La présente charte a
été établie par Cefora, une association de droit belge
[ASBL], dont le siège social est sis Boulevard Auguste Reyers 70
(5è étage), 1030 Bruxelles, immatriculée à la
Banque-Carrefour des Entreprises sous le numéro
d’entreprise0445142601 et représentée par M.Olivier
Lambert en sa qualité de Directeur. Cefora est le «
SOUS-TRAITANT » de Données à caractère personnel
dans le cadre de ses services.
L’objectif poursuivi par la présente charte est de
satisfaire :
- aux exigences du cadre légal actuel relatif au traitement des
Données ;
- au Règlement2016/679 du Parlement européen et du Conseil
du 27 avril 2016 relatif à la protection des personnes physiques
à l’égard du traitement des Données à
caractère personnel et à la libre circulation de ces
Données (ci-après le « Règlement
Général sur la Protection des Données » ou
« RGPD »).
Dans la présente charte, nous abordons nos droits et obligations en
tant que SOUS-TRAITANT, mais aussi les vôtres, en tant que RESPONSABLE
DU TRAITEMENT ou PERSONNE CONCERNÉE.
Le RESPONSABLE DU TRAITEMENT et le SOUS-TRAITANT sont ci-après
dénommés conjointement les « parties
» et individuellement une « partie ».
Article 1: Définitions
Il importe de connaître la signification précise d’un
certain nombre de concepts. Vous trouverez ci-dessous une liste des concepts
les plus fréquents dans la charte et leur signification.
« Autorité de contrôle »
désigne une autorité publique indépendante
instituée par un État membre en vertu de l’article51 du
RGPD.
« Données à caractère personnel
» désigne toutes les informations relatives à une
personne concernée.
« Informations confidentielles » désigne
toutes les informations fournies à l’autre partie sous forme
écrite ou matérielle et qui sont considérées
comme confidentielles ou peuvent l’être raisonnablement en
raison de la nature des informations ou de la nature des circonstances qui
requièrent la publication, telles que, mais sans s’y limiter,
les informations de produit, les listes de clients, les listes de prix et
les informations financières.
« Mesures de sécurité »
désigne toutes les mesures de protection des Données à
caractère personnel contre leur destruction ou perte accidentelle ou
illégale, ainsi que contre l’accès,
l’altération ou la divulgation non autorisés.
« Personne concernée » désigne une
personne physique identifiée ou identifiable.
« Responsable du traitement » désigne la
personne physique ou morale, l’instance publique, l’agence ou
une autre instance qui, seule ou avec d’autres, détermine les
objectifs et les moyens du traitement de Données à
caractère personnel qui est réalisé sous son
autorité, considéré pour l’application de la
présente charte comme le RESPONSABLE DU TRAITEMENT.
« Services » désigne les services fournis
aux responsables du traitement par le SOUS-TRAITANT dans le cadre de sa
mission (formation, accompagnement au reclassement, primes).
« Sous-traitant » désigne une personne
physique ou morale, une instance publique, une agence ou une autre instance
qui est compétente pour traiter des Données à
caractère personnel au nom du responsable du traitement, comme le
SOUS-TRAITANT.
« Sous-traitant ultérieur »
désigne tout sous-traitant engagé par le SOUS-TRAITANT et qui
accepte de traiter des Données à caractère personnel au
nom et pour le compte du RESPONSABLE DU TRAITEMENT, dans le respect de la
présente charte.
« Tiers » désigne toute partie autre
qu’une personne concernée, le responsable du traitement, le
sous-traitant ou le sous-traitant ultérieur en vertu de la
présente charte, ou une personne qui est habilitée à
traiter des Données à caractère personnel sous
l’autorité directe du RESPONSABLE DU TRAITEMENT ou du
SOUS-TRAITANT.
