Le document suivant fait partie de nos conditions générales de service, du contrat de service et/ou de toute autre contrat conclu par écrit ou par voie électronique entre Woobie (ci-après, dénommé le « Sous-traitant ») et le client (ci-après, dénommé le « Responsable du traitement »).
En acceptant les Conditions Générales, le Contrat de Service et/ou tout autre contrat conclu par écrit ou par voie électronique avec iGLOO, le client accepte expressément l’application du présent addendum. Les clauses reprises ci-dessous concernent le traitement des données à caractère personnel par iGLOO pour le compte du client et forment un contrat de sous-traitance entre iGLOO et le client (ci-après, le "Contrat de sous-traitance").
Le Responsable du traitement et le Sous-traitant sont ci-après dénommés collectivement les "Parties".
(A) Le Responsable du traitement et le Sous-traitant ont conclu un contrat de service dans le cadre duquel le Sous-traitant s’est engagé à effectuer un traitement de données, dont des Données à caractère personnel telles que définies ci-dessous, pour le compte du Responsable du traitement (ci-après, le « Contrat principal ») ;
(B) Les Parties ont conclu le présent Contrat de sous-traitance, qui a pour objet de définir les droits et les obligations respectifs des Parties conformément à la Législation vie privée telle que définie ci-dessous.
Les expressions ci-après sont définies comme suit :
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, applicable à partir du 25 mai 2018.
La personne physique identifiée ou identifiable dont les Données à caractère personnel font l’objet des Opérations de traitement définies ci-après.
La personne physique ou morale qui détermine les finalités et les moyens du traitement de Données à caractère personnel.
iGLOO qui, en tant que personne morale, traite des Données à caractère personnel pour le compte du Responsable du traitement.
La personne physique ou morale qui, à la demande du Sous-traitant mais sans être placée sous son autorité directe, traite les Données à caractère personnel pour le compte du Responsable du traitement.
Toute information se rapportant à une personne physique identifiée ou identifiable. ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité psychique, économique, culturelle ou sociale.
Toutes les règles relatives au traitement de données à caractère personnel applicables en Belgique, notamment la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et, à partir du 25 mai 2018, le RGPD.
Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Actuellement, la Commission de la protection de la vie privée et, à partir du 25 mai 2018, l’Autorité de protection des données.
Les personnes désignées par les Parties pour exécuter le contrat et qui sont placées sous leur autorité directe.
1. Le présent Contrat de sous-traitance a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable du traitement les Opérations de traitement définies ci-après.
2. Les Parties conviennent que le présent Contrat de sous-traitance fait intégralement partie du Contrat principal entre Responsable du traitement et Sous-traitant.
1. Le Sous-traitant s’engage à ne traiter des Données à caractère personnel que sur la base d’instructions écrites du Responsable du traitement, qui découlent du Contrat principal. Le Contrat principal et le Contrat de sous-traitance déterminent collectivement l’objet et la durée des Opérations de traitement.
2. Le Sous-traitant est une agence web qui offre à ses clients des services tels que du développement de sites internet et d’applications mobiles sur mesure, de l’hébergement et de la maintenance, de la consultance et de l’audit IT, des services d’e-marketing et d’e-mailing, des services de référencement et la réalisation de statistiques, sans que cette liste ne soit exhaustive. Le Sous-traitant et son Personnel sont autorisés à traiter pour le compte du Responsable du traitement les Données à caractère personnel nécessaires pour fournir ces différents services.
3. Pendant toute la durée du Contrat de sous-traitance, les Données à caractère personnel sont soumises aux Opérations de traitement suivantes : collecte, enregistrement, organisation, structuration, conservation, modification, extraction, utilisation, communication, mise à disposition, rapprochement, limitation et effacement des Données à caractère personnel.
4. Les catégories de Données à caractère personnel concernées par les Opérations de traitement sont le nom et prénom, sexe, date et lieu de naissance, adresse mail, adresse postale, adresse IP, signature, coordonnées bancaires, numéro de téléphone, informations de log, hyperliens vers des comptes d’utilisateurs sur les réseaux sociaux.
5. Les catégories de personnes concernées par les Opérations de traitement sont : les visiteurs et les utilisateurs du site internet et/ou de l’application mobile du Responsable du traitement et les clients du Responsable du traitement. Parmi ceux-ci, peuvent se trouver des enfants.
1. Il appartient au Responsable du traitement de fournir les informations mentionnées aux articles 13 et 14 du RGPD aux personnes concernées par les Opérations de traitement qui font l’objet du présent Contrat de sous-traitance.
2. Le Responsable du traitement met à la disposition du Sous-traitant les Données à caractère personnel faisant l’objet du présent Contrat de sous-traitance. Le Responsable du traitement détermine les moyens et les finalités du traitement. Il garantit en outre la licéité du traitement, notamment le transfert des Données à caractère personnel au Sous-traitant.
