ADDENDUM AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
ADDENDUM AU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES
ENTRE :
XXXXXXX KLUWER BELGIUM SA, dont le siège social est établi à 2800 Malines, Xxxxxxxxx 00, RPM Anvers, division Malines, TVA BE 0405.772.873,
désignée ci-après “le Responsable du traitement” ET :
Nom + forme juridique, dont le siège social est établi à adresse, RPM siège du tribunal compétent, TVA BE numéro,
représenté(e) aux fins des présentes par nom, fonction et désigné(e) ci-après “le Sous-traitant”.
Le Responsable du traitement et le Sous-traitant sont désignés ci-après chacun individuellement la “Partie” et conjointement les “Parties”.
Les Parties ont conclu, le date, une convention ayant pour objet/titre (désignée ci-après “la Convention”) et souhaitent, par le biais du présent addendum (désigné ci-après “l'Addendum”), satisfaire à leurs obligations aux termes du Règlement général sur la protection des données 2016/679 du 27 avril 2016.
IL EST CONVENU CE QUI SUIT :
Article 1 Définitions
Des termes comme “traitement”, “données à caractère personnel”, "intéressé", “responsable du traitement” et “sous-traitant” ont la signification qui leur est donnée dans le Règlement (CE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données : “RGPD”).
Article 2 Objet du présent Addendum
2.1 Le présent Addendum est exclusivement applicable au traitement de données à caractère personnel dans le cadre de la Convention.
2.2 Pendant l’exécution de la Convention, le Sous-traitant peut traiter des données à caractère personnel (“Données à caractère personnel”) pour le compte et sur instruction du Responsable du traitement dans le cadre de l’exécution de la Convention avec le Responsable du traitement. Un relevé des catégories de Données à caractère personnel, les finalités pour lesquelles elles peuvent être traitées et une description de la ou des activités de traitement, des mesures de protection et des transferts éventuels de Données à caractère personnel sont énoncés à l’Annexe 1 au présent Addendum. Le Responsable du traitement est, à l’exclusion de tout autre, seul responsable de la
détermination des finalités pour lesquelles des Données à caractère personnel seront (devront être) traitées ainsi que de la manière de procéder.
2.3 La propriété des Données à caractère personnel ne sera jamais transférée au Sous-traitant, à moins qu’il s’agisse de ses propres Données à caractère personnel ou de celles de son personnel ou de ses préposés.
Article 3 Exécution du Traitement
3.1 Le Sous-traitant intervient en tant que sous-traitant et le Responsable du traitement intervient en tant que responsable du traitement.
3.2 Le Sous-traitant garantit qu’il traitera uniquement les Données à caractère personnel pour le compte du Responsable du traitement de la manière qui est nécessaire pour l’exécution de la Convention. D’autres activités de traitement interviendront uniquement si le Responsable du traitement donne des instructions écrites en ce sens ou s’il existe une obligation légale à cet effet. Le Sous-traitant n’est en aucun cas autorisé à traiter les Données à caractère personnel pour son propre usage ou pour celui de tiers.
3.3 Le Sous-traitant est tenu se suivre toutes les instructions raisonnables du Responsable du traitement concernant le traitement des Données à caractère personnel, conformément au présent Addendum et à la Convention. Si le Sous-traitant est tenu de traiter des Données à caractère personnel à la suite de la législation CE ou de la législation d’un État membre à laquelle est soumis le Sous-traitant, le Sous-traitant informera le Responsable du traitement de l’obligation légale qui lui incombe avant le traitement. Le Sous-traitant informera le Responsable du traitement sur-le- champ s’il estime que certaines instructions vont à l’encontre de la législation applicable en matière de traitement de données à caractère personnel ou de la Convention entre Parties.
