DPA

ENTRE:

[nom de la société du client], dont le siège social est situé [adresse] et immatriculée sous le numéro [numéro d'entreprise], représentée légalement par [nom du représentant], en qualité de [fonction du représentant] (ci-après « le Client »)

ET:

BILLIT BV, dont le siège social est situé Oktrooiplein 1, bus 302, à 9000 Gand et enregistrée sous le numéro 0563.846.944, représentée légalement par [nom du représentant], en qualité de [fonction du représentant] (ci-après « le Sous-traitant »)

[nom de la société du client] et le Sous-traitant sont désignés ci-après individuellement « la Partie » ou conjointement « les Parties ».

CONTEXTE:

(A)        Le Client et le Sous-traitant ont conclu le [date] un contrat concernant la mise à disposition d'une plateforme logicielle d'administration et de gestion en ligne des entreprises au Client (ci-après « Contrat-cadre ») en vertu duquel le Sous-traitant traitera des données à caractère personnel pour le compte du Client;

(B)        Le présent Contrat de traitement des données (ci-après « le Contrat de traitement des données ») définit les conditions, exigences et modalités complémentaires selon lesquelles le Sous-traitant traitera les données à caractère personnel lorsqu'il fournira des services au titre du Contrat-cadre. Le présent Contrat de traitement des données contient les clauses obligatoires requises en vertu de l'article 28 (3) du Règlement général sur la protection des données [règlement (UE) 2016/679] (ci-après « le RGPD ») dans les contrats conclus entre responsables du traitement et sous-traitants.

DISPOSITIONS CONVENUES :

1.        Définitions et interprétation

1.1.      Les définitions suivantes s'appliquent dans le présent Contrat de traitement des données :

Les « Finalités opérationnelles » désignent les services décrits dans le Contrat-cadre.

La « Législation relative à la protection des données » désigne toute réglementation légale applicable de l'Union européenne, en ce compris, entre autres, les décisions, directives et règlements concernant la protection des données à caractère personnel, en particulier le RGPD, et la législation de transposition applicable en vertu du droit belge.

Les termes « Responsable du traitement », « Analyse d'impact relative à la protection des données », « Personne concernée », « Données à caractère personnel », « Violation de données à caractère personnel » et « traiter/traitement » ont la même signification que dans le RGPD.

1.2.      Le présent Contrat de traitement des données est soumis aux dispositions du Contrat-cadre et fait partie intégrante de ce dernier.

1.3.      En cas de contradiction entre une des dispositions du présent Contrat de traitement des données et les dispositions du Contrat-cadre, les dispositions du présent Contrat de traitement des données prévaudront.

2.        Types de Données à caractère personnel et finalités du traitement

2.1.      En ce qui concerne le traitement des Données à caractère personnel par le Sous-traitant pour le compte du Client, ce dernier agira en tant que Responsable du traitement et le Sous-traitant au sens de la Législation relative à la protection des données.

2.2.      Le Responsable du traitement conservera le contrôle des Données à caractère personnel et restera responsable du respect de ses obligations en vertu de la Législation relative à la protection des données, y compris les notifications requises et l'obtention des consentements nécessaires, ainsi que des instructions de traitement qu'il transmettra au Responsable du traitement.

2.3.       Le tableau ci-dessous décrit la nature et la finalité du traitement par le Sous-traitant, les catégories de Données à caractère personnel, les catégories de Personnes concernées et les délais de conservation des Données à caractère personnel.

3.        Obligations du Sous-traitant

3.1.        Sous-traitant ne traitera les Données à caractère personnel que dans la mesure et de la manière nécessaires aux Finalités opérationnelles, conformément aux instructions écrites du Client. Le Sous-traitant ne traitera pas les Données à caractère personnel à d'autres fins ni d'une manière incompatible avec le présent Contrat de traitement des données ou la Législation relative à la protection des données. Le Responsable du traitement devra informer le Client sans délai s'il estime que l'instruction du Client n'est pas conforme à la Législation relative à la protection des données.

