Information légale

Contrat en vue du traitement de données

Définitions

RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Services : les services fournis par Flexmail au Client tels que définis plus en détail dans le Contrat de service et dans la description des services figurant sur le site Internet de Flexmail;

Contrat de service : le contrat conclu entre les Parties, dans le cadre duquel Flexmail traite des données du Client, sur les instructions de ce dernier, de la manière spécifiée plus en détail dans les Conditions générales de Flexmail (y compris le Privacy Policy, Anti-spam Policy et Acceptable Use Policy) ;

Données : toutes les informations qui sont échangées entre les Parties et pouvant contenir des données à caractère personnel ;

Contrat : le présent « Contrat en vue du traitement de données », y compris ses éventuelles Annexes ;

Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

Activités de traitement : le traitement des Données par Flexmail dans le cadre de l'exécution du Contrat de service.

Article 1 : Champ d'application, objet et durée du traitement

Le présent Contrat est conclu dans le cadre de l'exécution du Contrat de service, et en particulier des Activités de traitement. Le présent Contrat prend fin à la date à laquelle il est mis un terme au Contrat de service, auquel cas Flexmail, à la demande du Client, cédera au Client toutes les Données du Client qui sont encore en possession de Flexmail, ou les détruira. Les Conditions générales de Flexmail restent applicables sans restriction, à l'exclusion des dispositions qui n'ont pas été acceptées par Flexmail explicitement et par écrit.

Article 2 : Nature et finalité du traitement

  1. Le traitement des Données est réalisé en exécution du Contrat de service. Le Client est considéré comme 'le responsable du traitement' et Flexmail comme 'le sous-traitant.' au sens de la RGPD. Flexmail ne fera aucun autre usage de ces Données, ni ne traitera ces Données d'une manière qui n'est pas spécifiée dans le cadre du Contrat de service et de la description des Services, sauf disposition contraire explicite convenue entre les Parties. Le Client et/ou les personnes concernées restent propriétaires des Données mises à la disposition de Flexmail par le Client.
  2. Comme spécifié dans le Contrat de service et la description des Services, les Activités de traitement peuvent inclure :
    • la réception des Données, telles que fournies par le Client dans un format déterminé de commun accord par les Parties ;
    • la vérification de la structure dans laquelle les Données sont fournies par le Client ;
    • l'enregistrement des Données dans les systèmes de Flexmail ; et
    • la combinaison des Données avec le ou les messages que le Client souhaite faire envoyer par Flexmail, au nom et pour le compte du Client.
  3. Les traitements susmentionnés sont réalisés sur les systèmes de Flexmail et par le biais de leur utilisation, systèmes qui se composent de matériel et de logiciels utilisés exclusivement par Flexmail au sein de l'Union européenne ou dans un pays garantissant un niveau de protection adéquat. Dans ce dernier cas, Flexmail informera le Client par écrit, sur simple demande de la part de ce dernier, des pays dans lesquels les Activités de Traitement sont réalisées sur les instructions et sous la surveillance de Flexmail. En particulier, Flexmail tiendra compte, lors de la détermination d'un niveau de protection adéquat, de la durée du traitement projeté, du pays d'origine et du pays de la destination finale, des règles de droit générales et sectorielles en vigueur dans le pays concerné, ainsi que des règles de la vie professionnelle et des mesures de sécurité qui sont observées dans ces pays.
  4. Flexmail se chargera en outre :
    • de l'envoi des messages créés par le Client aux personnes concernées dont les Données à caractère personnel figurent parmi les Données fournies par le Client à Flexmail ;
    • de la création et de l'établissement de rapports standard à l'intention du Client, fonctionnalité standard qui est prévue dans les systèmes de Flexmail ;
    • traitement qui est réalisé exclusivement au sein des systèmes automatisés mis par Flexmail à la disposition du Client dans le cadre du Contrat de service.
  5. Les Parties conviennent explicitement que Flexmail n'a aucun contrôle sur l'emplacement des systèmes du Client, et encore moins sur l'emplacement des systèmes des personnes concernées dont les Données à caractère personnel et autres Données sont traitées conformément à l'article 2.2. Le Client reconnaît et accepte que les systèmes du Client et/ou des personnes concernées puissent par conséquent se trouver tant au sein de l'Union européenne qu'en dehors.

