Accord de Traitement des Données (DPA) lié au RGPD
(ci-après dénommé « le DPA ») 2025 - v1
entre
DIOGENIUS SPRL, Chemin des Carriers 59, 1370 Jodoigne, Belgique, enregistrée sous le numéro 0478449332,
(ci-après dénommée « le Sous-traitant »)
et
Le CLIENT,
(ci-après dénommé « le Responsable du traitement »)
Date d’entrée en vigueur :
Considérant que :
(a) Conformément à l’accord de services auquel ce DPA est annexé (ci-après l’« Accord de Services »), le Responsable du traitement a désigné
le Sous-traitant pour exécuter certaines tâches de traitement de données pour son compte et selon ses instructions.
(b) Par conséquent, pour se conformer à :
-la Directive Européenne sur la protection des données 95/46/CE (la « Directive »), remplacée à compter du 25 mai 2018 par le Règlement
Général sur la Protection des Données (UE) 2016/679 (le « RGPD »), et
-la législation nationale applicable en matière de protection des données,
(ensemble ci-après dénommées la « Législation sur la Protection des Données »),
le Sous-traitant traitera les Données à Caractère Personnel en qualité de Sous-traitant )
(c) Le Responsable du traitement détermine les finalités et les moyens du traitement des données personnelles, et est donc le Responsable du
traitement au regard de la Législation sur la Protection des Données ;
d) Afin de se conformer à l’article 17 de la Directive (et à l’article 28 du RGPD), ainsi qu’aux dispositions transposées dans le droit national, il
est nécessaire de formaliser par écrit les conditions du traitement entre le Responsable du traitement et le Sous-traitant. Les parties
conviennent dès lors de conclure le présent DPA pour satisfaire à cette exigence.
Il est convenu ce qui suit :
Définitions
Les termes « Responsable du traitement », « Sous-traitant », « Représentant », « Personne concernée », « Données à caractère personnel », «
Traitement », « Tiers », « Violation de données personnelles », « Données génétiques », « Données biométriques », « Données concernant la
santé », « Autorité de contrôle » et « Délégué à la protection des données » ont la signification qui leur est donnée dans la Législation sur la
Protection des Données.
Détails du traitement
Les catégories de personnes concernées, les types de données personnelles traitées (ci-après les « Données Personnelles Traitées ») et les
finalités du traitement sont précisés à l’Annexe 1, qui fait partie intégrante du présent DPA.
Obligations des parties
Toutes les parties s’engagent à respecter leurs obligations respectives conformément à la Législation sur la Protection des Données. Les
parties et, le cas échéant, leurs représentants coopéreront, sur demande, avec l’autorité de contrôle dans l’exercice de ses missions.
Obligations spécifiques du Sous-traitant
Instructions du Responsable du traitement
Le Sous-traitant (et toute personne agissant sous son autorité) ne traitera les Données Personnelles Traitées que sur instruction documentée
du Responsable du traitement (y compris en ce qui concerne les transferts vers un pays tiers ou une organisation internationale), sauf
obligation légale de l’UE ou de l’État membre. Dans ce cas, le Sous-traitant en informera le Responsable du traitement, sauf interdiction
légale.
Toute utilisation d’interface informatique, paramétrage ou envoi de données dans le système du Sous-traitant par le Responsable du
traitement est considérée comme instruction du Responsable.
Confidentialité
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité
contractuelle ou légale appropriée.
Sécurité du traitement
Le Sous-traitant prend toutes les mesures exigées par l’article 32 du RGPD (et équivalents) et offre des garanties suffisantes pour la mise en
œuvre de mesures techniques et organisationnelles appropriées. Les mesures de sécurité actuelles sont listées en Annexe 2. Le Responsable
du traitement reconnaît qu’elles sont jugées conformes au RGPD.
Sous-traitance
Le Sous-traitant ne peut confier à un autre sous-traitant l’exécution de ses tâches sans le consentement écrit du Responsable. Si ce
consentement est donné, le Sous-traitant reste pleinement responsable du respect des dispositions du DPA par tout sous-traitant.
En cas d’autorisation générale, le Sous-traitant informera le Responsable de tout changement de sous-traitant afin qu’il puisse s’y opposer.
Assistance au Responsable du traitement
Droits des personnes concernées
Les personnes concernées peuvent demander l’accès, la rectification, l’effacement ou le blocage de leurs données, conformément à la
législation. Toute demande reçue par le Sous-traitant sera transmise au Responsable.
Le Sous-traitant assistera le Responsable, dans la limite de ses moyens et sur demande, dans le traitement de ces demandes. Cette assistance
sera facturée à l’heure.
