Aller au contenu
Home » Convention relative au traitements des données

Convention relative au traitements des données

pdf download icon

Télécharger en format pdf

Téléchargez la dernière version (v1.01) de notre « Convention relative au traitement des données à caractère personnel » en format pdf.

Information générale

Cette convention relative au traitements des données fait partie intégrante du Convention entre vous (contrepartie) et Televic Education.

Televic Education est le Sous-traitant (ci-après : ‘Sous-traitant ‘) des données à caractère personnel et contrepartie est responsable du traitement (ci-après : ‘Responsable du traitement’).

Il est exposé ce qui suit:

  1. Le Responsable du traitement collecte des données à caractère personnel et les gère en vue de les traiter et de les utiliser aux fins suivantes: passer des tests et évaluer des personnes ou enseigner et former des étudiants ou des membres du personnel.
  2. La législation applicable en matière de protection des données (par exemple le Règlement général sur la protection des données et les lois nationales en la matière) exige que le Responsable du traitement conclue un contrat relatif au traitement des données avec le Sous-traitant.
  3. Le Responsable du traitement souhaite confier le traitement des données à caractère personnel, aux conditions et modalités exposées ci-après, au Sous-traitant.
  4. Le Sous-traitant traitera les Données à caractère personnel (telles que définies ci-après) au nom et pour le compte du Responsable du traitement.
  5. Le Sous-traitant a déclaré et justifié qu’il disposait des compétences et capacités requises pour pouvoir réaliser correctement ce traitement des données, et qu’il satisfaisait, en vue de ce traitement, à toutes les prescriptions légales et pouvait réaliser le traitement en respectant toutes les dispositions légales.
  6. Les Parties exécutent ou exécuteront cette Convention relatif au traitement des Données à caractère personnel (tel que défini ci-après).

Et il est été convenu ce qui suit:

Articles

Article 1 – Définitions

Convention relatif au traitement des données la présente convention relatif au traitement des données, y compris ses annexes ;
Convention la convention entre le Responsable du traitement et le Sous-traitant;
Données biométriques les Données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ;
Données concernant la santé les Données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne, y compris les numéros de patient, services médicaux, taux sanguins, etc. ;
Personne(s) concernée(s)la ou les personne(s) physique(s) identifiée(s) ou identifiable(s) dont les Données à caractère personnel sont traitées ;
LCE la Loi du 13 juin 2005 relative aux Communications Electroniques ;
Règlement général sur la protection des données ou RGPD le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE ;
Données génétiques les Données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question ;
Données judiciaires les Données à caractère personnel relatives aux condamnations, suspicions et poursuites judiciaires concernant des délits, procédures pendantes devant des tribunaux ou autorités administratives, sanctions administratives et mesures de sécurité ;
Données à caractère personnel toute information que le Sous-traitant traite pour le compte du Responsable du traitement dans le cadre de la Convention et qui permet d’identifier directement ou indirectement la Personne concernée ;
Violation de données à caractère personnel une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ;
Données sensibles les Données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ainsi que les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne ;
Catégories particulières de données à caractère personnel l’une ou plusieurs des catégories de données à caractère personnel suivantes : Données concernant la santé, Données Sensibles (y compris données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique), Données Génétiques, Données Biométriques ou Données Judiciaires.

Article 2 – Objet

2.1 Le Sous-traitant traitera toujours et exclusivement les Données à caractère personnel au nom et pour le compte du Responsable du traitement. Le Sous-traitant n’est autorisé à traiter, en aucune façon et sous aucune forme (même pas sous la forme de Données à caractère personnel anonymes ou anonymisées), les Données à caractère personnel pour son propre compte ou le compte de tiers. Le Sous-traitant n’exercera aucun contrôle sur la finalité du traitement des Données à caractère personnel et ne prendra aucune décision de manière autonome concernant leur utilisation, conservation ou divulgation, sauf dispositions contraires expressément convenues dans la Convention relatif au traitement des données ou instructions du Responsable du traitement ou si le Sous-traitant croit, en toute bonne foi, qu’une telle divulgation s’avère raisonnablement nécessaire aux fins de respecter une loi, une réglementation ou une injonction légale à laquelle il doit absolument donner suite.

