Contrat de sous-traitance
Vu la loi modifiée du 8 septembre 1998 réglant les relations entre l'État et les organismes œuvrant dans les domaines social, familial et thérapeutique ;
Vu la loi modifiée du 16 décembre 2008 relative à l’aide à l’enfance et à la famille ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le règlement grand-ducal du 17 août 2011
1. réglant l’organisation et le fonctionnement de l’Office national de l’enfance, et
2. modifiant le règlement grand-ducal modifié du 7 juin 1979 déterminant les actes, documents et fichiers autorisés à utiliser le numéro d’identité des personnes physiques et morales ;
Vu le règlement grand-ducal du 17 août 2011 concernant l’agrément à accorder aux gestionnaires d’activités pour enfants, jeunes adultes et familles en détresse ;
Vu le règlement grand-ducal modifié du 17 août 2011 précisant le financement des mesures d’aide sociale à l’enfance et à la famille ;
Vu le règlement grand-ducal du 17 août 2011 réglant l’organisation et le fonctionnement du Conseil Supérieur de l’aide à l’enfance et à la famille ;
Vu le règlement grand-ducal du 29 janvier 2013 modifiant le règlement grand-ducal du 17 août 2011 précisant le financement des mesures d’aide sociale à l’enfance et à la famille.
Entre
L’Office national de l’Enfance (ONE), 0-0, xxx Xxxxxxx Xxxxxxx x X - 0000 Xxxxxxxxxx, représenté par le ministre ayant l’Education nationale, l’Enfance et la Jeunesse dans ses attributions, ci-après dénommé « Responsable de traitement » ;
d'une part, ET
_ (Nom), dont le siège social est sis à
(Adresse), représenté par
(Nom du représentant),
(fonction du représentant du prestataire) (ci-après, le « Sous-traitant ») d’autre part,
Ci-après dénommées conjointement les « Parties ».
Est conclu le contrat de sous-traitance en application de l’article 28 point 3 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, règlement, applicable à compter du 25 mai 2018 (ci-après, le « RGPD »)
I. Objet
Le présent contrat a pour objet de définir les droit et les obligations du sous-traitant à l’égard du responsable du traitement dans le cadre des traitements des données à caractère personnel à effectuer dans le cadre de la loi du 16 décembre 2008 relative à l’aide à l’enfance et à la famille pour les besoins des services énumérés à l’annexe 1er, ci-après appelé par le terme « contrat »
L’annexe I fait partie intégrante du présent contrat.
Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le RGPD.
II. Description du traitement faisant l’objet de la sous-traitance
On entend par traitement, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destructions de données à caractère personnel entre l’Office national de l’enfance, en tant que Responsable de traitement, et le Sous-traitant. Le traitement de ces données est fondé sur la mission légale de l’Office national de l’enfance et sur la mission de service public confiée aux prestataires de l’aide à l’enfance et à la famille dans le cadre de la loi modifiée du 16 décembre 2008 relative à l’aide à l’enfance et à la famille et de ses règlements d’exécution, ainsi que sur les conventions signées entre l’État et le Sous-traitant. Le traitement des données à caractère personnel dans le cadre du présent contrat est encore fondé sur les textes légaux et réglementaires.
Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement, les données à caractère personnel nécessaires pour fournir le ou les service(s) énumérés à l’annexe 1 du contrat.
Seules les données à caractère personnel collectées par le Sous-traitant et prévues par la convention-cadre signée entre l’État et le Sous-traitant sont visées par le présent contrat de sous-traitance.
Le Sous-traitant est libre de collecter et traiter toutes autres données nécessaires pour déterminer, évaluer, améliorer et fournir le ou les service(s) tels que décrits en Annexe 1.
III. Durée du Contrat
Le Contrat entre en vigueur à compter de la date de la signature du présent Contrat avec le Sous-traitant et prend fin à la date de la cessation de l’activité du Sous-traitant.
IV. Obligations du sous-traitant vis-à-vis du Responsable de traitement
Le Sous-traitant s'engage à :
a) ne traiter les données à caractère personnel que sur instruction documentée du responsable du traitement ou dans le but d’assurer la prestation sous-traitée, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public;
b) ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
c) prendre toutes les mesures requises en vertu de l'article 32 du RGPD (relatives à la sécurité du traitement)
d) tenir compte de la nature du traitement, aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus au chapitre III du RGPD;
e) aider le Responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité du traitement, notification à l’autorité de contrôle d’une violation de données à caractère personnel, communication à la personne concernée d’une violation de données à caractère personnel, analyse d’impact relative à la protection des données et consultation préalable), compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ;
f) mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d'audits, y compris des
inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
g) informer les personnes ayant accès aux données, conformément au présent contrat, sur les dispositions du Règlement Général sur la Protection des Données.
