ENTRE

Accord de traitement des données

ENTRE

Le responsable du traitement, qui a conclu un contrat avec Payflip BV (“Contrat-cadre”) concernant la fourniture par Payflip BV de services (numériques) relatifs à la rémunération flexible ;

Ci-après le “RESPONSABLE DU TRAITEMENT”.

ET

Payflip BV, une société de droit belge, ayant son siège social à Xxxxxxxxxxx 00, 0000 Xxxxxx, inscrite à la Banque-Carrefour des Entreprises sous le numéro d’entreprise 0746.748.857 et représentée ici par Xxxxx Xxxxxxxxxxxx, en sa qualité d’administrateur ;

Ci-après le “SOUS-TRAITANT”.

Le RESPONSABLE DE TRAITEMENT et le SOUS-TRAITANT seront

ci-après désignés conjointement comme les “Parties” et individuelle- ment comme une “Partie”.

IL A ÉTÉ CONVENU CE QUI SUIT.

a. LE RESPONSABLE DU TRAITEMENT est une société qui, en sa qualité d’employeur, recherche un tiers spécialisé dans la fourniture de services (numériques) relatifs à l’implémenta- tion d’une rémunération flexible.

b. Les parties ont conclu le contrat-cadre concernant la fourniture par le SOUS-TRAITANT de services (numéri- ques) dans le cadre de la mise en place d’un plan de rémunération flexible au sein du RESPONSABLE DU TRAITEMENT (“Services”).

c. Les Parties souhaitent conclure un contrat dans le cadre de l’Accord principal, afin de réglementer le traitement des données personnelles (ci-après “Accord”) conformément au Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physi- ques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après “Règlement”).

d. Les parties souhaitent définir dans le présent accord les droits et obligations du RESPONSABLE DU TRAITEMENT et du SOUS-TRAITANT.

IL EST CONVENU CE QUI SUIT.

ARTICLE 1 : DÉFINITIONS

Aux fins du présent Accord, les définitions suivantes s’appliquent:

1.1 “Accord”: il est fait référence à la définition donnée dans le préambule C;

1.2 “Informations confidentielles”: toute information divulguée à l’au- tre partie par écrit ou sous toute forme matérielle dans le cadre du présent accord, qui est considérée ou peut être considérée comme confidentielle en raison de la nature des données ou de la nature des circonstances dans lesquelles elle doit être divul- guée, telle que, sans s’y limiter, les informations sur les produits,

1.3 “Contrôleur”: une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjoin- tement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel effectué sous son contrôle, et qui est réputé être le RESPONSABLE DU TRAITE- MENT aux fins du présent accord;

1.4 “Personne concernée”: une personne physique identifiée ou iden- tifiable;

1.5 “Employé”: personne recrutée par un employeur qui a conclu un contrat de travail ou qui est employée en vertu d’un contrat de travail pour fournir des services de main-d’oeuvre contre un salaire ou une rémunération fixe. Un employé ne fournit pas de services professionnels dans le cadre d’une activité indépen- dante. Les agents, distributeurs, conseillers, consultants, indépendants, (sous-)contractants ou autres tiers ne sont pas considérés comme des employés aux fins du présent accord;

1.6 “Données Personnelles”: toute information relative à une Personne concernée;

1.7 “Violation de données personnelles”: une violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles transmises, stockées ou traitées d’une autre manière, de manière accidentelle ou illégale,

TRAITEMENT, tel que le SOUS-TRAITANT;

1.9 “Mesures de sécurité”: les mesures visant à protéger les Données à caractère personnel contre la destruction ou la perte acciden- telle ou illicite, ainsi que l’accès, la modification ou la transmission non autorisés;

1.10 “Services”: les prestations réalisées par le SOUS-TRAITANT conformément au contrat-cadre et telles que reprises dans le préambule B;

1.11 “Sous-traitant”: tout processeur engagé par le SOUS-TRAITANT en tant que sous-traitant qui accepte de traiter les Données Personnelles pour et au nom du SOUS-TRAITANT conformé- ment au présent accord;

1.12 “Autorité de surveillance”: une autorité publique indépendante établie par un État membre conformément à l’article 51 du Règlement;

1.13 “Tiers”: toute partie qui n’est pas une Personne concernée, un Contrôleur, un RESPONSABLE DU TRAITEMENT ou un SOUS-TRAITANT en vertu du présent accord, ni une personne autorisée à traiter des Données personnelles sous l’autorité directe du SOUS-TRAITANT ou du RESPONSABLE DU TRAITE- MENT;

1.14 “Sous-traitant substantiel”: un Sous-traitant qui fournit des services ou une infrastructure substantiels en ce qui concerne les Services, y compris un fournisseur de cloud, des applications logicielles intégrées.

Les interprétations de tous les autres termes utilisés, mais non définis, correspondent à celles qu’elles ont dans le cadre de Contrat-cadre.

ARTICLE 2 : OBJET DE L’ACCORD

2.1 Le RESPONSABLE DU TRAITEMENT souhaite confier au SOUS-TRAITANT le traitement des Données Personnelles. Le SOUS-TRAITANT traite les Données Personnelles au nom et pour le compte du RESPONSABLE DU TRAITEMENT. Pour la fourniture des Services, le RESPONSABLE DU TRAITEMENT est responsable du traitement des Données Personnelles et le SOUS-TRAITANT est un processeur de données.