« Violation de Données à caractère
personnel » désigne une violation de la
sécurité qui entraîne, de manière accidentelle ou
illicite, la destruction, la perte, l’altération, la
divulgation non autorisée de Données à caractère
personnel transmises, conservées ou traitées d’une autre
manière, ou l’accès non autorisé à de
telles Données.
Article 2: Objet de la présente charte
2.1 Le RESPONSABLE DU TRAITEMENT souhaite confier le traitement des
Données à caractère personnel chez Cefora. Cefora
traitera les Données à caractère personnel au nom et
pour le compte du RESPONSABLE DU TRAITEMENT. Dans le cadre de cette
fourniture de services, le RESPONSABLE DU TRAITEMENT est donc le responsable
du traitement des Données, et Cefora un sous-traitant.
2.2 Cefora traite les Données personnelles uniquement sur les instructions documentées du RESPONSABLE DU TRAITEMENT. Cefora ne traitera pas les Données personnelles faisant l’objet des accords et du contrat avec le RESPONSABLE DU TRAITEMENT d’une manière incompatible avec les instructions du RESPONSABLE DU TRAITEMENT, le RGPD et les dispositions de la présente Chartre.
2.3 Les deux parties s’engagent expressément
à respecter les dispositions de la législation applicable
pertinente en matière de protection des Données et ne feront
rien ou ne négligeront rien pouvant placer l’autre partie dans
une situation de violation de la législation applicable et pertinente
en matière de protection des Données.
2.4 Activités de traitement. Le
traitement réalisé par Cefora au nom et pour le compte du
RESPONSABLE DU TRAITEMENT concerne les services fournis par Cefora. Contenu
de l’activité de traitement :
- formations pour les employés et
demandeurs d’emploi ;
- primes pour des formations suivies ailleurs
par des entreprises et employés de la CP200 ;
- accompagnement au reclassement pour les
employés de la CP200.
2.5 Catégories de Données à
caractère personnel. Les Données personnelles
traitées sont les suivantes :
- Données d’identification
personnelles, y compris nom, prénom, adresse (pour les demandeurs
d’emploi), numéro de registre national, numéro de
téléphone professionnel, numéro de GSM, adresse e-mail
;
- en cas de jour de formation
complémentaire ou de primes aux employés: le numéro de
compte personnel sur lequel la prime doit être payée.
Caractéristiques personnelles telles que diplôme, statut,
commission paritaire, durée du chômage (pour les demandeurs
d’emploi), âge (sur la base du numéro de registre
national), fonction ;
- Données de l’entreprise (nom,
numéro ONSS, numéro d’entreprise) dans laquelle le
participant est/était employé ou suit un stage;
- Pour les personnes qui disposent d’un
compte MyCefora, nous gérons également l’accès
à ces modules (adresse e-mail + mot de passe crypté).
2.6 Personnes concernées. Les Personnes
concernées sont :
- les employés du RESPONSABLE DU
TRAITEMENT, en particulier ceux qui suivent la formation ;
- les employés qui s’inscrivent
à une formation le samedi (jour de formation complémentaire)
et reçoivent une prime pour cette formation ;
- les employés qui suivent une formation
en dehors des heures de travail et demandent à recevoir une prime
pour cette formation ;
- les employés d’entreprises de la
CP200 qui souhaitent rester informés de nos services et
s’inscrivent à nos bulletins d’information ;
- les ex-employés qui, par le biais du
reclassement organisé par le RESPONSABLE DU TRAITEMENT,
bénéficient d’un accompagnement au reclassement et
suivent une formation par le biais de Cefora ;
- les ex-employés qui peuvent
s’inscrire directement auprès de Cefora jusqu’à un
an après leur licenciement ;
- les demandeurs d’emploi qui peuvent
suivre une formation directement auprès de Cefora ;
- les personnes de contact des entreprises.
2.7 Objectifs. Cefora utilise les Données
à caractère personnel dans le seul but de proposer un service
de bonne qualité. Cefora s’engage à ne pas utiliser les
Données à caractère personnel à des fins
propres, y compris à des fins de marketing direct sans avoir obtenu
au préalable l’autorisation des personnes concernées.