Le Sous-traitant informera immédiatement le Responsable du traitement, et ce, par écrit, si des Données à caractère personnel lui sont fournies, transmises, mises à sa disposition ou rendues visible par ou au nom du Responsable du traitement alors que le Sous-traitant n’est raisonnablement pas autorisé à les recevoir dans le cadre de la Convention ou d’une disposition impérative de la loi, en accordant une attention toute particulière aux données sensibles (Données en matière de : race ou origine ethnique – opinions politiques – conceptions religieuses ou philosophiques – appartenance syndicale – données génétiques – données biométriques – informations en matière de santé d’un individu – comportement sexuel ou orientation sexuelle – informations judiciaires & mesures de sûreté y afférentes).
3.4 Le Sous-traitant traite les Données à caractère personnel correctement et avec soin, et ce, de manière démontrable, et conformément avec ses obligations en tant que sous-traitant en vertu du RGPD. Le Sous-traitant respecte également les prescriptions applicables au traitement en vertu des législations nationales ou locales pertinentes en matière de protection des données.
3.5 Les Parties concluent la Convention et le présent Addendum afin de profiter de l’expertise du Sous-traitant sur le plan de la sécurisation et du traitement des Données à caractère personnel pour les finalités exposées à l’Annexe 1 au présent Addendum. Le Sous-traitant prendra et maintiendra en place, à ses propres frais, des mesures techniques et organisationnelles adéquates afin de protéger en permanence les Données à caractère personnel contre toute destruction accidentelle ou illicite ou contre toute perte accidentelle, altération, publication, accès ou traitement non autorisés. Le Sous-traitant peut utiliser tous les instruments qu’il juge utiles pour atteindre ces objectifs.
3.6 Le Sous-traitant accordera, à ses propres frais, son entière collaboration au Responsable du traitement afin de :
(i) permettre aux intéressés d’avoir accès à leurs Données à caractère personnel après approbation et sur instruction du Responsable du traitement,
(ii) effacer ou corriger des Données à caractère personnel ou encore de les communiquer aux intéressés dans un format transférable,
(iii) satisfaire aux demandes d’intéressés concernant notamment leurs objections a une pratique de marketing direct, profilage dans le cadre du marketing direct ou prise de décisions sur la base de traitements automatisés,
(iv) prouver que des données à caractère personnel ont été effacées ou corrigées si elles sont inexactes (ou, dans le cas où le Responsable du traitement conteste l’inexactitude des Données à caractère personnel : constater le fait que l’intéressé considère ses Données à caractère personnel comme inexactes),
(v) assister le Responsable du traitement dans la réalisation d’une Analyse d’impact relative à la protection des données comme exigé à l’art. 35 du RGPD qui concerne les services fournis par le Sous-traitant au Responsable du traitement et les Données à caractère personnel qui sont traitées par le Sous-traitant pour le compte du Responsable du traitement, et
(vi) offrir de toute autre manière au Responsable du traitement la possibilité de satisfaire aux obligations qui lui incombent en vertu du RGPD ou d’autres législations applicables en matière de traitement de données à caractère personnel.
3.7 Le Sous-traitant conserve et traite les Données à caractère personnel concernant le Responsable du traitement de manière strictement séparée des Données à caractère personnel qu’il traite pour son propre compte ou pour le compte de tiers.
Article 4 Transfert de Données à caractère personnel
4.1 Le Sous-traitant informera immédiatement le collaborateur du Responsable du traitement tel que nommé à l’Annexe 2 de tout transfert éventuel (prévu) permanent ou temporaire de Données à caractère personnel. Si ces transferts sont effectués vers un pays situé en dehors de l’Espace économique européen sans niveau de protection adéquat, le Sous-traitant exécutera exclusivement de tels transferts (prévus) après en avoir reçu l’autorisation du Responsable du traitement et sur ordre de ce dernier, ainsi qu’à condition que toutes les exigences légales aient été respectées.
4.2 L’Annexe 1 reprend une liste des transferts pour lesquels le Responsable du traitement accorde son autorisation au moment de la conclusion du présent Addendum.
