Accord de traitement des données

Version AV2024-1.0

Parties :
1. Jimani, ci-après dénommé « Sous-traitant » ;
2. Client, ci-après dénommé « Responsable du traitement » ;
‍
Sous-traitant et Responsable du traitement, ci-après également dénommés conjointement les : « Parties »

Considérant que :

– Le responsable du traitement a donné au sous-traitant la mission de traiter les données personnelles de son entreprise dans le cadre du contrat principal, qui fait partie intégrante de la présente convention de sous-traitance ; – Le responsable du traitement désigne les finalités et les moyens, auxquels les conditions énoncées dans le présent document s’appliquent ; – Le sous-traitant est disposé à effectuer les traitements et à respecter les obligations relatives à la sécurité et aux autres aspects du Règlement général sur la protection des données (« RGPD »), dans la mesure de ses capacités ; – Le sous-traitant ne traite pas les données personnelles à des fins propres ; – Le responsable du traitement peut être considéré comme responsable du traitement au sens de l’article 4, paragraphe 7 du RGPD ; – Le sous-traitant peut être considéré comme sous-traitant au sens de l’article 4, paragraphe 8 du RGPD ; – Lorsque la présente convention fait référence à des « Données personnelles », il s’agit des données personnelles au sens de l’article 4, paragraphe 1 du RGPD ; – Les parties souhaitent, compte tenu notamment de l’exigence de l’article 28, paragraphe 3 du RGPD, consigner par écrit leurs droits et obligations au moyen de la présente convention de sous-traitance (ci-après la « Convention de sous-traitance »).

Les parties sont convenues de ce qui suit :

‍Article 1 – Objet du traitement

1.Le sous-traitant s’engage, dans le cadre des conditions de la présente convention de sous-traitance, à traiter les données personnelles pour le compte du responsable du traitement. Le traitement aura lieu exclusivement dans le cadre de l’exécution du contrat de prestation et de la présente convention de sous-traitance au sens de l’article 28, paragraphe 3 du RGPD. 2. Il est interdit au sous-traitant de traiter les données personnelles à une autre fin que celle définie par le responsable du traitement. L’objectif du traitement est la fourniture des services demandés par le responsable du traitement, tels que décrits et établis dans le contrat principal. À cette fin, les tâches suivantes sont effectuées : mise à disposition d’une plateforme pour les activités du client et autres travaux connexes. 3. La catégorie des personnes concernées dont les données personnelles sont collectées comprend les informations des clients, les identifiants de connexion, les données des employés du client et/ou d’autres personnes ou relations du responsable du traitement avec lesquelles le sous-traitant entre en contact lorsqu’il traite des données personnelles pour le compte du responsable du traitement. 4. La catégorie de données personnelles traitées comprend : les données personnelles et les données des employés du client. 5. Le sous-traitant ne traitera pas les données personnelles à d’autres fins que celles définies par le responsable du traitement. Le responsable du traitement informera le sous-traitant des finalités du traitement dans la mesure où celles-ci ne sont pas déjà mentionnées dans la présente convention de sous-traitance. 6. Le sous-traitant a le contrôle des moyens de traitement et de stockage des données personnelles. Le responsable du traitement est responsable de la définition de l’objectif du traitement et doit le consigner clairement. 7. Le traitement sera effectué de manière manuelle et (semi-)automatique. 8. Les données personnelles traitées pour le compte du responsable du traitement restent la propriété du responsable du traitement et/ou des personnes concernées.

‍Article 2 – Durée du contrat

Le présent accord entre en vigueur après approbation du contrat et est conclu pour la durée du contrat principal. 2. Le présent accord ne peut être résilié avant terme. 3. Les modifications de cet accord résultant de changements dans un éventuel contrat de prestation sous-jacent, la législation ou la réglementation, ou d’autres circonstances pertinentes, ne sont valables juridiquement que si elles sont ajoutées à la convention de sous-traitance après consultation et avec l’accord exprès des parties. 4. Le présent accord prend fin de plein droit si le contrat principal prend fin. 5. Dès que l’accord est résilié, pour quelque raison que ce soit et de quelque manière que ce soit, le sous-traitant – selon le choix du responsable du traitement – retournera toutes les données personnelles en sa possession, sous forme originale ou en copie, au responsable du traitement et/ou supprimera et/ou détruira les données personnelles originales et les copies dans un délai maximal de 28 jours. Les éventuels coûts liés à cette opération sont à la charge du responsable du traitement. 6. Les dispositions relatives à la confidentialité, à la responsabilité et au règlement des litiges restent pleinement applicables après la fin du présent accord.

