LES PARTIES À L’ACCORD :
Auxquelles il est conjointement fait référence ci-après sous le nom de : « parties » et individuellement sous le nom de « partie ».
ATTENDU QUE :
DÉCLARENT AVOIR CONVENU DE CE QUI SUIT :
Article 1. Définitions
1.1. Dans cet accord de sous-traitance, les concepts ci-dessous ont le sens suivant :
1.2. Les concepts susmentionnés et autres sont interprétés conformément à l’AVG/au RGPD. Jusqu’au 25 mai 2018, les concepts sont interprétés conformément à la disposition comparable de Wbp
1.3. Lorsqu’une référence est faite à cet accord de sous-traitance selon certaines normes (telles que NEN7510) l’on entend toujours sa version la plus récente. Dans la mesure où la norme appropriée n’est plus maintenue, elle doit à la place être entendue comme la plus récente version de la successeuse logique de la norme en question.
1.4. Toute éventuelle différence par rapport au texte n’est effective que dans la mesure où elle a été précisée dans l’annexe 4. Ce qui est stipulé dans l’annexe 4 prévaut sur ce qui est autrement stipulé dans cet accord de sous-traitance.
2.1.Cet accord de sous-traitance concerne le traitement de données à caractère personnel par le sous-traitant ordonné par le responsable du traitement dans le cadre de la mise en œuvre de l’ (des) accord(s).
2.2.Le parties concluent l'(les) accord(s) pour utiliser l’expertise qu’a le sous-traitant en matière de traitement et de protection de données à caractère personnel, aux fins découlant de l’ (des) accord(s) qui sont plus amplement décrites dans cet accord de sous-traitance. Le sous-traitant garantit qu’il est qualifié pour cela.
2.3.Cet accord de sous-traitance forme une partie intégrante de l'(des) accord(s). Dans la mesure où ce qui est stipulé dans cet accord de sous-traitance est contraire aux dispositions de l'(des) accord(s), ce qui est stipulé dans l’accord de sous-traitance prévaut.
3.1.Le sous-traitant garantit qu’il traitera exclusivement des données à caractère personnel pour le responsable du traitement dans la mesure où :
3.2.Dans le contexte de ce qui est stipulé dans la première section de l’article 3 sous a) Le sous-traitant traitera exclusivement les données spécifiées dans l’annexe 1 dans le cadre de la nature et des fins du traitement décrits dans cette annexe.
3.3.Le sous-traitant respectera toutes les instructions raisonnables du responsable du traitement en rapport avec le traitement de données à caractère personnel. Le sous-traitant informera immédiatement le responsable du traitement si de son avis les instructions enfreignent la législation applicable concernant le traitement de données à caractère personnel.
3.4.Sans préjudice de ce qui est stipulé dans la première section de cet article 3, le sous-traitant est autorisé à traiter des données à caractère personnel si une exigence légale (y compris également des ordonnances de tribunal ou administratives basées sur celle-ci) l’oblige à les traiter. Dans ce cas, le sous-traitant informe le responsable du traitement avant l’exécution du traitement et de l’exigence légale prévus, à moins que la législation n’interdise cette notification pour cause d’intérêt public important. Le sous-traitant permettra lorsque c’est possible au responsable du traitement de se défendre contre ce traitement légal et limitera également autrement le traitement obligatoire à ce qui est strictement nécessaire.
3.5.Le sous-traitant traitera visiblement les données à caractère personnel de manière adéquate et diligente, et conformément aux obligations auxquelles il est soumis en tant que sous-traitant conformément à l’AVG/au RGPD, dans la mesure encore applicable de Wbp, et d’autres législations et réglementations. Dans ce contexte, le sous-traitant tiendra au moins un registre des activités de traitement au sens de l’article 30 de l’AVG/du RGPD et fournira une copie de ce registre au responsable du traitement à sa première demande.
3.6.la prestation de services par le sous-traitant implique le traitement de données liées à la santé ou d’autres données à caractère personnel particulières, le sous-traitant garantit qu’il n’agira pas en infraction de la législation liée à la santé.
3.7.À moins qu’il n’en ait obtenu au préalable l’autorisation écrite claire du responsable du traitement, le sous-traitant ne traitera pas des données à caractère personnel ni ne les fera traiter par lui-même ou par des tiers situés en dehors de l’Espace économique européen (« EEE »).
