Politique de confidentialité en tant que sous-traitant pour nos applications
Politique de confidentialité en tant que sous-traitant pour nos applications
Convention RGPD entre :
IPSO dont le siège social est établi Rue Xxxxx Xxxxxx n°9 boîte 1 à 0000 Xxxx-Xxxxx-Xxxxxxx et représentée par Monsieur Xxxxxx Xx Xxxxxxxx et Monsieur XXXXXX Xxxxxxxx
Ci-après dénommée « le partenaire »
et « le client »
Le partenaire agit en qualité de prestataire de services pour le client. Dans le cadre de cette mission, le partenaire a accès aux données à caractère personnel du client, lequel endosse toujours la responsabilité finale en tant que responsable du traitement. Par le présent contrat de sous-traitance, les parties visent à régler les modalités et conventions relatives à ce traitement.
Article 1er – Définitions et concepts
Dans le cadre du présent contrat, les concepts ci-dessous ont le sens suivant :
RGPD : Règlement général sur la protection des données (Règlement UE 2016/679) ;
Fuite de données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;
Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») que le partenaire traite dans le cadre du présent contrat. Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Traitement : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;
Responsable du traitement : personne physique ou morale, instance publique, service ou tout autre organe qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Dans le cadre de ce contrat, le client est considéré comme responsable du traitement ;
Partenaire : personne physique ou morale, instance publique, service ou tout autre organe qui traite des données à caractère personnel pour le compte du responsable du traitement ;
Personne concernée : personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;
Convention RGPD : présent contrat de sous-traitance, en ce compris les annexes.
Article 2 – Conclusion, durée et fin du contrat de sous-traitance
Après la fin de la présente convention, les obligations de notification des fuites de données et de confidentialité seront maintenues, pour autant qu’elles concernent des données à caractère personnel traitées par le partenaire pour le compte du client.
Article 3 – Traitement des données à caractère personnel
3.1. Dans le cadre de la mission conclue entre les parties et dans le contexte du RGPD, le
client agit en qualité de responsable du traitement et themis-security agit en qualité de partenaire.
3.2. En tant que responsable du traitement au sens de l’article 4, alinéa 7 du RGPD, le client conserve le contrôle total sur ses données à caractère personnel et détermine l’objet, la nature, la finalité, les moyens et la durée du traitement des données à caractère personnel par le partenaire dans le cadre du présent contrat.
3.3. Le partenaire, au sens de l’article 4, alinéa 8 du RGPD, traite les données à caractère personnel qui lui sont confiées par et sur instruction du client dans le cadre des services dont bénéficie le client conformément au contrat de collaboration conclu entre eux.
3.4. Lors du traitement des données à caractère personnel, le partenaire et le client agissent conformément aux dispositions légales et réglementaires en matière de protection des données à caractère personnel, y compris celles du RGPD. Le fait que le client agisse également en qualité de partenaire pour un tiers responsable du traitement, n’enlève rien au contrôle et à la responsabilité du client à l’égard des données à caractère personnel dans le cadre du présent contrat.
3.5. La nature des données qui sont traitées et les finalités du traitement sont décrites à l’ANNEXE 1 du présent contrat. Le client veille en outre à ce que seules les données à caractère personnel strictement indispensables aux finalités décrites à l’annexe 1 soient fournies et qu’elles soient traitées de manière sécurisée.
Article 4 – Efforts du partenaire
4.1. Le partenaire s’efforcera raisonnablement de traiter avec toute l’attention et la loyauté requises les données à caractère personnel qui lui ont été confiées par le client et le fera en conformité exclusive avec les instructions du client telles que décrites dans le présent contrat.