2.2 Le SOUS-TRAITANT exécute les services conformément aux dispositions du présent accord.

2.3 Les deux Parties s’engagent expressément à respecter les dispositions de la législation pertinente applicable en matière de protection des données et à ne pas faire ou s’abstenir de faire quoi que ce soit qui puisse amener l’autre Partie à enfreindre la législation pertinente et applicable en matière de protection des données.

2.4 Activités de traitement. Les activités de traitement effec- tuées par le SOUS-TRAITANT au nom et pour le compte du RESPONSABLE DU TRAITEMENT concernent les Services fournis par le SOUS-TRAITANT. Les activités de traitement consistent en:

• les services numériques dans le cadre de la rémunération flexible;

• amélioration des Services du SOUS-TRAITANT.

2.5 Catégories de Données Personnelles. Les Données Personnelles traitées sont :

• Données d’identification personnelle de l’Employé (telles que le prénom, le nom, l’adresse, l’adresse électronique, etc.)

• Données d’identification électronique (telles que les cookies, l’adresse IP, etc.)

• Données financières (telles que les dépenses passées, les détails de facturation, les comptes bancaires ou autres détails de paiement;

• Données salariales.

2.6 Personnes concernées. Les personnes concernées sont des Employés du RESPONSABLE DU TRAITEMENT.

2.7 Objectifs. Le SOUS-TRAITANT n’utilise les Données Personnelles que pour assurer la bonne exécution des Services, dans le cadre du Contrat-cadre et conformément aux dispositions du présent accord.

2.8 Le SOUS-TRAITANT ne peut et ne doit traiter que les Données Personnelles mentionnées à l’article 2.5. Par ailleurs, les Données Personnelles ne seront traitées qu’en fonction des finalités spéci- fiées par les Parties dans le présent accord.

2.9 Les deux Parties s’engagent à prendre les mesures appro- priées pour s’assurer que les Données Personnelles ne sont pas utilisées de manière inappropriée ou obtenues par un Tiers non autorisé.

1.8

ou l’accès non autorisé à ces données;

“Processeur”: une personne physique ou morale, une autorité publique, un service ou un autre organisme autorisé à traiter des données à caractère personnel au profit du RESPONSABLE DU

ARTICLE 3 : DURÉE DU TRAITEMENT

3.1 Le présent accord reste applicable tant que le SOUS-TRAITANT traite des Données Personnelles au nom et pour le compte du

RESPONSABLE DU TRAITEMENT dans le cadre du Contrat- cadre. Si le Contrat-cadre prend fin, le présent accord prend également fin.

3.2 En cas de violation du présent accord ou des dispositions appli- cables du Règlement, le RESPONSABLE DU TRAITEMENT peut donner instruction au SOUS-TRAITANT de cesser immédiate- ment le traitement des données à caractère personnel.

3.3 Lorsque l’Accord prend fin ou que les Données Personnel- les ne sont plus pertinentes pour la fourniture des Services, le SOUS-TRAITANT anonymise et pseudonymise, dans la mesure du possible, les Données Personnelles reçues ou obtenues lors de la fourniture des Services. Il le fait exclusivement aux fins internes suivantes, afin d’améliorer encore les services fournis par le SOUS-TRAITANT.

ARTICLE 4 : INSTRUCTIONS DU RESPONSABLE DU TRAITEMENT

4.1 Le SOUS-TRAITANT ne traitera les Données Personnelles que sur la base des instructions écrites du RESPONSABLE DU TRAITEMENT et en tout état de cause conformément aux Acti- vités de traitement convenues telles que déterminées à l’ar- ticle 2.4 du présent Accord à des fins d’exécution des Services. Le SOUS-TRAITANT ne traitera pas les Données Personnelles visées par le présent Accord d’une manière incompatible avec ces instructions et avec les dispositions établies dans le présent Accord.

4.2 Le RESPONSABLE DU TRAITEMENT peut apporter unilatérale- ment des modifications limitées aux instructions. Le SOUS-TRAI- TANT doit être consulté avant d’apporter des modifications importantes aux instructions. Les deux Parties doivent accepter les changements affectant les principales dispositions de l’Ac- cord.

4.3 Le SOUS-TRAITANT traite les Données Personnelles confor- mément à l’article 4.1 du présent Accord, y compris en ce qui concerne le transfert de Données Personnelles vers un pays tiers ou une organisation internationale, sauf si une disposition du droit de l’Union européenne ou d’un État membre applicable au SOUS-TRAITANT l’oblige à réaliser un tel traitement, auquel cas le SOUS-TRAITANT informe le RESPONSABLE DU TRAITEMENT, préalablement au traitement, de cette exigence légale, à moins que ce droit n’interdise une telle notification pour des raisons importantes d’intérêt public.

ARTICLE 5 : ASSISTANCE AU RESPONSABLE DU TRAIT- EMENT

5.1 Conformité. Le SOUS-TRAITANT aide le RESPONSABLE DU TRAITEMENT à faire respecter les obligations prévues par le Règlement, en tenant compte de la nature du traitement et des

cable en matière de protection des données, si les Personnes concernées dont les Données Personnelles sont affectées par une Violation des données personnelles doivent être notifiées. Il incombe au RESPONSABLE DU TRAITEMENT de notifier à l’au- torité de surveillance une violation des Données Personnelles.