3.2.        Le Sous-traitant devra préserver la confidentialité de toutes les Données à caractère personnel et ne pourra divulguer de Données à caractère personnel à des tiers, à moins que le Client ou le présent Contrat de traitement des données n'autorise expressément une telle divulgation ou que la loi ne la rende obligatoire. Si une loi, un tribunal, un organisme de réglementation ou une autorité de surveillance exige du Sous-traitant qu'il traite ou divulgue des Données à caractère personnel, le Sous-traitant devra d'abord notifier au Client l'obligation légale ou réglementaire et lui donner la possibilité de s'opposer à l'obligation ou de la contester, à moins qu'une telle notification ne soit interdite par la .

3.3.        Le Sous-traitant aidera raisonnablement le Client à se conformer aux obligations de conformité de ce dernier en vertu de la Législation relative à la protection des données, compte tenu de la nature du traitement effectué par le Sous-traitant et des informations dont dispose celui-ci, y compris en ce qui concerne les droits de la Personne concernée, les Analyses d'impact relatives à la protection des données, ainsi que la déclaration aux autorités de surveillance et la consultation de celles-ci en vertu de la Législation relative à la protection des données.

4.        Sous-traitants ultérieurs

4.1.        Le Client donne par la présente la permission au Sous-traitant de mandater les tiers suivants (« Sous-traitants ultérieurs ») pour traiter des Données à caractère personnel :

4.2.        Le Client donne par la présente au Sous-traitant un mandat général lui permettant de faire appel à d'autres Sous-traitants ultérieurs.

4.3.        Si le Sous-traitant a l'intention de désigner un autre Sous-traitant ultérieur, il en informera le Client et lui donnera la possibilité de s'opposer à cette désignation dans un délai de quatorze (14) jours. Il est toutefois entendu que le Client ne pourra s'opposer à une telle désignation que par écrit et pour des motifs raisonnables étayés par des preuves.

4.4.        Le Sous-traitant conclura avec chaque Sous-traitant ultérieur un contrat écrit contenant les mêmes conditions que celles figurant dans le présent Contrat de traitement des données, notamment en ce qui concerne les exigences relatives aux mesures de sécurité techniques et organisationnelles. Le Sous-traitant devra, sur demande écrite du Client, fournir des copies de ces contrats au Client.

4.5.        Sans préjudice de l'article 13.1, le Sous-traitant restera entièrement responsable vis-à-vis du Client de tout manquement d'un Sous-traitant ultérieur à ses obligations en matière de traitement des Données à caractère personnel.

5.        Transfert transfrontalier de données à caractère personnel

5.1.        Le Sous-traitant (ou un Sous-traitant ultérieur) ne transférera ou ne traitera d’une autre façon les Données à caractère personnel en dehors de l'Espace économique européen (« EEE ») que si le Sous-traitant (ou le Sous-traitant ultérieur) a fourni des garanties appropriées conformément à l'article 46 du RGPD ou si ce transfert est obligatoire en vertu des dispositions de l'UE ou d'un État membre de l'UE.

5.2.        Le Sous-traitant (ou le Sous-traitant ultérieur) conclura le cas échéant des clauses contractuelles types de l'UE approuvées par la Commission européenne avec l'importateur de données situé en dehors de l'EEE.

6.        Confidentialité

6.1.        Le Sous-traitant veillera à ce que les personnes autorisées à traiter les Données à caractère personnel :

              (i)      Soient tenues à des obligations de confidentialité et des restrictions d'utilisation concernant les Données à caractère personnel ; et

              (ii)     soient conscientes à la fois des obligations du Sous-traitant et de leurs obligations personnelles en vertu de la Législation relative à la protection des données et du présent Contrat de traitement des données.