Article 3 : Type de Données à caractère personnel

  1. Afin de pouvoir recourir aux Services, les Données à caractère personnel que le Client, en sa qualité de responsable du traitement, met à la disposition de Flexmail dans le cadre du Contrat de service doivent contenir au moins une ou plusieurs adresses e-mail valables et opérationnelles. Les Parties reconnaissent que de telles adresses e-mail peuvent constituer des Données à caractère personnel.
  2. D'une manière générale, mais en particulier en vue de la personnalisation des messages que le Client souhaite faire parvenir aux personnes concernées, le Client peut fournir à Flexmail des Données complémentaires qu'il juge nécessaires ou utiles compte tenu des objectifs poursuivis par le Client à travers l'utilisation des Services. Le Client est exclusivement responsable, à l'exception de Flexmail, du choix, du contenu, de l'utilisation, de la qualification et du traitement de ces Données, et reconnaît que la combinaison de certaines Données, qu'il s'agisse ou non de Données à caractère personnel, peut à son tour constituer des Données à caractère personnel (sensibles), compte tenu ou non des objectifs que le Client vise en recourant aux Services. Dans un tel cas, il en informera Flexmail afin de permettre à cette dernière de prendre des mesures adéquates concernant ces Données et la manière dont elles sont traitées. Le Client reste toutefois en tout temps responsable du traitement effectif des Données par Flexmail, en particulier compte tenu de la nature et de la portée des Services.
  3. Le Client veille toutefois à ce qu'il ne soit pas transmis à Flexmail de Données à caractère personnel autres que celles qui sont strictement indispensables à la fourniture des Services. Le Client, à l'exclusion de Flexmail, est et reste responsable du choix et du contenu des Données qui sont transmises par le Client à Flexmail en exécution du Contrat de service et du fait du recours aux Services.

Article 4 : Catégories de personnes concernées

  1. Les catégories de personnes concernées dont les Données à caractère personnel sont traitées par le Client et par Flexmail dans le cadre de l'exécution du Contrat de service sont déterminées par le Client. Le rôle de Flexmail dans ce contexte consistera tout au plus à accompagner le Client dans la rédaction des messages afin de pouvoir fournir les Services de la manière la plus efficace possible. Le Client assume toutefois en tout temps la responsabilité du contenu des messages, de la manière dont les destinataires de tels messages seront abordés et de l'exactitude des messages.
  2. Le Client déclare et garantit que les personnes concernées dont les Données à caractère personnel sont transmises à Flexmail par le Client, ou par un tiers sur les instructions du Client, ont marqué leur consentement univoque et explicite quant au traitement qui fait partie des Services, ou que le Client peut invoquer une des conditions du RGPD en vertu desquelles un tel consentement n'est pas requis.
    En particulier, le Client déclare que les Activités de Traitement visées par Flexmail ne sont pas illicites et ne constituent pas une violation des droits de tiers.

