• Je me connecte
    • Je suis un courtier
    • Je suis un agent
  • Courtiers Belges
  • Agents Intermédiaires
  • Assurance Leasing
  • Fleet Manager
  • Garages Services
  • A Propos
    • Nos courtiers & agents
    • Témoignages
    • F.A.Q.
    • Contact
  • Mentions Légales
  • Conditions Générales
  • Je me connecte
    • Je suis un courtier
    • Je suis un agent
  • Courtiers Belges
  • Agents Intermédiaires
  • Assurance Leasing
  • Fleet Manager
  • Garages Services
  • A Propos
    • Nos courtiers & agents
    • Témoignages
    • F.A.Q.
    • Contact

Data Processing Agreement (DPA)



Be Genius srl, dont le siège social est Rue Jean Burgers 13 - - B-7850 Enghien - BELGIQUE, et dont le numéro d’entreprise est BE 0821.581.189 (ci-après Crashstickers ou Nous ou le sous-traitant) s’engage à ce qui suit envers ses clients (ci-après le Responsable de traitements).

Article 1 : Définitions

Les termes suivants, commençant par une majuscule, utilisés dans le présent DPA ont, sauf indication claire ressortant du contexte, le sens qui leur est donné dans le présent article :

  • « Relation Contractuelle » le contrat principal entre les Parties définissant la livraison des services et / ou des produits ou la collaboration entre eux, y compris toutes ses modifications et annexes et tout ce qui est convenu ultérieurement entre les Parties au sujet du présent DPA;
  • « Réglementation Applicable en matière de « Protection des Données » toutes les réglementations relatives à la protection des données qui sont applicables au Traitement et à l’utilisation des Données à Caractère Personnel dans le contexte des activités menées dans le cadre de la Relation Contractuelle, y compris le Règlement général sur la protection des données (comme défini ci-après);
  • « DPA » la présente convention de traitement des données à caractère personnel, y compris ses annexes;
  • « RGPD » le règlement général sur la protection des données (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016;
  • « Données à Caractère Personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
  • « Traiter » ou « Traitement » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
  • « Violation de Données à Caractère Personnel » une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou Traitées d’une autre manière, ou l’accès non autorisé à de telles données;
  • « Mesures Techniques et Organisationnelles » les mesures techniques et organisationnelles telles que définies dans le RGPD;
  • « Autorité de contrôle » une autorité publique indépendante instituée par un État membre de l’Union européenne en exécution de l’article 51 du RGPD.

Article 2: Objet du DPA

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de Traitement de Données à Caractère Personnel définies dans la Relation Contractuelle ou décrites en annexe 1 du présent DPA.

Dans le cadre de leur Relation Contractuelle, les Parties s’engagent à respecter la Réglementation en vigueur Applicable au Traitement de Données à Caractère Personnel et, en particulier, le RGPD.

Article 3: Durée de la convention

Le présent DPA entre en vigueur à la date d’entrée en vigueur de la Relation Contractuelle.

Le Sous-traitant peut Traiter les Données à Caractère Personnel transmises par le Responsable du Traitement aussi longtemps que nécessaire pour l’exécution de la mission telle que spécifiée dans la Relation Contractuelle ou dans l’annexe 1 du présent DPA.

Article 4: Obligations du Sous-traitant

Le Sous-traitant s’engage à respecter les obligations suivantes :

Article 4.1 : Traitement des Données

Le Sous-traitant s’engage à Traiter les Données conformément aux instructions écrites du Responsable du Traitement contenues dans la Relation Contractuelle ou en annexe 1 du présent DPA.

Si le Sous-traitant considère raisonnablement qu’une instruction constitue une violation du RGPD ou d’autres dispositions du droit de l’Union européenne ou du droit des états membres relatives à la Protection des Données (« Instruction Contestée »), il en informe immédiatement le Responsable du Traitement.

En cas d’une telle notification, le Sous-traitant est autorisé à suspendre l’exécution de ladite Instruction Contestée et de continuer à Traiter les Données à Caractère Personnel conformément aux instructions reçues précédemment. Le Responsable du Traitement n’aura pas droit, pour cela, à une indemnisation ou dédommagement.

Si le Sous-traitant est tenu en vertu du droit de l’Union européenne ou du droit de l’état membre auquel il est soumis de procéder à des transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, il informe le Responsable du Traitement de cette obligation légale avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

Article 4.2 : Confidentialité

Le Sous-traitant s’engage à garantir la confidentialité des Données à Caractère Personnel Traitées dans le cadre de la Relation Contractuelle entre les Parties.

A cette fin, l’accès aux Données à Caractère Personnel est strictement limité aux personnes qui, dans le cadre de l’exécution de Relation Contractuelle entre les Parties, doivent y avoir accès ou en avoir connaissance.

