Télécharger en format pdf
- Téléchargez la dernière version (v2.01) de notre « Convention relative au traitement des données à caractère personnel » v2.01 (pdf)
- Version précédente (v1.01): « Convention relative au traitement des données à caractère personnel » v1.01 (pdf)
ACCORD SUR LE TRAITEMENT DES DONNÉES AVEC LE PROCESSEUR – v2.01
Cette convention relative au traitements des données fait partie intégrante du Convention entre vous (contrepartie) et Televic Education.
Televic Education est le Sous-traitant (ci-après : ‘Sous-traitant ‘) des données à caractère personnel et contrepartie est responsable du traitement (ci-après : ‘Responsable du traitement’)
CONSIDÉRANT :
Le sous-traitant fournit un logiciel permettant d’effectuer des évaluations et des examens qui, dans ce contexte, traitera des données à caractère personnel pour le compte du contrôleur, comme spécifié dans l’annexe 1 de l’accord ;
a) Le sous-traitant s’engage à effectuer les services de traitement dans les conditions prévues par l’accord ;
b) le présent accord relève de l’obligation découlant de l’article 28 du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
LES PARTIES CONVIENNENT DE CE QUI SUIT :
Article 1 Définitions
« Accord » : le présent accord de transformation, y compris ses annexes ;
On entend par « données à caractère personnel » toute information concernant une personne physique identifiée ou identifiable ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments caractérisant l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique ;
« violation des données » : une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération ou la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ;
« GDPR » : Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
« Sous-traitant » : tout sous-traitant désigné par le sous-traitant pour effectuer une partie du processus de traitement pour le responsable du traitement.
Article 2 Objet
Cet accord découle de l’obligation contenue dans l’article 28 du GDPR qui stipule qu’un accord écrit doit être conclu entre le processeur et le contrôleur.
Le présent accord régit les droits et obligations du contrôleur et du sous-traitant dans le cadre du traitement des données à caractère personnel.
Le sous-traitant s’engage, à compter de l’entrée en vigueur du présent accord, à se conformer à cet accord lorsqu’il effectue des activités de traitement pour le compte du contrôleur. Si des activités de traitement ont déjà eu lieu avant l’entrée en vigueur de l’accord, le sous-traitant s’engage à effectuer ces activités de traitement conformément à l’accord, en tout état de cause à compter de l’entrée en vigueur de l’accord.
Article 3 Données de contact Délégué à la protection des données (DPD) ou contact permanent GDPR
Le responsable du traitement fait office de personne de contact permanente :
- Olivier Sustronck
- Email: dpo@misterfranklin.be
Article 4 Droits et obligations du sous-traitant
Le sous-traitant agit exclusivement pour le compte du contrôleur lorsqu’il traite des données à caractère personnel.
Le sous-traitant ne traite que les données personnelles décrites dans l’annexe 1 de l’accord et, à tout moment, conformément aux dispositions de l’accord et aux instructions écrites du responsable du traitement. Toutefois, le Responsable du traitement autorise expressément le Sous-traitant à anonymiser les Données à caractère personnel traitées et à obtenir ainsi des statistiques agrégées en vue de leur analyse dans le cadre de l’optimisation par le Sous-traitant de ses services SaaS.
Le sous-traitant ne traite que les données à caractère personnel strictement nécessaires à l’exécution de l’accord et uniquement les données à caractère personnel figurant dans l’annexe 1 de l’accord.
Le sous-traitant s’engage à informer et à mettre à jour régulièrement les membres de son personnel chargés du traitement des données à caractère personnel et de l’exécution de l’accord sur les dispositions de la réglementation relative à la protection de la vie privée en général et du GDPR en particulier. Le sous-traitant s’assure que ces membres du personnel se sont engagés à respecter la confidentialité ou sont liés par une obligation légale appropriée de respecter la confidentialité.
Article 5 Droits et obligations du contrôleur
Le responsable du traitement s’engage à proposer un avenant ou une modification du présent accord chaque fois qu’il donne un nouvel ordre de traitement au sous-traitant ou que la finalité du traitement change.
article 6 Traitement des données personnelles
6.1.
