par les Sous-traitants du Soumissionnaire ;
29. Tout échange d’Informations à caractère personnel hors de l’Espace Économique Européen doit être formellement approuvé par le Data Protection Officer d’A.S.T.R.I.D. (DPO, 🖅 xxx@xxxxxx.xx) et doit de répondre aux exigences du Règlement Général sur la Protection des Données (EU 2016/679) (RGPD), de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (EU 2016/680) et aux Clauses Contractuelles Type de la Commission Européenne disponibles sur le site de l’Autorité belge de protection des données (xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxxx.xx) ;
30. Sans préjudice de ce qui précède, il est entendu que de façon exceptionnelle et strictement limitée en volume et en temps une Information peut être divulguée en dehors de l’Espace Économique Européen aux conditions que le Soumissionnaire ait l’accord formel préalable d'A.S.T.R.I.D. et qu’il s’assure qu’un NDA (Non-Disclosure Agreement) ou toute autre convention équivalente couvrant la présente Convention existe entre lui et la Partie réceptrice de l’Information ;
31. En tenant compte des Infrastructures, de la nature et du contenu des Informations, il est demandé au Soumissionnaire qui à un moment ou un autre pendant la durée des Prestations pourraient être confronté à des Infrastructures et/ou des Informations, de mettre en place les mesures organisationnelles et techniques qui en découlent de sécurité de l’information telles que celles énoncées par la norme ISO27001 Code de bonnes pratiques pour le management de la sécurité de l’information (ou toutes normes ou tous standards équivalents) en vigueur au moment de la signature par les Parties de la présente Convention ;
32. Sur simple demande du Chief Information Security Officer d’A.S.T.R.I.D. (XXXX, 🖅 xxxx@xxxxxx.xx), le Soumissionnaire s’engage à lui fournir les évidences relatives aux mesures de sécurité organisationnelles et techniques mises en place ;
33. Le Soumissionnaire s’engage à se faire auditer par ou à la demande d’A.S.T.R.I.D., et ce chaque fois qu’A.S.T.R.I.D. le jugera nécessaire. Les frais relatifs à l’audit primaire sont à charge d’A.S.T.R.I.D., les frais inhérents aux audits de contrôle éventuels dans le cadre des Prestations sont à charge du Soumissionnaire ;
34. Le Soumissionnaire convient et accepte que, à l’exception des droits expressément prévus dans la présente Convention, la communication et la fourniture d’Informations exclusives au titre de la présente Convention par A.S.T.R.I.D. ne puissent pas être interprétées comme donnant au Soumissionnaire des droits explicites ou implicites, par licence ou autre, sur les affaires, les inventions ou les découvertes auxquelles les Informations exclusives appartiennent, ni ne confère de quelconque droit d’auteur, droit de marque ou droit dans des secrets commerciaux ;
35. Le Soumissionnaire s’engage à ne pas utiliser les Informations qui lui sont communiquées par A.S.T.R.I.D., ses employés, ses Parties tierces ou ses Sous-traitants à d’autres fins ou dans une autre intention que celles définies au titre des Prestations ;
36. Le Soumissionnaire s’engage à restituer à A.S.T.R.I.D., dès que les Prestations ont pris fin et selon des modalités à définir entre les Parties, la totalité des Informations relatives aux Prestations en excluant les Informations couvertes par le considérant 8 et sauf avis contraire et formel d’A.S.T.R.I.D. ;
37. Le Soumissionnaire s’engagent sur demande formelle et officielle d’A.S.T.R.I.D. de détruire définitivement et irrémédiablement toutes les Informations relatives aux Prestations en sa possession en excluant les Informations couvertes par le considérant 8, quel que soit le lieu où ces Informations sont traitées, stockées, manipulées, etc. en ce compris les copies et backups, et les Informations sur un support physique (papier, clé USB, disque externe, etc.). La destruction effective des Informations doit être démontrée et communiquée au CISO et au DPO d’A.S.T.R.I.D. (photo, vidéo, certificat, etc.) ainsi que les protocoles utilisés. Le soumissionnaire utilisera les moyens et protocoles adaptés à la sensibilité des Informations à détruire ;
38. Le Soumissionnaire s’engage dans le cadre des Prestations à travailler de façon éthique et à ne pas divulguer, sans limites dans le temps, les Informations à des tiers extérieurs aux Prestations ;
39. Le Soumissionnaire répond de ce que les personnes précitées seront également tenues par la présente Convention, et/ou toute autre obligation de confidentialité équivalente à la présente Convention ;
40. Le Soumissionnaire à l’obligation dans un délai raisonnable de notifier soit l’Officier de Sécurité d’A.S.T.R.I.D., soit son CISO, soit son DPO de tout changement apporté à l’organisation mise en place pour réaliser les Prestations ;
41. Le Soumissionnaire peut, s’il le souhaite, proposer sa propre Convention de Confidentialité à A.S.T.R.I.D. ;
42. Il est entendu que la présente Convention comprend l’intégralité des engagements des Parties concernant la confidentialité et supplante toute obligation antérieure entre les Parties à ce sujet ;
43. La présente Convention est soumise au droit belge ;
44. Tous différends entre les Parties qui pourraient naitre au titre de la présente Convention seront exclusivement tranchés par les cours et tribunaux compétents de Bruxelles ;
45. L’ensemble des exigences données dans le présent document représente la Convention ;
46. Le Soumissionnaire est responsable au nom de ses employé(e)s, Parties tierces et Sous-traitants du strict respect de la présente Convention.