Annexe de Traitement des Données

Version du 26/06/2019

Imprimer

ENTRE
OSIMIS SA, dont le siège social est sis rue du Bois Saint-Jean 15/1, 4102 Seraing (Belgique), enregistrée auprès de la Banque Carrefour des Entreprises sous le numéro 0637.982.658 (ci-après le « Sous-traitant »)
ET
L'entité dénommée « client » dans le Bon de Commande (comme défini ci-dessous), (ci-après le « Responsable du traitement »)
Le Sous-traitant et le Responsable du traitement étant désignés individuellement comme « partie » et ensemble les « parties »
Attendu que les parties ont conclu une convention aux termes desquels le Sous-traitant fournit au Responsable du traitement certains services impliquant le traitement par le Sous-traitant de certaines données à caractère personnel (la « Convention »)
ONT CONVENU CE QUI SUIT

1

Définitions

1.1

Les termes suivants auront les significations suivantes dans la présente Annexe de Traitement de Données :

  • « Annexe de Traitement de Données » désigne la présente annexe de traitement de données, en ce compris ses annexes ;
  • « Bon de Commande » désigne le bon de commande signé par le Responsable du traitement pour la fourniture de logiciels et/ou de services par le Sous-traitant ;
  • « Données concernant la santé » désigne les Données Personnelles relatives à la santé physique ou mentale d'une personne physique, en ce compris les données relatives à la fourniture de services de soins de santé, qui révèlent des informations sur son état de santé, en ce compris un numéro de patient, des services médicaux, des niveaux sanguins, etc. ;
  • « Donnée(s) Personnelle(s) » désigne toute information que le Sous-traitant traite pour le compte du Responsable du traitement en qualité de sous-traitant en vertu de la Loi applicable en matière de protection des données (à l'exclusion de toute donnée à caractère personnel que le Sous-traitant pourrait traiter en qualité de responsable du traitement en vertu de la Loi applicable en matière de protection des données) dans le cadre de la Convention, et qui peut identifier une Personne Concernée ou la rendre identifiable ;
  • « Loi applicable en matière de protection des données » désigne les lois et règlements applicables en matière de protection des données, en ce compris le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (le « RGPD ») et la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
  • « Personne(s) Concernée(s) » désigne la ou les personnes physiques identifiables ou identifiées dont les Données Personnelles sont traitées dans le cadre de la Convention ;
  • « Pays Tiers » a la signification donnée à ce terme dans l’article 8.1 ;
  • « Violation de Données Personnelles » désigne une faille de sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation de ou l’accès non autorisée aux Données Personnelles.

2

Généralités

2.1

Le Sous-traitant ne traitera les Données Personnelles que sur les instructions documentées du Responsable du traitement, en ce compris en ce qui concerne les transferts de Données Personnelles vers un Pays Tiers ou une organisation internationale, sauf si le droit de l'Union ou de l'État membre auquel le Sous-traitant est soumis l'y oblige ; dans un tel cas, le Sous-traitant informera le Responsable du traitement de cette obligation légale avant d’effectuer le traitement, sauf si cette loi lui interdit de le faire pour des motifs importants d'intérêt public.

2.2

Le Responsable du traitement s'assurera que toute Donnée Personnelle divulguée au Sous-traitant a été légalement collectée et notamment traitée sur une base juridique adéquate et dans le respect des obligations de transparence requises par la Loi applicable en matière de protection des données. Le Responsable du traitement indemnisera le Sous-traitant de toutes pertes, dépenses et responsabilités subies par le Sous-traitant découlant directement ou indirectement de la violation de cette obligation par le Responsable du traitement.

2.3

L'objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de Données Personnelles et les catégories des Personnes Concernées, sont énumérés à l'Annexe 1. Le Responsable du traitement informera le Sous-traitant de tout changement affectant l'un des éléments listés à l'Annexe 1, ce qui entraînera une modification de cette annexe, à convenir mutuellement entre les parties.

2.4

Les parties traiteront, chacune en leur qualité respective, les Données Personnelles conformément à la Loi applicable en matière de protection des données.