Le Responsable du traitement a, à tout moment, le droit d’assortir son autorisation concernant un tel traitement, de conditions supplémentaires. Une condition d’octroi de cette autorisation peut être qu’un quelconque transfert pourra uniquement avoir lieu sur la base d’une convention impérative reprenant les clauses UE standard entre le Responsable du traitement et le Sous- traitant. Le Sous-traitant déclare qu’il acceptera toutes les modifications de ces clauses standard qui sont nécessaires en vue du respect de la législation applicable au transfert de données. Une telle Convention impérative n’a aucune incidence sur les droits du Responsable du traitement en vertu du présent Addendum.
Article 5 Confidentialité
5.1 Sans préjudice de toute autre obligation contractuelle de confidentialité du Sous-traitant, le Sous- traitant garantit qu’il traitera toutes les Données à caractère personnel de manière strictement confidentielle et qu’il informera tous ses travailleurs, agents et/ou sous-sous-traitants agréés impliqués dans le traitement des Données à caractère personnel, de la nature confidentielle de ces informations et des Données à caractère personnel. Le Sous-traitant s’engage à imposer à toutes les personnes et Parties des obligations contractuelles identiques ou similaires à celles reprises dans le présent Addendum en matière de confidentialité, protection des données et sécurisation des données. Le Sous-traitant fournira au Responsable du traitement, à la demande de celui-ci, une copie de ces conventions. Le Sous-traitant n’est pas autorisé à divulguer ou à communiquer les Données à caractère personnel ou encore à les mettre de toute autre manière à la disposition de
tiers, à moins que cela soit nécessaire ou autorisé en vertu de la Convention comme indiqué à l’Article 2 et repris à l’Annexe 1, ou qu’une autorisation écrite, explicite et préalable du Responsable du traitement ait été obtenue à cet effet.
5.2 Les Parties sont tenues de traiter de manière strictement confidentielle toutes les informations que le Sous-traitant est tenu de fournir au Responsable du traitement en vertu des Articles 6 et 7 du présent Addendum.
Article 6 Sécurisation & vérification des Données à caractère personnel
6.1 Sans préjudice d’éventuelles autres normes de sécurité convenues ailleurs par les Parties, le Sous- traitant prendra, de manière démontable, conformément à l’actuelle norme XXX/XXX 00000 (la norme pour la sécurisation des informations) des mesures techniques et organisationnelles de sécurisation adéquates qui, eu égard à l’état d’avancement actuel de la technique et aux frais y afférents, sont en adéquation avec la nature des Données à caractère personnel à traiter, afin de sécuriser à tout moment les Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou altération accidentelle, publication ou accès non-autorisé ou traitement illégal. Ces mesures comprendront dans tous les cas :
(a) des mesures destinées à faire en sorte que les Données à caractère personnel soient uniquement accessibles pour les collaborateurs compétents qui ont besoin d’accéder aux Données à caractère personnel aux fins exposées à l’Annexe 1 du présent Addendum ;
(b) des mesures de protection des Données à caractère personnel contre toute destruction accidentelle ou illicite, perte ou modification accidentelle, conservation, traitement, accès ou publication non-autorisé ou illicite ;
(c) des mesures destinées à constater toute vulnérabilité sur le plan du traitement des Données à caractère personnel dans les systèmes qui sont utilisés pour les prestations de services au Responsable du traitement ;
(d) les mesures de protection convenues entre Parties à l’Annexe 1.
6.2 Le Sous-traitant doit disposer à tout moment d’une politique écrite et adéquate de sécurité concernant le traitement de Données à caractère personnel, décrivant dans tous les cas les mesures visées à l’Article 4.1. À la demande du Responsable du traitement, le Sous-traitant lui communiquera une copie de la politique de sécurité, lui montrera quelles mesures il a prises sur la base du présent article 6 et modifiera sa politique de sécurité conformément aux instructions écrites spécifiques du Responsable du traitement.