3. Le Responsable du traitement met à la disposition du Sous-traitant ses instructions écrites concernant le traitement. Il garantit la conformité de ses instructions à la Législation vie privée. Le Responsable du traitement avertit immédiatement le Sous-traitant de toute modification des Opérations de traitement initialement prévues.
4. Le Responsable du traitement est entièrement responsable des traitements de Données à caractère personnel effectués par les membres de son Personnel.
5. Le Responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité, conformément aux modalités prévues à l’article 30(1) du RGPD.
6. Le Responsable du traitement conserve la propriété des Données à caractère personnel, des informations et du matériel mis à la disposition du Sous-traitant dans le cadre de l’exécution du Contrat de sous-traitance.
1. Le Sous-traitant ne traite que les Données à caractère personnel strictement nécessaires à l’exécution du Contrat principal. En outre, il s’engage à traiter les Données à caractère personnel uniquement pour la ou les finalité(s) définies dans le Contrat de sous-traitance. Le Sous-traitant ne traitera les Données à caractère personnel pour aucune autre finalité que celles déterminées par le Responsable du traitement.
2. Le Sous-traitant s’engage à traiter les Données à caractère personnel conformément aux instructions écrites du Responsable du traitement et aux dispositions du présent Contrat de sous-traitance. Si le Sous-traitant considère qu’une instruction constitue une violation de la législation vie privée, il en informe immédiatement le Responsable du traitement. Cette obligation d’information ne constitue qu’une obligation de moyens et n’engage en aucun cas la responsabilité du Sous-traitant. En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit en informer le Responsable du traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
3. Le Sous-traitant garantit la confidentialité des Données à caractère personnel mises à sa disposition dans le cadre du Contrat de sous-traitance. Cette même obligation de confidentialité s’applique à tous les membres de son Personnel en charge de l’exécution du Contrat principal.
4. Le Sous-traitant ne peut effectuer aucune opération de traitement en dehors de l’Espace Economique Européen, sans avoir obtenu au préalable l’accord écrit et explicite du Responsable du traitement. Par opération de traitement, il convient notamment d’entendre le stockage et la transmission des données vers un pays tiers à l’Espace Economique Européen. En outre, le Sous-traitant devra s’assurer que le pays tiers en question offre un niveau de protection adéquat. A défaut, il devra mettre en place des garanties appropriées par voie contractuelle ou avoir obtenu le consentement explicite des personnes concernées.
5. Le Sous-traitant traite les Données à caractère personnel aussi longtemps que nécessaire à l’exécution du Contrat principal. Dès l’instant où le service objet du Contrat principal a été pleinement exécuté, le Sous-traitant devra, dans un délai raisonnable, mettre fin à tout traitement des Données à caractère personnel, autre que nécessaire à la suppression ou au renvoi des données au Responsable du traitement, à moins qu’il n’en soit expressément convenu autrement entre les Parties.
6. Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les personnes concernées exercent leurs droits directement auprès du Sous-traitant, ce dernier doit transférer les demandes dès réception au Responsable du traitement. Le Responsable du traitement se chargera du traitement ultérieur de la demande, sauf si les Parties en disposent autrement.
7. Le Sous-traitant aide le Responsable du traitement pour la réalisation d’analyses d’impact relative à la protection des données et pour la réalisation de la consultation préalable de l’autorité de contrôle. En outre, le Sous-traitant aide le Responsable du traitement à répondre aux demandes de l’autorité de contrôle. A cette fin, les Parties peuvent prévoir un mécanisme de rémunération ou de remboursement du Sous-traitant.
8. Le Sous-traitant est autorisé à effectuer une ou plusieurs copies et/ou back-ups des Données à caractère personnel si cela s’avère nécessaire à l’exécution du Contrat principal. Les Données à caractère personnel concernées jouissent de la même protection que les Données à caractère personnel d’origine.
9. Le Sous-traitant tient par écrit un registre des activités de traitement effectuées pour le compte du Responsable du traitement. Ce registre doit contenir toutes les informations visées à l’article 30(2) du RGPD.
10. Le Sous-traitant garantit un accès limité de son Personnel aux Données à caractère personnel uniquement dans la mesure où cet accès est nécessaire pour exécuter les Opérations de traitement prévues dans le Contrat de sous-traitance. Le Personnel du Sous-traitant est en outre soumis à une obligation de confidentialité concernant le traitement des Données à caractère personnel. Le Sous-traitant s’engage à informer son Personnel à propos de la Législation vie privée et des dispositions du Contrat de sous-traitance.
11. Le Sous-traitant communique au Responsable du traitement le nom et les coordonnées de son délégué à la protection des données (Data Protection Officer ou DPO), s’il est tenu d’un désigner un conformément à l’article 37 du RGPD.
