CONTRAT DE SOUS-TRAITANCE
CONTRAT DE SOUS-TRAITANCE
ENTRE
[NOM PHARMACIEN-TITULAIRE], pharmacien-titulaire de la pharmacie [NOM DE L’ENTREPRISE] ayant son siège social à [LIEU], inscrit auprès de la Banque Carrefour des entreprises sous le numéro [NUMÉRO], avec le numéro matricule [NUMÉRO APB], ci-après dénommé le « Responsable du traitement ».
ET
[NOM DE L’ENTREPRISE] ayant son siège social à [LIEU], inscrit auprès de la Banque Carrefour des entreprises sous le numéro [NUMÉRO], représentée valablement par [NOM], ci-après dénommé « Le Sous-traitant ».
Chacune appelée individuellement ci-après « la Partie » et collectivement « les Parties »,
IL EST DECLARÉ CE QUI SUIT :
1. Ce contrat concerne le traitement de Données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement et contient le cadre contractuel tel que requis par l'article 28 du RGDP.
2. Les Données à caractère personnel sont traitées de la façon suivante :
[Vous devez décrire en termes généraux ce que vous faites avec les données (collecte, enregistrement, organisation, structure, conservation, mise à jour, modification, utilisation, transmission, combinaison, effacement, ...).]
3. Les Données à caractère personnel sont traitées pour les finalités suivantes (supprimer ce qui
ne s’applique pas) :
Administration du personnel et des intérimaires, administration des salaires, gestion du personnel et des intérimaires, planification du travail, contrôle sur le lieu de travail, gestion des clients, lutte contre la fraude et des infractions des clients, gestion des conflits, gestion des fournisseurs, comptabilité, collecte de cadeaux, relations publiques, communication de données uniquement pour conclure un contrat, informations techniques et commerciales, enregistrement et administration des actionnaires ou des partenaires, administration des membres, sécurité, contrôle d'accès, protéger la société, votre propre secteur ou organisation.
4. Le Sous-traitant traitera le type de Données à caractère personnel au profit du Responsable du traitement comme indiqué dans l'Annexe 1 de ce contrat.
5. Il s’agit les catégories de personnes concernées (s upprimer ce qui ne s’applique pas) :
Clients, patients, employés, membres de la famille des employés, fournisseurs de services indépendants, fournisseurs, délégués, les personnes de contact, les représentants d'entreprises, autres.
6. Aux fins du présent contrat, on entend par « Données à caractère personnel » les données désignées comme tels dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – ci-après dénommé
« RGDP »).
IL EST CONVENU CE QUI SUIT :
Article 1 – Obligations du Sous-traitant
1.1. Le Sous-traitant agit exclusivement sur ordre du Responsable du traitement, à partir des instructions écrites et du présent contrat.
Si le Sous-traitant ne peut pas suivre la réglementation ou les instructions du Responsable du traitement pour quelque raison que ce soit, il accepte d’en informer dans les meilleurs délais le Responsable du traitement, auquel cas le Responsable du traitement a le droit de suspendre le transfert de données et/ou de résilier le contrat.
1.2. Pour garantir les droits et les libertés des personnes physiques, le Sous-traitant s’engage, compte tenu des mesures techniques et organisationnelles ainsi que de la nature, de la taille, du contexte, des finalités de traitement et des divers risques dont le niveau de probabilité et de gravité varie, à prendre et à continuer à prendre des mesures de sécurité organisationnelles pour assurer un niveau de sécurité adapté au risque. Ces mesures sont précisées dans l'Annexe 2 du présent contrat.
1.3. Le Sous-traitant veille à ce que les personnes à son service autorisées à traiter les Données à caractère personnel s'engagent à respecter la confidentialité de ces Données à caractère personnel.
1.4. Le Sous-traitant garantit que, compte tenu de la nature du traitement, et des mesures techniques et organisationnelles appropriées, il aidera autant que possible le Responsable du traitement à s'acquitter de ses obligations en vertu du Chapitre III « Droits de la personne concernée » du RGDP.
Dans ce cadre, le Sous-traitant informera immédiatement le Responsable du traitement de toute demande directe émanant d'une personne concernée, sans répondre lui-même à la demande, sauf s’il en a reçu une autorisation ou s’il en a été mandaté par le Responsable du traitement.
1.5. Le Sous-traitant garantit que, compte tenu de la nature du traitement des données et des informations dont il dispose, il assistera le Responsable du traitement des données dans le respect des obligations relatives à la sécurité des Données à caractère personnel telles que décrites aux articles 32 à 34 du RGDP, dans l’analyse de l'impact relatif à la protection des données telle que décrite à l'article 35 du RGDP et dans la consultation préalable telle que décrite à l'article 36 du RGDP.