Le sous-traitant est tenu de préserver la confidentialité des données à caractère personnel qu’il traite pour le compte du responsable du traitement.
6.2.
Les données personnelles ne peuvent être traitées par le sous-traitant qu’aux fins décrites dans l’annexe 1 de l’accord. À la lumière de l’Accord, le sous-traitant est autorisé à traiter (ou à faire traiter) les données personnelles en dehors de l’Espace économique européen, à condition que le contrôleur en ait été informé à l’avance et sous réserve du respect des articles 44 et suivants du GDPR.
6.3
Le contrôleur autorise le sous-traitant à communiquer les données à caractère personnel à toutes les personnes, institutions et organes participant directement à l’exécution de la mission et lorsque cela est strictement nécessaire à l’exécution de l’accord et dans les limites de l’accord et du GDPR.
6.4.
La communication à des tiers autres que ceux décrits dans le paragraphe précédent est interdite, sauf si elle est imposée par ou en vertu de la loi ou si elle est requise par une décision de justice. Toute communication à des tiers imposée par la loi ou par une décision de justice doit être notifiée au préalable par le sous-traitant au responsable du traitement.
6.5.
Le sous-traitant peut procéder à une sauvegarde ou à une copie si cela est strictement nécessaire à l’exécution de l’accord.
6.6.
Le sous-traitant est autorisé à anonymiser les données de la plate-forme à des fins statistiques, de développement et d’analyse.
Article 7 Droits de la personne concernée
Si le contrôleur reçoit une demande de la part de la personne concernée dont les données à caractère personnel sont traitées, d’exercer ses droits conformément au GDPR, comme par exemple le droit d’opposition ou le droit à l’effacement des données à caractère personnel, le contrôleur transmet cette demande au sous-traitant sans délai.
Le sous-traitant s’engage à répondre de manière appropriée à cette instruction du responsable du traitement sans délai et, au plus tard, dans les 10 jours ouvrables suivant la réception de la demande, et à fournir les informations demandées ou à procéder aux ajustements requis des données à caractère personnel ou à supprimer et détruire certaines données à caractère personnel.
Si le sous-traitant reçoit lui-même une demande émanant directement de la personne concernée dont les données à caractère personnel sont traitées, en vue d’exercer ses droits conformément au GDPR, il la transmet sans délai déraisonnable au responsable du traitement et fournit l’assistance raisonnable demandée par le responsable du traitement afin de se conformer dûment à cette demande. Le sous-traitant ne répond pas lui-même à cette demande et ne prend aucune autre mesure à cette fin, sauf sur instruction du responsable du traitement. Toutefois, le sous-traitant peut confirmer à la personne concernée le renvoi décrit ci-dessus, ainsi que les raisons qui le motivent.
Article 8 Confidentialité
Toutes les données à caractère personnel et les informations reçues par les parties dans le cadre du présent accord seront traitées de manière confidentielle pendant la durée du présent accord et dix ans après, et ne seront pas divulguées à des tiers ni utilisées à d’autres fins que la poursuite des objectifs de l’accord.
L’obligation décrite au paragraphe précédent ne s’applique pas aux informations confidentielles qui :
- était déjà accessible au public au moment de la divulgation par la partie divulgatrice ou devient ultérieurement accessible au public sans action de la partie destinataire ;
- était déjà, au moment de la divulgation, en possession légale de la partie destinataire, comme celle-ci peut le démontrer de manière suffisante ; ou
- Après sa divulgation par la partie divulgatrice, la partie destinataire reçoit, sur une base non confidentielle, des informations émanant de tiers.
Les données à caractère personnel sont également considérées comme des informations confidentielles qui ne peuvent être utilisées par le sous-traitant à aucun moment dans l’avenir, même après 10 ans, si ce n’est dans les limites du présent accord.