Article 5 : Droits et obligations du Client

  1. Le Client, en sa qualité de responsable du traitement, déclare et garantit qu'il est à tout moment en mesure de fournir à Flexmail la preuve que les Données, et spécifiquement les Données à caractère personnel, qui sont fournies par le Client à Flexmail dans le cadre de l'exécution du Contrat de service, sont traitées de manière licite tant par le Client que par Flexmail, en particulier compte tenu du contenu et de la portée du Contrat de service et des Services.
  2. Le Client informera Flexmail sans retard, à l'aide des systèmes mis par Flexmail à la disposition du Client, lorsqu'un tiers demande au Client à ce que ses Données, et en particulier ses Données à caractère personnel, soient supprimées des systèmes de Flexmail, ou ne soient plus utilisées dans le cadre du Contrat de service.
  3. Le Client peut prier Flexmail d'apporter son concours raisonnable à un audit du fonctionnement et des systèmes de Flexmail. Si le Client le demande, un tel audit sera exclusivement réalisé par un tiers désigné par les deux Parties, aux frais du Client. Un audit devra être annoncé à Flexmail au minimum dix jours à l'avance, en décrivant les différents volets du contrôle et le processus de contrôle qui sera utilisé, et ne pourra pas perturber inutilement les activités opérationnelles de Flexmail. Flexmail apportera son concours à l'audit et mettra en temps voulu à disposition toutes les informations raisonnablement pertinentes pour l'audit, y compris les données de support comme les informations de journalisation des systèmes, ainsi que des collaborateurs, pour autant que les conséquences (in)directes de cette mise à disposition ne puissent pas induire une violation des droits et obligations (contractuels) ou des exigences légales imposées à la prestation de services générale, ni nuire aux intérêts de Flexmail. L'assistance de Flexmail ne représentera pas plus de maximum [trois jours de travail] par année civile. Si l'assistance réelle offerte par Flexmail excède cette durée, le temps additionnel consacré par Flexmail sera facturé au Client aux tarifs horaires en vigueur à ce moment, lesquels s'élèvent à la date de l'entrée en vigueur du présent Contrat à 121,95 € hors TVA. Si toutefois le rapport d'audit, dont les conclusions ont été acceptées par les Parties, prouve que Flexmail a commis une faute grave ou une lourde négligence à l'égard du RGPD, le Client ne devra pas rémunérer Flexmail pour son assistance dans le cadre de l'audit.

Article 6 : Obligations de Flexmail

1. Respect de la législation applicable
Flexmail et les tiers sous-traitants qu'elle aura désignés traiteront les Données conformément au Contrat de service et aux dispositions du RGPD, de la manière qui y est spécifiée.

2. Respect des instructions
Flexmail respectera les instructions du Client dans la mesure où :
  1. ces instructions ont été communiquées à l'avance et par écrit à Flexmail par le Client, et ont été acceptées par Flexmail ; et
  2. les systèmes de Flexmail le permettent, compte tenu des fonctionnalités de ces systèmes telles qu'elles sont prévues par Flexmail au moment où Flexmail reçoit les instructions du Client.
Tout usage que le Client fait des systèmes de Flexmail sans que cette dernière n'ait accepté par écrit les instructions du Client est aux risques du Client. Dans la mesure où les systèmes de Flexmail, de l'avis du Client, n'offrent pas ou pas suffisamment la possibilité de donner suite aux instructions du Client, le Client contactera Flexmail afin de discuter plus en détail de ces instructions. Flexmail ne garantit pas que les instructions du Client soient entièrement compatibles avec ou puissent être implémentées dans les systèmes de Flexmail.

3. Mesures de sécurité adéquates
Flexmail a pris au moins les mesures de sécurité suivantes, qui correspondent aux pratiques courantes dans l'industrie :
  • mesures physiques en vue de la sécurisation de l'accès ;
  • contrôle logique de l'accès à l'aide de mots de passe ;
  • mesures organisationnelles en vue de la sécurisation de l'accès ;
  • contrôle par échantillonnage du respect de la politique ;
  • sécurisation des connexions réseau grâce à la technologie Secure Socket Layer (SSL) ;
  • réseau interne sécurisé ;
  • restrictions d'accès ciblées en fonction des finalités à atteindre ;
  • contrôle des pouvoirs octroyés.
Flexmail consent en outre les efforts requis pour faire correspondre sa sécurisation à un niveau qui, compte tenu de l'état de la technique, de la sensibilité des Données à caractère personnel et du coût inhérent à la mise en place de la sécurisation, n'est pas déraisonnable. Le Client ne mettra des données à caractère personnel à la disposition de Flexmail en vue de leur traitement qu'après avoir vérifié que les mesures de sécurité requises ont été prises. Le Client est responsable du respect des mesures convenues par les Parties.