Si le Sous-traitant ne peut respecter les instructions du Responsable du traitement ou les obligations découlant de la présente Convention relatif au traitement des données, il l’en informe sans retard indu et lui octroie le droit de suspendre la communication et le transfert des Données à caractère personnel et/ou de résilier la présente Convention relatif au traitement des données conformément à l’article 10.3 de cette Convention relatif au traitement des données.

2.2 Le Responsable du traitement garantit que les Données à caractère personnel communiquées au Sous-traitant ont été collectées de manière licite, c’est-à-dire traitées sur une base légale, tel que décrit aux articles 6 à 10 du RGPD. Le Responsable du traitement préserve le Sous-traitant de toutes pertes, dépenses ou responsabilités que celui-ci serait amené à supporter du fait direct ou indirect du non-respect de cette obligation par le Responsable du traitement.

2.3 L’objet, la durée, la nature et la finalité du traitement, ainsi que le type de Données à caractère personnel à traiter et les catégories de personnes concernées sont énumérés à l’Annexe 1. Tout changement à l’un des éléments énumérés à l’Annexe 1 se traduira par un amendement de l’Annexe 1 convenu d’un commun accord entre les Parties. Si le Sous-traitant a conscience du fait que l’un des éléments énumérés à l’Annexe 1 va être modifié, il doit en informer immédiatement le Responsable du traitement par écrit.

2.4 Le Sous-traitant traitera uniquement les Données à caractère personnel nécessaires à l’exécution de ses obligations découlant de la Convention, conformément à la Convention relatif au traitement des données et aux instructions écrites du Responsable du traitement, et procédera en tout temps au traitement en mettant en œuvre des mesures de sécurité de pointe ainsi que les mesures de sécurité techniques et organisationnelles minimales décrites à l’Annexe 2 de la présente Convention relatif au traitement aux données. Toute autre utilisation des Données à caractère personnel par le Sous-traitant de quelque façon ou sous quelque forme que ce soit (même sous la forme de données anonymes ou anonymisées) est interdite. Le Sous-traitant ne peut (faire) modifier les Données à caractère personnel (y compris, mais sans s’y limiter, copier, imprimer, transférer, enrichir, modifier, etc.), sauf si et dans la mesure où cela s’avère nécessaire à l’exécution de la Convention et de la Convention relatif au traitement des données.

2.5 Si le Sous-traitant traite une ou plusieurs Catégories particulières de données à caractère personnel au nom et pour le compte du Responsable du traitement, il s’engage à respecter les obligations spécifiques supplémentaires de l’Annexe 3. En cas de conflit ou d’incohérence entre les dispositions de la présente Convention relatif au traitement des données et l’Annexe 3, les dispositions de l’Annexe 3 prévalent. Si le Sous-traitant ne traite pas de Catégories particulières de données à caractère personnel au nom et pour le compte du Responsable du traitement, le présent article et l’Annexe 3 ne sont pas d’application.

2.6 Les Parties, chacune en fonction de leurs capacités respectives, traiteront les Données à caractère personnel à la LCE, au RGPD à partir du 25 mai 2018 ainsi qu’à toute autre réglementation applicable à laquelle sont soumis le Responsable du traitement et/ou le Sous-traitant.

2.7 Le Sous-traitant reconnaît bénéficier des droits lui revenant et être soumis aux obligations lui incombant en vertu, à partir du 25 mai 2018, du RGPD. Le Sous-traitant reconnaît que le Responsable du traitement bénéficie des droits lui revenant et est soumis aux obligations lui incombant en vertu, à partir du 25 mai 2018, du RGPD.

5.8 Le Sous-traitant s’engage à traiter les Données à caractère personnel conformément au contenu de l’Annexe 1, en particulier en ce qui concerne le lieu du traitement.