Article 9 Responsabilite et garanties
Si le sous-traitant est poursuivi par le responsable du traitement pour des dommages résultant du non-respect du présent accord ou du GDPR, la responsabilité du sous-traitant est limitée, sauf en cas de faute intentionnelle, par ensemble d’événements donnant lieu à un litige, au montant effectivement payé au titre de la police d’assurance (cyber) du sous-traitant si les faits sont couverts par celle-ci.
En tout état de cause, si pour une raison quelconque l’assureur ne paie pas, la responsabilité du transformateur est limitée au total des montants facturés par le transformateur au transformateur et payés par le transformateur au cours de l’année précédant les faits à l’origine de cette responsabilité, sauf intention par série d’événements donnant lieu à un litige. Aux fins du calcul de ce montant maximal de responsabilité du sous-traitant, seuls les montants payés pour les produits cloud livrés et les services connexes qui entrent dans le champ d’application de la présente convention en termes de traitement de données impliqué sont pris en compte.
Une série de faits connexes engageant la responsabilité du sous-traitant est considérée, aux fins du présent article, comme un ensemble de faits donnant lieu à un même litige. Dans ce cas, la responsabilité totale du transformateur pour cet ensemble de faits ne peut excéder les montants susmentionnés.
Le transformateur ne peut être tenu responsable de toute forme de dommages indirects tels que, mais sans s’y limiter, l’interruption des activités, la diminution de la clientèle, la perte d’économies, le manque à gagner, la perte de réputation ou toute autre forme de dommages indirects, accessoires ou consécutifs, quelle que soit la nature de l’acte.
L’application de cette disposition est sans préjudice de toute responsabilité du sous-traitant à l’égard de la personne concernée en vertu de l’article 82 du GDPR.
Article 10 Durée, préavis et résiliation
Le présent accord est indissociable de l’accord (des accords) conclu(s) entre les parties et spécifié(s) à l’annexe I, et doit être considéré comme le complétant ou le modifiant, et il prévaut sur tous les autres accords conclus entre les parties. Les parties adapteront le présent accord aux réglementations modifiées ou complétées, aux instructions supplémentaires des autorités compétentes et à l’évolution de l’application de la législation relative à la protection de la vie privée (par exemple, par le biais, mais sans s’y limiter, de la jurisprudence ou des avis de l’autorité chargée de la protection des données ou du Comité européen de la protection des données).
L’accord prend effet à la date du présent document et est conclu pour une durée indéterminée. L’accord peut être dénoncé par chacune des parties par lettre recommandée et moyennant un préavis de 3 mois. Le délai de préavis commence à courir le premier jour du mois suivant l’envoi de la lettre recommandée, le cachet de la poste faisant foi. Si le(s) principal(aux) accord(s) spécifié(s) à l’annexe I n’a (n’ont) pas encore été résilié(s) à la fin du délai de préavis, le délai de préavis est suspendu jusqu’à ce que le(s) accord(s) impliquant le traitement actuel des données à caractère personnel ait (aient) également été résilié(s).
Article 11 Conséquences de la résiliation
En cas de résiliation du présent accord, quelle qu’en soit la forme, le sous-traitant restitue, de sa propre initiative, toutes les données à caractère personnel, que le contenu des supports de données ait été produit ou créé par le sous-traitant, le responsable du traitement ou des tiers, ou donne instruction aux sous-traitants ultérieurs de le faire, dans un délai raisonnable et sous réserve des dispositions du troisième paragraphe.
Dans la mesure où les données à caractère personnel sont conservées ou stockées dans une base de données du sous-traitant ou enregistrées sous une autre forme qui ne peut raisonnablement être mise à la disposition de l’autre partie, le sous-traitant détruit ces données à caractère personnel et/ou demande à son ou ses sous-traitants de faire le nécessaire dans un délai raisonnable, sous réserve des dispositions du troisième paragraphe.
Le sous-traitant doit se conformer pleinement aux obligations contenues dans le présent article dans les trois mois suivant la fin de l’accord. Dans la mesure où des délais spécifiques ont été convenus pour certaines données à caractère personnel, les données à caractère personnel concernées seront supprimées plus tôt et, le cas échéant, déjà au cours de l’accord, conformément aux instructions du contrôleur.
