Skip to main content

Traitement de données



2. Conformité aux Législations sur la Protection des Données applicables

Le Sous-traitant s'engage à se conformer en tout temps aux législations applicables (RGPD, loi belge du 30 juillet 2018, Directive ePrivacy, etc.).
Le traitement des Données Personnelles se fera uniquement sur instruction du Professionnel et conformément aux finalités décrites en Annexe 2.

3. Sécurité et confidentialité

Le Sous-traitant mettra en place des mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité et l’intégrité des Données Personnelles. Ces mesures incluent notamment le contrôle d’accès, la gestion des incidents, la continuité d’activité et les tests réguliers de sécurité (Annexe 1).

4. Notification des Incidents de Sécurité de Données

En cas d’incident (violation, perte, accès non autorisé...), le Sous-traitant notifiera le Professionnel par écrit dans un délai maximum de 24 heures après en avoir eu connaissance. Cette notification comprendra la nature de l’incident, les données et personnes concernées, les mesures correctives et les coordonnées du DPO.

5. Sous-traitance

Le Sous-traitant ne pourra sous-traiter tout ou partie du traitement des Données Personnelles qu’avec l’accord écrit préalable du Professionnel. La liste des sous-traitants approuvés figure en Annexe 3.

6. Transferts de Données Personnelles transfrontaliers

Aucun transfert en dehors de l’EEE ne pourra être effectué sans accord préalable écrit du Professionnel, sauf si un mécanisme de protection adéquat est mis en place (ex. Clauses Contractuelles Types – Annexe 4).

7. Audit

Le Sous-traitant tiendra des registres détaillés et permettra au Professionnel (ou à une autorité de contrôle) de réaliser des audits afin de vérifier le respect de la Convention. En cas de manquement, un Plan de Remédiation devra être fourni et exécuté à ses frais.

8. Assistance lors du suivi des demandes des Personnes Concernées

Le Sous-traitant assistera le Professionnel dans la gestion des demandes des personnes concernées (accès, rectification, suppression, etc.) conformément au RGPD.

9. Assistance dans la réalisation des AIPD

Le Sous-traitant coopérera lors de la réalisation d’Analyses d’Impact relatives à la Protection des Données (AIPD).

10. Durée et résiliation

La Convention reste en vigueur tant que le Sous-traitant fournit des Services au Professionnel. En cas de manquement substantiel (notamment aux articles 2 à 6), le Professionnel pourra résilier immédiatement la Convention.

11. Cession

Le Sous-traitant ne pourra céder ses droits et obligations à un tiers sans l’autorisation écrite préalable du Professionnel.

12. Retour / destruction de Données Personnelles

À la résiliation, le Sous-traitant devra, au choix du Professionnel, renvoyer toutes les Données Personnelles ou les détruire dans les 14 jours, sauf obligation légale contraire.

13. Indemnités

Le Sous-traitant indemnisera le Professionnel pour toute perte, dommage ou sanction résultant d’un manquement à ses obligations en matière de protection des données.

14. Droit et juridiction applicables

La présente Convention est régie par le droit belge. Les juridictions francophones de Bruxelles sont seules compétentes.

Annexe 1 : Mesures de sécurité

  • Contrôle d’accès physique aux bâtiments et aux systèmes
  • Contrôle d’accès aux données personnelles par authentification
  • Gestion des incidents de sécurité
  • Plan de continuité et sauvegardes
  • Politiques internes de protection des données et de rétention
  • Tests réguliers des mesures de sécurité

Annexe 2 : Description des traitements de données

Voir la Politique de vie privée.

Annexe 3 : Sous-traitants approuvés

Destinataire Pays Type de garanties
AWS États-Unis Privacy Shield
Hubspot États-Unis Privacy Shield
Firebase États-Unis Privacy Shield
Shopify Canada Privacy Shield
CRM Odoo États-Unis Privacy Shield
BPOST Belgique /
Klaviyo États-Unis Privacy Shield
PayPal États-Unis Privacy Shield
Stripe États-Unis Privacy Shield
BNP Paribas Fortis France /
Almapay France /
LinkedIn États-Unis Privacy Shield
Google Drive États-Unis Privacy Shield
Ringover France /

Annexe 4 : Clauses contractuelles types

En cas de transfert de données transfrontaliers approuvés, le Sous-traitant s’engage à respecter les Clauses Contractuelles Types établies par la Commission Européenne.

