Accord pour le traitement de données
ENTRE
La société anonyme, Bakeronline, dont le siège social est situé Adolf Baeyensstraat 53 à 9040 Gand, Belgique et inscrite sous le numéro d’entreprise 0543469620, représentée ici valablement par l’administrateur délégué Maxim Sergeant (p.p. Ennovator SPRL). Ci-après dénommée ‘Bakeronline’;
ET
Le Client, comme expliqué à la Convention Principale.
Les parties ci-dessus sont dénommées ci-après ensemble les ‘Parties’ ou séparément une Partie.
CONSIDÉRANT QUE
Dans le cadre de l'exécution de certains travaux pour le Client, Bakeronline, d'une part, aura accès à des données à caractère personnel et/ou, d'autre part, devra traiter des données à caractère personnel, dont le Client est responsable en tant que Responsable du Traitement au sens de la (i) loi belge du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, du (ii) Règlement européen de 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et/ou la (future) législation belge relative à la mise en œuvre du Règlement susmentionné (ci-après la ‘Législation Vie privée’).
Au moyen de la présente convention, les Parties souhaitent établir par écrit leurs accords réciproques concernant (i) la gestion, la sécurisation et/ou le Traitement des Données à Caractère Personnel et (ii) le respect des obligations de la Législation Vie privée dans des situations où Bakeronline agit en tant que Sous-traitant au nom du Client.
Cette Convention ne porte pas préjudice au Traitement des Données à Caractère Personnel par Bakeronline en tant que Responsable du Traitement, comme exposé dans la Convention Principale.
IL EST CONVENU CE QUI SUIT:
ARTICLE 1: DÉFINITIONS
1.1 Dans la présente Convention, les notions suivantes signifient ce qui est mentionné ci-dessous (étant écrites avec une lettre majuscule):
- Convention: cette “Convention de traitement des données”, y compris ses éventuels annexes, qui forme intégralement partie de la Convention Principale;
- Convention Principale: la convention conclue entre les Parties dans le cadre duquel Bakeronline Traite des Données à Caractère Personnel du Client, à sa demande, comme précisé plus spécifiquement dans les Conditions Générales de Bakeronline (y compris la Déclaration de confidentialité);
- Donnée(s) à Caractère Personnel: toute donnée concernant une personne physique identifiée ou identifiable;
- Fuite de Données: sans autorisation, la publication, l'accès, l'abus, la perte, le vol ou la destruction accidentelle ou illicite de Données à Caractère Personnel, que Bakeronline Traite pour le compte du Client;
- Intéressé: celui à qui une Donnée à Caractère Personnel a trait;
- Mission: toutes les activités que Bakeronline exécute pour le compte du Client, et toute autre forme de collaboration par laquelle Bakeronline Traite des Données à Caractère Personnel pour le Client, indépendamment du caractère juridique de la convention dans le cadre de laquelle cela a lieu;
- Responsable du Traitement: l'entité qui, seule ou avec d'autres, constate le but du et les moyens pour le Traitement des Données à Caractère Personnel;
- RGPD: le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, communément connu sous le nom anglais GDPR);
- Services: tous les services que Bakeronline dispense au Client, comme prévu plus loin dans la Convention Principale (y compris les Conditions Générales et la Déclaration de confidentialité);
- Sous-traitant: l'entité qui Traite des Données à Caractère Personnel au profit du Responsable du Traitement;
- Sous-traitant Ultérieur: tout Sous-traitant désigné par Bakeronline;
- Traitement/Traiter: tout acte ou tout ensemble d'actes en ce qui concerne des Données à Caractère Personnel, parmi lesquelles il convient en tout cas de comprendre, mais sans limitation: la collecte, l'établissement, la conservation, la mise à jour, la modification, la recherche, la consultation, l'utilisation, la fourniture au moyen d'un envoi, la diffusion ou quelconque autre forme de mise à disposition, le rassemblement, la mise en liaison de Données à Caractère Personnel, ainsi que la protection, l'effacement, ou la destruction de Données à Caractère Personnel.
