CONTRAT DE SOUS-TRAITANCE HEAT-BOX
CONTRAT DE SOUS-TRAITANCE HEAT-BOX
Le présent Contrat de sous-traitance s’applique à l’utilisation de Heat-Box, développé par Logi-Cal sprl, société dont le siège social est situé à 0000 Xxxxxxx, Spelvojestraat 6 et qui est titulaire du numéro d’entreprise 0649.860.309, (ci-après : « Logi-Cal ») qui est mis à la disposition d’une autre partie à qui ladite société fournit des services (ci-après : « le Responsable du traitement »).
Logi-Cal et le Responsable du traitement sont ci-après dénommés conjointement les « Parties » et séparément une « Partie ».
DÉFINITIONS
Législation en vigueur : le Règlement général sur la protection des données (RGPD), la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (telle que modifiée) (ci-après « la Loi du 8 décembre 1992 ») et les autres dispositions légales pertinentes en vigueur.
Données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable (ci-après dénommée « Personne concernée »). On considère comme personne identifiable toute personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne physique.
Traitement : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à caractère personnel ou à un ensemble de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction des données.
Responsable du traitement : une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui, seul(e) ou conjointement avec d’autres, détermine la finalité et les moyens du Traitement de Données à caractère personnel. Lorsque les finalités et les moyens du traitement sont établis dans le droit de l’UE ou dans le droit de l’État membre, le Responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être définis dans ledit droit de l’UE ou de l’État membre.
Sous-traitant : une personne physique ou morale, une autorité publique, un service ou tout autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement.
Destinataire: une personne physique ou morale, une autorité publique, un service ou tout autre organisme, qu’il s’agisse ou non d’un tiers, à qui ou à laquelle/auquel les Données à caractère personnel sont communiquées. Toutefois, les autorités publiques susceptibles de recevoir des Données à caractère personnel dans le cadre d’une enquête spéciale conformément au droit de l’UE ou de l’État membre ne sont pas considérées comme des Destinataires. Le traitement de ces données par ces autorités publiques est conforme aux règles de protection des données applicables à la finalité du traitement concernée.
Tiers : une personne physique ou morale, une autorité publique, un service ou tout autre organisme, autres que la Personne concernée, le Responsable du traitement, le Sous-traitant et les personnes qui, placées sous l’autorité directe du Responsable du traitement ou du Sous-traitant, sont habilitées à traiter les Données à caractère personnel.
Consentement de la Personne concernée : toute manifestation de volonté, libre, spécifique, informée et sans ambiguïté, par laquelle la Personne concernée accepte, par le biais d’une déclaration ou d’une opération active sans équivoque, que des Données à caractère personnel la concernant fassent l’objet d’un Traitement.
Violation des dispositions en matière de Données à caractère personnel : toute violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux données transmises, stockées ou traitées d’une autre manière.
CONSIDÉRANT QUE
A. Logi-Cal Heat-Box, un module logiciel permettant d’effectuer des calculs de perte de chaleur, a été développé. Heat-Box est hébergé par Logi-Cal et/ou des tiers sur un serveur placé dans un environnement sécurisé. Heat-Box peut être mis à la disposition de tiers via un réseau, sous la forme d’un Logiciel en tant que service ou SaaS.
B. Logi-Cal met Heat-Box à la disposition du Responsable du traitement. Logi-Cal agit en tant que Sous- traitant des Données à caractère personnel fournies par le Responsable du traitement.
C. Le Responsable du traitement prend en charge les Données à caractère personnel fournies et à fournir à Logi-Cal. Logi-Cal traite exclusivement les Données à caractère personnel pour le compte du Responsable du traitement.
D. Logi-Cal fournit les mesures techniques et organisationnelles appropriées pour s’assurer que le Traitement est conforme aux exigences de la législation applicable et que la protection des droits de la Personne concernée est garantie.
E. Les Parties souhaitent formaliser la coopération entre elles par le biais du présent contrat (ci-après le
« Contrat de sous-traitance »). Le présent Contrat est une annexe du contrat principal (ci-après le
« Contrat principal »). La collaboration se caractérise par l’absence de tout lien de subordination, et ce, conformément aux conditions et modalités suivantes.
IL EST CONVENU CE QUI SUIT
1. Objet
1.1 Le Responsable du traitement conclut un Contrat de sous-traitance avec Logi-Cal et les Parties se soutiennent et s’assistent mutuellement dans le cadre du présent Contrat de sous-traitance pour le traitement des Données à caractère personnel via Heat-Box (ci-après la « Mission »). Heat-Box est un logiciel de calcul des pertes de chaleur qui est proposé via Internet sous forme de service en ligne sur un site Web. Heat-Box n’est pas vendu, mais concédé sous licence aux professionnels du secteur de la construction et aux particuliers.
