Avenant au Contrat de Service
Contrat relatif aux traitements de données à caractère personnel
-
Avenant au Contrat de Service
Attendu que Proximus Luxembourg S.A., une société anonyme de droit luxembourgeois, ayant son siège social situé au 00, xxx xx Xxxxx Xxxxxx, Zone d’activité de Bourmicht, L-8070 Bertrange, Grand- Duché de Luxembourg, enregistrée au Registre du Commerce et des Sociétés de Luxembourg sous le numéro B19.669 (ci-après « Telindus » ou le « Prestataire »),
Il est à noter que Telindus S.A. a changé sa dénomination sociale le 1er janvier 2019 pour devenir Proximus Luxembourg S.A. mais continue à utiliser sa marque Telindus dans le cadre de ses activités en relation avec la clientèle professionnelle,
et
«Nom_de l'entité juridique + forme juridique» ayant son siège social situé au «Siège_social», enregistrée au Registre du Commerce et des Sociétés de Luxembourg sous le numéro «Numéro_RCS» (ci-après « le Client »).
Telindus et le Client ont conclu un (ou plusieurs) contrat de service, soit sous la forme d’offre et commande, ou sous la forme d’un contrat écrit signé par les deux Parties (ensemble ci-après le
« Contrat de Services »).
Attendu que Telindus et le Client seront désignés ci-après individuellement Partie ou les Parties; et les Services auront la signification et le périmètre défini dans le Contrat de Service ;
Attendu que par la présente, les Parties souhaitent modifier les termes et conditions relatifs au Contrat de Service en relation avec les données à caractère personnel ;
Les Parties conviennent ce qui suit:
1. Définitions
“Matériel Client” désigne toute information commerciale, document et donnée quelconque susceptible d’être communiqués par le Client au Prestataire eu égard à la fourniture des Services, entre autres, tout support, donnée ou document que le Client transmet au Prestataire, qui est obtenu au nom du Client aux fins des Services, ou qui est stocké par le Client dans l’infrastructure du Prestataire pendant l’utilisation des Services.
Afin d’éviter toute ambiguïté, les données du système informatique du Prestataire qui ne sont pas dans le contexte du Client, tout document préparé par le Prestataire dans le cadre des Services (y compris, mais sans s'y limiter, l'infrastructure et le flux d'applications ne font pas partie du Matériel
du Client). Tout fichier de configuration sera considéré comme du Matériel du Client (c’est-à-dire exportations brutes de données techniques).
"Loi sur la Protection des Données" : la loi luxembourgeoise du 30 mai 2005 relative à la vie privée dans le secteur des communications électroniques, telle que modifiée ou remplacée de temps à autre, le Règlement général sur la protection des données (UE) 2016/679 (RGPD), tel que modifié, remplacé ou abrogé de temps à autre, et toutes les autres lois et réglementations, lignes directrices et normes de l'industrie (dans la mesure applicable) relatives au traitement des données personnelles et à la vie privée applicables à Telindus et/ou au Client de temps à autre.
Les notions de Données à caractère personnel, de Traitement des données à caractère personnel (ainsi que ceux de « Responsable de traitement » et « Sous-Traitant ») sont interprétés au sens du Règlement (UE) 2016/679 général sur la protection des données (ci-après dénommé le « RGPD »), de ses textes d’applications ou de remplacement.
Dans le cadre du Contrat de Service et, plus particulièrement, de la fourniture des Services, sauf prévision contraire spécifique prévue au Contrat de Service, le Client est considéré en tant que Responsable du traitement, et le Prestataire, en tant que Sous-Traitant.
