Conditions générales du Processeur
Février 2020
Les présentes Conditions générales du Processeur sont une annexe des « Conditions d’utilisation IoTaas de MTinfo 3000 » (ci-après, l’Accord principal) entre le client (ci-après : le Contrôleur) et Dual Inventive (ci-après : le Processeur) et fait partie intégrante de l’Accord principal.
Définitions
Les termes en majuscules des présentes Conditions générales du Processeur sont définis dans le Règlement général sur la protection des données (EU 2016/679, RGPD). En outre, les termes suivants sont employés :
Violation de données : désigne une violation (au sens des articles 33 et 34 du RGPD) impliquant des données à caractère personnel reçues du Contrôleur, directement ou indirectement, par le Processeur.
Données à caractère personnel : ont le sens défini dans le RGPD ; selon les Conditions générales du Processeur, elles s’appliquent uniquement aux données à caractère personnel fournies, directement ou indirectement, par le Contrôleur au Processeur.
Conditions générales du Processeur : désigne les présentes conditions générales, préambule et annexes inclus.
Article 1. Conditions générales
- Selon les présentes Conditions générales du Processeur, celui-ci s’engage à traiter les données à caractère personnel conformément aux instructions du Contrôleur. Le traitement sera effectué uniquement dans le cadre de l’Accord principal, c’est-à-dire pour la fourniture au Contrôleur des services MTinfo 3000 et des services en ligne associés, pour le stockage dans le Cloud des données fournies par le Contrôleur et les services en ligne associés ; ainsi qu’à toute autre fin pouvant raisonnablement y être associée ou convenue plus précisément entre les parties.
- Hormis pour effectuer des méta-analyses statistiques relatives à ses services, le Processeur n’exploitera pas les données à caractère personnel à d’autres fins que celles qui sont spécifiées dans les présentes Conditions générales. Le Processeur s’engage à ne pas prendre de décisions concernant l’exploitation des données à caractère personnel, la fourniture de données à des tiers ni la durée du stockage de données à caractère personnel autres que celles qui sont spécifiées dans les présentes Conditions générales.
- Les données à caractère personnel à traiter selon les instructions du Contrôleur resteront la propriété de celui-ci et/ou la personne en question.Tous les droits de propriété (intellectuelle) – y compris les droits d’auteur et les droits sur les bases de données – sur les données à caractère personnel collectées ou sur les copies ou mises à jour de celles-ci sont et restent la propriété du Contrôleur ou de son ou ses concédants de licence.
Article 2. Obligations
- Concernant le traitement mentionné à l’Article 1, le Processeur veillera à la conformité aux lois et réglementations en vigueur, ce qui inclut a minima les lois et réglementations régissant la protection des données à caractère personnel, telles que le RGPD.
- Le Processeur informera le Contrôleur, sur simple demande, des mesures qu’il aura prises concernant les obligations qui lui incombent en vertu des présentes Conditions générales du Processeur.
- Les présentes Conditions générales du Processeur s’appliquent également à quiconque traite des données à caractère personnel sous l’autorité du Processeur, y compris, entre autres, de ses employés.
Article 3. Engagement de tiers ou de sous-traitants
- Le Processeur est autorisé à faire appel à des tiers ou des sous-traitants dans le cadre des présentes Conditions générales du Processeur, très lors qu’il en notifie le Contrôleur à l’avance. Actuellement, le Processeur utilise les parties suivantes: Tiers.
- Le processeur fait appel aux fournisseurs de services de télécommunication Vodafone et T-Mobile pour les services « Critical IoT ». KPN et Tele2 sont également sollicités pour les services « Massive-IoT » (capteurs inclus).
- En outre, le Processeur partage les données avec des fournisseurs d’API, tels que RailAlert, si la personne concernée donne sa permission. Le Contrôleur sera notifié dès que de nouvelles parties ou d’autres parties seront sollicitées pour le traitement des données à caractère personnel.
- Le Processeur veillera à ce que ces tiers ou sous-traitants assument les mêmes obligations, par écrit, que celles qui le lient au Contrôleur.
