Accord RGPD entre :

QUALIPSO whose registered office is established Rue André Dumont n°9 Box 1 1435 Mont Saint-Guibert represented by Mister De Dorlodot Benoît  

Ici, après dénommés " le partenaire " et " le client "

The partner acts as a service provider for the customer. As part of this assignment, the  partner has access to the customer's personal data, which always bears the final  responsibility as controller. By the present contract of subcontracting, the parties aim at  regulating the terms and conventions relating to this treatment. 

Article 1 er - Définitions et concepts

In the context of this contract, the following concepts have the following meaning: 

· GDPR : Règlement général sur la protection des données Protection Regulation ( EU Regulation 2016/679) ;  ;

- Violation de données : violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou stockées, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès non autorisé à ces données stockées ou traitées d'une autre manière, ou l'accès non autorisé à ces données ;

- Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable identifiée ou identifiable (ci-après dénommée " personne concernée ") que le partenaire traite dans le cadre du présent contrat. Une personne physique identifiable est celle qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques, spécifiques, propres à son identité physique, physiologique, génétique, psychique, économique, culturelle économique, culturelle ou sociale ;

- Traitement : toute toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliqués à des données à caractère personnel, tels que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, consultation, utilisation, communication

- par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

- Responsable du traitement du traitement : personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le traitement tout autre organisme qui, seul ou conjointement avec d'autres, détermine les les finalités et les moyens du traitement des données à caractère personnel. Dans le cadre de ce contrat, le client est considéré comme responsable du traitement ;

- Partenaire : personne physique personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

- Personne concernée : personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel données à caractère personnel ;

· Accord RGPD : le présent contrat de sous-traitance, y compris ses annexes.  ;

Article 2 - Conclusion, durée et résiliation du contrat de sous-traitance Conclusion, durée et résiliation du contrat de sous-traitance

Après la fin de cet accord, les obligations de notification des fuites de données et de confidentialité seront maintenues, dans la mesure où elles concernent le personnel de l'entreprise données et de confidentialité seront maintenues, dans la mesure où elles concernent des les données personnelles traitées par le partenaire pour le compte du client.

Article 3 - Traitement des données à caractère personnel Traitement des données à caractère personnel

3.1. Dans le cadre de l'engagement entre les parties et dans le contexte du gDPR, le client agit en tant que responsable du traitement et themis-security agit en tant que partenaire.

3.2. As controller within the meaning of Paragraph 4 (7) of the RGPD, the customer retains  full control over his personal data and determines the purpose, nature, purpose, means and  duration of the processing. personal data by the partner under this contract.  3.3. The partner, within the meaning of Paragraph 4 (8) of the RGPD, processes the personal  data entrusted to him by and on the instructions of the client as part of the services the  client receives in accordance with the collaboration agreement concluded between  them. 

3.4. Lorsqu'ils traitent des données à caractère personnel, le partenaire et le client agissent en conformité avec les dispositions légales et réglementaires relatives à la protection des données protection des données personnelles, y compris celles du RGPD. Le fait que le client agisse également en tant que partenaire d'un tiers responsable du traitement, n'enlève rien au contrôle et à la responsabilité du contrôle et la responsabilité du client sur les données personnelles dans le cadre de ce contrat.

3.5. La nature des données traitées et les finalités du traitement sont décrites à l'ANNEXE 1 du présent contrat. Le client doit également s'assurer que seules les données à caractère personnel strictement nécessaires aux finalités décrites à l'annexe 1 sont fournies et qu'elles sont traitées de manière sécurisée de manière sécurisée.

Article 4 - Efforts des partenaires

4 .1. Le partenaire s'efforcera raisonnablement de traiter avec le plus grand soin et la plus grande loyauté les données à caractère personnel qui lui sont confiées par le client et s'y conformera avec le plus grand soin et la plus grande loyauté les données à caractère personnel qui lui sont confiées par le client et le fera conformément aux instructions du client telles que décrites dans le présent document conformément aux instructions du Client telles que décrites dans le présent contrat Accord.