2. Intégrité du Matériel Client
Le Client veille en permanence à utiliser les Services et le Matériel Client en conformité avec ses politiques en matière de vie privée ainsi qu’avec la Loi sur la Protection des Données. Le Client est seul responsable de la précision, la teneur et la légalité du Matériel Client. Ce dernier déclare et garantit au Prestataire (et indemnise ce dernier en cas de violation desdites déclarations et garanties, ou en cas de réclamation d’une partie tierce) jouir de suffisamment de droits sur le Matériel Client pour permettre au Prestataire de les traiter, les distribuer et/ou les publier de la manière envisagée dans les présentes et dans le cadre du fonctionnement des Services, et que ledit Matériel Client ne saurait porter atteinte aux droits des tiers, ni leur utilisation prévue en vertu du Contrat, enfreindre un(e) quelconque loi, ou règlement applicable.
Les Données à caractère personnel du Client sont conservées par le Prestataire et restituées par la suite au Client ou détruites, conformément aux stipulations de l’Annexe du présent Avenant (Détails relatifs aux Données à caractère personnel) et/ou aux documents contenant les instructions du Client transmis au Prestataire et agrées par ce dernier, et au plus tard, à la fin du Contrat de Service, en accord le cas échéant et si applicable, avec la clause de réversibilité.
3. Droits sur le Matériel Client
Dans le cadre du Contrat de Service, le Client conserve l’ensemble des droits, titres et intérêts (y compris tout droit de propriété intellectuelle) relatifs au Matériel Client communiqué au Prestataire. Sous réserve des stipulations du présent Contrat, le Client octroie au Prestataire, en vertu des présentes, un droit non exclusif, mondial et exempt de redevance relatif à l’utilisation, la copie, le stockage, la transmission, la modification et la publication du Matériel Client, ainsi qu’à la création d’œuvres dérivées dans la mesure nécessaire à la fourniture des Services.
4. Obligations du Client relatives au Matériel client
Le Client (a) désigne un point de contact technique possédant les connaissances et compétences fonctionnelles appropriées en vue de collaborer avec le Prestataire au cours des Services de transition et de transformation ; b) est seul responsable de la création, de la mise à jour, de la suppression, du contrôle, de la sauvegarde et de la conservation du Matériel Client (sauf dans la mesure où ces opérations sont exclusivement exécutées par Telindus en vertu de la Description de Services reprise au Contrat de Service).
5. Conditions particulières relatives au Matériel Client à caractère personnel
5.1 Instructions du Client
Le Client détermine les finalités et les moyens du Traitement des données à caractère personnel qui font partie du Matériel Client. Lesdites finalités et moyens, les opérations de Traitement des données à caractère personnel confiées au Prestataire et, le cas échéant, la nature et les différentes catégories des Données à caractère personnel concernées, sont définis à l’Annexe du présent Avenant (Détails relatifs aux Données à caractère personnel) et/ou dans les documents contenant les instructions du Client transmis au Prestataire et agrées par ce dernier.
Si le Client demande au Prestataire de lui proposer des moyens de Traitement, ces dernières sont considérées en tant que recommandations et le Client conserve à tout moment la responsabilité de la définition des moyens appropriés de traitement ainsi que sa qualité de Responsable du traitement.
Si le Client souhaite modifier les conditions du Traitement des données à caractère personnel (y compris dans la mesure nécessaire aux fins de la conformité avec la loi applicable (y compris la Loi sur la Protection des Données)), les Parties conviennent ensemble de l’avenant au Contrat de Service (ou de la modification des Services) nécessaire aux fins de ladite modification (par le biais d’une requête de modification).
5.2 Devoirs du Prestataire
Telindus s’engage à ne pas procéder à une quelconque opération de Traitement des données à caractère personnel :
i. à d’autres fins que la fourniture des Services ou l’exécution des obligations contractuelles prévues au Contrat de Services ou, des documents contenant les instructions du Client transmis au Prestataire et agrées par ce dernier ; ou
ii. sauf dans la mesure nécessaire aux fins de se conformer avec la Loi sur la Protection des Données ou autres obligations légales ou règlementaires (entres autres, les règles du secteur financier) applicables au Prestataire.
