Annexe RGDP
Introduction
La présente annexe régit les modalités et conventions relatives au traitement des données à caractère personnel confiées par l’affilié au sous-traitant dans le cadre du contrat de collaboration. Elle constitue un tout avec le règlement d’ordre intérieur.
Article 1er. Définitions et concepts
Dans le cadre de la présente annexe, les concepts ci-dessous ont le sens suivant :
- RGPD: Règlement général sur la protection des données (Règlement UE 2016/679);
- Fuite de données violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière par le Prestataire de services, ou l'accès non autorisé à de telles données ;
- Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci après dénommée « Personne concernée ») que le Sous-traitant traite dans le cadre de la présente annexe. Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d'identification, à des données de localisation, à un identifiant en ligne ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
- Contrat de collaboration : contrat(s) de base conclu(s) entre le Client et le Prestataire de services ;
- Traitement : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;
- Responsable du traitement : personne physique ou morale, instance publique, service ou tout autre organe qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de Données à caractère personnel. Dans le cadre de la présente annexe, le Client est considéré comme Responsable du traitement ;
- Sous-traitant : personne physique ou morale, instance publique, service ou tout autre organe qui traite des Données à caractère personnel pour le compte du Responsable du traitement. Dans le cadre de la présente annexe, le Prestataire de service est considéré comme Sous-traitant ;
- Personne concernée : personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.
- Contrat de sous-traitance : le présent document, en ce compris ses annexes.
Article 2. Traitement de Données à caractère personnel
- 2.1. Dans le cadre de la mission convenue entre les parties et dans le contexte du RGPD, l'affilié agit en qualité de Responsable du traitement et SSE ASBL (*) en tant que Sous-traitant.
- 2.2. En tant que Responsable du traitement, l'affilié conserve le contrôle total sur ses Données à caractère personnel et détermine l’objet, la nature, la finalité, les moyens et la durée du traitement des Données à caractère personnel par le Sous traitant dans le cadre du Contrat de collaboration.
- 2.3. Le Sous-traitant traite les Données à caractère personnel qui lui sont confiées par et sur instruction de l'affilié dans le cadre des services fournis par le Sous-traitant à l’affilié conformément au Contrat de collaboration conclu entre eux.
- 2.4. Lors du traitement des Données à caractère personnel, l’affilié et le Sous-traitant agissent conformément aux dispositions légales et réglementaires en matière de protection des Données à caractère personnel, y compris celles du RGPD.
- 2.5. Le fait que l'affilié agisse lui-même en qualité de Sous-traitant pour un tiers responsable du traitement, n'altère en rien le contrôle et la responsabilité de l’affilié à l’égard des Données à caractère personnel dans le cadre du présent Contrat de sous-traitance.
- 2.6. Le Sous-traitant traite les Données à caractère personnel qu’il reçoit de l’affilié conformément à la présente annexe ainsi qu'à la mission et aux tâches qui lui ont été confiées. La nature des données qui sont traitées par le Sous-traitant et les finalités du traitement sont décrites à l’annexe 1 de la présente annexe. L'affilié veille en outre à ce que seules les Données à caractère personnel strictement indispensables aux finalités décrites à l’annexe 1 soient fournies au Sous-traitant et qu’elles le soient de manière sécurisée.
- 2.7. Le Sous-traitant s’efforcera raisonnablement de traiter avec toute l’attention et la loyauté requises les Données à caractère personnel qui lui ont été confiées par l'affilié et le fera en conformité exclusive avec les instructions de l’affilié telles que décrites dans la présente annexe.
- 2.8. Sauf dispositions contraires prévues par la présente annexe et sauf dispositions légales impérieuses dans le cadre de l’exécution de sa mission (p. ex. ONSS, fisc,...), le Sous-traitant ne traitera pas les Données à caractère personnel pour ses finalités propres ou pour celles de tiers, ne les fournira pas à des tiers et ne les enverra pas dans un pays situé en dehors de l’EEE sans avoir reçu d’instructions écrites de l’affilié en ce sens.