4 .2. Le partenaire s'engage également à traiter les données à caractère personnel de manière confidentielle.

4 .3. Unless otherwise provided for in this contract and unless otherwise required by law in  the performance of its duties, the partner will not process personal data for its own  purposes or those of third parties, will not provide them for third parties and will not send  them to a country outside the EEA without having received written instructions from the  client to that effect. If a legal or regulatory provision applying to the partner or a compulsory  decision by the public authorities or a judicial authority forces the partner to such treatment,  the customer will be notified in advance, unless this provision prohibits such a notification  for reasons of general interest.  

Article 5 - Client garanties

5 .1. The customer guarantees that his instructions to the partner comply with the data  protection laws and regulations, which he applies fully and correctly, as well as with the instructions that have been provided by the controller to the customer if the latter does not  act himself as controller.  

5 .2. Le client garantit en outre que toutes les données personnelles confiées au au partenaire ont été obtenues de manière licite et peuvent être traitées de manière licite pendant toute la durée du contrat pendant toute la durée du contrat. Le client préserve entièrement le partenaire contre toute réclamation, action ou revendication de la part des personnes concernées, de tiers, d'autorités et du responsable du traitement si le client est en désaccord avec les règles de confidentialité et de protection des données tiers, des autorités et du contrôleur si le client agit en tant que partenaire, ainsi que ainsi que contre tout dommage qui pourrait en résulter pour le client. partenaire, y compris amendes (administratives) en principal, intérêts et frais frais.

5 .3. Si l'associé constate que les instructions du client violent la législation sur la protection des données protection des données, il est tenu d'en informer le client sans délai d'en informer le client sans délai, le partenaire étant alors en droit de décider de ne pas effectuer et/ou de suspendre le traitement.

Article 6 - Recours à des tiers

6 .1. Le partenaire n'est pas autorisé à faire appel à des tiers pour le traitement des données personnelles du client sans l'accord écrit préalable de ce dernier ce dernier. Si le client donne son accord, le partenaire s'assurera que les tiers concernés assurent un niveau de protection des données équivalent équivalent à celui imposé au partenaire par le présent contrat 

6 .2. The partner will also not use third parties outside the EEA for the processing of personal data,  except with the prior written consent of the customer. Without prejudice to the preceding  paragraph, the partner guarantees that the third parties concerned will ensure an appropriate level  of protection and security of personal data within the meaning of the GDPR and will provide the  necessary information to the client upon written request by the latter.  

6 .3. Consent as referred to in the preceding paragraphs will not be refused by the client without  reasonable cause. In case of refusal, the partner reserves the right, if necessary, to suspend the  present contract, to terminate it and / or to propose modifications to its terms without being liable  to any compensation to the customer. 

6.4 Le partenaire informe le client, conformément à l'article 8 et dans la mesure où cette information est disponible, de toute fuite de données constatée dans le cadre de l'utilisation du système dans la mesure où cette information est disponible, de toute fuite de données trouvée chez un tiers à laquelle le partenaire a fait appel, sans retard injustifié et en respectant les règles de confidentialité un tiers auquel le partenaire a fait appel, sans retard injustifié et dès que le partenaire en a connaissance dès que le partenaire en a connaissance.

Article 7 - Sécurité et obligation de confidentialité Sécurité et obligation de confidentialité

7 .1. Le partenaire est tenu à la confidentialité des données à caractère personnel reçues du client, à moins et dans la mesure où une obligation légale l'oblige à les publier ou si cette publication a lieu dans le cadre d'un projet de développement l'oblige à les publier ou si cette publication a lieu sur ordre du client sur ordre du client. 

7 .2. Le partenaire prend, avec toute la diligence requise, les mesures techniques et techniques et organisationnelles appropriées pour protéger les données personnelles fournies par le client contre toute perte ou autre forme d'accès ou de traitement illicite. Ces mesures assureront un niveau de protection adéquat en tenant compte de l'état de l'art et de la technologie l'état de la technique et des coûts liés à leur mise en œuvre, ainsi que ainsi que des risques inhérents au traitement des données à caractère personnel et de leur nature nature.