ARTICLE 2: QUALITÉ DES PARTIES
2.1 Les Parties reconnaissent et acceptent, dans des situations où le Client agit en tant que le Responsable du Traitement, que Bakeronline agit en tant que Sous-traitant au nom du Client. En outre, Bakeronline sera habilitée à faire appel à des Sous-traitants Ultérieurs conformément aux dispositions de l'Article 6.
ARTICLE 3: UTILISATION DES SERVICES
3.1 Le Client reconnaît expressément que:
- Le Client supporte seul la responsabilité de la manière dont il utilise les Services afin de Traiter des Données à Caractère Personnel comme le Responsable du Traitement;
- Le Client est le seul responsable du respect de toutes les législations et réglementations (notamment en ce qui concerne le délai de conservation), qui s'appliquent à lui en conséquence de l'utilisation qu'il fait des Services.
3.2 En cas d'abus par le Client des Services, le Client accepte que Bakeronline ne pourra en aucun cas être tenue comme responsable à cet égard, ni de quelconques dommages qui découlent de l'abus précité.
3.3 Le Client s'engage donc à garantir Bakeronline contre un tel abus, ainsi que contre toute réclamation d'un Intéressé et/ou d'une quelconque tierce partie en conséquence de l'abus commis par le Client.
ARTICLE 4: OBJET
4.1 Le Client reconnaît qu'en conséquence de l'utilisation qu'il fait des Services de Bakeronline, la dernière citée Traitera les Données à Caractère Personnel - telles que collectées par le Client.
4.2 Bakeronline Traitera les Données à Caractère Personnel de façon convenable et minutieuse, et ce en conformité avec la Législation Vie privée et avec une autre réglementation applicable relative au Traitement des Données à Caractère Personnel.
4.3 Sans porter préjudice au Traitement des Données à Caractère Personnel par Bakeronline en tant que Responsable du Traitement, comme exposé dans la Convention Principale, Bakeronline agira en tant que Sous-Traitant dans les situations dans lesquelles le Client est le Responsable du Traitement, à la demande du Client et selon les instructions du Client, tel que décrit à l’Annexe I.
4.4 Sous réserve de 4.3, Bakeronline respectera les instructions du Client dans la mesure où:
- Ces instructions du Client étaient communiquées au préalable et par écrit à Bakeronline et acceptées par Bakeronline ; et
- Les systèmes de Bakeronline le permettent, compte tenu des fonctionnalités de ces systèmes prévus par Bakeronline au moment que celui-ci reçoit les instructions du Client. Chaque emploi de la part du Client des systèmes de Bakeronline, sans que celui-ci ait accepté les instructions du Client par écrit, est aux propres risques du Client. Dans la mesure où les systèmes de Bakeronline, de l’avis du Client, n’offrent pas ou pas suffisamment la possibilité de soutenir les instructions du Client, le Client contactera Bakeronline afin de parler des instructions. Bakeronline ne garantit pas que les instructions du Client soient complètement compatibles ou puissent être appliquées dans les systèmes de Bakeronline.
4.5 Le Client, en tant que Responsable du Traitement, détient et conserve le contrôle total concernant entre autres (i) le Traitement des Données à Caractère Personnel, (ii) quelles Données à Caractère Personnel sont collectées, (iii) le but du Traitement et (iv) la question de savoir si le Traitement est proportionnel. En outre, le Client est le seul responsable du respect de toutes les obligations (légales) qui reposent sur lui en tant que Responsable du traitement (notamment concernant le délai de conservation), ainsi que de l'exactitude, de la qualité et de la légitimité des Données à caractère personnel, encodées dans la Plateforme, et de la manière dont il a acquis les Données à caractère personnel. Le contrôle des Données à Caractère Personnel dispensé dans le cadre de la présente convention ne repose dès lors jamais sur Bakeronline.
4.6 Bakeronline assistera le Client dans l’application des obligations du Responsable de Traitement sous le RGPD concernant la sécurité du traitement, dans la notification d’une infraction en ce qui concerne les Données à Caractère Personnel au gouvernement de tutelle et au concerné, dans l’établissement d’une appréciation de l’effet de protection de données (le cas échéant) et dans la consultation préalable.
