Les parties :
⦁ Vous en tant que client, ci-après dénommé le « responsable du traitement » ;
et
⦁ la société privée à responsabilité limitée Fairtual Technologies BV, dont le siège social est situé en Belgique, 8000 Bruges, avenue Reine Elisabeth 18, représentée dans cette affaire par son administrateur, M. Diego Dupont, ci-après dénommée le » Processeur « .
Considérations :
⦁ Le processeur a conclu un ou plusieurs accords avec le processeur pour la fourniture de divers services par le processeur au processeur ou va conclure un tel accord. Le présent accord ou l’ensemble de ces accords sont ci-après dénommés « le contrat-cadre ».
⦁ Le processeur traitera les données dont le processeur est et reste responsable lors de l’exécution du contrat-cadre. Ces données comprennent des données à caractère personnel au sens du règlement général sur la protection des données (UE 2016/679), ci-après dénommées » GAV « .
⦁ Compte tenu des dispositions de l’article 28, paragraphe 3, de la LVA, les parties souhaitent fixer les conditions de traitement de ces données personnelles dans la présente convention.
Accord :
⦁ Portée
⦁ Le présent accord s’applique dans la mesure où la fourniture des services prévus par le contrat-cadre implique un ou plusieurs des traitements énumérés à l’annexe 1.
⦁ Les opérations de traitement de l’annexe 1 qui ont lieu lors de la fourniture des services sont ci-après dénommées « les opérations de traitement ». Les données personnelles traitées par ce biais : » les Données Personnelles « .
⦁ En ce qui concerne les opérations de traitement, le contrôleur est le responsable du traitement et le sous-traitant est le responsable du traitement. Les personnes physiques qui utilisent effectivement les services du Processeur en vertu du contrat-cadre et, le cas échéant, leurs représentants, sont également dénommés ci-après » les Utilisateurs finaux « .
⦁ Tous les termes utilisés dans le présent accord ont la signification qui leur est donnée dans l’AVG.
⦁ Les annexes font partie du présent accord. Il s’agit de :
Annexe 1 le Traitement, les Données Personnelles et les périodes de conservation ;
Annexe 2 les Sous-Traitants et les catégories de Sous-Traitants que le Contrôleur approuve ;
Annexe 3 les mesures techniques et organisationnelles du sous-traitant ;
Annexe 4 Information en cas de violation des données.
⦁ Sujet
⦁ Le Responsable du traitement s’engage à traiter les Données à caractère personnel uniquement aux fins des activités spécifiées dans le présent Contrat de traitement et/ou le Contrat-cadre. Le Processeur garantit que, sans le consentement exprès et écrit du Processeur, il n’utilisera pas les Données à caractère personnel traitées en vertu du présent Accord de traitement de quelque manière que ce soit à ses propres fins ou aux fins de tiers, sauf si une disposition légale applicable au Processeur l’oblige à traiter. Dans ce cas, le sous-traitant notifie sans délai au contrôleur cette disposition légale, avant le traitement, à moins que cette législation n’interdise une telle notification pour des raisons importantes d’intérêt public.
⦁ Le Processeur conservera les Données personnelles du Processeur séparément des Données (personnelles) qu’il traite pour lui-même ou pour des tiers.
⦁ Le sous-traitant effectue le traitement d’une manière appropriée et prudente.
3 Mesures de sécurité
⦁ Le sous-traitant prend toutes les mesures de sécurité techniques et organisationnelles qui lui sont imposées par la LVA et notamment par l’article 32 LVA.
⦁ Le sous-traitant fournit un document indiquant les mesures techniques et organisationnelles appropriées. Ce document sera joint en tant qu’annexe 3 au présent accord de traitement.
4 Violations de données
⦁ Le sous-traitant informe le contrôleur de toute » violation de données à caractère personnel » visée à l’article 4, paragraphe 12, de l’AVG sans retard déraisonnable, mais en tout état de cause dans les 24 heures. Une telle violation est ci-après dénommée « violation des données ».
⦁ Le responsable du traitement fournira au contrôleur, sans retard déraisonnable, toutes les informations qu’il possède et qui sont nécessaires pour remplir les obligations prévues à l’article 33 de la LCA et apportera toute la coopération demandée par le contrôleur. Le sous-traitant fournit par ailleurs les informations pertinentes dès que possible dans un format commun qu’il détermine. En outre, le Responsable du traitement tiendra le Contrôleur informé de tout nouveau développement concernant la Fuite de données et prendra toutes les mesures raisonnables pour remédier à la Fuite de données et en limiter les conséquences (ou les conséquences possibles) autant que possible. Le sous-traitant prend également les mesures nécessaires pour éviter que la fuite de données ne se reproduise.
