Convention de traitement de données

ENTRE

[Raison sociale + forme sociale], ayant son siège social à [adresse], immatriculée à la Banque-Carrefour des Entreprises sous le numéro [nr], dûment représentée par [nom, prénom + fonction],

Ci-après le « Professionnel »

ET

Compliment SRL, dont le siège est établi à Boulevard de la Cambre 17 à 1000 Bruxelles, enregistrée auprès de la Banque-Carrefour des Entreprises de Belgique sous le numéro 0665.835.813, dûment représentée par [William Detry & Victor Boels],

Ci-après le « Sous-traitant »

Dans cette Convention de Traitement de Données, le Professionnel et le Sous-traitant seront dénommés individuellement « Partie » et collectivement « Parties ».

Préambule

Le Professionnel a conclu une convention (le « Contrat ») avec le Sous-traitant pour la fourniture par le Sous-Traitant de services de commande et recommandation en ligne de compléments alimentaires sur la plateforme du Sous-Traitant. En fournissant ces services au Professionnel en vertu du ou en lien avec le Contrat, le Sous-traitant traitera des Données Personnelles émanant du Professionnel en lien avec ses activités commerciales ;

En traitant ces Données Personnelles, le Sous-traitant agira en tant que sous-traitant en données à caractère personnel dans le sens de la Législation sur la Protection des Données applicable ;

Le Professionnel et le Sous-traitant souhaitent fixer dans cette Convention de Traitement de Données le cadre du traitement des Données Personnelles par le Sous-traitant en vertu de ou en lien avec le Contrat.

La présente convention de traitement de données s'appliquera à toute coopération future entre les parties, sauf si explicitement déterminé autrement par écrit.

Il est convenu ce qui suit :

Interprétation

Dans cette Convention de Traitement de Données :

« Contrat » a la signification qui est donnée à ce terme dans le préambule 1 de cette Convention de Traitement de Données ;

« Convention de Traitement de Données » signifie la présente convention de traitement de données, en ce compris toute annexe à cette convention de traitement de données ;

« Données Personnelles » signifie les données à caractère personnel qui feront l’objet d’un traitement par le Sous-traitant ou n’importe lequel des Sous-traitants Approuvés dans le cadre de la prestation des Services au Professionnel. Pour les besoins de cette définition, les termes « traitement » et « données à caractère personnel » auront les mêmes significations que celles données à ces termes conformément aux Législations sur la Protection des Données applicables. Une description des Données Personnelles est donnée à l’annexe 2 ;

« Incident de Sécurité de Données » a la signification qui est donnée à ce terme à l’article 4.1 ;

« Législation sur la Protection des Données » signifie tout(e) loi, acte, règlement, politique réglementaire, ordonnance ou acte législatif subordonné relatif(ve) au traitement et à l’usage de Données Personnelles ou à la vie privée, tel(le) qu’applicable(s) au Professionnel, au Sous-traitant et/ou aux Services, en ce compris :

en Belgique :

  • le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données) (le « GDPR ») ;
  • la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
  • la Loi du 13 juin 2005 relative aux communications électroniques et tout(e) autre loi ou règlement national(e) transposant la Directive 2002/58/CE (la « Directive ePrivacy ») ;

dans d’autres États Membres de l’Union Européenne : le GDPR, et la Directive ePrivacy, et tou(te)s les lois ou règlements de ces États Membres pertinent(e)s transposant cette Directive ou spécifiant le GDPR ; et

toute interprétation judiciaire ou administrative des textes énumérés ci-dessus, tout(e)(s) guidance, lignes directrices, code de conduites, code de conduite approuvé ou mécanisme de certification approuvé émis(e)(s) par une autorité de contrôle compétente quelle qu’elle soit ;

dans chaque cas, tel(le)(s) qu’en vigueur et applicable(s), et, le cas échéant, modifié(e)(s), suppléé(e)(s) ou remplacé(e)(s) à tout moment ;

  • « Pays Tiers » a la signification qui est donnée à ce terme à l’article 6.1 ;
  • « Personne Concernée » signifie la personne identifiée ou identifiable au travers d’une ou plusieurs Donnée(s) Personnelle(s) ;
  • « Plan de Remédiation » a la signification qui est donnée à ce terme à l’article 7.5.1 ;
  • « Registres Pertinents » a la signification qui est donnée à ce terme à l’article 7.1 ;
  • « Services » signifie les services que le Sous-traitant fournira au Professionnel en vertu du ou en lien avec le Contrat ;
  • « Sous-traitants Approuvés » signifie les sous-traitants qui ont été approuvés par le Professionnel conformément à l’article 5.

En cas de conflit ou d’incohérence entre :

  • un terme de la partie principale de cette Convention de Traitement de Données ;
  • un terme de n’importe laquelle des annexes de cette Convention de Traitement de Données ; et
  • un terme du Contrat et ses annexes et appendices,

le terme tombant dans la catégorie apparaissant en premier dans la liste ci-dessus prévaudra.

