Contrat de sous-traitance

Contrat de sous-traitance



ENTRE

[NOM DE L’ENTREPRISE] ayant son siège social à (LIEU), inscrite auprès de la Banque Carrefour des entreprises sous le numéro (NUMÉRO), représentée valablement par (NOM TITULAIRE), ci-après dénommé « le Responsable du traitement ».

ET

(NOM DE L’ENTREPRISE) ayant son siège social à (LIEU), inscrite auprès de la Banque Carrefour des entreprises sous le numéro (NUMÉRO), représentée valablement par (NOM), ci-après dénommé « le Sous-traitant ».



Chacune appelée individuellement ci-après « la Partie » et collectivement « les Parties »,



Il est DECLARÉ ce qui suit :

1. Ce contrat concerne le traitement de Données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement et contient le cadre contractuel tel que requis par l'article 28 du RGDP.

2. Les Données à caractère personnel sont traitées de la façon suivante :

[Vous devez décrire en termes généraux ce que vous faites avec les données (collecte, enregistrement, organisation, structure, conservation, mise à jour, modification, utilisation, transmission, combinaison, effacement...).]

3. Les Données à caractère personnel sont traitées pour les finalités suivantes :

[Complétez avec une ou plusieurs1]

4. Le Sous-traitant traitera le type de Données à caractère personnel au profit du Responsable du traitement comme indiqué dans l'Annexe 2 de ce contrat.

5. Il s’agit des catégories de personnes concernées suivantes :

[Complétez avec une ou plusieurs2]

6. Dans le cadre du présent contrat, on entend par « Données à caractère personnel » les données désignées comme telles dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données – ci-après dénommé « RGDP »).



Il est convenu ce qui suit :

Article 1 – Obligations du Sous-traitant

    1. Le Sous-traitant agit exclusivement sur ordre du Responsable du traitement, à partir des instructions écrites et du présent contrat.



Si le Sous-traitant ne peut pas suivre la réglementation ou les instructions du Responsable du traitement pour quelque raison que ce soit, il accepte d’en informer dans les meilleurs délais le Responsable du traitement, auquel cas le Responsable du traitement a le droit de suspendre le transfert de données et/ou de résilier le contrat.



    1. Le Sous-traitant s’engage, compte tenu des mesures techniques et organisationnelles appropriées ainsi que de la nature, de la taille, du contexte et des finalités de traitement ainsi que des divers risques dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, à prendre et à continuer à prendre des mesures de sécurité organisationnelles pour assurer un niveau de sécurité adapté au risque. Ces mesures sont précisées dans l'Annexe 1 du présent contrat.



    1. Le Sous-traitant veille à ce que les personnes à son service autorisées à traiter les Données à caractère personnel s'engagent à respecter la confidentialité de ces Données à caractère personnel.



    1. Le Sous-traitant garantit que, compte tenu de la nature du traitement, et des mesures techniques et organisationnelles appropriées, il aidera autant que possible le Responsable du traitement à s'acquitter de ses obligations en vertu du Chapitre III « Droits de la personne concernée » du RGDP



Dans ce cadre, le Sous-traitant informera immédiatement le Responsable du traitement de toute demande directe émanant d'une personne concernée, sans répondre lui-même à la demande, sauf s’il en a reçu une autorisation ou s’il en a été mandaté par le Responsable du traitement.



    1. Le Sous-traitant garantit que, compte tenu de la nature du traitement et des informations dont il dispose, il assistera le Responsable du traitement dans le respect des obligations relatives à la sécurité des Données à caractère personnel telles que décrites aux articles 32 à 34 du RGDP, dans l’analyse de l'impact relatif à la protection des données telle que décrite à l'article 35 du RGDP et dans la consultation préalable telle que décrite à l'article 36 du RGDP.



    1. Le Sous-traitant garantit qu'il ne transmettra pas de Données à caractère personnel ou ne les rendra pas disponibles ou accessibles à des pays ou à des organisations internationales en dehors de l'Espace économique européen, à moins qu'il n'ait reçu des instructions du Responsable du traitement en ce sens.



    1. Le Sous-traitant ne conservera pas les Données à caractère personnel plus longtemps que nécessaire pour l'exécution de ce contrat. Une fois les services de traitement terminés, le Sous-traitant selon le choix du Responsable du traitement supprime les données personnelles ou les renvoie au Responsable du traitement.