- 2.9. Si une disposition légale ou réglementaire s’appliquant au Sous-traitant ou une décision obligatoire des pouvoirs publics ou d'une autorité judiciaire le contraint à un traitement déterminé, le Sous-traitant le notifiera à l’affilié au préalable, sauf si cette disposition interdit une telle notification pour des raisons d’intérêt général.
- 2.10. L'affilié garantit que ses instructions au Sous-traitant sont conformes à la législation et la réglementation relatives à la protection des données, qu’il applique pleinement et correctement, ainsi que moyennant les instructions qui ont été fournies par le responsable du traitement à l'affilié si ce dernier n’agit pas lui-même en qualité de responsable du traitement.
- 2.11. L'affilié garantit en outre que toutes les Données à caractère personnel qui sont confiées au Sous-traitant ont été obtenues de manière licite et peuvent être traitées en toute licéité pendant toute la durée du Contrat de collaboration. L'affilié préserve intégralement SSE ASBL (*) contre toute réclamation, action ou revendication des Personnes concernées, de tiers, des autorités et du responsable du traitement si l'affilié agit lui-même en qualité de Sous-traitant, ainsi que contre tout dommage pouvant en résulter à charge du Sous-traitant, y compris les amendes (administratives), tant en principal qu'en intérêts et frais.
- 2.12. Si le Sous-traitant venait à estimer que les instructions de l’affilié portent atteinte à la législation et à la réglementation relative à la protection des données, il serait alors tenu d’en avertir l’affilié sans délai, le Sous-traitant étant alors en droit de décider de ne pas exécuter et/ou de suspendre le traitement. Tout défaut éventuel de notification dans le chef du Sous-traitant n’altère en rien la responsabilité de l’affilié à l’égard du Sous-traitant suite à l’instruction illicite transmise.
Article 3. Recours à des tiers
- 3.1. Si, dans le cadre du traitement de Données à caractère personnel et conformément aux dispositions du Contrat de collaboration, le Sous-traitant a recours à des tiers, il s’emploiera toujours à ce que les tiers concernés puissent assurer un niveau de protection des données équivalent à celui imposé au Sous-traitant par la présente annexe.
- 3.2. Le Sous-traitant ne fera pas non plus appel à des tiers situés en dehors de l’EEE pour le traitement des Données à caractère personnel, sauf moyennant le consentement écrit préalable de l’affilié concerné. Sans préjudice de l’alinéa précédent, le Sous-traitant s'emploiera à ce que les tiers concernés assurent un niveau approprié de protection et de sécurité des Données à caractère personnel au sens du RGPD et fournira les informations nécessaires à l’affilié sur demande écrite de ce dernier.
- 3.3. L'affilié ne refusera pas le consentement tel que visé au paragraphe précédent sans motif raisonnable. En cas de refus, le Sous-traitant se réserve le droit, le cas échéant, de suspendre l'application de la présente annexe, d’y mettre fin et/ou de proposer des modifications de ses modalités sans être redevable d'un quelconque dédommagement à l'affilié.
- 3.4. Le Sous-traitant informe l'affilié, conformément à l’article 5 et pour autant que ces informations soient disponibles, de toute Fuite de données constatée chez un tiers auquel le Sous-traitant a fait appel, et ce, sans retard indu et dès que le Sous-traitant en a connaissance.
Article 4. Sécurité et obligation de confidentialité
- 4.1. Le Sous-traitant est tenu à la confidentialité des Données à caractère personnel reçues de l’affilié, sauf si et pour autant qu’une prescription légale l’oblige à les publier ou si cette publication a lieu sur ordre de l’affilié.
- 4.2. Le Sous-traitant prend, avec tout le soin requis, les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel fournies par l'affilié contre toute perte ou toute autre forme d’accès ou de traitement illicite. Ces mesures viseront à pouvoir proposer un niveau de protection adapté en tenant compte de l'état de la technique et des frais liés à leur implémentation, ainsi que des risques inhérents au traitement de Données à caractère personnel et à leur nature. Ces mesures sont exposées, à titre d’exemple, à l’annexe 2 de la présente Annexe.
