Entre:

• [●], (le “Contrôleur”); et

• Leat Netherlands B.V., une société à responsabilité limitée constituée selon les lois des Pays-Bas, dont le siège social est à Utrecht, ayant son principal lieu d'activité à Bisonspoor 3002 B 901, 3605 LT à Maarssen, et enregistrée au registre du commerce sous le numéro 58334904 (le “Sous-traitant”).

Les parties à ce DPA sont ci-après également désignées collectivement comme les Parties et chacune comme une Partie.

Considérant que :

• Le Contrôleur traite des données personnelles au sens du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) (le “RGPD”), y compris, mais sans s'y limiter, des données personnelles concernant son [●] pour lesquelles il détermine les finalités et les moyens du traitement et est donc qualifié de contrôleur au sens de l'Article 4(7) du RGPD ;

• Les Parties ont conclu l'accord [●] avec une date d'entrée en vigueur [●] (l'"Accord"). L'Accord concerne la plateforme d'engagement client en ligne proposée par le Sous-traitant ;

• Dans le cadre de l'exécution de l'Accord, le Contrôleur fournira directement et/ou indirectement des Données Personnelles au Sous-traitant et/ou le Sous-traitant obtiendra un accès aux Données Personnelles du Contrôleur ;

• Dans le cadre de l'exécution de l'Accord, le Sous-traitant traitera les Données Personnelles selon les instructions du Contrôleur, sans être soumis à leur autorité directe et en étant donc qualifié de sous-traitant au sens de l'Article 4(8) du RGPD ; et

• Les Parties souhaitent, en plus de l'Accord, établir leurs droits et obligations dans ce DPA conformément au RGPD, à la Loi d'Exécution du RGPD néerlandais (Uitvoeringswet Algemene verordening gegevensbescherming), et à toute autre législation et réglementation européenne et nationale sur la protection de la vie privée applicables ("Législation Applicable en matière de Protection des Données").

Les Parties conviennent de ce qui suit :

1. Définitions

Les Parties utilisent les définitions (en majuscules) suivantes dans ce DPA :

Autorité : L'autorité de contrôle mentionnée à l'Article 51 du RGPD ;

Personne Concernée : La personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles ;

Protocoles de Sécurité : Les mesures de sécurité à appliquer par le Sous-traitant comme décrit dans l'Annexe 1 ;

Violation de Données : Une violation de la sécurité des Données Personnelles au sens de l'Article 4(12) du RGPD ;

Données Personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable au sens de l'Article 4(1) du RGPD, que le Sous-traitant a obtenue directement et/ou indirectement du Contrôleur et/ou auxquelles le Sous-traitant a eu accès par le Contrôleur.

2. Objet du traitement

2.1 - Le Sous-traitant traitera les Données Personnelles uniquement au profit du Contrôleur, conformément aux instructions et sous la responsabilité du Contrôleur, conformément à ce qui est décrit dans l'Annexe 2 à ce DPA. Le Sous-traitant ne contrôle pas les finalités et les moyens du traitement des Données Personnelles.

2.2 - Eu égard aux dispositions du paragraphe précédent, le traitement des Données Personnelles par le Sous-traitant ne pourra avoir lieu que dans le cadre de :

• l'exécution de l'Accord et ce DPA ; et

• une obligation légale qui exige du Sous-traitant qu'il traite des Données Personnelles ; dans ce cas, si la loi le permet, le Sous-traitant informera le Contrôleur de cette exigence légale avant le traitement.

2.3 - Les Données Personnelles resteront la propriété du Contrôleur et/ou de la Personne Concernée concernée. Le Contrôleur garantit que les Données Personnelles ne contiennent pas de catégories particulières de données personnelles au sens des Articles 9 et 10 du RGPD, de numéros d'identification nationale au sens de l'Article 87 du RGPD, ou de données personnelles sensibles telles que décrites par l'Autorité Néerlandaise de Protection des Données (Autoriteit Persoonsgegevens).

3. Obligations du sous-traitant

3.1 - Le Sous-traitant est tenu de fournir, à la première demande du Contrôleur, toute coopération nécessaire pour accéder, transférer, supprimer et/ou détruire les Données Personnelles.

3.2 - Le Sous-traitant est tenu d'imposer par écrit ses obligations en vertu du DPA à ceux agissant sous l'autorité du Sous-traitant, y compris, mais sans s'y limiter, les employés du Sous-traitant et les (sous)traitants engagés par le Sous-traitant. Le Sous-traitant est entièrement responsable envers le Contrôleur pour (les dommages résultant de) le traitement des Données Personnelles par les (sous)traitants qu'il a engagés conformément à l'Article 13 de ce DPA.