⦁ Le Processeur n’informe pas le Contrôleur d’une violation de données s’il est absolument clair que la violation de données ne présente aucun risque pour les droits et libertés des personnes physiques. En cas de doute à ce sujet, le Responsable du traitement signalera la fuite de données au Responsable du traitement afin de lui permettre de se faire sa propre opinion sur un éventuel signalement de la fuite de données. Le sous-traitant documente toutes les violations, y compris celles qui ne doivent pas être signalées au contrôleur, et fournit cette documentation au contrôleur une fois par trimestre, ou plus tôt si le contrôleur le demande. La documentation contient au moins les informations figurant à l’annexe 4.
⦁ Il est de la seule responsabilité du Responsable du traitement de déterminer si une fuite de données détectée chez le Responsable du traitement est signalée à l’autorité compétente et/ou aux parties concernées.
5 Utilisation de sous-traitants secondaires
⦁ Le Processeur est autorisé à engager des tiers en tant que Sous-traitants aux fins du Traitement sans le consentement écrit préalable du Processeur.
⦁ Le responsable du traitement veille à ce que le ou les tiers concernés concluent un accord dans lequel ils respecteront au moins les mêmes obligations légales que celles du responsable du traitement.
⦁ Le sous-traitant informe le contrôleur des sous-traitants secondaires qu’il a engagés. Le responsable du traitement peut alors s’opposer aux ajouts ou aux remplacements en ce qui concerne les sous-traitants secondaires du sous-traitant.
⦁ en tout état de cause, le sous-traitant donne par la présente son consentement à l’engagement des sous-traitants secondaires et/ou des catégories de sous-traitants secondaires énumérés à l’annexe 2.
6 Obligation de confidentialité
⦁ Le sous-traitant doit garder les données personnelles secrètes. Le sous-traitant veille à ce que les données à caractère personnel ne soient pas directement ou indirectement mises à la disposition de tiers. Les tiers comprennent également le personnel du Processeur dans la mesure où il n’est pas nécessaire qu’ils prennent connaissance des Données Personnelles. Cette interdiction ne s’applique pas si le présent accord en dispose autrement et/ou dans la mesure où une réglementation légale ou un jugement oblige à une quelconque divulgation.
Cette interdiction ne s’applique pas si le présent accord en dispose autrement et/ou dans la mesure où une réglementation légale ou un jugement oblige à une quelconque divulgation.
⦁ Le Responsable du traitement informe le Contrôleur de toute demande d’inspection, de fourniture ou de récupération des Données à caractère personnel, en violation de l’obligation de confidentialité contenue dans le présent article.
7 Périodes de stockage et effacement
⦁ Le contrôleur est responsable de la détermination des périodes de conservation en ce qui concerne les données personnelles. Dans la mesure où les Données à caractère personnel sont sous le contrôle du Contrôleur, il les supprime lui-même en temps utile.
⦁ Le Processeur supprimera les Données à caractère personnel dans les trente jours suivant la fin du Contrat principal ou, au choix du Processeur, les transférera au Processeur, à moins que les Données à caractère personnel ne doivent être conservées pendant une période plus longue, par exemple dans le cadre des obligations légales ou autres du Processeur, ou si le Processeur demande que les Données à caractère personnel soient conservées pendant une période plus longue et que le Processeur et le Processeur conviennent des coûts et autres conditions de cette conservation plus longue, cette dernière sans préjudice de la responsabilité du Processeur de respecter les périodes de conservation légales. Traduit avec www.DeepL.com/Translator (version gratuite) Tout transfert au sous-traitant se fera aux frais de ce dernier.
⦁ À la demande du responsable du traitement, celui-ci déclare que l’effacement visé à l’alinéa précédent a eu lieu. Le mandataire chargé du traitement peut, à ses frais, faire procéder à une vérification pour s’assurer que cela a bien été fait. L’article 10 du présent accord s’applique à ce contrôle. Dans la mesure où cela est nécessaire, le Processeur doit informer tous les Sous-traitants impliqués dans le traitement des Données à caractère personnel d’une résiliation du contrat-cadre et les instruire d’agir comme prévu dans les présentes.
⦁ À moins que les parties n’en conviennent autrement, le mandataire chargé du traitement prend lui-même des dispositions pour assurer une sauvegarde des données à caractère personnel.
8 Droits des personnes concernées
⦁ Si le mandataire chargé du traitement a lui-même accès aux données à caractère personnel, il se conforme à toutes les demandes des personnes concernées concernant les données à caractère personnel. Le responsable du traitement communique immédiatement toute demande qu’il reçoit au titulaire du traitement, qui est chargé de la traiter.