V. Sous-traitance ultérieure
Pour l’exécution pratique, le Sous-traitant peut conclure des contrats de sous-traitance avec des tiers.
Le Responsable du traitement marque son accord général sur le traitement en sous-traitance de données à caractère personnel par des sous-sous-traitants pour les finalités prévues au contrat de sous-traitance conclu entre le Responsable du traitement et le sous-traitant principal. Si le Sous-traitant sous-traite en partie le traitement de données à caractère personnel au nom du Responsable du traitement, le Sous-traitant le fait toujours par référence au contrat de sous-traitance initial et au moyen d’un contrat écrit avec le Sous-sous- traitant imposant à ce dernier des obligations de protection de données identiques ou au moins équivalentes aux obligations imposées au Sous-traitant dans le présent contrat. Si le Sous-sous-traitant ne parvient pas à remplir son obligation de protection des données en vertu d’un tel contrat écrit, le Sous-traitant restera entièrement responsable vis-à-vis du Responsable du traitement pour le respect de ces obligations.
Le Sous-traitant est tenu d’informer par écrit le Responsable de traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres Sous-traitants.
Le fait que le Sous-traitant confie ses engagements en tout ou partie à des tiers ne le dégage pas de sa responsabilité vis-à-vis du Responsable du traitement. Ce dernier ne reconnaît aucune relation contractuelle avec ces tiers.
Toutes les obligations qui sont imposées au Sous-traitant le sont également à chacun de ses travailleurs ou fournisseurs pour les services qui les concernent. Le Sous-traitant imposera particulièrement à ses travailleurs ou fournisseurs l’obligation de confidentialité reposant sur lui. Il conservera la preuve de leur respect de cette obligation à la disposition du Responsable du traitement.
VI. Droit d’information des personnes concernées
Sans préjudice quant aux obligations imparties au Sous-traitant au sens de l’article IV sous e), le Responsable de traitement fournit l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données auprès de la personne concernée au sens de l’article 13 du RGPD. A cette fin le Sous-traitant fournit toutes les informations y relatives au responsable de traitement.
VII. Exercice des droits des personnes
Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d’exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à xxx@xxx.xx adressé à
Le délégué à la protection des données
Ministère de l’Éducation nationale, de l’Enfance et de la Jeunesse L - 2926 Luxembourg
VIII. Notification des violations de données à caractère personnel
Le Sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures après en avoir pris connaissance par courrier électronique à xxx@xxx.xx adressé à
Le délégué à la protection des données
Ministère de l’Éducation nationale, de l’Enfance et de la Jeunesse L - 2926 Luxembourg
Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation dans les meilleurs délais à l’autorité de contrôle compétente et/ou aux personnes concernées.
IX. Sort des dossiers administratifs
Avant la cessation des activités par le Sous-traitant et au cas où les données faisant partie du dossier administratif de l’administré sont hébergées auprès le Sous-traitant, ce dernier est tenu de les renvoyer au responsable de traitement.
Lorsque la prestation de services impliquant la confection d’un dossier administratif est terminée, le Sous-traitant s’engage à renvoyer ce dossier au Responsable de traitement.
Le renvoi du dossier par le Sous-traitant au Responsable de traitement doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier de la destruction du dossier, par écrit à adresser au Responsable de traitement.
Les documents comptables doivent être conservés pendant dix ans à partir de la clôture de l'exercice auquel ils se rapportent (article 16 du code de commerce).
X. Délégué à la protection des données
Le délégué à la protection des données du Sous-traitant est :
_
_
(Nom et prénom du DPO du Sous-traitant), (adresse email et n° de téléphone du DPO du Sous-traitant).
XI : Notification de fuites de données
En cas de violation des données à caractère personnel, le Sous-traitant notifie la violation en question, au plus tard 24 heures après la constatation de la violation au Responsable du traitement. De plus, le Sous-traitant prendra toutes les mesures raisonnablement nécessaires pour prévenir ou limiter toute (violation des mesures de sécurité.
Afin de permettre au Responsable de traitement de notifier la violation en question à l’autorité de contrôle compétente, le Sous-traitant indiquera au moins les éléments suivants dans sa communication au Responsable de traitement :
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
b) moment de la constatation ;
c) moment où l’incident a pris fin ;
d) décrire les conséquences probables de la violation de données à caractère personnel;
e) décrire les mesures prises ou que le sous-traitant propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
XII. Registre des catégories d’activités de traitement
Le Sous-traitant tient un registre des activités de traitement qu’il effectue pour le compte du Responsable de traitement et met ce registre à la disposition de l'autorité de contrôle ou du Responsable de traitement, sur demande.