1. Le Sous-traitant peut déléguer l’ensemble ou une partie de ses obligations de traitement en vertu du présent Contrat de sous-traitance à un autre Sous-traitant uniquement avec l’autorisation préalable et écrite du Responsable du traitement. Le Responsable du traitement ne peut refuser la demande du Sous-traitant que s’il invoque des motifs légitimes. En cas de sous-traitance ultérieure, le Sous-traitant reste le point de contact du Responsable du traitement.
2. Le Sous-traitant peut faire appel aux services d’un Sous-traitant ultérieur situé en dehors de l’Espace Economique Européen uniquement avec l’accord préalable, écrit et spécifique du Responsable du traitement. Dans ce cas, le Sous-traitant doit choisir un Sous-traitant ultérieur qui garantit un niveau de protection adéquat des Données à caractère personnel. A défaut, il devra mettre en place des garanties appropriées par voie contractuelle ou avoir obtenu le consentement explicite des personnes concernées.
3. Le Sous-traitant initial doit s’assurer que le Sous-traitant ultérieur présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD, et notamment à l’article 32.
4. Les obligations prévues à l’article 5 du présent Contrat de sous-traitance s’appliquent intégralement au Sous-traitant ultérieur. Ces obligations sont stipulées par écrit dans un Contrat de sous-traitance conclu entre le Sous-traitant initial et le Sous-traitant ultérieur. Le Sous-traitant initial demeure pleinement responsable vis-à-vis du Responsable du traitement de l’exécution par le Sous-traitant ultérieur de ses obligations.
5. Pour exécuter les Opérations de traitement définies dans le Contrat de sous-traitance, le Sous-traitant peut faire appel aux Sous-traitants ultérieurs suivants : Amazon Web Services, Google, OVH, Heroku, Cloudflare, Mailgun, SendGrid, Mailchimp, SendInBlue, Pingdom, Updown, Digital Ocean, Combell, Internet Vista, InVision, PO Editor, ShareThis. En cas de changement de Sous-traitant ultérieur, le Sous-traitant devra en informer le Responsable du traitement et obtenir son autorisation préalable, conformément à l’article 6.1.
1. Le Sous-traitant est tenu à une obligation de confidentialité concernant les Données à caractère personnel traitées dans le cadre du Contrat de sous-traitance. Cette obligation de confidentialité s’applique aussi à toutes les informations que le Responsable du traitement communique au Sous-traitant dans le cadre du Contrat de sous-traitance. Cette obligation de confidentialité s’applique de la même manière au personnel du Sous-traitant ainsi qu’aux éventuels Sous-traitants ultérieurs et à leur propre personnel.
2. Cette obligation de confidentialité prend effet dès la négociation du Contrat principal, perdure pendant toute la durée du Contrat principal et subsiste même après la fin du Contrat principal.
3. Cette obligation de confidentialité ne s’applique pas lorsque le Sous-traitant est tenu de communiquer les Données à caractère personnel à l’Autorité de contrôle, en vertu d’une disposition légale ou d’une décision judiciaire, lorsque l’information est déjà connue du public, ou lorsque la communication des Données à caractère personnel a été autorisée par le Responsable du traitement.
1. Le Responsable du traitement et le Sous-traitant s’engagent à mettre en œuvre des mesures techniques et organisationnelles (ci-après, les « Mesures de sécurité ») destinées à protéger les Données à caractère personnel contre la destruction, soit par accident, soit illicitement, contre la perte, la fraude, la diffusion ou l’accès non-autorisé, notamment quand le traitement comprend la transmission de données dans un réseau, ou contre toute autre forme de traitement ou d’utilisation illégale.
2. Ces Mesures de sécurité garantissent un niveau de sécurité adapté au risque qu’entraîne le traitement. Pour déterminer les mesures de sécurité adéquates, les Parties tiennent compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes concernées. Ces Mesures de sécurité sont destinées notamment à prévenir toute collecte ou tout traitement ultérieur non-autorisé des Données à caractère personnel.
3. Le Sous-traitant est tenu d’informer le Responsable du traitement des Mesures de sécurité qu’il met en œuvre. Si, en raison de l’évolution de l’état de la technique, des modifications importantes doivent être apportées aux technologies utilisées pour sécuriser les données, le Sous-traitant devra en informer le Responsable du traitement et faire une évaluation des coûts de mise en œuvre. Si le Responsable du traitement refuse l’exécution de ces mesures, le Sous-traitant ne pourra pas être tenu pour responsable en cas de violation des données imputable à une omission dans le chef du Responsable du traitement. Le Responsable du traitement sera entièrement responsable du paiement de toute amende administrative et/ou indemnité qui en découlerait.
