Accord RGPD entre:

QUALIPSO dont le siège social est établi Rue André Dumont n° 9 Box 1 à 1435 Mont-Saint-Guibert et représentée par M. Benoît De Dorlodot

Ci-après dénommés " le partenaire " et " le client "

Le partenaire agit en tant que prestataire de services pour le client. Dans le cadre de cette mission, le partenaire a accès aux données à caractère personnel du client, qui est toujours assume toujours la responsabilité finale en tant que responsable du traitement. Par le présent contrat de sous-traitance, les parties visent à réglementer les termes et conventions conventions relatives à ce traitement.

Article 1 er - Définitions et concepts

Dans le cadre du présent contrat, les concepts suivants concepts suivants ont la signification suivante :

· GDPR : Règlement général sur la protection des données Protection Regulation ( EU Regulation 2016/679) ;  ;

- Violation de données : violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, conservées ou stockées, la perte, l'altération ou la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès non autorisé à ces données stockées ou traitées d'une autre manière, ou l'accès non autorisé à ces données ;

- Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable identifiée ou identifiable (ci-après dénommée " personne concernée ") que le partenaire traite dans le cadre du présent contrat. Une personne physique identifiable identifiable est celle qui peut être identifiée, directement ou indirectement, notamment par notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, une adresse électronique, etc un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments spécifiques, propres à ses caractéristiques physiques, physiologiques, génétiques, psychiques, économiques, culturelles ou sociales, psychique, économique, culturelle ou sociale ;

· Traitement : toute transaction ou ensemble de transactions effectuées ou non à l'aide de procédés automatisés automatisés et appliqués à des données à caractère personnel, tels que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de de mise à disposition, de rapprochement ou d'interconnexion, et le verrouillage, l'effacement ou la destruction ;

- Responsable du traitement du traitement : personne physique ou morale, autorité publique, service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine le traitement tout autre organisme qui, seul ou conjointement avec d'autres, détermine les les finalités et les moyens du traitement des données à caractère personnel. Dans le cadre de ce contrat, le client est responsable du traitement ;

- Partenaire : personne physique personne physique ou morale, autorité publique, service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

- Personne concernée : personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel données à caractère personnel ;

· Accord RGPD : le présent contrat de sous-traitance, y compris ses annexes.  ;

Article 2 - Conclusion, durée et résiliation du contrat de sous-traitance Conclusion, durée et résiliation du contrat de sous-traitance

Après la fin de cet accord, les obligations de notification des fuites de données et de confidentialité seront maintenues, dans la mesure où elles concernent le personnel de l'entreprise données et de confidentialité seront maintenues, dans la mesure où elles concernent des les données personnelles traitées par le partenaire pour le compte du client.

Article 3 - Traitement des données à caractère personnel Traitement des données à caractère personnel

3.1. Dans le cadre de l'engagement entre les parties et dans le contexte du gDPR, le client agit en tant que responsable du traitement et themis-security agit en tant que partenaire.

3.2. En tant que responsable du traitement au sens du paragraphe 4 du RGPD, le client conserve l'entière maîtrise de ses données à caractère personnel et détermine l'objet, la nature, la finalité, les moyens et la durée du traitement. le client est responsable du traitement des données à caractère personnel par le partenaire en vertu du présent contrat. 3.3. Le partenaire, au sens de l'article 4 du RGPD, traite les données personnelles qui lui sont confiées par et par le partenaire ; données personnelles qui lui sont confiées par et sur instruction du client dans le cadre des services que le client reçoit conformément à l'accord de collaboration conclu entre eux.

3.4. Lorsqu'ils traitent des données à caractère personnel, le partenaire et le client agissent en conformité avec les dispositions légales et réglementaires relatives à la protection des données protection des données personnelles, y compris celles du RGPD. Le fait que le client agisse également en tant que partenaire d'un tiers responsable du traitement, n'enlève rien au contrôle et à la responsabilité du contrôle et la responsabilité du client sur les données personnelles dans le cadre de ce contrat.

