Processor Agreement

Le présent Contrat de Sous-Traitant s’applique à toutes les formes de traitement de données personnelles que XITENS , immatriculée à la Chambre de Commerce sous le numéro 61228893, (ci-après : Responsable du Traitement) a effectué par une partie qu’elle engage à cette fin (ci-après : Sous-Traitant) sur la base de l’accord conclu entre les parties (ci-après : les Conditions Générales).

Article 1. Finalités du traitement

  1. 1.1. Le sous-traitant s’engage à traiter les données personnelles pour le compte du responsable du traitement conformément aux termes du présent accord de traitement. Le traitement n’aura lieu que dans le cadre du traitement des commandes et des paiements de produits ou de services du responsable du traitement, de la gestion de la comptabilité et de l’administration financière du responsable du traitement, de la gestion de l’administration des ressources humaines du responsable du traitement, du maintien du contact téléphonique avec les clients du responsable du traitement aux fins de traitement des réclamations et de prestation de services, de l’envoi de newsletters pour le compte du responsable du traitement, de la gestion de l’administration des clients du responsable du traitement, ainsi que des finalités qui y sont raisonnablement liées ou qui sont déterminées avec un consentement supplémentaire.
  2. 1.2. Les données personnelles traitées par le Sous-traitant dans le cadre des activités visées au paragraphe précédent et les catégories de personnes concernées dont elles proviennent sont reprises à l’Annexe 1. Le Sous-traitant ne traitera pas les données personnelles à d’autres fins que celles déterminées par le Responsable. Le Responsable informera le Sous-traitant des finalités du traitement dans la mesure où celles-ci ne sont pas déjà mentionnées dans le présent Contrat de Sous-traitant. Toutefois, le Sous-traitant peut utiliser les données personnelles à des fins de qualité, telles que des enquêtes auprès des personnes concernées ou la réalisation de recherches scientifiques ou statistiques sur la qualité de ses services.
  3. 1.3. Les données à caractère personnel à traiter pour le compte du Responsable du traitement restent la propriété du Responsable du traitement et/ou des personnes concernées.

Article 2. Obligations du sous-traitant

  1. 2.1. En ce qui concerne le traitement visé à l’article 1, le Sous-traitant veille au respect des lois et réglementations applicables, y compris dans tous les cas les lois et réglementations dans le domaine de la protection des données à caractère personnel, telles que le Règlement général sur la protection des données.
  2. 2.2. Le sous-traitant informe le responsable du traitement, à la première demande, des mesures prises par lui au regard de ses obligations en vertu du présent accord de sous-traitance.
  3. 2.3. Les obligations du Sous-traitant découlant du présent Contrat de Sous-traitance s’appliquent également à ceux qui traitent des données personnelles sous l’autorité du Sous-traitant, y compris, mais sans s’y limiter, aux employés, au sens le plus large du terme.
  4. 2.4. Le Sous-traitant informe immédiatement le Responsable du traitement si, à son avis, une instruction du Responsable du traitement est contraire à la législation visée au paragraphe 1.
  5. 2.5. Le sous-traitant doit, dans la mesure de ses moyens, aider le responsable du traitement à réaliser des analyses d’impact relatives à la protection des données (AIP).
  6. 2.6. Le Sous-traitant doit, conformément à l’article 30 du RGPD, tenir un registre de toutes les catégories d’activités de traitement qu’il effectue pour le compte du Responsable du traitement en vertu du présent Contrat de traitement des données. Sur demande, le Sous-traitant doit fournir au Responsable du traitement l’accès à ce registre.

Article 3. Transfert de données personnelles

  1. 3.1. Le sous-traitant peut traiter les données personnelles dans des pays de l’Union européenne. Le transfert vers des pays situés hors de l’Union européenne est interdit.