4.2. Le partenaire s’engage également à traiter les données à caractère personnel en toute confidentialité.
4.3. Sauf dispositions contraires prévues par le présent contrat et sauf dispositions légales
impérieuses dans le cadre de l’exécution de sa mission, le partenaire ne traitera pas les données à caractère personnel pour ses finalités propres ou pour celles de tiers, ne les fournira pas à des tiers et ne les enverra pas dans un pays situé en dehors de l’EEE sans avoir reçu d’instructions écrites du client en ce sens. Si une disposition légale ou réglementaire s’appliquant au partenaire ou une décision obligatoire des pouvoirs publics ou d'une autorité judiciaire contraint le partenaire à un tel traitement, le client en sera notifié au préalable, sauf si cette disposition interdit une telle notification pour des raisons d’intérêt général.
Article 5 – Garanties du client
5.1. Le client garantit que ses instructions au partenaire sont conformes à la législation et à la réglementation relatives à la protection des données, qu’il applique pleinement et correctement, ainsi que moyennant les instructions qui ont été fournies par le responsable du traitement au client si ce dernier n’agit pas lui-même en qualité de responsable du traitement.
5.2. Le client garantit en outre que toutes les données à caractère personnel qui sont confiées au partenaire ont été obtenues de manière licite et peuvent être traitées en toute licéité pendant toute la durée du contrat. Le client préserve intégralement le partenaire contre toute réclamation, action ou revendication des personnes concernées, de tiers, des autorités et du responsable du traitement si le client agit lui-même en qualité de partenaire, ainsi que contre tout dommage pouvant en résulter à charge du partenaire, y compris les amendes (administratives), tant en principal qu'en intérêts et frais.
5.3. Si le partenaire venait à estimer que les instructions du client portent atteinte à la législation et à la réglementation relative à la protection des données, il serait alors tenu d’en avertir le client sans délai, le partenaire étant alors en droit de décider de ne pas exécuter et/ou de suspendre le traitement.
Article 6 – Recours à des tiers
6.1. Le partenaire n’est pas autorisé à avoir recours à des tiers pour le traitement des données à caractère personnel du client sans le consentement écrit préalable de celui-ci. Si le client donne son consentement, le partenaire veillera à ce que les tiers concernés assurent un niveau de protection des données équivalent à celui imposé au partenaire par le présent contrat.
6.2. Le partenaire ne fera pas non plus appel à des tiers situés en dehors de l’EEE pour le traitement des données à caractère personnel, sauf moyennant le consentement écrit préalable du client. Sans préjudice de l’alinéa précédent, le partenaire garantit que les tiers concernés assureront un niveau approprié de protection et de sécurité des données à caractère personnel au sens du RGPD et fournira les informations nécessaires au client sur demande écrite de ce dernier.
6.3. Le consentement tel que visé aux paragraphes précédents ne sera pas refusé par le client sans motif raisonnable. En cas de refus, le partenaire se réserve le droit, le cas échéant, de suspendre le présent contrat, d’y mettre fin et/ou de proposer des modifications de ses modalités sans être redevable d'un quelconque dédommagement au client.
6.4. Le partenaire informe le client, conformément à l’article 8 et pour autant que ces informations soient disponibles, de toute fuite de données constatée chez un tiers auquel le partenaire a fait appel, et ce, sans retard indu et dès que le partenaire en a connaissance.
Article 7 – Sécurité et obligation de confidentialité
7.1. Le partenaire est tenu à la confidentialité des données à caractère personnel reçues du client, sauf si et pour autant qu’une prescription légale l’oblige à les publier ou si cette publication a lieu sur ordre du client.
7.2. Le partenaire prend, avec tout le soin requis, les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel fournies par le client contre toute perte ou toute autre forme d’accès ou de traitement illicite. Ces mesures garantiront un niveau de protection adapté en tenant compte de l'état de la technique et des frais liés à leur implémentation, ainsi que des risques inhérents au traitement de données à caractère personnel et à leur nature.
7.3. Le partenaire veillera également à ce que son personnel impliqué dans le traitement des données à caractère personnel soit au courant des obligations qu’il a prises dans le cadre du présent contrat et soit tenu de les respecter. Cette disposition sera concrétisée par une
déclaration de confidentialité jointe en annexe au contrat de travail et/ou au règlement de travail, des politiques internes et une information régulière du personnel.