Conformité aux Législations applicables sur la Protection des Données

Lorsque le Sous-traitant traite des Données Personnelles, celui-ci se conformera en tout temps à :

  • ses obligations en vertu des Législations sur la Protection des Données applicables ; et
  • toute politique de sécurité et tous standards de sécurité qui, le cas échéant, seront mis à disposition du Professionnel par le Sous-traitant.

Le Sous-traitant traitera (et s’assurera que les Sous-traitants Approuvés traitent) des Données Personnelles uniquement :

  • conformément aux moyens et aux finalités décrits dans l’annexe 2 ; et
  • sur instruction du Professionnel.

Par la présente, le Professionnel :

  • donne instruction au Sous-traitant, de ne prendre que les mesures de traitement de Données Personnelles, pour le compte du Professionnel, telles que raisonnablement nécessaires pour la prestation des Services en vertu de ou en lien avec le Contrat ; et
  • autorise le Sous-traitant à donner, pour le compte du Professionnel, des instructions aux Sous-traitants Approuvés qui sont équivalentes aux instructions reprises à l’article 2.3.1.

Si, de l’avis raisonnable du Sous-traitant, le respect des instructions du Professionnel constituait une violation d’une disposition d’une des Législations sur la Protection des Données applicables, le Sous-traitant s’engage à le notifier aussitôt par écrit au Professionnel.

  • coopère avec le Professionnel en ce qui concerne le moment et le contenu de cette divulgation ainsi que toute action que le Professionnel souhaiterait prendre pour contester la validité de cette exigence légale.

Le Sous-traitant prendra (et s’assurera que tous les Sous-traitants Approuvés prennent) des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité et l’intégrité des Données Personnelles. Plus spécifiquement, le Sous-traitant prendra les mesures appropriées pour prévenir toute destruction, perte, altération, divulgation non autorisée de, ou tout accès non autorisé à, des Données Personnelles, intervenant de manière accidentelle ou illicite.

Compte tenu de la technologie disponible, des coûts de la mise en œuvre de ces mesures appropriées et de la nature, de la portée, du contexte et des finalités du traitement des Données Personnelles, le Sous-traitant garantira (et s’assurera que les Sous-traitants Approuvés garantissent) que ces mesures prévoient un niveau de sécurité adapté aux risques.

Sans limiter le caractère général de ce qui précède, le Sous-traitant implémentera (et s’assurera que les Sous-traitants Approuvés implémentent) les mesures de sécurité reprises à l’annexe 1 et maintiendra ces mesures en place pour toute la durée de cette Convention de Traitement de Données.

Notification des Incidents de Sécurité de Données

Le Sous-traitant notifiera au Professionnel par écrit aussitôt et dans tous les cas dans la limite d’un délai de vingt-quatre (24) heures, après avoir pris connaissance de la survenance réelle ou potentielle de :

  • une violation de sécurité entraînant (ou qui pourrait entraîner), de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données Personnelles (ou tout média ou support les contenant) traitées par le Sous-traitant ou les Sous-traitants Approuvés, ou l’accès non autorisé à ces Données Personnelles;
  • un traitement non autorisé de Données Personnelles par le Sous-traitant ou les Sous-traitants Approuvés ;
  • une violation par le Sous-traitant ou un Sous-traitant Approuvé de ses obligations en vertu de cette Convention de Traitement de Données ou en vertu de la Législation sur la Protection des Données applicable ; ou
  • toute(s) (menace de) procédures d’exécution, action ou poursuites (en cours) à l’encontre du Sous-traitant ou d’un Sous-traitant Approuvé liée(s) de quelque manière que ce soit à des Données Personnelles ;

(chacun des cas ci-dessus étant défini comme un « Incident de Sécurité de Données »).

La notification visée à l’article 4.1 doit contenir au minimum les informations suivantes :

