CONTRAT DE SOUS-TRAITANCE

AAS At Work B.V.

Composé de :

  • Partie 1. Déclaration de Data Pro

  • Partie 2. Clauses types pour le traitement

DÉCLARATION DATA PRO

La présente déclaration Data Pro, ainsi que les clauses types relatives au traitement, constituent le contrat de sous-traitance pour le produit ou les services d'AAS At Work BV.

INFORMATIONS GÉNÉRALES

  1. Cette déclaration Data Pro a été rédigée par AAS At Work BV, Bergen 2, 4844 EN Terheijden. Pour toute question relative à la présente déclaration Data Pro ou à la protection des données, veuillez contacter A. Hendriks, albert@aasatwork.nl

  2. Cette déclaration Data Pro s'applique à partir du 1er mai 2018. Nous ajustons régulièrement les mesures de sécurité décrites dans la présente déclaration Data Pro, si nécessaire, afin de rester préparés et à jour en matière de protection des données. Nous vous tiendrons informés des nouvelles versions via nos canaux habituels.

Service de reconnaissance optique de caractères (OCR) de NAViDocs

  1. Cette déclaration Data Pro s'applique au service OCR NAViDocs.

  2. Le service OCR NAViDocs est une application Saas (Software as a Service) destinée au traitement automatique de documents pour Microsoft Dynamics NAV et Business Central.

  3. Le service OCR NAViDocs est conçu pour extraire le texte des documents/images numériques fournis et le renvoyer au client.

  4. Ce produit/service ne prend pas en compte le traitement de données personnelles particulières, ni de données concernant des condamnations pénales et des infractions. Le traitement de ces données avec le produit ou service susmentionné par le client est à sa propre discrétion.

  5. Le sous-traitant a appliqué la protection de la vie privée dès la conception dans la conception du produit/service de la manière suivante :

  • Les utilisateurs peuvent eux-mêmes télécharger des fichiers dans différents formats (pdf, jpeg, etc.) et peuvent, si nécessaire, modifier et supprimer eux-mêmes des données dans leur propre environnement Dynamics NAV / Business Central.

  • Le sous-traitant ne vérifie pas les données et ne les consulte qu'à la demande du client, par exemple si cela est nécessaire pour répondre à une question au service d'assistance.

  1. Le sous-traitant utilise les clauses standard de traitement de Data Pro, qui peuvent être consultées à l'adresse www.dataprocode.nl.

  2. Le sous-traitant traite les données personnelles de ses clients au sein de l'UE/EEE.

  3. Le sous-traitant ne fait pas appel à des sous-traitants ultérieurs.

  4. Le sous-traitant assiste le client dans les demandes des personnes concernées d'extraire du texte à partir de documents fournis par le client au format pdf et en images.

  5. Après la résiliation du contrat avec un client, le sous-traitant supprimera en principe les données à caractère personnel qu'il traite pour le client dans un délai de 3 mois de manière à ce qu'elles ne puissent plus être utilisées et ne soient plus accessibles.

  6. Après la résiliation du contrat avec un client, le sous-traitant restituera toutes les données personnelles qu'il traite pour le client dans un délai de 3 mois.

Politique de sécurité

  1. Le sous-traitant a pris les mesures de sécurité suivantes pour protéger son produit ou service :

  • Accès au service OCR NAViDocs via une connexion sécurisée (SSL) avec authentification à deux niveaux.

  • Accès définissable par l'utilisateur.

  • Les utilisateurs doivent changer leur mot de passe régulièrement, au moins une fois tous les six mois.

  • Séparation stricte des données par client.

  • Anonymisation des documents/images fournis.

  • Suppression des documents/images fournis après une période de 3 mois.

  1. Le sous-traitant s'est conformé au système de gestion de la sécurité de l'information (SMSI) suivant : • NEN 7510, NEN 7512, NEN 7513 (pour les soins de santé, le cas échéant).