5.6 Les Parties, et le cas échéant le(s) Sous-traitant(s), doivent s’as- surer qu’elles coopèrent de bonne foi pour atténuer les effets négatifs potentiels d’une Violation de Données Personnelles.

5.7 Analyse d’impact relative à protection des données (AIPD). Par ailleurs, le SOUS-TRAITANT apporte son assistance au RESPONSABLE DU TRAITEMENT lorsqu’il réalise une analyse d’impact relative à la protection des données conformément à l’article 35 du Règlement. Toutefois, le SOUS-TRAITANT est libre de facturer, à sa discrétion, des frais supplémentaires pour l’exé- cution de ces Services. Ces coûts sont à tout moment proporti- onnels aux Services fournis.

ARTICLE 6 : DEVOIR D’INFORMATION

6.1 Le SOUS-TRAITANT doit à tout moment, sur demande du RESPONSABLE DU TRAITEMENT (toutefois, à cette demande, le SOUS-TRAITANT doit disposer d’un délai raisonnable pour y donner suite), fournir au RESPONSABLE DU TRAITEMENT toutes les informations qu’il requiert et au moins les informations déter- minées par les dispositions de la présente clause :

• Toutes les données pertinentes sur sa propre structure d’entreprise ainsi que des données d’identification préci- ses et actualisées sur toutes les entités du SOUS-TRAITANT impliquées dans le traitement des Données Personnelles, y compris la localisation de leur siège social.

• Sans préjudice de ce qui a été convenu à l’article 9, les aspects du traitement pour lesquels les services du Sous-traitant sont ou sont censés être utilisés et les données d’identification d’un Sous-traitant, y compris la localisation de son siège social. Le SOUS-TRAITANT divul- gue au RESPONSABLE DU TRAITEMENT l’accord avec le ou les sous-traitants ultérieurs relatif ou pertinent au traite- ment des données à caractère personnel, sauf si cet accord avec le ou les Sous-traitants contient des informations confidentielles, auquel cas il peut supprimer ces informati- ons confidentielles.

• Données géographiques sur les lieux de traitement, y compris les capacités de sauvegarde et de destruction des données.

• Les mesures de sécurité physiques, organisationnelles, techniques et logiques prises par le SOUS-TRAITANT et son (ses) Sous-traitant(s) ultérieur(s), comme stipulé à l’article 11 du présent Accord.

ARTICLE 7 : OBLIGATIONS DU SOUS-TRAITANT

5.2

informations dont il dispose.

Violation des données personnelles. En cas de violation des Données Personnelles qui se rapporte à l’objet du traite- ment du présent Accord, le SOUS-TRAITANT doit informer le RESPONSABLE DU TRAITEMENT sans délai déraisonnable dès qu’il a connaissance d’une violation des Données Personnelles.

7.1 Le SOUS-TRAITANT répondra rapidement ou dans un délai raisonnable (en fonction des obligations légales stipulées dans le Règlement) et de manière appropriée à toutes les demandes raisonnables du RESPONSABLE DU TRAITEMENT concernant le traitement des Données Personnelles liées au présent Accord.

7.2 Le SOUS-TRAITANT assure qu’il n’existe pas d’obligations

Cette notification contient au moins les informations suivantes :

(a) La nature de la violation des Données Personnelles ;

(b) Les catégories des Données Personnelles auxquelles la violation se rapporte ;

(c) Les catégories des Personnes concernées et, approximativement, le nombre de Personnes concernées ;

d) Les catégories d’enregistrements des Données Personnelles concernées et, approximativement, leur nombre ;

(e) Les conséquences probables de la violation en ce qui concerne les Données Personnelles ;

(f) Mesures proposées ou prises pour remédier à la violation des Données Personnelles, y compris, le cas échéant, les mesures visant à en atténuer les effets négatifs

5.3 Si le SOUS-TRAITANT fait appel à un Sous-traitant, le SOUS-TRAITANT exigera du Sous-traitant qu’il lui fournisse les mêmes informations si une violation des Données Personnelles se produit chez le Sous-traitant. Le SOUS-TRAITANT transmet immédiatement au RESPONSABLE DU TRAITEMENT les infor- mations reçues du Sous-traitant.

5.4 Le SOUS-TRAITANT et son (ses) Sous-traitant(s) désignent une personne parmi leurs Employés qui constitue un point de contact unique (single point of contact) et qui est responsable de toutes les communications entre le SOUS-TRAITANT, le(s) Sous-trai- tant(s) et le RESPONSABLE DU TRAITEMENT en cas d’incident ayant entraîné ou pouvant entraîner une destruction ou une perte accidentelle ou non autorisée, un accès non autorisé, une modification ou un transfert de Données Personnelles traitées pour le compte du RESPONSABLE DU TRAITEMENT.

5.5 Seule le RESPONSABLE DU TRAITEMENT décidera, à sa seule discrétion et conformément à la législation pertinente et appli-

découlant des lois applicables qui le mettent dans l’impossibilité de remplir ses obligations au titre du présent Accord.