ARTICLE 5: MESURES DE SÉCURITÉ
5.1 Bakeronline a pris au moins les mesures de sécurité suivantes, conformes aux pratiques en usage du secteur:
- Mesures physiques pour la sécurisation d’accès;
- Contrôle d’accès logique, utilisant des mots de passe;
- Mesures d’organisateur pour la sécurisation d’accès;
- Contrôle par sondage sur l’application de la politique;
- Sécurisation des connexions réseau par la technologie Secure Socket Layer (SSL);
- Un réseau interne sécurisé;
- Restrictions d’accès fondées;
- Contrôle sur pouvoirs attribués.
Ensuite, Bakeronline fera les efforts nécessaires pour que sa sécurité atteigne un niveau assez haut, compte tenu de l’état de la technique, de la sensibilité des Données à Caractère Personnel et des coûts liés à la sécurisation. Le Client met ses Données à Caractère Personnel seulement à disposition de Bakeronline s’il est sûr que les mesures de sécurisation ont été prises. Le Client est responsable de l’application des mesures convenues entre les Parties.
ARTICLE 6: SOUS-TRAITANTS ULTÉRIEURS
6.1 Le Client reconnaît et accepte que Bakeronline soit habilitée à faire appel à des Sous-traitants Ultérieurs pour l'exécution de la Mission. Dans un tel cas, Bakeronline veille à ce que les Sous-traitants Ultérieurs soient au moins liés par les mêmes obligations que celles par lesquelles Bakeronline est liée sur la base de la présente convention. À la simple demande du Client, Bakeronline informera le Client par écrit de l’identité des Sous-traitants Ultérieurs.
ARTICLE 7: TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL EN DEHORS DE L’EEE
7.1 Par la présente, le Client donne sa permission générale pour que Bakeronline ait le droit de transférer des Données à Caractère Personnel en dehors de l’Espace Economique Européenne (EEE) (il s’agit de l’Union Européenne et du Liechtenstein, l’Islande et la Norvège) à condition que les règles concernant le transfert (44-50 RGPD) soient respectés. Tout transfert de Données à Caractère Personnel en dehors de l'EEE à un destinataire qui a son domicile ou son siège dans un pays qui ne tombe pas sous une décision d'adéquation, promulguée par la Commission européenne, sera régi par les dispositions d'une convention de transfert de données, qui contiendra (i) les clauses contractuelles standards telles que définies dans la ‘Décision de la Commission européenne du 5 février 2010 (Décision 2010/87/CE)’, ou (ii) un quelconque autre mécanisme sur la base de la Législation Vie privée et/ou d'une autre réglementation applicable relative au Traitement des Données à Caractère Personnel.
7.2 Bakeronline a le droit de transférer des Données à Caractère Personnel en dehors de la EEE si ce transfert est nécessaire en vertu d’un règle de droit obligatoire dans le droit européen ou belge. Dans ce cas, le Sous-Traitant informe le Responsable du Traitement au préalable et par écrit de la disposition légale en vertu de laquelle le Sous-Traitant est obligé de procéder au transfert des Données à Caractère Personnel, sauf si la législation concernée interdit cette communication pour des raisons importantes d’intérêt général.
ARTICLE 8: CONFIDENTIALITÉ
8.1 Bakeronline observe la confidentialité des Données à Caractère Personnel. Bakeronline ne mettra donc pas les Données à Caractère Personnel à la disposition de tiers, ni ne transférera celles-ci sans l'approbation écrite préalable du Client, sauf lorsque:
- Le Client a explicitement donné son accord de fournir l’information aux tiers;
- La publication/communication est requise par la loi ou par une décision judiciaire ou émanant d'une autre autorité (de quelque nature que ce soit).
8.2 Bakeronline s'engage à ce que son personnel, chargé de l'exécution de la Mission et qui a connaissance de la nature confidentielle des Données à Caractère Personnel, ait reçu une formation adéquate concernant ses responsabilités et qu’il soit lié par une convention de confidentialité. Bakeronline s'engage en outre à ce que de telles obligations de confidentialité subsistent après la fin du contrat de travail.
