BizzCardz.

Connexion

BizzCardz.

Connexion

BizzCardz.

Connexion

Traitement de données

Accueil Traitement de données

ENTRE :

  • V&D EXPERTS dont le siège social est établi à 7000 MONS, rue de la Réunion, 2/4 et immatriculée à la BCE sous le n° BE 0731.880.737

(ci-après : « le sous-traitant »)

ET :

 

  • Utilisateurs de l’application BIZZCARDZ

(ci-après : « le responsable de traitement)

Préambule

Par le biais de la présente convention, les parties souhaitent établir leurs accords concernant le traitement des données à caractère personnel.

La société V&D EXPERTS est une entreprise qui propose une application, BIZZCARDZ, offrant à des Utilisateurs un service de gestion de cartes de visite dématérialisées. Ce service fonctionne grâce aux technologies QR code et NRC. Il permet aux Utilisateurs, principalement des entreprises, de gérer, collecter et mettre à jour les données professionnelles de leurs employés ainsi que d’importer celle de personnes externes à leur entreprise.

Les Utilisateurs de l’application ont la possibilité sur BIZZCARDZ de traiter ces données à caractère personnel grâce aux fonctionnalités standardisées proposées par V&D EXPERTS. Dans ce cas, V&D EXPERTS n’agit qu’en qualité de sous-traitant et uniquement suivant les instructions des Utilisateurs de l’application. Les Utilisateurs de BIZZCARDZ sont responsables du traitement toutes les données personnelles traitées via leur compte BIZZCARDZ dont ils sont les administrateurs.

 

  1. Définitions :
  • Les termes tels que « traiter » / « traitement », « données à caractère personnel », « responsable du traitement » et « sous-traitant » doivent être interprétés à la lumière de la LPPPD et du RGPD.

2. Objet de l’Avenant :

2.1 – Durant l’exécution de la Convention Principale, le sous-traitant peut traiter des données à caractère personnel au profit du responsable du traitement ou en exécution d’une obligation légale. Une liste reprenant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées figure à l’annexe 1 du présent Avenant.

2.2 – Le responsable de traitement déclare que les données à caractère personnel confiées au sous-traitant contiennent données concernant la santé, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique (au sens de l’article 9 RGPD)

2.3 – Dès lors que seul le responsable de traitement est en mesure de porter cette appréciation, la qualification des données traitées incombe uniquement au responsable de traitement, qui ne pourra pas engager la responsabilité du sous-traitant en cas de conséquence découlant d’une erreur dans le type de données traitées.

Il s’engage à garantir le sous-traitant de toute conséquence qui découlerait d’une qualification des données traitées autre que celle décrite à l’article 2.2 (ces conséquences pouvant être de manière non exhaustive : des prestations supplémentaires. Le préjudice subi, des amendes administratives ou pénales, toute somme due à une personne concernée ou à un sous-traitant de second-rang).

2.4 – La présente sous-traitance ne comprend pas de services de consultance par le sous-traitant en matière de protection des données.

3. Obligations du sous-traitant :

3.1 – Le sous-traitant traite les données à caractère personnel de manière correcte, soigneuse et en conformité avec toutes les lois applicables en matière de protection des données.

3.2 – Le sous-traitant se conformera à toutes les instructions écrites raisonnables qui lui sont fournies par le responsable du traitement en ce qui concerne le traitement des données à caractère personnel. Le sous-traitant avisera immédiatement le responsable du traitement si, à son estime, une des instructions de ce dernier est en conflit avec la loi belge applicable ou avec le RGPD.

3.3 – Le sous-traitant garantit que lui-même ainsi que toute personne agissant sous son autorité, ne traitera des données à caractère personnel que sur instruction documentée du responsable du traitement, conformément aux instructions du responsable du traitement et dans la stricte mesure nécessaire à la réalisation des Services prévus dans la Convention Principale (y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale), à ​​moins que la législation de l’Union ou de l’État membre à laquelle le sous-traitant est soumis ne le requière. Dans ce cas, le sous-traitant informera le responsable du traitement de cette obligation juridique avant le traitement, à moins que le droit concerné ne lui interdise de communiquer ces informations pour des motifs importants d’intérêt public.