6.3 Le Responsable du traitement a le droit de contrôler et de tester le respect des mesures visées aux Articles 6.1 et 6.2. ci-dessus. Ce contrôle sera effectué par un tiers indépendant. À la demande du Responsable du traitement, le Sous-traitant en donnera dans tous les cas la possibilité, au moins une fois par an, au Responsable du traitement, à un moment déterminé d’un commun accord entre Parties ou, lorsque le Responsable du traitement le juge nécessaire à la suite de (présumés) incidents concernant les données ou le respect de la vie privée. Le Sous-traitant sera tenu de se conformer à toutes les instructions du Responsable du traitement visant la modification de la politique de sécurité à la suite de ce contrôle.
6.4 Le Sous-traitant accordera son concours au Responsable du traitement et mettra, à ses propres frais, toutes les informations demandées par le Responsable du traitement à la disposition du Responsable du traitement afin de démontrer que le Sous-traitant respecte bien les obligations énoncées dans le présent Addendum, en l’espèce en ce qui concerne l’inspection visée à l’Article 6.3.
6.5 Les frais du contrôle incombent à la charge du Responsable du traitement, à moins que ce contrôle révèle que le Sous-traitant ne respecte pas l’Addendum. Dans ce cas, les frais du contrôle incomberont à la charge du Sous-traitant.
6.6 Les Parties reconnaissent que les exigences de sécurisation sont en perpétuelle évolution et qu’une sécurisation effective requiert de fréquentes évaluations et une amélioration régulière de mesures
de sûreté dépassées. Le Sous-traitant procédera par conséquent à une évaluation continue des mesures introduites en vertu du présent article 6 et affinera, complétera ou corrigera ces mesures afin de continuer de remplir les obligations qui lui incombent en vertu du présent article 6.
6.7 Le Responsable du traitement a le droit de charger le Sous-traitant de prendre des mesures supplémentaires de sécurisation, aux frais du Sous-traitant. Si une modification de la Convention est nécessaire à l’exécution de cette mission, les Parties entameront une négociation de bonne foi concernant une modification de la Convention.
Article 7 Surveillance, devoir d’information et gestion des incidents
7.1 Le Sous-traitant exerce une surveillance active afin de détecter tout non-respect éventuel des mesures de sûreté et fait rapport au Responsable du traitement concernant les résultats de sa surveillance, conformément au présent article 7, et ce, dans les délais fixés par la loi.
7.2 Dès que survient, est survenu ou pourrait survenir un incident au niveau des mesures de sûreté concernant le traitement des Données à caractère personnel, le Sous-traitant est tenu d’en informer immédiatement et systématiquement le Responsable du traitement (dans tous les cas dans les 24 heures) et de fournir toutes les informations pertinentes concernant la nature de l’incident, concernant le risque de traitement illégal avéré ou possible des données et concernant les mesures qui ont été ou seront prises afin de résoudre l’incident ou d’en limiter le plus possibles les conséquences/dommages et d’éviter toute répétition de l’incident à l’avenir. Le Sous-traitant indiquera également qui est la personne de contact du Sous-traitant avec laquelle le Responsable du traitement pourra prendre contact dans le cadre de l’incident en question. Le Sous-traitant prendra toutes les mesures raisonnables permettant d’atténuer les conséquences de l’incident et de limiter le plus possible les dommages éventuels qui en découlent.
7.3 Le Sous-traitant accordera en tout temps sa pleine collaboration au Responsable du traitement et suivra immédiatement les instructions du Responsable du traitement afin de permettre au Responsable du traitement d’examiner minutieusement l’incident, de formuler une réponse adéquate et de prendre ensuite toute mesure utile concernant l’incident en question.
