CONTRAT RELATIF AUX TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
CONTRAT RELATIF AUX TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL
Entre
…………………………………………., société enregistrée selon les lois de ………….., ayant son siège social à [adresse du siège social], inscrite au registre du commerce et des sociétés de sous
le numéro …………………...
– ci-dessous le “Responsable de Traitement”– Et
Proximus Luxembourg S.A., société anonyme de droit luxembourgeois, ayant son siège social au Grand- Duché de Luxembourg, 18, rue du Puits Romain, L-8070 Bertrange, et enregistrée au Registre de Commerce et des Sociétés de Luxembourg sous le numéro B19.669.
–le “Sous-Traitant”–
Le Responsable de Traitement et le Sous-Traitant seront désignés ci-après individuellement comme "Partie" et collectivement comme les "Parties".
1. DEFINITIONS
“Lois sur la protection des données”: le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("RGPD") et toutes les autres lois nationales et réglementations, lignes directrices et guidances relatives au traitement de données à caractère personnel, applicables au Responsable de Traitement et au Sous-Traitant, même si celles-ci sont promulguées après l’entrée en vigueur de ce contrat.
Dans le présent contrat, les termes commençant par une majuscule et toute autre expression utilisés auront la signification qui leur est donnée dans l'article 4 du RGPD.
2. OBJET DU CONTRAT
(1) Le Sous-Traitant fournit des services au Responsable de Traitement, soit sous la forme d'une offre, d'un bon de commande ou d'un accord écrit, signé entre les Parties (ci-après « Contrat principal »).
(2) Le Sous-Traitant est autorisé, sur la base des instructions fournies par le Responsable de Traitement, à traiter les Données à caractère personnel conformément aux Lois applicables sur la protection des données.
(3) Le présent Contrat fait partie intégrante de toutes les relations commerciales et contractuelles entre le Sous-Traitant et le Responsable de Traitement.
(4) Il est convenu entre les Parties que, dans le cadre du présent Contrat, le Sous-Traitant et le Responsable de Traitement traiteront certaines données personnelles de leurs employés et/ou représentants respectifs, dans lequel cadre chaque Partie agira en tant que Responsable de Traitement (au sens du RGPD).
3. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT
(1) Le Responsable de Traitement et le Sous-Traitant sont individuellement responsables du respect de toutes les Lois sur la protection des données;
(2) La conformité des activités de traitement à l’égard des Lois sur la protection des données incombe au premier chef, au Responsable de Traitement.
(3) Le Responsable de Traitement est responsable de:
- Fournir au Sous-Traitant les instructions appropriées, spécifiées à l'annexe 1 du présent Contrat ;
- Tenir un Registre des traitements effectués sous sa responsabilité ;
- Mettre en œuvre, revoir et mettre à jour, soit directement, soit par l'intermédiaire de ses prestataires de services, les mesures techniques et organisationnelles appropriées pour assurer un niveau adéquat de protection des données à caractère personnel.
4. OBLIGATIONS DU SOUS-TRAITANT
(1) Le Sous-Traitant connaît les Lois sur la protection des données et a mis en place des procédures opérationnelles internes pour s'y conformer.
(2) Le Sous-Traitant ne traite les données à caractère personnel confiées par le Responsable de Traitement que conformément aux instructions du Responsable de Traitement et aux fins spécifiques décrites à l'annexe 1 du présent Contrat.
(3) Lorsque le Sous-Traitant considère que les instructions du Responsable de Traitement enfreignent les Lois sur la protection des données, il doit en informer le Responsable du Traitement dans les meilleurs délais.