  • une description raisonnablement détaillée de la nature de l’Incident de Sécurité de Données en ce compris (sans limitation) :
    • les catégories et le nombre (en ce compris le nombre minimum et maximum) de Personnes Concernées affectées ; et
    • les catégories et le nombre (en ce compris le nombre minimum et maximum) d’enregistrements de données à caractère personnel affectés ;
  • le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact du Sous-traitant auprès duquel le Professionnel peut obtenir des informations supplémentaires à propos de l’Incident de Sécurité de Données ;
  • le moment où l’Incident de Sécurité de Données est survenu (la date ou la période de temps) ;
  • les types de Données Personnelles affectées par l’Incident de Sécurité de Données, tels que (sans que cela soit exhaustif) : noms et adresses ; numéros de téléphone ; adresses emails ; détails de login ; coordonnées financières ; identifiants gouvernementaux uniques (en ce compris (sans limitation) numéros de sécurité sociale ou fiscaux) ; copies de documents d’identité (tels que passeports) ; sexe, date de naissance et/ou âge ; catégories particulières de données à caractère personnel (en ce compris (sans limitation) origine ethnique ou raciale, historique pénal, opinions politiques, appartenance syndicale, religion, vie sexuelle ou données médicales) ; et autres données ;
  • le fait que les Données Personnelles affectées ont fait l’objet de techniques de chiffrement ou de hachage ou ont été rendues incompréhensibles, inaccessibles ou inintelligibles pour des personnes non autorisées et, le cas échéant, la manière dont cela s’est matérialisé ;
  • la cause (présumée) de l’Incident de Sécurité de Données ;
  • l’éventuelle relation avec un précédent Incident de Sécurité de Données ;
  • les conséquences probables de l’Incident de Sécurité de Données ;
  • les mesures prises par le Sous-traitant ou les Sous-traitants Approuvés ou celles que le Sous-traitant ou les Sous-traitants propose(nt) de prendre conformément à l’article 4.5 ; et
  • toute autre information additionnelle que pourrait demander le Professionnel.

Immédiatement après la notification par le Sous-traitant au Professionnel de l’Incident de Sécurité de Données, les Parties se coordonneront entre elles pour investiguer l’Incident de Sécurité de Données. Le Sous-traitant coopérera (et s’assurera que les Sous-traitants Approuvés coopèrent) pleinement avec le Professionnel, et aux frais du Sous-traitant, dans la gestion de l’Incident de Sécurité de Données, en ce compris (sans limitation), en :

  • assistant toute investigation (en ce compris toute investigation conduite par ou pour le compte d’une autorité publique compétente) ;
  • fournissant au Professionnel un accès physique aux équipements et opérations affectés (en ce compris les équipements et opérations gérés par les Sous-traitants Approuvés) ;
  • facilitant des entretiens avec les employés du Sous-traitant ou de quelque Sous-traitant Approuvé que ce soit et avec les autres personnes impliquées ; et
  • mettant à disposition tous les Registres Pertinents, logs, dossiers, rapports de données et autres informations qui pourraient être utiles pour l’investigation de l’Incident de Sécurité de Données ou pour permettre au Professionnel de notifier l’Incident de Sécurité de Données à une autorité publique compétente ou aux Personnes Concernées affectées.

Le Sous-traitant documentera dûment tout Incident de Sécurité de Données. Cette documentation doit contenir au minimum les informations reprises dans les paragraphes 4.2.1 à 4.2.10 ainsi que les résultats de l’investigation visée à l’article 4.3.

Le Sous-traitant ne divulguera ou ne publiera aucun(e) notification, communication, notice, communiqué de presse ou rapport concernant un Incident de Sécurité de Données quel qu’il soit sans l’autorisation préalable et écrite du Professionnel, à moins que le Sous-traitant ne soit tenu de le faire conformément à la loi applicable. Dans ce dernier cas, le Sous-traitant donnera au Professionnel, moyennant un préavis raisonnable et écrit (dans la mesure où cela est permis par la loi), l’opportunité de s’y opposer.

Le Sous-traitant prendra, à ses propres frais, les mesures qui sont raisonnablement nécessaires pour :

  • remédier à tout Incident de Sécurité de Données ;
  • prévenir la répétition de l’Incident de Sécurité de Données ou la survenance d’autres Incidents de Sécurité de Données ;
  • atténuer l’impact de l’Incident de Sécurité de Données sur la vie privée des Personnes Concernées affectées ;
  • atténuer toute conséquence négative de l’Incident de Sécurité de Données à l’égard du Professionnel.

Sous-traitance

Le Sous-traitant ne peut sous-traiter tout ou partie du traitement des Données Personnelles, que si :

  • le Professionnel a donné son autorisation écrite et préalable à cette sous-traitance ; et
  • le Sous-traitant et son sous-traitant ont conclu une convention de traitement de données reprenant les mêmes obligations (ou des obligations plus exigeantes) que celles reprises dans cette Convention de Traitement de Données.

Pour les besoins de l’article 5.1, le Professionnel approuve par la présente la sous-traitance pour le traitement des Données Personnelles aux sous-traitants repris à l’annexe 3 (et de la manière telle que décrite à l’annexe 3). Les sous-traitants repris à l’annexe 3 seront considérés comme des Sous-traitants Approuvés pour les besoins de cette Convention de Traitement de Données.