7.3 Le SOUS-TRAITANT s’engage à traiter les Données Personnelles uniquement dans le but de fournir les Services et de remplir les responsabilités du présent Accord conformément aux instructi- ons écrites du SRESPONSABLE DU TRAITEMENT. Si, pour quel- que raison que ce soit, il ne peut se conformer à cette exigence, il doit en aviser rapidement le RESPONSABLE DU TRAITEMENT.

7.4 Le SOUS-TRAITANT doit informer sans délai le RESPONSABLE DU TRAITEMENT s’il estime qu’une instruction du RESPONSA- BLE DU TRAITEMENT viole les lois applicables en matière de protection des données.

7.5 Le SOUS-TRAITANT veille à ce que l’accès, la consultation, le traitement et la mise à disposition des Données Personnelles ne se fassent que dans le respect du principe de proportionnalité et du principe du besoin de savoir (c’est-à-dire que les données ne sont fournies qu’aux personnes qui ont besoin des Données Personnelles pour exécuter les Services).

7.6 Le SOUS-TRAITANT s’engage à ne fournir les Données Person- nelles qu’aux Employés du RESPONSABLE DU TRAITEMENT qui ont besoin des Données Personnelles pour remplir les obligations du présent Accord et s’assurera que l’Employé concerné s’en- gage à maintenir la confidentialité ou est lié par une obligation légale de confidentialité, à moins qu’une telle disposition ne soit prévue par le Contrat-cadre.

7.7 À compter du 25 mai 2018, le SOUS-TRAITANT est tenu d’établir et de tenir à jour un registre des activités de traitement liées au présent Accord; le SOUS-TRAITANT met ce registre à la disposi- tion du RESPONSABLE DU TRAITEMENT, d’un commissaire aux comptes désigné par le RESPONSABLE DU TRAITEMENT et/ou de l’Autorité de contrôle à première demande.

ARTICLE 8 : OBLIGATIONS DU RESPONSABLE DU TRAIT- EMENT

8.1 Le RESPONSABLE DU TRAITEMENT apporte toute l’assistance nécessaire au SOUS-TRAITANT et coopère avec lui de bonne foi pour que tout traitement des Données Personnelles soit conforme aux exigences du Règlement, notamment aux princi- pes relatifs au traitement des Données Personnelles.

8.2 Le RESPONSABLE DU TRAITEMENT conviendra avec le SOUS-TRAITANT de canaux de communication appropriés pour garantir que les instructions, directives et autres commu- nications relatives aux Données Personnelles traitées par le SOUS-TRAITANT pour le compte du RESPONSABLE DU TRAITEMENT soient correctement reçues par les Parties. Le RESPONSABLE DU TRAITEMENT notifie au SOUS-TRAITANT l’identité de la personne qui est le point de contact unique (le “point de contact unique”) du RESPONSABLE DU TRAITEMENT avec laquelle le SOUS-TRAITANT doit prendre contact en appli- cation du présent article 8.2.

8.3 Le RESPONSABLE DU TRAITEMENT garantit qu’il ne donnera au SOUS-TRAITANT que des instructions, directives ou communica- tions conformes aux dispositions du Règlement.

8.4 Sans préjudice de l’article 14.2 du présent Accord, le RESPONSABLE DU TRAITEMENT doit fournir l’assistance néces- saire au SOUS-TRAITANT et/ou à son/ses Sous-traitant(s) pour se conformer à toute demande, ordonnance, enquête ou assig- nation adressée au SOUS-TRAITANT ou à son/ses Sous-trai- tant(s) par toute autorité gouvernementale ou judiciaire nationale compétente.

8.5 Le RESPONSABLE DU TRAITEMENT garantit qu’il n’émettra pas d’instructions, de directives ou de demandes au SOUS-TRAI- TANT qui obligeraient le SOUS-TRAITANT et/ou son/ses Sous-traitant(s) à violer les obligations imposées par la législa- tion nationale obligatoire applicable au SOUS-TRAITANT et/ou à son/ses Sous-traitant(s).

8.6 Le RESPONSABLE DU TRAITEMENT assure qu’il coopérera de bonne foi avec le SOUS-TRAITANT pour atténuer les effets négatifs d’un incident de sécurité affectant les Données Person- nelles traitées pour le compte du RESPONSABLE DU TRAITE- MENT par le SOUS-TRAITANT et/ou son/ses Sous-traitant(s).

ARTICLE 9 : LE RECOURS À DES SOUS-TRAITANTS

9.1 Le RESPONSABLE DU TRAITEMENT reconnaît et accepte que le SOUS-TRAITANT a engagé des Sous-traitants pour l’ai- der à fournir les Services du SOUS-TRAITANT. Le RESPONSA- BLE DU TRAITEMENT, par le présent Accord, donne son accord général écrit pour que le SOUS-TRAITANT travaille avec des Sous-traitants (substantiels). Dans le cas d’un consentement général écrit, le SOUS-TRAITANT informera le RESPONSABLE DU TRAITEMENT des changements prévus concernant l’ajout ou le remplacement d’autres Sous-traitants, en donnant au RESPONSABLE DU TRAITEMENT la possibilité de s’opposer à ces changements.