8.3 Bakeronline garantit que l'accès aux Données à Caractère Personnel est limité au personnel qui est chargé de l'exécution de la Mission en conformité avec la présente convention.
ARTICLE 9: NOTIFICATION
9.1 Bakeronline essaie, au mieux de ses capacités, d'informer le Client dans un délai raisonnable lorsqu'elle:
- Reçoit une demande d'information, une citation ou une requête en inspection ou en audit d'une instance publique compétente, en rapport avec le Traitement des Données à Caractère Personnel;
- A l'intention de mettre les Données à Caractère Personnel à la disposition d'une instance publique compétente.
9.2 Dans le cas d’une Fuite de Données, les Parties s’engagent à signaler l’une à l’autre, le cas échéant, et à l’autorité de protection de données concernée toutes les fuites de données ou de sécurité qui ont des répercussions sur l’application de la Convention Principale et, en particulier, la sécurité des Données à Caractère Personnel qu’ils Traitent dans le cadre de la Convention Principale. L’obligation de déclaration inclue en tout cas la notification du fait qu’il y a eu une fuite. En plus, l’obligation de déclaration inclue:
- La cause de la fuite (supposée);
- La conséquence (pour le moment connu et/ou à prévoir);
- La solution (proposée); et
- Les données de contact pour le suivi de la notification.
ARTICLE 10: DROITS DE L’INTÉRESSÉ
10.1 Dans la mesure où le Client - dans le cadre de l'utilisation qu'il fait des Services - n'est pas en mesure de corriger, de modifier, de bloquer ou de supprimer les Données à Caractère Personnel, tel que requis par la Législation Vie privée, Bakeronline satisfera - pour autant qu'elle y est légalement tenue – à une demande commerciale raisonnable du Client visant à permettre de tels actes. Dans la mesure permise par la loi, le Client sera responsable de tous les frais que Bakeronline doit supporter en conséquence d'une telle assistance.
10.2 Bakeronline informera le Client sans délai, dans la mesure permise par la loi, lorsqu'elle reçoit une demande d'un Intéressé concernant l'accès aux, la correction, la modification ou la suppression des Données à Caractère Personnel de l'Intéressé. Bakeronline ne réagira toutefois pas à une telle demande d'un Intéressé sans l'autorisation écrite préalable du Client, sauf pour confirmer que la demande a trait au Client pour lequel le Client a donc donné son accord. Bakeronline accordera au Client une collaboration et assistance commerciale et raisonnable dans le cadre du traitement d'une demande d'un Intéressé concernant l'accès aux, la correction, la modification ou la suppression des Données à Caractère Personnel de cet Intéressé, dans la mesure permise par la loi et pour autant que le Client n'ait lui-même pas accès à de telles Données à Caractère Personnel au moyen de l'utilisation qu'il fait de la Plateforme et/ou des Services. Dans la mesure permise par la loi, le Client sera responsable de tous les frais que Bakeronline doit supporter en conséquence d'une telle assistance.
10.3 Si Bakeronline doit effacer les Données à Caractère Personnel d'un Intéressé – dans le cadre de l'assistance précitée –, le Client reconnaît que Bakeronline ne peut être tenue pour responsable lorsqu'elle doit de nouveau Traiter, après la suppression, les Données à Caractère Personnel de cet Intéressé dans le cadre d'une convention qu'elle a conclue avec un client.
ARTICLE 11: BIFFURE OU RESTITUTION DE DONNÉES À CARACTÈRE PERSONNEL
11.1 Après la fin de la Convention Principale Bakeronline informera le Client du fait qu’il a la possibilité d’exporter les Données à Caractère Personnel qui sont disponibles à ce moment, compte tenu des mesures de stockage et d’anonymisation des Données à Caractère Personnel comme expliqué à la Convention Principale.