Si le Sous-traitant souhaite sous-traiter tout ou partie du traitement des Données Personnelles, il informera préalablement le Professionnel par écrit de son intention de faire appel à un autre sous-traitant, en reprenant les informations suivantes dans un degré de détail suffisant :

  • le nom et l’adresse du sous-traitant envisagé ;
  • l’objet de la sous-traitance envisagée, en ce compris une description des services qui seront fournis par le sous-traitant envisagé et l’étendue de l’implication du sous-traitant envisagé dans le traitement des Données Personnelles ;
  • le ou les pays dans lesquels le sous-traitant envisagé a l’intention de traiter les Données Personnelles ;
  • une description des mesures techniques et organisationnelles mises en œuvre par le sous-traitant envisagé pour garantir la sécurité, la confidentialité et l’intégrité des Données Personnelles qui seront traitées par le sous-traitant envisagé ;
  • une confirmation écrite que le Sous-traitant accepte d’être lié par une convention de traitement de données écrite reprenant les mêmes obligations (ou des obligations plus exigeantes) que celles reprises dans cette Convention de Traitement de Données ;
  • toute information additionnelle que le Professionnel pourrait raisonnablement exiger ; et
  • si le sous-traitant envisagé a l’intention de sous-traiter le traitement des Données Personnelles à d’autres sous-traitants, les informations reprises aux paragraphes 5.3.1 à 5.3.6 à l’égard de chacun des sous-traitants à qui le sous-traitant envisagé a l’intention de sous-traiter le traitement de Données Personnelles.

Le Sous-traitant demeurera responsable pour tous les actes et omissions des Sous-traitants Approuvés aussi pleinement que s’ils constituaient des actes et omissions du Sous-traitant lui-même ou de ses employés ou agents.

Transferts de Données Personnelles transfrontaliers

Le Sous-traitant ne transférera pas (et s’assurera que les Sous-traitants Approuvés ne transfèrent pas) de Données Personnelles vers un pays situé en dehors de l’Espace Economique Européen (ce pays étant défini comme un « Pays Tiers ») à moins que le Professionnel n’ait approuvé au préalable ce transfert par écrit et que :

  • il y ait eu une décision d’adéquation prise par la Commission Européenne à l’égard de ce Pays Tiers conformément à la Législation sur la Protection des Données applicable ;
  • le transfert tombe dans le champ d’application du programme EU-US Privacy Shield ; ou
  • le Sous-traitant (ou un Sous-traitant Approuvé) s’engage à respecter les clauses types de protection des données en Annexe 4, approuvées par la Commission Européenne ou par une autre autorité publique compétente conformément à la Législation sur la Protection des Données applicable.

Audit

Le Sous-traitant conservera à son lieu habituel d’activités des registres détaillés, exacts et à jour décrivant dans un degré de détail raisonnable (ces registres étant définis comme les « Registres Pertinents ») :

  • le traitement de Données Personnelles par le Sous-traitant et les Sous-traitants Approuvés (en ce compris, sans limitation, la nature et la finalité du traitement, le type de Données Personnelles et les catégories de Personnes Concernées) ;
  • une liste de tous les Sous-traitants Approuvés ;
  • pour chaque Sous-traitant Approuvé :
    • une description du traitement réalisé par le Sous-traitant Approuvé (en ce compris, sans limitation, la nature et la finalité du traitement, le type de Données Personnelles et les catégories de Personnes Concernées) ; et
    • une copie de la convention de traitement de données conclue avec le Sous-traitant Approuvé conformément à l’article 5.1.2 ;
  • dans le cas décrit à l’article 6.1.2, une copie de la certification de l’importateur de données en vertu du programme EU-US Privacy Shield ;
  • dans le cas décrit à l’article 6.1.3, une copie signée de la convention contenant les clauses types approuvées telles que prévues en Annexe 4 ;
  • les mesures prises conformément à l’article 3 ;
  • l’information visée à l’article 4.4 ; et
  • toute autre information :
    • que le Sous-traitant ou les Sous-traitants Approuvés sont tenus de documenter en vertu de ou conformément à la Législation sur la Protection des Données applicable ; ou
    • qui est nécessaire pour démontrer à l’égard du Professionnel la conformité du Sous-traitant ou des Sous-traitants Approuvés avec la Convention de Traitement de Données et avec la Législation sur la Protection des Données applicable.
  • Le Sous-traitant permettra au Professionnel, ses tiers représentants ou toute autorité publique compétente de :
    • avoir accès aux Registres Pertinents et à toute autre information qui est accessible au Sous-traitant ou aux Sous-traitants Approuvés , et d’en prendre copies; et
    • inspecter tous les systèmes utilisés par le Sous-traitant ou par les Sous-traitants Approuvés pour le traitement de Données Personnelles ;
    • durant les heures normales de bureau à des fins d’audit de la conformité par le Sous-traitant ou les Sous-traitants Approuvés à leurs obligations en vertu de cette Convention de Traitement de Données et à la Législation sur la Protection des Données applicable.