(4) Le Sous-Traitant est responsable de (d’):
(A) Assurer la stricte confidentialité des données à caractère personnel et d’imposer des obligations de confidentialité, en vertu d'une obligation légale de confidentialité appropriée, à toutes les personnes autorisées à traiter les données à caractère personnel (employés, consultants, sous-traitants, etc.);
(B) Documenter de manière appropriée tout acte de traitement de données à caractère personnel effectué lors de la fourniture des services ;
(C) Assurer la sécurité des données à caractère personnel qu'il traite en mettant en œuvre des mesures techniques et organisationnelles appropriées, comme l'exige l'article 32 du RGPD ou toute autre Loi applicable sur la protection des données et en tenant compte de l'état de l'art, des normes appropriées, des coûts de mise en œuvre tels que décrits plus en détail dans le Contrat principal en ce qui concerne les services fournis par le Sous-Traitant et la nature et les risques associés au traitement des données à caractère personnel;
(D) Assister le Responsable de Traitement à remplir ses obligations de réponse aux demandes des Personnes Concernées. Pour éviter toute ambiguïté, le Sous-Traitant ne répondra pas lui- même aux demandes de la Personne Concernée, sauf si la loi applicable l'exige expressément
;
(E) Informer le Responsable de Traitement de toute violation des données à caractère personnel dans les meilleurs délais.
Tout travail effectué par le Sous-Traitant ou les sous-traitants de ce dernier, conformément à la clause 4
(C) et (D) pourra être facturé au Responsable de Traitement.
5. RECRUTEMENT D’UN SOUS-TRAITANT
(1) Le Responsable de Traitement accorde par la présente une autorisation écrite générique au Sous- traitant pour le traitement des données à caractère personnel (i) dans la mesure nécessaire pour que le Sous-Traitant remplisse ses obligations contractuelles en vertu du présent Contrat (ii) dans la mesure où le Sous-Traitant reste responsable de tout acte ou omission de ses Sous-Traitants comme s'il était effectué par le Sous-Traitant lui-même. La liste des Sous-Traitants traitant des données à caractère personnel est disponible sur demande.
(2) Lorsque le Sous-Traitant sous-traite ses obligations à d’autres Sous-Traitants, il le fait par le biais d'un contrat qui impose les mêmes obligations de confidentialité et de sécurité entre le Sous-Traitant et le Responsable de Traitement.
(3) Nonobstant toute autorisation du Responsable de Traitement, le Sous-Traitant reste responsable pour ses propres sous-traitants en cas de manquement de ces derniers à leurs obligations en matière de protection des données à caractère personnel.
6. TRANSFERT DES DONNES A CARACTERE PESONNEL HORS UE
Le Sous-Traitant ne doit pas transférer des données à caractère personnel en dehors de l'Union européenne ou de l'Espace économique européen vers un pays ou une organisation qui n'offre pas un niveau de protection équivalent aux standards européens, sans le consentement préalable du Responsable de Traitement ou sans que des garanties appropriées pour de tels transferts, telles que prévues par les Lois sur la protection des données, aient été mises en place (cette autorisation peut être donnée par simple courriel).
7. DROIT D’AUDIT DU RESPONSABLE DE TRAITEMENT
(1) Le Sous-Traitant doit fournir au Responsable de Traitement la documentation nécessaire pour démontrer le respect de ses obligations au titre du présent Contrat.
(2) Le Sous-Traitant s'engage à aider le Responsable de Traitement conformément aux Lois applicables sur la protection des données, en cas de demandes d'audit ou d'inspection du Responsable de Traitement, de ses auditeurs ou des autorités de contrôle. Cette assistance est soumise aux conditions d'audit déjà prévues dans la documentation contractuelle ou, si elle n'existe pas encore, aux protocoles et procédures d'audit interne du Sous-Traitant.
Le Sous-Traitant pourra facturer au Responsable de Traitement tous les coûts et dépenses raisonnables qui s'y rapportent.
8. SUPRESSION ET RESTITUTION DES DONNÉES A CARACTÈRE PERSONNEL
À l'expiration du présent Contrat, ou le cas échéant, lorsqu'aucun traitement supplémentaire n'est nécessaire, le Sous-Traitant doit, au choix du Responsable de Traitement, soit supprimer, anonymiser ou restituer toutes les données à caractère personnel, à condition qu'il n'y ait aucune obligation légale de conserver les données pendant les périodes de conservation fixées par toute loi applicable. Dans ce dernier cas, le Sous-Traitant doit assurer la confidentialité et la sécurité des données à caractère personnel.