7 .3. The partner will also ensure that its staff involved in the processing of personal data is  aware of the obligations it has assumed under this contract and is required to comply with  them. This provision will be concretized by a declaration of confidentiality annexed to the  employment contract and / or work rules, internal policies and regular information of the  staff.  

7 .4. If the customer can conclusively demonstrate a partner's failure to take such  appropriate technical and organizational measures, then the failure to take such measures  within a reasonable period of time set by the customer, the latter is authorized to terminate  contract of collaboration and / or to terminate the subcontracting assignment, without  prejudice to its other rights under the law and / or this contract.  

7 .5. The partner agrees, as far as possible and for reasonable compensation, to assist the  client in fulfilling his obligations related to data protection impact assessments and data  leakage treatment.  

Article 8 - Treatment of data leaks 

8 .1. Le partenaire notifiera au client, de manière détaillée, toute fuite de données données qui s'est produite chez lui et qui lui est imputable, et ce, au plus tard au plus tard dans les 72 heures après en avoir pris connaissance. 

Le partenaire fournira au client, de sa propre initiative, toutes les informations disponibles sur la fuite de données, y compris la nature et l'étendue des données personnelles, une estimation du nombre de personnes concernées et les mesures de sécurité prévues.

8 .2. Le client ou le responsable du traitement au nom duquel le client agit peut, dans certaines circonstances, être tenu de notifier la fuite de données à l'autorité belge de contrôle dans certaines circonstances, être tenu de notifier la fuite de données à l'autorité de contrôle belge ou aux personnes concernées l'autorité de contrôle belge ou aux personnes concernées. Le partenaire ne procédera en en aucun cas à la notification d'une violation de données à l'autorité de contrôle ou aux personnes concernées de contrôle ou aux personnes concernées.

8 .3. The partner will provide the client with all reasonable and required collaboration that  may enable them to have an idea of the severity and (potential) consequences of the  observed data leak. In particular, the partner will provide the client with all information  (provided it is available) submitted by the client as necessary for the assessment of the  situation or to be communicated to the supervisory authority or to the persons concerned,  unless the law does not allow it.  

Article 9 - Durée de conservation et suppression des données à caractère personnel Période de conservation et suppression des données à caractère personnel

9 .1. After the expiry of the legal retention periods or, failing that, the time required to  perform the assignment, the partner will scrupulously destroy the personal data that he has  processed in the framework of the collaboration agreement, provided that no obligation  legal obligation on the partner to keep certain personal data for a specified period.  

9 .2. Upon explicit and written request from the customer, the personal data can be  returned to the customer at the expiration of the retention period. The partner may  derogate from the deletion of the data provided that it is essential to prove compliance with  its obligations towards the customer, or in case of a legal obligation or a compulsory decision  of the public authorities or a judicial authority. The return and / or destruction of personal  data, as defined in this article, may give rise to reasonable compensation for the client's  dependent partner, the terms to be agreed. 

Article 1 0 - Droits des personnes concernées

Dans la mesure où l'obligation du client de répondre aux demandes des personnes concernées dans le but d'exercer leurs droits, comme le prévoit le chapitre III du GDPR, et si le client ne dispose pas lui-même de cette possibilité pas lui-même de cette possibilité, le partenaire procédera, à la demande du à la demande écrite du client et avec tout le soin requis, aux opérations suivantes opérations suivantes :

1. Providing in writing all the information required, as far as it is available; and  2. Correction, updating, deletion, transfer or limitation of personal data, in  accordance with the instructions of the customer, and as far as reasonably possible  and within a reasonable time.  

Article 1 1 - Responsabilité

1 1 .1. En cas de preuve d'un manquement imputable au partenaire en ce qui concerne le respect du présent contrat, le partenaire sera exclusivement responsable des sera exclusivement responsable des dommages directs, prouvés et certains, subis par le client, à condition que le client ait mis, à l'avance et par écrit, le partenaire à respecter ses obligations et lui a donné un délai raisonnable de temps raisonnable pour le faire. 