3.4 – Le sous-traitant ne divulguera des données à caractère personnel directement ou indirectement à aucune personne, société ou entité gouvernementale. Si une telle divulgation est nécessaire au bon traitement des données à caractère personnel, celle-ci ne peut avoir lieu qu’après autorisation écrite préalable du responsable du traitement et uniquement dans le cadre d’une obligation de confidentialité. Le sous-traitant peut, s’il en informe préalablement le responsable du traitement, communiquer des données à caractère personnel conformément à une injonction émise par un tribunal ou un organisme gouvernemental compétent.

3.5 – Les autres activités de traitement ne seront exécutées que si le sous-traitant est expressément invité à le faire par le responsable du traitement ou en vue de se conformer à une obligation légale, après en avoir informé le responsable du traitement et en agissant sous sa responsabilité.

3.6 – Le sous-traitant doit immédiatement informer le responsable de traitement si, d’après lui, une instruction viole le RGPD ou les législations protectrices des données. Une fois informé, le responsable de traitement détermine si l’instruction viole ou non la législation applicable.

3.7 – Si le sous-traitant enfreint la présente convention et le RGPD en déterminant les finalités et les moyens du traitement, il devra être considéré comme le responsable du traitement dans le cadre de ce traitement.

4. Respect des principes applicables aux traitements de données à caractère personnel

4.1 – Le responsable du traitement se conformera à toutes les lois et règlements applicables et notamment la LPPPD et le RGPD.

4.2 – Le responsable du traitement demeurera responsable de la légalité du traitement des données à caractère personnel, y compris le cas échéant d’obtenir le consentement des personnes concernées par le traitement de ses données personnelles.

4.3 – Le responsable du traitement prendra les mesures raisonnables pour conserver les données à caractère personnel à jour afin de s’assurer que les données ne soient pas inexactes ou incomplètes au regard des objectifs pour lesquels elles ont été collectées.

5. Sécurité du traitement des données :

5.1 – Le niveau des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque encouru par les données traitées, compte tenu des standards techniques et du type de données à caractère personnel traitées, est fonction des informations fournies par le responsable de traitement à l’article 2 du présent Avenant, ainsi que de l’analyse de risques effectuée par le responsable de traitement.

Avant la conclusion du présent avenant, le sous-traitant a exposé au responsable de traitement les mesures de sécurité qu’il emploie ou qu’il s’engage à prendre et ce dernier les a estimées appropriées pour assurer un niveau de sécurité approprié au risque, de manière à répondre aux exigences de la législation belge, du RGPD et d’assurer la protection des droits des personnes concernées.

Le sous-traitant garantit qu’il mettra ces mesures en œuvre tout au long de la durée de la Convention Principale.

5.2 – Les parties reconnaissent que les exigences en matière de sécurité évoluent continuellement et qu’une sécurité efficace exige une évaluation fréquente et une amélioration régulière des mesures de sécurité désuètes. Après une période initiale de 2 ans, spontanément ou sur suggestion du responsable de traitement, le sous-traitant estimera quel serait le coût de mesures d’amélioration envisageables, la décision de les mettre ou non en œuvre revenant au responsable de traitement.

5.3 – Le sous-traitant fera en sorte que tous les employés et agents impliqués dans le traitement des données à caractère personnel du responsable du traitement soient liés par une obligation de confidentialité dans le but de garantir la confidentialité et l’intégrité des données à caractère personnel du responsable du traitement.

6. Obligations de conformité :

6.1 – DPO

Le sous-traitant a désigné un responsable de la protection des données dont les coordonnées sont en annexe 2, sans que cela signifie que le sous-traitant estime y être tenu par l’article 37 du GDPR.

6.2 – Analyse d’impact

Les analyses d’impacts éventuelles seront réalisées par le responsable du traitement.