2.8 Seules les Données à caractère personnel
citées à l’article2.5 de la présente charte
peuvent être et seront traitées par Cefora. En outre, les
Données à caractère personnel seront traitées
exclusivement à la lumière des objectifs
déterminés par les parties dans le présent article.
2.9 Les deux parties s’engagent à prendre les
mesures nécessaires pour s’assurer que les Données
à caractère personnel ne sont pas utilisées de
manière illicite ni ne se retrouvent entre les mains d’un tiers
non autorisé.
Article 3: Délai du traitement
3.1 La présente charte s’applique automatiquement
dès que le RESPONSABLE DU TRAITEMENT souhaite faire appel aux
services de Cefora.
3.2 En cas de violation grave de la présente charte ou des
dispositions applicables du RGPD, le RESPONSABLE DU TRAITEMENT pourra
demander à Cefora de cesser immédiatement le traitement des
Données à caractère personnel. Par conséquent,
le RESPONSABLE DU TRAITEMENT et ses personnes concernées ne feront
plus appel aux services de Cefora.
3.3 En cas de résiliation du contrat ou si les Données personnelles ne sont plus pertinentes pour la fourniture des Services, Cefora, sur demande et au choix du RESPONSABLE DU TRAITEMENT, anonymisera ou supprimera toutes les Données personnelles ou les renverra au RESPONSABLE DU TRAITEMENT.
3.4 En vue de la fourniture de ses services et de la mise
à disposition de l’historique des inscriptions suivies par le
biais de MyCefora, Cefora conservera les Données à
caractère personnel et les Données des formations pendant huit
ans. Si le RESPONSABLE DU TRAITEMENT le souhaite, ces Données peuvent
être anonymisées, mais ces Données ne pourront par
conséquent plus être consultées par le biais de
MyCefora, ni par le RESPONSABLE DU TRAITEMENT, ni par ses collaborateurs. Si
Cefora fait ce choix, il se chargera d’en faire lui-même la
communication à ses collaborateurs.
3.5 Quand un employé du RESPONSABLE DU TRAITEMENT demande
que ses Données soient anonymisées, il y aura également
des répercussions pour le RESPONSABLE DU TRAITEMENT. Les inscriptions
de cet employé resteront visibles dans l’aperçu, mais ne
pourront plus être associées à une personne.
Article 4: Traitement des Données à caractère personnel
4.1 Le Cefora traite les Données à caractère
personnel au nom et pour le compte du RESPONSABLE DU TRAITEMENT pour les
finalités mentionnées à l'article 2.4. En outre le Cefora traite
également les Données personnelles en son nom propre (c'est-à-dire en tant que
RESPONSABLE DU TRAITEMENT) pour des finalités qui lui sont propres,
à savoir :
- garantir un service de bonne qualité ;
- pouvoir dresser un rapport aux partenaires
sociaux sur ses réalisations.
4.2 En cas de modifications dans le traitement des Données
à caractère personnel, Cefora en informera le RESPONSABLE DU
TRAITEMENT par le biais des canaux disponibles (site Web, modification de la
présente charte, e-mail).
Article 5: Assistance au RESPONSABLE DU TRAITEMENT
5.1 Cefora fournira au RESPONSABLE DU TRAITEMENT toutes les informations et l'assistance qui sont nécessaires et/ou dont on peut raisonnablement s'attendre à ce qu'elles permettent au RESPONSABLE DU TRAITEMENT de remplir les obligations qui lui incombent en vertu de la RGPD, en particulier les articles 32 à 36 de la RGPD, et de fournir la preuve de cette exécution.
5.2 Cefora - compte tenu de la nature du traitement et des informations dont il dispose - apportera toute son aide au RESPONSABLE DU TRAITEMENT dans l'obligation de procéder à une évaluation de l'impact sur la protection des Données visée à l'article 35 du RGPD, en particulier afin de réaliser une évaluation et un contrôle complets et corrects des risques.