  • Le Sous-traitant fournira (et s’assurera que les Sous-traitants Approuvés fournissent), aux frais du Sous-traitant, toute l’aide raisonnable pour la réalisation de ces audits.
  • Chacun de ces audits sera réalisé pour autant que les représentants du Professionnel soient soumis à des obligations raisonnables de confidentialité à l’égard des informations obtenues et à condition que toutes les informations obtenues puissent être divulguées au Professionnel.
  • Si, à la suite d’un audit, le Professionnel ou toute autorité publique compétente considère, de leur avis raisonnable, que le Sous-traitant ou un Sous-traitant Approuvé ne respecte pas une de ses obligations en vertu de cette Convention de Traitement de Données ou en vertu de la Législation sur la Protection des Données applicable :
    • le Sous-traitant fournira au Professionnel un plan d’action pour :
      • remédier aux déficiences identifiées lors de l’audit ; et
      • veiller à ce que ces déficiences ou toutes autres déficiences similaires ne surviennent plus dans le futur (le « Plan de Remédiation ») ;
  • aussitôt après la validation du Plan de Remédiation par le Professionnel ou, le cas échéant, par l’autorité publique compétente, le Sous-traitant mettra en œuvre (ou s’assurera que les Sous-traitants Approuvés concernés mettent en œuvre) le Plan de Remédiation. Le Sous-traitant tiendra le Professionnel ou, le cas échéant, l’autorité publique compétente, à jour du statut de la mise en œuvre du Plan de Remédiation à une fréquence qui ne sera pas inférieure à une (1) fois par semaine;
  • lorsque le plan d’action sera complété, le Sous-traitant en informera le Professionnel, ou, le cas échéant, l’autorité publique compétente, et le Professionnel ou l’autorité publique compétente aura le droit de réaliser un autre audit en conformité avec cet article 7 afin de vérifier si le Plan de Remédiation a été dûment mis en œuvre ; et
  • le Sous-traitant prendra à sa charge tous les coûts et dépenses qui seront engendrés à l’occasion de :
    • la réalisation de cet audit ;
    • la préparation, la validation et la mise en œuvre de tout Plan de Remédiation ; et
    • toute forme de suivi de l’audit aux fins de vérifier la bonne mise en œuvre et la finalisation de tout Plan de Remédiation.

Assistance lors du suivi des demandes des Personnes Concernées

Le Sous-traitant coopérera (et s’assurera que les Sous-traitants Approuvés coopèrent) pleinement, aux frais du Sous-traitant, avec le Professionnel lors du suivi des demandes dont les Personnes Concernées le saisissent en vue d’exercer leurs droits, en ce compris (sans limitation), le droit d’obtenir les informations à propos du traitement de leurs Données Personnelles en vertu de la Législation sur la Protection des Données applicable.

Assistance dans la réalisation des AIPD

Le Sous-traitant coopérera (et s’assurera que les Sous-traitants Approuvés coopèrent) pleinement, aux frais du Sous-traitant, avec le Professionnel lors de la réalisation d’analyses d’impact relatives à la protection des données (« AIPD ») en lien avec la prestation des Services.

Durée et résiliation

Cette Convention de Traitement de Données entre en vigueur rétroactivement au jour de l’entrée en vigueur du Contrat et restera en vigueur aussi longtemps que le Sous-traitant fournira les Services en vertu du Contrat ou tout autre contrat portant sur des services similaires à moins que cette Convention de Traitement de Données soit résiliée anticipativement en conformité avec cet article 10.

Le Professionnel a le droit, sans préjudice de ses autres droits ou recours, de résilier immédiatement (sans nécessité d'action judiciaire) cette Convention de Traitement de Données par une notification écrite adressée au Sous-traitant en cas de manquement substantiel de cette Convention de Traitement de Données par le Sous-traitant, soit que ce manquement n'est pas susceptible de réparation, soit que le manquement est susceptible de réparation mais le Sous-traitant n'a pas remédié au manquement dans les trente (30) jours suivant la réception de la notification écrite de manquement du Professionnel l’y contraignant.

Sans préjudice d’un autre manquement considéré comme substantiel en vertu de l’article 10.2, tout manquement par le Sous-traitant aux articles 2, 3, 4, 5 ou 6 sera considéré comme un manquement substantiel autorisant le Professionnel à résilier cette Convention de Traitement de Données en conformité avec l’article 10.2.

Cession

Le Sous-traitant n’a pas le droit de céder les droits et/ou les obligations découlant de cette Convention de Traitement de Données à une partie tierce sauf autorisation écrite et préalable du Professionnel.