7.4 Par le terme “incident” on entend dans tous les cas :
(a) une plainte ou une demande (d’informations) émanant d’une personne physique concernant le traitement des Données à caractère personnel par Sous-traitant ;
(b) une enquête ou une saisie portant sur les Données à caractère personnel par des fonctionnaires publics, ou toute élément indiquant l’imminence d’une telle situation ;
(c) tout accès, traitement, échange, perte non autorisé ou accidentel ou toute forme de traitement illégal de Données à caractère personnel ;
(d) tout non-respect de la sécurisation et/ou de la confidentialité tels qu’exposés à l’Article 32 du RGPD ou aux Articles 5 et 6 du présent Addendum, conduisant à la perte ou à toute forme de traitement illégal, en ce compris à une destruction, perte, altération accidentelle ou illicite de Données à caractère personnel ou une publication ou accès non-autorisé à celles-ci, ou encore toute indication laissant penser qu’un tel non-respect s’est déjà produit ou se produira dans un proche avenir.
7.5 En cas d’incident au sens de l’Article 7.4(d), le Sous-traitant en informera le Responsable du traitement dans un délai de 24 heures suivant la découverte de l’incident en question. La notification fera mention de ce qui suit :
(i) la nature de l’incident ;
(ii) la date et l’heure auxquelles l’incident s’est produit et a été découvert ;
(iii) les personnes concernées (leur nombre) qui ont eu à subir des conséquences négatives résultant de l’incident ;
(iv) les catégories de Données à caractère personnel impliquées dans l’incident ; et
(v) si, et dans l’affirmative lesquelles, des mesures de sûreté – comme le cryptage – étaient déjà applicables en ont été prises après l’incident afin de rendre les Données à caractère
personnel incompréhensibles ou inaccessibles aux personnes non autorisées à accéder à ces données et/ou pour limiter toutes conséquences négatives de l’incident.
7.6 Le Sous-traitant est tenu de disposer à tout moment de procédures écrites lui permettant de réagir immédiatement à l’égard du Responsable du traitement face à un incident et d’accorder effectivement sa collaboration au Responsable du traitement lors de la gestion de l’incident, ainsi que de fournir au Responsable du traitement une copie des procédures en question à la demande de celui-ci.
7.7 Toutes les notifications qui doivent être effectuées en vertu du présent article 7 doivent être envoyées au collaborateur du Responsable du traitement visé à l’Annexe 2 au présent Addendum xx, x’xx y a lieu, à un autre collaborateur du Responsable du traitement désigné par écrit par le Responsable du traitement pendant la durée du présent Addendum.
7.8 Si cela se révèle nécessaire sur la base du droit applicable, le Responsable du traitement informera les personnes concernées, les autorités de contrôle et autres tiers des incidents. Le Sous-traitant n’est pas autorisé à communiquer des informations concernant des incidents aux personnes concernées ou à des tiers, à moins que le Sous-traitant y soit tenu par la loi.
Article 8 Recours à des sous-sous-traitants
8.1 À défaut d’autorisation écrite préalable du Responsable du traitement, il est interdit au Sous- traitant de sous-traiter ses activités telles que décrites dans la Convention à un tiers (sous-sous- traitant).
8.2 Le Sous-traitant imposera au sous-sous-traitant intervenant pour son compte les mêmes obligations, voire des obligations plus strictes, que celles qui lui incombent à lui-même en vertu du présent Xxxxxxxx et de la loi, et surveillera le bon respect desdites obligations par le tiers en question.
8.4 Indépendamment de l’autorisation du Responsable du traitement de faire intervenir un tiers, le Sous-traitant reste entièrement responsable, à l’égard du Responsable du traitement, des conséquences de la sous-traitance des activités à un sous-sous-traitant, et le Sous-traitant reste l’unique interlocuteur du Responsable du traitement. L’autorisation du Responsable du traitement de sous-traiter les activités à un sous-sous-traitant n’a aucune incidence sur l’exigence d’autorisation en vertu de l’Article 4.1 du présent Addendum concernant le recours à des sous- sous-traitants dans un pays extérieur à l’Espace économique européen sans niveau de protection adéquat.