⦁ Uniquement dans la mesure où les dispositions du paragraphe précédent ne sont pas possibles, le Processeur apportera sa coopération pleine et entière au Processeur en temps voulu afin de :
⦁ après approbation par le mandataire chargé du traitement et sur ses instructions, pour permettre aux personnes concernées de consulter les données à caractère personnel les concernant,
⦁ Supprimer ou corriger les données personnelles,
⦁ démontrer que les Données personnelles ont été supprimées ou corrigées si elles sont incorrectes (ou, dans le cas où le Contrôleur n’est pas d’accord sur le fait que les Données personnelles sont incorrectes, enregistrer le fait que la personne concernée considère que ses Données personnelles sont incorrectes).
⦁ fournir les Données à caractère personnel en question au Mandataire chargé du traitement ou à un tiers désigné par celui-ci sous une forme structurée, commune et lisible par machine, et
⦁ permettre autrement au Processeur de se conformer à ses obligations en vertu de l’AVG ou de toute autre loi applicable concernant le traitement des Données personnelles.
⦁ Les coûts et les exigences de la coopération mentionnée au paragraphe précédent sont déterminés conjointement par les parties. En l’absence d’un accord à cet effet, les frais sont à la charge du mandataire chargé du traitement.
⦁ Responsabilité
⦁ Le processeur est responsable de tous les dommages et coûts encourus par le processeur en raison d’un manquement imputable au processeur à ses obligations en vertu du présent accord, y compris, mais sans s’y limiter, les dommages causés par le processeur lorsque le traitement ne respecte pas les obligations de l’AVG spécifiquement adressées au processeur ou si les instructions légitimes du processeur sont violées. Traduit avec www.DeepL.com/Translator (version gratuite)
⦁ Le sous-traitant doit indemniser le sous-traitant de toutes les réclamations de tiers résultant d’un manquement imputable du sous-traitant à ses obligations envers le sous-traitant en vertu du présent accord.
⦁ Sans préjudice des dispositions du présent article 9, les dispositions relatives à la responsabilité du contrat-cadre s’appliquent intégralement.
⦁ Contrôle
⦁ L’agent de traitement sera en droit de vérifier le respect des dispositions de la présente convention à ses propres frais lorsqu’il existe un motif raisonnable de le faire, et en tout état de cause une fois par an, ou de faire vérifier ce respect par un expert-comptable ou un informaticien agréé indépendant.
⦁ Si un tel audit révèle que le Processeur n’a pas ou pas correctement respecté le présent Accord et/ou les dispositions légales applicables régissant le Traitement des Données à caractère personnel, le Processeur supportera les coûts de l’audit. Le sous-traitant doit également remédier aux manquements sans délai après en avoir pris connaissance. Ceci est sans préjudice des autres droits du mandataire chargé du traitement.
⦁ Le sous-traitant met à la disposition du contrôleur toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 de l’AVG. Si le tiers engagé par le Contrôleur donne une instruction qui, de l’avis du Contrôleur, viole le GAV, le Contrôleur en informe immédiatement le Contrôleur.
⦁ L’enquête du contrôleur sera toujours limitée aux systèmes du processeur utilisés pour le traitement. Le responsable du traitement gardera confidentielles les informations trouvées lors de l’inspection et ne les utilisera que pour vérifier le respect par le sous-traitant des obligations prévues par le présent accord et supprimera les informations ou des parties de celles-ci dès que possible. Le contrôleur garantit que tout tiers engagé assumera également ces obligations.
Le sous-traitant effectue (ou fait effectuer) des audits de sécurité périodiques et fournit un résumé annuel des résultats de cet audit, qui comprend au moins un aperçu des risques ainsi que des mesures à prendre pour limiter ces risques et y remédier.
⦁ Traitement des données personnelles en dehors de l’Espace économique européen.
⦁ Le transfert de Données personnelles par le Processeur en dehors de l’Espace économique européen n’est autorisé que dans le respect des obligations légales applicables.
⦁ Autres provisions
⦁ Les modifications du présent accord ne sont valables que si elles ont été convenues par écrit entre les parties.
⦁ Les parties modifieront le présent accord en fonction des règlements modifiés ou complétés, des instructions supplémentaires des autorités compétentes et de l’évolution des connaissances sur l’application de l’AVG (par exemple, par le biais, mais sans s’y limiter, de la jurisprudence ou de rapports), de l’introduction de dispositions standard et/ou d’autres événements ou connaissances qui rendent cette modification nécessaire. Traduit avec www.DeepL.com/Translator (version gratuite)
⦁ Cet accord dure pendant toute la durée du contrat-cadre. Les dispositions du présent accord restent en vigueur dans la mesure nécessaire au règlement du présent accord et dans la mesure nécessaire pour survivre à la fin du présent accord. Cette dernière catégorie de dispositions comprend, sans s’y limiter, les dispositions relatives à la confidentialité et aux litiges.
