- CONDITIONS APPLICABLES AU TRAITEMENT DE DONNEES EN QUALITE DE SOUS-TRAITANT -

Les présentes Conditions applicables au traitement de données en qualité de sous-traitant (ci-après, les « Conditions vie privée ») font partie intégrante du Contrat qui lie le Client et CTR Media.

1. Définitions

Dans le cadre des présentes Conditions vie privée:

1.1. Les termes « Contrat », « Client », « Parties » ont le même sens que dans les Conditions générales ;

1.2. « Législation sur la protection des données »: toute législation en vigueur sur la protection des données à caractère personnel, dont (A) (i) avant le 25 mai 2018: la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, et (ii) à partir du 25 mai 2018, le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »), (B) ainsi que les codes de bonne pratique, les codes de conduite, les orientations réglementaires et les clauses standards et tout autre texte législatif ou règlementaire résultant de cette loi ou de ce règlement, mis à jour.

1.3. Les termes « responsable du traitement », « sous-traitant », « personne concernée », « données à caractère personnel », « violation de données à caractère personnel » et « traitement » ont le même sens que dans la Législation sur la protection des données. Plus particulièrement, les termes « traité(s)(es) » et « traiter » doivent être compris en fonction de la définition de « traitement ».

1.4. On entend par « Responsable du traitement » (« data controller » en anglais): le Client ; et par« Sous-traitant » (« data processor » en anglais): CTR Media SA.

1.5. On entend encore par « Annonceur »: Le Client.

2. Contexte et finalités des traitements

2.1. L’exécution du Contrat avenu entre Parties implique que le Client, en qualité le responsable de traitement, communique à CTR MEDIA des données à caractère personnel. CTR traitera ces données en qualité de sous-traitant.

En concluant ce Contrat, le Client reconnaît que CTR Media présente les garanties suffisantes: (a) quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour traiter ces données à caractère personnel ; (b) et quant au respect de la Législation sur la protection des données.

2.2. Le Sous-traitant traitera les données personnelles conformément aux instructions du Responsable du traitement. Ces instructions peuvent résulter du Contrat ou être précisées ponctuellement par écrit par le Responsable du traitement au Sous-traitant. Si le Sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition de droit en matière de protection des données, il en informe immédiatement le Responsable de traitement.

2.3. Conformément à la législation applicable en matière de protection des données, il appartient au Responsable de traitement de fournir les informations aux personnes concernées par les opérations de traitement au moment de la collecte des données, conformément à l’article 13 RGPD.

Il appartient également au Responsable de traitement de recueillir, auprès des personnes concernées, les éventuels consentements qui seraient nécessaires à la collecte et au traitement de ces données.

2.4. Le Sous-traitant (en qualité de sous-traitant) traitera les données personnelles qui lui sont communiquées par le Responsable de traitement, afin exclusivement d’exécuter les obligations découlant du Contrat. Concrètement, le Sous-traitant traitera les données personnelles afin de fournir le ou les service(s) suivant(s):

3. Catégories de données

Les catégories de données à caractère personnel, objet de la présente sous-traitance de données, sont les suivantes:

4. Personnes concernées

Les personnes concernées par le traitement sont les suivantes:

5. Confidentialité

5.1. Le Sous-traitant met tout en œuvre pour garantir de la meilleure manière possible la confidentialité des données personnelles que le Responsable de traitement met à sa disposition en exécution du Contrat.

5.2. Le Sous-traitant pourrait toutefois déroger à cette obligation de confidentialité lorsqu’une prescription légale ou une injonction judiciaire l’oblige à communiquer les données. Dans ce cas, le Responsable de traitement sera toujours informé d’une telle demande, avant la communication des données.

6. Employés du Sous-traitant

Le Sous-traitant veille à ce que, pour les personnes agissant sous son autorité (employés), l'accès aux données et les possibilités de traitement soient limités à ce dont ces personnes ont besoin pour l'exercice de leurs fonctions et l’accomplissement des tâches qui leur sont confiées.

Plus particulièrement, le Sous-traitant veillera à ce que ces personnes: (a) soient informées de la nature confidentielle des données à caractère personnel ; (b) soient soumises à une procédure d’identification en tant qu’utilisateur lorsqu’elles se connectent pour accéder aux données à caractère personnel ; (c) soient tenues (légalement ou contractuellement) à respecter la confidentialités ce ces données.

Le Sous-traitant informe les personnes agissant sous son autorité des dispositions de la loi sur la protection de la vie privée et du règlement général sur la protection des données, ainsi que de toute prescription pertinente en matière de vie privée et de protection des données à caractère personnel.

7. Quant aux sous-traitants du Sous-traitant

7.1. Le Sous-traitant est autorisé à faire appel à des sous-traitants pour exécuter tout ou partie du Contrat. Le Sous-traitant tient à jour et à disposition du Responsable de traitement une liste de ses propres sous-traitants (https://immo.vlan.be/fr/privacy/partners).

7.2. Les sous-traitants du Sous-traitant sont tenus de respecter l’ensemble des obligations du présent Contrat. Ils agiront exclusivement pour le compte et selon les instructions du Responsable de traitement. Les sous-traitants du Sous-traitant devront fournir les garanties suffisantes: (a) quant à la mise en œuvre des mesures techniques et organisationnelles appropriées ; (b) et quant au respect de l’ensemble des exigences de la Législation relative à la protection des données.

