Contrat de traitement de données Premium Plus

Le présent contrat s’applique à toute forme de traitement de données personnelles réalisé par Premium Plus BVBA, dont le siège social est situé à Tweehagen 51, 9170 Saint-Gilles-Waes, Belgique, immatriculée sous le numéro 0844.776.562 (ci-après le « sous-traitant »), pour le compte d’une autre partie à laquelle elle fournit ses services (ci-après le « responsable du traitement »).

Article 1. Définitions

  1. Donnée personnelle : toute information relative à une personne physique identifiée ou identifiable résidente de l’Union européenne, qui fait l’objet d’un traitement réalisé par le sous-traitant dans le cadre du présent contrat pour le compte du responsable du traitement.
  2. Personne concernée : personne à laquelle se rapportent des données personnelles.
  3. Violation de données personnelles : violation qui entraîne de manière accidentelle ou illicite la destruction, la perte, la modification ou la transmission non autorisée de données transmises, enregistrées ou traitées d’une quelconque autre manière, ou l’accès à ces données.
  4. Règlement : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  5. Conditions générales : les conditions générales du sous-traitant.
  6. Contrat : contrat(s) conclu(s) par le sous-traitant et le responsable du traitement des données, y compris les conditions générales applicables du sous-traitant.
  7. Contrat de traitement : le présent contrat, ses conditions et ses annexes.
  8. Traitement : toute opération ou tout ensemble d’opérations effectuée(s) ou non à l’aide de procédés automatisés et appliquée(s) à des données personnelles ou des ensembles de données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Article 2. Objet du présent contrat de traitement

  1. Le présent contrat de traitement encadre le traitement de données personnelles réalisé par le sous-traitant dans le cadre des présentes.
  2. Le sous-traitant déclare mettre en œuvre des mesures techniques et organisationnelles adéquates de sorte que le traitement soit conforme aux dispositions du règlement et que les droits des personnes concernées soient respectés.
  3. Le sous-traitant déclare satisfaire aux exigences des lois et des réglementations applicables quant au traitement de données personnelles.
  4. Les données traitées par le sous-traitant à la demande du responsable du traitement doivent être définies au contrat, au devis, aux conditions générales ou au(x) manuel(s) associé(s) au(x) service(s) acheté(s).

Article 3. Finalités du traitement

  1. Le sous-traitant s’engage à traiter les données personnelles conformément au présent contrat pour le compte du responsable du traitement. Le traitement de données est réalisé exclusivement dans le cadre du traitement automatisé des processus financiers, logistiques, de commandes et de gestion ainsi qu’aux finalités qui y sont raisonnablement liées ou qui ont été acceptées par l’expression d’un consentement.
  2. Le sous-traitant ne traite des données personnelles qu’aux fins déterminées par le responsable du traitement. Ce dernier informe le sous-traitant des finalités du traitement dans la mesure où ces finalités ne sont pas déjà clairement définies au présent contrat et/ou aux documents visés à l’article 2.4.
  3. Les données personnelles traitées par le sous-traitant dans le cadre des activités indiquées à l’article précédent ainsi que les catégories de personnes concernées auxquelles elles se rapportent sont listées en annexe.
  4. Les données personnelles traitées pour le compte du responsable du traitement restent la propriété de ce dernier et/ou des parties concernées.

Article 4. Droits et obligations du sous-traitant

  1. Les obligations du sous-traitant découlant du présent contrat s’appliquent également aux personnes physiques et morales qui traitent des données personnelles sous son autorité, y compris son personnel, dans le sens le plus large du terme.
  2. Si, de l’avis du sous-traitant, une instruction formulée par le responsable du traitement est contraire à une disposition de protection des données applicable, il en informera ce dernier avant le traitement, sauf si ladite disposition l’en interdit.
  3. Dans la mesure où cela lui est possible, le sous-traitant apportera son concours au responsable du traitement dans la réalisation d’analyses d’impact sur la protection des données (AIPD). Les frais et heures de travail engagés seront facturés au responsable du traitement au taux horaire en vigueur.
  4. Dans le cas où le sous-traitant est tenu de fournir des données personnelles en raison d’une disposition légale, il en informera immédiatement le responsable du traitement, si possible avant la transmission de ces données.
  5. Le sous-traitant n’exerce aucun contrôle sur les finalités et les moyens du traitement des données personnelles.
  6. Le sous-traitant traite les données personnelles exclusivement à la demande du responsable du traitement et en vertu du ou des contrat(s) conclu(s) avec celui-ci, sauf dispositions légales contraires s’appliquant au sous-traitant.
  7. Le sous-traitant ne peut traiter les données personnelles qu’au sein d’États membres de l’Union européenne.
  8. Il incombe au responsable du traitement de s’assurer du respect du droit à la vie privée des personnes concernées relativement aux données personnelles utilisées. Il est par ailleurs tenu d’établir et de publier une déclaration de confidentialité exhaustive et de respecter toutes les obligations légales.