L’obligation de confidentialité reste en vigueur après la cessation de la Relation Contractuelle entre les Parties.

Article 4.3 : Personnes autorisées

Le Sous-traitant s’engage à ce que les personnes autorisées à Traiter les Données à Caractère Personnel :

  • s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • soient sensibilisées / formées en matière de protection des Données à Caractère Personnel.

Article 4.4 : Mesures Techniques et Organisationnelles

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre les Mesures Techniques et Organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Ces Mesures Techniques et Organisationnelles reprendront, inter alia et le cas échéant, la liste des mesures de sécurité minimales applicables reprise en annexe 2 du présent DPA.

Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le Traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou Traitées d’une autre manière, ou de l’accès non autorisé à de telles Données, de manière accidentelle ou illicite.

Article 4.5: Sous-traitance Ultérieure

Le Sous-traitant est autorisé à faire appel à un autre Sous-traitant (ci-après le Sous-traitant Ultérieur). Par la signature du présent DPA, le Responsable de Traitement accorde, en effet, au Sous-traitant l’autorisation générale de recruter des Sous-traitants Ultérieurs.

Le Sous-traitant peut continuer à travailler avec les Sous-traitants Ultérieurs qui avaient déjà été désignés à la date de prise d’effet du DPA à condition de répondre dans les plus brefs délais aux conditions suivantes.

Ces conditions s’appliquent à toute Sous-traitance Ultérieure :

  • Le Sous-traitant doit s’assurer au préalable que le Sous-traitant Ultérieur présente des garanties suffisantes quant à la mise en œuvre de Mesures Techniques et Organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD;
  • Le Sous-traitant impose contractuellement au Sous-traitant Ultérieur les mêmes obligations en matière de protection des Données que celles fixées dans l’article 4 du présent DPA;
  • Dans le cadre de cette autorisation générale, le Sous-traitant s’engage à informer le Responsable du Traitement au moins deux (2) semaines à l’avance des changements envisagés au sujet de l’ajout ou du remplacement de Sous-traitants Ultérieurs donnant la possibilité au Responsable du Traitement d’émettre ses objections éventuelles (sur base de motifs raisonnables) quant à ces changements. Des objections irraisonnables et invalides sont, entre autre, mais non limitées à, des objections non-documentées. Des objections raisonnables et valides sont, entre autre, mais non limitées à, des situations dans lesquelles le Responsable du Traitement a émis des objections documentées par rapport à la capacité du Sous-traitant de protéger des Données à caractère Personnel et d’en garantir la confidentialité. Afin d’être valable, les objections doivent être émises avant l’expiration de la moitié du délai de notification

Le Sous-traitant veillera à fournir une réponse motivée aux objections (documentées et valables) formulées.

Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de Protection des Données, le Sous-traitant demeure pleinement responsable devant le Responsable du Traitement de l’exécution par l’autre Sous-Traitant de ses obligations.

La liste des sous-traitants ultérieurs est reprise en annexe 3

Article 4.6: Droits des Personnes Concernées

Il appartient au Responsable du Traitement de fournir aux personnes concernées les informations prévues par rapport à leurs droits (chapitre III du RGPD).

Dans la mesure du possible, en tenant compte de la nature du Traitement, et au moyen de Mesures Techniques et Organisationnelles appropriées, le Sous-traitant fournira toute l’aide raisonnable pour permettre au Responsable du Traitement de remplir son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.

Article 4.7 : Aide au Responsable de Traitement en matière d’analyse d’impact et de consultation préalable

Le Sous-traitant aide le Responsable du Traitement à garantir le respect des obligations qui lui incombe en la matière d’analyse d’impact et de consultation préalable (articles 35 à 36 du RGPD), compte tenu de la nature du Traitement et des informations à la disposition du Sous-traitant (sauf si cette information est déjà à la disposition du Responsable du Traitement)

Article 4.8: Violation de Données à Caractère Personnel

Le Sous-traitant notifiera au Responsable du Traitement toute Violation de Données à Caractère Personnel aussi vite que possible après en avoir pris connaissance et ce sans retard excessif.

Cette notification sera accompagnée, dans la mesure du possible, de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette Violation à l’Autorité de contrôle compétente.

Article 4.9: Suppression ou restitution des Données à caractère personnel

Le Sous-traitant supprimera ou fera supprimer (par les Sous-traitants Ultérieurs) toutes les copies des Données à Caractère Personnel du Responsable du Traitement, dans les meilleurs délais et, en tout cas, dans les 12 mois à compter de la date à laquelle la prestation de service relative au Traitement des Données à Caractère Personnel a pris fin (Date de fin).

Le Responsable du Traitement est libre d’exiger à son gré, au moyen d’une notification écrite en ce sens au Sous-traitant dans les 15 jours qui suivent la Date de fin que le Sous-traitant lui restitue une copie complète de toutes les Données à Caractère Personnel.