3.8.Le sous-traitant garantit que les collaborateurs impliqués ont signé un accord de non-divulgation et laisse sur demande le responsable du traitement lire attentivement cet accord de non-divulgation.
4.1.Le sous-traitant prendra manifestement les mesures de sécurité technique et organisationnelles adéquates et efficaces qui, au regard de l’état de la technique actuel et des coûts associés, correspondent à la nature (comme précisé dans l’annexe 1) des données à caractère personnel à traiter, afin de protéger les données caractère personnel de toute perte, prise de connaissance non autorisée, mutilation ou autre forme de traitement illégitime, ainsi que pour garantir la disponibilité (temporaire) des données. Les mesures telles qu’elles sont stipulées dans l’accord font partie de ces mesures de sécurité. Les mesures incluent dans tous les cas :
4.2.Le sous-traitant travaille visiblement conformément à ISO27001 et/ou NEN 7510 et a mis en place une politique de sécurité écrite adéquate pour le traitement de données à caractère personnel dans laquelle les mesures mentionnées dans la première section de cet article 4 ont au moins été stipulées.
4.3.Le sous-traitant respecte visiblement les mesures de sécurité pour les connexions réseau comme décrit dans NEN7512.
4.4.Le sous-traitant respecte manifestement les exigences concernant la journalisation comme décrit dans NEN7513.
4.5.Le sous-traitant respecte manifestement les exigences d’autres normes NEN, dans la mesure où elles ont été déclarées applicables aux soins de santé.
4.6.À la première demande du responsable du traitement, le sous-traitant présentera un certificat valide délivré par un tiers indépendant ayant une expertise en la matière, s’il a celui-ci à sa disposition, qui montre que le sous-traitant respecte les obligations de cet article.
4.7.Le responsable du traitement a le droit de (faire) contrôler la conformité aux mesures précisées dans ce qui précède sous l’article 4.1 jusqu’à 4.4. Si le responsable du traitement le demande, le sous-traitant permet au précédent au moins une fois par an de (faire) contrôler des questions à un moment à établir par les parties d’un commun accord, et également dans le cas où le responsable du traitement voit des raisons de le faire en rapport avec (une suspicion de) une information – ou des incidents portant sur la confidentialité. Le sous-traitant apportera toute son assistance raisonnable pour une telle investigation. Le sous-traitant suivra toutes les éventuelles instructions raisonnablement émises par le responsable du traitement en rapport avec une telle investigation, concernant la modification de la politique de sécurité, dans un délai raisonnable.
4.8.Les parties reconnaissent que les exigences de sécurité changent en permanence et qu’une sécurité efficace requiert une évaluation fréquente et une amélioration régulière des mesures de sécurité obsolètes. Le sous-traitant évaluera par conséquent périodiquement les mesures telles qu’elles ont été mises en place conformément à cet article 4 et, lorsque c’est nécessaire, améliorera les mesures afin de rester conforme aux obligations de cet article 4. Ce qui précède n’affecte pas l’autorisation d’instruction du responsable du traitement de (faire) prendre des mesures additionnelles lorsque c’est nécessaire.
5.1.Le sous-traitant contrôlera activement toute infraction aux mesures de sécurité et établira un rapport des résultats du contrôle conformément à cet article 5 au responsable du traitement.
5.2.Dès qu’un incident se produit, s’est produit ou peut se produire, le sous-traitant est tenu d’en informer immédiatement le responsable du traitement comme il se doit et de fournir ainsi toutes les informations pertinentes concernant :
5.3.Le sous-traitant est tenu, sans préjudice aux autres obligations de cet article, des prendre les mesures qui peuvent raisonnablement être attendues de sa part pour résoudre l’incident dès que possible ou pour limiter autrement autant que possible les conséquences. Le sous-traitant consulte dans les plus brefs délais le responsable du traitement afin de prendre de prendre de plus amples dispositions adéquates.
5.4.Le sous-traitant apportera à tout moment son aide au responsable du traitement et suivra les instructions du responsable du traitement et permettra au responsable du traitement de mener une investigation adéquate sur l’incident, de formuler une réponse adéquate et de prendre des mesures de suivi adéquates concernant l’incident, incluant également l’information de l’autorité de contrôle, « Autoriteit Persoonsgegevens » (AP) et/ou de la personne concernée, tel que stipulé dans l’article 5.8.