Article 3 – Confidentialité

3.1 Indépendamment du type de Données à caractère personnel confiées par le Responsable du traitement au Sous-traitant, celui-ci considérera l’activité de traitement au nom et pour le compte du Responsable du traitement comme strictement confidentielle. Cette obligation de confidentialité est plus stricte pour le traitement de Catégories particulières de données à caractère personnel.

3.2 Le Sous-traitant ne communiquera d’aucune manière et sous aucune forme (même pas sous la forme de données anonymes ou anonymisées) les Données à caractère personnel à des tiers, y compris ses propres sous-traitants, ni ne leur donnera accès à ces données, sauf dans les cas et conditions prévus à l’article 3.3.

Le Sous-traitant traitera toujours et exclusivement les Données à caractère personnel au nom et pour le compte du Client en exécution de la Convention et en aucun cas pour son propre compte ou celui de tiers.

3.3 Le Sous-traitant peut octroyer à des tiers l’accès aux Données à caractère personnel dans le cas où :

  • le Responsable du traitement a donné au préalable son accord écrit explicite – le Responsable du traitement accepte de ce fait que l’accès aux Données à caractère personnel soit accordé aux tiers énumérés à l’Annexe 1. Au cas où le Responsable du traitement accepte d’octroyer un tel accès à de nouveaux tiers au cours de la durée de la Convention, l’Annexe 1 doit être modifiée d’un commun accord.
  • le Sous-traitant est tenu d’octroyer un tel accès en vertu d’une disposition légale belge ou européenne. Dans ce cas, à moins qu’une telle notification ne soit interdite par la loi ou pour des raisons impérieuses d’intérêt général, le Sous-traitant communiquera au préalable et par écrit au Responsable du traitement toute demande d’accès aux Données à caractère personnel, la disposition obligatoire en question et la suite qu’il entend donner à cette demande.

3.4 À l’exception des cas visés à l’article 3.3 (ii), dans le cas où le Sous-traitant octroie à des tiers l’accès aux Données à caractère personnel, il s’engage à ce que chaque tiers soit soumis à des obligations contractuelles au moins équivalentes à celles auxquelles il est lui-même tenu à l’égard du Responsable du traitement en vertu de la présente Convention relatif au traitement aux données. Le Sous-traitant garantit que chaque tiers auquel il octroie l’accès aux Données à caractère personnel remplira ces obligations.

3.5 Le Sous-traitant peut octroyer à ses travailleurs l’accès aux Données à caractère personnel conformément au principe du « besoin d’en connaître », c’est-à-dire dans la mesure où les travailleurs doivent avoir accès aux Données à caractère personnel pour assurer la bonne exécution des obligations du Sous-traitant découlant de la Convention et de la présente Convention relatif au traitement des données. Le Sous-traitant informera par écrit les travailleurs concernés du caractère confidentiel ainsi que du cadre légal et contractuel des Données à caractère personnel et il les soumettra à une obligation de confidentialité contractuelle. Le Sous-traitant imposera une obligation de confidentialité contractuelle aux travailleurs pouvant avoir accès aux Données à caractère personnel dans le but de procéder au traitement des données, dont l’obligation de confidentialité est identique au présent article.

3.6 Le Sous-traitant sera responsable du respect de l’obligation de confidentialité par l’ensemble des personnes (c’est-à-dire les travailleurs et sous-traitants) qui ont connaissance des Données à caractère personnel et/ou de leur traitement.

3.7 Le Sous-traitant garantira la confidentialité des Données à caractère personnel à traiter et prendra les mesures de sécurité organisationnelles et techniques nécessaires, telles que décrites à l’Annexe 2 de la présente Convention relatif au traitement des données. Ces mesures techniques et organisationnelles correspondront à l’article 32 du RGPD.