9.2 Nonobstant ce qui précède, les Parties conviennent que le SOUS-TRAITANT n’est pas tenu de fournir l’identité de chaque Sous-traitant substantiel (les catégories de Sous-traitants suffi- sent en conjonction avec les informations stipulées aux articles 6 et 7 concernant les Sous-traitants substantiels). Nonobstant ce qui précède, le RESPONSABLE DU TRAITEMENT peut, à tout moment, demander au SOUS-TRAITANT de communi- quer l’identité d’un Sous-Traitant. Le SOUS-TRAITANT le fera si cette divulgation ne viole pas une obligation de confidentia- lité ou de secret d’affaires conclue entre le SOUS-TRAITANT et le Sous-traitant substantiel concerné. Si le SOUS-TRAITANT ne peut pas divulguer l’identité d’un sous-traitant, il devra fournir une justification écrite formelle.

9.3 Le SOUS-TRAITANT doit s’assurer que ses Sous-traitants (substantiels) soient liés par les mêmes obligations en ce qui concerne les Données Personnelles que celles qui lient le SOUS-TRAITANT en vertu du présent Accord.

9.4 Le SOUS-TRAITANT transmet correctement et rapidement les finalités et les instructions données par le RESPONSABLE DU TRAITEMENT au(x) Sous-traitant(s) (substantiel(s)) lorsque ces finalités et ces instructions s’appliquent à la partie du traitement dans laquelle le(s) Sous-traitant(s) (substantiel(s)) est (sont) impliqué(s).

9.5 Dans le cadre du présent Accord, le SOUS-TRAITANT utilise les catégories suivantes de Sous-traitants substantiels pour assurer l’exécution des Services aux Personnes concernées.

• Bases de données

• Serveurs en nuage

• Consultants indépendants

ARTICLE 10 : DROITS DES PERSONNES CONCERNÉES

10.1 Compte tenu de la nature du traitement, le TRANSFORMATEUR l’aide, par des mesures techniques et organisationnelles appro- priées, dans la mesure du possible, à s’acquitter de son obli-

gation de répondre aux demandes d’exercice des droits de la personne concernée énoncés au chapitre III du règlement ;

10.2 Les conditions suivantes s’appliquent à toute demande des Personnes concernées concernant leurs droits relatifs au trai- tement par le SOUS-TRAITANT et/ou ses Sous-traitants des Données Personnelles :

• Le SOUS-TRAITANT s’efforcera de notifier rapidement au RESPONSABLE DU TRAITEMENT toute demande d’une Personne concernée relative aux Données Personnelles que le SOUS-TRAITANT et/ou son/ses Sous-traitant(s) traite(nt) pour le compte du RESPONSABLE DU TRAITE- MENT, sans donner suite à une telle demande, sauf si le RESPONSABLE DU TRAITEMENT y consent expressément ;

• Le SOUS-TRAITANT devra se conformer promptement et exiger de son ou ses Sous-traitants qu’ils se conforment promptement à toute demande du RESPONSABLE DU TRAITEMENT afin que ce dernier puisse se conformer à une demande de la Personne concernée souhaitant exercer l’un de ses droits ;

• Le SOUS-TRAITANT doit s’assurer que lui-même et son/ ses Sous-traitant(s) ont les capacités techniques et organi- sationnelles nécessaires pour bloquer l’accès aux Données Personnelles et détruire physiquement les données sans aucune possibilité de récupération si et quand le RESPONSABLE DU TRAITEMENT fait une telle demande.

• Le SOUS-TRAITANT, sur simple demande du RESPONSA- BLE DU TRAITEMENT sur la base des meilleurs efforts, fournira toute l’assistance nécessaire et toutes les informa- tions requises par le RESPONSABLE DU TRAITEMENT pour défendre ses intérêts dans tout type de procédure - judici- aire, arbitrale ou autre -engagée contre le RESPONSABLE DU TRAITEMENT ou son Employé pour une violation des droits fondamentaux à la vie privée et à la protection des Données Personnelles des Personnes concernées.

L’ARTICLE 11 : MESURES DE SÉCURITÉ

11.1 Pendant la durée du présent Accord, le SOUS-TRAITANT met en œuvre et maintient les mesures techniques et organisation- nelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement et que la protection des droits de la Personne concernée soit assurée. Entre autres, le SOUS-TRAI- TANT doit mettre en œuvre des mesures techniques et orga- nisationnelles contre le traitement non autorisé ou illicite et évaluer régulièrement l’adéquation des mesures de sécurité et les adapter si nécessaire.

11.2 Plus précisément, le SOUS-TRAITANT prendra les mesures tech- niques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du Règlement.

11.3 Lors de l’évaluation du niveau de sécurité approprié, une atten- tion particulière a été accordée aux risques de traitement, notamment ceux découlant de la destruction, de la perte, de l’al- tération, de la divulgation non autorisée ou de l’accès non auto- risé aux Données Personnelles transmises, stockées ou traitées d’une autre manière, que ce soit de manière accidentelle ou illé- gale.

11.4 Le RESPONSABLE DU TRAITEMENT se réserve le droit de suspendre et/ou de résilier le Contrat-cadre si le SOUS-TRAI- TANT n’est plus en mesure de fournir des mesures techniques et organisationnelles appropriées au risque de traitement.