1.2 Le présent contrat est complémentaire aux Conditions générales de Logi-Cal. En cas de conflit entre le présent contrat et les Conditions générales, le présent contrat prévaudra. Le Client ne peut en aucun cas invoquer l’acceptation tacite de ses propres conditions.
1.3 Logi-Cal peut traiter les données à caractère personnel des personnes concernées suivantes (p. ex., clients, contacts clients du Responsable du traitement, etc.). Logi-Cal peut être amenée à traiter les données à caractère personnel suivantes de la personne concernée (p. ex., le nom, le prénom, le numéro de téléphone, l’adresse, l’adresse e-mail, etc.) en vertu des bases juridiques suivantes (consentement de la personne concernée, nécessité liée à l’exécution du contrat, obligation légale, protection des intérêts vitaux, mission d’intérêt général ou intérêt légitime) aux fins suivantes (p. ex.,
pour se conformer aux obligations légales (gestion de la clientèle, etc.), pour pouvoir exécuter le contrat, pour fournir à la personne concernée des informations sur l’entreprise, pour améliorer la qualité des services ou des informations fournies, etc.) :
Personnes concernées | Données à caractère personnel | Base juridique | Finalité | Type de traitement |
Les utilisateurs (finaux) qui sont autorisés par le Responsable du traitement à utiliser l’application Heat-Box | Nom, prénom, adresse e- mail, données du compte | Nécessaire à l’exécution d’un contrat | Exécution du contrat souscrit précédemment entre les Parties : Autoriser l’utilisateur (final) à accéder à Heat-Box | Stockage (hébergement ) + partage avec le Responsable du traitement |
Clients (finaux) (potentiels) du Responsable du traitement | Nom, prénom, adresse, données du projet, paramètres techniques du bâtiment | Nécessaire à l’exécution d’un contrat | Exécution du contrat souscrit précédemment entre les Parties : calcul des pertes de chaleur pour le bâtiment du client (final) (potentiel) du Responsable de traitement et hébergement des informations correspondantes | Stockage (hébergement ) + partage avec le Responsable du traitement |
1.4 Le Responsable du traitement s’assurera que les Données à caractère personnel de la ou des Personnes concernées ont été valablement obtenues et qu’il a obtenu le Consentement de la ou des Personnes concernées pour procéder à leur Traitement. Logi-Cal ne vérifie pas la validité du Consentement et ne peut donc pas être tenue responsable de tout comportement frauduleux de la part du Responsable du traitement.
1.5 Les Données à caractère personnel seront traitées exclusivement sur la base des instructions écrites du Responsable du traitement, entre autres en ce qui concerne les transferts de Données à caractère personnel à un pays tiers ou à une organisation internationale, à moins qu’une disposition du droit communautaire ou du droit national applicable à Logi-Cal ne l’oblige à effectuer le Traitement. Dans ce cas, Logi-Cal informe le Responsable du traitement de cette disposition de la loi préalablement au Traitement, sauf si cette législation interdit cette notification pour des raisons d’intérêt public impérieuses.
1.6 La description de la Mission n’est pas exhaustive et peut être révisée, sous réserve d’un accord mutuel entre les Parties et en fonction des besoins des Parties. À cette fin, un addenda au présent Contrat de sous-traitance doit être établi et signé.
2. Durée et résiliation
2.1 La durée du présent Contrat de sous-traitance est égale à la durée du ou des contrats conclus entre les Parties. Dans l’éventualité où la prestation de services de Logi-Cal en faveur du Responsable du Traitement ou le Traitement des Données à caractère personnel se poursuivraient (encore) après la durée officielle du ou des contrats conclus entre les Parties, le présent Contrat de sous-traitance sera maintenu.
2.2 Au terme du Contrat de sous-traitance, et/ou au terme de la prestation de services au Responsable du traitement, Logi-Cal est tenue de restituer les Données (à caractère personnel) fournies par le Responsable du traitement (ou de donner au Responsable du traitement la possibilité d’obtenir ces données sous forme numérique) à la demande du Responsable du traitement et au plus tard dans les 30 jours suivant la résiliation du Contrat de sous-traitance. Toutes les (copies de) Données (à caractère personnel) et/ou sauvegardes restantes doivent être détruites dans les 90 jours suivant la résiliation par Logi-Cal, à moins que le stockage des Données à caractère personnel ne soit requis par la législation de l’UE ou de l’État membre.
3. Exigences en matière de sécurité
3.1 Logi-Cal adoptera les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel contre la perte ou contre toute forme de traitement illicite. Les mesures à prendre sont conformes à l’état de l’art.