5.3 Cefora prendra toutes les mesures possibles pour que le RESPONSABLE DU TRAITEMENT soit capable de répondre aux demandes d'une personne concernée qui invoque ses droits tels qu'énoncés aux articles 15 à 21 de la RGPD.
5.4 Violation de Données à caractère
personnel. En cas de violation de Données à
caractère personnel en rapport avec l’objet du traitement de la
présente charte, Cefora en informera immédiatement le
RESPONSABLE DU TRAITEMENT après avoir eu connaissance de la Violation
de Données à caractère personnel et lui prêtera
son assistance.
Cette notification comportera au moins les informations suivantes :
a. la nature de la violation de Données à
caractère personnel ;
b. les catégories de Données à caractère
personnel concernées ;
c. les catégories et l’estimation du nombre de personnes
concernées ;
d. les catégories et l’estimation du nombre de jeux de
Données comportant des Données à caractère
personnel ;
e. les conséquences probables de la violation de Données
à caractère personnel ;
f. les mesures prises ou envisagées afin de faire face
à la violation de Données à caractère personnel,
y compris, le cas échéant, les mesures visant à limiter
les conséquences nuisibles et néfastes.
5.5 Si le Cefora a recours à un sous-traitant
ultérieur, il exigera de ce sous-traitant ultérieur
qu’il fournisse les mêmes informations quand une violation de
Données à caractère personnel se produit chez le
sous-traitant ultérieur. Cefora transmettra directement au
RESPONSABLE DU TRAITEMENT les Données reçues du sous-traitant
ultérieur.
5.6 Le RESPONSABLE DU TRAITEMENT décidera
unilatéralement et à sa discrétion, conformément
à la législation applicable et pertinente en matière de
protection des Données, si les personnes concernées dont les
Données à caractère personnel sont affectées par
une violation de Données à caractère personnel doivent
en être informées ou pas. Le RGPD détermine qu’il
incombe au RESPONSABLE DU TRAITEMENT d’informer
l’autorité de contrôle compétente d’une
violation de Données à caractère personnel. Le Cefora
le fera également dans l’intérêt de ses clients.
5.7 Les parties et, le cas échéant, le(s)
sous-traitant(s) ultérieur(s) garantissent de collaborer de bonne foi
afin de limiter les conséquences négatives d’une
violation de Données à caractère personnel.
Article 6: Devoirs d’information
À la demande du RESPONSABLE DU TRAITEMENT, Cefora fournira à ce
dernier toutes les informations qu’il demande, et au moins les
informations suivantes :
- tous les détails pertinents relatifs à sa
structure d’entreprise, ainsi que des Données
d’identification précises et actuelles de toutes les
entités de Cefora concernées par le traitement des
Données à caractère personnel, y compris
l’emplacement de leur siège principal ;
- les aspects du traitement qui dépendent ou peuvent
dépendre des services d’un sous-traitant ultérieur,
ainsi que les Données d’identification du sous-traitant
ultérieur, y compris l’emplacement de son siège
principal, pour autant que cela ne constitue pas une violation aux
dispositions de l’article9 de la présente charte. Cefora
transmettra au RESPONSABLE DU TRAITEMENT le contrat avec le(s)
sous-traitant(s) ultérieur(s) qui concerne ou est pertinent pour le
traitement de Données à caractère personnel, à
moins que ce contrat avec le(s) sous-traitant(s) ultérieur(s)
comporte des informations confidentielles, auquel cas ces informations
confidentielles pourront être supprimées ;
- détails géographiques des emplacements du
traitement, y compris installations de sauvegarde et redondance ;
- les mesures de protection physiques, organisationnelles,
techniques et logiques mises en œuvre par le SOUS-TRAITANT, et le cas
échéant son (ses) sous-traitant(s) ultérieur(s), comme
exposé à l’article11 de la présente charte.