7.4. Si le client peut démontrer de manière concluante un manquement du partenaire en ce qui concerne la prise de telles mesures techniques et organisationnelles adaptées, puis l'omission de prendre ces mesures dans un délai raisonnable fixé par le client, ce dernier est autorisé à rompre le contrat de collaboration et/ou à mettre un terme à la mission de sous- traitance, sans préjudice de ses autres droits découlant de la loi et/ou du présent contrat.
7.5. Le partenaire accepte, dans la mesure du possible et moyennant une indemnité raisonnable, d’assister le client pour le respect de ses obligations liées aux analyses d'impact relatives à la protection des données et au traitement des fuites de données.
Article 8 – Traitement des fuites de données
8.1. Le partenaire avisera le client de manière circonstanciée de toute fuite de données qui est intervenue chez lui et lui est imputable, et ce, au plus tard dans un délai de 72 heures suivant la prise de connaissance.
Le partenaire communiquera au client, de sa propre initiative, toutes les informations disponibles au sujet de la fuite de données, notamment la nature et la portée des données à caractère personnel, une estimation du nombre de personnes concernées et les mesures de sûreté prévues.
8.2. Le client ou responsable du traitement au nom duquel le client agit peut, dans certaines circonstances, être tenu de notifier la fuite de données à l’autorité de contrôle belge ou aux personnes concernées. Le partenaire ne procèdera en aucun cas lui-même à la notification d’une fuite de données à l'autorité de contrôle ou aux personnes concernées.
8.3. Le partenaire offrira au client toute la collaboration raisonnable et requise pouvant lui permettre d’avoir une idée de la gravité et des conséquences (potentielles) de la fuite de données constatée. En particulier, le partenaire fournira au client toutes les informations (pour autant qu’elles soient disponibles) présentées par le client comme nécessaires à l’appréciation de la situation ou devant être communiquées à l’autorité de contrôle ou aux
personnes concernées, sauf si la loi ne le permet pas.
Article 9 – Délai de conservation et effacement des données à caractère personnel
9.1. Après l’expiration des délais de conservation légaux ou, à défaut, du délai nécessaire pour effectuer la mission, le partenaire détruira scrupuleusement les données à caractère personnel qu’il a traitées dans le cadre du contrat de collaboration, pour autant qu’aucune obligation légale n’impose au partenaire de conserver certaines données à caractère personnel pendant un délai déterminé.
9.2. Sur demande explicite et écrite du client, les données à caractère personnel peuvent être restituées au client à l’expiration du délai de conservation prévu. Le partenaire peut déroger à l’effacement susmentionné des données pour autant qu’il soit indispensable de prouver le respect de ses obligations à l’égard du client, ou en cas d’obligation légale ou de décision obligatoire des pouvoirs publics ou d’une autorité judiciaire. La restitution et/ou destruction des données à caractère personnel, telle que définie dans le présent article, peut donner lieu à une indemnité raisonnable pour le partenaire à charge du client, les modalités devant être convenues.
Article 10 – Droits des personnes concernées
Dans la mesure où l’exige l’obligation du client de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits, telle que stipulée au chapitre III du RGPD, et où le client ne dispose pas lui-même de cette possibilité, le partenaire procèdera, sur demande écrite du client et avec tout le soin requis, aux opérations suivantes :
1. Fourniture par écrit de toutes les informations requises, pour autant qu’elles soient disponibles ; et
2. Correction, mise à jour, effacement, transfert ou limitation des données à caractère personnel, conformément aux instructions du client, et pour autant que cela soit raisonnablement possible et dans un délai raisonnable.
Article 11 – Responsabilité
11.1. En cas de preuve d’un manquement imputable au partenaire concernant le respect du présent contrat, le partenaire sera exclusivement responsable des dommages directs, avérés et certains, subis par le client, pour autant que le client ait mis, préalablement et par écrit, le partenaire en demeure de satisfaire à ses obligations et lui ait accordé un délai
raisonnable pour ce faire.