3.2 À ce jour, Logi-Cal a pris les mesures techniques et organisationnelles appropriées suivantes en faveur du Responsable du traitement :
▪ Utilisation de certificats SSL et communication via le protocole HTTPS ;
▪ Filtre Web automatique (blocage de requêtes SQL, attaques par force brute, etc.) ;
▪ Serveur équipé d’un scanner de logiciels malveillants ;
▪ Serveur équipé d’un pare-feu (Juniper SRX3400) ;
▪ Protection 24/7 contre les attaques par déni de service ou DDoS.
3.3 Les mesures de sécurité doivent assurer un niveau de sécurité approprié aux risques liés au Traitement et à la nature des informations à protéger.
3.4 Les mesures de sécurité sont adéquates et conformes aux normes et aux exigences de qualité correspondantes.
3.5 À la demande du Responsable du traitement, Logi-Cal fournira la documentation décrivant les mesures prises et facilitera et contribuera aux audits, y compris les inspections, par le Responsable du traitement ou un auditeur autorisé par ce dernier.
3.6 Logi-Cal propose un système suffisamment protégé d’un point de vue technique. Il appartient au Responsable du traitement de faire un usage approprié et adéquat du système.
4. Violation des dispositions relatives à la protection des Données à caractère personnel
4.1 Toute fuite de données (suspectée) doit être signalée immédiatement à l’autre Partie afin de discuter de la marche à suivre. Tout doit être examiné dans le cadre de l’obligation de déclaration du Responsable du traitement. Une telle fuite de données (suspectée) doit être signalée non seulement par Logi-Cal au Responsable du traitement, mais aussi dès que possible par le Responsable du traitement à l’autorité de surveillance. Ces mesures sont prises en vue d’arrêter toute éventuelle fuite de données.
4.2 En tant que Sous-traitant, Logi-Cal informera le Responsable du traitement dans les 24 heures suivant la découverte d’une fuite de données (suspectée) et, si possible, expliquera les mesures qui ont déjà été prises. Logi-Cal n’est pas tenue de communiquer la fuite à l’autorité de surveillance.
4.3 À son tour, le Responsable du traitement informera l’autorité de surveillance dans les 72 heures suivant la détection d’une fuite de données (suspectée) et, si possible, expliquera les mesures déjà prises. Dans le cas de données sensibles, la Personne concernée doit également être informée.
5. Confidentialité
5.1 Logi-Cal est assujettie à une obligation légale de confidentialité conformément à la législation en vigueur. Logi-Cal s’engage à traiter les Données à caractère personnel reçues de manière confidentielle.
5.2 Logi-Cal impose à ses (anciens) employés et/ou sous-traitants une obligation de respecter la confidentialité de toutes les Données à caractère personnel dont ils ont pris connaissance dans le cadre de la prestation de leurs services.
5.3 Logi-Cal ne mettra pas les Données à caractère personnel fournies à la disposition de tiers sans le consentement écrit préalable du Responsable du traitement, à moins que ledit Responsable du traitement ne soit tenu de le faire en vertu d’une disposition légale, d’un règlement ou d’une autre réglementation.
5.4 Si Logi-Cal reçoit une demande ou un ordre d’une autorité de contrôle belge ou étrangère, ou d’une autorité d’enquête, de poursuite pénale ou de sécurité nationale de fournir (l’accès à) des Données (à caractère personnel), y compris, mais sans s’y limiter, une demande en vertu du Patriot Act américain, Logi-Cal en informera le Responsable du traitement sans délai. Lors du traitement de la demande ou de l’ordre, Logi-Cal se conformera à toutes les demandes raisonnables du Responsable du traitement (y compris l’instruction de laisser tout ou partie du traitement de la demande ou de l’ordre au Responsable du traitement) et fournira toute la coopération raisonnablement nécessaire. Dans l’éventualité d’une obligation imposée par les autorités de maintenir la confidentialité d’une demande ou d’un ordre, Logi-Cal s’efforcera d’agir dans le meilleur intérêt du Responsable du traitement.
6. Autres sous-traitants
6.1 Pour l’exécution de ses services, Logi-Cal fait appel à Combell SA (BE 0541.977.701) en tant que sous- traitant secondaire.
6.2 Logi-Cal ne fera appel à aucun autre Sous-traitant sans le consentement préalable, spécifique ou général, et établi par écrit du Responsable du traitement. Dans le cas d’un consentement écrit général, Logi-Cal informe le Responsable du traitement des changements prévus concernant l’ajout ou le remplacement d’autres Sous-traitants, ce qui donne au Responsable du traitement la possibilité de s’opposer à ces changements.
6.3 Lorsque Logi-Cal emploie un autre Sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du Responsable du traitement, les mêmes obligations de protection des données sont imposées à cet autre Sous-traitant par un contrat ou un autre acte juridique en vertu du droit communautaire ou du droit d’un État membre que celles énoncées dans le présent Contrat de sous- traitance ou dans un autre acte juridique entre le Responsable du traitement et Logi-Cal, en particulier l’obligation de fournir des garanties adéquates concernant l’application de mesures techniques et organisationnelles appropriées visant à assurer que le Traitement est conforme à la législation en vigueur.