11.5 Le SOUS-TRAITANT a pris, entre autres, mais pas exclusivement, les mesures générales de sécurité physique, logique, technique et organisationnelle suivantes :

• Les données personnelles sont stockées dans une infra- structure sécurisée de Microsoft Azure ;

• Toutes les bases de données sont basées aux Pays-Bas, avec un système de basculement (système qui reprend les tâches en cas de défaillance de l’autre système) en Irlande, ce qui permet de rester dans l’Union euro- péenne ;

• Les Données Personnelles sont cryptées à la fois au repos (stockées dans la base de données) et en transit (pendant la transmission à l’utilisateur) et protégées au repos ;

• Les Données Personnelles ne peuvent être consultées que par le contrôleur des données et, plus précisément, par le personnel autorisé du contrôleur des données, sur la base du besoin d’en connaître (uniquement les données strictement nécessaires) ;

• La plateforme utilise le protocole SSL 256 bits pour l’identification à la connexion ;

• Tous les appels d’API sont authentifiés par la gestion d’API de Microsoft ;

• Ne tester le code que dans un environnement de développement sans accès aux données de l’enter prise ;

• Le matériel des Employés du Processeur est sécurisé

par une authentification à deux facteurs ;

• Utilisation de solutions de stockage en nuage pour réduire le risque de vol de données ;

• Une politique élaborée de notification des violations de la protection des données à appliquer par tous les Employés du SOUS-TRAITANT ;

• Les Employés ont un accès limité aux données du RESPONSABLE DU TRAITEMENT (uniquement via la plateforme) et seulement après le consentement écrit du RESPONSABLE DU TRAITEMENT ;

• Toute activité des Employés du RESPONSABLE DU TRAITEMENT sur le compte du RESPONSABLE DU TRAITEMENT est automatiquement tracée ;

• À la fin du Contrat-cadre, conserver les données du RESPONSABLE DU TRAITEMENT pendant une période de six mois seulement.

ARTICLE 12 : AUDIT

12.1 Le SOUS-TRAITANT reconnaît que le RESPONSABLE DU TRAI- TEMENT est sous la surveillance d’une/de plusieurs Autorité(s) de surveillance. Le SOUS-TRAITANT reconnaît que chaque Autorité de surveillance concernée a le droit de procéder à un audit à tout moment et en tout cas pendant les heures norma- les d’ouverture du SOUS-TRAITANT, pendant la durée du présent Accord, afin d’évaluer le respect par le SOUS-TRAI- TANT du Règlement et des dispositions du présent Accord. Le SOUS-TRAITANT apporte la coopération nécessaire.

12.2 Le SOUS-TRAITANT nommera un vérificateur indépendant pour effectuer cet audit tous les deux (2) ans. Les résultats finaux de ce rapport d’audit (sans aucune information confi- dentielle) seront fournis au RESPONSABLE DU TRAITEMENT à sa première demande. Le coût de cet audit est à la charge du SOUS-TRAITANT.

12.3 En plus de l’ obligation d’ audit du SOUS-TRAITANT, le RESPONSABLE DU TRAITEMENT ne pourra effectuer des audits supplémentaires que s’il a des raisons légitimes de le faire (par exemple en cas de suspicion de fuite de données non signalée, lorsque le RESPONSABLE DU TRAITEMENT lui-même fait l’objet d’un audit, de suspicion sérieuse de fraude).

12.4 Sur demande écrite du RESPONSABLE DU TRAITEMENT, le SOUS-TRAITANT donne accès à un tiers indépendant, un audi- teur reconnu ou un auditeur désigné par le RESPONSABLE DU TRAITEMENT ou l’autorité de surveillance compétente, aux parties pertinentes des registres du SOUS-TRAITANT et à toutes les informations et tous les lieux pertinents pour le SOUS-TRAI- TANT T (et pour ceux de ses agents, filiales et sous-traitants) afin de déterminer le respect par le SOUS-TRAITANT du Règle- ment et des dispositions du présent Accord. À la demande du SOUS-TRAITANT, les parties concernées concluent un accord de confidentialité.

12.5 Le RESPONSABLE DU TRAITEMENT prendra toutes les mesu- res appropriées pour minimiser les entraves que l’audit pourrait causer au fonctionnement quotidien du SOUS-TRAITANT ou aux Services fournis par le SOUS-TRAITANT.

12.6 Si le RESPONSABLE DU TRAITEMENT et le SOUS-TRAITANT s’accordent sur une non-conformité matérielle au Règlement et/ou à l’Accord, telle que révélée par l’audit, le SOUS-TRAI- TANT doit remédier à cette non-conformité dans les meilleurs délais. Les Parties peuvent convenir d’établir un plan, y compris un calendrier de mise en oeuvre, pour remédier aux déficiences révélées lors de l’audit.

12.7 Le RESPONSABLE DU TRAITEMENT supporte les coûts de tout audit réalisé au sens du présent article. Toutefois, si l’au- dit révèle que le SOUS-TRAITANT n’a manifestement pas respecté le Règlement et/ou les dispositions du présent Accord, le SOUS-TRAITANT supporte le coût de cet audit.