Protocole en cas de violation de données

  1. En cas de problème, le sous-traitant utilisera le protocole de violation de données suivant pour s'assurer que le client est au courant des incidents :

  • Il existe une procédure de signalement interne des incidents. Si le sous-traitant découvre une violation de données dans son organisation, le sous-traitant en informera son client dans les plus brefs délais en contactant la personne désignée à cet effet par le client. Le sous-traitant fournira autant d'informations pertinentes que possible, y compris une description de l'incident, la nature de la violation, la nature des données personnelles ou des catégories de personnes concernées, une estimation du nombre de personnes concernées et des bases de données éventuellement impliquées, une indication du moment où l'incident a eu lieu et de ce qui s'est passé.

  • Des notifications seront faites aux clients dans les 4 heures si possible. Le sous-traitant ne fera pas lui-même de notifications à AP ou aux personnes concernées. Le signalement ou non reste de la responsabilité de la personne désignée par le Client. Le sous-traitant assistera, s'il le souhaite, le client ou le responsable du traitement dans le processus de signalement.

Partie 2 : Clauses types pour le traitement

 

Article 1er. Définitions

 

Dans les présentes Clauses types de traitement, la Déclaration Data Pro et le Contrat, les termes suivants ont les significations suivantes :

 

1.1 Autorité de protection des données (APD) : l'autorité de contrôle, telle que définie à l'article 4, paragraphe 21, du RGPD.

 

1.2 RGPD : le Règlement Général sur la Protection des Données.

 

1.3 Sous-traitant : la partie qui, en tant que fournisseur d'ICE, traite des Données à caractère personnel en tant que sous-traitant dans le cadre de l'exécution du Contrat pour le compte de son Client.

 

1.4 Déclaration Data Pro : une déclaration du Sous-traitant dans laquelle il fournit des informations, entre autres, sur l'utilisation prévue de son produit ou service, les mesures de sécurité prises, les sous-traitants, les fuites de données, les certifications et le traitement des droits des personnes concernées.

 

1.5 Personne concernée : une personne physique identifiée ou identifiable.

 

1.6 Client : la partie pour le compte de laquelle le Sous-traitant traite les données à caractère personnel. Le Client peut être à la fois le responsable du traitement et un autre sous-traitant.

 

1.7 Contrat : l'accord entre le Client et le Sous-traitant, sur la base duquel le fournisseur d'TIC fournit des services et/ou des produits au Client, dont le contrat de traitement fait partie.

 

1.8 Données à caractère personnel : toutes les informations relatives à une personne physique identifiée ou identifiable, telles que définies à l'article 4, paragraphe 1, du RGPD, que le Sous-traitant traite dans le cadre de l'exécution de ses obligations au titre du Contrat.

 

1.9 Contrat de sous-traitance : les présentes Clauses types de traitement qui, avec la Déclaration de Data Pro (ou des informations similaires) du Sous-traitant, forment le contrat de sous-traitance tel que visé à l'article 28, paragraphe 3, du RGPD.

 

Article 2. Généralités

 

2.1 Les présentes Clauses types de traitement s'appliquent à tous les traitements de Données à caractère personnel que le Sous-traitant effectue dans le cadre de la livraison de ses produits et services et à tous les Contrats et offres. L'applicabilité des contrats de sous-traitance du client est expressément exclue.

 

2.2 La Déclaration Data Pro, et en particulier les mesures de sécurité qui y sont incluses, peuvent être modifiées par le Sous-traitant de temps à autre pour refléter l'évolution des circonstances. Le Sous-traitant informera le Client de tout changement significatif. Si le client n'est pas raisonnablement d'accord avec les modifications, il a le droit de résilier le contrat de traitement par écrit dans les 30 jours suivant la notification des modifications.

 

2.3 Le Sous-traitant traitera les Données à caractère personnel pour le compte et conformément aux instructions écrites du Client convenues avec le Sous-traitant.