3.3 - Le Sous-traitant est tenu de fournir au Contrôleur la coopération raisonnable nécessaire pour respecter les droits de la Personne Concernée comme mentionné aux Articles 12 à 22 du RGPD, effectuer des évaluations d'impact sur la protection des données comme mentionné à l'Article 35 du RGPD, et se conformer aux obligations légales du Contrôleur à cet égard.

3.4 - Le Sous-traitant est tenu de tenir des registres montrant en détail comment il respecte ses obligations en vertu de ce DPA et de la Législation Applicable en matière de Protection des Données. Le Sous-traitant est obligé de permettre au Contrôleur d'inspecter ces registres sur première demande et d'informer par écrit le Contrôleur des mesures qu'il a prises concernant ses obligations en vertu de ce DPA et de la Législation Applicable en matière de Protection des Données.

4. Mesures de sécurité

4.1 - Le Sous-traitant doit prendre des mesures techniques et organisationnelles appropriées pour sécuriser les Données Personnelles contre la perte et/ou toute forme de traitement illégal. À cet égard, le Sous-traitant doit au moins, mais pas exclusivement, adhérer au niveau de sécurité défini dans les Protocoles de Sécurité.

4.2 - Le Sous-traitant est conscient de l'importance des mesures de sécurité et doit, sur demande, divulguer annuellement de manière désignée par le Sous-traitant les mesures techniques et organisationnelles appropriées qu'il a prises pour sécuriser les Données Personnelles.

4.3 - Si le Sous-traitant modifie les mesures établies dans les Protocoles de Sécurité et si ces changements affectent négativement le niveau de sécurité des Données Personnelles, le Sous-traitant informera le Contrôleur avant les changements, offrant au Contrôleur l'opportunité de s'opposer à ces changements. Le Sous-traitant doit se conformer aux objections du Contrôleur si les changements empêchent le Sous-traitant et/ou le Contrôleur de se conformer aux exigences de l'Article 32 du RGPD.

5. Notification de violation de données

5.1 - En cas de Violation de Données, le Sous-traitant doit, sans retard injustifié, mais en tout état de cause dans les 48 heures suivant la découverte de la Violation de Données, notifier le Contrôleur par écrit à l'adresse email suivante : [●].

5.2 - Dans les 48 heures suivant la découverte de la Violation de Données, si disponible à ce moment, le Sous-traitant fournira au Contrôleur les informations nécessaires pour faire les notifications mentionnées dans les Articles 33 et 34 du RGPD, couvrant au minimum :

• les catégories et une indication du nombre de Données Personnelles affectées ;

• les catégories et une indication du nombre de Personnes Concernées affectées ;

• la nature de la Violation de Données ;

• la période pendant laquelle la Violation de Données a eu lieu ;

• les mesures prises pour atténuer les conséquences négatives de la Violation de Données ;

• une description des conséquences observées et suspectées de la Violation de Données ;

• les mesures prises ou proposées à être prises par le Sous-traitant et/ou les (sous)traitants engagés par celui-ci pour remédier à ces conséquences.

5.3 - Le Contrôleur effectuera lui-même les notifications mentionnées à l'Article 33 du RGPD à l'Autorité et, si nécessaire, à la Personne Concernée conformément à l'Article 34 du RGPD. Sans le consentement écrit préalable du Contrôleur, le Sous-traitant n'est pas autorisé à signaler les Violations de Données à l'Autorité et/ou à la Personne Concernée.

5.4 - Les Parties peuvent convenir par écrit que et sous quelles conditions le Sous-traitant effectuera des notifications au sens des Articles 33 et 34 du RGPD.

6. Transferts de données internationaux

6.1 - Le Sous-traitant est autorisé à traiter et/ou transférer des Données Personnelles vers des pays tiers ou des organisations internationales en dehors de l'Espace économique européen, à condition qu'un ou plusieurs des garanties mentionnées aux Articles 44 à 49 du RGPD soient applicables. Le Sous-traitant est tenu d'informer par écrit le Contrôleur de son intention de transférer des Données Personnelles vers des pays tiers ou des organisations internationales en dehors de l'Espace économique européen et des mesures prises à cet égard.

7. Contrôle et audit

7.1 - Le Sous-traitant doit fournir au Contrôleur les informations raisonnablement requises et coopérer avec les audits du Contrôleur, ou d'un tiers désigné par le Contrôleur, qui sont raisonnablement demandés et nécessaires pour démontrer que le Sous-traitant est en conformité avec ses obligations en vertu de ce DPA.

7.2 - Le calendrier de tout audit sera convenu d'un commun accord.