ARTICLE 12: CONTRÔLE
12.1 Le Client peut inviter Bakeronline à sa coopération correcte à un audit des systèmes de celui-ci. Si le Client met à exécution ce désir, tel audit sera uniquement mené par un tiers désigné par les deux Parties, aux frais du Client. Un audit doit être annoncé à Bakeronline par écrit au moins 10 jours avant son commencement. Cette annonce doit préciser le processus de contrôle et quelles parties seront contrôlées. L’audit ne peut en aucun cas perturber pour rien les activités de Bakeronline. Bakeronline donnera son entière coopération à l’audit et mettra les employés et toute information raisonnablement pertinente, y compris des données justificatives comme des journaux de système, à disposition de l’audit le plus vite possible, tant que les conséquences (in)directes qui en résultent ne constituent pas une violation des droits (contractuelles), obligations ou exigences juridiques aux services intégrales et tant qu’elles ne portent pas préjudice aux intérêts de Bakeronline. L’assistance portée par Bakeronline ne sera pas plus de 3 journées de travail par année civile au maximum. Lorsque l’assistance réelle portée par Bakeronline dépasse cette période, le temps supplémentaire mis par Bakeronline sera facturé au Client aux tarifs horaires valables à ce moment-là, qui s’élèvent à 150,00 euros hors taxes à la date de l’entrée en vigueur de cette Convention. Néanmoins, s’il résulte du rapport d’audit, duquel les résultats ont été acceptés par les Parties, que Bakeronline a commis une faute ou qu’il y a eu une négligence grave de la part de Bakeronline au vu du RGPD, le Client ne doit pas rémunérer Bakeronline pour l’assistance portée par celui-ci lors de tel audit.
ARTICLE 13: RESPONSABILITÉ
13.1 Sauf disposition de règle impérative différente, la responsabilité de Bakeronline de dommages suite à une déficience imputable lors de la fourniture du Traitement, par acte illicite ou autre, est limité par fait (une succession de faits successifs constituent un seul fait) au dédommagement des dommages directes, qui peut être au maximum le montant des indemnités reçues par Bakeronline pour les activités visées par cette Convention et qui concernent le mois antérieur au fait qui a causé les dommages. La responsabilité de Bakeronline de dommages conséquents, manque à gagner, économies espérées, plus-value de clientèle (goodwill) diminuée, dommages à cause de la stagnation de l’entreprise, dommages à cause de ne pas avoir déterminé des fins de marketing, dommages relatifs à l’usage de données ou de fichiers de données prescrits par le Client ou la perte, modification fautive ou destruction de données ou fichiers de données est exclue, et le Client marque son accord avec cette limitation de responsabilité. Ce qui précède ne porte pas préjudice à l’obligation de chaque Partie de préserver l’autre Partie de la responsabilité à l’égard de tiers qui résulte de la violation de ses obligations en vertu du RGPD. Chaque compensation s’effectue selon l’article 82 du RGPD.
ARTICLE 14: DISPOSITIONS FINALES
14.1 La présente Convention s’applique à partir du 25 mai 2018 ou à partir de la date de l’entrée en vigueur de la Convention Principale, si celle-ci serait d’une date ultérieure et prend aussi longtemps que la Mission dure. Les dispositions de la présente Convention continuent à être applicables pour autant que nécessaire pour le déroulement de la présente Convention et pour autant que celles-ci soient destinées à survivre la fin de la présente Convention.
14.2 Cette Convention et ses annexes déterminent les droits et obligations des Parties en relation avec l’objet. Elle annule et remplace toute proposition et convention antérieure et écrite à ce sujet. Tous les annexes font partie de et forment un ensemble avec cette Convention.
14.3 Des écarts à, modifications de et/ou ajouts à la Convention sont uniquement valables et contraignants lorsqu’ils dont acceptés par écrit par les deux Parties.
14.4 La présente Convention, ainsi que les droits et obligations qui en découlent pour les Parties, ne sont pas cessibles, directement ou indirectement, sans l'accord écrit préalable de l'autre Partie.
14.5 La non-application éventuelle ou même répétée d'un quelconque droit par les Parties ne peut être considérée que comme de la tolérance à l'égard d'une certaine situation, et n'entraîne pas de forclusion.