Article 5. Partage des responsabilités

  1. Le sous-traitant est seul responsable du traitement des données personnelles dans le cadre du présent contrat, conformément au(x) contrat(s) convenu(s) avec le responsable du traitement et sous la responsabilité expresse (finale) de ce dernier.
  2. Le sous-traitant n’est en aucun cas responsable des autres types de traitement de données personnelles, notamment la collecte de données personnelles par le responsable du traitement, le traitement de données à des fins non déclarées par ce dernier ou le traitement réalisé par des tiers et/ou à d’autres fins.
  3. Le responsable du traitement garantit que la nature et l’utilisation du traitement des données personnelles ainsi que les instructions s’y rapportant au sens du présent contrat sont licites et ne portent atteinte à aucun droit de tiers.

Article 6. Sous-traitants du sous-traitant

Lorsque le responsable du traitement fait appel à un autre sous-traitant pour réaliser des activités de traitement pour le compte du sous-traitant initial, ce nouveau sous-traitant est soumis par contrat aux mêmes obligations de protection de données que celles prévues au présent contrat. Le responsable du traitement n’est pas tenu de demander l’autorisation du sous-traitant initial ni de l’en informer. Le sous-traitant initial garantit le respect des obligations résultant du présent contrat par ces tiers et, en cas de manquement de ces tiers, est responsable de tous les dommages au même titre que s’il en était lui-même à l’origine.

Article 7. Sécurité

  1. Le sous-traitant fait tout son possible pour prendre des mesures techniques et organisationnelles suffisantes pour assurer la sécurité du traitement des données personnelles et éviter toute perte de données ou tout traitement illicite (violation, altération ou transmission non autorisée des données personnelles ou accès non autorisé à ces dernières).
  2. Le sous-traitant ne peut garantir la sécurité des données en toutes circonstances. Dans le cas où le contrat de traitement ne prévoit pas de mesure de sécurité clairement définie, le sous-traitant fera tout son possible pour assurer un niveau de sécurité raisonnable au regard de l’état de l’art, du degré de confidentialité des données personnelles et des coûts associés à la mise en œuvre de ces mesures de sécurité.
  3. Le responsable du traitement ne transmet les données personnelles au sous-traitant à des fins de traitement que si celui-ci a mis en œuvre les mesures de sécurité nécessaires. Le responsable du traitement est responsable du respect des mesures convenues par les parties.

Article 8. Obligation de signalement

  1. Le responsable du traitement est tenu à tout moment de signaler aux organismes de régulation et/ou aux parties impliquées toute violation de données personnelles portant atteinte ou susceptible de porter atteinte à la sécurité des données personnelles. Le sous-traitant informera le responsable du traitement de la violation dans un délai raisonnable après qu’il en aura pris connaissance de sorte à permettre au responsable du traitement de satisfaire à ses obligations légales.
  2. Ne doivent être signalées que les violations réellement survenues et qui ont ou sont susceptibles d’avoir des répercussions majeures.
  3. L’obligation de signalement implique dans tous les cas l’obligation de signaler la violation de données. Doivent également être indiqués :
    1. la nature de la violation des données personnelles, précisant, si possible, les catégories et le nombre approximatif de personnes concernées et de registres de données personnelles en question ;
    2. le nom et les coordonnées du délégué à la protection des données ou de toute autre personne détenant des informations utiles ;
    3. les répercussions probables de la violation des données personnelles ; et
    4. les mesures proposées ou prises par le sous-traitant pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à en limiter les répercussions négatives.
  4. Chacune des parties prend en charge les frais de signalement de la violation à l’organisme de régulation compétent et aux personnes concernées.

Article 9. Gestion des demandes des personnes concernées

  1. Lorsqu’une personne concernée soumet au sous-traitant une demande d’exercice de ses droits légaux, celui-ci gérera lui-même la demande et en informera le responsable du traitement.
  2. Le sous-traitant facturera les coûts de gestion de ces demandes au responsable du traitement au taux horaire en vigueur.