⦁ Cet accord prévaut sur tout autre accord entre le contrôleur et le processeur.
⦁ Le présent accord est régi exclusivement par le droit belge.
⦁ Les parties soumettent leurs litiges en rapport avec le présent accord exclusivement au tribunal de Bruges.
_________________________ __________________________________
Par :
Par :
Nom : Fairtual Technologies BV Noms :
Op : Op :
Te: Te:
Annexe 1
Traitement des données à caractère personnel et délais de conservation
Les annexes 1 et 2 doivent être remplies de la manière la plus complète possible par le responsable du traitement.
La présente annexe fait partie de la convention de traitement et doit être paraphée par les parties.
⦁ Les données personnelles que les parties s’attendent à traiter :
[Description des données personnelles traitées dans le cadre de cet accord, par exemple les données décrites ci-dessous. Veuillez compléter].
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ …………………………………………………………………………………
⦁ La nature, l’utilisation et la finalité du traitement des données personnelles :
[Description de ce qui sera fait avec les données personnelles (par exemple, stockage dans un fichier, envoi par courrier électronique, etc.), quelle est la finalité du traitement (par exemple, marketing, acquisition de clients, exécution de contrats) et quels moyens seront utilisés (par exemple, logiciel CRM)].
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
⦁ Les catégories de personnes concernées auxquelles les données personnelles se rapportent.
[Description des catégories de personnes concernées, par exemple les visiteurs du site web, les abonnés, les fournisseurs, les enfants, les employés].
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
⦁ Les périodes d’utilisation et de conservation des (différents types de) données personnelles :
[Beschrijving van de gebruiks- en bewaartermijnen die verwerker dient aan te houden]
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………………………………….
Annexe 2
Sous-processeurs/catégories de sous-processeurs
La présente annexe fait partie de la convention de traitement et doit être paraphée par les parties.
La présente annexe contient un aperçu des sous-traitants secondaires visés à l’article 5.4 du présent accord.
Nom du sous-traitant secondaire | Adresse | Coordonnées | Objet du sous-traitant secondaire |
C Bloom Comm. V. | Blauwvoetstraat 49 – 8310 Assebroek | info@cbloom.be GSM:+32478211899 BE0518.858.245 |
3D Design |
Sliced Comm. V. | Watermolenstraat 23, 9230 Wetteren | info@sliced.be GSM:+32496660979 BE0739734272 |
IT – Development |
Combell NV | Skaldenstraat 121, 9042 Gent | administratie@combell.com BTW: BE 0541.977.701 |
Hosting |
Whereby AS | Gate 1, N° 107, 6700 Maloly, Norway | pro@whereby.com | Video meetings |
tawk.to inc. | 187 East Warm Spring Rd, SB298 Las Vegas, NV, 89119 |
support@tawk.to | Written Chat booths |
Chatwee Sp. | Piotrkowska 4, 62-610 Sompolno, Polnad | VAT ID: PL6652990463 https://chatwee.com/ |
Written Chat (Network Café) |
Annexe 3
Mesures de sécurité du processeur (voir téléchargements)
Annexe 4
Informations en cas de violation des données
Le Responsable du traitement fournira toutes les informations que le Responsable du traitement juge nécessaires pour pouvoir évaluer la fuite de données ou l’incident. Ce faisant, le Processeur lui fournira au moins les informations suivantes :
⦁ quelle est la cause (présumée) de la violation des données ou de l’incident ;
⦁ quelle est la conséquence (encore connue et/ou attendue) ;
⦁ quelle est la solution proposée ;
⦁ les coordonnées des personnes à contacter pour le suivi du rapport ;
⦁ (une estimation) du nombre de personnes dont les données sont affectées par la violation de données ou l’incident ;
⦁ une description de la catégorie de personnes concernées par la violation de données ou l’incident ;
⦁ le ou les types de données personnelles concernées par la violation de données ou l’incident ;
⦁ la date/période à laquelle la violation des données ou l’incident s’est produit ;
⦁ la date et l’heure auxquelles la fuite de données ou l’incident a été porté à la connaissance du Responsable du traitement ou d’un tiers ou sous-traitant engagé par lui ;
⦁ si les données ont été cryptées, hachées ou rendues autrement inaccessibles aux personnes non autorisées ;
⦁ quelles mesures ont été prises pour mettre fin à la violation de données ou à l’incident et pour limiter les conséquences de la violation.