Article 12 Conservation des données à caractère personnel
Le sous-traitant conserve les données à caractère personnel pendant une durée n’excédant pas celle nécessaire à l’exécution de la tâche pour laquelle elles sont mises à disposition. Si les données à caractère personnel ne sont plus nécessaires par la suite, le sous-traitant les échange de manière adéquate et les supprime définitivement, ou renvoie les supports de données au responsable du traitement, sous réserve de ce qui est stipulé à l’article 11.
Cette disposition s’applique également aux supports d’information sur lesquels la copie ou la sauvegarde a été conservée conformément à l’article 6.5 de l’accord.
Cette disposition s’applique également à tout sous-traitant secondaire sur lequel le sous-traitant s’appuierait.
Article 13 Contrôle par le responsable du traitement des données
Le responsable du traitement a le droit de vérifier le respect de l’accord, si nécessaire par l’intervention d’un auditeur agréé. À cette fin, il peut, sur rendez-vous pris au moins deux semaines avant la visite, se rendre sur place dans les locaux ou les lieux où le sous-traitant ou les sous-traitants ultérieurs effectuent le traitement des données et/ou conservent les copies ou les sauvegardes et y inspecter tous les documents utiles et nécessaires, sur demande, pour s’assurer que le traitement effectué par le sous-traitant ou le sous-traitant ultérieur est conforme aux dispositions du présent accord et aux dispositions du GDPR. Le sous-traitant peut faire de la signature d’une déclaration ou d’un accord de confidentialité une condition d’accès à ses locaux ou à d’autres locaux, en ce qui concerne les personnes chargées de cette tâche par le responsable du traitement.
Les coûts de l’audit sont pris en charge par le responsable du traitement et, en ce qui concerne le sous-traitant, font partie du temps d’assistance disponible ou de la direction si aucun temps d’assistance supplémentaire n’est prévu dans le contrat.
Les coûts de cet audit seront supportés par le sous-traitant s’il s’avère que le sous-traitant commet des infractions graves au présent accord ou viole manifestement les instructions du responsable du traitement.
Le sous-traitant met également à la disposition du responsable du traitement, sur demande, les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent accord.
Article 14 Sécurité
Le sous-traitant s’engage à prendre les mesures techniques et organisationnelles appropriées pour sécuriser les données à caractère personnel et leur traitement, au minimum conformément aux normes industrielles.
Le sous-traitant s’engage à prendre les mesures nécessaires pour limiter l’accès aux données à caractère personnel aux employés du sous-traitant qui ont besoin d’accéder à ces données à caractère personnel pour exécuter l’accord.
Si le sous-traitant fait appel à des sous-traitants secondaires pour l’exécution de l’accord, le sous-traitant garantit qu’il a conclu avec ces sous-traitants secondaires un accord contenant au minimum les garanties et obligations découlant du présent accord.
Article 15 Sous-traitants
Le sous-traitant est autorisé à nommer ou à remplacer des sous-traitants secondaires aux fins de l’exécution des activités de traitement qui font l’objet du présent accord. À cette fin, le contrôleur accorde par la présente un consentement général écrit au sous-traitant. Dans ce cas, le sous-traitant notifie le contrôleur avant la nomination ou le remplacement du sous-traitant secondaire, et le contrôleur a la possibilité de s’opposer à la nomination dans le délai raisonnable notifié par le sous-traitant.
Si le sous-traitant souhaite faire appel à un sous-traitant ultérieur au sens du présent article, le sous-traitant s’engage à conclure un accord écrit avec ce sous-traitant ultérieur qui, au minimum, inclut les garanties et obligations découlant du présent accord.