Article 4. Partage des responsabilités

  1. 4.1. Le traitement autorisé sera effectué par les employés du Sous-traitant dans un environnement automatisé.
  2. 4.2. Le sous-traitant est seul responsable du traitement des données personnelles en vertu du présent accord de sous-traitance, conformément aux instructions du responsable du traitement et sous la responsabilité expresse (finale) du responsable du traitement. Le sous-traitant n’est expressément pas responsable des autres traitements de données personnelles, y compris, mais sans s’y limiter, de la collecte de données personnelles par le responsable du traitement, du traitement à des fins non signalées au sous-traitant par le responsable du traitement, du traitement par des tiers et/ou à d’autres fins.
  3. 4.3. Le Responsable du traitement garantit que le contenu, l’utilisation et l’ordre de traitement des données personnelles visés dans le présent contrat de traitement ne sont pas illicites et ne portent pas atteinte aux droits de tiers.

Article 5. Recours à des tiers ou à des sous-traitants

  1. 5.1. Le sous-traitant ne peut pas recourir à un tiers dans le cadre du présent accord de traitement sans le consentement écrit préalable du responsable du traitement, lequel consentement peut être soumis à d’autres conditions.
  2. 5.2. Le sous-traitant doit dans tous les cas s’assurer que ces tiers assument par écrit au moins les mêmes obligations que celles convenues entre le responsable du traitement et le sous-traitant. Le responsable du traitement a le droit de consulter tous les accords concernés.
  3. 5.3. Le sous-traitant est responsable du respect correct des obligations découlant du présent accord de sous-traitance par ces tiers et est lui-même responsable de tous les dommages en cas d’erreurs de ces tiers comme s’il avait lui-même commis la ou les erreurs.

Article 6. Sécurité

  1. 6.1. Le sous-traitant s’efforce de prendre des mesures techniques et organisationnelles suffisantes pour empêcher toute perte ou toute forme de traitement illicite (comme l’accès non autorisé, la corruption, la modification ou la fourniture des données personnelles) lors du traitement des données à caractère personnel.
  2. 6.2. Le sous-traitant ne garantit pas que la sécurité soit efficace en toutes circonstances. Si une sécurité explicitement décrite manque dans le contrat de sous-traitance, le sous-traitant s’efforcera de garantir que la sécurité répond à un niveau qui n’est pas déraisonnable, compte tenu de l’état de la technique, de la sensibilité des données personnelles et des coûts associés à la mise en œuvre de la sécurité.
  3. 6.3. Le Responsable du traitement ne met les données à caractère personnel à la disposition du Sous-traitant aux fins de traitement que s’il s’est assuré que les mesures de sécurité requises ont été prises. Le Responsable du traitement est responsable du respect des mesures convenues par les parties.

Article 7. Obligation de déclaration

  1. 7.1. Le Responsable du traitement est tenu de signaler à tout moment toute violation de sécurité et/ou fuite de données (c’est-à-dire toute violation de la sécurité des données personnelles qui entraîne un risque de conséquences négatives ou a des conséquences négatives pour la protection des données personnelles) à l’autorité de contrôle et/ou aux personnes concernées. Afin de permettre au Responsable du traitement de se conformer à cette obligation légale, le Sous-traitant doit immédiatement informer le Responsable du traitement de la violation de sécurité et/ou de la fuite de données.
  2. 7.2. Un rapport doit toujours être établi, mais seulement si l’événement s’est effectivement produit.
  3. 7.3. L’obligation de notification comprend en tout état de cause la notification du fait qu’une violation s’est produite. En outre, l’obligation de notification comprend : la nature de la violation de données à caractère personnel, en précisant, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où des informations supplémentaires peuvent être obtenues ; les conséquences probables de la violation de données à caractère personnel ; les mesures proposées ou prises par le sous-traitant pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.
  4. 7.4. Le Sous-traitant doit, conformément à l’article 33, paragraphe 5 du RGPD, documenter toutes les violations de données, y compris les faits entourant la violation de données à caractère personnel, ses conséquences et les mesures correctives prises. Sur demande, le Sous-traitant doit fournir au Responsable du traitement l’accès à ces informations.