- 4.3. Le Sous-traitant veillera également à ce que son personnel impliqué dans le traitement des Données à caractère personnel soit au courant des obligations qu’il a prises dans le cadre de la présente Annexe et soit tenu de les respecter. Cette disposition sera concrétisée par une déclaration de confidentialité jointe en annexe au contrat de travail et/ou au règlement de travail, par des politiques internes et une information régulière du personnel par le biais de séances d'information.
- 4.4. Le Sous-traitant accepte, dans la mesure du possible et moyennant une indemnité raisonnable, d’assister l'affilié pour le respect de ses obligations formelles liées aux analyses d'impact relatives à la protection des données et au traitement des Fuites de données chez l’affilié.
- 4.5. Après la fin du présent Contrat de sous-traitance, l’obligation de notification des Fuites de données (conformément à l’article 5) et l’obligation de confidentialité seront maintenues, pour autant qu’elles concernent des Données à caractère personnel traitées par le Sous-traitant pour le compte de l’affilié.
Article 5. Traitement des fuites de données
- 5.1. Le Sous-traitant avisera l'affilié de manière circonstanciée si une Fuite de données présentant un impact potentiel pour l'affilié est intervenue chez lui et lui est imputable, et ce, au plus tard dans un délai de 2 jours ouvrables après que le Sous-traitant en ait pris connaissance.
- 5.2. Le Sous-traitant communiquera à l'affilié, de sa propre initiative, toutes les informations disponibles au sujet de la Fuite de données, notamment la nature et la portée des Données à caractère personnel, une estimation du nombre de personnes concernées et les mesures de sûreté prévues. Le Sous-traitant utilisera à cet effet le formulaire de notification des Fuites de données repris à l’annexe 3.
- 5.3. L'affilié, ou le responsable du traitement au nom duquel l’affilié agit, peut, dans certaines circonstances, être tenu de notifier la Fuite de données à l’autorité de contrôle belge ou aux Personnes concernées.
- 5.4. Le Sous-traitant ne procèdera en aucun cas lui-même à la notification d’une Fuite de données à l'autorité de contrôle ou aux Personnes concernées.
- 5.5. Le Sous-traitant offrira à l’affilié toute la collaboration raisonnable et requise pouvant lui permettre d’avoir une idée de la gravité et des conséquences (potentielles) de la Fuite de données constatée chez le Sous-traitant. En particulier, le Sous-traitant fournira à l’affilié toutes les informations (pour autant qu’elles soient disponibles) présentées par l'affilié comme nécessaires pour apprécier si la Fuite de données doit être communiquée à l’autorité de contrôle ou aux personnes concernées, sauf si la loi ne le permet pas.
Article 6. Délai de conservation et effacement des Données à caractère personnel
- 6.1. Le Sous-traitant conserve les Données à caractère personnel pendant le délai nécessaire à l’exécution de la mission définie dans le Contrat de collaboration avec l'affilié (en ce compris ses prolongations) et, après l’expiration de celui-ci, pendant un délai complémentaire de 10 ans au maximum, sauf si un délai de conservation plus long est exigé pour des motifs justifiés.
- 6.2. Après l’expiration des délais de conservation définis à l’art. 6.1., le Sous-traitant détruira scrupuleusement les Données à caractère personnel qu’il a traitées dans le cadre du Contrat de collaboration, et ce, sur demande écrite et explicite de l’affilié, pour autant qu’aucune obligation légale n’impose au Sous-traitant de conserver certaines Données à caractère personnel pendant un délai déterminé.
- 6.3. Sur demande explicite et écrite de l’affilié, les Données à caractère personnel peuvent être restituées à l’affilié à l’expiration du délai de conservation prévu. Cette restitution interviendra au plus tôt après un délai de 3 mois prenant cours à l’expiration du délai de conservation prédéfini et se fera exclusivement sous forme électronique.