Le Sous-traitant détruira également les copies existantes des Données à caractère personnel. À la demande du Responsable du traitement, le Sous-traitant confirmera la suppression de toutes les copies des Données à caractère personnel.



Si la conservation des Données à caractère personnel est obligatoire en vertu d’une loi ou d’un règlement, le Sous-traitant en informera le Responsable du traitement, sauf si cette loi ou ce règlement interdisent cette divulgation.



    1. Le Sous-traitant déclare expressément qu'il ne transfèrera pas à un tiers les données à caractère personnel reçues du Responsable du traitement ni aucune information y relative, qu'il n'utilisera pas et ne traitera jamais les Données à caractère personnel pour ses propres besoins ou finalités et qu'il ne les copiera pas (sauf si ceci est strictement nécessaire à la mise en œuvre de ce contrat).



Article 2 – Aucun transfert de droits ou sous-traitance

2.1 Le Sous-traitant n'a pas le droit de céder ou de transférer à un tiers quelque droit et/ou obligation en vertu du présent contrat sans le consentement écrit préalable du Responsable du traitement.

2.2. Le Sous-traitant ne confie pas ses engagements à un autre sous-traitant (via un contrat de sous-traitance) pour l'exécution de tout ou partie de ce contrat sans le consentement écrit et préalable du Responsable du traitement.

2.3 Le consentement écrit du Responsable du traitement mentionné aux points 2.1 et 2.2 est considéré comme généralement accordé. Cela signifie que le Sous-traitant informe le Responsable du traitement de tout changement qu'il a l'intention de faire concernant l'ajout ou le remplacement d’un Sous-traitant. Le Responsable du traitement a la possibilité de s'opposer à ces changements.

2.4 Le Sous-traitant ne peut être exempté de ses obligations en vertu du présent contrat en concluant un contrat de sous-traitance pour l'exécution de toute partie de ce contrat. Les services de traitement par le Sous-traitant doivent être exécutés dans le cadre du présent contrat. Sur simple demande du Responsable du traitement, le Sous-traitant doit immédiatement lui fournir une copie de tout contrat de sous-traitance, à l'exception, le cas échéant, de l'arrangement financier entre le Sous-traitant et son Sous-traitant.



Article 3 - Audit

Le Sous-traitant s'engage explicitement à faciliter et à contribuer à tout audit, contrôle ou enquête, directement ou indirectement, réalisé(e) par un intermédiaire ou une organisation autorisé(e) par le Responsable du traitement afin de vérifier si le Sous-traitant remplit ses obligations.

Dans ce cas, à la demande du Responsable du traitement, le Sous-traitant transmet toutes les informations nécessaires pour démontrer que les obligations prévues à l'article 28 du RGDP sont remplies lors de l'intervention d’un sous-traitant. Ceci concerne en particulier les informations relatives au traitement de Données à caractère personnel et aux mesures garantissant leur sécurité.

Dans ce contexte, le Sous-traitant s'engage également à donner au Responsable du traitement l'accès aux locaux nécessaires au traitement des données afin d’en vérifier la conformité au présent contrat.



Article 4 - Responsabilité

4.1. Le Sous-traitant se conforme aux lois et règlements applicables en matière de protection des Données à caractère personnel. Le Sous-traitant n'est responsable des dommages causés par le traitement que si (1) les obligations qui incombent au Sous-traitant en vertu du GDPR ainsi qu’aux lois et règlements ne sont pas respectées ou (2) en dehors de ceci, le Sous-traitant n’a pas respecté les instructions du Responsable du traitement.

4.2 Le Sous-traitant indemnise le Responsable du traitement de toute demande d'un tiers suite à une violation de la réglementation applicable et/ou du présent contrat dont le Sous-traitant est responsable.

4.3 Le Sous-traitant assurera correctement de sa responsabilité. Sur demande du Responsable du traitement, le Sous-traitant transmet une copie de sa police d’assurance.



