Les parties :
1. Sereni SA, Jan Van Gentstraat 7 b402 – 2000 Anvers, ci-après dénommée le
« Responsable du traitement », ET
2. Le Sous-Traitant
Attendu que :
● conformément à l’article 28, alinéa 3 du RGPD, les parties sont tenues de prendre
des dispositions afin de garantir la confidentialité des données à caractère personnel
et de les consigner dans un contrat de sous-traitance, ci-après dénommé « le
Contrat »,
● les parties se communiqueront mutuellement en temps utiles toutes les informations
nécessaires afin de garantir le respect des lois et réglementations applicables en
matière de protection de la vie privée,
● les dispositions du présent contrat prévalent sur tous les autres accords conclus
entre les parties concernant le traitement de données à caractère personnel, si et
dans la mesure où ils dérogent à ce qui est stipulé dans le présent contrat,
ont convenu de ce qui suit :
Article 1 – Durée du contrat
1. Le contrat est conclu pour une durée indéterminée.
Article 2 – Objet du contrat
Le responsable du traitement reçoit les données à caractère personnel suivantes de notre
client :
1. Prénom
2. Nom (de famille)
3. e-mail
4. Numéro de téléphone
5. Données d’adresse
6. Lien de parenté avec le défunt
Article 3 – Traitement et utilisation des données à caractère personnel
1. La finalité du traitement dépend de la nature du service fourni.
2. Le sous-traitant utilise les données à caractère personnel obtenues uniquement aux
fins pour lesquelles elles ont été fournies.
3. Le sous-traitant est personnellement tenu de traiter les données en totale conformité
avec les lois et réglementations en vigueur.
4. Le sous-traitant ne transmettra pas les données à caractère personnel à des tiers,
sauf si cela est nécessaire pour se conformer à une obligation légale.
5. Le sous-traitant veille à ce que les données à caractère personnel ne soient pas
traitées en dehors de l’Espace économique européen.
Article 4 – Confidentialité
1. Le sous-traitant prend toutes les mesures nécessaires pour garantir la confidentialité
des données à caractère personnel du responsable du traitement.
2. Le sous-traitant imposera la même obligation de confidentialité à son personnel et/ou
aux personnes ou sous-traitants ultérieurs auxquels il fait appel à cette fin.
Article 5 – Protection
1. Le responsable du traitement et le sous-traitant prendront tous deux les mesures
techniques et organisationnelles appropriées, telles que visées à l’article 32 du
RGPD, afin de pouvoir garantir un niveau de sécurité adapté au risque.
2. Si le responsable du traitement souhaite procéder à l’évaluation d’une activité de
traitement visée, le sous-traitant apportera toute la collaboration raisonnable pour
mener à bien cette évaluation conformément aux lois et réglementations en vigueur.
3. Le sous-traitant offre également toute la collaboration raisonnable pour une
consultation préalable de l’Autorité de protection des données.
Article 6 – Audit
1. Si l’Autorité de protection des données ou une autre autorité compétente souhaite
mener une enquête, le sous-traitant fournira toute la collaboration raisonnable à cette
fin et en informera le responsable du traitement dans les meilleurs délais.
Article 7 – Violation de données
1. Le sous-traitant doit informer le responsable du traitement de toute violation de
données.
2. En cas de violation de données, le sous-traitant prend toutes les mesures
raisonnables nécessaires pour en limiter les conséquences et empêcher une autre
violation de données.
3. Le sous-traitant fournit au responsable du traitement toute la collaboration
nécessaire pour évaluer l’étendue et les conséquences de la violation de données et
pour se conformer à toute obligation de notification de la violation de données envers
l’Autorité de protection des données ainsi qu’à l’obligation d’information envers les
personnes concernées.
Article 8 – Procédure de notification de violations de données
Dans le cas d’une violation de données, la procédure suivante s’applique :
● le sous-traitant enregistre tous les incidents de sécurité d’une manière
compréhensible pour le responsable du traitement ;
● cet enregistrement comprend au moins les données suivantes : une description de
l’incident, le nombre (approximatif) de personnes concernées par l’incident, le(s)
groupe(s) de personnes concerné(s) par l’incident, la date et l’heure de l’incident, la
nature de la violation, le type de données concernées, les conséquences possibles
pour les personnes concernées, les mesures techniques et organisationnelles qui
sont prises à la suite de l’incident, la manière dont les données ayant fait l’objet de la
violation sont protégées, si les données ont été hachées, rendues inaccessibles ou
peuvent être effacées et/ou ont été effacées à distance, et dans l’affirmative, quelles
données de personnes d’autres pays de l’UE ont été touchées par la violation de
données ;
● le sous-traitant informe le responsable du traitement dans les 5 heures après avoir
pris connaissance de l’incident et lui remet en même temps l’enregistrement de cet
incident, tel que décrit ci-dessus ;
● pendant les 24 heures qui suivent la notification d’une violation de données au
responsable du traitement, le sous-traitant se tient à la disposition du responsable du
traitement et/ou d’experts éventuellement désignés par ce dernier à des fins de
consultation ;
● le responsable du traitement informe à l’avance le sous-traitant de sa décision de
notifier la violation de données à l’Autorité de protection des données ;
● le sous-traitant offre au responsable du traitement toute la collaboration nécessaire
pour que ce dernier puisse notifier la violation de données à l’Autorité de protection
des données conformément aux exigences légales ;
● le sous-traitant offre au responsable du traitement toute la collaboration requise afin
d’informer les personnes concernées de la violation de données conformément à
l’article 34 du RGPD.
Article 9 – Demandes de personnes concernées
1. Toute demande de consultation, de rectification, d’effacement de données, de
limitation du traitement, de portabilité des données ou d’opposition, comme stipulé
dans les articles 15 à 21 du RGPD, reçue par le sous-traitant est transmise sans
délai au responsable du traitement.
2. Le sous-traitant fournit au responsable du traitement toute la collaboration
raisonnable afin que ce dernier puisse donner suite dans les délais légaux à une
demande visée à l’alinéa 1.
Article 10 – Responsabilité et préservation
1. Le sous-traitant n’est pas responsable de dommages résultant de la violation d’une
loi ou réglementation par le responsable du traitement.
2. Le responsable du traitement n’est pas responsable de dommages résultant de la
violation d’une loi ou réglementation par le sous-traitant.
Article 11 – Conséquences de la nullité ou de l’annulabilité
Si une partie du contrat s’avère être nulle ou annulable, cela n’affecte pas les autres
dispositions du contrat. Une disposition nulle ou annulable est dans ce cas remplacée par
une disposition qui se rapproche le plus de l’intention des parties sur ce point au moment de
la conclusion du contrat.
Article 12 – Droit applicable et juridiction compétente
1. Le droit belge s’applique au présent contrat.
2. Tous les éventuels litiges découlant du présent contrat et qui ne peuvent être résolus
à l’amiable seront soumis au tribunal compétent de l’arrondissement judiciaire
d’Anvers.
Le présent contrat de sous-traitance standard est considéré comme accepté si aucun refus
d’acceptation n’est transmis au responsable du traitement dans un délai d’un jour ouvrable.