Article 8. Traitement des demandes des personnes concernées

  1. 8.1. Dans le cas où une personne concernée soumet une demande d’exercice de ses droits légaux (articles 15 à 22 du RGPD) au sous-traitant, le sous-traitant transmettra la demande au responsable du traitement, et le responsable du traitement traitera la demande. Le sous-traitant peut en informer la personne concernée.

Article 9. Confidentialité et secret

  1. 9.1. Toutes les données personnelles que le Sous-traitant reçoit du Responsable du traitement et/ou qu’il collecte lui-même dans le cadre du présent Contrat de Sous-traitance sont soumises à un devoir de confidentialité envers les tiers. Le Sous-traitant n’utilisera pas ces informations à d’autres fins que celles pour lesquelles il les a obtenues, même si elles sont sous une forme telle qu’elles ne permettent pas de remonter aux personnes concernées.
  2. 9.2. Cette obligation de confidentialité ne s’applique pas dans la mesure où le Responsable du traitement a donné l’autorisation expresse de fournir les informations à des tiers, si la fourniture des informations à des tiers est logiquement nécessaire compte tenu de la nature de la mission confiée et de l’exécution du présent Contrat de traitement, ou s’il existe une obligation légale de fournir les informations à un tiers.

Article 10. Audit

  1. 10.1. Le Responsable du traitement a le droit de faire effectuer des audits par un tiers indépendant tenu de confidentialité pour vérifier le respect des exigences de sécurité et tout ce qui s’y rapporte directement.
  2. 10.2. Cet audit peut avoir lieu en cas de suspicion concrète d’utilisation abusive de données personnelles.
  3. 10.3. Le sous-traitant doit coopérer avec l’audit et fournir toutes les informations raisonnablement pertinentes pour l’audit, y compris les données justificatives telles que les journaux système et les employés, le plus rapidement possible.
  4. 10.4. Les conclusions résultant de l’audit effectué seront mises en œuvre par le Sous-traitant dans les meilleurs délais.
  5. 10.5. Les frais de l’audit sont à la charge du Responsable du traitement.

Article 11. Dispositions relatives à la responsabilité et aux sanctions

  1. 11.1. La responsabilité du sous-traitant pour les dommages résultant d’un manquement imputable au contrat de sous-traitance, d’un acte illicite ou autre, est exclue. Dans la mesure où la responsabilité susmentionnée ne peut être exclue, elle est limitée par événement (une série d’événements consécutifs est considérée comme un événement) à l’indemnisation des dommages directs, jusqu’à un montant maximum de l’indemnisation reçue par le sous-traitant pour le travail effectué en vertu du présent contrat de sous-traitance au cours du mois précédant l’événement à l’origine du dommage. La responsabilité du sous-traitant pour les dommages directs ne dépassera jamais 100 000,00 € au total.
  2. 11.2. On entend par dommages directs exclusivement tous les dommages consistant en : des dommages causés directement à des biens corporels (« dommages matériels ») ; des frais raisonnables et démontrables pour inciter le Sous-traitant à (ré)exécuter correctement le Contrat de Sous-traitance ; des frais raisonnables pour déterminer la cause et l’étendue du dommage dans la mesure où il s’agit de dommages directs tels que visés dans le présent article ; et des frais raisonnables et démontrables engagés par le Responsable du traitement pour prévenir ou limiter les dommages directs tels que visés dans le présent article.
  3. 11.3. La responsabilité du responsable du traitement pour les dommages indirects est exclue. Par dommages indirects, on entend tous les dommages qui ne sont pas des dommages directs et donc en tout état de cause, mais sans s’y limiter, les dommages consécutifs, le manque à gagner, la perte d’économies, la diminution de la clientèle, les dommages dus à la stagnation des affaires, les dommages dus à l’incapacité de déterminer les objectifs de marketing, les dommages liés à l’utilisation de données ou de fichiers de données prescrits par le responsable du traitement, ou la perte, la mutilation ou la destruction de données ou de fichiers de données.
  4. 11.4. Les exclusions et limitations visées au présent article deviennent caduques si et dans la mesure où le dommage résulte d’une intention ou d’une imprudence délibérée de la part du Sous-traitant ou de ses dirigeants.
  5. 11.5. À moins que l’exécution par le sous-traitant ne soit définitivement impossible, le sous-traitant ne sera responsable de l’inexécution imputable du contrat que si le responsable du traitement notifie immédiatement le sous-traitant par écrit du manquement, en fixant un délai raisonnable pour remédier au manquement, et que le sous-traitant continue de ne pas exécuter ses obligations après ce délai. La notification du manquement doit contenir une description du manquement aussi complète et détaillée que possible, afin que le sous-traitant ait la possibilité de réagir de manière adéquate.
  6. 11.6. Toute demande de dommages et intérêts formulée par le Responsable du traitement à l’encontre du Sous-traitant qui n’a pas été spécifiquement et explicitement signalée devient caduque au terme d’un délai de douze (12) mois à compter de la survenance de la demande.
  7. 11.7. Le sous-traitant doit avoir et maintenir une assurance responsabilité civile adéquate conformément au présent article pendant toute la durée du contrat de sous-traitance. Les conditions d’assurance à cet effet peuvent être consultées sur demande.
  8. 11.8. En cas de violation du Contrat de traitement, le Sous-traitant devra verser au Responsable du traitement une amende immédiatement exigible de 100 000,00 € par violation et de 10 000,00 € par jour de violation.