Retour/destruction de Données Personnelles

Dans un délai de quatorze (14) jours suivant l’expiration ou la résiliation de cette Convention de Traitement de Données, le Sous-traitant :

  • au choix du Professionnel :
    • renverra au Professionnel, dans un format électronique couramment utilisé, toutes les Données Personnelles qui, à la date d’expiration ou de résiliation, sont en la possession ou sous le contrôle du Sous-traitant et des Sous-traitants Approuvés ; et/ou
    • détruira ou purgera de ses systèmes et dossiers informatiques toutes les Données Personnelles qui, à la date d’expiration ou de résiliation, sont en la possession ou sous le contrôle du Sous-traitant et des Sous-traitants Approuvés ; et
  • remettra au Professionnel une attestation écrite aux fins de :
    • confirmer que ce retour, cette destruction et/ou cette purge a été exécuté(e) ; et
    • identifier dans un degré de détail raisonnable quelles Données Personnelles le Sous-traitant ou les Sous-traitants Approuvés sont tenus conformément à la loi applicable de conserver après l’expiration ou la résiliation de cette Convention de Traitement de Données,
    • étant entendu que le Sous-traitant s’assurera que les Sous-traitants Approuvés respectent les obligations reprises dans cet article 12.1.

  • Les dispositions reprises dans l’article 12.1.1 ne seront pas d’application aux Données Personnelles que le Sous-traitant et les Sous-traitants Approuvés sont tenus conformément à la loi applicable de conserver après la résiliation ou l’expiration de cette Convention de Traitement de Données, dans quels cas :
    • les dispositions de cette Convention de Traitement de Données survivront à la résiliation ou l’expiration de cette Convention de Traitement de Données et continueront d’être d’application pour ces Données Personnelles ; et
    • le Sous-traitant s’acquittera (et s’assurera que les Sous-traitants Approuvés s’acquittent) de leurs obligations en vertu de l’article 12.1 dès que le Sous-traitant et les Sous-traitants Approuvés ne sont plus tenus de conserver ces Données Personnelles.

Indemnités

Le Sous-traitant indemnisera le Professionnel pour tou(te)s les pertes, dommages, coûts, dépenses et autres motifs de responsabilité occasionné(e)s par ou accordé(e)s contre le Professionnel en lien avec toute demande ou action à l’encontre du Professionnel par une Personne Concernée, un tiers ou une autorité publique quels qu’ils soient, découlant d’un manquement par le Sous-traitant ou par un Sous-traitant Approuvé, à une disposition d’une Législation sur la Protection des Données applicable.

Droit et juridiction applicables

Cette Convention de Traitement de Données sera régie par les lois de Belgique. Les juridictions francophones de Bruxelles auront la compétence exclusive pour juger de tout différend entre les Parties qui découlerait de, ou qui serait lié à, cette Convention de Traitement de Données.

Les Parties conviennent que cette Convention de Traitement de Données lie automatiquement les Parties dès la signature du Contrat.

Annexe 1 : Mesures de sécurité[a]

Contrôle d’accès aux bâtiments (physique) :

  • le Sous-traitant maintiendra des systèmes physiques de sécurité à tous les sites du Sous-traitant qui sont utilisés pour traiter des Données Personnelles ;
  • un contrôle d’accès physique sera mis en œuvre pour tous les centres de données.
  • le Sous-traitant maintiendra des procédures pour l’émission de clés autorisé et pour le contrôle physique des accès aux systèmes qui demeurent sous son contrôle ;

Contrôle d’accès aux systèmes (virtuel) :

  • le Sous-traitant établira et maintiendra des garanties pour prévenir la survenance accidentelle d’un incident entraînant la destruction, la perte, l’altération de, ou l’accès non autorisé à, des Données Personnelles sur ses systèmes qui sont utilisés pour traiter des Données Personnelles ;
  • l’accès sera accordé au personnel selon des procédures de demandes d’accès documentées. Les managers des employés ou les autres individus responsables doivent autoriser ou valider l’accès avant qu’il ne soit accordé ;
  • les contrôles d’accès sont activés au niveau du système d’exploitation, de la base de données ou de l’application ;
  • l’accès au niveau de l’administration sera restreint pour prévenir les changements aux systèmes ou aux applications ; et

Contrôle d’accès aux appareils et laptops :

  • Le Sous-traitant mettra en œuvre et maintiendra des mesures de sécurité à l’égard des appareils mobiles et laptops qui sont utilisés pour traiter des Données Personnelles.

Contrôle d’accès aux Données Personnelles :

  • des ID d’utilisateur et mots de passe uniques seront émis pour les utilisateurs ; et
  • les utilisateurs, une fois authentifiés, seront autorisés à des niveaux d’accès sur base de leurs fonctions.

Contrôle de la transmission et de la divulgation :

  • le Sous-traitant mettra en œuvre et maintiendra des mesures pour empêcher que les Données Personnelles ne soient lues, copiées, modifiées ou enlevées sans autorisation durant la transmission ou le transport électroniques, et pour permettre de vérifier et d’établir vers quelles entités le transfert de Données Personnelles au moyen d’équipements de transmission de données est envisagé ; et
  • le Sous-traitant maintiendra des technologies et procédures conçues pour minimiser l’accès à des fins de traitement illégitimes.