9. DISPOSITIONS FINALES
(1) Le présent Contrat remplace toute disposition du Contrat principal dans la mesure où cette disposition concerne la vie privée, la confidentialité ou la sécurité des données à caractère personnel.
(2) Toute modification, amendement et complément au présent Contrat doit être fait par écrit entre les Parties.
(3) Si une disposition du présent Contrat devient inapplicable, cela n'affecte pas la validité ou le caractère exécutoire de toute autre disposition du présent Contrat.
(4) Tous les autres termes et conditions du Contrat principal restent valables.
Pour Proximus Luxembourg S.A., Nom/prénom: Fonction: Date: | Pour , Nom/prénom: Fonction: Date: |
Nom/prénom: Fonction: Date: |
ANNEXE 1: DONN ES A CARACTÈRE PERSONNEL
[A COMPLÉTER PAR LE RESPONSABLE DE TRAITEMENT]
1. Catégories de Données à caractère personnel
CATÉGORIES DE DONNÉES | DESCRIPTION |
Données d’identification | ………………………………………………………………………. |
Données financières | ………………………………………………………………………. |
Caractéristiques personnelles | ………………………………………………………………………. |
Données physiques | ………………………………………………………………………. |
Habitudes de vie | ………………………………………………………………………. |
Données psychiques | ………………………………………………………………………. |
Composition du ménage | ……………………………………..………………………………. |
Loisirs et intérêts | ………………………………………………………………………. |
Affiliations | ………………………………………………………………………. |
Données judiciaires | ………………………………………………………………………. |
Habitudes de consommation | ………………………………………………………………………. |
Caractéristiques du logement | ………………………………………………………………………… |
Données concernant la santé | ………………………………………………………………………. |
Etudes et formation | ………………………………………………………………………. |
Profession et emploi | ………………………………………………………………………. |
Numéro de registre national | ………………………………………………………………………. |
Données raciales ou ethniques | ………………………………………………………………………. |
Données relatives au comportement sexuel | ………………………………………………………………………. |
Opinions politiques | ………………………………………………………………………. |
Affiliation à une association professionnelle | ………………………………………………………………………. |
Convictions philosophiques ou religieuses | ………………………………………………………………………. |
Enregistrement d’images | ………………………………………………………………………. |
Enregistrement de sons | ………………………………………………………………………. |
Other categories of data | ………………………………………………………………………. |
2. Catégories de Personnes Concernées
CATÉGORIES DE PERSONNES CONCERNÉES | DESCRIPTION |
………………………………………………………………………. | ………………………………………………………………………. |
………………………………………………………………………. | ………………………………………………………………………. |
………………………………………………………………………. | ………………………………………………………………………. |
3. Nature, finalité et objet du (des) traitement(s) de données à caractère personnel
L'objet et le but du traitement de données à caractère personnel sont la fourniture de biens et/ou de services par le Sous-Traitant au Responsable de Traitement en vertu de
…………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………
4. Durée de conservation
Le Responsable de Traitement doit fournir des instructions quant à la durée de conservation des données à caractère personnel.
Les données à caractère personnel traitées seront conservées pour une période de………………………………………………………………………………………………………………………
……………………………………………………………………………….
5. Informations et personnes de contact en matière de protection des données
En cas de question et/ou pour toute notification en relation avec la protection des données à caractère personnel, les personnes de contact sont :
Pour le Responsable de Traitement :
(i) Adresse postale: …………………………………………
(ii) A l’attention de: ………………………………………......
(iii) Adresse email: ……………………………………………
Pour le Sous-Traitant :
(i) Adresse postale : 00, xxx xx Xxxxx Xxxxxx, X-0000 Xxxxxxxxx, Xxxxx-Xxxxx xx Xxxxxxxxxx
(xx) A l’attention du: Département Légal & Régulatoire (DPO Office)
(iii) Adresse email : xxx@xxxxxxxx.xx
***