6.3 – Démonstration du respect des obligations

Le sous-traitant mettra à la disposition du responsable du traitement toutes les informations nécessaires à la démonstration du respect des obligations prévues par le droit belge et le RGPD.

6.4 – Droits des personnes concernées

Le sous-traitant notifiera au responsable du traitement toute plainte, demande ou avis d’une personne concernée par le traitement des données qui exercerait les droits qui lui sont conférés par la législation sur la protection des données.

Le sous-traitant devra se conformer aux instructions du responsable du traitement en cas de demande ou d’avis et il ne devra pas répondre à cette demande ou avis sans instruction du responsable du traitement.

Eu égard à la nature du traitement, le sous-traitant assistera le responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, et fournira sa coopération à celui-ci afin de répondre aux demandes des personnes concernées, conformément à la LPPPD, au chapitre III du RGPD ou à toute autre législation applicable dans le domaine du traitement des données à caractère personnel.

7. Localisation du traitement :

Le sous-traitant traitera les données personnelles du responsable du traitement dans un lieu situé dans l’UE. Le sous-traitant ne devra pas traiter ou transférer les données personnelles du responsable du traitement, ni les traiter lui-même ou par le biais de tiers, en dehors de l’Union européenne, sauf autorisation préalable expresse et explicite du responsable du traitement et en exécution d’un des mécanismes de transfert de données reconnus comme notamment les clauses contractuelles types.

8. Gestion des violations de données à caractère personnel :

8.1 – En cas de violation de données à caractère personnel dans le cadre du traitement des données à caractère personnel, le sous-traitant aidera le responsable du traitement à assurer le respect des obligations découlant de la législation belge et des articles 32 à 36 du RGPD en tenant compte de la nature du traitement et des informations dont dispose le sous-traitant.

8.2 – Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel sans délai après en avoir pris connaissance.

8.3 – Le sous-traitant fera ses meilleurs efforts pour remédier ou réduire aussi vite que possible aux conséquences négatives découlant d’une violation de données à caractère personnel. Il tiendra informé, de manière régulière et au moins toutes les 24 heures, le responsable de traitement de toute évolution de la situation et, notamment, des mesures prises visant à remédier ou réduire les conséquences dommageables.

8.4 – Si le responsable du traitement le juge nécessaire, il informera les personnes concernées et les tiers, y compris l’Autorité de Protection des Données, de toute violation de données. Il n’est pas permis au sous-traitant de fournir des informations sur les violations de données aux personnes concernées ou aux tiers, sauf s’il est légalement tenu de le faire.

L’obligation pour une partie de faire un rapport ou répondre à une violation des données à caractère personnel n’est pas et ne sera pas interprétée comme une reconnaissance pour cette partie d’une quelconque faute ou responsabilité vis-à-vis de cet incident.

9. Recours à un sous-traitant de second rang :

Le responsable de traitement autorise le sous-traitant à engager un autre sous-traitant (« sous-traitant de second rang »). Le sous-traitant informera le responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.

9.1 – Le sous-traitant n’utilisera que des sous-traitants de second rang offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de telle sorte que le traitement des données réponde aux exigences du présent Avenant, du droit belge et du RGPD et qu’il assure la protection des droits de la personne concernée.

9.2 – Le sous-traitant devra imposer à son ou ses sous-traitant(s) de second rang des engagements aussi (ou davantage) contraignants que ceux qui découlent du présent Avenant, du droit belge et du RGPD et il veillera à ce que ces derniers soient respectés par son ou ses sous-traitants de second rang. Les accords passés avec le sous-traitant de second rang sont établis par écrit.

9.3 – Nonobstant l’autorisation par le responsable de traitement de faire appel à un sous-traitant de second rang, le sous-traitant de premier rang demeure entièrement responsable envers le responsable de traitement des conséquences de cette sous-traitance d’activités à un tiers.