3.5. La nature des données traitées et les finalités du traitement sont décrites à l'ANNEXE 1 du présent contrat. Le client doit également s'assurer que seules les données à caractère personnel strictement nécessaires aux finalités décrites à l'annexe 1 sont fournies et qu'elles sont traitées de manière sécurisée de manière sécurisée.

Article 4 - Efforts des partenaires

4 .1. Le partenaire s'efforcera raisonnablement de traiter avec le plus grand soin et la plus grande loyauté les données à caractère personnel qui lui sont confiées par le client et s'y conformera avec le plus grand soin et la plus grande loyauté les données à caractère personnel qui lui sont confiées par le client et le fera conformément aux instructions du client telles que décrites dans le présent document conformément aux instructions du Client telles que décrites dans le présent contrat Accord.

4 .2. Le partenaire s'engage également à traiter les données à caractère personnel de manière confidentielle.

4 .3. Sauf disposition contraire du présent contrat et sauf si la loi l'exige dans l'exercice de ses fonctions, le l'exercice de ses fonctions, le partenaire ne traitera pas les données à caractère traiter les données personnelles à ses propres fins ou à celles de tiers, ne les fournira pas à des tiers et ne les enverra pas dans un pays en dehors de l'EEE sans en avoir reçu l'autorisation pays en dehors de l'EEE sans avoir reçu d'instructions écrites de la part du du client à cet effet. Si une disposition légale ou réglementaire s'appliquant au au partenaire ou une décision obligatoire des autorités publiques ou d'une autorité judiciaire contraint le partenaire à un tel traitement, le client en sera sera notifié au préalable, à moins que cette disposition n'interdise une telle notification pour des raisons d'intérêt général.

Article 5 - Garanties Garanties accordées aux clients

5 .1. Le client garantit que les instructions qu'il donne au partenaire sont conformes aux lois et règlements relatifs à la protection des données, qu'il applique pleinement et correctement, ainsi qu'aux correctement, ainsi qu'aux instructions qui ont été fournies par le responsable du par le responsable du traitement au client si ce dernier n'agit pas lui-même en tant que contrôleur.

5 .2. Le client garantit en outre que toutes les données personnelles confiées au au partenaire ont été obtenues de manière licite et peuvent être traitées de manière licite pendant toute la durée du contrat pendant toute la durée du contrat. Le client préserve entièrement le partenaire contre toute réclamation, action ou revendication de la part des personnes concernées, de tiers, d'autorités et du responsable du traitement si le client est en désaccord avec les règles de confidentialité et de protection des données tiers, des autorités et du contrôleur si le client agit en tant que partenaire, ainsi que ainsi que contre tout dommage qui pourrait en résulter pour le client. partenaire, y compris amendes (administratives) en principal, intérêts et frais frais.

5 .3. Si l'associé constate que les instructions du client violent la législation sur la protection des données protection des données, il est tenu d'en informer le client sans délai d'en informer le client sans délai, le partenaire étant alors en droit de décider de ne pas effectuer et/ou de suspendre le traitement.

Article 6 - Recours à des tiers

6 .1. Le partenaire n'est pas autorisé à faire appel à des tiers pour le traitement des données personnelles du client sans l'accord écrit préalable de ce dernier ce dernier. Si le client donne son accord, le partenaire s'assurera que les tiers concernés assurent un niveau de protection des données équivalent équivalent à celui imposé au partenaire par le présent contrat 

6 .2. Le partenaire ne fera pas non plus appel à des tiers en dehors de l'EEE pour le traitement des données à caractère personnel, sauf avec l'accord écrit préalable du client. Sans préjudice du paragraphe précédent, le partenaire garantit que les tiers concernés assureront un niveau de protection niveau approprié de protection et de sécurité des données personnelles au sens du le GDPR et fournira les informations nécessaires au client sur demande écrite de ce dernier demande écrite de ce dernier.