Article 9 Responsabilité et garantie
9.1 Le Sous-traitant garantit le Responsable du traitement et dédommagera le Responsable du traitement en cas de réclamations, actions, demandes de tiers ainsi qu’en cas de pertes, dommages ou frais exposés ou subis par le Responsable du traitement et qui découlent directement ou indirectement ou surviennent à la suite d’un quelconque non-respect par le Sous-traitant ou le sous-sous-traitant des obligations visées dans le présent Addendum et/ou de toute infraction par le Sous-traitant ou le sous-sous-traitant à la législation applicable en matière de traitement de données à caractère personnel dans le cadre de l’Annexe 1 visée à l’Article 2, dont dans tous les cas le RGPD.
Article 10 Durée et extinction
10.1 le présent Addendum entre en vigueur à la date de la signature.
10.2 L’extinction ou l’expiration du présent Addendum ne dispense pas le Sous-traitant de ses obligations qui ont vocation à rester applicables même après l’extinction ou l’expiration de la Convention, en ce compris les obligations découlant des articles 5, 6, 9 et 11 du présent Addendum.
Article 11 Délais de conservation, retours et destruction de Données à caractère personnel
11.1 Le Sous-traitant n’est pas autorisé à conserver les Données à caractère personnel plus longtemps que ce qui est strictement nécessaire et dans tous les cas pas après la fin de la Convention ou, si un délai de conservation a été convenu entre les Parties, pas après ce délai.
11.2 À l’extinction de la Convention, ou s’il y a lieu à l’extinction des délais de conservation convenus, ou à la première demande écrite du Responsable du traitement, le Sous-traitant détruira immédiatement les Données à caractère personnel ou les retournera immédiatement au Responsable du traitement, et ce, au choix du Responsable du traitement. À la demande du Responsable du traitement, le Sous-traitant devra apporter la preuve de la destruction ou de l’élimination des données. En cas d’impossibilité de retour, destruction ou élimination, le Sous- traitant en informera immédiatement le Responsable du traitement. Dans ce cas, le Sous-traitant garantira le respect de la confidentialité des Données à caractère personnel et qu’elles ne seront plus traitées.
11.3 À la fin de la Convention, le Sous-traitant informera tous les tiers impliqués dans le traitement des Données à caractère personnel, de l’extinction de la Convention et garantira que tous les tiers impliqués détruiront les Données à caractère personnel ou les retourneront au Responsable du traitement, et ce, au choix du Responsable du traitement.
11.4 Si, pour des raisons techniques, une destruction ou un effacement intégral des données à caractère personnel n’est pas possible, le Sous-traitant prendra toutes les mesures nécessaires pour (i) se rapprocher le plus près possible d’une destruction et/ou d’un effacement complets et permanents et pour (ii) anonymiser et rendre les données à caractère personnel restantes inutilisables pour tout traitement ultérieur. Le Sous-traitant informera toujours le Responsable du traitement par écrit à ce sujet.
Article 12 Documents
12.1 Le Sous-traitant tient un registre écrit, précis et actuel de tous les traitements de Données à caractère personnel qu’il a effectués pour le compte du Responsable du traitement. Le registre écrit devra notamment comporter les informations suivantes :
(i) les catégories de receveurs auxquels les Données à caractère personnel ont été ou seront divulguées ;
(ii) pour autant qu’il soit question d’un transfert de Données à caractère personnel à un tiers en dehors de l’Espace économique européen, une liste des transferts en question (dont le nom du pays et de l’organisation en question en dehors de l’Espace économique Européen) et une documentation des garanties adéquates mises en place pour les transferts en question ; et
(iii) une description générale des mesures techniques et organisationnelles de sécurisation auxquelles il est fait référence dans le présent Addendum. Le Sous-traitant fournira une copie du registre au Responsable du traitement à la demande de ce dernier.