XIII. Documentation
Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.
XIV. Obligations du Responsable de traitement vis-à-vis du Sous-traitant
Le Responsable de traitement s’engage à :
1. fournir au Sous-traitant les données visées à l’Annexe 1 ;
2. documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant ;
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.
XV. Divers
Si une disposition du Contrat est jugée illégale, invalide ou inapplicable, en tout ou en partie, la disposition sera réputée ne pas faire partie du Contrat et la légalité, la validité ou l'applicabilité de ce contrat n’en sera pas affectée.
Dans ce cas ou en cas de mention légalement manquante, chaque Partie s’engage à négocier immédiatement de bonne foi une nouvelle disposition valable ayant un effet économique équivalent à celui de la disposition non applicable ou manquante.
Le Contrat est soumis à et interprété conformément à la législation luxembourgeoise applicable. Tout litige découlant de ou en relation avec le Contrat sera soumis à la juridiction exclusive des tribunaux de Luxembourg s’il n’a pas pu être réglé préalablement à l’amiable.
Fait à _, le , en deux exemplaires originaux, chacune des Parties reconnaissant avoir reçu le sien.
A u nom du Responsable de traitement Au nom du Sous-traitant
Nom : XXXXXXXX Xxxxxx Nom :
Fonction : Conseiller Fonction :
Adresse : 0-0 xxx Xxxxxxx Xxxxxxx Adresse : X-0000 Xxxxxxxxxx
Signature : ………………………………………. Signature ……………………………………….
ANNEXE 1 – Description du traitement faisant l’objet de la sous-traitance
I. Le Sous-traitant est autorisé à traiter et à collecter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) ou réaliser la ou les finalités suivantes (« mesures d’aide ») :
Placement institutionnel ou l’accueil socio-éducatif de jour et de nuit ;
Placement familial ou l’accueil socio-éducatif en famille d’accueil (jour et nuit, journée entière ou demi- journée) ;
Aide socio-familiale en famille ;
Assistance psychique, sociale ou éducative en famille ;
Consultation psychologique, psycho-affective, psychothérapeutique ou psychotraumatologique ;
Exploration du milieu familial, diagnostic détaillé avec rapport détaillé à la demande de l’ONE ;
Interventions d’orthopédagogie précoce, de psychomotricité, de logopédie ou d’orthophonie ;
Soutien psychosocial par l’expression corporelle, artistique et artisanale ou par le contact dirigé avec des animaux ou l’environnement ;
Assistance aux prestataires ;
Mesures d’orientation, de coordination et d’évaluation des mesures développées au bénéfice d’un même enfant, de sa famille ou du jeune adulte ;
Toute autre mesure d’aide à l’enfance et à la famille introduite ultérieurement par une Loi ou un Règlement grand-ducal.
II. La nature des opérations réalisées sur les données est la collecte, l’hébergement, l’analyse, et les transferts des données requises pour l’exécution, l’amélioration ou l’évolution des missions énumérées ci-avant.
III. Les données à caractère personnel traitées sont l’ensemble des données requises pour exécuter les missions énumérées ci-avant.
Il peut notamment s’agir de données d’identification (nom, prénom, matricule, biométrie), de données médicales, psychologiques, génétiques, scolaires, familiales, sociales, d’évaluations comportementales et/ou d’éventuelles données à caractère judiciaire.
IV. Les catégories de personnes concernées sont les personnes visées à l’article 1er de la Loi du 16 décembre 2008 relative à l’aide à l’enfance et à la famille ainsi que, pour autant que de besoin, les données relatives à leur entourage familial, social, scolaire et professionnel.
On entend :
par «enfants», en reprenant la définition de la Convention relative aux droits de l’enfant, adoptée par l’Assemblée générale des Nations Unies le 20 novembre 1989, les mineurs de moins de dix-huit ans ;
par «jeunes adultes», les personnes âgées au moins de dix-huit ans accomplis et de moins de vingt-sept ans ;
par personnes «en détresse», des enfants ou des jeunes adultes des deux sexes qui soit sont menacés dans leur développement physique, mental, psychique ou social, soit courent un danger physique ou moral, soit risquent l’exclusion sociale et professionnelle.
V. Pour l’exécution du service, objet du Contrat, le Responsable de traitement met à la disposition du Sous- traitant les informations nécessaires suivantes :
le nom, le prénom et l’adresse de la personne mineure ou du jeune adulte concerné ;
la nature, la date de début et la date de fin des prestations à réalise.