5.5.Le sous-traitant aura à tout moment à disposition des procédures écrites lui permettant de fournir au responsable du traitement une réponse immédiate en ce qui concerne un incident, et de coopérer efficacement avec le responsable du traitement pour régler l’incident. Le sous-traitant fournira au responsable du traitement une copie de ces procédures si le responsable du traitement le lui demande.
5.6.Les rapports établis conformément à l’article 5.2. sont immédiatement dirigés vers le responsable du traitement ou, le cas échéant, vers les collaborateurs du responsable du traitement indiqué par ce dernier remédiant à la durée effective de cet accord de sous-traitance par écrit. Si le responsable du traitement a désigné un délégué à la protection des données (DPD), les rapports sont dirigés vers ce DPD.
5.7.Le sous-traitant n’est pas autorisé à fournir des informations à propos de personnes concernées à d’autres tiers, à moins que le sous-traitant ne soit légalement tenu de le faire ou si les parties en ont établi autrement.
5.8. Si et dans la mesure où les parties ont établi que le sous-traitant conserve un contact direct avec les autorités ou d’autres parties concernant un incident, le sous-traitant tiendra alors constamment le responsable du traitement au courant.
6.1.L’AVG/le RGPD et d’autres législations (régissant la vie privée) donnent certains droits à la personne concernée. Le sous-traitant apportera son entière assistance et dans les temps opportuns au responsable du traitement pour le respect des obligations dont fait l’objet le responsable du traitement conformément à ces droits.
6.2.Une réclamation reçue de la part d’un sous-traitant ou une demande d’une personne concernée relative au traitement de données à caractère personnel est transmise par le sous-traitant dans les plus brefs délais au responsable du traitement.
6.3.À la première demande à cet effet de la part du responsable du traitement, le sous-traitant fournira au responsable du traitement toutes les informations pertinentes relatives aux aspects du traitement de données à caractère personnel qu’il effectue, de manière à ce que le responsable du traitement puisse également prouver grâce à cette information qu’il respecte la législation applicable (portant sur la vie privée).
6.4.Le sous-traitant apportera en outre, à la première demande du responsable du traitement, toute l’assistance raisonnable pour la conformité aux obligations légales auxquelles est soumis le responsable du traitement conformément à la législation applicable sur la vie privée (tout comme en conduisant une évaluation de l’impact sur la confidentialité).
7.1.Le sous-traitant ne sous-traitera pas ses activités consistant au traitement de données personnelles ou en la demande de traitement de données à caractère personnel à un autre sous-traitant (sous-traitant de sous-traitant) sans l’accord préalable écrit du responsable du traitement. Ce qui précède ne s’applique pas aux sous-traitants de sous-traitant indiqués dans l’annexe 1.
7.2.Dans la mesure où le responsable du traitement accepte l’utilisation d’un sous-traitant de sous-traitant, le sous-traitant imposera à son propre sous-traitant (sous-traitant de sous-traitant) les mêmes obligations ou des obligations plus strictes que celles découlant pour lui de cet accord de sous-traitance et de la législation. Le sous-traitant enregistrera ces dispositions par écrit et contrôler la conformité avec celles-ci de son propre sous-traitant (sous-traitant de sous-traitant). Le sous-traitant fournira sur demande au responsable du traitement une copie de l’ (des) accord(s) conclus avec son propre sous-traitant (sous-traitant de sous-traitant).
7.3.En dépit de la permission du responsable du traitement pour le déploiement d’un sous-traitant de sous-traitant traitant (partiellement) des données sur ordre du sous-traitant, le sous-traitant reste entièrement responsable des conséquences de la sous-traitance des activités à un sous traitant de sous-traitant envers le responsable du traitement. Le consentement du responsable du traitement pour la sous-traitance d’activités à un sous-traitant de sous-traitant n’a aucune incidence sur le fait que pour l’utilisation de sous-traitants de sous-traitant dans un pays extérieur à l’Espace économique européen une autorisation est requise conformément à article 3.7 de cet accord de sous-traitance.
8.1.Les parties sont toutes deux responsables de leurs propres actions.