7.        Sécurité

7.1.        Le Sous-traitant prendra toutes les mesures requises en vertu de l'article 32 du RGPD.

7.2.        Le Sous-traitant prendra en particulier les mesures techniques et organisationnelles suivantes :

              (i)      Contrôle de l'accès physique : Les serveurs d'applications web, de communication et de bases de données de Billit sont situés dans des centres de données sécurisés en Europe, gérés par TransIP & Amazon Web Services, Inc., avec lesquels Billit a conclu les contrats écrits nécessaires, comme prévu à l'article 4.4 du présent Contrat de traitement des données.

              (ii)     Contrôle de l'accès au système :Billit a pris des mesures appropriées pour empêcher les personnes non autorisées d'utiliser ses systèmes. Cet objectif sera atteint par les moyens suivants :

                           •   Identification du terminal et/ou de l'utilisateur du terminal dans les systèmes de Billit ;

                           •   Mise hors tension automatique du terminal utilisateur lorsqu'il n'est pas utilisé. Identification et mot de passe requis pour récupérer l'accès ;

                           •   Blocage automatique de l'utilisateur en cas de saisie répétée d'un mot de passe erroné. Les événements seront enregistrés et contrôlés régulièrement ;

                           •   Contrôle d'accès via un pare-feu, un routeur et un VPN pour protéger les réseaux privés et les serveurs back-end ;

                           •  Contrôle ad hoc de la sécurité des infrastructures ;

                           •  Examen régulier des risques de sécurité par des collaborateurs internes et des auditeurs externes ;

                           •  Communication de codes d'identification et conservation de ceux-ci en sécurité ;

                           •  Contrôle d'accès sur la base de rôles selon le principe que seuls les droits strictement nécessaires sont accordés ;

                           •  Enregistrement de l'accès aux serveurs hôtes, applications, bases de données, routeurs, commutateurs, etc. ;

                           •  Utilisation d’outils commerciaux et personnalisés pour collecter et vérifier les données enregistrées par la plateforme et le système.

              (iii)     Contrôle de l’accès aux données :Billit a mis en œuvre des mesures appropriées pour garantir la protection des Données à caractère personnel contre toute destruction ou perte involontaire. Cet objectif sera atteint par les moyens suivants :

              (iv)     Infrastructure redondante ; 

                           •   Évaluation constante des centres de données et des fournisseurs d'accès à Internet (FAI) pour optimiser les performances pour les clients sur le plan de la bande passante, de la latence et de l'isolation pour la reprise après sinistre ;

                           •   Hébergement des centres de données sur des sites partagés sécurisés, neutres vis-à-vis des opérateurs, avec sécurité physique, alimentation électrique redondante et infrastructure redondante ;

                           •   Accords de niveau de service avec les FAI pour garantir une disponibilité maximale ;

                           •   Basculement rapide en cas de problème.

              (v)     Contrôle de la transmission : Billit a mis en œuvre des mesures appropriées pour empêcher que des Données à caractère personnel ne soient lues, copiées, modifiées ou supprimées par des personnes non autorisées pendant la transmission des données ou le transport des supports de données. Cet objectif sera atteint par les moyens suivants:

                           •  Utilisation de technologies de pare-feu et de cryptage appropriées pour protéger les ports et les canaux par lesquels les données sont transférées ;

                           •  Cryptage des Données à caractère personnel sensibles pendant la transmission à l'aide des versions actuelles de TLS ou d'autres protocoles de sécurité utilisant des algorithmes et des clés de cryptage puissants ;

                           •  Protection de l'accès des collaborateurs aux interfaces de gestion des comptes via Internet au moyen d’une connexion TLS cryptée ;

                           •  Cryptage de bout en bout des écrans partagés servant à l'accès à distance, au support ou aux communications en temps réel.