Article 13 Dispositions terminales
13.1 Les autres modalités de la Convention restent applicables de manière inchangée. Les dispositions du présent Addendum prévaudront en cas de contradiction entre le présent Addendum et la Convention en matière de respect de la vie privée et de protection des données.
13.2 Le présent Addendum est régi par le droit belge. Les litiges éventuels découlant ou présentant un lien avec le présent Addendum relèveront du ressort exclusif des tribunaux compétents de Bruxelles.
Convenu et signé en deux exemplaires à Malines, le ………………. Chaque Partie reconnaît avoir reçu un exemplaire.
Pour Xxxxxxx Kluwer Nom: Function: | Pour de Sous-traitant Nom: Fonction: |
Annexe 1 Fiche(s) de produit reprenant des informations pertinentes concernant les Données à caractère personnel, les finalités et une description de l’activité ou des activités de traitement, des mesures de sûreté et des transferts
Annexe 2 Coordonnées
ANNEXE 1 FICHE(S) DE PRODUIT REPRENANT DES INFORMATIONS PERTINENTES CONCERNANT LES DONNEES A CARACTERE PERSONNEL, LES FINALITÉS ET UNE DESCRIPTION DE L’ACTIVITE OU DES ACTIVITES DE TRAITEMENT, DES MESURES DE SURETE ET DES TRANSFERTS
1. Nature du traitement
(description du traitement)
2. Catégories de Données à caractère personnel qui seront traitées
Le Sous-traitant traitera uniquement les catégories suivantes de Données à caractère personnel dans le cadre du présent Addendum :
(liste détaillée de toutes les sortes de Données à caractère personnel qui seront traitées + biffer les mentions inutiles : p.e. : données d’identité (nom, adresse, GSM, e-mail, date de naissance, plaque minéralogique, adresse IP…), données d’identité communiquées par les pouvoirs publics (numéro de registre national, numéro de passeport…), informations de contact (adresse, e-mail, adresse IP, IMEI…), statut social (fonction au travail, fonction sociale, situation familiale…), informations financières (numéro de compte bancaire, prêts, hypothèques, placements, comportement de paiement, classement…), données de formation (diplômes, formations, certificats…), données professionnelles (CV, employeur actuel et précédent employeur, salaire, appréciations…), profil d’une personne, données comportementales (comportement de navigation, comportement de paiement, historique d’utilisation…),
…)
Catégories spéciales de Données à caractère personnel concernant :
(compléter s’il y a lie)
☐ Origine raciale ou ethnique ☐ Opinions politiques ☐ Convictions religieuses ou philosophiques ☐ Affiliation syndicale ☐ Données génétiques | ☐ Données biométriques ☐ Santé ☐ Comportement sexuel ou orientation sexuelle ☐ Informations judiciaires et mesures de sûreté y afférentes |
3. Catégories de personnes concernées
(liste détaillée des catégories de personnes concernées traitées : clients du Responsable du traitement, propres clients du Sous-traitant, propres travailleurs du Responsable du traitement, propres travailleurs du Sous-traitant, fournisseurs, consultants, prestataires de services, auteurs,…, données à caractère personnel achetées, données à caractère personnel fournies gratuitement par un tiers, …)
4. Finalités du traitement
(indiquer aux quelles fins les données sont traitées)
5. Période de rétention
Les Données à caractère personnel seront traitées et conservées pendant : xxx
6. Mesures de sûreté
Les mesures techniques et organisationnelles peuvent être considérées comme étant l’état d’avancement de la technique au moment de la conclusion de la Convention de Prestations de Services. Le Sous-traitant évaluera les mesures techniques et organisationnelles après un certain temps, compte tenu des frais de mise en œuvre, de leur nature, importance et contexte ainsi que des finalités du traitement, du risque de différences eu égard à la probabilité et l’importance des droits et libertés des personnes physiques.