Article 12. Durée et résiliation

  1. 12.1. Le présent Contrat de Traitement est conclu par la signature des Parties et à la date de la dernière signature.
  2. 12.2. Le présent Contrat de Sous-Traitance est conclu pour la durée déterminée dans les Conditions Générales entre les Parties et, à défaut, en tout état de cause pour la durée de la collaboration.
  3. 12.3. Dès que le Contrat de traitement est résilié pour quelque raison que ce soit et de quelque manière que ce soit, le Sous-traitant doit, au choix du Responsable du traitement, restituer au Responsable du traitement toutes les données personnelles en sa possession sous forme originale ou sous forme de copie, et/ou supprimer et/ou détruire ces données personnelles originales et toutes leurs copies.
  4. 12.4. Le responsable du traitement est en droit de réviser le présent contrat de sous-traitance de temps à autre. Il informera le sous-traitant des modifications au moins trois mois à l’avance. Le sous-traitant peut résilier le contrat à l’issue de ces trois mois s’il ne peut accepter les modifications.

Article 13. Loi applicable et règlement des litiges

  1. 13.1. L’accord de traitement et sa mise en œuvre sont régis par le droit néerlandais.
  2. 13.1. Le Contrat de traitement et sa mise en œuvre sont régis par le droit néerlandais. 13.2. Tous les litiges pouvant survenir entre les Parties en relation avec le Contrat de traitement seront soumis au tribunal compétent du district dans lequel le Responsable du traitement est établi.

Annexe 1 : Spécification des données personnelles et des personnes concernées

  1. Le sous-traitant des données personnelles traitera, dans le cadre de l’article 1.1 du contrat de sous-traitance, les données personnelles (spéciales) suivantes pour le compte du responsable du traitement :
  • Numéro de téléphone
  • Adresse email
  • Adresse IP
  • Comportement de visite
  • Nom et adresse
  • Comptes de réseaux sociaux
  • Données financières

Parmi les catégories de personnes concernées :

  • Clients
  • Personnel
  • Fournisseurs
  • Titulaires de compte
  • Visiteurs du site Web
  • Patients
  • Clients potentiels
  • Membres
  • Locataires

Le Responsable du traitement garantit que les données personnelles et les catégories de personnes concernées décrites dans la présente annexe 1 sont complètes et correctes, et indemnise le Sous-traitant contre tout défaut et toute réclamation résultant d’une déclaration incorrecte du Responsable du traitement.

Copyright © 2024 Xitens - Tous droits réservés. Tous les prix sont hors TVA de 21 %, sauf mention contraire.