 

2.4 Le Client, ou son client, est le responsable du traitement au sens du RGPD, a le contrôle sur le traitement des Données à caractère personnel et a déterminé la finalité et les moyens du traitement des Données à caractère personnel.

 

2.5 Le Sous-traitant est un sous-traitant au sens du RGPD et n'a donc aucun contrôle sur la finalité et les moyens du traitement des Données à caractère personnel et ne prend donc pas de décisions sur, entre autres, l'utilisation des Données à caractère personnel.

 

2.6 Le Sous-traitant se conformera au RGPD tel qu'il est défini dans les présentes Clauses types de traitement, la Déclaration Data Pro et le Contrat. Il appartient au Client d'évaluer, sur la base de ces informations, si le Sous-traitant offre des garanties suffisantes en ce qui concerne l'application de mesures techniques et organisationnelles appropriées pour garantir que le traitement est conforme aux exigences du RGPD et que la protection des droits des personnes concernées est suffisamment garantie.

 

2.7 Le Client garantit au Sous-traitant qu'il agit conformément au RGPD, qu'il sécurise de manière adéquate ses systèmes et son infrastructure à tout moment et que le contenu, l'utilisation et/ou le traitement des Données à caractère personnel ne sont pas illégaux et ne portent atteinte à aucun droit d'un tiers.

 

2.8 Une amende administrative infligée au Client par l'APD ne peut pas être recouvrée auprès du Sous-traitant, sauf en cas d'intention ou d'imprudence délibérée de la part de la direction du Sous-traitant.

 

Article 3. Sécurité

 

3.1 Le Sous-traitant prendra les mesures de sécurité techniques et organisationnelles décrites dans sa Déclaration Data Pro. Dans la prise des mesures de sécurité techniques et organisationnelles, le Sous-traitant a tenu compte de l'état de la technique, des coûts de mise en œuvre des mesures de sécurité, de la nature, de la portée et du contexte du traitement, des finalités et de l'utilisation prévue de ses produits et services, des risques de traitement et des risques, en termes de probabilité et de gravité,  aux droits et libertés des personnes concernées qu'elle pourrait attendre au regard de l'utilisation prévue de ses produits et services.

 

3.2 Sauf indication contraire explicite dans la Déclaration Data Pro, le produit ou service du Sous-traitant n'est pas conçu pour le traitement de catégories particulières de Données à caractère personnel ou de données concernant des condamnations pénales ou des infractions.

 

3.3 Le Sous-traitant s'efforce de s'assurer que les mesures de sécurité qu'il prend sont appropriées à l'utilisation du produit ou du service prévu par le Sous-traitant.

3.4 Les mesures de sécurité décrites offrent, de l'avis du Client, compte tenu des facteurs mentionnés à l'article 3.1, un niveau de sécurité adapté au risque de traitement des Données à caractère personnel utilisées ou fournies par lui.

3.5 Le Sous-traitant peut apporter des modifications aux mesures de sécurité prises si, à son avis, cela est nécessaire pour maintenir un niveau de sécurité approprié. Le Sous-traitant enregistrera les modifications importantes, par exemple dans une Déclaration Data Pro modifiée, et informera le Client de ces modifications, le cas échéant.

3.6 Le Client peut demander au Sous-traitant de prendre des mesures de sécurité supplémentaires. Le Sous-traitant n'est pas tenu de mettre en œuvre des modifications de ses mesures de sécurité en réponse à une telle demande. Le Sous-traitant peut facturer au Client les coûts associés aux modifications mises en œuvre à la demande du Client. Ce n'est qu'après que les mesures de sécurité modifiées souhaitées par le Client auront été convenues par écrit et signées par les Parties, que le Sous-traitant aura l'obligation de mettre effectivement en œuvre ces mesures de sécurité.