Article 7: Obligations de Cefora
7.1 Cefora traitera immédiatement ou dans un délai
raisonnable (en fonction des obligations légales prévues dans
le RGPD) et comme il se doit toutes les demandes raisonnables du RESPONSABLE
DU TRAITEMENT en ce qui concerne le traitement de Données à
caractère personnel ou en rapport avec la présente charte.
7.2 Cefora garantit qu’aucune obligation découlant
du droit applicable ne l’empêche de respecter ses obligations en
vertu de la présente charte.
7.3 Cefora s’engage à ne pas traiter des
Données à caractère personnel à d’autres
fins que la fourniture de services et le respect des obligations en vertu de
la présente charte.
7.4 Cefora s’assurera que l’accès aux
Données à caractère personnel, leur inspection,
traitement et remise auront lieu uniquement conformément au principe
de proportionnalité et du « need-to-know » (autrement
dit, les Données à caractère personnel seront
communiquées uniquement aux personnes qui en ont besoin pour la
fourniture des services).
7.5 Cefora s’engage à ne pas publier de
Données à caractère personnel pour d’autres
personnes que le personnel de Cefora qui a en besoin pour respecter les
obligations et s’assurera que le personnel en question est soumis
à des obligations de confidentialité légales ou
contractuelles.
7.6 À partir du 25 mai 2018, Cefora est tenu de
créer un registre de traitement et de le maintenir à jour.
Cefora mettra à disposition le registre de traitement à la
première demande du RESPONSABLE DU TRAITEMENT, d’un auditeur
désigné par le RESPONSABLE DU TRAITEMENT et/ou de
l’autorité de contrôle.
Article 8: Obligations du RESPONSABLE DU TRAITEMENT
8.1 Le RESPONSABLE DU TRAITEMENT prêtera toute
l’assistance nécessaire et collaborera de bonne foi avec Cefora
pour s’assurer que le traitement de Données à
caractère personnel se déroule conformément aux
exigences du RGPD, et, en particulier, avec les principes relatifs au
traitement des Données à caractère personnel.
8.2 Le RESPONSABLE DU TRAITEMENT informera Cefora, à la
demande de ce dernier, de l’identité de l’interlocuteur
central du RESPONSABLE DU TRAITEMENT que Cefora doit contacter en
exécution de cet article8.2 de la présente charte.
8.3 Le RESPONSABLE DU TRAITEMENT s’engage à ne pas
adresser à Cefora de demandes en contradiction avec les dispositions
du RGPD.
8.4 Le RESPONSABLE DU TRAITEMENT garantit qu’il
n’adressera pas de demandes à Cefora nécessitant de la
part de Cefora et/ou de son (ses) sous-traitant(s) ultérieur(s) de
violer des obligations imposées par le droit impératif
national applicable, auxquelles Cefora et/ou son (ses) sous-traitant(s)
ultérieur(s) sont soumis.
Article 9: Le recours à des sous-traitants ultérieurs
9.1 Cefora travaille avec des sous-traitants ultérieurs pour fournir ses services. Dans le cadre de ces services, il est nécessaire que le sous-traitant ultérieur dispose d’un certain nombre de Données. Cefora n'engagera un autre type de sous-traitants ultérieurs seulement sous réserve d'une explication écrite préalable au RESPONSABLE DU TRAITEMENT. Cevora informera à l’avance le RESPONSABLE DU TRAITEMENT des changements prévus des sous-traitants ultérieurs qui concernent le traitement des Données à caractère personnel au nom et pour le compte du RESPONSABLE DU TRAITEMENT, afin de lui donner la possibilité de s'opposer à ces changements dans un délai raisonnable.
9.2 Sans préjudice de ce qui précède, les
parties conviennent que Cefora n’est pas tenu de communiquer
l’identité de chaque sous-traitant ultérieur (les
catégories de sous-traitants ultérieurs suffisent,
combinées avec les informations exposées aux articles6 et 9 de
la présente charte relative aux sous-traitants ultérieurs).