7.3 - Le Contrôleur doit fournir au Sous-traitant un préavis écrit opportun d'un audit que le Contrôleur demande de réaliser conformément à la Section 7.1, y compris une explication des motifs de l'inspection. Le Contrôleur doit limiter la quantité d'audits et s'assurer que le Contrôleur ou le tiers désigné par le Contrôleur est lié par des obligations de confidentialité, respecte les instructions et ordres raisonnables du Sous-traitant, se conforme aux réglementations de sécurité et autres réglementations applicables sur le site de l'inspection, et ne cause pas de dommages ou ne perturbe pas les opérations commerciales. Le Sous-traitant ne sera pas tenu de permettre l'accès à ses locaux à des fins d'inspection :

• pour des personnes qui ne peuvent pas s'identifier et produire une preuve d'autorité ; ou

• en dehors des heures normales d'ouverture et/ou pendant les week-ends.

7.4 - Les coûts associés à un audit seront entièrement à la charge du Contrôleur. Les heures de travail qui seront nécessaires au Sous-traitant pour les fins mentionnées dans cette Section seront facturées au Contrôleur à un tarif horaire de 175 EUR sur une base après coup.

7.5 - Le Contrôleur doit fournir au Sous-traitant une copie du rapport d'audit dès que possible après l'achèvement d'un audit et donner au Sous-traitant la possibilité raisonnable de répondre par écrit au rapport d'audit.

8. Droits des personnes concernées

8.1 - Le Sous-traitant est tenu d'informer le Contrôleur dans un délai d'une semaine calendaire si une Personne Concernée a formulé une demande pour exercer ses droits mentionnés aux Articles 12 à 22 du RGPD.

8.2 - Le Sous-traitant est tenu de fournir au Contrôleur la coopération appropriée qui peut raisonnablement être requise pour l'exercice des droits de la Personne Concernée en vertu du RGPD.

9. Confidentialité

9.1 - Le Sous-traitant est tenu de maintenir la confidentialité des Données Personnelles. Le Sous-traitant doit imposer cette obligation de confidentialité à ses employés et aux tiers engagés par le Sous-traitant.

9.2 - Sans le consentement écrit préalable du Contrôleur, le Sous-traitant n'est pas autorisé à divulguer des informations qui peuvent raisonnablement être attribuées à ce DPA et/ou à une Personne Concernée et/ou à une Violation de Données à des tiers, y compris mais sans s'y limiter aux Personnes Concernées, aux Autorités et aux médias.

10. Durée et résiliation

10.1 - Ce DPA entrera en vigueur dès que les Parties auront signé valablement et sera conclu pour la durée de l'Accord. Sous réserve des dispositions de la Section 12 de ce DPA, ce DPA prendra fin automatiquement à la résiliation (beëindiging) ou à la dissolution (ontbinding) de l'Accord.

10.2 - L'Article 10 (Confidentialité) et l'Article 15 (Droit applicable et juridiction) survivront entre les Parties indéfiniment, même après la résiliation (beëindiging) ou la dissolution (ontbinding) de ce DPA.

11. Conséquences de la résiliation

11.1 - Dans la mesure où le Sous-traitant détient encore des Données Personnelles après la résiliation ou la dissolution de ce DPA, il doit les détruire dès que possible ou – à la discrétion du Contrôleur – les retourner au Contrôleur, sauf si le Sous-traitant est tenu de conserver les Données Personnelles en vertu des lois ou réglementations applicables. Dans ce dernier cas, le Sous-traitant doit remplir toutes ses obligations en vertu de ce DPA pendant toute la période pendant laquelle il est tenu de conserver les Données Personnelles selon les lois ou réglementations applicables. Le Sous-traitant doit informer le Contrôleur de l'existence de telles obligations sans délai déraisonnable, sauf si cela n'est pas permis par les lois ou réglementations applicables.

11.2 - En cas de résiliation ou de dissolution de ce DPA, le Sous-traitant doit informer le Contrôleur par écrit de la date de suppression des Données Personnelles. Le Contrôleur peut choisir jusqu'à 48 heures avant la date de suppression de faire retourner les Données Personnelles plutôt que de les supprimer, en en informant par écrit le Sous-traitant. Si le Contrôleur opte pour le retour, le Sous-traitant doit retourner les Données Personnelles au Contrôleur et supprimer les copies existantes à la date de suppression. Les demandes du Contrôleur de supprimer ou de retourner les Données Personnelles peuvent être envoyées à l'adresse email suivante : contracts@leat.com.

12. Engagement de (sous)traitants

12.1 - Le Contrôleur donne son consentement général au Sous-traitant pour engager des (sous)traitants. Avant d'engager un (sous)traitant, le Sous-traitant doit informer le Contrôleur des changements envisagés concernant l'ajout ou le remplacement d'autres (sous)traitants, donnant au Contrôleur l'occasion de s'opposer à ces changements.

