Accord de traitement des données (DPA).
Cette page reprend l’accord de traitement des données applicable aux prestations fournies par ALCAEUS.
ANNEXE [X] – ACCORD DE TRAITEMENT DES DONNÉES (DPA)
1. Définitions
Sauf stipulation contraire, les termes « responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « données à caractère personnel », « traitement » et « violation de données à caractère personnel » ont le sens qui leur est donné à l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »). Aux fins du présent accord, le Client agit en qualité de responsable du traitement et le Prestataire en qualité de sous-traitant.
2. Objet et finalité du traitement
Le présent accord de traitement des données (le « DPA ») a pour objet de définir les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client dans le cadre de l’exécution du contrat principal. Le Prestataire s’engage à ne traiter les données que pour les finalités suivantes : [à compléter], dans le cadre des prestations suivantes : [à compléter], et exclusivement sur la base des instructions documentées du Client, sauf obligation légale contraire.
3. Nature et durée du traitement
Le traitement peut notamment consister en l’accès, la consultation, l’analyse, l’organisation, la structuration, la transmission, la conservation ou la suppression des données, dans la mesure strictement nécessaire à l’exécution des prestations. Le traitement est effectué pendant la durée du Contrat et, le cas échéant, pendant la période nécessaire à sa clôture, sauf obligation légale de conservation plus longue.
4. Types de données et catégories de personnes concernées
Les données susceptibles d’être traitées incluent notamment des données d’identification, des coordonnées, des données professionnelles, des données techniques liées aux systèmes informatiques (telles que logs, identifiants, accès ou configurations), ainsi que toute autre donnée nécessaire à l’exécution des prestations : [à compléter].
Les personnes concernées sont principalement les membres du personnel du Client, les utilisateurs de ses systèmes, ses prestataires ou partenaires, ainsi que toute autre catégorie pertinente : [à compléter].
5. Obligations du sous-traitant
Le Prestataire s’engage à traiter les données uniquement sur instruction documentée du Client et dans le respect du RGPD. Il met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en tenant compte de la nature, du contexte et des finalités du traitement. Ces mesures visent notamment à prévenir toute destruction, perte, altération, divulgation ou accès non autorisé aux données et incluent des mécanismes de contrôle d’accès, de sécurisation des systèmes et, le cas échéant, de chiffrement ou de sauvegarde. Les mesures de sécurité mises en œuvre sont décrites en Annexe [à compléter] et peuvent être adaptées, à condition de ne pas réduire le niveau de protection. Le Prestataire veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée. Il assiste le Client, dans la mesure du possible, pour répondre aux demandes d’exercice des droits des personnes concernées et pour satisfaire aux obligations prévues par le RGPD, notamment en matière d’analyse d’impact ou de coopération avec l’autorité de contrôle.
En cas de violation de données à caractère personnel, le Prestataire en informe le Client dans les meilleurs délais et, si possible, dans un délai maximum de [à compléter] heures après en avoir pris connaissance, en fournissant les informations pertinentes permettant au Client de remplir ses obligations légales.
Le Prestataire ne recourt à un sous-traitant ultérieur qu’avec l’autorisation préalable du Client, générale ou spécifique, et veille à ce que ce sous-traitant soit soumis à des obligations équivalentes à celles du présent DPA. La liste des sous-traitants autorisés figure en Annexe [à compléter].
Le Prestataire ne transfère pas les données en dehors de l’Espace économique européen sans autorisation préalable du Client et sans mise en place de garanties appropriées conformément aux articles 44 et suivants du RGPD.
Il tient un registre des activités de traitement effectuées pour le compte du Client et met à disposition de celui-ci toutes les informations nécessaires pour démontrer le respect de ses obligations. Le Client peut procéder à des audits dans des conditions raisonnables, moyennant un préavis de [à compléter] jours et dans la limite d’une fréquence raisonnable, sauf incident particulier.
6. Obligations du responsable du traitement
Le Client détermine les finalités et les moyens du traitement et s’engage à fournir au Prestataire des instructions licites et conformes à la réglementation applicable. Il garantit disposer d’une base légale pour le traitement des données et reste responsable de l’information des personnes concernées ainsi que de la supervision du traitement.
7. Sort des données en fin de contrat
À l’expiration du Contrat, le Prestataire supprime ou restitue les données à caractère personnel, au choix du Client : [à compléter], et supprime toute copie existante sauf obligation légale de conservation. Les modalités pratiques de restitution ou de suppression sont précisées comme suit : [à compléter].
8. Responsabilité
Chaque partie est responsable des dommages résultant de ses propres manquements aux obligations qui lui incombent en vertu du RGPD et du présent DPA. Le Prestataire ne peut être tenu responsable que des traitements effectués pour le compte du Client et conformément à ses instructions. Les limitations de responsabilité prévues au Contrat principal restent applicables, sous réserve des dispositions impératives du RGPD.
9. Durée
Le présent DPA entre en vigueur à la date du Contrat et demeure applicable pendant toute la durée du traitement des données.
10. Droit applicable et juridiction
Le présent DPA est régi par le droit belge. Tout litige relatif à sa validité, son interprétation ou son exécution relève de la compétence des tribunaux de l’arrondissement judiciaire de Bruxelles, sous réserve d’une tentative préalable de résolution amiable.
↑ Retour en hautAccord de traitement des données (DPA).