1.6. Le Sous-traitant garantit qu'il ne transmettra pas de Données à caractère personnel ou ne les rendra pas disponibles ou accessibles à des pays ou à des organisations internationales en dehors de l'Espace économique européen, à moins qu'il n'ait reçu des instructions du Responsable du traitement en ce sens.
1.7. Le Sous-traitant ne conservera pas les Données à caractère personnel plus longtemps que nécessaire pour l'exécution de ce contrat. Une fois les services de traitement terminés, le Sous- traitant selon le choix du Responsable du traitement supprime les données personnelles ou les renvoie au Responsable du traitement.
Le Sous-traitant détruira également les copies existantes des Données à caractère personnel. À la demande du Responsable du traitement, le Sous-traitant confirmera la suppression de toutes les copies des Données à caractère personnel.
Si la conservation des Données à caractère personnel est obligatoire en vertu d’une loi ou de règlements, le Sous-traitant en informera le Responsable du traitement, sauf si cette loi ou ces règlements interdisent cette divulgation.
1.8. Le Sous-traitant déclare expressément qu'il ne transfèrera pas à un tiers les données à caractère personnel reçues du Responsable du traitement ni aucune information y relative, qu'il n'utilisera pas et ne traitera jamais les Données à caractère personnel pour ses propres besoins ou finalités et qu'il ne les copiera pas (sauf si ceci est strictement nécessaire à la mise en œuvre de ce contrat).
Article 2 – Aucun transfert de droits ou sous-traitance
2.1 Le Sous-traitant n'a pas le droit de céder ou de transférer à un tiers quelque droit et/ou obligation en vertu du présent contrat sans le consentement écrit préalable du Responsable du traitement.
2.2. Le Sous-traitant ne confie pas ses engagements à un autre sous-traitant (via un contrat de sous- traitance) pour l'exécution de tout ou partie de ce contrat sans le consentement écrit et préalable du Responsable du traitement.
2.3 Cependant, le consentement écrit du Responsable du traitement mentionné aux points 2.1 et 2.2 est considéré comme généralement accordé. Cela signifie que le Sous-traitant informe le Responsable du traitement de tout changement qu'il a l'intention de faire concernant au niveau de la gestion des données ou de l'ajout ou du remplacement d’un Sous-traitant . Le Responsable du traitement a la possibilité de s'opposer à ces changements.
2.4 Le Sous-traitant ne peut être exempté de ses obligations en vertu du présent contrat en concluant un contrat de sous-traitance pour l'exécution de toute partie de ce contrat. Les services de traitement par le Sous-traitant doivent être exécutés dans le cadre du présent contrat. Sur simple demande du Responsable du traitement, le Sous-traitant doit immédiatement lui fournir une copie de tout contrat de sous-traitance, à l'exception, le cas échéant, de l'arrangement financier entre le Sous-traitant et son Sous-traitant.
Article 3 - Audit
Le Sous-traitant s'engage explicitement à faciliter et à contribuer à tout audit, contrôle ou enquête, directement ou indirectement, réalisé(e) par un intermédiaire ou une organisation autorisé(e) par le Responsable du traitement afin de vérifier si le Sous-traitant remplit ses obligations.
Dans ce cas, à la demande du Responsable du traitement, le Sous-traitant transmet toutes les informations nécessaires pour démontrer que les obligations prévues à l'article 28 du RGDP sont remplies lors de l'intervention d’un sous-traitant. Ceci concerne en particulier les informations relatives au traitement de Données à caractère personnel et aux mesures garantissant leur sécurité.
Dans ce contexte, le Sous-traitant s'engage également à donner au Responsable du traitement l'accès aux locaux nécessaires au traitement des données afin d’en vérifier la conformité au présent contrat.
Article 4 - Responsabilité
4.1. Le Sous-traitant se conforme aux lois et règlements applicables en matière de protection des Données à caractère personnel. Le Sous-traitant n'est responsable des dommages causés par le traitement que si (1) les obligations qui incombent au Sous-traitant en vertu du GDPR ainsi qu’aux lois et règlements ne sont pas respectées ou (2) en dehors de ceci, le Sous-traitant n’a pas respecté les instructions du Responsable du traitement.
4.2 Le Sous-traitant indemnise le Responsable du traitement de toute demande d'un tiers suite à une violation de la réglementation applicable et/ou du présent contrat dont le Sous-traitant est responsable.
4.3 Le Sous-traitant assurera correctement de sa responsabilité. Sur demande du Responsable du traitement, le Sous-traitant transmet une copie de sa police d’assurance.
Article 5 – Durée du contrat
5.1 Ce contrat entre en vigueur le [DATE DE SIGNATURE] et est conclu [POUR UNE DURÉE INDÉTERMINÉE] OU [JUSQU'AU [DATE]]. (indiquer la date de fin de contrat avec le tiers)
5.2 (en cas de durée indéterminée) Chaque Partie peut mettre fin au présent contrat par lettre recommandée à l'autre Partie moyennant un préavis qui ne peut être inférieur à 30 jours. La notification commence à courir le premier jour du mois suivant l’envoi - le cachet de la poste sera utilisé comme preuve.