À cet égard, le Prestataire s’engage à :
- respecter la confidentialité des Données à caractère personnel, notamment à ne pas les communiquer à un quelconque tiers sans l’autorisation préalable écrite du Client, ou, par ailleurs, dans la mesure autorisée ou appliquée par les utilisateurs des Services aux conditions déterminées par le Client ;
- utiliser uniquement un personnel soumis à une obligation de confidentialité contractuelle ou légale, et veiller à ce que ses sous-traitants agissent de même ;
- consigner toute opération de Traitement des Données à caractère personnel réalisée dans le cadre de la fourniture des Services ;
- mettre en œuvre et maintenir à tout moment pendant la durée du Traitement des données à caractère personnel, les mesures d’ordre technique et organisationnel appropriées au vu de la nature du Traitement des données à caractère personnel et des risques associés, en vue de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes utilisés aux fins du Traitement des données à caractère personnel. Le Client, après examen et obtention auprès du Prestataire des informations complémentaires jugées nécessaires, considère, en vertu des présentes, lesdites mesures comme appropriées et adaptées à la nature, au volume et à la sensibilité des Données à caractère personnel qu’il prévoit d’inclure dans le Matériel Client et qui seront traitées lors des Services. Toute demande de modification de ces mesures fera l’objet d’un avenant au Contrat de Services.
- ne pas transférer les Données à caractère personnel en dehors de l’Union européenne/EEE sans l’autorisation préalable écrite du Client (laquelle peut être communiquée simplement par email de la part du directeur de projet du Client), ou, par ailleurs, dans la mesure autorisée ou appliquée par les utilisateurs des Services aux conditions déterminées par le Client.
5.3 Sous-traitance
Le Client accorde par les présentes au moyen d’une autorisation écrite générique au Prestataire le fait de faire appel à des sous-traitants pour le traitement des données à caractère personnel (i) dans la mesure nécessaire pour permettre au Prestataire de remplir ses obligations contractuelles au titre du Contrat de Services et (ii) dans la mesure où le Prestataire reste responsable de tout acte ou omission de ses sous-traitants comme s'il était effectué par le Prestataire. La liste des sous-traitants en charge du traitement de Données à caractère personnel est disponible sur demande.
5.4 Analyse des risques
Afin de permettre au Client de tester, évaluer régulièrement l'efficacité des mesures techniques et organisationnelles du Service pour assurer la sécurité du Traitement des Données à caractère Personnel et des Données à caractère Personnel, le Client peut demander au Prestataire ou mandater un tiers indépendant (non concurrent direct du Prestataire, et soumis à un accord de confidentialité) d’effectuer une analyse de risque tenant compte de la sensibilité du Traitement, des Données à caractère Personnel et des risques de destruction accidentelle ou frauduleuse, de perte, de modification ou d'accès non autorisé aux Données Personnelles ou de divulgation des Données à caractère Personnel.
Le Prestataire peut facturer au Client l'ensemble des frais et dépenses y afférents.
Si cela n'est pas encore prévu dans le Contrat de Services, le Client peut demander au Prestataire d'analyser les vulnérabilités ou les risques (réels ou potentiels), ainsi que les contre-mesures à mettre en œuvre sur les Services. Ces analyses et travaux connexes feront l'objet d'une demande de modification et seront facturés au Client.
5.5 Assistance du Sous-Traitant au Responsable de traitement
Le Prestataire s'engage à assister le Client au mieux de ses capacités pour l'assister :
i. sur le respect des exigences légales ou réglementaires en matière de protection des données personnelles applicables au Client ou au traitement des données effectué par le
biais de l'utilisation des Services (telles que les études d'impact sur la protection des données);
ii. en cas de réclamations, demandes ou exercice de leurs droits par les personnes concernées quant à leurs données à caractère personnel (en particulier droit d'accès, de rectification, d'effacement, de limitation du traitement ou de portabilité des données) ;
iii. sur les demandes d'information du Client quant aux conditions de traitement des données ou les incidents qui y sont liés; et
iv. sur les demandes des auditeurs du Client pour des audits ou des inspections, sous réserve des conditions prévues au Contrat de Service.