Cette page reprend l’accord de traitement des données applicable aux prestations fournies par ALCAEUS.
ANNEXE [X] – ACCORD DE TRAITEMENT DES DONNÉES (DPA)
1. Définitions
Sauf stipulation contraire, les termes « responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « personne concernée », « données à caractère personnel », « traitement » et « violation de données à caractère personnel » ont le sens qui leur est donné à l’article 4 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »). Aux fins du présent accord, le Client agit en qualité de responsable du traitement et le Prestataire en qualité de sous-traitant.
2. Objet et finalité du traitement
Le présent accord de traitement des données (le « DPA ») a pour objet de définir les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte du Client dans le cadre de l’exécution du contrat principal. Le Prestataire s’engage à ne traiter les données que pour les finalités suivantes : [à compléter], dans le cadre des prestations suivantes : [à compléter], et exclusivement sur la base des instructions documentées du Client, sauf obligation légale contraire.
3. Nature et durée du traitement
Le traitement peut notamment consister en l’accès, la consultation, l’analyse, l’organisation, la structuration, la transmission, la conservation ou la suppression des données, dans la mesure strictement nécessaire à l’exécution des prestations. Le traitement est effectué pendant la durée du Contrat et, le cas échéant, pendant la période nécessaire à sa clôture, sauf obligation légale de conservation plus longue.
4. Types de données et catégories de personnes concernées
Les données susceptibles d’être traitées incluent notamment des données d’identification, des coordonnées, des données professionnelles, des données techniques liées aux systèmes informatiques (telles que logs, identifiants, accès ou configurations), ainsi que toute autre donnée nécessaire à l’exécution des prestations : [à compléter].
Les personnes concernées sont principalement les membres du personnel du Client, les utilisateurs de ses systèmes, ses prestataires ou partenaires, ainsi que toute autre catégorie pertinente : [à compléter].
5. Obligations du sous-traitant
Le Prestataire s’engage à traiter les données uniquement sur instruction documentée du Client et dans le respect du RGPD. Il met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, en tenant compte de la nature, du contexte et des finalités du traitement. Ces mesures visent notamment à prévenir toute destruction, perte, altération, divulgation ou accès non autorisé aux données et incluent des mécanismes de contrôle d’accès, de sécurisation des systèmes et, le cas échéant, de chiffrement ou de sauvegarde. Les mesures de sécurité mises en œuvre sont décrites en Annexe [à compléter] et peuvent être adaptées, à condition de ne pas réduire le niveau de protection. Le Prestataire veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée. Il assiste le Client, dans la mesure du possible, pour répondre aux demandes d’exercice des droits des personnes concernées et pour satisfaire aux obligations prévues par le RGPD, notamment en matière d’analyse d’impact ou de coopération avec l’autorité de contrôle.
En cas de violation de données à caractère personnel, le Prestataire en informe le Client dans les meilleurs délais et, si possible, dans un délai maximum de [à compléter] heures après en avoir pris connaissance, en fournissant les informations pertinentes permettant au Client de remplir ses obligations légales.
Le Prestataire ne recourt à un sous-traitant ultérieur qu’avec l’autorisation préalable du Client, générale ou spécifique, et veille à ce que ce sous-traitant soit soumis à des obligations équivalentes à celles du présent DPA. La liste des sous-traitants autorisés figure en Annexe [à compléter].
Le Prestataire ne transfère pas les données en dehors de l’Espace économique européen sans autorisation préalable du Client et sans mise en place de garanties appropriées conformément aux articles 44 et suivants du RGPD.
Il tient un registre des activités de traitement effectuées pour le compte du Client et met à disposition de celui-ci toutes les informations nécessaires pour démontrer le respect de ses obligations. Le Client peut procéder à des audits dans des conditions raisonnables, moyennant un préavis de [à compléter] jours et dans la limite d’une fréquence raisonnable, sauf incident particulier.
6. Obligations du responsable du traitement
Le Client détermine les finalités et les moyens du traitement et s’engage à fournir au Prestataire des instructions licites et conformes à la réglementation applicable. Il garantit disposer d’une base légale pour le traitement des données et reste responsable de l’information des personnes concernées ainsi que de la supervision du traitement.
7. Sort des données en fin de contrat
À l’expiration du Contrat, le Prestataire supprime ou restitue les données à caractère personnel, au choix du Client : [à compléter], et supprime toute copie existante sauf obligation légale de conservation. Les modalités pratiques de restitution ou de suppression sont précisées comme suit : [à compléter].
8. Responsabilité
Chaque partie est responsable des dommages résultant de ses propres manquements aux obligations qui lui incombent en vertu du RGPD et du présent DPA. Le Prestataire ne peut être tenu responsable que des traitements effectués pour le compte du Client et conformément à ses instructions. Les limitations de responsabilité prévues au Contrat principal restent applicables, sous réserve des dispositions impératives du RGPD.
9. Durée
Le présent DPA entre en vigueur à la date du Contrat et demeure applicable pendant toute la durée du traitement des données.
10. Droit applicable et juridiction
Le présent DPA est régi par le droit belge. Tout litige relatif à sa validité, son interprétation ou son exécution relève de la compétence des tribunaux de l’arrondissement judiciaire de Bruxelles, sous réserve d’une tentative préalable de résolution amiable.
↑ Retour en haut