- 6.4. Le Sous-traitant peut déroger à l’effacement susmentionné des données pour autant qu’il soit indispensable de prouver le respect de ses obligations à l’égard de l’affilié, ou en cas d’obligation légale ou de décision obligatoire des pouvoirs publics ou d’une autorité judiciaire.
- 6.5. La restitution et/ou destruction des Données à caractère personnel, telle que définie dans le présent article, donnera lieu à une indemnité raisonnable pour le Sous-traitant à charge de l'affilié, les modalités devant être convenues.
Article 7. Droits des Personnes concernées
- 7.1. Dans la mesure où l’exige l’obligation de l’affilié de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits, telle que stipulée au chapitre III du RGPD, et où l'affilié ne dispose pas lui-même de cette possibilité, le Sous-traitant procèdera, sur demande écrite de l’affilié et avec tout le soin requis, aux opérations suivantes : (i) Fournir toutes les informations écrites nécessaires, pour autant qu’elles soient disponibles, et (ii) procéder à la correction, à la mise à jour, à l’effacement, au transfert ou à la limitation des données à caractère personnel, conformément aux instructions de l’affilié, et pour autant que cela soit raisonnablement possible et dans un délai raisonnable.
- 7.2. Pour autant que la prestation de service visée à l’article 7.1. soit applicable, adéquate et possible, les Parties en conviendront les modalités, ainsi que l’indemnité raisonnable à charge de l'affilié à laquelle le Sous-traitant a droit pour cette prestation de service.
Article 8. Dispositions diverses
- 8.1. L'affilié a toujours le droit, moyennant le respect de l’obligation de confidentialité prévue dans le Contrat de collaboration, de contrôler lui-même le respect par le Sous-traitant de la présente Annexe (i) en demandant au Sous-traitant des informations prouvant que celui-ci respecte les obligations prévues par la présente Annexe et (ii) en procédant, lui-même ou par l’intermédiaire d’un auditeur certifié, à un contrôle chez le Sous-traitant, avec l'accord de ce dernier.
- 8.2. Le contrôle prévu au paragraphe précédent (i) est limité exclusivement aux bâtiments et locaux où se déroulent les activités de traitement au profit de l’affilié et (ii) ne peut pas perturber inutilement les activités de l’entreprise du Sous traitant. Ce contrôle ne peut en aucun cas compromettre la continuité des services du Sous-traitant. L'affilié annoncera le contrôle par écrit au Sous-traitant au minimum 10 jours ouvrables avant son début, la date exacte du contrôle étant fixée en concertation entre les parties. Avant le début du contrôle, les Parties conviendront d’un commun accord du processus de contrôle ainsi que des éléments qui seront soumis au contrôle.
- 8.3. L'affilié supportera les coûts de la demande d’informations et du contrôle susmentionnés. L'affilié sera en outre redevable d’une indemnité raisonnable pour l’implication du personnel accompagnant du Sous-traitant pour l’organisation et la préparation du contrôle.
- 8.4. Le Sous-traitant accepte de partager avec l'affilié les résultats finaux issus du contrôle susmentionné (pour autant que ce partage soit couvert par un contrat de confidentialité offrant au moins les mêmes garanties que l’obligation de confidentialité prévue dans le Contrat de collaboration).
- 8.5. Le Sous-traitant est autorisé (i) à appliquer des modifications et/ou mises à jour éventuelles en ce qui concerne les mesures et procédures décrites dans le présent document et ses annexes afin de pouvoir continuer à satisfaire à ses obligations dans le cadre de la présente Annexe et (ii) à apporter des modifications éventuelles indispensables pour pouvoir satisfaire aux obligations légales dans le chef du Sous-traitant ou aux décisions obligatoires des pouvoirs publics ou d'une autorité judiciaire.
- 8.6. Toutes les autres dispositions du Contrat de collaboration conclu entre les Parties sont/restent pleinement d'application.
- 8.7. En cas de question, vous pouvez toujours nous contacter à l’adresse GDPR-INFO@easypay-group.com.
Dans cette section vous trouverez les annexes référencées :
Contactez-nous par e-mail à l’adresse GDPR-INFO at easypay-group dot com si vous avez des questions..