Le Sous-traitant répondra à toute requête écrite de cette nature dans les meilleurs délais et au plus tard dans les 3 mois suivant la Date de fin.

Si en vertu du droit de l’Union européenne ou du droit de l’état membre, le Sous-Traitant est tenu de conserver, pour une période imposée, les Données à Caractère Personnel du Responsable du Traitement, les délais indiqués ci-dessus ne commenceront à courir qu’à la fin de la période imposée. Dans ce cas, le Sous-traitant garantira la confidentialité de ces Données à Caractère Personnel et veillera à ce que ces Données à Caractère Personnel du Responsable du Traitement soient Traitées exclusivement aux fins spécifiées dans les législations qui imposent de les conserver.

Article 4.10 : Documentation et droits d’audit

A la demande du Responsable du Traitement, le Sous-traitant mettra à disposition toutes les informations nécessaires afin de démontrer le respect de la présente DPA, et pour permettre la réalisation d’audit ou d’inspections par le Responsable du Traitement lui-même ou par un auditeur qu’il a mandaté à cet effet.

Le Sous-traitant aura droit à une indemnisation du Responsable du Traitement pour la communication et la mise à disposition des informations nécessaires.

Toute demande d’audit devra être formulée par écrit au minimum 15 jours ouvrables à l’avance par le Responsable du Traitement.

L’audit n’aura lieu que pendant les heures de travail et sans perturber substantiellement les activités opérationnelles du Sous-traitant. Les audits seront facturés par le sous-traitant au taux journalier de 1.000,00 € (TVA non comprise) par personne impliquée dans l’audit et ce sur la base de relevés de prestations.

Article 5 : Responsabilité

Sauf disposition contraire dans la Relation Contractuelle et tenant compte des limitations prévues dans la Relation Contractuelle, le Sous-traitant défendra, indemnisera et exonéra le Responsable du Traitement de toute responsabilité, dommage, frais et coût dus au non-respect par le Sous-traitant de ses obligations reprises dans ce DPA démontrée dans une décision judiciaire ou de l’autorité de protection des données, après écoulement des délais de recours ou d‘appel.

Afin de lever toute ambiguïté, il est souligné que le Sous-traitant ne sera pas responsable envers le Responsable du Traitement d’une infraction quelconque à la Règlementation Applicable en matière de Protection des Données imputable en tout ou en partie au Responsable du Traitement ou ses instructions.

Article 6: Dispositions finales

Article 6.1: Compétence et droit applicable

Les Parties déclarent que la juridiction compétente (unique ou exclusive) déterminée dans la Relation Contractuelle entre les Parties sera également compétente pour tout litige et toutes prétentions qui naîtraient du fait de ce DPA, en ce compris les litiges éventuels à propos de son existence, de sa validité en droit ou de sa résiliation ou encore des conséquences de sa nullité.

Les Parties déclarent que ce DPA, de même que toutes les obligations non contractuelles ou autres attachées à cet DPA seront régies par les lois du pays déterminé dans la Relation Contractuelle entre les Parties.

Article 6.2: hiérarchie des documents

Sauf accord contraire entre les Parties, rien dans ce DPA ne réduit les obligations du Sous-traitant fixées par la Relation Contractuelle entre les Parties ou ne permet au Sous-traitant de (faire) Traiter les Données à Caractère Personnel d’une manière qui est interdite par la Relation Contractuelle.

Sauf accord contraire entre les Parties, il se fait, à propos de l’objet de ce DPA, qu’en cas d’incompatibilité entre ce DPA et la Relation Contractuelle entre les Parties, les dispositions de cette DPA prévalent.

Article 6.3: Validité et caractère exécutoire

L’invalidité ou le caractère non exécutoire d’une disposition du DPA, quelle qu’elle soit, n’a aucune influence sur la validité ou le caractère exécutoire des autres dispositions du DPA.

La disposition correspondante sera soit (1) remplacée par une disposition valable et exécutoire qui se rapproche le plus de l’intention initiale des Parties, soit, si cela ne s’avère pas possible, (2) sera interprétée comme si la disposition invalidée ou non exécutoire n’avait jamais fait partie du présent DPA.

Annexe 1 : DÉTAILS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DU CONTRACTANT

La présente Annexe 1 contient certaines précisions à propos du Traitement des Données à Caractère Personnel du Responsable du Traitement, telles qu’elles sont stipulées par l’article 28(3) du RGPD.