6 .3. Le consentement visé aux paragraphes précédents ne peut être refusé par le client sans motif raisonnable refusé par le client sans motif raisonnable. En cas de refus, le partenaire se réserve le droit, le cas échéant, de suspendre le présent contrat, de le résilier et/ou de proposer des modifications de ses termes présent contrat, de le résilier et/ou de proposer des modifications à ses termes sans être redevable d'une quelconque indemnité au client.

6.4 Le partenaire informe le client, conformément à l'article 8 et dans la mesure où cette information est disponible, de toute fuite de données constatée dans le cadre de l'utilisation du système dans la mesure où cette information est disponible, de toute fuite de données trouvée chez un tiers à laquelle le partenaire a fait appel, sans retard injustifié et en respectant les règles de confidentialité un tiers auquel le partenaire a fait appel, sans retard injustifié et dès que le partenaire en a connaissance dès que le partenaire en a connaissance.

Article 7 - Sécurité et obligation de confidentialité Sécurité et obligation de confidentialité

7 .1. Le partenaire est tenu à la confidentialité des données à caractère personnel reçues du client, à moins et dans la mesure où une obligation légale l'oblige à les publier ou si cette publication a lieu dans le cadre d'un projet de développement l'oblige à les publier ou si cette publication a lieu sur ordre du client sur ordre du client. 

7 .2. Le partenaire prend, avec toute la diligence requise, les mesures techniques et techniques et organisationnelles appropriées pour protéger les données personnelles fournies par le client contre toute perte ou autre forme d'accès ou de traitement illicite. Ces mesures assureront un niveau de protection adéquat en tenant compte de l'état de l'art et de la technologie l'état de la technique et des coûts liés à leur mise en œuvre, ainsi que ainsi que des risques inhérents au traitement des données à caractère personnel et de leur nature nature.

7 .3. Le partenaire veillera également à ce que son personnel impliqué dans le traitement des données à caractère personnel soit conscient des obligations qu'il a assumées en vertu du présent contrat et qu'il est tenu de s'y conformer. Cette disposition sera concrétisée par une déclaration de confidentialité annexée au au contrat de travail et/ou aux règles de travail, aux politiques internes et aux informations régulières du personnel. 

7.4 Si le client peut démontrer de manière concluante qu'un partenaire n'a pas pris les mesures techniques et organisationnelles appropriées, il doit en informer l'autorité compétente de prendre les mesures techniques et organisationnelles appropriées, le manquement à dans un délai raisonnable fixé par le client, ce dernier est autorisé à résilier le contrat raisonnable fixé par le client, ce dernier est autorisé à résilier le contrat de collaboration et/ou de mettre fin à la mission de sous-traitance, sans préjudice de ses autres droits en vertu de la loi et / ou du présent contrat.

7 .5. Le partenaire s'engage, dans la mesure du possible et moyennant une rémunération raisonnable, d'aider le client à remplir ses obligations en matière d'évaluation de l'impact de la protection des données et de traitement des fuites de données.   d'impact sur la protection des données et au traitement des fuites de données 

Article 8 - Treatment of data leaks 

8 .1. Le partenaire notifiera au client, de manière détaillée, toute fuite de données données qui s'est produite chez lui et qui lui est imputable, et ce, au plus tard au plus tard dans les 72 heures après en avoir pris connaissance. 

Le partenaire fournira au client, de sa propre initiative, toutes les informations disponibles sur la fuite de données, y compris la nature et l'étendue des données personnelles, une estimation du nombre de personnes concernées et les mesures de sécurité prévues.

8 .2. Le client ou le responsable du traitement au nom duquel le client agit peut, dans certaines circonstances, être tenu de notifier la fuite de données à l'autorité belge de contrôle dans certaines circonstances, être tenu de notifier la fuite de données à l'autorité de contrôle belge ou aux personnes concernées l'autorité de contrôle belge ou aux personnes concernées. Le partenaire ne procédera en en aucun cas à la notification d'une violation de données à l'autorité de contrôle ou aux personnes concernées de contrôle ou aux personnes concernées.