12.2 - À la première demande du Contrôleur, le Sous-traitant doit fournir au Contrôleur un aperçu des (sous)traitants engagés par lui. Un aperçu des (sous)traitants déjà engagés au moment de la signature de ce DPA est inclus dans l'Annexe 3 à ce DPA.

13. Coûts

13.1 - Les coûts résultant des droits des Personnes Concernées comme mentionné aux Articles 14 à 22 du RGPD, des évaluations d'impact sur la protection des données comme mentionné à l'Article 35 du RGPD, et/ou des enquêtes ou audits par l'Autorité concernant les Données Personnelles seront à la charge du Contrôleur. Les heures de travail requises du Sous-traitant seront facturées au Contrôleur à un tarif horaire de 175 EUR sur une base après coup. Les coûts engagés par le Sous-traitant à la demande du Contrôleur ou des Autorités seront à la charge du Contrôleur.

14. Changements législatifs

14.1 - Lors de l'amendement des lois et/ou réglementations existantes et lors de l'introduction de nouvelles lois et/ou réglementations, le Sous-traitant doit, à la première demande du Contrôleur, fournir toute coopération qui peut raisonnablement en être attendue, tel que, mais sans s'y limiter, la modification de ce DPA.

15. Loi applicable et juridiction

15.1 - La relation juridique entre les Parties régie par ce DPA sera régie par le droit néerlandais.

15.2 - Tous les litiges entre les Parties liés ou découlant de ce DPA seront tranchés par le tribunal compétent du district judiciaire de Midden-Nederland.

Annexe 1 : Protocoles de Sécurité

Les mesures à prendre par le Sous-traitant comme mentionné à la Section 4 du DPA consisteront au moins, mais pas exclusivement :

• A. - Se conformer aux obligations mentionnées dans la clause 5 (notification de violation de données) et la clause 9 (confidentialité) du DPA ;

• B. - Installer et maintenir à jour un système par lequel l'accès aux Données Personnelles est sécurisé par un moyen d'authentification, comme un mot de passe, ou des mesures similaires qui sont au moins aussi fiables. Le Sous-traitant veillera à ce que ses employés suivent les 'meilleures pratiques' concernant les méthodes d'authentification mentionnées, y compris au moins en s'assurant que le mot de passe est traité comme une information confidentielle ;

• C. - Sécuriser le système par lequel le Sous-traitant traite les Données Personnelles par le biais de mesures préventives, détectives et correctives (y compris, mais sans s'y limiter, la mise en œuvre rapide de correctifs de sécurité et la détection de virus) et protéger les systèmes et technologies d'information contre les logiciels malveillants (y compris, mais sans s'y limiter, les virus, les logiciels espions et les rançongiciels) ;

• D. - Crypter et 'saler' les mots de passe stockés auxquels le Contrôleur peut accéder aux Données Personnelles ;

• E. - Protection physique adéquate des espaces dans lesquels et des dispositifs sur lesquels les Données Personnelles sont stockées contre tout accès illégal ;

• F. - Réaliser des tests de pénétration pour identifier les lacunes dans les mesures de sécurité et prendre des mesures pour mettre en œuvre les résultats de tels tests.

Annexe 2 : Description du traitement

Le Sous-traitant ne traitera les Données Personnelles que conformément aux instructions du Contrôleur comme indiqué ci-dessous.

• Sujet, nature, durée estimée et finalités du traitement :

  • Sujet du traitement : les données personnelles (voir ci-dessous) fournies par les clients et/ou les employés du Contrôleur au Contrôleur et/ou au Sous-traitant aux fins d'un programme de fidélité ;

  • Nature du traitement : entre autres, partitionnement et segmentation des données clients, suivi des relations clients et réalisation de marketing direct ;

  • Durée estimée : le traitement durera jusqu'à la résiliation de l'Accord ou jusqu'à ce que le Contrôleur demande que certaines données soient supprimées ;

  • But : Le Sous-traitant soutient le Contrôleur dans la gestion des relations clients et le marketing direct par l'utilisation de programmes de fidélité sur la plateforme Leat.

• Catégories de Données Personnelles

  • Les catégories de données personnelles peuvent inclure, entre autres :

    • prénom ;

    • nom de famille ;

    • adresse email ;

    • numéro de téléphone ;

    • date de naissance ;

    • adresse résidentielle ; et/ou

    • code postal

Le Contrôleur peut préciser par d'autres instructions dans la plateforme Leat quelles données personnelles peuvent être traitées par le Sous-traitant.

• Catégories de Personnes Concernées

  • Les personnes concernées sont des clients et/ou des employés du Contrôleur.

Annexe 3 : (Sous)traitants

Le Sous-traitant engagera, conformément à la Section 12.1 du DPA, des (sous)traitants pour soutenir la fourniture de services. Le Sous-traitant utilise au moins les (sous)traitants énoncés ci-dessous.