8.2.Toute limitation de responsabilité dans l’accord, mutatis mutandis, est également applicable à cet accord de sous-traitance, à condition que :
8.3.Le sous-traitant préserve le responsable du traitement et indemnise celui-ci pour toute réclamation, action, réclamation de tiers, ainsi que de/pour toute amende de l’AP, qui découle directement d’une défectuosité attribuable au sous-traitant et/ou à ses propres sous-traitants (sous-traitants de sous-traitant) en se conformant à ses obligations dans le cadre de cet accord de sous-traitance et/ou de toute infraction à la législation applicable dans le domaine du traitement de données à caractère personnel du sous-traitant et/ou de ses propres sous-traitants (sous-traitants de sous-traitant).
8.4.Dans la mesure où les parties sont individuellement et conjointement responsables envers des tiers, incluant également la personne concernée, ou si une amende leur est conjointement imposée par l’AP elles sont redevables l’une envers l’autre, chacune pour la partie de la dette qui les concerne dans leur relation mutuelle, conformément à ce qui est stipulé dans le volume 6, titre 1, section 2 du Code civil néerlandais, « Burgerlijk Wetboek », afin de contribuer à la dette et aux coûts, à moins que l’AVG/le RGPD ne stipule le contraire, auquel cas l’AVG/le RGPD prévaut.
8.5.Dans la mesure où aucune limitation de responsabilité pour le responsable du traitement n’est stipulée dans l’accord, la limitation incluse dans la section 2 pour le sous-traitant s’applique également au responsable du traitement.
8.6.Toute limitation de garantie devient en outre caduque pour la partie concernée en cas d’intention ou de négligence grave de la part de la partie concernée.
8.7.Les parties se chargent d’une couverture suffisante pour la responsabilité.
9.1.Les coûts pour le traitement des données qui sont inhérents à l’exécution normale de l’accord sont censés être compris dans les rémunérations déjà dues conformément à l’accord.
9.2.Toute assistance ou autre service additionnel que le sous-traitant doit fournir dans le cadre de cet accord de sous-traitance, ou qui est requis(e) par le responsable du traitement, y compris toutes les demandes d’informations supplémentaire, sera facturé(e) au responsable du traitement conformément aux tarifs précisés dans l’annexe 3.
9.3.La disposition précédente n’est pas applicable si les activités sont liées à une défectuosité d’un sous-traitant dans le cadre de cet accord de sous-traitance. Les activités seront dans ce cas exécutées gratuitement (sans préjudice au droit du responsable du traitement de déposer une réclamation pour le dommage effectivement induit par le sous-traitant).
10.1.Cet accord de sous-traitance entre en vigueur à la date de la signature et la durée de cet accord de sous-traitance est égale à la durée de l’ (des) accord(s) mentionné(e) dans l’annexe 1, y compris tout éventuel prolongement de celui-ci.
10.2.Après sa signature par les deux parties, l’accord de sous-traitance forme une partie intégrante et inextricable de l'(des) accord(s). La résiliation de l’ (des) accord(s) pour quelque motif que ce soit (annulation/rescision), engendre la résiliation de l’accord de sous-traitance pour les mêmes motifs (et vice-versa), à moins que les parties en établissent un autre.
10.3.Les obligations qui par leur nature sont destinées à se poursuivre également après la résiliation de cet accord de sous-traitance restent effectives après la résiliation de l’accord de sous-traitance. Celles qui découlent des clauses concernant la non-divulgation, la responsabilité, le règlement de litiges et la législation applicable sont par exemple incluses dans ces dispositions.
10.4.Chaque partie à le droit, sans préjudice à ce qui est stipulé en ce qui concerne l’accord, de suspendre la mise en œuvre de cet accord de sous-traitance et l’accord associé, ou de le rescinder sans intervention judiciaire avec effet immédiat, si :
10.5.Étant donné la grande dépendance du responsable du traitement envers le sous-traitant, ainsi que du risque de continuité en cas d’incidents et de calamités (tels que la faillite), le sous-traitant se déclare maintenant prêt dans un tel cas, à la première demande du responsable du traitement, de prendre des dispositions additionnelles avec le responsable du traitement pour diminuer les risques susmentionnés. Ces dispositions additionnelles peuvent par exemple consister en :
10.6.Le sous-traitant a un plan de secours pour toutes les obligations de cet accord de sous-traitance, au cas où l’accord ou l’accord de sous-traitance venait à être résilié (prématurément). À la première demande du responsable du traitement, le sous-traitant remet une copie de ce plan.