Le sous-traitant tient un registre actualisé des sous-traitants secondaires qu’il a engagés, dans lequel figurent notamment l’identité, le lieu d’activité et une description des activités des sous-traitants secondaires, ainsi que toute condition supplémentaire imposée par le responsable du traitement. Ce registre sera ajouté au présent accord en tant qu’annexe 3 et sera tenu à jour par le sous-traitant. Cette Annexe 3 inclura également les Sous-Traitants engagés depuis le début de l’Accord.
Article 16 Dispositions diverses
16.1
L’accord contient l’intégralité de l’accord entre les parties concernant son objet et remplace tous les accords écrits et oraux antérieurs à cet égard.
16.2
Si une ou plusieurs dispositions de l’accord sont déclarées nulles ou inapplicables, la légalité, la validité et le caractère exécutoire des autres dispositions de l’accord et de l’accord dans son ensemble, dans la mesure où elles ont encore un effet ou une raison d’être, n’en seront pas affectées.
Les parties s’engagent, dans la mesure où cela est juridiquement possible, à remplacer les dispositions invalides par une nouvelle disposition conforme aux objectifs et aux choix du présent accord.
16.3
Aucune des parties ne peut céder à des tiers les droits que lui confère le présent accord sans l’accord écrit préalable de l’autre partie. Les ajustements ou modifications du présent accord ne peuvent avoir lieu que s’ils sont acceptés et signés par écrit par les deux parties.
Article 17 Fuites de données
En cas de découverte d’une fuite de données, le sous-traitant informe le responsable du traitement par téléphone, dans les meilleurs délais et au plus tard dans les 48 heures suivant la découverte, avec une confirmation écrite immédiate via les coordonnées (le numéro de téléphone et l’adresse électronique, respectivement) du DPD ou du contact permanent GDPR du responsable du traitement, comme indiqué à l’article 3 de l’accord. En aucun cas le Processeur n’informera lui-même les Personnes concernées de cette fuite de données, sans préjudice de l’obligation d’annuler ou d’atténuer les conséquences de ces violations et incidents dans les meilleurs délais.
En outre, le sous-traitant fournit, à la première demande du sous-traitant, toute information que le sous-traitant juge nécessaire pour évaluer l’incident.
Après la découverte d’une fuite de données, le sous-traitant s’engage à tenir le responsable du traitement informé des mesures prises pour limiter l’ampleur de la fuite de données ou pour l’éviter à l’avenir.
Le sous-traitant dispose d’un plan d’action complet concernant la gestion et le traitement des violations de données et fournit au responsable du traitement l’accès à ce plan sur demande. Le sous-traitant informe le responsable du traitement de toute modification importante du plan d’action.
Le sous-traitant laisse au responsable du traitement le soin d’effectuer les notifications au(x) régulateur(s).
Le sous-traitant apporte toute la coopération nécessaire pour fournir des informations supplémentaires au(x) contrôleur(s) et/ou à la (aux) personne(s) concernée(s), si nécessaire, dans les meilleurs délais. Ce faisant, le sous-traitant fournit en tout état de cause les informations décrites à l’annexe 2 au responsable du traitement.
Le sous-traitant tient un registre détaillé de toutes les fuites de données (présumées), ainsi que des mesures prises à la suite de ces fuites, contenant au moins les informations visées à l’annexe 2, et le met à disposition pour inspection à la première demande du responsable du traitement.
Article 18 Exportation de données à caractère personnel
Le sous-traitant s’engage à ne pas transférer les données à caractère personnel à un pays tiers ou à une organisation internationale autrement que conformément à l’article 6.2 de l’accord, à moins qu’une disposition du droit de l’Union ou d’un État membre applicable au sous-traitant ne l’y oblige ; dans ce cas, le sous-traitant notifie au responsable du traitement cette exigence légale avant le traitement, à moins que ce droit n’interdise une telle notification pour des raisons importantes d’intérêt public.
Article 19 Aide
Le sous-traitant aide le responsable du traitement à s’acquitter de ses obligations en vertu du GDPR. Le sous-traitant fournit une assistance au responsable du traitement dans le cadre de la réalisation d’une analyse d’impact relative à la protection des données conformément aux articles 35 et 36 du GDPR.