Article 5 – Durée du contrat

5.1 Ce contrat entre en vigueur le [DATE DE SIGNATURE] et est conclu [pour une durée indéterminée] OU [jusqu'au [date]]. (indiquer la date de fin de contrat avec le tiers)

5.2 (en cas de durée indéterminée) Chaque Partie peut mettre fin au présent contrat par lettre recommandée à l'autre Partie moyennant un préavis qui ne peut être inférieur à 30 jours. La notification commence à courir le premier jour du mois suivant l’envoi - le cachet de la poste sera utilisé comme preuve.

5.3 Le Responsable de traitement peut mettre fin immédiatement au contrat du Sous-traitant, sans faire appel à un tribunal, par simple notification écrite de la résiliation, si :

1) le Sous-traitant enfreint ce contrat et que cette infraction ne peut être annulée ;

2) le Sous-traitant enfreint ce contrat et cette infraction peut être annulée, mais le Sous-traitant n’est pas en mesure de rectifier l'infraction dans un délai de 30 jours après une mise en demeure écrite lui enjoignant de le faire.

3) le Sous-traitant fait faillite ou est impliqué dans un concordat ou toute autre procédure similaire.



Article 6 – Divers

6.1 Ce contrat contient l'intégralité de l'accord entre les Parties et n'implique aucune obligation de mettre à la disposition du Sous-traitant des Données à caractère personnel autres que celles qui sont nécessaires dans le cadre de sa mission.

6.2 Si une ou plusieurs dispositions du présent contrat sont déclarées nulles ou irréalisables, les Parties remplaceront la/les disposition(s) susmentionnée(s) par une/des disposition(s) valable(s) et réalisable(s) qui respecte(nt) autant que possible les objectifs économiques, commerciaux ou autres. Les autres dispositions de ce contrat restent en vigueur.

6.3 Le simple fait qu'une Partie n'insiste pas sur le strict respect d'une disposition du contrat ou qu’elle ne l'applique pas, ne peut être interprété comme une renonciation aux droits de cette Partie sauf confirmation écrite de sa part de cette renonciation.



Article 7 – Droit applicable et tribunaux

Cette convention est régie par le droit belge.

Tous les litiges relatifs à l'application de la présente convention sont soumis au tribunal compétent dans l’arrondissement de [lieu du siège social où le Responsable du traitement est établi].







Fait à [LIEU], le [DATE] en 2 exemplaires, chaque Partie reconnaissant avoir reçu un exemplaire.







________________________ ___________________________
(signature) (signature)



Le Responsable du traitement, Le Sous-traitant

[NOM TITULAIRE] [NOM]

Pharmacien-titulaire [FONCTION]











Annexe 1 : Mesures de sécurité

Annexe 2 : Catégories de données à caractère personnel



Annexe 1

Les mesures techniques et organisationnelles nécessaires conformément à l'article 1.2 du contrat sont énumérées ci-dessous :



[COMPLETEZ avec une ou plusieurs mentions de la liste ci-dessous

Politique de sécurité

Organisation de la sécurité de l'information

Nomination d'un délégué à la protection des données / consultant en sécurité / point de contact

Exigences de sécurité pour les employés internes

Exigences de sécurité pour les employés externes

Gestion des biens de l’entreprise

Sécurité d'accès

Cryptographie

Sécurité physique et sécurité de l'environnement : armoires fermées, espaces ...

Sécurité opérationnelle

Sécurité de la communication

Achat, développement et maintenance de systèmes d'information

Relations avec les fournisseurs et les délégués

Gestion des incidents de sécurité de l'information

Gestion de la continuité

Conformité et compliance

Infractions relatives aux données : Procédures de notification d'informations

Autre : .............................................................]

1 Administration du personnel et des intérimaires, administration des salaires, gestion du personnel et des intérimaires, planification du travail, contrôle sur le lieu de travail, gestion des clients, lutte contre la fraude et des infractions des clients, gestion des conflits, gestion des fournisseurs, comptabilité, collecte de cadeaux, relations publiques, communication de données uniquement pour conclure un contrat, informations techniques et commerciales, enregistrement et administration des actionnaires ou des partenaires, administration des membres, sécurité, contrôle d'accès, protection de la société, de votre propre secteur ou de l’organisation

2 Clients, patients, employés, membres de la famille des employés, fournisseurs de services indépendants, fournisseurs, délégués, personnes de contact, représentants d'entreprises, autres

Document Metadata

Filed: June 6th, 2018