Article 4 – Obligation d’assistance

4.1 Le Sous-traitant s’engage à aider le Responsable du traitement à assurer le respect de ses obligations légales en vertu de la LCE (si d’application) et, à partir du 25 mai 2018, du RGPD. À cet égard, le Sous-traitant répondra dans un délai raisonnable à toute demande d’aide formulée par le Responsable du traitement. Le Sous-traitant informera immédiatement le Responsable du traitement s’il estime qu’une demande ou instruction de sa part constitue une violation de la LCE (si d’application) ou, à partir du 25 mai 2018, du RGPD. L’assistance fournie par le Sous-traitant au Responsable du traitement fera l’objet d’une compensation raisonnable.

4.2 À la demande du Responsable du traitement, le Sous-traitant l’informera des modalités de traitement des Données à caractère personnel et donnera accès aux Données à caractère personnel traitées et à tous les documents, bâtiments, systèmes, logiciels, matériels, bases de données, installations et infrastructures nécessaires pour permettre au Responsable du traitement de vérifier le respect de la LCE (si d’application) et, à partir du 25 mai 2018, du RGPD.

4.3 À la demande du Responsable du traitement, le Sous-traitant acceptera et collaborera aux audits et inspections de ses activités de traitement des Données à caractère personnel de sorte que le Responsable du traitement puisse vérifier s’il remplit ses obligations découlant de la présente Convention relatif au traitement des données et des lois applicables en matière de protection des données (RGPD et lois nationales). Le Responsable du traitement peut réaliser lui-même ces audits et inspections ou mandater un tiers à cet effet. Si le Responsable du traitement mandate un tiers, celui-ci ne pourra être un concurrent direct du Sous-traitant et acceptera d’être lié par des obligations de confidentialité qui ne sont pas moins protectrices que celles prévues à l’article 3 de la présente Convention relatif au traitement des données.

4.4 Le Sous-traitant transférera immédiatement au Responsable du traitement toute demande ou question émanant des Personnes concernées en lien avec les Données à caractère personnel (ou leur traitement). Le Responsable du traitement décidera de la réponse à y donner. À la demande du Responsable du traitement, le Sous-traitant l’aidera, dans la limite du possible, à répondre à de telles demandes. Plus particulièrement, le Sous-traitant, si et dans la mesure où cela s’inscrit dans le cadre de ses pouvoirs et capacités techniques en vertu de la présente Convention, donnera suite dans les 5 jours ouvrables à toute demande du Responsable du traitement concernant l’exécution des demandes des Personnes concernées ou la réponse à y apporter. Le Sous-traitant aura droit à une compensation raisonnable pour cette assistance.

4.5 Dans la mesure où le Sous-traitant lui-même a transféré des Données à caractère personnel à des tiers, il devra sans délai leur communiquer tout changement, effacement ou restriction des Données à caractère personnel dont il prend connaissance.

4.6 Le Sous-traitant s’engage à aider le Responsable du traitement à déterminer si une analyse d’impact relative à la protection des données s’avère nécessaire pour le traitement des Données à caractère personnel du Responsable du traitement. Cela implique, par exemple, que si le traitement du Sous-traitant nécessite l’utilisation de nouvelles technologies ou que le Sous-traitant considère que la technologie utilisée peut être qualifiée de « nouvelle » et engendrer un risque élevé pour les droits et libertés des personnes physiques, le Sous-traitant doit le notifier au Responsable du traitement avant de procéder au traitement des Données à caractère personnel.

4.7 Si le Responsable du traitement estime qu’une analyse d’impact relative à la protection des données doit être réalisée, le Sous-traitant s’engage à l’aider à l’effectuer, sur demande écrite. Dans ce cas, le Sous-traitant fournira au Responsable du traitement au moins les informations visées à l’Annexe 3 et ne commencera le traitement qu’après réception (évaluation) de l’analyse d’impact relative à la protection des données et des instructions écrites du Responsable du traitement à cet égard. Le Sous-traitant aura droit à une compensation raisonnable pour cette assistance.