8 .3. Le partenaire fournira au client toutes les informations raisonnables et nécessaires pour lui permettre de se faire une idée de la gravité et de l'importance du problème collaboration raisonnable et nécessaire qui peut lui permettre de se faire une idée de la gravité et des conséquences (potentielles) de la fuite de données observée conséquences (potentielles) de la fuite de données observée. En particulier, le partenaire fournira au client toutes les informations (à condition qu'elles soient disponibles) soumises par le client comme étant nécessaires à l'évaluation de la situation ou devant être communiquées aux autorités de contrôle ; situation ou devant être communiquées à l'autorité de contrôle ou aux personnes à moins que la loi ne le permette pas. 

Article 9 - Durée de conservation et suppression des données à caractère personnel Période de conservation et suppression des données à caractère personnel

9 .1. A l'expiration des délais légaux de conservation ou, à défaut, du temps nécessaire à l'exécution de la mission, le partenaire s'engage à respecter scrupuleusement les délais légaux de conservation le temps nécessaire à l'exécution de la mission, le partenaire détruira scrupuleusement scrupuleusement les données à caractère personnel qu'il a traitées dans le cadre de l'accord de dans le cadre de l'accord de collaboration, à condition qu'aucune obligation légale ne soit imposée au le partenaire de conserver certaines données à caractère personnel pendant une période déterminée.

9 .2. Sur demande explicite et écrite du client, les données à caractère peuvent être restituées au client à l'expiration du délai de conservation période de conservation. Le partenaire peut déroger à la suppression susmentionnée des données à condition que cela soit indispensable pour prouver le respect de ses obligations envers le client, ou en cas d'obligation légale ou d'une décision obligatoire des autorités publiques ou d'une autorité judiciaire. Le restitution et/ou destruction des données à caractère personnel, telles que définies dans le présent article, peut donner lieu à une indemnisation raisonnable pour le partenaire dépendant du client du client, selon des modalités à convenir.

Article 1 0 - Droits des personnes concernées

Dans la mesure où l'obligation du client de répondre aux demandes des personnes concernées dans le but d'exercer leurs droits, comme le prévoit le chapitre III du GDPR, et si le client ne dispose pas lui-même de cette possibilité pas lui-même de cette possibilité, le partenaire procédera, à la demande du à la demande écrite du client et avec tout le soin requis, aux opérations suivantes opérations suivantes :

1. Fournir par écrit toutes les informations requises, dans la mesure où elles sont disponibles ; et disponibles ; et 2. la correction, la mise à jour, l'effacement, le transfert ou la limitation des données à caractère personnel, conformément aux instructions du client, et dans la mesure du possible et dans un délai raisonnable délai raisonnable.

Article 1 1 - Responsabilité

1 1 .1. En cas de preuve d'un manquement imputable au partenaire en ce qui concerne le respect du présent contrat, le partenaire sera exclusivement responsable des sera exclusivement responsable des dommages directs, prouvés et certains, subis par le client, à condition que le client ait mis, à l'avance et par écrit, le partenaire à respecter ses obligations et lui a donné un délai raisonnable de temps raisonnable pour le faire. 

1 1 .2. La responsabilité du partenaire en vertu du présent contrat comprend uniquement la réparation des dommages directs, c'est-à-dire les dommages qui sont la conséquence directe et conséquence directe et immédiate d'une faute imputable au partenaire dans l'exécution du présent contrat.

Article 1 2 - Dispositions diverses

1 2 .1. Le client a toujours le droit, sous réserve du respect de l'obligation de l'obligation de confidentialité prévue dans le contrat de collaboration, de contrôler lui-même le respect par le partenaire de ce contrat en demandant au au partenaire des informations prouvant que celui-ci respecte les obligations prévues par ce contrat obligations prévues par ce contrat.