‍Article 3 – Obligations du Sous-traitant

Le sous-traitant est tenu de respecter les conditions imposées par la législation en vigueur, en particulier le RGPD et la loi d’exécution du RGPD, relatives au traitement des données personnelles. 2. Il est interdit au sous-traitant d’enrichir ses propres bases de données et/ou fichiers avec des données (personnelles) provenant des bases de données du responsable du traitement, sauf si le sous-traitant doit créer des bases de données et/ou fichiers temporaires pour assurer un traitement correct des données personnelles. Ces fichiers temporaires sont supprimés immédiatement dès qu’ils ne sont plus nécessaires au traitement. 3. Le sous-traitant doit informer le responsable du traitement, à sa première demande, des mesures qu’il a prises pour respecter ses obligations au titre de la présente convention de sous-traitance. 4. Si le responsable du traitement donne des instructions au sous-traitant concernant le traitement des données personnelles, le sous-traitant doit suivre ces instructions si cela est nécessaire pour un traitement correct, sauf si ces instructions sont contraires à la législation applicable ou aux règles professionnelles et déontologiques en vigueur. Seul le responsable du traitement est habilité à donner son avis exclusif à ce sujet. 5. Toutes les obligations du sous-traitant s’appliquent également aux personnes traitant des données personnelles sous l’autorité du sous-traitant (avec l’accord exprès du responsable du traitement), y compris les employés et les tiers engagés par le sous-traitant. 6. Le sous-traitant est responsable de ce que seuls les employés et/ou tiers ayant besoin d’accéder aux données personnelles pour l’exécution du contrat y aient accès. Ces employés et/ou tiers travaillent sous la responsabilité du sous-traitant. 7. Le responsable du traitement n’a pas un accès limité aux données personnelles chez le sous-traitant. Le sous-traitant est tenu de coopérer à la demande du responsable du traitement pour permettre l’accès aux données. 8. Le présent accord n’est pas transférable, sauf accord explicite contraire.

‍Article 4 – Transfert de données à caractère personnel

Sauf autorisation écrite du responsable du traitement, le sous-traitant ne transférera pas et ne rendra pas accessible, depuis des pays ou organisations internationales pour lesquels la Commission européenne n’a pas encore décidé qu’ils offrent un niveau de protection adéquat conformément à la réglementation sur la protection des données applicable, les données personnelles traitées par ou pour le compte du sous-traitant ou d’un sous-traitant qu’il a engagé dans le cadre de l’exécution du contrat. Les articles 44 à 50 du RGPD sont respectés en toutes circonstances. Le sous-traitant fournit, à la première demande du responsable du traitement, des informations sur le ou les lieux où le traitement a lieu. 2. Le sous-traitant doit traiter les données personnelles du responsable du traitement avec soin.

‍Article 5 – Responsabilité du Sous-traitant

Dans le cadre du présent accord, le sous-traitant effectuera pour le compte du responsable du traitement les tâches mentionnées à l’article 1.2 de cet accord ainsi que toutes autres tâches stipulées dans le contrat principal. 2. Le sous-traitant est responsable du traitement des données personnelles dans le cadre de la présente convention de sous-traitance, conformément aux instructions du responsable du traitement. Pour tout autre traitement de données personnelles, y compris mais sans s’y limiter, la collecte de données personnelles par le responsable du traitement, les traitements à des fins non communiquées au sous-traitant par le responsable du traitement, les traitements effectués par des tiers et/ou à d’autres fins, le sous-traitant reste également responsable.

‍Article 6 – Tiers

Les tâches du sous-traitant ne peuvent être confiées à des tiers qu’avec l’accord exprès préalable du responsable du traitement. Le sous-traitant est responsable de ces tiers et est lui-même responsable et tenu d’indemniser pour tout dommage causé par ces tiers au responsable du traitement. Toutes les obligations du présent accord s’appliquent également à ces tiers (sous-traitants).