4.8 À compter du 25 mai 2018, dans le cas où une personne concernée souhaite exercer son droit à la portabilité des données en ce qui concerne ses Données à caractère personnel traitées par le Sous-traitant au nom et pour le compte du Responsable du traitement, le Sous-traitant communiquera les Données à caractère personnel en question, dans un format structuré, standard et lisible par machine, au Responsable du traitement, ou à la demande de celui-ci, à la Personne concernée. Le Sous-traitant aura droit à une compensation raisonnable pour cette assistance.

Article 5 – Violation de données à caractère personnel

5.1 Si une violation de Données à caractère personnel se produit ou vient de se produire, le Sous-traitant en informe, dès qu’il en prend connaissance, le département juridique du Responsable du traitement par téléphone ou par e-mail.

5.2 Lors de la notification de l’incident ou, si cela n’est pas possible, dans les meilleurs délais après la notification de la violation des Données à caractère personnel, le Sous-traitant fournit au Responsable du traitement les informations suivantes :

  • la nature de la violation des Données à caractère personnel;
  • si possible, les Catégories de personnes concernées ;
  • le nombre estimatif de Personnes concernées ;
  • les Catégories de données à caractère personnel ;
  • le nombre estimatif de Données à caractère personnel ;
  • le nom et les coordonnées du délégué à la protection des données si le Sous-traitant a désigné un tel délégué ou, en l’absence de ce dernier, un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • les conséquences et risques probables, y compris pour les Personnes concernées ;
  • les mesures prises pour remédier à la Violation des données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
  • Le Sous-traitant aidera le Responsable du traitement autant que possible dans le cadre de la communication d’une Violation de données à caractère personnel à l’autorité de contrôle et/ou aux Personnes concernées. En tout état de cause, le Sous-traitant répondra en priorité à toute question/demande émanant du Responsable du traitement concernant la Violation des données à caractère personnel.

Article 6 – Mesures de sécurité techniques et organisationnelles

6.1 Le Sous-traitant s’engage à respecter et mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées nécessaires à la protection des Données à caractère personnel.

6.2 Pour déterminer les mesures de sécurité techniques et organisationnelles appropriées, le Sous-traitant prendra en compte les informations fournies par le Responsable du traitement concernant les activités de traitement réalisées pour son compte : (i) l’état des connaissances, (ii) les coûts de mise en œuvre de ces mesures, (iii) la nature, la portée, le contexte et les finalités du traitement, (iv) les risques pour les droits et libertés des Personnes concernées, en particulier en cas de destruction, perte ou altération, divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à de telles données, de manière accidentelle ou illicite, et (v) la probabilité que le traitement ait un impact sur les droits et libertés des Personnes concernées. S’il ne reçoit pas suffisamment d’informations détaillées du Responsable du traitement, le Sous-traitant ne sera pas en mesure de déterminer les mesures de sécurité techniques et organisationnelles nécessaires.

6.3 Le Sous-traitant mettra régulièrement à jour ces mesures conformément aux critères visés à l’article 6.2 et en tenant compte de tout incident.

6.4 Le Sous-traitant mettra en œuvre les mesures de sécurité techniques et organisationnelles minimales telles que énumérées à l’Annexe 2.


Article 7 – Responsabilité

7.1 Le Sous-traitant sera responsable et préservera le Responsable du traitement des sommes principales, coûts, intérêts et autres dépenses qu’il devrait consentir pour le paiement de dommages et intérêts ou demandes en réparation de tiers – y compris les Personnes concernées –, d’amendes, de sanctions administratives, de frais juridiques et d’autres exigences découlant de créances qui seraient opposables au Responsable du traitement par des personnes privées, par une autorité de protection des données ou par les pouvoirs publics au motif d’infraction par le Sous-traitant à la présente Convention relatif au traitement des données et aux obligations lui incombant spécifiquement en vertu de la LCE (si d’application) et, à partir du 25 mai 2018, du RGPD.

7.2 Le Sous-traitant préservera le Responsable du traitement de tous les dommages causés par des tiers (c’est-à-dire ses sous-traitants) désignés par le Sous-traitant.