10.7.Le responsable du traitement a le droit de rescinder cet accord de sous-traitance et l’accord avec effet immédiat si le sous-traitant indique qu’il ne peut (plus) respecter les exigences de fiabilité qui sont établies pour le traitement de données à caractère personnel suite aux développements de la législation et/ou de la jurisprudence.
10.8.Le sous-traitant doit informer le responsable du traitement au préalable et en temps opportun concernant une reprise ou d’un transfert de propriété prévu(e).
10.9.Le sous-traitant n’est pas autorisé sans la permission écrite et catégorique du responsable du traitement à transférer cet accord de sous-traitance et les droits et obligations qui sont associés à cet accord de sous-traitance à un tiers.
11.1.Le sous-traitant ne conserve pas les données à caractère personnel plus longtemps que strictement nécessaire, en incluant les périodes de conservation réglementaire ou tout accord relatif aux conditions de conservation pouvant avoir été conclu entre les parties, comme établi dans l’annexe 1. Le sous-traitant ne conserve en aucun cas les données après la fin de cet accord de sous-traitance. Le responsable du traitement décide si et si c’est le cas combien de temps les données doivent être conservées.
11.2.Lors de la résiliation de l’accord de sous-traitance, ou le cas échéant à la fin des périodes de conservation établies, ou sur demande écrite du responsable du traitement, le sous-traitant va, pour un coût raisonnable, à la discrétion du responsable du traitement, (faire) détruire ou retourner définitivement au responsable du traitement les données à caractère personnel. Le sous-traitant fournira sur demande du responsable du traitement la preuve du fait que les données ont été définitivement détruites ou supprimées. Le renvoi des données comme cela peur se produire se produira généralement au format de données généralement habituel, structuré et documenté, par voie électronique. Si le renvoi, la suppression ou la destruction définitive n’est pas possible, le sous-traitant en informera immédiatement le responsable du traitement. Dans ce cas, le sous-traitant garantit qu’il traitera les données à caractère personnel de manière confidentielle et qu’il ne les traitera plus.
12.1. Dans la mesure où (la collecte de) les données à caractère personnel ne sont pas protégées par tout droit de la propriété intellectuelle, le responsable du traitement donne sa permission au sous-traitant d’utiliser les données à caractère personnel dans le cadre de l’exécution de cet accord de sous-traitance.
13.1.Les considérations font partie de cet accord de sous-traitance.
13.2.En cas d’invalidité et/ou d’annulabilité d’une ou de plusieurs dispositions de cet accord de sous-traitance, les autres dispositions restent pleinement en vigueur.
13.3.Dans tous les cas non prévus par cet accord de sous-traitance, les parties décident par accord mutuel.
13.4.La législation néerlandaise s’applique à cet accord de sous-traitance.
13.5.Les parties s’efforcent de résoudre les conflits par accord mutuel. La possibilité de mettre fin au litige par médiation ou arbitration établie d’un commun accord est incluse ici.
13.6.Les litiges à propos du ou en rapport avec cet accord de sous-traitance sont exclusivement soumis à la juridiction ou à l’ (aux) arbitre(s) indiqué(e)(s) aux fins de cet accord.
Cet accord de sous-traitance est une annexe aux accords ultérieurs et concerne les types de traitement de données à caractère personnel suivants.
Le sous-traitant applique plus spécifiquement les mesures de sécurité suivantes :
Non applicable. Voir l’accord
Annexe 4 : Modifications du texte standard
Les parties établissent clairement les écarts suivants du texte standard de l’accord de sous-traitance :
Raison Le sous-traitant utilise uniquement des prestataires d’hébergement qui ont manifestement mis en œuvre une politique de sécurité écrite adéquate, conformément à ISO27001 et/ou à NEN 7510, pour le traitement des données à caractère personnel issues du sous-traitant.
Raison Les nouveaux rédacteurs apportent des assurances suffisantes et évitent que les parties, en cas de changement de services de communication et d’hébergement par exemple, aient à prévoir au préalable un accord écrit.
Raison Le service du sous-traitant permet a responsable du traitement de télécharger ses propres données. Cela rend tout plan de secours superflu.
Raison La preuve de destruction (prouvant que quelque chose n’est pas présent) est impossible à fournir. De plus, le service du sous-traitant permet au responsable du traitement de télécharger les données lui-même dans un format courant.
Raison Uniquement éclaircissement additionnel concernant la juridiction compétente.