Article 4. Atteintes à la protection des données

4.1 Le Sous-traitant ne garantit pas que les mesures de sécurité seront efficaces en toutes circonstances. Si le Sous-traitant découvre une violation de données (telle que visée à l'article 4, paragraphe 12, du RGPD), il en informera le Client dans les plus brefs délais. La déclaration Data Pro (dans le cadre du protocole de violation de données) spécifie comment le sous-traitant informera le client des violations de données.

4.2 Il appartient au responsable du traitement (le Client ou son client) d'évaluer si la violation de données dont le Sous-traitant a informé doit être signalée à l'APD ou à la Personne concernée. Le signalement des violations de données, qui doit être signalé à l'APD et/ou aux personnes concernées sur la base des articles 33 et 34 du RGPD, reste à tout moment de la responsabilité du responsable du traitement (Client ou son client). Le sous-traitant n'est pas tenu de signaler les violations de données à l'APD et/ou à la personne concernée.

4.3 Le Sous-traitant fournira, si nécessaire, de plus amples informations sur la violation de données et coopérera avec le Client pour fournir les informations nécessaires à une notification telle que visée aux articles 33 et 34 du RGPD.

4.4 Le Sous-traitant peut facturer au Client les frais raisonnables qu'il encourt dans ce contexte à ses tarifs alors applicables.

Article 5. Confidentialité

5.1 Le Sous-traitant garantit que les personnes qui traitent des Données à caractère personnel sous sa responsabilité ont un devoir de confidentialité.

5.2 Le Sous-traitant est autorisé à fournir les Données à caractère personnel à des tiers, si et dans la mesure où cette mise à disposition est nécessaire conformément à une décision de justice, à une disposition légale ou sur la base d'une ordonnance valide donnée par une autorité gouvernementale.

5.3 Tous les codes d'accès et/ou d'identification, les certificats, les informations sur la politique d'accès et/ou de mot de passe et toutes les informations fournies par le Sous-traitant au Client qui donnent corps aux mesures de sécurité techniques et organisationnelles incluses dans la Déclaration Data Pro sont confidentielles et seront traitées comme telles par le Client et ne seront portées à la connaissance que des employés autorisés du Client. Le Client veillera à ce que ses employés respectent les obligations énoncées au présent article.

Article 6. Durée et résiliation

6.1 Le présent contrat de sous-traitance fait partie du Contrat et de tout accord nouveau ou ultérieur, entre en vigueur au moment de la conclusion du Contrat et est conclu pour une durée indéterminée.

6.2 Le présent contrat de traitement prendra fin de plein droit à la résiliation du contrat ou de tout accord nouveau ou ultérieur entre les parties.

6.3 En cas de résiliation du contrat de traitement, le Sous-traitant supprimera, dans le délai spécifié dans la Déclaration Data Pro, toutes les Données à caractère personnel en sa possession et reçues du Client de manière à ce qu'elles ne puissent plus être utilisées et ne soient plus accessibles (rendues inaccessibles), ou, si convenu,  le renvoyer au Client dans un format lisible par machine.

6.4 Le Sous-traitant peut facturer au Client tous les frais qu'il engage dans le cadre des dispositions de l'article 6.3. D'autres dispositions peuvent être prises dans la déclaration Data Pro.

6.5 Les dispositions de l'article 6.3 ne s'appliquent pas si une réglementation légale empêche le Sous-traitant de supprimer ou de restituer tout ou partie des Données à caractère personnel. Dans un tel cas, le Sous-traitant ne continuera à traiter les Données à caractère personnel que dans la mesure nécessaire pour se conformer à ses obligations légales. Les dispositions de l'article 6.3 ne s'appliquent pas non plus si le Sous-traitant est le responsable du traitement au sens du RGPD en ce qui concerne les Données à caractère personnel.