Tout travail effectué par le Prestataire ou ses sous-traitants dans le respect de la présente clause 5.5 peut être facturé au Client.
5.6 Information au Client
Le Prestataire s’engage à informer le Client:
- dans les meilleurs délais après avoir pris connaissance d'une violation des données à caractère personnel (accès ou divulgation non autorisée ou permise par le Client) ; et
- immédiatement si le Prestataire constate que les instructions ou le traitement des données d'un Client semblent violer les dispositions légales ou réglementaires applicables en matière de protection des données personnelles.
5.7 Coordonnées de contact
En cas de questions et/ou de notifications relatives aux données à caractère personnel, les personnes de contact sont les suivantes:
Pour le Prestataire:
- Par courrier, à l’adresse : Proximus Luxembourg S.A. / DPO - 00, xxx xx Xxxxx Xxxxxx, Zone d’activité de Bourmicht, L-8070 Bertrange ;
- Ou par courriel à l’adresse xxx@xxxxxxxx.xx.
Pour le Client: tel que repris dans l’Annexe du présent Avenant (Détails relatifs aux Données à caractère personnel)
Tout changement concernant ces personnes de contact sera notifié à l'autre partie par courrier recommandé.
6. Divers
Les Parties s'engagent à respecter toutes les obligations qui leur sont imposées par la Loi sur la Protection des Données.
Les titres du présent Avenant ne sont donnés qu'à titre de référence et n'ont aucun effet juridique. Tous les autres termes et conditions du Contrat de Service restent valables.
La page de signature suit
Le présent Avenant entre en vigueur à la signature des parties et a été émise en double exemplaire alors que chaque Partie en a reçu un exemplaire.
Fait en deux copies, chacune étant valable,
Proximus Luxembourg S.A. Fait à Strassen, Date : | «Nom_de_la_société» [Merci de rajouter le cachet officiel du Client + Nom et titre du(des) représentant(s) légal(aux) + signature] Lu et approuvé, Date: |
Xxxxxxxxx Xxxx Directeur Commercial & Marketing Xxxxxx Xxxxxx Directeur Général et Administrateur-délégué | |
Annexe à l’Avenant du Contrat de Service (Contrat relatif au traitement des données à caractère personnel) - Détails relatifs aux Données à caractère personnel
1. Catégories des Données
Sauf mention contraire ci-dessous ou dans le Contrat de Service, les catégories de Données concernera la catégorie de données suivante:
[Remplir s'il y a lieu] .......................................
2. Catégories des personnes concernées
Sauf mention contraire ci-dessous ou dans le Contrat de Service, les catégories de personnes concernées sera relative à:
[Remplir s'il y a lieu] ....................................
3. Nature, finalité, moyens des Traitements de Données
Sauf mention contraire ci-dessous, dans le Contrat de Service ou d'autres instructions écrites du Client, la nature, la finalité et les moyens du traitement des Données à effectuer par le Prestataire sont décrits dans le Contrat.
[Remplir s'il y a lieu] …………………….
4. Conservation des données
Sauf mention contraire ci-dessous, dans le Contrat de Service ou toute autre instruction écrite du Client, les Données seront conservées par le Prestataire pendant la durée requise par le Prestataire pour l'exécution des Services.
[Remplir si il y a lieu] ……………….
5. Contact chez le Client en cas de question relative aux Données à caractère personnel
Sauf indication contraire ci-dessous, dans le Contrat de Service ou dans les instructions écrites du Client, la personne de Contact du Client est la personne de Contact identifiée dans le Contrat de Service.
[Remplir si il y a lieu] ……………….