Nonobstant ce qui précède, le RESPONSABLE DU TRAITEMENT peut
demander à tout moment à Cefora de divulguer
l’identité d’un sous-traitant ultérieur, et Cefora
le fera si cette communication ne constitue pas une violation d’un
quelconque contrat de confidentialité ou disposition relative au
secret commercial convenue par Cefora avec le sous-traitant ultérieur
en question. Si Cefora ne peut pas divulguer l’identité
d’un sous-traitant ultérieur, il sera tenu de se justifier
formellement par écrit.
9.3 Cefora garantit que ses sous-traitants ultérieurs sont
tenus aux mêmes obligations en matière de Données
à caractère personnel que celles auxquelles est tenu Cefora en
vertu de la présente charte.
9.4 Si un sous-traitant ultérieur ne respecte pas ses obligations, auxquelles le Cefora est également liée par la présente chartre (c’est-à-dire les obligations en matière de protection des Données), le Cefora reste entièrement responsable du respect de ces obligations vis-à-vis le RESPONSABLE DU TRAITEMENT.
9.5 Dans le cadre de la présente charte, Cefora a recours
aux catégories suivantes de sous-traitants ultérieurs afin
d’assurer la fourniture des services envers les personnes
concernées :
- agences: suivi administratif de nos formations
pour employés (jusqu’au 1/01/2019 – ensuite internes) et
formations pour demandeurs d’emploi ;
- formateurs: ils assurent les formations ;
- accompagnateurs de trajet: accompagnement de nos
groupes de demandeurs d’emploi (dynamique de groupe, accompagnement
à la recherche d’un stage) ;
- consultants en reclassement et conseillers en
formation: accompagnement d’ex-employés de la CP200 en
accompagnement au reclassement ;
- partenaires (VDAB, Bruxelles Formation, Centres de
compétence, Le Forem, etc.): organisation commune de formations ;
- centres de formation d’autres commissions
paritaires: une sélection de nos formations est ouverte aux ouvriers
et employés d’autres commissions paritaires selon les
dispositions d’accords de coopération mutuels. Nos
employés peuvent également suivre l’offre de formation
des autres commissions paritaires. Dans le cadre de cette
coopération, nous échangeons des Données
d’inscription en vue de la gestion administrative des formations ;
- fournisseur pour l’envoi de
(d’e-)mailings ;
- fournisseurs de logiciels: en raison de la
fonction de helpdesk, les fournisseurs de logiciels ont également
besoin d’un accès. Leurs droits et devoirs doivent être
clairement définis dans des contrats et des mesures de
précaution internes doivent être prises ;
- hébergement.
Article 10: Droits des personnes concernées
10.1 Compte tenu de la nature du traitement, Cefora assiste, dans la mesure
du possible, le RESPONSABLE DU TRAITEMENT dans son obligation de
répondre à des demandes d’exercice des droits des
personnes concernées, comme le prévoit le ChapitreIII du RGPD,
en appliquant des mesures techniques et organisationnelles adéquates.
10.2 Les conditions suivantes s’appliquent à une demande de
personnes concernées à propos de leurs droits en
matière de traitement de leurs Données à
caractère personnel par Cefora et/ou un (des) sous-traitant(s)
ultérieur(s) :
- Cefora informera immédiatement le RESPONSABLE DU
TRAITEMENT de toute demande introduite par une personne concernée
à propos de Données à caractère personnel
traitées par Cefora et/ou ses sous-traitants ultérieur(s) au
nom du RESPONSABLE DU TRAITEMENT, sans donner suite à cette demande,
à moins qu’il n’y soit explicitement autorisé par
le RESPONSABLE DU TRAITEMENT.
- Cefora donnera immédiatement suite à toute
demande du RESPONSABLE DU TRAITEMENT visant à répondre
à la demande de la personne concernée qui souhaite exercer
l’un de ses droits, et exigera également de la part de son
(ses) sous-traitant(s) ultérieur(s) qu’il(s) y donne(nt)
également suite.