              (vi)     Contrôle de la saisie : Billit a mis en œuvre des mesures appropriées afin de toujours pouvoir déterminer si, et par qui, les Données à caractère personnel ont été saisies dans les systèmes de traitement des Données à caractère personnel ou en ont été retirées. Cet objectif sera atteint par les moyens suivants :

                           •   Authentification des collaborateurs autorisés ;

                           •  Mesures de protection pour la saisie de Données à caractère personnel dans la mémoire et pour la lecture, la modification et la suppression de Données à caractère personnel stockées, notamment en documentant ou en enregistrant les modifications importantes apportées aux données ou aux paramètres du compte ;

                           •  Séparation et protection de toutes les Données à caractère personnel stockées par le biais de schémas de bases de données, de contrôles d'accès logiques et/ou du cryptage ;

                           •  Utilisation de pièces d'identification pour l'identification des utilisateurs ;

                           • Sécurisation physique de l'endroit où se fait le traitement des données ;

                           •  Arrêt automatique des sessions.

              (vii)     Sauvegarde des données ;

              (viii)     Séparation des données : Billit ne touchera pas aux Données à caractère personnel du Client, sauf dans les cas suivants :

                           • Pour fournir les Services nécessaires au titre du Contrat-cadre ;

                           • Pour améliorer l'expérience de l'utilisateur ;

                           • Conformément à la loi ; ou

                           • À la demande du Client.

                           Cet objectif sera atteint par les moyens suivants :

                           • Attribution individuelle d’administrateurs du système;

                           • Prise de mesures appropriées pour enregistrer l'accès des administrateurs du système à l'infrastructure.

8.        Contrôle

8.1.        Le Sous-traitant mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations découlant du présent Contrat de traitement des données et de la Législation relative à la protection des données, et autorisera les audits, y compris les inspections, effectués par le Client ou les auditeurs mandatés à cet effet, et prêtera son concours à de tels audits.

8.2.        Pareil audit ne pourra être effectué que si le Sous-traitant en est informé par lettre recommandée au moins trois (3) semaines à l'avance. Un audit pourra être effectué au maximum deux fois par année contractuelle, tous les jours (entre 9h00 et 18h00) sauf les samedis, dimanches, jours fériés légaux en Belgique et jours de fermeture collective du Sous-traitant pour cause de congés. Un audit ne pourra raisonnablement pas entraver les activités commerciales du Sous-traitant. Les audits seront toujours effectués aux frais du Client. Le Sous-traitant sera en droit d'exiger que le Client et l'auditeur externe signent une déclaration de confidentialité avant la réalisation de l'audit.

8.3.        Sauf disposition écrite explicite contraire, les coûts supportés par le Sous-traitant pour fournir une assistance dans le cadre d'un tel audit seront facturés au Client à un tarif horaire de 120 euros (hors TVA).

9.        Informations et assistance

9.1.        Le Sous-traitant prendra les mesures techniques et organisationnelles appropriées convenues par écrit entre les Parties et communiquera rapidement au Client les informations que ce dernier pourra raisonnablement exiger pour être en mesure de se conformer à ce qui suit :

              (i)     les droits des Personnes concernées en vertu de la Législation relative à la protection des données ; et

              (ii)     les notifications d'information ou d'évaluation adressées par une autorité de surveillance au Sous-traitant en vertu de la Législation relative à la protection des données.

9.2.        Le Sous-traitant devra informer immédiatement le Client à la réception d'une plainte, notification ou communication se rapportant directement ou indirectement au traitement des Données à caractère personnel ou au respect, par une des Parties, de la Législation relative à la protection des données.

9.3.        Le Sous-traitant devra informer le Client dans un délai de cinq (5) jours ouvrables s'il reçoit d'une Personne concernée une demande d’accès à ses Données à caractère personnel ou d’exercice d'un de ses droits en vertu de la Législation relative à la protection des données.

9.4.        Le Sous-traitant devra coopérer raisonnablement et aider le Responsable du traitement à répondre aux plaintes, notifications, communications ou demandes des Personnes concernées.

