Réglementation Européene sur la protection des données (RGPD)
Définitions
Sous-traitant: GOVR SPRL – identifié à la BCE sous le numéro 0675.970.531
Responsable du Traitement: Chaque client du sous-traitant, individuellement
Relation Contractuelle: le contrat principal entre le sous-traitant et le Responsable du Traitement définissant la livraison des services et / ou des produits ou la collaboration entre eux, y compris toutes ses modifications et annexes et tout ce qui est convenu ultérieurement entre les Parties.
GoVR, en sa qualité de sous-traitant, s’engage à respecter les obligations suivantes
Article 1: Traitement des Données
Le Sous-traitant s’engage à Traiter les Données conformément aux instructions écrites du Responsable du Traitement contenues dans la Relation Contractuelle éventuelle ou lors de toute communication officielle du Responsable de Traitement.
Si le Sous-traitant considère raisonnablement qu’une instruction constitue une violation du GDPR ou d’autres dispositions du droit de l’Union européenne ou du droit des états membres relatives à la Protection des Données (« Instruction Contestée »), il en informe immédiatement le Responsable du Traitement.
En cas d’une telle notification, le Sous-traitant est autorisé à suspendre l’exécution de ladite Instruction Contestée et de continuer à Traiter les Données à Caractère Personnel conformément aux instructions reçues précédemment. Le Responsable du Traitement n’aura pas droit, pour cela, à une indemnisation ou dédommagement.
Si le Sous-traitant est tenu en vertu du droit de l’Union européenne ou du droit de l’état membre auquel il est soumis de procéder à des transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, il informe le Responsable du Traitement de cette obligation légale avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
Article 2 : Confidentialité
Le Sous-traitant s’engage à garantir la confidentialité des Données à Caractère Personnel Traitées dans le cadre de la Relation Contractuelle entre les Parties.
A cette fin, l’accès aux Données à Caractère Personnel est strictement limité aux personnes qui, dans le cadre de l’exécution de Relation Contractuelle entre les Parties, doivent y avoir accès ou en avoir connaissance.
L’obligation de confidentialité reste en vigueur après la cessation de la Relation Contractuelle entre les Parties.
Article 3 : Personnes autorisées
Le Sous-traitant s’engage à ce que les personnes autorisées à Traiter les Données à Caractère Personnel :
■ s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
■ soient sensibilisées / formées en matière de protection des Données à Caractère Personnel
Article 4 : Mesures Techniques et Organisationnelles
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre les Mesures Techniques et Organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Ces Mesures Techniques et Organisationnelles reprendront, inter alia et le cas échéant, la liste des mesures de sécurité minimales applicables reprise plus bas.
Article 5: Sous-traitance Ultérieure
Le Sous-traitant est autorisé à faire appel à un autre Sous-traitant (ci-après le Sous-traitant Ultérieur). Par la Relation Contractuelle ou assimilée, le Responsable de Traitement accorde, en effet, au Sous-traitant l’autorisation générale de recruter des Sous-traitants Ultérieurs.
Le Sous-traitant peut continuer à travailler avec les Sous-traitants ultérieurs qui avaient déjà été désignés à la date de prise d’effet du DPA à condition de répondre dans les plus brefs délais aux conditions suivantes.
Ces conditions s’appliquent à toute Sous-traitance Ultérieure :
■ Le Sous-traitant doit s’assurer au préalable que le Sous-traitant Ultérieur présente des garanties suffisantes quant à la mise en œuvre de Mesures Techniques et Organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du GDPR.
■ Le Sous-traitant impose contractuellement au Sous-traitant Ultérieur les mêmes obligations en matière de protection des Données que celles fixées dans l’article 4.
Dans le cadre de cette autorisation générale, le Sous-traitant s’engage à informer le Responsable du Traitement au moins deux (2) semaines à l’avance des changements envisagés au sujet de l’ajout ou du remplacement de Sous-traitants Ultérieurs donnant la possibilité au Responsable du Traitement d’émettre ses objections éventuelles (sur base de motifs raisonnables) quant à ces changements. Des objections irraisonnables et invalides sont, entre autre, mais non limitées à, des objections non-documentées. Des objections raisonnables et valides sont, entre autre, mais non limitées à, des situations dans lesquelles le Responsable du Traitement a émis des objections documentées par rapport à la capacité du Sous-traitant de protéger des Données à caractère Personnel et d’en garantir la confidentialité. Afin d’être valable, les objections doivent être émises avant l’expiration de la moitié du délai de notification.
Le Sous-traitant veillera à fournir une réponse motivée aux objections (documentées et valables) formulées.
Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de Protection des Données, le Sous-traitant demeure pleinement responsable devant le Responsable du Traitement de l’exécution par l’autre Sous-Traitant de ses obligations.
Article 6: Droits des Personnes Concernées
Il appartient au Responsable du Traitement de fournir aux personnes concernées les informations prévues par rapport à leurs droits (chapitre III du GDPR).
Dans la mesure du possible, en tenant compte de la nature du Traitement, et au moyen de Mesures Techniques et Organisationnelles appropriées, le Sous-traitant fournira toute l’aide raisonnable pour permettre au Responsable du Traitement de remplir son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
Article 7 : Aide au Responsable de Traitement en matière d’analyse d’impact et de consultation préalable
Le Sous-traitant aide le Responsable du Traitement à garantir le respect des obligations qui lui incombe en la matière d’analyse d’impact et de consultation préalable (articles 35 à 36 du GDPR), compte tenu de la nature du Traitement et des informations à la disposition du Sous-traitant (sauf si cette information est déjà à la disposition du Responsable du Traitement)rnira toute l’aide raisonnable pour permettre au Responsable du Traitement de remplir son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
Article 8: Violation de Données à Caractère Personnel
Le Sous-traitant notifiera au Responsable du Traitement toute Violation de Données à Caractère Personnel aussi vite que possible après en avoir pris connaissance et ce sans retard excessif Cette notification sera accompagnée, dans la mesure du possible, de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette Violation à l’Autorité de contrôle compétente.