- Cefora veille à ce que tant lui-même que son
(ses) sous-traitant(s) ultérieur(s) disposent des capacités
techniques et organisationnelles nécessaires afin de bloquer
l’accès aux Données à caractère personnel
qu’il gère et de détruire physiquement les
Données sans possibilité de les récupérer si le
RESPONSABLE DU TRAITEMENT en fait la demande.
Article 11: Mesures de sécurité
11.1 Cefora prendra et fera appliquer des mesures techniques et
organisationnelles adéquates afin que le traitement soit conforme aux
exigences du RGPD et que la protection des droits des personnes
concernées soit garantie.
Cefora prendra notamment des mesures techniques et organisationnelles
adéquates contre tout traitement non autorisé ou illicite et
évaluera régulièrement l’opportunité de
ces mesures de sécurité et les adaptera le cas
échéant.
11.2 Cefora met en œuvre des mesures techniques et organisationnelles
adéquates afin de garantir un niveau de protection adapté au
risque, conformément à l’article32 du RGPD.
Lors de l’évaluation du niveau de sécurité
approprié, il est spécifiquement tenu compte des risques que
présente le traitement, résultant notamment de la destruction,
de la perte, de l’altération, de la divulgation non
autorisée de Données à caractère personnel
transmises, conservées ou traitées d’une autre
manière, ou de l’accès non autorisé à de
telles Données, de manière accidentelle ou illicite.
Article 12: Audit
12.1 Cefora reconnaît que le RESPONSABLE DU TRAITEMENT est soumis
à la surveillance d’une ou plusieurs autorité(s) de
contrôle. Le Cefora réalisera lui-même les audits
nécessaires pour ce faire.
12.2 À la demande écrite du RESPONSABLE DU TRAITEMENT ou de
l’autorité de contrôle concernée, Cefora donne
accès aux rapports pertinents de ces audits.
12.3 Si Cefora et le RESPONSABLE DU TRAITEMENT conviennent qu’il y a un
manquement important au respect du RGPD ou des dispositions exposées
dans la présente charte, Cefora remédiera à ce
manquement le plus rapidement possible. Cefora adaptera ainsi la charte avec
les mesures prises et en informera en particulier le RESPONSABLE DU
TRAITEMENT qui signale ce manquement.
Article 13: Cession à des tiers
13.1 La cession de Données à caractère personnel
à des tiers est interdite de toutes les manières possibles,
à moins que cela ne soit légalement obligatoire ou à
moins que Cefora n’ait obtenu l’autorisation expresse du
RESPONSABLE DU TRAITEMENT. Si une obligation légale de cession de
Données à caractère personnel relevant de la
présente charte est applicable à des tiers, Cefora en
informera le RESPONSABLE DU TRAITEMENT préalablement à cette
mission.
Article 14: Cession internationale
14.1 Les parties conviennent que les Données à caractère
personnel ne seront pas cédées à et/ou
conservées par un destinataire situé hors de l’Espace
économique européen (EEE), dans un pays qui ne relève
pas d’une décision d’adéquation fournie par la
Commission européenne.
14.2 Cefora informe le RESPONSABLE DU TRAITEMENT préalablement
à toute cession internationale de Données à
caractère personnel qui se produirait néanmoins dans le futur,
en particulier des mesures prises concrètement afin de garantir la
protection des Données à caractère personnel de la
personne concernée conformément au RGPD.
Article 15: Façon de procéder face aux autorités
publiques et judiciaires nationales
15.1 Cefora informera immédiatement le RESPONSABLE DU TRAITEMENT de
toute requête, injonction, demande ou citation d’une instance
publique ou judiciaire nationale compétente concernant Cefora ou son
sous-traitant ultérieur, portant sur la communication de
Données à caractère personnel telles que celles
traitées par le Cefora ou un sous-traitant ultérieur au nom et
pour le compte du RESPONSABLE DU TRAITEMENT, ou d’autres
Données et/ou informations en rapport avec un tel traitement.