2.5

Le Responsable du traitement donne au Sous-traitant une autorisation écrite générale l'autorisant à engager des sous-traitants pour accomplir des activités de traitement spécifiques pour le compte du Responsable du traitement (les « sous-traitants de second rang »). Le Sous-traitant s'assurera que les obligations en matière de protection des données qu’il imposera à ses sous-traitants de second rang ne seront pas moins strictes que celles qui sont énoncées dans la présente Annexe de Traitement de Données. Les sous-traitants de second rang engagés par le Sous-traitant sont listés à l'Annexe 2. Le Sous-traitant informe le Responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement de sous-traitants de second rang, donnant ainsi au Responsable du traitement la possibilité raisonnable d'émettre des objections à l'encontre de ces changements. Si le Responsable du traitement ne s'oppose pas à ces changements dans un délai raisonnable et au plus tard dans les quinze (15) jours calendrier après avoir pris connaissance de l'intention du Sous-traitant, il sera réputé avoir accepté cet ajout ou ce remplacement de sous-traitants de second rang.

3

Confidentialité

3.1

Le Sous-traitant s'assurera que les Données Personnelles ne seront divulguées qu'aux personnes qui doivent y avoir accès (dans le sens où elles ont besoin de les connaître) et que les personnes autorisées à traiter les Données Personnelles se sont engagées à respecter la confidentialité de ces Données Personnelles ou sont soumises à une obligation légale de confidentialité appropriée.

4

Obligations d’assistance

4.1

Le Sous-traitant fournira une assistance raisonnable au Responsable du traitement visant à s'assurer du respect de ses obligations légales en vertu de la Loi applicable en matière de protection des données.

4.2

À la demande du Responsable du traitement et aux frais de ce dernier, le Sous-traitant contribuera aux audits et inspections relatives à ses activités de traitement concernant les Données Personnelles. Le Responsable du traitement peut procéder lui-même à ces audits et inspections ou mandater un tiers à cet effet. Si le Responsable du traitement mandate un tiers, ce dernier ne sera pas un concurrent direct du Sous-traitant et ce tiers acceptera d'être lié par des obligations de confidentialité non moins strictes que celles énoncées dans la présente Annexe de Traitement de Données.

4.3

Le Sous-traitant transmettra dès que possible au Responsable du traitement toute demande ou question d’une Personne Concernée relative au traitement des Données Personnelles. À la demande écrite du Responsable du traitement, le Sous-traitant aidera et assistera le Responsable du traitement à répondre aux demandes de ladite Personne Concernée, dans la mesure où cela est raisonnablement possible pour le Sous-traitant.

4.4

Si le Responsable du traitement estime qu'une analyse d'impact relative à la protection des données doit être effectuée, le Sous-traitant l'assistera, à la demande écrite et aux frais du Responsable du traitement, dans la réalisation de cette analyse d’impact.

5

Violation de Données Personnelles

5.1

Si une Violation de Données Personnelles se produit ou s'est produite, le Sous-traitant en notifie le Responsable du traitement par écrit dans les meilleurs délais après en avoir pris connaissance.

5.2

Le Sous-traitant fournira au Responsable du traitement les informations suivantes concernant la Violation de Données Personnelles :

  • La nature de la Violation de Données Personnelles ;
  • Dans la mesure du possible, les catégories de Personnes Concernées affectées ;
  • Une estimation du nombre de Personnes Concernées affectées ;
  • Les catégories de Données Personnelles affectées ;
  • Une estimation du nombre de Données Personnelles affectées ;
  • Le nom et les coordonnées du délégué à la protection des données si le Sous-traitant en a désigné un, ou un autre point de contact auprès duquel le Responsable du traitement pourra obtenir davantage d'informations sur la Violation de Données Personnelles ;
  • Une description des conséquences probables pour les Personnes Concernées ;
  • Une description des mesures prises pour remédier à la Violation de Données Personnelles, en ce compris, le cas échéant, les mesures visant à en atténuer les effets négatifs éventuels.

5.3

Le Sous-traitant assistera le Responsable du traitement dans la mesure du possible dans le cas d’une notification d’une Violation de Données Personnelles aux autorités de contrôle et/ou à la ou les Personne(s) Concernée(s).