7.3 Le Responsable du traitement doit démontrer le lien de causalité entre le dommage subi et le non-respect par le Sous-traitant avant de réclamer toute indemnisation.

7.4 Le Sous-traitant n’est responsable que si la cause de l’incident est la responsabilité du Sous-traitant. Tout dommage consécutif résultant d’une erreur de la part du Responsable du traitement ou d’un autre sous-traitant désigné par le Responsable du traitement est exclu.

7.5 En tout état de cause, la responsabilité totale du Sous-traitant ne pourra jamais dépasser le montant de la licence annuelle avec le Responsable du traitement et ne peut jamais excéder le montant assuré total, par période de police pour tous les dégâts de tous les assurés sous l’ensemble des garanties d’assurance, à savoir € 5.000.000.

7.6 La responsabilité totale du Sous-traitant n’excédera en aucun cas le montant total des frais payés par le Responsable du traitement.

Article 8 – Force majeure

8.1 Les conditions suivantes seront considérées comme force majeure si elles se présentent après la prise d’effet de la Convention relatif au traitement des données et en empêchent l’exécution: les conflits professionnels et toutes autres circonstances, telles qu’un incendie, une mobilisation, une saisie, un embargo, une interdiction de transfert de devises, une révolte, un manque de moyens de transport, une pénurie générale de matières premières, des restrictions d’utilisation de l’énergie, cyber-attaques si ces autres circonstances surviennent indépendamment de la volonté des Parties.

8.2 La Partie qui invoque les circonstances susmentionnées doit informer immédiatement et par écrit l’autre Partie du début et de la fin de la circonstance de force majeure.

La survenue de l’une de ces conditions exonère tant le Responsable du traitement que le Sous-traitant de toute responsabilité.

Article 9 – Transfert de Données à caractère personnel

9.1 Le Sous-traitant ne peut transférer de Données à caractère personnel vers un pays situé en dehors l’Espace économique européen (c’est-à-dire, actuellement, l’Union européenne, le Liechtenstein, l’Islande et la Norvège), à moins que le pays ou l’entreprise en question (y compris les entreprises liées au Sous-traitant) vers lequel/à laquelle les Données à caractère personnel sont transférées, garantisse un niveau adéquat de protection des Données à caractère personnel et que le Sous-traitant ait autorisé au préalable par écrit le transfert. Le Responsable du traitement est d’accord de transférer les données vers les pays énumérés à l’Annexe 1.

9.2 Le transfert vers un pays situé en dehors de l’Espace économique européen est autorisé sans l’accord écrit du Responsable du traitement si ce transfert s’avère nécessaire en vertu d’une disposition légale européenne ou belge. Dans ce cas, le Sous-traitant informera le Responsable du traitement à l’avance et par écrit de la disposition légale sur la base de laquelle il est tenu de transférer les Données à caractère personnel, à moins que la législation en question n’interdise une telle notification pour des raisons d’intérêt public.

9.3 Le Sous-traitant garantit que le pays ou l’entreprise vers lequel/à laquelle les Données à caractère personnel sont transférées assure un niveau adéquat de protection des Données à caractère personnel.

9.4 En cas de transfert de Données à caractère personnel par le Sous-traitant vers un pays situé en dehors de l’Espace économique européen, le niveau de protection adéquat est garanti par la signature des clauses contractuelles types de la Commission européenne. Les Parties reconnaissent l’absence de Clauses contractuelles types de la Commission européenne pour les transferts « sous-traitant vers sous-traitant ». Ce transfert particulier peut être régularisé dans la mesure où le Sous-traitant garantit que son sous-traitant signera, à la discrétion du Responsable du traitement, les Clauses contractuelles types de la Commission européenne « Responsable du traitement-sous-traitant » directement avec le Responsable du traitement ou les Clauses contractuelles types de la Commission européenne « Responsable du traitement-sous-traitant » avec le Sous-traitant pour le compte du Responsable du traitement. Dans les deux cas, le Sous-traitant préservera le Responsable du traitement de tous dommages et réclamations découlant du non-respect des Clauses contractuelles types de la Commission européenne par son sous-traitant.