Sécurité
À la demande du Responsable, le Sous-traitant l’assistera pour respecter les articles 32 à 36 du RGPD (sécurité, violations, analyses d’impact).
Cette assistance sera facturée à l’heure.
Le Sous-traitant informera sans délai injustifié le Responsable de toute violation de données ou d’accès non autorisé.
Si une analyse d’impact entraîne une modification substantielle des services, les parties s’engagent à renégocier les termes du contrat.
Fin de la prestation
À la fin du traitement ou en cas de résiliation, le Sous-traitant supprimera ou restituera toutes les données personnelles (sauf obligation légale
de conservation). Il ne les traitera plus par la suite.
Responsabilité et audits
Le Sous-traitant fournit au Responsable toutes les informations nécessaires pour démontrer le respect du présent DPA.
Des audits peuvent être réalisés par le Responsable ou un auditeur mandaté, avec un préavis d’un jour ouvrable. Le Responsable supporte
tous les coûts, y compris ceux liés à l’assistance du Sous-traitant, qui sera facturée à l’heure.
Le Sous-traitant informera immédiatement le Responsable si une instruction reçue est contraire à la législation.
Durée
Le présent DPA prend effet à la Date d’entrée en vigueur et reste en vigueur tant que l’Accord de Services est valable, sauf résiliation anticipée
conformément à l’article 7.
Résiliation
Le DPA peut être résilié immédiatement par notification écrite en cas de :
-Manquement non corrigé dans un délai de 30 jours suivant une mise en demeure.
-Cessation d’activité, insolvabilité ou faillite d’une des parties.
-Résiliation de l’Accord de Services.
Divulgations
Le Sous-traitant ne divulguera aucune Donnée Personnelle à un tiers sans consentement écrit du Responsable, sauf obligation légale
contraire.
Loi applicable
Le droit belge s’applique à tout différend lié au traitement des données. Les tribunaux belges sont compétents de manière non exclusive.
Modifications
En cas de changement légal affectant les obligations ou droits du présent DPA, les parties adapteront les clauses en conséquence.
Notifications
Toute communication doit être faite par e-mail suivi d’un courrier recommandé aux adresses mentionnées dans le contrat.
Délégués à la protection des données
Les délégués désignés sont mentionnés en page de garde du contrat.
Entrée en vigueur
Le présent DPA entre en vigueur à compter de la Date d’entrée en vigueur.
Annexe 1 au DPA Diogenius – Détails du Traitement
a) Cadre et objet du traitement
Activités externalisées : Hébergement Web
Traitements réalisés :
-Exécution de l’application fournie par le Responsable
-Stockage de l’application et des données
-Gestion du système d’exploitation
-Application des bonnes pratiques de sécurité
b) Nature et finalité
Exécuter l’application pour qu’elle soit accessible via Internet.
L’application est gérée par le Responsable, le Sous-traitant n’en a qu’une connaissance technique de base.
Sauvegarde possible à des fins de redondance.
Génération de fichiers logs pouvant être conservés 36 mois.
Les logs peuvent être anonymisés (IP, nom d’hôte, identifiants) pour analyse par des tiers.
c) Type de données traitées
Données fournies ou générées par l’application
Le Sous-traitant ne connaît pas la nature exacte des données
Logs/Journaux pouvant contenir :
adresses IP, requêtes HTTP, emails (de/à/date)
Le Responsable confirme qu’aucune donnée sensible (origine raciale, opinions, santé, orientation sexuelle, casiers judiciaires, etc.) n’est
traitée. Au cas où des données sensibles sont traitées, le Responsable garanti que celles-ci sont protégées par des mesures de
d) Catégories de personnes concernées
Le Sous-traitant ne connaît pas les catégories de personnes concernées
Les logs ne permettent pas d’identifier les mineurs
Le Responsable confirme que les données ne concernent pas d’enfants
e) Durée du traitement
Voir article « 6. Résiliation » ci-dessus.
Annexe 2au DPA Diogenius – Mesures de sécurité
Mesures techniques :
Voir la « Description technique des services d’hébergement », de manière générale, les données sont stockées dans des datacenters
conformes à l’état de l’art et les bonnes pratiques de sécurité sont appliquées (firewall, backup), des services de monitorings sont également
en place.
Mesures organisationnelles :
-un NDA est intégré au règlement de travail et au contrat d’emploi (sanction : licenciement)
-Accès : Accès administrateur réservé aux employés ou sous-traitants expérimentés en CDI
- 0 Utilisateurs l'ont trouvée utile