9.5.        Le Sous-traitant ne pourra divulguer les Données à caractère personnel à une Personne concernée ou à un tiers, sauf à la demande ou sur instruction du Client, comme prévu dans le présent Contrat de traitement des données ou comme l’exige la loi.

9.6.        Sauf disposition écrite explicite contraire, les coûts supportés par le Sous-traitant pour fournir une assistance en vertu du présent article 9 seront facturés au Client à un tarif horaire de 120 euros (hors TVA).

10.        Violations de Données à caractère personnel

10.1.        Le Sous-traitant devra informer le Client sans délai excessif s'il a connaissance d'une violation de données à caractère personnel.

10.2.        Si le Sous-traitant a connaissance d'une Violation de données à caractère personnel, il devra communiquer au Client les informations suivantes sans délai excessif :

              (i)     description de la nature de la violation, y compris des catégories et du nombre estimé de Personnes concernées et de Dossiers de données à caractère personnel touchés ;

              (ii)     conséquences probables ; et

              (iii)     description des mesures prises ou proposées pour faire face à la Violation des données à caractère personnel, y compris les mesures visant à atténuer les éventuels effets néfastes.

10.3.        Immédiatement après une Violation des données à caractère personnel, les Parties coopéreront pour enquêter sur cette Violation de données à caractère personnel. Le Sous-traitant devra coopérer raisonnablement avec le Client en ce qui concerne le traitement de la Violation des données à caractère personnel par le Client, notamment en :

              (i)     prêtant son concours à une enquête ;

              (ii)     prenant des mesures raisonnables et rapides pour atténuer les conséquences et réduire au strict minimum les dommages éventuels causés par la Violation des données à caractère personnel.

10.4.        Le Sous-traitant ne pourra informer des tiers d’une Violation de données à caractère personnel sans l'accord écrit préalable du Client, sauf si la loi le contraint à le faire.

10.5.        Le Client devra assumer tous les coûts raisonnables liés à la prestation du Sous-traitant en vertu du présent article 10, sauf si la Violation de données à caractère personnel est due à une négligence, à une faute intentionnelle ou à une violation du présent Contrat de traitement des données par le Sous-traitant.

11.        Durée et fin du contrat

11.1.        Le présent Contrat de traitement des données restera entièrement en vigueur tant que :

              (i)     le Contrat-cadre restera en vigueur ; ou que

              (ii)     le Sous-traitant conservera en sa possession ou sous son contrôle des Données à caractère personnel en rapport avec le Contrat-cadre (ci-après « la Durée »).

11.2.        Toute disposition du présent Contrat de traitement des données devant, expressément ou tacitement, devenir ou rester applicable à la cessation du Contrat-cadre ou après celle-ci (y compris, entre autres, l’article 13.1), restera intégralement en vigueur.

12.        Suppression ou restitution

12.1.        En cas de cessation du Contrat-cadre pour quelque raison que ce soit, ou à l’expiration de celui-ci, le Sous-traitant devra, au choix du Client, supprimer ou restituer toutes les Données à caractère personnel relatives au présent Contrat de traitement des données qui sont en sa possession, et supprimer les copies existantes.

12.2.        Si une loi, prescription ou instance publique ou réglementaire exige du Sous-traitant qu'il conserve des documents ou du matériel qu'il serait autrement tenu de restituer ou de détruire, le Sous-traitant devra notifier cette obligation de conservation par écrit au Client, en indiquant le détail des documents ou du matériel qu'il doit conserver, la base juridique imposant cette conservation et un délai spécifique de destruction une fois que l'obligation de conservation aura pris fin.

13.        Dispositions finales

13.1.        Pour autant que le droit applicable le permette, toutes les limitations et/ou exclusions de responsabilité prévues par le Contrat-cadre s'appliquent au présent Contrat de traitement des données.