Article 10 – Durée et résiliation

10.1 La Convention relatif au traitement des données à caractère personnel entrera en vigueur à la date de sa signature.

10.2 La présente Convention relatif au traitement des données sera d’application pour la durée de la Convention. Il prendra fin automatiquement à l’expiration de la Convention.

10.3 Sauf en cas de non-exécution d’une des dispositions de la présente Convention relatif au traitement des données par une Partie, auquel cas la Convention relatif au traitement des données peut être immédiatement résiliée par l’autre Partie à charge de la Partie en défaut, la présente Convention relatif au traitement des données peut être résiliée à tout moment moyennant un délai de préavis de 2 mois et pour autant que ce préavis soit signifié par courrier recommandé.

10.4 En cas de résiliation de la présente Convention relatif au traitement des données , le Sous-traitant restituera immédiatement l’ensemble des Données à caractère personnel au Responsable du traitement dans un format structuré, couramment utilisé et lisible (par machine) et n’en conservera aucune copie physique ou électronique.

Le Sous-traitant, au choix du Responsable du traitement, supprimera toutes les Données à caractère personnel à la fin de la fourniture des services liés au traitement des données, ainsi que les copies existantes, à moins que la conservation des Données à caractère personnel ne soit requise en vertu de la législation européenne et/ou belge.

Article 11 – Loi applicable et tribunaux compétents

La présente Convention relatif au traitement des données est exclusivement régie par la Législation Belge.

En cas de contestation du Convention relatif au traitement de données, les tribunaux de Courtrai sont seuls compétents.

Article 12 – Divers

12.1 Les dispositions du Contrat relatif au traitement de données sont dissociables. Si l’une ou plusieurs dispositions ne touchant pas à l’essence même du Contrat sont déclarées totalement ou partiellement invalides, nulles ou non exécutoires, la validité et la force exécutoire des dispositions restantes de la Convention et du Contrat dans son ensemble ne s’en trouvent pas affectées. La présente Convention demeurera d’application pour les Parties comme si la disposition invalide, nulle ou non exécutoire n’avait jamais existé.

12.2 Dans le cas précité, les Parties s’engagent à renégocier en toute bonne foi la présente Convention afin de modifier ou remplacer la disposition (totalement ou partiellement) invalide, nulle ou non exécutoire par une disposition se rapprochant le plus possible du but visé par la disposition en question.

12.3 Les modifications et suppléments à la présente Convention ne sont valides que s’ils ont été expressément convenus par écrit entre les Parties.

12.4 Si une disposition du Contrat est incompatible ou contradictoire avec les dispositions de la présente Convention, cette dernière prévaut.

12.5 Si les Données à caractère personnel ou la relation entre les Parties sont soumises à une nouvelle législation ou jurisprudence (européenne), les Parties conviennent de renégocier en toute bonne foi la présente Convention et de l’aligner sur la nouvelle législation ou jurisprudence (européenne).

12.6 Si le Sous-traitant est soumis à un code de conduite ou a obtenu une certification pour le traitement de Données à caractère personnel, il s’engage à respecter et maintenir ce code de conduite ou cette certification pour la durée de la présente Convention.

Établi en deux exemplaires originaux dont chaque Partie déclare avoir reçu le sien et signé une copie à …………………………………., le ………………………………….