6.4 Si l’autre Sous-traitant ne respecte pas ses obligations en matière de protection des données, Logi-Cal reste entièrement responsable envers le Responsable du traitement en ce qui concerne le respect des obligations de cet autre Sous-traitant.
7. Personne concernée
7.1 Logi-Cal agira conformément aux instructions du Responsable du traitement en ce qui concerne toute demande présentée par une Personne concernée pour ce qui est de ses Données à caractère personnel.
7.2 Dans le cas où une Personne concernée fait une demande concernant ses Données à caractère personnel à Logi-Cal, Logi-Cal transmettra immédiatement une telle demande au Responsable du traitement en sa qualité de responsable.
8. Résiliation
8.1 Chaque Partie a le droit de résilier à tout moment le Contrat de sous-traitance et le contrat initial souscrit entre les Parties, avec effet immédiat, sans autorisation judiciaire ou mise en demeure préalable et sans avoir à payer une quelconque indemnisation, dans les cas suivants : (i) si l’autre Partie, en dépit d’une mise en demeure écrite respectant un délai d’au moins 7 jours civils, demeure en défaut d’exécution (en temps opportun et en bonne et due forme) d’une ou de plusieurs obligations découlant du Contrat de sous-traitance ; (ii) en cas de suspension de paiement ou (demande) de faillite ou de toute réorganisation en vertu de la loi du 31 janvier 2009 par l’autre Partie ; (iii) en cas de liquidation ou de cessation des activités de l’autre Partie ; (iv) si (une partie) des actifs de l’autre Partie sont saisis ; ou (v) si cette Partie a de bonnes raisons de douter que l’autre Partie remplira ses obligations envers elle.
9. Responsabilité
9.1 Sauf convention contraire expresse, tous les engagements de Logi-Cal au titre du présent Contrat de sous-traitance sont des engagements de moyens. Sans préjudice d’autres dispositions légales impératives, Logi-Cal n’est responsable des dommages causés par le non-respect de ces obligations que si et dans la mesure où ces dommages sont causés par une négligence grave ou intentionnelle ou par une fraude de sa part. Logi-Cal n’est pas responsable des autres erreurs.
9.2 Dans le cas où Logi-Cal serait tenue responsable de tout dommage, cette responsabilité sera limitée au maximum à la valeur de la facture de la commande du Responsable du traitement, ou au moins à la partie de la commande à laquelle la responsabilité se rapporte. Logi-Cal n’est responsable que des dommages directs. Logi-Cal n’est en aucun cas responsable des dommages indirects, y compris, mais sans s’y limiter, les dommages consécutifs, le manque à gagner, les économies perdues ou les dommages causés à des tiers.
9.3 En cas de force majeure, les obligations de Logi-Cal sont suspendues et Logi-Cal est dispensée et exonérée de plein droit du respect de toute obligation envers le Responsable du traitement. Tout cas de force majeure de la part de Responsable du traitement est expressément exclu.
10. Droit applicable et juridiction compétente
10.1 Le présent Contrat de sous-traitance est régi exclusivement par et interprété conformément au droit belge. Les tribunaux du Limbourg sont seuls compétents pour tout litige relatif au présent Contrat de sous-traitance.
11. Dispositions finales
11.1 Les Parties s’engagent à ne rien divulguer au sujet du présent Contrat de sous-traitance, sauf en cas
(i) d’obligation légale ou réglementaire, (ii) d’enquête judiciaire ou (iii) de procédure judiciaire. Dans un tel cas, l’autre Partie devrait être informée à l’avance du calendrier et du contenu de la communication.
11.2 Aucune Partie au présent Contrat de sous-traitance n’est réputée avoir renoncé à tout droit ou intérêt qu’elle a en vertu du présent Contrat de sous-traitance ou consécutivement à celui-ci, à moins que cette renonciation n’ait été notifiée par écrit.
11.3 Si une obligation ou une modalité du présent Contrat de sous-traitance est inapplicable ou incompatible avec une disposition des lois de police, cette inapplicabilité ou invalidité n’affectera pas la validité et l’applicabilité des autres dispositions du présent Contrat de sous-traitance ni de la partie de la disposition concernée qui n’est pas incompatible avec les lois de police. La disposition illégale, invalide ou non exécutoire sera automatiquement considérée comme étant remplacée par une disposition légale, valide, exécutoire et aussi proche que possible de l’intention sous-jacente à la disposition illégale, invalide ou non exécutoire et sera appliquée sous une forme amendée.
11.4 Le Responsable du traitement ne peut transférer ses droits ou obligations en vertu du présent Contrat de sous-traitance sans le consentement écrit préalable de Logi-Cal.
* * *
Établi à Hasselt le 05/10/2018.