11.2. La responsabilité du partenaire dans le cadre de ce contrat comprend exclusivement l’indemnisation des dommages directs, c.-à-d. les dommages qui sont la conséquence directe et immédiate de manquements imputables au partenaire dans l’exécution du présent contrat.
Article 12 – Dispositions diverses
12.1. Le client a toujours le droit, moyennant le respect de l’obligation de confidentialité prévue dans le contrat de collaboration, de contrôler lui-même le respect par le partenaire de ce contrat en demandant au partenaire des informations prouvant que celui-ci respecte les obligations prévues par ce contrat.
12.2. Ce contrôle ne peut en aucun cas compromettre la continuité des services du partenaire.
12.3. Les modifications au présent contrat sont uniquement valables si elles sont convenues par écrit entre les parties. Cette disposition ne s’applique pas (i) aux modifications et/ou mises à jour éventuelles effectuées par le partenaire en ce qui concerne les mesures et procédures décrites à l’annexe 2 afin de pouvoir continuer à satisfaire à ses obligations dans le cadre du présent contrat et (ii) aux modifications éventuelles indispensables pour pouvoir satisfaire aux obligations légales dans le chef du partenaire ou aux décisions obligatoires des pouvoirs publics ou d'une autorité judiciaire.
12.4. Le présent contrat est régi exclusivement par le droit belge. Les tribunaux suivants sont les seuls compétents en cas de litige :
Tribunal de NIVELLES
Annexe 1 : Nature des données à caractère personnel qui sont traitées et finalités du traitement
Description des données à caractère personnel traitées par le partenaire dans le cadre du contrat et finalités y afférentes
TYPE DE DONNÉES À CARACTÈRE PERSONNEL | FINALITÉ DU TRAITEMENT |
Données d’identification personnelles Nom, prénom, adresse, télephone | Hébergement des données clients liées à nos applications |
Données d’identification électroniques: Mail | Hébergement des données clients liées à nos applications |
Image: Photo | Hébergement des données clients liées à nos applications |
Annexe 2 : Aperçu des mesures de sécurité
La présente annexe contient un aperçu des mesures de sécurité que le partenaire doit au moins prendre.
Le partenaire s’efforce de prendre toutes les mesures techniques et organisationnelles appropriées et raisonnables afin de veiller à ce que les données à caractère personnel qui lui sont confiées ne fassent pas l’objet d’une perte ou d’un traitement illicite et ne soient notamment pas accessibles à des personnes non autorisées.
Check-list des mesures techniques de sécurité :
o Utilisation d’un antivirus à jour ;
o Installation d’un pare-feu ;
o Utilisation d’une politique stricte concernant les mots de passe (c.-à-d. codes login uniques et mots de passe personnels) ;
o Sauvegardes sécurisées systématiques à titre de protection contre les pertes de données ;
o Protection de l’accès physique aux données à caractère personnel pour les personnes qui ne doivent pas y avoir accès du fait de leurs tâches ;
o Journalisation des activités relatives au traitement des données à caractère personnel ;
o Pas d’utilisation de disques durs non sécurisés ; Check-list des mesures organisationnelles :
o Politique générale d'information du personnel sur la protection de la vie privée ;
o Mise en place d’une politique et de directives internes concernant la gestion confidentielle de données à caractère personnel ;
o Mise en place de procédures internes en cas d’incidents (fuite de données...) ;
o Application d’un enregistrement personnel et de systèmes d’identification pour l’accès aux bâtiments pour que les personnes non autorisées n’aient pas accès aux locaux de l’entreprise ;
o Application d’un code de conduite général concernant l’utilisation consciencieuse des équipements informatiques (ordinateurs portables, smartphones, clés USB...) et des autres moyens de production ;
o Utilisation d’une politique de rangement du bureau (clean desk) afin de protéger au maximum les données confidentielles des regards de personnes non autorisées ;