15.2 Sans préjudice de l’article 15.1 de la présente
charte, le RESPONSABLE DU TRAITEMENT prêtera à Cefora et/ou son
(ses) (sub)-sous-traitant(s) l’assistance nécessaire afin de
donner suite à cette requête, injonction, demande ou citation
adressée à Cefora ou son (ses) (sub)-sous-traitant(s) par une
autorité publique ou judiciaire nationale compétente. Dans le
cas où le RESPONSABLE DU TRAITEMENT ferait face à une
requête, injonction, demande ou citation adressée
à ce dernier par une autorité publique ou judiciaire nationale
compétente, Cefora prêtera assistance au RESPONSABLE DU
TRAITEMENT.
Article 16: Droits de propriété intellectuelle
16.1 Tous les droits de propriété intellectuelle relatifs aux
Données à caractère personnel et aux bases de
Données qui comportent des Données à caractère
personnel sont la propriété du RESPONSABLE DU TRAITEMENT, sauf
convention contractuelle contraire passée entre les parties. Aucune
disposition de la présente charte ne constituera une cession de
droits de propriété intellectuelle à Cefora par le
RESPONSABLE DU TRAITEMENT, sauf convention contractuelle contraire
passée entre les parties.
Article 17: Confidentialité
17.1 Cefora s’engage à considérer les Données
à caractère personnel et leur traitement comme strictement
confidentiels. Cefora garantira la confidentialité en prenant des
mesures qui ne sont pas moins restrictives que les mesures qu’il
utilise pour protéger son propre matériel confidentiel, y
compris ses Données à caractère personnel.
17.2 Cefora garantit que les collaborateurs ou sous-traitants
ultérieurs qui sont habilités à traiter des
Données à caractère personnel sont liés par une
obligation contractuelle de secret ou une obligation légale
adéquate de confidentialité.
Article 18: Responsabilité
18.1 Cefora est uniquement responsable du dommage causé pendant le
traitement des Données à caractère personnel s’il
n’a pas satisfait aux obligations spécifiques imposées
aux sous-traitants comme cela est prévu dans le RGPD, ou lorsque
Cefora a agi en dehors des instructions licites du RESPONSABLE DU TRAITEMENT
ou en contradiction avec celles-ci.
18.2 Cefora endossera la responsabilité, proportionnellement au
dommage subi, des amendes administratives infligées à la suite
d’une violation de sa part des dispositions du RGPD qui lui sont
spécifiquement d’application. Cefora ne pourra en aucun cas
être tenu responsable s’il peut prouver qu’il n’est
pas responsable de l’événement ayant donné lieu
au sinistre.
18.3 S’il apparaît que tant le RESPONSABLE DU TRAITEMENT que
Cefora sont responsables du dommage causé par le traitement de
Données à caractère personnel, les deux parties
prendront en charge une partie de l’indemnisation, conformément
à leur part individuelle dans la responsabilité du dommage
causé par le traitement.
Article 19: Droit applicable et juridiction
19.1 Jusqu’au 24 mai 2018, la présente charte devait être
interprétée conformément à la législation
belge relative à la protection de la vie privée, mais aussi au
RGPD, afin de garantir le respect de ce RGPD. Depuis le 25 mai 2018, le RGPD
est intégralement d’application à la présente
charte.
19.2 Si la personne concernée demande une indemnisation en vertu de la
présente charte, Cefora acceptera la décision de la personne
concernée de :
- faire régler le litige par
l’entremise d’une personne indépendante ;
- renvoyer le litige devant les tribunaux
belges
19.3 Les parties conviennent que le choix fait par la personne
concernée ne compromettra pas les droits fondamentaux ou
procéduraux de la personne concernée d’avoir recours
à d’autres voies de droit, conformément au droit
national ou international applicable.