6

Mesures de sécurité techniques et organisationnelles

6.1

Le Sous-traitant s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques.

6.2

Le Sous-traitant tiendra compte (i) des informations fournies par le Responsable du traitement concernant les activités de traitement effectuées pour le compte de ce dernier lors de la détermination des mesures de sécurité techniques et organisationnelles appropriées ; (ii) de l'état de la technique ; (iii) des coûts de mise en œuvre liés à ces mesures ; (iv) de la nature, de l’étendue, du contexte et des objectifs du traitement ; (v) des risques pesant sur les droits et libertés des Personnes Concernées, en particulier en cas de Violation de Données Personnelles et (vi) de la probabilité que le traitement ait une incidence sur les droits et libertés des Personnes Concernées. Le Responsable du traitement fournira autant d'informations que possible pour permettre au Sous-traitant de déterminer les mesures de sécurité techniques et organisationnelles nécessaires à mettre en œuvre.

7

Responsabilité

7.1

Le Sous-traitant agit sous la responsabilité du Responsable du traitement pour le traitement de Données Personnelles.

7.2

La responsabilité totale du Sous-traitant n'excédera pas, dans tous les cas, le montant total des redevances payées par le Responsable du traitement au Sous-traitant.

8

Transfert de Données Personnelles

8.1

Le Sous-traitant ne transférera pas de Données Personnelles vers un pays situé en dehors de l'Espace Économique Européen (un « Pays Tiers ») à moins que le Responsable du traitement n'ait donné son consentement écrit préalable au transfert et/ou que (i) le transfert entre dans le cadre d'une décision de la Commission européenne concernant le caractère adéquat de ce Pays Tiers conformément à la Loi applicable en matière de protection des données ; (ii) le transfert entre dans le cadre du programme EU-US Privacy Shield ; (iii) le destinataire a conclu avec le Responsable du traitement un contrat contenant des clauses contractuelles types qui ont été approuvées par la Commission européenne ou une autre autorité publique compétente conformément à la Loi applicable en matière de protection des données ; ou (iv) d'autres garanties appropriées aient été prévues conformément à la Loi applicable en matière de protection des données.

9

Durée et résiliation

9.1

L'Annexe de Traitement de Données entrera en vigueur à la date de la Convention et expirera automatiquement à la date de la fin de la Convention.

9.2

Dans les trente (30) jours calendrier suivant l'expiration ou la résiliation de la présente Annexe de Traitement de Données, le Sous-traitant, à la demande écrite du Responsable du traitement et au choix de ce dernier, (i) restituera au Responsable du traitement dans un format électronique couramment utilisé toutes les Données Personnelles qui, à la date de résiliation ou d'expiration, sont en sa possession ; et/ou (ii) détruira toutes copies des Données Personnelles qui, à la date de résiliation ou d'expiration, sont en sa possession.

Annexe 1 – Aperçu des opérations de traitement

Objet du traitement
Traitement de Données Personnelles dans le cadre de la fourniture de logiciels et/ou de services relatifs à ces logiciels (tel que décrits dans le Bon de Commande)
Durée du traitement
Validité de la Convention
Nature et finalités du traitement

  • Fournir les logiciels et/ou les services décrits dans le Bon de Commande, notamment :
  • Fournir les services de support et de maintenance (si applicable) ;
  • Fournir les services d’hébergement pour les Données Personnelles (si applicable)

Catégories de Données Personnelles
Le Sous-traitant peut traiter les Données Personnelles suivantes :
  • Données d’identification personnelle (noms, dates de naissance, etc.) ;
  • Données concernant la santé (imagerie médicale, rapports de diagnostic, données cliniques relatives au patient)

Catégories de Personnes Concernées
Patients du Responsable du traitement

Annexe 2 – Sous-traitants de second rang

Microsoft Corporation, One Microsoft Way, Redmond WA, USA 98052 (Azure cloud infrastructure services)
Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105 (messaging services)
Mailgun Technologies, Inc. 548 Market St. #43099, San Francisco, CA 94104 (messaging services)

D'autres questions ?

Chez Osimis, nous nous efforçons d'être aussi transparents que possible pour toutes vos questions légales.

Contactez-nous