14.6 Cette convention ne constitue pas une renonciation tacite des droits. Sauf prévu explicitement dans cette Convention, la renonciation des droits par l’une des Parties ou le cas dans lequel l’une des Parties n’intente pas d’action à cause d’une déficience imputable de l’application de certaines dispositions de cette Convention, n’impliquera pas la renonciation des droits en la matière d’une déficience imputable suivante ou n’affectera pas, à aucun égard, la force de droit de cette disposition. Une Partie ne peut pas être estimée avoir renoncé à un droit ou une revendication de cette Convention ou concernant la non-exécution d’une obligation de la part de l’autre Partie, sauf si la renonciation s’est effectuée explicitement et par écrit et si elle est communiquée en recommandé.
14.7 L'éventuelle nullité d'une ou de plusieurs clauses de la présente Convention ou d'une partie de celle-ci ne fait pas préjudice à la validité et à l'applicabilité des autres clauses et/ou du reste de la disposition en question. En cas de nullité d'une ou de plusieurs clauses, les Parties négocieront de remplacer la disposition nulle par une disposition équivalente qui répond à l'esprit de cette disposition. Si les Parties ne parviennent pas à un accord, le juge compétent pourra atténuer la disposition nulle jusqu'à ce qui est (légalement) permis.
14.8 La présente Convention et son exécution seront exclusivement régies par et interprétées conformément au droit belge. Tous les éventuels litiges et difficultés qui se seraient produits concernant l'exécution et/ou l'explication de la présente Convention, relèvent de la compétence exclusive des tribunaux de l'arrondissement de Gand. En première instance, les Parties essayeront d’arriver à une conciliation concernant chaque litige entre les Parties.
ANNEXE I: TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
i) Le Client Traite des Données à Caractère Personnel des utilisateurs finaux en utilisant le logiciel et les intégrations de Bakeronline comme Responsable du Traitement aux fins suivantes:
- Afin de préparer les commandes des utilisateurs finaux passées au Client;
- Afin de répondre aux questions des utilisateurs finaux au Client;
- Afin de faire du marketing auprès des utilisateurs finaux du Client.
ii) Dans ce cadre, les Parties traitent les Données à Caractère Personnel suivantes:
- Nom et prénom;
- Adresse (adresse de facturation et/ou de livraison) s’il y a lieu;
- Adresse e-mail;
- Mot de passe;
- Numéro de téléphone;
- Habitudes de consommation (heure de la commande, contenu de la commande, type de commande, origine, Client, moyen de paiement, montant de la commande);
- Données d’identification électroniques (adresse IP, cookies, …);
- Données de localisation électroniques (GPS le cas échéant);
- Données d’identification financières (titulaire du compte, numéro de carte bancaire, numéro de compte bancaire, moyen de paiement);
- Autres Données à Caractère Personnel dépendant des champs libres que l’Intéressé peut remplir.
iii) Les catégories de personnes concernées, desquelles des Données à Caractère Personnel sont traitées par les Parties dans ce contexte, sont composées de destinataires de produits et services du Client. Le Client déclare et garantit que les personnes concernées, desquelles le Client passe les Données à Caractère Personnel à Bakeronline à la demande du Client, donnent leur permission univoque et explicite. Cette permission concerne le traitement qui fait partie des Services. Cette permission n’est pas requise si le Client peut recourir à l’une des conditions prévues dans le RGPD. Le Client déclare en particulier que le Traitement visé des Données à Caractère Personnel n’est pas illicite et ne constitue pas une atteinte aux droits de tiers.
iv) Bakeronline conservera les Données à Caractère Personnel aussi longtemps que la Mission et/ou la Convention Principale s’applique, sans porter préjudice aux mesures concernant conservation et anonymisation des Données à Caractère Personnel comme prévu dans la Convention Principale.
Finalement, Bakeronline se réserve le droit de conserver les Données à Caractère Personnel anonymes (ou une partie de celles-ci) après la fin de la Mission / Convention Principale, à des fins statistiques et analytiques.