Le Sous-traitant s'engage à se conformer en tout temps aux législations applicables (RGPD, loi belge du 30 juillet 2018, Directive ePrivacy, etc.).
Le traitement des Données Personnelles se fera uniquement sur instruction du Professionnel et conformément aux finalités décrites en Annexe 2.
Le Sous-traitant mettra en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité et l’intégrité des Données Personnelles. Ces mesures incluent notamment le contrôle d’accès, la gestion des incidents, la continuité d’activité et les tests réguliers de sécurité (Annexe 1).
En cas d’incident (violation, perte, accès non autorisé...), le Sous-traitant notifiera le Professionnel par écrit dans un délai maximum de 24 heures après en avoir eu connaissance. Cette notification comprendra la nature de l’incident, les données et personnes concernées, les mesures correctives et les coordonnées du DPO.
Le Sous-traitant ne pourra sous-traiter tout ou partie du traitement des Données Personnelles qu’avec l’accord écrit préalable du Professionnel. La liste des sous-traitants approuvés figure en Annexe 3.
Aucun transfert en dehors de l’EEE ne pourra être effectué sans accord préalable écrit du Professionnel, sauf si un mécanisme de protection adéquat est mis en place (ex. Clauses Contractuelles Types – Annexe 4).
Le Sous-traitant tiendra des registres détaillés et permettra au Professionnel (ou à une autorité de contrôle) de réaliser des audits afin de vérifier le respect de la Convention. En cas de manquement, un Plan de Remédiation devra être fourni et exécuté à ses frais.
Le Sous-traitant assistera le Professionnel dans la gestion des demandes des personnes concernées (accès, rectification, suppression, etc.) conformément au RGPD.
Le Sous-traitant coopérera lors de la réalisation d’Analyses d’Impact relatives à la Protection des Données (AIPD).
La Convention reste en vigueur tant que le Sous-traitant fournit des Services au Professionnel. En cas de manquement substantiel (notamment aux articles 2 à 6), le Professionnel pourra résilier immédiatement la Convention.
Le Sous-traitant ne pourra céder ses droits et obligations à un tiers sans l’autorisation écrite préalable du Professionnel.
À la résiliation, le Sous-traitant devra, au choix du Professionnel, renvoyer toutes les Données Personnelles ou les détruire dans les 14 jours, sauf obligation légale contraire.
Le Sous-traitant indemnisera le Professionnel pour toute perte, dommage ou sanction résultant d’un manquement à ses obligations en matière de protection des données.
La présente Convention est régie par le droit belge. Les juridictions francophones de Bruxelles sont seules compétentes.
Voir la Politique de vie privée.
Destinataire | Pays | Type de garanties |
---|---|---|
AWS | États-Unis | Privacy Shield |
Hubspot | États-Unis | Privacy Shield |
Firebase | États-Unis | Privacy Shield |
Shopify | Canada | Privacy Shield |
CRM Odoo | États-Unis | Privacy Shield |
BPOST | Belgique | / |
Klaviyo | États-Unis | Privacy Shield |
PayPal | États-Unis | Privacy Shield |
Stripe | États-Unis | Privacy Shield |
BNP Paribas Fortis | France | / |
Almapay | France | / |
États-Unis | Privacy Shield | |
Google Drive | États-Unis | Privacy Shield |
Ringover | France | / |
En cas de transfert de données transfrontaliers approuvés, le Sous-traitant s’engage à respecter les Clauses Contractuelles Types établies par la Commission Européenne.
Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données.
Nom de l’organisation exportant les données : …
Adresse : …
Téléphone : … ; Fax : … ; Email : …
(ci-après dénommée l’« exportateur de données »)
Nom de l’organisation important les données : …
Adresse : …
Téléphone : … ; Fax : … ; Email : …
(ci-après dénommée l’« importateur de données »)
Ci-après dénommés individuellement une « partie » et collectivement les « parties »
Les détails du transfert, notamment les catégories de données et personnes concernées, sont précisés dans l’Appendice 1.
La personne concernée peut faire appliquer les droits prévus dans les présentes clauses contre l’exportateur, l’importateur et tout sous-traitant ultérieur, selon les cas.
L’exportateur garantit que :
L’importateur garantit notamment :
Les personnes concernées ayant subi un dommage du fait d’un manquement ont le droit d’obtenir réparation auprès de l’exportateur, de l’importateur ou du sous-traitant ultérieur selon les cas.
Les litiges peuvent être portés :
L’autorité de contrôle peut exiger une copie du contrat et effectuer des vérifications chez l’importateur ou ses sous-traitants ultérieurs.
Les clauses sont régies par le droit de l’État membre où est établi l’exportateur de données (ici : Belgique).
Les parties ne peuvent pas modifier ces clauses, mais peuvent ajouter des dispositions commerciales complémentaires non contradictoires.
L’importateur ne peut sous-traiter sans accord préalable écrit. Tout sous-traitant ultérieur doit offrir le même niveau de protection.
À la fin des services, l’importateur et tout sous-traitant ultérieur devront restituer ou détruire toutes les données transférées, sauf obligation légale contraire.
À compléter par les parties : catégories de données, personnes concernées, finalités du traitement.
Description des mesures techniques et organisationnelles mises en œuvre par l’importateur (cf. Annexe 1).
Signature :
Exportateur de données : …
Importateur de données : …