ARTICLE 13 : TRANSFERT À DES TIERS

13.1 Le transfert des Données Personnelles à des Tiers, de quelque manière que ce soit, est interdit, à moins que la loi ne l’exige ou que le SOUS-TRAITANT n’ait obtenu le consentement explicite du RESPONSABLE DU TRAITEMENT pour le faire. Si une obligation légale s’applique au transfert à des Tiers des Données Personnel- les visées par le présent Accord, le SOUS-TRAITANT en informera le RESPONSABLE DU TRAITEMENT avant le transfert.

13.2 Le RESPONSABLE DU TRAITEMENT autorise également le SOUS-TRAITANT à transférer des Données à caractère person- nel à des prestataires de services tiers qui fournissent également des services au nom du RESPONSABLE DU TRAITEMENT et qui sont qualifiés de Sous-traitants, et avec lesquels le SOUS-TRAI- TANT a établi des accords de coopération et/ou des intégrations techniques, afin de servir le plus efficacement possible les clients communs, y compris le RESPONSABLE DU TRAITEMENT. Le SOUS-TRAITANT veillera à ce que ces échanges de données avec des prestataires de services tiers soient soumis à des garanties contractuelles, techniques et organisationnelles appropriées.

L’ARTICLE 14 : TRANSFERTS INTERNATIONAUX

14.1 Les Parties conviennent que les Données à caractère personnel ne peuvent être transférées et/ou conservées chez le destina- taire qu’en dehors de l’Espace économique européen (EEE), dans un pays non couvert par une décision d’adéquation adoptée par la Commission européenne à titre exceptionnel, et uniquement si cela est nécessaire pour remplir les obligations du présent Accord. Ces transferts sont régis par les termes d’un accord de transfert de données personnelles contenant des clauses contractuelles types telles que publiées dans la

décision de la Commission européenne du 4 juin 2021 (décision 2021/914/CE) ou par d’autres mécanismes prévus par la législa- tion applicable en matière de protection des données.

14.2 Avant le transfert international, le responsable du traitement informe le responsable du traitement des mesures particuliè- res prises pour assurer la protection des données à caractère personnel de la personne concernée conformément au règle- ment.

ARTICLE 15 : COMPORTEMENT À L’ÉGARD D’ORGANIS- MES PUBLICS NATIONAUX ET D’AUTORITÉS JUDICIAIRES

15.1 Le SOUS-TRAITANT notifie immédiatement au RESPONSA- BLE DU TRAITEMENT toute demande, ordonnance, enquête ou assignation adressée au SOUS-TRAITANT ou à son Sous-trai- tant par toute autorité gouvernementale ou judiciaire nationale compétente impliquant la communication de Données Person- nelles traitées par le SOUS-TRAITANT ou un Sous-traitant ou toute donnée et/ou information liée à ce traitement par le SOUS-TRAITANT pour et au nom du RESPONSABLE DU TRAI- TEMENT.

15.2 Sans préjudice de l’article 15.1 du présent Accord, le SOUS-TRAI- TANT assure qu’il n’existe pas d’obligations de la loi applicable, qui rendent impossible l’exécution par le SOUS-TRAITANT de ses obligations au titre du présent Accord.

L’ARTICLE 16 : DROITS DE PROPRIÉTÉ INTELLECTUELLE

16.1 Aucune disposition du présent Accord ne constitue un transfert de droits de propriété intellectuelle, ni du RESPONSABLE DU TRAITEMENT au SOUS-TRAITANT, ni vice-versa, sauf accord contractuel contraire entre les Parties.

ARTICLE 17 : CONFIDENTIALITÉ

17.1 Le SOUS-TRAITANT s’engage à garder les Données Personnelles et leur traitement hautement confidentiels. Le SOUS-TRAITANT assure la confidentialité par des mesures non moins restrictives que celles qu’il utilise pour protéger son propre matériel confi- dentiel, y compris les Données Personnelles.

17.2 Le SOUS-TRAITANT s’assure que les Employés ou Sous-trai- tants autorisés à traiter les Données Personnelles se sont enga- gés à respecter la confidentialité ou sont liés par une obligation légale de confidentialité appropriée.

L’ARTICLE 18 : RESPONSABILITÉ

18.1 Le RESPONSABLE DU TRAITEMENT impliqué dans la trans- formation est responsable des dommages causés par la transformation en violation du Règlement. Sans préjudice du Contrat-cadre, le SOUS-TRAITANT n’est responsable des dommages causés par le traitement que s’il n’a pas respecté les obligations du Règlement spécifiquement destiné aux sous-trai- tants ou s’il a agi en dehors ou contrairement aux instructions légitimes du RESPONSABLE DU TRAITEMENT.

18.2 Le RESPONSABLE DU TRAITEMENT ou le SOUS-TRAITANT est exempté de la responsabilité prévue à l’article 18.1, s’il prouve qu’il n’est aucunement responsable de l’événement qui a causé le dommage.

18.3 Le SOUS-TRAITANT est responsable du paiement des amendes administratives fondées sur une infraction aux dispositions du Règlement. En aucun cas, la responsabilité du SOUS-TRAITANT ne sera engagée s’il prouve qu’il n’est pas responsable de l’évé- nement qui a causé le dommage.