7.3. Le précédent alinéa s’applique également aux éventuels sous-traitants ultérieurs (de 2ème rang et rangs ultérieurs)

7.4. Le Sous-traitant informe le Responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement des sous-traitants, afin de permettre au Responsable du traitement d’émettre des objections à l’encontre de ces changements.

8. Pas de transfert hors U.E, sans accord du Responsable du traitement

Le Sous-traitant ne pourra pas transférer les données à caractère personnel (qui sont mises à sa disposition en exécution du présent Contrat) à des tiers qui seraient établis dans un pays situé hors du territoire des Etats membres de l’Union européenne (U.E.), sans le consentement préalable et écrit du Responsable de traitement.

De surcroît, un tel transfert ne pourra intervenir: (a) que si le tiers situé hors U.E. est en mesure de garantir un niveau de protection des données personnelles au moins équivalent à celui qui est exigé dans l’Union européenne ; (b) et qu’après signature, par celui-ci et le Sous-traitant, d’une convention reprenant l’ensemble des garanties requises par la législation européenne en matière de protection des données personnelles, et notamment en matière de transferts de données.

9. Conservation des données

Il incombe au Responsable de traitement de déterminer les durées de conservation des données à caractère personnel qui sont confiées au Sous-traitant.

Quoiqu’il en soit, le Sous-traitant s’engage à ne pas conserver les données personnelles qui lui sont communiquées par le Responsable de traitement, au-delà du temps nécessaire à l’exécution de l’ensemble des obligations découlant du présent contrat.

Au terme de la relation contractuelle, le Sous-traitant s’engage, au choix du Responsable de traitement, à:

En cas d’effacement des données, le Sous-traitant confirmera par écrit que le nécessaire a été réalisé.

10. Exercice des droits des personnes

En principe, les personnes concernées exerceront, exclusivement auprès du Responsable de traitement, les différents droits qui leurs sont reconnus par la Législation relative à la vie privée, à savoir: les droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).

Dans l’hypothèse où les personnes concernées exerceraient leurs droits auprès du Sous-traitant, ce dernier informe immédiatement le Responsable de traitement.

Le Sous-traitant, pour sa part, fera toute diligence pour mettre en œuvre les droits des personnes concernées, conformément aux instructions du Responsable de traitement.

Le Sous-traitant assistera le Responsable de traitement, afin de lui permettre de répondre dans les meilleurs délais et le plus efficacement possible aux éventuelles plaintes et demandes des personnes concernées.

11. Délégué à la protection des données

Le Sous-traitant communique au Responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du RGPD.

12. Demande d’un organisme de régulation

Le Sous-traitant doit notifier au Responsable du traitement toute plainte, allégation ou demande émanant d’un organisme de régulation, dans les deux (2) jours ouvrables de sa réception, relative au traitement par le Sous-traitant de données à caractère personnel, et fournir au Responsable du traitement tous les détails relatifs à une plainte, allégation, demande, communication ou objection quelles qu’elles soient, ainsi qu’une copie, si nécessaire, des données à caractère personnel en possession du Sous-traitant relatives à la personne en question.

Le Sous traitant apporte une coopération et une assistance raisonnable au Responsable du traitement concernant toute notification que ce dernier pourrait être amené à effectuer auprès d’une autorité de contrôle ou toute autorisation préalable que le Responsable du traitement devrait obtenir d’une autorité de contrôle en tant que Responsable du traitement.

13. Sécurité des données

Le Sous-traitant s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité proportionné aux risques liés au traitement de données.

Ces mesures permettront de préserver, de la meilleure façon possible et conformément aux règles de l’art, les données à caractère personnel notamment d’une destruction accidentelle ou illicite, de pertes, d’altérations ou de divulgation ou d’un accès non autorisé.

Ces mesures tiendront compte des dernières avancées technologiques, de la nature, du champ d’application, du contexte et des objectifs du traitement ainsi que des risques de dommage résultant d'un traitement non autorisé et illicite ou d’une perte accidentelle, d’une destruction ou d’un endommagement des données à caractère personnel.

14. Violation de la sécurité

Le Sous-traitant notifiera au Responsable du traitement et sans délai inutile, et au plus tard 48 heures après en avoir eu connaissance, tout cas de violation de données à caractère personnel ou de circonstances qui pourraient donner lieu à une violation de données à caractère personnel, en fournissant au Responsable du traitement suffisamment d’informations et ce, dans un délai permettant au Responsable du traitement de remplir ses obligations de signaler une violation de données à caractère personnel en vertu de la législation sur la protection des données.

Cette notification reprendra l’ensemble des informations requises par la loi. En outre, le Sous-traitant coopérera avec le Responsable du traitement et prendra les mesures adéquates permettant de limiter autant que possible les effets résultant de la violation des données à caractère personnel.

15. Obligation de collaboration du Sous-traitant

Le Sous-traitant s’engage: (a) à mettre à disposition du Responsable de traitement toutes les informations qui permettent de démontrer le bon respect des obligations qui lui incombent ; (b) et à coopérer avec le responsable de traitement pour lui permettre d’assurer une mise en conformité au RGPD.

En outre, le Sous-traitant aide le Responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données.

16. Indemnisation

CTR MEDIA ne sera tenu responsable du dommage causé par le traitement que s’il n’a pas respecté les présentes Conditions vie privée ou une obligation qui lui revient en qualité de sous-traitant, en application du RGPD.