10. Responsabilité :

10.1 – Le sous-traitant ne pourra être tenu responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou s’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

Conformément à l’article 82.3 du RGPD, le sous-traitant sera exonéré de responsabilité à l’égard de la personne concernée s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

La responsabilité du sous-traitant est limitée aux dommages directs, à l’exclusion de tous les dommages indirects ou consécutifs, comme les pertes de profits, perte de revenus, perte d’épargne anticipée, perte d’opportunité, perte de clients, réclamations de clients ou autres tiers, et dommages à la réputation.

La responsabilité du sous-traitant est, en toute hypothèse, limitée à la valeur d’une année de prestations, telle que fixée par la Convention Principale.

10.2 – Le responsable de traitement garantit le sous-traitant de toute conséquence qui découlerait :

  • d’une qualification erronée des données et des détails du traitement, telle que prévue à l’article 2,
  • de l’absence d’information complète du sous-traitant par le responsable de traitement, notamment au sujet d’un incident, d’une demande d’une autorité de contrôle ou d’une personne concernée,
  • d’une décision incombant au responsable de traitement ou de tout manquement commis par le personnel du responsable de traitement,

Les conséquences visées au présent article sont, de manière non exhaustive : le coût des prestations supplémentaires du sous-traitant, le préjudice subi, des amendes administratives, toute somme due à une personne concernée ou à un sous-traitant de second-rang.

10.3 – Lorsque le responsable du traitement ou le sous-traitant a réparé totalement le dommage subi par la personne concernée, il est en droit de réclamer auprès de l’autre partie la part de la réparation correspondant à sa part de responsabilité dans le dommage, pour autant que l’autre partie ait marqué son accord sur le caractère adéquat de l’indemnisation de la personne concernée ou que l’indemnisation ait été fixée par un jugement et que l’autre partie ait été mise à la cause.

11. Période de stockage, retour et suppression des données personnelles :

11.1 – Dès la fin de la prestation des services relatifs au traitement ou à la première demande du responsable de traitement, le sous-traitant devra, à la discrétion du responsable du traitement :

a – supprimer toutes les copies des données à caractère personnel du responsable de traitement stockées ou traitées par le sous-traitant,

b – ou restituer toutes les données à caractère personnel au responsable de traitement et supprimer les copies existantes,

à moins que la législation de l’Union ou d’un des États membres n’exige le stockage des données à caractère personnel.

Si le responsable de traitement opte pour la restitution des données, il devra défrayer le sous-traitant de celle-ci.

11.2 – Si le responsable de traitement ne prend pas position sur le sort des données dans le mois de l’envoi d’une mise en demeure, le sous-traitant sera autorisé à détruire les données.

12. Traitement des données personnelles des parties et de leur personnel éventuel :

12.1 – Les données à caractère personnel de chaque partie et de son personnel (nom, prénom, image, profession, domicile ou résidence, numéros de téléphone et de télécopieur, adresse électronique, date et lieu de naissance, état civil, numéro de compte bancaire, langues et domaines de spécialisation, diplômes et titres universitaires ou professionnels,) sont traitées par l’autre partie conformément à la législation applicable en matière de traitement des données à caractère personnel en vertu de l’exécution du contrat :

a – pour permettre le paiement des services prestés, et gérer tout problème ou différend,

b – pour permettre aux clients et au personnel du responsable de traitement de communiquer avec le sous-traitant par téléphone ou par courrier électronique ;

c – pour permettre aux sous-traitant de mettre à disposition le service pour le responsable de traitement.

La fourniture de ces données à caractère personnel est une exigence nécessaire pour conclure le marché. Le défaut de fournir ces données empêcherait la conclusion du contrat.

12.2 – Les données à caractère personnel sont conservées 10 ans après la fin du contrat.

12.3 – Les données peuvent être transférées en dehors de l’Union européenne, même dans des pays que la Commission européenne estime ne pas garantir un niveau adéquat de protection des données à caractère personnel. Dans ce cas, chaque partie prendra les mesures de protection appropriées au moyen de clauses contractuelles standard relatives à la protection des données adoptées par la Commission. Celles-ci peuvent être consultées au siège de la partie concernée.