Article 7 – Mesures de sécurité Données à caractère personnel

Le sous-traitant s’engage à prendre des mesures organisationnelles et techniques suffisantes et appropriées pour prévenir toute forme de traitement illégal concernant les données personnelles qu’il doit traiter. 2. Le niveau de sécurité des mesures doit au minimum correspondre à un niveau raisonnable au regard des coûts associés, de la sensibilité des données personnelles concernées, de l’état de la technique et des risques. Le sous-traitant ne garantit pas que les mesures de sécurité prises seront toujours efficaces dans toutes les circonstances. Les parties peuvent convenir de mesures de sécurité supplémentaires ou complémentaires. 3. Le sous-traitant a la responsabilité de s’assurer que lui-même, ses employés et les tiers qu’il engage sont informés de tous les protocoles, politiques de sécurité et autres instructions permettant et favorisant un traitement sécurisé. 4. Le sous-traitant est responsable et tenu responsable de sa part du traitement. 5. En cas de violation de la sécurité des données personnelles pouvant causer un dommage ou avoir des conséquences défavorables sur la protection des données personnelles, le sous-traitant doit informer immédiatement, ou du moins sans retard injustifié, le responsable du traitement, et ce dans les 24 heures suivant le moment où le sous-traitant aurait raisonnablement pu en avoir connaissance. Le responsable du traitement informera ensuite l’Autorité de protection des données dans les 48 heures et, le cas échéant, les personnes concernées dès que possible. 6. Conformément à l’obligation de notification du sous-traitant, le signalement d’une violation doit comporter au minimum les éléments suivants : la nature de la violation concernant les données personnelles, si possible en indiquant les catégories de personnes concernées et de données personnelles impliquées, ainsi qu’une estimation du nombre de personnes et d’enregistrements concernés ; le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact pour obtenir plus d’informations ; les conséquences probables de la violation concernant les données personnelles ; les mesures que le sous-traitant a proposées ou mises en œuvre pour remédier à la violation, y compris, le cas échéant, les mesures visant à limiter les conséquences défavorables. 7. Le responsable du traitement doit tenir un registre de toutes les violations conformément à l’article 33, paragraphe 5 du RGPD. 8. En cas de violation de la sécurité des données personnelles chez le sous-traitant, celui-ci est tenu, à ses frais, de prendre des mesures appropriées pour prévenir de futurs incidents et/ou violations.

‍Article 8 – Confidentialité

Le sous-traitant et ses employés, ainsi que les tiers engagés par le sous-traitant, sont tenus de garder confidentielles toutes les données personnelles, informations sensibles et/ou informations commerciales obtenues dans le cadre du présent accord. L’obligation de confidentialité ne s’applique pas si le responsable du traitement a donné une autorisation expresse et écrite au sous-traitant pour partager ces données et informations avec des tiers, ou s’il existe une obligation légale de communiquer ces données et informations à un tiers. À la fin du présent accord, les parties restent tenues de respecter cette obligation de confidentialité.

‍Article 9 – Droits de la personne concernée

Si le sous-traitant reçoit une demande d’accès d’une personne concernée ou d’une autorité compétente, il doit traiter cette demande dans les plus brefs délais, et au plus tard sous 5 jours ouvrables. Si le sous-traitant ne peut pas traiter la demande lui-même, celle-ci doit être transmise au responsable du traitement dans un délai de 5 jours ouvrables. Le sous-traitant doit, si cela est demandé, coopérer à l’exécution de la demande. Les coûts engagés par le sous-traitant pour cette coopération sont à la charge du responsable du traitement. 2. Les dispositions de l’article 9.1 s’appliquent également si une personne concernée souhaite exercer d’autres droits, tels que le droit de rectification, le droit à l’effacement des données, le droit à la limitation du traitement, le droit à la portabilité des données, le droit d’opposition et les droits en cas de décisions automatisées individuelles, tels que définis aux sections 3 et 4 du Règlement général sur la protection des données (RGPD).

‍Article 10 – Responsabilité

Le sous-traitant est responsable du traitement des données personnelles et garantit que ce traitement est licite et ne porte pas atteinte aux droits des personnes concernées. Le sous-traitant n’est responsable que des dommages résultant de ses actions et/ou omissions, ou de son non-respect des lois et règlements. 2. La responsabilité du sous-traitant est limitée à un maximum équivalent à la valeur de la mission. Tout dommage indirect ou consécutif est expressément exclu de la responsabilité du sous-traitant. 3. Nonobstant les dispositions du présent article, le sous-traitant est responsable des dommages causés par le traitement si ce traitement n’a pas respecté les obligations spécifiques qui lui incombent en vertu du RGPD ou si le traitement a été effectué en violation des instructions légitimes du responsable du traitement. 4. Le sous-traitant n’est pas responsable des dommages s’il peut démontrer qu’il n’a en aucune manière contribué au fait générateur du dommage.

‍Article 11 – Indemnisation

Le responsable du traitement indemnise le sous-traitant contre toute réclamation, amende et/ou astreinte de la part de l’Autorité de protection des données et/ou d’autres autorités, lorsqu’il est établi que les infractions relèvent de la responsabilité du responsable du traitement. 2. Le sous-traitant peut répercuter les amendes et/ou astreintes infligées sur le responsable du traitement dans la mesure où le sous-traitant peut être tenu responsable des infractions commises par le responsable du traitement.

‍Article 12 – Règlement des litiges

Le présent accord est régi par le droit néerlandais. 2. Tous les litiges entre les parties, découlant de, liés à ou concernant la présente convention de sous-traitance, seront tranchés par le tribunal compétent du lieu d’établissement du sous-traitant.