Contrôle de saisie :

  • le Sous-traitant maintiendra des registres pour l’accès sur ses systèmes et bases de données aux Données Personnelles sous son contrôle ;
  • tous les systèmes du Sous-traitant doivent être configurés pour fournir un registre des évènements pour identifier la compromission de, l’accès non autorisé à ou toute autre violation de sécurité d’un système. Les registres doivent être protégés contre tout(e) accès ou modification non autorisé(e) ; et
  • le Sous-traitant maintiendra des contrôles de saisie sur ses systèmes.

Contrôle des fonctions :

  • le Sous-traitant mettra en œuvre des interviews pour garantir la fiabilité de ses employés et de toutes autres personnes agissant sous sa supervision qui pourraient entrer en contact avec, ou autrement avoir accès à, ces Données Personnelles;
  • le Sous-traitant mettra en œuvre des procédures pour s’assurer que son personnel est informé de ses responsabilités en vertu de cette Convention de Traitement de Données. Le Sous-traitant instruira et formera toutes les personnes dont il autorise l’accès aux Données Personnelles à propos des Législations sur la Protection des Données applicables ainsi que de tous les standards de sécurité pertinents et les engagera à respecter la confidentialité des données, les dispositions de la Législations sur la Protection des Données applicables et les autres standards de sécurité pertinents ;
  • le Sous-traitant agira promptement pour révoquer l’accès aux Données Personnelles à la suite de la fin ou d’un changement dans la fonction occupée, ou en cas d’inactivité ou d’absence prolongée d’un utilisateur ; et
  • le Sous-traitant aura mis en place une politique de protection des données et une politique de rétention des documents, auxquelles le personnel devra se conformer.

Gestion des incidents :

  • le Sous-traitant mettra en œuvre et maintiendra une procédure de gestion des incidents qui permet au Sous-traitant d’informer le Professionnel d’un incident de sécurité endéans les délais requis (voir article 4) ;
  • dans le cas où surviendrait (potentiellement) un incident de sécurité affectant des Données Personnelles, le Sous-traitant doit en informer le Professionnel en conformité avec l’article 4 de la Convention de Traitement de Données ; et
  • la procédure de gestion des incidents comprend une évaluation périodique des problèmes récurrents qui pourraient indiquer un incident de sécurité.

Contrôle de disponibilité :

  • Le Sous-traitant protégera les Données Personnelles contre toute destruction ou perte accidentelles en s’assurant que :
    • les postes de travail sont protégés par un logiciel commercial d’anti-virus et de prévention de maliciel qui reçoit des mises à jour de définition régulières ; et
    • si un virus ou un maliciel est détecté, le Sous-traitant prendra les actions immédiates pour enrayer la propagation du et les dommages occasionnés par le virus ou le maliciel et pour éradiquer le virus ou le maliciel.

Gestion de continuité des activités :

  • le Sous-traitant mettra en œuvre et maintiendra un plan de continuité des activités qui, entre autres, permettra au Sous-traitant de restaurer la disponibilité de et l’accès aux Données Personnelles dans les meilleurs délais en cas d’indisponibilité physique ou technique ; et
  • le Sous-traitant évaluera régulièrement ce plan.

Gestion des changements :

  • le Sous-traitant mettra en œuvre et maintiendra une procédure de gestion des changements ; et
  • dans le cadre de la procédure de gestion des changements, le Sous-traitant évaluera l’impact sur la sécurité et adaptera les mesures là où cela s’avère nécessaire pour maintenir le niveau de sécurité convenu.
  • Contrôle des instructions :

    • Le Sous-traitant mettra en œuvre et maintiendra des procédures pour s’assurer que les Données Personnelles ne sont traitées qu’en conformité avec les instructions du Professionnel.

    Contrôle de séparation :

    • Le Sous-traitant mettra en œuvre et maintiendra des procédures pour s’assurer que les Données Personnelles collectées pour des finalités différentes sont traitées séparément.

    Tests réguliers des mesures de sécurité :

    • Le Sous-traitant testera, analysera et évaluera régulièrement le caractère effectif de ses mesures de sécurité techniques et organisationnelles.