Article 10. Confidentialité

  1. Toutes les données personnelles transmises par le responsable du traitement au sous-traitant et toutes les données personnelles que ce dernier collecte dans le cadre du présent contrat font l’objet d’une obligation de confidentialité vis-à-vis de tiers. Le sous-traitant ne saurait utiliser ces informations à d’autres fins que celles pour lesquelles il les a obtenues, même s’il fait en sorte que les données ne puissent plus être associées aux personnes concernées.
  2. Cette obligation de confidentialité ne s’applique pas lorsque le responsable du traitement a donné son accord exprès à la transmission de données à des tiers si cette transmission est nécessaire au vu de la nature des missions qui lui ont été confiées et de l’exécution du présent contrat ou si la transmission des données à un tiers est obligatoire en vertu de la loi.
  3. Si le sous-traitant en fait la demande, le responsable du traitement apportera la preuve que ses salariés se sont engagés à préserver la confidentialité ou sont soumis à une obligation de confidentialité.

Article 11. Audit

  1. En cas d’utilisation abusive présumée de données personnelles, le responsable du traitement se réserve le droit de faire appel à un tiers, soumis à une obligation de confidentialité, pour réaliser un audit visant à contrôler le respect des dispositions applicables en matière de traitement des données personnelles.
  2. Le sous-traitant apportera son concours pour l’audit et mettra à disposition, dans un délai raisonnable, toutes les informations raisonnablement pertinentes à cet effet, y compris les données connexes telles que les fichiers journaux du système.
  3. Les recommandations formulées à l’issue de l’audit seront évaluées par les parties et seront appliquées en concertation ou en accord avec l’une des parties ou d’un commun accord entre les parties.
  4. Les frais d’audit incombent au responsable du traitement. Ces frais comprennent également les coûts engagés pour permettre au personnel du sous-traitant d’apporter son concours pour l’audit, au taux horaire en vigueur.

Article 12. Responsabilité

La responsabilité du sous-traitant est définie à l’article 15 de ses conditions générales, lesquelles ont été acceptées par le responsable du traitement.

Article 13. Durée et résiliation du contrat

  1. Le contrat de traitement prend effet lorsque le responsable du traitement accepte l’offre par écrit ou par voie électronique, ou au début de la prestation de services.
  2. Le contrat de traitement est conclu pour la durée convenue entre les parties. Si la date de fin du contrat n’est pas clairement fixée, le contrat est applicable pendant toute la durée d’utilisation des services fournis par le sous-traitant.
  3. À la résiliation du contrat de traitement, pour quelque raison que ce soit et d’une quelconque manière, le sous-traitant supprimera toutes les données personnelles et leurs copies sauf s’il est légalement tenu de conserver ces données.
  4. Le sous-traitant est en droit de modifier le présent contrat à tout moment, dans le respect des modalités de modification prévues à ses conditions générales.

Article 14. Droit applicable et règlement des litiges

  1. Le présent contrat de traitement est soumis aux conditions générales du sous-traitant.
  2. Le présent contrat ainsi que son exécution sont régis par le droit belge.
  3. Tous les litiges survenant entre les parties en lien avec le présent contrat de traitement seront portés devant le tribunal compétent du canton dans lequel se trouve le sous-traitant.

Annexe 1 : Catégories de données personnelles et de personnes concernées

Catégories de données personnelles

Le sous-traitant est susceptible de traiter les données personnelles (particulières) suivantes pour le compte du responsable du traitement :

  • Adresse e-mail comme identifiant en cas de synchronisation
  • Numéros de téléphone
  • Identifiant d’utilisateur
  • Tickets susceptibles de comporter des données personnelles (un champ de commentaires, par exemple)

Catégories de personnes concernées

Le sous-traitant est susceptible de traiter les données personnelles des catégories de personnes concernées suivantes pour le compte du responsable du traitement :

  • Personnel du responsable du traitement
  • Prospects du responsable du traitement
  • Fournisseurs du responsable du traitement
  • Clientèle du responsable du traitement

Catégories de destinataires

Le sous-traitant est susceptible de transmettre les données personnelles aux catégories de destinataires suivantes pour le compte du responsable du traitement :

  • Prestataires administratifs du responsable du traitement
  • Prestataires logistiques du responsable du traitement
  • Prestataires de CRM du responsable du traitement
  • Fournisseurs de services d’assistance du responsable du traitement

Le responsable du traitement déclare que la liste de catégories de données personnelles et de personnes concernées figurant à l’annexe 1 est exhaustive et correcte. Il dégage le sous-traitant de toute responsabilité en cas de dommages et de réclamations résultant d’une déclaration inexacte de la part du responsable du traitement.