13.2.        Si, à quelque moment que ce soit pendant la Durée du contrat, il est établi qu'une disposition du présent Contrat de traitement des données est invalide, illégale ou inapplicable ou qu’elle l’est devenue, la validité, la légalité et l'applicabilité des autres dispositions du Contrat de traitement des données ne subiront aucune incidence ni aucune conséquence.  Les Parties négocieront de bonne foi pour remplacer cette disposition invalide, illégale ou inapplicable par une disposition valide, légale et applicable dont l'effet sera aussi proche que possible de celui de la disposition invalide, illégale ou inapplicable.

13.3.        Le présent Contrat de traitement des données est régi par les lois applicables au Contrat-cadre et interprété conformément à ces lois. Le tribunal mentionné dans le Contrat-cadre sera seul compétent pour statuer sur tout litige découlant du présent Contrat de traitement des données ou en rapport avec celui-ci.

Le présent Contrat a été établi à [lieu de la signature] le [date de la signature] en deux (2) exemplaires.

Explication concernant le Contrat de traitement des données

• Billit agit en qualité de sous-traitant au sens du RGPD lors du traitement des données à caractère personnel dans le cadre des services qu’elle fournit en rapport avec la plateforme Billit. Le client agit en qualité de responsable du traitement.

• Des données à caractère personnel des collaborateurs, clients et fournisseurs du client sont traitées via la plateforme Billit. Ce traitement concerne principalement des données d'identification et de facturation.

• Le traitement des données à caractère personnel est nécessaire à la mise à disposition de la plateforme Billit et à l'exécution du contrat entre le client et Billit. Billit peut également traiter des données à caractère personnel conformément à ses obligations légales. Ce traitement est nécessaire tant que le contrat entre le client et Billit est en vigueur. Des traitements après l'expiration du contrat sont possibles s'il existe une obligation légale dans ce sens (concernant les délais de conservation légaux par exemple).

• En tant que sous-traitant, Billit ne traitera les données à caractère personnel que sur instruction du client.

• Billit peut confier le traitement à des sous-traitants ultérieurs. Le client a le droit de s'opposer à la désignation d'un nouveau sous-traitant ultérieur.

• Billit veillera à ce que ses collaborateurs soient tenus à une stricte obligation de confidentialité.

• Le RGPD impose certaines obligations aux sous-traitants. Par exemple, un niveau approprié de protection des données doit être assuré et la désignation de sous-traitants ultérieurs doit également remplir diverses conditions. Billit satisfait à ces obligations.

• Pour se conformer aux obligations du RGPD, Billit doit tenir certaines informations à la disposition du client. Si le client le souhaite, un audit pourra être réalisé pour vérifier le respect de ces obligations par Billit. Billit collaborera à cet audit, à des horaires et dans des délais raisonnables. La participation à un audit exige un effort important de la part des collaborateurs de Billit concernés. Cette participation sera donc également facturée.

• La personne concernée peut exercer ses droits au titre du RGPD auprès du responsable du traitement. En sa qualité de sous-traitant, Billit apportera son aide au client chaque fois que cela sera nécessaire et possible. Cette collaboration sera également facturée.

• Toute violation de données à caractère personnel doit être signalée à l'autorité de surveillance. Billit collaborera également avec le client si nécessaire dans ce cadre. Le client remboursera tous les frais raisonnables engagés par Billit dans le cadre de cette collaboration.

• Après la fin du contrat, Billit supprimera ou restituera les données à caractère personnel reçues et ne les conservera pas, à l'exception des données devant être conservées en vertu de la législation.

• Le sous-traitant informera le client sans délai excessif s'il a connaissance d'une violation de données à caractère personnel et participera pleinement au traitement de cette violation de données.

• Billit (et les sous-traitants ultérieurs) ne traiteront pas de données à caractère personnel en dehors de l'Espace économique européen sans l'accord écrit préalable du client.