    Annexe 2 : Description des traitements de données

    Voyez la Politique de vie Privée disponible sur le lien suivant: www.simplycure.com/politique-de-vie-privee

    Liste des Sous-traitants approuvés

    Destinataire

    Pays

    Type de Garanties

    1

    AWS

    Etats-Unis

    Privacy shield

    2

    Hubspot

    Etats-Unis

    Privacy shield

    3

    Firebase

    Etats-Unis

    Privacy shield

    4

    Shopify

    Canada

    Privacy shield

    5

    CRM Odoo

    Etats-Unis

    Privacy shield

    6

    BPOST

    Belgique

    /

    7

    Klaviyo

    Etats-Unis

    Privacy shield

    8

    PayPal

    Etats-Unis

    Privacy shield

    9

    Stripe

    Etats-Unis

    Privacy shield

    10

    BNP  paribas fortis

    France

    /

    11

    Almapay

    France

    /

    12

    Linkedin

    Etats-Unis

    Privacy shield

    13

    Google Drive

    Etats-Unis

    Privacy shield

    14

    Ringover

    France

    /

    Annexe 4 : Clauses contractuelles types[b]

    [En cas de « transferts de données transfrontaliers » approuvés par le Professionnel, comme stipulé à l’Article 6 de la Convention de Traitement des Données, le Sous-traitant s’engage à respecter les conditions de la présente annexe].

    CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANTS)

    Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données

    Nom de l’organisation exportant les données: …

    Adresse: …

    Téléphone …; fax …; courrier électronique: …

    Autres informations nécessaires pour identifier l’organisation:

    (ci-après dénommée l’«exportateur de données»)

    d’une part, et

    Nom de l’organisation important les données: …

    Adresse: …

    Téléphone …; fax …; courrier électronique: …

    Autres informations nécessaires pour identifier l’organisation:

    (ci-après dénommée l’«importateur de données»)

    d’autre part, ci-après dénommés individuellement une «partie» et collectivement les «parties»

    SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées «les clauses») afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées à l’appendice 1.

    Clause première

    Définitions

    Au sens des clauses:

    • «données à caractère personnel», «catégories particulières de données», «traiter/traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1);
    • l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel;
    • l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE;
    • le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit;
    • le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi;
    • les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

    Clause 2

    Détails du transfert

    Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses.

    Clause 3

    Clause du tiers bénéficiaire

    La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

    La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.

    La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

    Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.

    Clause 4

    Obligations de l’exportateur de données

    L’exportateur de données accepte et garantit ce qui suit:

    • le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État;
    • il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses;
    • l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat;
    • après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre;
    • il veillera au respect des mesures de sécurité;
    • si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE;
    • il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension;
    • il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations;
    • en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et
    • il veillera au respect de la clause 4, points a) à i).

    Clause 5

    Obligations de l’importateur de données (2)

    L’importateur de données accepte et garantit ce qui suit:

    • il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
    • il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
    • il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées;
      • il communiquera sans retard à l’exportateur de données:
      • toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière;
      • tout accès fortuit ou non autorisé; et
      • toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire;
    • il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées;
    • à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle;
    • il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;
    • en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier;
    • les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11;
    • il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données.

    Clause 6

    Responsabilité

    Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.

    Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.
    L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

    Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

    Clause 7

    Médiation et juridiction

    L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée:

    • de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle;
    • de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

    Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.

    Clause 8

    Coopération avec les autorités de contrôle

    L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.

    Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données.

    L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b).

    Clause 9

    Droit applicable

    Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir le droit belge.

    Clause 10

    Modification du contrat

    Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.

    Clause 11

    Sous-traitance ultérieure

    L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses (3). En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

    Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

    Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir [à compléter]…

    L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

    Clause 12

    Obligation après la résiliation des services de traitement des données à caractère personnel

    Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.

    L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.

    Au nom de l’exportateur de données:

    Nom (écrit en toutes lettres): …

    Fonction: …

    Adresse: …

    Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):

    Signature :

    Au nom de l’importateur de données:

    Nom (écrit en toutes lettres): …

    Fonction: …

    Adresse: …

    Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):

    Signature :

    (1) Les parties peuvent reprendre, dans la présente clause, les définitions et les significations de la directive 95/46/CE si elles estiment qu’il est préférable que le contrat soit autonome.

    (2) Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive 95/46/CE, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de l’État; la défense; la sécurité publique; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées; un intérêt économique ou financier important d’un État ou la protection de la personne concernée ou des droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux.

    (3) Cette condition peut être réputée remplie si le sous-traitant ultérieur est cosignataire du contrat conclu entre l’exportateur de données et l’importateur de données conformément à la présente décision.

    Appendice 1 (à l’Annexe 4 des clauses contractuelles types)

    Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.

    Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans le présent appendice.

    Exportateur de données

    L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):

    Importateur de données

    L’importateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):

    Personnes concernées

    Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser):

    Catégories de données

    Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser):

    Catégories particulières de données (le cas échéant)

    Les données à caractère personnel transférées concernent les catégories particulières suivantes de données (veuillez préciser):

    Traitement

    Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser):

    EXPORTATEUR DE DONNÉES

    Nom: …

    Signature autorisée: …

    IMPORTATEUR DE DONNÉES

    Nom: …

    Signature autorisée: …

    Appendice 2 (à l’Annexe 4 des clauses contractuelles types)

    Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.

    Description des mesures techniques et d’organisation liées à la sécurité mises en œuvre par l’importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation jointe):