5.3 Le Responsable de traitement peut mettre fin immédiatement au contrat du Sous-traitant, sans faire appel à un tribunal, par simple notification écrite de la résiliation, si :
1) le Sous-traitant enfreint ce contrat et que cette infraction ne peut être annulée ;
2) le Sous-traitant enfreint ce contrat et cette infraction peut être annulée, mais le Sous-traitant n’est pas en mesure de rectifier l'infraction dans un délai de 30 jours après une mise en demeure écrite lui enjoignant de le faire.
3) le Sous-traitant fait faillite ou est impliqué dans un concordat ou toute autre procédure similaire.
Article 6 – Divers
6.1 Si une ou plusieurs dispositions du présent contrat sont déclarées nulles ou irréalisables, les Parties remplaceront la/les disposition(s) susmentionnée(s) par une/des disposition(s) valable(s) et réalisable(s) qui respecte(nt) autant que possible les objectifs économiques, commerciaux ou autres. Les autres dispositions de ce contrat restent en vigueur.
6.3 Le simple fait qu'une Partie n'insiste pas sur le strict respect d'une disposition du contrat ou qu’elle ne l'applique pas, ne peut être interprété comme une renonciation aux droits de cette Partie sauf confirmation écrite de sa part de cette renonciation.
Article 7 – Droit applicable et tribunaux
Cette convention est régie par le droit belge.
Tous les litiges relatifs à l'application de la présente convention sont soumis au tribunal compétent dans l’arrondissement de [LIEU DU SIÈGE SOCIAL OÙ LE RESPONSABLE DU TRAITEMENT EST ÉTABLI].
Fait à [LIEU], le [DATE] en 2 exemplaires, chaque Partie reconnaissant avoir reçu un exemplaire.
(signature) (signature)
Le Responsable du traitement, Le Sous-traitant
[NOM TITULAIRE] [NOM]
Pharmacien-titulaire [FONCTION]
Annexe 1 : Catégories de données à caractère personnel Annexe 2 : Mesures de sécurité et données de contact du DPO
Annexe 1 : Catégories de données à caractère personnel
données d'identification | données d'identification personnelles | |
données d'identification électroniques | ||
données financières détaillées | données d'identifications financières | |
informations détaillées concernant les assurances | ||
transactions financières | ||
activités professionnelles de la personne concernée | ||
caractéristique s personnelles | informations détaillées personnelles | âge, sexe, date de naissance, lieu de naissance, état civil, nationalité |
données physiques | description physique | |
habitutes de vie | habitudes | consommation de tabac, consommation d'alcool |
style de vie | détails concernant la consommation de biens ou de services | |
détails concernant les voyages et déplacements | séjours et déplacements antérieurs , visa de voyage | |
contacts sociaux | amis, partenaires | |
plaintes, incidents ou accidents | nature du dommage, blessures, personne impliquée, témoins | |
données psychiques | opinions sur la personnalité ou le caractère | |
composition de la famille | situation familiale | nom du partenaire, date du mariage ou du contrat de vie commune, nombre d'enfants enfants, personnes à charge, autres membres de la famille, parents de la même lignée, parents et descendants |
détails concernant les autres membres de la famille proche et large | ||
données concernant la santé | santé physique | |
santé mentale | ||
situations à risque et comportements | ||
données génétiques dans le cadre de la recherche | ||
données liées aux soins | ||
numéro de registre national | ||
données sur la vie sexuelle |
Annexe 2 : Mesures de sécurité et données de contact du DPO
1. Les mesures techniques et organisationnelles nécessaires conformément à l'article 1.2 du contrat sont énumérées ci-dessous:
[COMPLETER avec une ou plusieurs mentions de la liste ci-dessous
Politique de sécurité
Organisation de la sécurité de l'information
Nomination d'un délégué à la protection des données / consultant en sécurité / point de contact Exigences de sécurité pour les employés internes
Exigences de sécurité pour les employés externes
Gestion des biens de l’entreprise Sécurité d'accès
Cryptographie
Sécurité physique et sécurité de l'environnement: tels que les armoires fermées, les espaces, ... Sécurité opérationnelle
Sécurité de la communication
Achat, développement et maintenance de systèmes d'information Relations avec les fournisseurs et les délégués
Gestion des incidents de sécurité de l'information Gestion de la continuité
Conformité et compliance
Infractions relatives aux données: Procédures de notification d'informations Autre: ]
2. Les données de contact du DPO, le cas échéant, sont les suivantes :
NOM
NUMÉRO TÉLÉPHONE ADRESSE MAIL
Pour les pharmaciens d’officine, comme pour les médecins généralistes, un DPO ne devrait pas être
nécessaire étant donné qu’il ne traite pas des grands flux de données.