4. Le Responsable du traitement et le Sous-traitant s’efforcent de fournir tous les efforts raisonnables pour vérifier que leurs systèmes et services de traitement répondent aux exigences de confidentialité, d’intégrité, de disponibilité et de résilience constantes, compte tenu de l’état de la technique et des coûts de mise en œuvre.
1. Le Sous-traitant notifie au Responsable du traitement toute Violation de Données à caractère personnel dans les plus brefs délais, et au plus tard 24 heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette violation à l’autorité de protection des données et/ou aux personnes concernées. Le Sous-traitant doit communiquer au Responsable du traitement les informations suivantes : la nature de la Violation de Données à caractère personnel, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif de Données à caractère personnel concernées, les conséquences probables de la Violation de Données à caractère personnel, et les mesures prises pour remédier à la Violation de Données à caractère personnel ou pour en atténuer les éventuelles conséquences négatives.
2. À la demande du Responsable du traitement, le Sous-traitant notifie la Violation de Données à caractère personnel au nom et pour le compte du Responsable du traitement à l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après avoir constaté la violation, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
3. À la demande du Responsable du traitement, le Sous-traitant notifie la Violation de Données à caractère personnel au nom et pour le compte du Responsable du traitement aux personnes concernées dans les meilleurs délais, lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
4. La décision d’informer ou non l’Autorité de protection des données et/ou les Personnes concernées d’une Violation de Données à caractère personnel incombe au Responsable du traitement.
1. Les droits de propriété intellectuelle sur les informations et le matériel mis à la disposition du Sous-traitant restent la propriété du Responsable du traitement. Ces droits de propriété intellectuelle incluent entre autres le droit d’auteur et le droit sui generis des bases de données.
2. Le Responsable du traitement octroie au Sous-traitant une licence d’utilisation limitée au strict nécessaire pour la réalisation des Opérations de traitement dans le cadre du Contrat de sous-traitance. Le Sous-traitant n’est pas autorisé à modifier, reproduire, communiquer au public les éléments protégés, sauf accord préalable écrit du Responsable du traitement.
1. Le présent Contrat de sous-traitance entre en vigueur à compter du jour où le Contrat principal entre en vigueur et prend fin en même temps que le Contrat principal. Le présent Contrat de sous-traitance ne peut être résilié indépendamment du Contrat principal, à moins que la résiliation ne soit nécessaire pour respecter la Législation vie privée ou une décision de l’Autorité de contrôle.
2. À la fin du présent Contrat de sous-traitance, le Sous-traitant devra renvoyer au Responsable du traitement toutes les Données à caractère personnel. Il lui fournit également toutes les informations et la documentation nécessaires au traitement ultérieur de ces données. Après le renvoi des Données à caractère personnel au Responsable du traitement, le Sous-traitant met immédiatement fin à tout traitement des Données à caractère personnel et détruit toutes les copies existantes dans ses systèmes d’information. Les coûts liés au renvoi des Données à caractère personnel et à la destruction des copies sont à charge du Responsable du traitement.
1. Le présent Contrat de sous-traitance ne peut être cédé par l’une des Parties à un tiers sans l’autorisation préalable écrite de l’autre Partie. Cette interdiction ne s’applique cependant pas à la cession du Contrat de sous-traitance à des entreprises associées ou reprises ni aux successeurs des Parties, pour laquelle aucune autorisation n’est requise.
2. Le présent Contrat de sous-traitance exprime la volonté pleine et entière des Parties pour tout ce qui concerne l’objet du Contrat de sous-traitance et a vocation à remplacer tout accord antérieur ou préexistant entre les Parties à ce sujet. Le présent Contrat de sous-traitance ne peut être modifié que par un accord mutuel écrit des Parties.
3. La nullité ou l’illégalité d’une disposition, en tout ou en partie, du présent Contrat de sous-traitance n’aura pas d’effet sur la validité et l’application des autres dispositions du Contrat de sous-traitance. Les Parties s’engagent à remplacer la disposition nulle ou illégale par une autre disposition valable en droit et opposable. Les Parties agiront de bonne foi et préféreront l’adoption d’une disposition de portée similaire. Si cela s’avère impossible, seule la disposition nulle ou illégale sera considérée comme inexistante.
4. Les titres et sous-titres utilisés dans le présent Contrat de sous-traitance le sont à titre purement illustratif.
5. Le présent Contrat de sous-traitance est soumis au droit belge. En cas de litige découlant de l’exécution ou de l’interprétation du Contrat de sous-traitance, les Parties s’engagent à tout mettre en œuvre pour trouver une solution à l’amiable. A cette fin, elles s’engagent à faire prévaloir une interprétation raisonnable du Contrat de sous-traitance. A défaut de résolution à l’amiable, le litige pourra être soumis à un centre d’arbitrage et de médiation (comme le CEPANI) ou aux tribunaux compétents. Le seul tribunal compétent est le tribunal de l’arrondissement judiciaire où se situe le siège social du Sous-traitant.