1 2 .2. Ce contrôle ne peut en aucun cas compromettre la continuité des services du partenaire services du partenaire. 

1 2 .3. Les modifications du présent contrat ne sont valables que si elles sont convenues par écrit entre les parties entre les parties. Cette disposition ne s'applique pas aux modifications et / ou mises à jour effectuées par le partenaire concernant les mesures et les procédures ou mises à jour effectuées par le Partenaire concernant les mesures et procédures décrites à l'Annexe 2 afin de continuer à remplir ses obligations dans le cadre du présent contrat et tout changement nécessaire pour satisfaire aux obligations légales du le partenaire ou les décisions contraignantes des autorités publiques ou d'une autorité judiciaire autorité judiciaire.

1 2 .4 Le présent contrat est exclusivement régi par le droit belge. Les tribunaux suivants les tribunaux suivants sont les seuls compétents en cas de litige:

NIVELLES Cour

Annexe 1: Nature des données à caractère personnel traitées et la finalité du traitement

Description des données à caractère personnel traitées par le partenaire dans le cadre du contrat et des finalités associées TYPE DE DONNÉES PERSONNELLES FINALITÉ DU TRAITEMENT ;

Données d'identification personnelle

Nom, prénom nom, adresse, téléphone

Données d'identification données d'identification:

Email

Gestion administrative de la formation du personnel de nos clients

Gestion administrative de la formation du personnel de nos clients

Données publiées par les services publics Numéro national

Gestion administrative de la formation du personnel de nos clients

Annexe 2 : Aperçu des mesures de sécurité

Cette annexe donne un aperçu des mesures de sécurité que le partenaire doit au moins prendre prendre.

Le partenaire s'efforce de prendre toutes les mesures techniques et organisationnelles appropriées et raisonnables pour s'assurer que les données personnelles qui lui sont confiées sont exactes et complètes raisonnables pour que les données personnelles qui lui sont confiées ne fassent pas l'objet d'une ne fassent pas l'objet d'une perte ou d'un traitement illicite et ne soient surtout pas ne soient pas accessibles à des personnes non autorisées ;

Liste de contrôle des des mesures de sécurité technique :

o Utilisation d'un antivirus mis à jour ;

o Installation d'un pare-feu ;

o Utilisation d'une politique stricte en matière de mots de passe (c'est-à-dire des codes de connexion uniques et des mots de passe personnels) mots de passe personnels);

o Sauvegardes sécurisées systématiques pour protéger contre la perte de données; 

o Protection de l'accès physique aux données à caractère personnel pour les personnes qui ne devraient pas y avoir accès en raison de leurs tâches pas y avoir accès en raison de leurs tâches; o l'enregistrement des activités liées au traitement des données à caractère personnel;

o Pas d'utilisation de disques durs non sécurisés;

Liste de contrôle des mesures organisationnelles :

o Politique générale d'information du personnel sur la protection de la vie privée la vie privée;

o Établissement d'une politique interne et de lignes directrices concernant la gestion confidentielle des données à caractère personnel; o Établissement de procédures internes en cas de gestion confidentielle des données personnelles; o Mise en place de procédures internes en cas d'incidents d'incidents (fuite de données ...);

o Application de systèmes d'enregistrement et d'identification systèmes d'enregistrement et d'identification des personnes pour l'accès aux bâtiments, afin de garantir que les personnes non autorisées n'aient pas accès aux locaux de l'entreprise entreprise;

o Application d'un code de conduite général concernant l'utilisation consciencieuse du matériel informatique (ordinateurs portables, smartphones, clés USB, etc clés USB, etc.) et d'autres moyens de production;

o L'utilisation d'une politique de bureau propre pour protéger les données confidentielles des yeux des personnes non autorisées personnes non autorisées.