Article 4. Transfert de données à caractère personnel
- Le Processeur est autorisé à traiter les données à caractère personnel sur le territoire de l’Union Européenne. Le Processeur est également autorisé à transférer les données à caractère personnel vers des pays hors de l’Union Européenne, dès lors que les lois qui régissent le transfert de données à caractère personnel vers des pays tiers sont respectées.
- Dans ce cas, le Processeur est tenu d’informer le Contrôleur du ou des pays dans lesquels les données sont envoyées.
Article 5. Répartition des responsabilités
- Le Processeur fournira au Contrôleur des outils TIC pour le traitement, qui seront à utiliser conformément aux fins décrites ci-dessus.
- Le Processeur est uniquement responsable du traitement des données à caractère personnel selon les présentes Conditions générales du Processeur, conformément aux instructions du Contrôleur et (in fine) sous sa responsabilité expresse. Le Processeur n’est explicitement pas responsable de tout autre traitement de données à caractère personnel, ce qui inclut dans tous les cas, entre autres, la collecte de données à caractère personnel par le Contrôleur, le traitement à des fins qui n’ont pas été communiquées au Processeur par le Contrôleur, et le traitement par des tiers et/ou à d’autres fins.
- Le Contrôleur garantit que le contenu, l’utilisation et les instructions de traitement des données à caractère personnel, au sens des présentes Conditions générales du Processeur, ne sont pas illégitimes et n’enfreignent aucun droit de tiers.
Article 6. Sécurité
- Le Processeur prendra les mesures techniques et organisationnelles appropriées concernant le traitement des données à caractère personnel, afin de prévenir leur perte ou toute forme de traitement illégitime (telle qu’une inspection non autorisée des données à caractère personnel, l’accès à celles-ci, leur modification ou leur divulgation).
- Le Processeur ne garantit pas que les mesures de sécurité seront efficaces en toutes circonstances, mais il fera tout ce qui est raisonnablement nécessaire pour offrir un niveau de sécurité reflétant l’état de l’art, la sensibilité des données à caractère personnel ainsi que le coût de l’implémentation de ces mesures.
- Le Contrôleur s’engage à fournir au Processeur les données à caractère personnel pour traitement uniquement après s’être assuré que les mesures de sécurité requises ont été prises. Le Contrôleur est responsable du respect des mesures convenues entre les Parties.
Article 7. Obligation de rapport
- Le Contrôleur est tenu de toujours signaler les violations de données constatées.
Pour lui permettre de s’acquitter de cette obligation, le Processeur doit, dès qu’il en a connaissance, l’informer d’une violation de données chez lui, chez des tiers ou chez des sous-traitants engagés par ses soins impliquant des données à caractère personnel traitées pour lui. - L’obligation de rapport implique dans tous les cas de signaler le fait qu’une violation a bien eu lieu. En outre, l’obligation de rapport comprend :
- la cause (suspectée) de la violation,
- les conséquences (connues et/ou prévues),
- la personne à contacter pour le suivi de la violation de données.
- Le Processeur prêtera assistance au Contrôleur dans l’acquittement de ses obligations en vertu des Articles 33 et 34 du RGPD, et ce dans le respect strict des procédures du Contrôleur. Le Contrôleur remboursera au Processeur, dans les limites du raisonnable, tous les frais engagés dans ce contexte.
- Le Processeur tiendra le Contrôleur informé des nouveaux développements concernant la violation de données et des mesures prises par le Processeur afin d’en limiter les conséquences et d’éviter qu’elle se reproduise.
Article 8. Soumission de demandes provenant de personnes
- Si, comme indiqué aux articles 15 à 22 du RGPD, une personne adresse une demande au Processeur, celui-ci la transmet au Contrôleur afin qu’il la prenne en charge. Le Processeur est autorisé à en informer la personne.
- Le Processeur s’engage à coopérer pleinement avec le Contrôleur en vue de s’acquitter des obligations visées aux articles 15 à 22 du RGPD pendant les périodes obligatoires. Le Contrôleur s’engage à rembourser au Processeur, dans les limites du raisonnable, tous les frais engagés dans ce contexte.