  • Objet et durée du Traitement des Données à Caractère Personnel du Responsable du Traitement :
    • L’objet et la durée du Traitement des Données à Caractère Personnel du Responsable du Traitement sont décrits dans la Relation Contractuelle et la présente annexe.
  • La nature et l’objet (finalité) du Traitement des Données à Caractère Personnel du Responsable du Traitement : les traitements de données personnelles concerneront la fabrication et l’utilisation de Crashstickers, l’utilisation des web app proposées par le sous-traitant la fourniture de Crashstickers et de données personnelles aux clients selon les politiques de vie privée proposées.
  • Les types de Données à Caractère Personnel du Responsable du Traitement :
    • Identification des clients (courtiers agents, garages,…);
    • Identification des conducteurs;
    • Données reprises sur la carte verte;
    • Données concernant un accident (programme assist);
    • Données concernant des membres de la famille du conducteur (programme Family).
  • Les catégories d’Intéressés auxquelles se rapportent les Données à Caractère Personnel du Responsable du Traitement :
    • Les clients de Crashstickers;
    • Les conducteurs concernés;
    • Les tiers impliqués dans un accident;
    • Les membres de la famille du conducteur.

Annexe 2 : MESURES DE SECURITE MINIMALES APPLICABLES

  • Police de sécurité :
    • Le sous-traitant dispose de police et de procédures de sécurité;
    • Celles-ci sont revues périodiquement, mises à jour et communiquées au personnel et aux tiers autorisés.
  • Organisation de la sécurité de l’information :
    • Les responsabilités en matière de sécurité sont définies et attribuées chez le sous-traitant.
  • Ressources Humaines :
    • Les collaborateurs internes et externes du sous-traitant sont sensibilisés à la sécurité de l’information et des données à caractère personnel
  • Gestion des actifs :
    • Le sous-traitant dispose d’un inventaire des actifs régulièrement mis à jour
    • Les règles d’utilisation de ces actifs sont définies et clairement communiquées.
  • Sécurité physique et environnementale :
    • Les locaux du sous-traitant où se trouvent les informations, les données ainsi que leurs dispositifs de traitement disposent d’un accès sécurisé;
    • Les salle de serveurs disposent de mesures de protection physique spécifiques. Seul le personnel admis est autorisé.
  • Sécurité Opérationnelle :
    • Le sous-traitant met en place des mesures anti-virus et anti-malware afin prévenir toute altération ou vols de donnée à l’aide de logiciels malveillants;
    • Ces protections sont régulièrement mises à jour;
    • Le sous-traitant dispose d’un processus pour la gestion des demandes d’accès;
    • L’accès des collaborateurs est limité aux informations nécessaires à l’exercice de leur fonction;
    • Les droits d’administrateur sur les systèmes sont strictement limités aux personnes indispensables;
    • Le sous-traitant dispose d’une politique en matière de mot de passe;
    • Le sous-traitant a en place une politique de Backup qui permet la restauration des données en cas de besoin (perte, dommage, vol, ..);
    • Des tests de restauration sont régulièrement effectués;
    • L’utilisation des médias de stockage (USB, disque dur externe, ..) est règlementé;
    • Aucune donnée ne peut être sauvegardée sur un média n’appartenant pas au sous-traitant;
  • Sécurité des communications :
    • Le sous-traitant utilise des mesures de sécurité pour protéger les transferts d’information en utilisant des protocoles sécurisés.
  • Développement et maintenance d’applications ou de systèmes :
    • Le sous-traitant veille à ce que les exigences de sécurité soient garanties lors du développement et la maintenance de logiciels et de système;
    • Les procédures liées au change management sont documentées (point de contrôle et validation);
    • Le sous-traitant sépare les environnements de développement et de test de l’environnement de production;
    • Le sous-traitant veille à la sécurité des systèmes et à effectuer des tests avant utilisation.
  • Gestion des incidents :
    • Le sous-traitant dispose d’une procédure de gestion des incidents documentée et communiquée au personnel et aux tiers autorisés.
  • Continuité :
    • Le sous-traitant limite les risques de panne des systèmes par une bonne maintenance et par la redondance;
    • Des copies de sécurité des données sont effectuées systématiquement et conservées dans des locaux sécurisés distincts;
    • Un plan de restauration des systèmes est établi par le sous-traitant;
    • Des tests sont régulièrement réalisés et le personnel est sensibilisé.

Annexe 3 : liste des sous-traitants ultérieurs

  • Manumail
  • RTA Consulting
  • SendGrid
  • Mindee
  • eConcept Software & Services
  • Infomaniak
  • ICM Digital

Vous désirez en savoir plus

Cliquez sur l’onglet de votre choix

Courtiers belges en assurances
Agents et intermédiaires
Assurances et leasing auto
Gestionnaire de flotte
Garages et service center
Contactez-nous
Be Genius srl
Rue Jean Burgers 13

B-7850 Enghien
BELGIQUE
© Copyrights CrashStickers 2024 | Mentions légales  | Politique de vie privée  | Data Processing Agreement  | Politique de cookies  | Disclaimer