1 1 .2. The liability of the partner under this contract includes only compensation for direct  damages, the damages that are the direct and immediate consequence of any fault  attributable to the partner in the performance of this contract.  

Article 1 2 - Dispositions diverses

1 2 .1. Le client a toujours le droit, sous réserve du respect de l'obligation de l'obligation de confidentialité prévue dans le contrat de collaboration, de contrôler lui-même le respect par le partenaire de ce contrat en demandant au au partenaire des informations prouvant que celui-ci respecte les obligations prévues par ce contrat obligations prévues par ce contrat.

1 2 .2. This control cannot in any way compromise the continuity of the services of the  partner.  

1 2 .3. Changes to this contract are only valid if agreed in writing between the parties. This  provision does not apply to (i) any changes and / or updates made by the Partner regarding  the measures and procedures described in Annex 2 in order to continue to fulfill its  obligations under this contract and (ii) any necessary changes to meet the legal obligations of the partner or the binding decisions of the public authorities or a judicial authority.  

1 2 .4 Le présent contrat est exclusivement régi par le droit belge. Les tribunaux suivants les tribunaux suivants sont les seuls compétents en cas de litige:

NIVELLES Cour

Annexe 1: Nature des données à caractère personnel traitées et finalité du traitement du traitement

Description of the personal data processed by the partner under the contract and related purposes TYPE OF PERSONAL DATA PURPOSE OF THE TREATMENT 

Données d'identification personnelle

Nom, prénom nom, adresse, téléphone

Electronic identification data : 

Email

Hosting of data customers related to our applications  Hosting of data customers related to our applications  

Photo: Photo

Hosting of data customers related to our applications

Annexe 2 : Aperçu des mesures de sécurité

Cette annexe donne un aperçu des mesures de sécurité que le partenaire doit au moins prendre prendre.

Le partenaire s'efforce de prendre toutes les mesures techniques et organisationnelles appropriées et raisonnables pour s'assurer que les données personnelles qui lui sont confiées sont exactes et complètes raisonnables pour que les données personnelles qui lui sont confiées ne fassent pas l'objet d'une ne fassent pas l'objet d'une perte ou d'un traitement illicite et ne soient surtout pas ne soient pas accessibles à des personnes non autorisées ;

Liste de contrôle des des mesures de sécurité technique :

o Utilisation d'un antivirus mis à jour ;

o Installation d'un pare-feu ;

o Utilisation d'une politique stricte en matière de mots de passe (c'est-à-dire des codes de connexion uniques et des mots de passe personnels) mots de passe personnels);

o Sauvegardes sécurisées systématiques pour protéger contre la perte de données; 

o Protection de l'accès physique aux données à caractère personnel pour les personnes qui ne devraient pas y avoir accès en raison de leurs tâches pas y avoir accès en raison de leurs tâches; o l'enregistrement des activités liées au traitement des données à caractère personnel;

o Pas d'utilisation de disques durs non sécurisés;

Liste de contrôle des mesures organisationnelles :

o Politique générale d'information du personnel sur la protection de la vie privée la vie privée;

o Établissement d'une politique interne et de lignes directrices concernant la gestion confidentielle des données à caractère personnel; o Établissement de procédures internes en cas de gestion confidentielle des données personnelles; o Mise en place de procédures internes en cas d'incidents d'incidents (fuite de données ...);

o Application de systèmes d'enregistrement et d'identification systèmes d'enregistrement et d'identification des personnes pour l'accès aux bâtiments, afin de garantir que les personnes non autorisées n'aient pas accès aux locaux de l'entreprise entreprise;

o Application d'un code de conduite général concernant l'utilisation consciencieuse du matériel informatique (ordinateurs portables, smartphones, clés USB, etc clés USB, etc.) et d'autres moyens de production;

o Use of a clean desk policy to protect confidential data from the eyes of unauthorized persons;