12.4 – Chaque partie ou ses travailleurs peuvent (par demande écrite datée, signée, adressée à l’autre partie et prouvant son identité) obtenir, gratuitement – s’il s’agit d’un volume raisonnable –la communication écrite des données et la portabilité des données, ainsi que, le cas échéant, la rectification, la limitation du traitement, la suppression de celles qui sont inexactes, incomplètes ou non pertinentes. Si aucune suite n’a été réservée à la demande 30 jours après son introduction, elle sera considérée comme rejetée. Chaque partie ou ses travailleurs peuvent également s’adresser ou déposer une plainte auprès de l’Autorité de protection des données pour l’exercice de ces droits (1000 Bruxelles, Rue de la Presse, 35, Tél. + 32 2 274 48 00 – Fax + 32 2 274 48 35 – contact@apd-gba.be).

12.5 – Si une partie communique les données personnelles de ses travailleurs à l’autre partie, elle veille à porter ces informations à leur connaissance.

12.6 – Si le sous-traitant traite en réalité les données à caractère personnel du personnel du responsable de traitement, alors ledit responsable du traitement se porte fort de leur faire prendre connaissance de cet article 12.

 13. Dispositions finales :

13.1 – En cas de conflit entre les dispositions du présent Avenant de traitement de données et celles de la Convention Principale visée à l’article premier, les dispositions du présent avenant prévaudront.

13.2 – Cet Avenant est exclusivement régi par le droit belge et par le RGPD.

13.3 – Tout conflit doit d’abord faire l’objet de discussions entre les parties, les deux parties s’efforçant de régler la question amiablement.

13.4 – Tout litige découlant de cet Avenant ou lié à celui-ci sera soumis à la juridiction exclusive du tribunal compétent de l’arrondissement de Mons.

ANNEXE 1 : Données à caractère personnel traitées

Dès lors que seul le responsable de traitement dispose des informations nécessaires pour compléter la présente annexe, il lui incombe d’y procéder.

Son attention est attirée sur le fait qu’il ne pourra pas engager la responsabilité du sous-traitant en cas de conséquence découlant d’une erreur dans les informations contenues dans la présente annexe, et notamment quant au type de données traitées.

Objet du traitement : Hébergement des données d’identification du responsable de traitement dans les serveurs du sous-traitant.

Durée du traitement : Ce traitement correspond à la durée de l’utilisation des infrastructures informatiques du sous-traitant par le responsable de traitement / à la durée de l’abonnement.

Nature du traitement : Stockage

Finalité du traitement : Permettre la gestion et administration des cartes de visite virtuelles par l’administrateur d’un compte BIZZCARDZ.

Type de données personnelles :

données sur les employés d’une entreprise :

– Nom, prénom, nom de l’entreprise, poste, date d’entrée, téléphone, adresse e-mail, département, photo de l’employé, QR Code (identifiant unique).

Catégories de personnes concernées : Responsable de traitement – Utilisateur de l’application BIZZCARDZ

Objet du traitement : Importation des cartes de visite virtuelle de personne externe à une entreprise dans l’application BizzCardz.

Durée du traitement : Ce traitement correspond à la durée de l’utilisation des infrastructures informatiques du sous-traitant par le responsable de traitement / à la durée de l’abonnement.

Nature du traitement : Importation de données

Finalité du traitement : Permettre l’importation vers un compte BIZZCARDZ des informations relatives à des membres externes à une entreprise (carte externe) et permettre leur intégration dans un logiciel CRM.

Type de données personnelles :

Données d’identification des membres externes à une entreprise :

– Prénom, nom, nom de l’entreprise, poste, adresse email, numéro de téléphone

Catégories de personnes concernées : Responsable de traitement – Utilisateur de l’application BIZZCARDZ

ANNEXE 2 : Données de contact

V&D EXPERTS utilisent les données que les Utilisateurs lui fournissent lors de leur inscription au service pour les contacter en cas d’incident ou de violation de données personnelles. Les Utilisateurs veillent à ce que ces données soient toujours à jour.

ANNEXE 3 : Description des mesures de sécurité du sous-traitant