Mesures techniques et organisationnelles détaillées : | |
Contrôle d’accès : les bâtiments | (contrôle d’accès au moyen des badges personnalisés, des enclenchements à commande électronique, des procédures d’accueil pour des visiteurs, …) |
Contrôle d’accès : les systèmes | (accès aux réseaux, aux systèmes opérationnels, administration des |
utilisateurs, les applications qui exigent des autorisations spécifiques : procédures de mot de passe avancées, time-out automatique et blocage de l’accès en cas de mots de passe fautifs, des comptes d’utilisateur individuels avec historique, cryptage, hardware et software firewalls, …) | |
Contrôle d’accès : les Données | (administration des utilisateurs, des comptes d’utilisateur avec des droits d’accès spécifiques, personnel formé au traitement des Données et sécurité conforme, séparation entre les systèmes opérationnels et les environnements de test, octroi des droits d’accès spécifiques, conservation des historiques d’usage, d’accès et de modification des Données, …) |
Pseudonymisation des données | (en transit et au repos) |
Cryptage des données | (séparation entre les environnements de production et de test, séparation des Données sensibles, back-up automatique, procédures de mot de passe avancées, droits d’usage spécifiques, conservation des historiques, …) |
Faculté de garantir le maintien de la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement | (alimentation électronique ininterrompu, back-up des centres de Données à différentes endroits, systèmes de sécurité en cas d’incendie ou dégâts d’eau : systèmes d’extinction d’incendie, portes résistantes au feu, détecteurs d’incendie, …) |
Faculté de restaurer en temps voulu la disponibilité et l’accès aux Données à caractère personnel en cas d’incident physique ou technique | |
Processus de test, examen et évaluation réguliers de l’efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement. | |
Certification applicable | certification XXX/XXX 00000 |
Autres |
7. Sous-Sous-traitants
Le(s) Sous-Sous-traitant(s) suivant(s) exécute(nt), sur ordre du Sous-traitant, une prestation de services portant sur des Données à caractère personnel :
[complétez ici les données demandées concernant tous les fournisseurs qui entrent en contact pour/concernant le produit avec des Données à caractère personnel (par exemple : entretien logiciel, appui du back-office, encaissement des factures, traitement des commandes, approvisionnement serveur ou plate-forme…)]
Nom | Adresse | Finalité de l’utilisation |
[compléter] | [compléter] | [compléter] |
8. Transmission de Données à caractère personnel
(cocher les cases adéquates)
Toutes les Données à caractère personnel telles que reprises dans la présente fiche de produit sont transmises aux conditions suivantes :
[OU]
Données à caractère personnel qui sont transmises aux conditions suivantes : (liste détaillée des différentes sortes de Données à caractère personnel qui sont transmises)
Les Données à caractère personnel sont transmises à : [compléter nom + adresse du receveur de données]
☐ pas de transmission
☐ transmission vers un pays situé à l’intérieur de la Région Économique Européenne (= EU + Islande + Liechtenstein + Norvège)
☐ transmission vers un pays à sécurisation adéquate (=Andorre, Argentine, Canada (des organisations commerciales), Îles Féroé, Guernesey, Jersey (UK), Suisse, Île de Man, Israël, Japon, Nouvelle-Zélande & Uruguay)
☐ transmission vers les États-Unis en vertu du programme EU-US Privacy Shield
☐ transmission en vertu d’un Contrat type UE
☐ autre :
Une copie des documents applicables sera annexée à la présente fiche de produit. (joindre les documents dans lesquels des garanties sont données, clauses de contrat type UE…)
ANNEXE 2 COORDONNÉES
Contact pour le Responsable du traitement : Nom : Fonction : | E-mail : | Téléphone/GSM : |
Contact pour le Sous-traitant : Voir la Convention |