Article 9. Secret et confidentialité
- Toutes les données à caractère personnel que le Processeur reçoit du Contrôleur et/ou collectées par ses soins dans le cadre des présentes Conditions générales du Processeur sont soumises à une obligation de confidentialité vis-à-vis de tiers. Le Processeur s’engage à n’exploiter ces informations à aucune autre fin que celles pour lesquelles il les a reçues, y compris si elles ne sont pas fournies d’une manière permettant d’identifier les personnes.
- Cette obligation de confidentialité ne s’applique pas tant que le Contrôleur n’a pas donné explicitement la permission de communiquer les informations en question à des tiers, si la communication de ces informations à des tiers est logiquement nécessaire à la lumière de la nature des instructions fournies et de l’application des présentes Conditions générales du Processeur, ou si la loi exige de communiquer ces informations à un tiers.
- Le Processeur imposera une obligation de confidentialité pour les données à caractère personnel à ses employés et à toute autre partie engagée par ses soins dans le cadre de ses services et qui ont accès à ces données à caractère personnel.
- Après l’expiration de l’Accord principal et des présentes Conditions générales du Processeur, le présent Article 9 et les règles de confidentialité qu’il énonce resteront en vigueur.
Article 10. Audit
- Le Contrôleur a le droit de procéder à des audits afin de s’assurer de la conformité aux obligations du Processeur découlant des présentes Conditions générales du Processeur.
- Cet audit sera annoncé au moins deux semaines à l’avance, afin de permettre aux parties de s’y préparer dans de bonnes conditions. Il sera effectué au maximum une fois par an et pas avant que le Contrôleur ait demandé et examiné les certifications du Processeur, les rapports (d’audit) et les documents similaires, et ait exposé des motifs suffisamment convaincants pour justifier un audit.
- Le Processeur s’engage à coopérer pendant l’audit et à mettre à disposition dès que possible toutes les informations jugées pertinentes, dans les limites du raisonnable, dont les données justificatives telles que les journaux système et les employés.
- Les constats effectués au cours de l’audit devront être évalués par le Processeur
et le Contrôleur en concertation et, sur la base de cette évaluation, mis en œuvre par l’une des parties ou par les deux ensemble. - Les frais de l’audit effectué à l’initiative du Contrôleur doivent être assumés par lui.
Article 11. Responsabilité
- S’il apparaît que le Processeur est responsable de pertes subies par le Contrôleur ou des tiers, cette responsabilité est limitée à ce qui est spécifié dans la présente Section.
- Le Processeur n’est pas tenu pour responsable des pertes, quelle qu’en soit la nature, qui résultent d’un usage incorrect de ses services, y compris de MTinfo 3000, ou des pertes résultant de données incorrectes et/ou incomplètes fournies par ou pour le compte du Contrôleur et utilisées par le Processeur.
- S’il apparaît que le Processeur est responsable de pertes, sa responsabilité est toujours limitée au montant déboursé par son assureur.
- Si l’assureur du Processeur ne couvre pas les pertes, le Processeur doit les compenser à hauteur d’un montant égal au double de la facture des services fournis au cours de l’année concernée au titre de l’Accord principal ; cette disposition inclut uniquement le montant des services facturés auxquels s’applique la responsabilité.
- Le Processeur sera tenu pour responsable uniquement des pertes directes. Une perte directe est définie exclusivement comme (i) une perte financière directe subie par le Contrôleur, (ii) le coût, dans les limites du raisonnable, de la détermination de la cause et de l’étendue de la perte pour autant qu’elles soient déterminées comme perte au sens des présentes Conditions générales, (iii) les frais engagés, dans les limites du raisonnable, pour que le défaut de performance du Processeur puisse être conforme aux présentes Conditions générales, pour autant qu’il puisse être imputé au Processeur, et (iv) les frais engagés, dans les limites du raisonnable, dans la prévention ou la limitation des pertes, pour autant que le Contrôleur soit en mesure de montrer que ces frais ont permis la limitation des pertes directes au sens des présentes Conditions générales. Concernant les pertes directes susmentionnées, le Processeur sera tenu d’indemniser le Contrôleur de manière à ce que la position du Processeur soit telle qu’elle aurait été s’il avait dûment rempli ses obligations.