18.4 S’il s’avère que le RESPONSABLE DU TRAITEMENT et le SOUS-TRAITANT sont tous deux responsables des dommages causés par le traitement des Données Personnelles, les deux Parties sont responsables et doivent toutes deux payer des dommages et intérêts en proportion de leur part de responsabi- lité individuelle dans les dommages causés par le traitement.

18.5 Lorsque le RESPONSABLE DU TRAITEMENT et le SOUS-TRAI- TANT sont impliqués dans le même traitement et qu’ils sont responsables, en vertu des articles 18.1 et 18.4, des dommages causés par le traitement, le RESPONSABLE DU TRAITEMENT et le SOUS-TRAITANT sont tous deux tenus responsables de l’in- tégralité du dommage afin d’assurer une indemnisation effective de la Personne concernée.

18.6 Lorsque le RESPONSABLE DU TRAITEMENT ou le SOUS-TRAI- TANT a payé la totalité de l’indemnité pour le dommage subi conformément au paragraphe 18.5, ce RESPONSABLE DU TRAI-

TEMENT ou ce SOUS-TRAITANT a le droit de récupérer auprès de l’autre la partie de l’indemnité correspondant à sa part de responsabilité dans le dommage, conformément aux termes du paragraphe 18.1 et/ou conformément à la limitation de responsabilité prévue au présent article 18..

18.7 Une Partie est responsable (dans le cadre d’un contrat ou d’un délit (y compris l’inexécution)) ou de toute autre manière en rapport avec le présent accord, y compris la responsabilité pour négligence grave) des défaillances vérifiées qui lui sont imputa- bles. La responsabilité des Parties en cas de violation du présent Accord est limitée aux dommages directs et personnels prévisi- bles subis, à l’exclusion des dommages indirects (même si elles ont été informées de la possibilité de tels dommages indirects ou si la probabilité de tels dommages indirects était raisonna- blement prévisible) : ‘les dommages qui ne résultent pas direc- tement et immédiatement de l’inexécution et/ou de l’inexécution extracontractuelle, mais indirectement et/ou dans le temps, y compris, mais sans s’y limiter, la perte de revenus, l’interruption ou la stagnation des opérations commerciales, l’augmentation des coûts de personnel et/ou les coûts de réduction du person- nel, les dommages consistant en ou résultant de réclamations de tiers, la non-réalisation des économies ou des avantages escomptés et la perte de données, de bénéfices, de temps ou de revenus, la perte de commandes, la perte de clients, l’augmen- tation des frais généraux, les conséquences d’une grève, quelles qu’en soient les causes

18.8 En tout état de cause, la responsabilité totale du SOUS-TRAI-

TANT au titre du présent Accord sera limitée à la cause du dommage et au montant égal au total des redevances payées par le RESPONSABLE DU TRAITEMENT au SOUS-TRAITANT

pour la fourniture et l’exécution des Services pendant une péri- ode n’excédant pas 12 mois précédant immédiatement la cause du dommage. En aucun cas, la responsabilité du SOUS-TRAI- TANT ne pourra être engagée si celui-ci peut prouver qu’il n’est pas responsable de l’événement ou de la cause à l’origine du dommage.

18.9 Le SOUS-TRAITANT est responsable des Sous-traitants (substantiels) qu’il engage conformément aux dispositions du présent article.

ARTICLE 19 : MÉDIATION ET JURIDICTION

19.1 Le SOUS-TRAITANT s’engage à accepter la décision de la Personne concernée si celle-ci intente une action en dommages et intérêts contre lui en vertu du présent Accord :

• Transférer le différend à une personne indépendante pour une médiation ;

• Soumettre le litige aux tribunaux de Belgique.

19.2 Les Parties conviennent que le choix de la Personne concernée n’affecte pas ses droits substantiels ou procéduraux de recours conformément à d’autres dispositions du droit national ou inter- national applicable.

19.3 Tout litige entre les Parties concernant les termes du présent Accord sera porté devant les tribunaux compétents, comme le prévoit le Contrat-cadre.

ARTICLE 20 : RÉSILIATION DE LA CONVENTION

20.1 Le présent Accord reste applicable aussi longtemps que le SOUS-TRAITANT traite des Données Personnelles pour le compte du RESPONSABLE DU TRAITEMENT.

20.2 En cas de violation du présent Accord ou du Règlement, le RESPONSABLE DU TRAITEMENT peut demander au SOUS-TRAITANT de cesser immédiatement le traitement des Données Personnelles.

20.3 Le SOUS-TRAITANT ne conservera pas les données plus long- temps que nécessaire pour l’exécution des Services pour lesquels les données sont fournies. Au choix du RESPONSABLE DU TRAI- TEMENT, après l’exécution des Services relatifs au traitement, le SOUS-TRAITANT supprimera toutes les Données Person- nelles ou les retournera au RESPONSABLE DU TRAITEMENT, supprimera toutes les copies existantes et déclarera qu’il l’a fait, à moins que la conservation des Données Personnelles ne soit exigée par le droit de l’Union européenne ou des Etats membres ; Les Données Personnelles seront fournies au RESPONSABLE DU TRAITEMENT gratuitement, sauf accord contraire.