Article 7. Droits des personnes concernées, analyse d'impact relative à la protection des données (AIPD) et droits d'audit

7.1 Le Sous-traitant assistera, dans la mesure du possible, le Client avec les demandes raisonnables relatives aux droits des personnes concernées invoquées par les personnes concernées auprès du Client. Si le Sous-traitant est directement approché par une personne concernée, il renverra, dans la mesure du possible, la personne concernée au Client.

7.2 Si le Client est obligé de le faire, le Sous-traitant coopérera, après une demande raisonnable en ce sens, à une analyse d'impact relative à la protection des données (AIPD) ou à une consultation préalable ultérieure conformément aux articles 35 et 36 du RGPD.

7.3 Le Sous-traitant peut démontrer le respect de ses obligations en vertu de l'accord de traitement au moyen d'un certificat Data Pro valide ou d'un certificat équivalent ou d'un rapport d'audit (Mémorandum de tiers) d'un auditeur expert indépendant.

7.4 En outre, le Sous-traitant fournira, à la demande du Client, toutes les informations supplémentaires raisonnablement nécessaires pour démontrer le respect des accords conclus dans le présent accord de traitement. Si, malgré cela, le Client a des raisons de croire que le traitement des Données à caractère personnel n'a pas lieu conformément à l'accord de traitement, le Client peut, à ses frais, faire réaliser un audit une fois par an par un auditeur externe indépendant et certifié qui a manifestement une expérience du type de traitement effectué sur la base du Contrat. L'audit se limitera à vérifier le respect des accords relatifs au traitement des Données à caractère personnel tels que définis dans le présent Accord de traitement. L'auditeur aura un devoir de confidentialité en ce qui concerne ce qu'il trouvera et ne signalera au Client que ce qui constitue un manquement dans l'exécution des obligations que le Sous-traitant a en vertu du présent accord de traitement. L'auditeur fournira une copie de son rapport au responsable du traitement. Le Sous-traitant peut refuser un audit ou une instruction de l'auditeur s'il estime qu'il enfreint le RGPD ou d'autres législations ou constitue une intrusion inacceptable dans les mesures de sécurité qu'il a prises.

7.5 Les Parties se consulteront dans les plus brefs délais au sujet des conclusions du rapport. Les Parties assureront le suivi des mesures d'amélioration proposées dans le rapport dans la mesure où cela peut raisonnablement être attendu d'elles. Le Sous-traitant mettra en œuvre les mesures d'amélioration proposées dans la mesure où il les jugera appropriées, en tenant compte des risques de traitement associés à son produit ou service, de l'état de la technique, des coûts de mise en œuvre, du marché sur lequel il opère et de l'utilisation prévue du produit ou du service.

7.6 Le Sous-traitant a le droit de facturer au Client les frais qu'il encourt dans le cadre du présent article.

Article 8. Sous-traitants ultérieurs

8.1 Le Sous-traitant a indiqué dans la Déclaration de Data Pro si et, le cas échéant, quels tiers (sous-traitants) il engage dans le traitement des Données à caractère personnel.

8.2 Le Client autorise le Sous-traitant à faire appel à d'autres sous-traitants ultérieurs dans l'exécution de ses obligations en vertu du Contrat.

8.3 Le Sous-traitant informera le Client de tout changement dans les tiers engagés par le Sous-traitant, par exemple au moyen d'une déclaration Data Pro modifiée. Le Client a le droit de s'opposer à la modification susmentionnée par le Sous-traitant. Le Sous-traitant veillera à ce que les tiers qu'il engage s'engagent à respecter le même niveau de sécurité en matière de protection des Données à caractère personnel que le niveau de sécurité auquel le Sous-traitant est tenu vis-à-vis du Client sur la base de la Déclaration Data Pro.

Article 9. Autre

Les présentes clauses types de traitement, ainsi que la déclaration Data Pro, font partie intégrante du contrat. Tous les droits et obligations découlant du contrat, y compris les conditions générales applicables et/ou les limitations de responsabilité, s'appliquent donc également à l'accord de sous-traitance.