Le Responsable du traitement

Le Sous-traitant

 

 

 

Annexes

Annexe 1 – Aperçu du Contrat et des activités de traitement

Nature et finalités du traitement passer des tests et évaluer des personnes ou enseigner et former des étudiants ou des membres du personnel
Type de Données à caractère personnel à traiter données d'identification, éducation et formation, enregistrements d'images, enregistrements sonores, profession et relation, réponses aux questions, traductions
Types de Catégories particulières de données à caractère personnel Aucun.
Catégories de personnes concernées étudiants, enseignants, membres du personnel, formateurs
Lieu(x) du traitement des Données à caractère personnel La Belgique, Les Pays-Bas
Tiers Aucun tiers n’a accès aux Données à caractère personnel, à l’exception de :
Pays tiers vers lesquels seront transférées les Données à caractère personnel Les Données à caractère personnel ne seront pas transférées vers des pays tiers, à l’exception de :

Annexe 2 – Mesures de sécurité techniques et organisationnelles

Le Sous-traitant mettra en œuvre et prévoira les mesures de sécurité suivantes afin de protéger les Données à caractère personnel :

Mesures organisationnelles

  • Acceptable use & Information Security Policy
  • Sensibilisation du personnel à travers des informations et formations
  • Procédure de notification en cas d’incidents physiques/techniques
  • Suivi disciplinaire en cas de non-respect de l’une des mesures

Mesures techniques

  • Système de back-up
  • Mesures en cas d’incendie, cambriolage, dégâts des eaux ou incidents physiques/techniques
  • Contrôle de l’accès (physique et logique)
  • Système d’authentification
  • Politique en matière de mots de passe
  • Politique en matière de noms d’utilisateur
  • Système d’identification, détection et analyse des entrées
  • Patching
  • Anti-virus
  • Pare-feu
  • Sécurité du réseau
  • Surveillance, examen et entretien des systèmes

Annexe 3 – Catégories particulières de données à caractère personnel

Au cas où le Sous-traitant traite une ou plusieurs Catégories particulières de données à caractère personnel pour le compte du Responsable du traitement, il s’engage à respecter les obligations supplémentaires suivantes. Cette Annexe 3 ne s’applique pas si le Sous-traitant ne traite pas de Catégories particulières de données à caractère personnel.

  1. Liste des personnes ayant accès aux Catégories particulières de données à caractère personnel
    Le Sous-traitant tiendra une liste des catégories de personnes ayant accès aux Catégories particulières de données à caractère personnel. La compétence de ces (catégories de) personnes doit également figurer dans cette liste.Cette liste doit être tenue à la disposition du Responsable du traitement et de l’autorité de contrôle.
  2. Analyse d’impact relative à la protection des données
    Si le Sous-traitant est amené à traiter des Catégories particulières de données à caractère personnel à grande échelle pour le compte du Responsable du traitement, il ne débutera pas le traitement tant qu’une analyse d’impact relative à la protection des données n’a pas été réalisée par le Responsable du traitement. Dans ce cas, le Sous-traitant aidera le Responsable du traitement en lui fournissant les informations visées à l’Annexe 4, de sorte qu’il puisse réaliser une analyse d’impact relative à la protection des données.
  3. Mesures techniques et organisationnelles
    Étant donné le caractère sensible des Catégories particulières de données à caractère personnel, telles qu’énumérées à l’Annexe 1, le Sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles définies et visées à l’Annexe 2.

Annexe 4 – Analyse d’impact relative à la protection des données

Au cas où une analyse d’impact relative à la protection des données doit être réalisée, le Sous-traitant aide le Responsable du traitement sur demande et là où cela s’avère nécessaire. Le Sous-traitant fournit les informations suivantes au Responsable du traitement dans un délai aussi raisonnable que possible et pour autant que le Responsable du traitement lui ait donné suffisamment d’informations pour réaliser correctement l’analyse, tout en tenant compte du fait que le Sous-traitant traite les Données à caractère personnel pour le compte et selon les instructions du Responsable du traitement :

  • une description systématique des activités de traitement envisagées;
  • une évaluation de la nécessité et de la proportionnalité des activités de traitement par rapport aux finalités prévues dans le Contrat;
  • une évaluation des risques pour les droits et libertés des Personnes concernées ;
  • les mesures envisagées pour gérer les risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des Données à caractère personnel et à démontrer le respect du Règlement général sur la protection des données, tout en prenant en compte les droits et intérêts légitimes des Personnes concernées et autres.