Article 9 : Suppression ou restitution des Données à caractère personnel
Le Sous-traitant supprimera ou fera supprimer (par les Sous-traitants Ultérieurs) toutes les copies des Données à Caractère Personnel du Responsable du Traitement, dans les meilleurs délais et, en tout cas, dans les 12 mois à compter de la date à laquelle la prestation de service relative au Traitement des Données à Caractère Personnel a pris fin (Date de fin). Le Responsable du Traitement est libre d’exiger à son gré, au moyen d’une notification écrite en ce sens au Sous-traitant dans les 15 jours qui suivent la Date de fin que le Sous-traitant lui restitue une copie complète de toutes les Données à Caractère Personnel.
Le Sous-traitant répondra à toute requête écrite de cette nature dans les meilleurs délais et au plus tard dans les 3 mois suivant la Date de fin.
Si en vertu du droit de l’Union européenne ou du droit de l’état membre, le Sous-Traitant est tenu de conserver, pour une période imposée, les Données à Caractère Personnel du Responsable du Traitement, les délais indiqués ci-dessus ne commenceront à courir qu’à la fin de la période imposée. Dans ce cas, le Sous-traitant garantira la confidentialité de ces Données à Caractère Personnel et veillera à ce que ces Données à Caractère Personnel du Responsable du Traitement soient Traitées exclusivement aux fins spécifiées dans les législations qui imposent de les conserver.
Article 10 : Documentation et droits d’audit
A la demande du Responsable du Traitement, le Sous-traitant mettra à disposition toutes les informations nécessaires afin de démontrer le respect de la présente DPA, et pour permettre la réalisation d’audit ou d’inspections par le Responsable du Traitement lui-même ou par un auditeur qu’il a mandaté à cet effet.
Le Sous-traitant aura droit à une indemnisation du Responsable du Traitement pour la communication et la mise à disposition des informations nécessaires.
Toute demande d’audit devra être formulée par écrit au minimum 15 jours ouvrables à l’avance par le Responsable du Traitement.
L’audit n’aura lieu que pendant les heures de travail et sans perturber substantiellement les activités opérationnelles du Sous-traitant. Les audits seront facturés au taux journalier de 1.000,00 € (TVA non comprise)
Détails du traitement des données à caractère personnel du contractant
La présente page contient certaines précisions à propos du Traitement des Données à Caractère Personnel du Responsable du Traitement, telles qu’elles sont stipulées par l’article 28(3) du GDPR.
Objet et durée du Traitement des Données à Caractère Personnel du Responsable du Traitement
L’objet et la durée du Traitement des Données à Caractère Personnel du Responsable du Traitement sont décrits dans la Relation Contractuelle et la présente annexe.
La nature et l’objet (finalité) du Traitement des Données à Caractère Personnel du Responsable du Traitement
Conformément aux dispositions légales et réglementaires et aux instructions du Client, les données à caractère personnel sont utilisées par Fix-IT, en sa qualité de sous-traitant, afin d’offrir de l’assistance technique informatique.
Les types de Données à Caractère Personnel du Responsable du Traitement
Les données d’identification personnelles, les heures de présence
Les catégories d’Intéressés auxquelles se rapportent les Données à Caractère Personnel du Responsable du Traitement
Le personnel occupé par le responsable de traitement
Mesure de sécurité minimales applicables
1. Police de sécurité
Le sous-traitant dispose de police et de procédures de sécurité. Celles-ci sont revues périodiquement, mises à jour et communiquées au personnel et aux tiers autorisés.
2. Organisation de la sécurité
Les responsabilités en matière de sécurité sont définies et attribuées chez le sous-traitant
3.Ressources Humaines
Les collaborateurs internes et externes du sous-traitant sont sensibilisés à la sécurité de l’information et des données à caractère personnel en particulier
4. Gestion des actifs
Le sous-traitant dispose d’un inventaire des actifs régulièrement mis à jour. Les règles d’utilisation de ces actifs sont définies et clairement communiquées
5. Sécurité physique et environnementale
Les locaux du sous-traitant où se trouvent les informations, les données ainsi que leurs dispositifs de traitement disposent d’un accès sécurisé.
6. Sécurité Opérationnelle
Le sous-traitant met en place des mesures anti-virus et anti-malware afin prévenir toute altération ou vols de donnée à l’aide de logiciels malveillants. Ces protections sont régulièrement mises à jour.
Le sous-traitant dispose d’un processus pour la gestion des demandes d’accès
L’accès des collaborateurs est limité aux informations nécessaires à l’exercice de leur fonction Les droits d’administrateur sur les systèmes sont strictement limités aux personnes indispensables.
Le sous-traitant dispose d’une politique en matière de mot de passe (incl. Caractères spéciaux, longueur minimum, changement régulier)
Le sous-traitant a en place une politique de Backup qui permet la restauration des données en cas de besoin (perte, dommage, vol, ..).
L’utilisation des médias de stockage (USB, disque dur externe, ..) est réglementé.
7. Sécurité des communications
Le sous-traitant utilise des mesures de sécurité pour protéger les transferts d’information en utilisant des protocoles sécurisés.
8. Gestion des incidents
Le sous-traitant dispose d’une procédure de gestion des incidents documentée et communiquée au personnel et aux tiers autorisés.
9. Continuité
Le sous-traitant limite les risques de panne des systèmes par une bonne maintenance et par la redondance.