Annexe 4 : Clauses contractuelles types (Sous-traitants)

Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données.

Nom de l’organisation exportant les données :
Adresse :
Téléphone : … ; Fax : … ; Email :
(ci-après dénommée l’« exportateur de données »)

Nom de l’organisation important les données :
Adresse :
Téléphone : … ; Fax : … ; Email :
(ci-après dénommée l’« importateur de données »)

Ci-après dénommés individuellement une « partie » et collectivement les « parties »

Clause 1 : Définitions

  • « données à caractère personnel », « catégories particulières de données », « traiter/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE.
  • « exportateur de données » : responsable du traitement qui transfère les données.
  • « importateur de données » : sous-traitant qui accepte de recevoir les données pour les traiter pour le compte de l’exportateur.
  • « sous-traitant ultérieur » : sous-traitant engagé par l’importateur.
  • « droit applicable à la protection des données » : législation nationale de l’exportateur.
  • « mesures techniques et d’organisation liées à la sécurité » : mesures de protection physiques, organisationnelles et techniques.

Clause 2 : Détails du transfert

Les détails du transfert, notamment les catégories de données et personnes concernées, sont précisés dans l’Appendice 1.

Clause 3 : Clause du tiers bénéficiaire

La personne concernée peut faire appliquer les droits prévus dans les présentes clauses contre l’exportateur, l’importateur et tout sous-traitant ultérieur, selon les cas.

Clause 4 : Obligations de l’exportateur de données

L’exportateur garantit que :

  • le traitement est conforme à la loi applicable ;
  • il a mandaté l’importateur uniquement pour le traitement prévu ;
  • les mesures de sécurité sont adéquates ;
  • les personnes concernées ont été informées ;
  • les copies des clauses peuvent être fournies sur demande ;
  • les transferts ultérieurs sont conformes aux présentes clauses.

Clause 5 : Obligations de l’importateur de données

L’importateur garantit notamment :

  • traiter les données uniquement pour le compte de l’exportateur ;
  • informer l’exportateur en cas d’impossibilité de respecter ses instructions ;
  • mettre en œuvre les mesures techniques et organisationnelles de sécurité ;
  • communiquer toute demande d’accès des autorités ;
  • soumettre son traitement à vérification ;
  • obtenir l’accord préalable en cas de sous-traitance ultérieure.

Clause 6 : Responsabilité

Les personnes concernées ayant subi un dommage du fait d’un manquement ont le droit d’obtenir réparation auprès de l’exportateur, de l’importateur ou du sous-traitant ultérieur selon les cas.

Clause 7 : Médiation et juridiction

Les litiges peuvent être portés :

  • soit devant un médiateur indépendant,
  • soit devant les tribunaux de l’État membre où est établi l’exportateur.

Clause 8 : Coopération avec les autorités de contrôle

L’autorité de contrôle peut exiger une copie du contrat et effectuer des vérifications chez l’importateur ou ses sous-traitants ultérieurs.

Clause 9 : Droit applicable

Les clauses sont régies par le droit de l’État membre où est établi l’exportateur de données (ici : Belgique).

Clause 10 : Modification du contrat

Les parties ne peuvent pas modifier ces clauses, mais peuvent ajouter des dispositions commerciales complémentaires non contradictoires.

Clause 11 : Sous-traitance ultérieure

L’importateur ne peut sous-traiter sans accord préalable écrit. Tout sous-traitant ultérieur doit offrir le même niveau de protection.

Clause 12 : Obligations après la résiliation

À la fin des services, l’importateur et tout sous-traitant ultérieur devront restituer ou détruire toutes les données transférées, sauf obligation légale contraire.

Appendice 1 : Détails du transfert

À compléter par les parties : catégories de données, personnes concernées, finalités du traitement.

Appendice 2 : Mesures de sécurité

Description des mesures techniques et organisationnelles mises en œuvre par l’importateur (cf. Annexe 1).

Signature :
Exportateur de données : …
Importateur de données : …