- Le Processeur ne sera pas tenu pour responsable des pertes indirectes, qu’il s’agisse de pertes induites, de manque à gagner, de perte d’épargne et de pertes dues à une interruption de l’activité.
- Les déficiences de quelque nature que ce soit dans les services fournis par des tiers, tels que le stockage de données ou les fournisseurs de services de télécommunication, ne peuvent pas être imputés au Processeur, et celui-ci n’est pas responsable des pertes causées par ces déficiences.
- Les limitations de responsabilité visés dans la présente Section ne doivent pas s’appliquer si la perte est due à une négligence grossière de la part du Processeur.
Article 12. Force majeure
- Le Processeur n’est tenu de remplir aucune obligation en vertu des présentes Conditions générales s’il en est empêché par des circonstances indépendantes de sa volonté et dont il n’est pas responsable au regard de la loi, d’une action en justice ou de normes généralement acceptées, y compris de cas de force majeure.
- Dans les présentes Conditions générales, le cas de force majeure comprend, outre les dispositions légales et la jurisprudence, toutes les causes externes, prévues et imprévues, indépendantes de la volonté du Processeur, mais du fait desquelles il n’est pas en mesure de s’acquitter de ses obligations, telles que des retards ou des manquements de la part de producteurs et/ou de fournisseurs, des difficultés de transport et de communication, des pannes de systèmes informatiques et des grèves. Le Processeur est également en droit d’invoquer un cas de force majeure si une circonstance empêchant la (plus grande) conformité aux Conditions générales survient après que le Contrôleur aurait dû s’être acquitté de ses obligations.
- Le Processeur est autorisé à suspendre les obligations visées dans les Conditions générales tant que le cas de force majeure subsiste. Si cette période dure plus de deux mois, chacune des parties est en droit de résilier l’Accord principal sans être tenue d’indemniser l’autre partie.
Article 13. Indemnisation
- Le Contrôleur indemnise le Processeur pour toute réclamation émanant de tiers ayant subi une perte liée à l’application des présentes Conditions générales et pouvant être imputée à quelqu’un d’autre que le Processeur.
- Si cette réclamation est faite à l’encontre du Processeur par un tiers, le Contrôleur est tenu d’assister le Processeur au tribunal et en dehors, sans délai, et de faire tout ce qui peut être attendu de lui dans ce cas. Si le Contrôleur manque à cette obligation de prendre des mesures adéquates, le Processeur est en droit de prendre ses propres mesures sans autre notification. Tous les frais et pertes résultants subis par le Processeur et les tiers sont entièrement aux frais et aux risques du Contrôleur.
Article 14. Durée et résiliation
- Les présentes Conditions générales du Processeur sont convenues pour la durée spécifiée dans l’Accord principal ou, en l’absence de celui-ci, pour toute la durée de la coopération. Les Conditions générales du Processeur resteront en vigueur pour le traitement des données à caractère personnel par ses soins tant qu’il continuera de traiter les données ou de les faire traiter par un tiers.
- Dès que ses Conditions générales du Processeur auront été résiliées, pour quelque motif et par quelque méthode que ce soit, le Processeur s’engage à supprimer et/ou détruire toutes les données à caractère personnel en sa possession, et toute copie de celles-ci, au bout de 1 an. Le Processeur spécifie cette période car les données en question peuvent être nécessaires par la suite dans le contexte des services d’infrastructure fournis par ses soins.
- Ces Conditions générales du Processeur peuvent être modifiées de la même manière que l’Accord principal.
- Les parties s’engagent à mettre à jour ces Conditions générales du Processeur en concertation afin de tenir compte de tout amendement des lois et réglementations relatives à la vie privée.
Article 15. Loi en vigueur
- Le traitement des données à caractère personnel par le Processeur est régi exclusivement par les présentes Conditions générales et l’Accord principal. Les éventuelles autres Conditions générales du Contrôleur ne s’appliquent en aucun cas.
- Les présentes Conditions générales sont régies exclusivement par le droit néerlandais. Tout différend lié aux présentes Conditions générales doit être soumis exclusivement au tribunal du district de Bois-le-Duc (‘s-Hertogenbosch) et tranché conformément au droit judiciaire néerlandais.