Article 20 Droit applicable et litiges
Le présent accord est à tous égards régi, interprété et interprète conformément au droit belge.
Les litiges relatifs à l’exécution ou à l’interprétation de l’accord sont exclusivement soumis aux tribunaux territorialement compétents pour le siège social du transformateur.
Annexe 1 : Détails des activités de traitement
Description : Logiciel d’évaluation
Les catégories de données à caractère personnel suivantes sont traitées en tant que sous-traitants :
- Utilisateurs du logiciel
- Administrateur
- Utilisateurs de l’organisation
- Participants à l’évaluation
Contenu des données
Les données spécifiques à saisir dans l’outil et les questions posées sont entièrement sous le contrôle du sous-traitant. Le sous-traitant s’assure que les données sont traitées correctement pour réaliser l’évaluation.
Si des données à caractère personnel particulières sont traitées, le responsable du traitement doit en informer explicitement le sous-traitant.
| Données personnelles | Catégorie de données à caractère personnel | Finalité du traitement |
|---|---|---|
| Coordonnées : nom, adresse électronique | Coordonnées de la personne à contacter | Identification de l'utilisateur |
| Données personnelles | Données d'utilisation saisies dans l'outil | Participation à l'évaluation, à l'identification |
| Questions et réponses | Données d'évaluation | Faire une évaluation |
| Statistiques sur les utilisateurs | Statistiques, données comportementales sur la plateforme | Statistiques, suivi des utilisateurs |
| Vidéo, son, images | Les médias | Contrôle de l'utilisateur |
| Données de connexion sur la plateforme | données de connexion | Se connecter à la plateforme |
Annexe 2 : Aperçu des renseignements sur les incidents
Le sous-traitant fournit en tout état de cause les informations suivantes au contrôleur en cas de fuite (potentielle) de données affectant les données à caractère personnel du contrôleur (si nécessaire, en plusieurs communications) :
- Quelle est la cause (présumée) de la violation ;
- Quelles sont les conséquences (encore connues et/ou attendues) ;
- Quelle est la solution (proposée) ;
- les coordonnées des personnes à contacter pour le suivi du rapport ;
- le nombre de personnes dont les données à caractère personnel sont concernées par la violation (si aucun nombre exact n’est connu : le nombre minimum et maximum de personnes dont les données à caractère personnel peuvent être concernées par la violation) ;
- Une description du groupe de personnes dont les données à caractère personnel sont affectées par la violation ;
- Le(s) type(s) de données à caractère personnel concerné(s) par la violation ;
- la date à laquelle la violation (potentielle) s’est produite (approximative si la date exacte n’est pas connue) ;
- la période au cours de laquelle la violation a été commise ;
- la date et l’heure auxquelles le sous-traitant ou tout soustraitant engagé par lui a eu connaissance de la violation ;
- si les données ont été cryptées, hachées ou rendues inintelligibles ou inaccessibles à des personnes non autorisées ;
- les mesures qui ont déjà été prises pour mettre fin à la violation et pour en atténuer les conséquences, ainsi que les mesures qui seront encore prises ou qui sont à l’étude.
Annexe 3 : Aperçu des sous-traitants secondaires
| Sous-processeur 1 : | Cronos |
|---|---|
| Description des opérations | Hébergement de la plateforme |
| Lieu de traitement | L'UE |
| Données personnelles traitées | Données sur la plate-forme |
| Sous-processeur 2 : | Sendgrid |
|---|---|
| Description des opérations | Envoi de communications à partir de la plate-forme |
| Lieu de traitement | Société américaine - conformité au cadre de protection de la vie privée - certification ISO27001 - règles d'entreprise contraignantes https://www.twilio.com/en-us/gdpr |
| Données personnelles traitées | adresse électronique |
| Sous-processeur 3 : | Proctorexam |
|---|---|
| Description des opérations | Service de contrôle - identification, contrôle des abus - soutien |
| Lieu de traitement | L'UE |
| Données personnelles traitées | Données d'identification, enregistrement vidéo, photo, audio |