4. Lacunes de sécurité et fuites de données
Les Parties s'informent mutuellement et, le cas échéant, informent l'autorité en charge de la protection des données de toutes les lacunes de sécurité et fuites de données ayant un impact sur l'exécution du Contrat de service, et en particulier sur la sécurisation des Données à caractère personnel qu'elles traitent dans le cadre du Contrat de service. Afin de permettre au Client de s'acquitter de cette obligation légale, Flexmail informera le Client de la lacune de sécurité et/ou fuite de données dans les 48 heures de sa découverte du côté de Flexmail

Il ne doit être procédé à une notification que pour les événements ayant un impact notable, et uniquement si l'événement s'est effectivement produit. L'obligation de notification inclut en tout état de cause le signalement du fait qu'une fuite s'est produite. L'obligation de notification requiert en outre de préciser :
  • quelle est la cause (supposée) de la fuite ;
  • quelle est la conséquence (connue jusqu'ici et/ou à attendre) ;
  • quelle est la solution (proposée) ; et
  • les coordonnées pour le suivi de la notification.
5. Traitement par des tiers sous la responsabilité de Flexmail
Flexmail:
  • déclare et garantit que les personnes qui sont habilitées à traiter des Données à Caractère Personnel se sont engagées ou s'engagent à respecter la confidentialité des Données ;
  • veille, si elle fait appel à un ou plusieurs autres sous-traitants dans le cadre du traitement des Données, à prendre à l'égard de ces sous-traitants les mesures adéquates conformément aux dispositions du RGPD.
6. Assistance
Flexmail:
  • assistera le Client en prenant des mesures techniques et organisationnelles adéquates, l'aidera à s'acquitter de son obligation de répondre aux demandes des personnes concernées souhaitant exercer leurs droits ;
  • assistera le responsable du traitement dans sa tâche consistant à faire respecter les obligations (compte tenu des informations qui sont à la disposition du Flexmail) ;
  • en fonction du choix du Client, effacera, restituera ou supprimera toutes les Données à Caractère Personnel à la fin de de cet accord;
  • fournira au Client toutes les informations nécessaires pour apporter la preuve qu'il a satisfait à ses obligations, pour permettre les audits, dont les inspections par le Client ou par un tiers désigné de commun accord par les Parties, et pour apporter son concours à ces audits de la manière exposée ci-avant.
7. Demandes émanant des personnes concernées
Dans le cas où une personne concernée adresse à Flexmail une demande de consultation, de rectification, de complément, de modification ou de protection de ses données, comme prévu par le RGPD, Flexmail transmettra la demande au Client et le Client y donnera suite. Flexmail pourra informer la personne concernée de cette démarche.

8. Responsabilité
La responsabilité de Flexmail à l'égard du préjudice découlant d'un manquement imputable à la fourniture des services de Traitement, ou d'un acte illicite ou autre, est limitée par événement (une série d'événements successifs étant à considérer comme un seul événement) à l'indemnisation du préjudice direct, jusqu'à concurrence au maximum du montant des rémunérations reçues par Flexmail pour les activités relevant du présent Contrat au cours du mois précédant l'événement ayant causé le préjudice. La responsabilité de Flexmail pour les dommages consécutifs, le manque à gagner, les économies manquées, la perte de goodwill, le préjudice dû à une stagnation de l'exploitation, le préjudice dû à l'absence de fixation d'objectifs de marketing, le préjudice lié à l'utilisation de données ou fichiers de données prescrits par le Client, ou la perte, l'altération ou la destruction de données ou fichiers de données, est en revanche explicitement exclue, et le Client marque explicitement son accord sur cette exclusion.
Ce qui précède est sans préjudice de l'obligation de chaque Partie d'indemniser l'autre Partie contre la responsabilité envers les tiers découlant de la violation de ses obligations en vertu du RGPD. Toute indemnité est soumise à l'article 82 (Droit à indemnisation et responsabilité) du RGPD.

Article 7 : Secret et confidentialité

  1. Toutes les Données à Caractère Personnel que Flexmail reçoit du Client et/ou collecte elle-même dans le cadre du présent Contrat font l'objet d'une obligation de réserve à l'égard des tiers (à l'exception des tiers à qui Flexmail fait appel dans le cadre de la fourniture des Services, comme indiqué plus haut).
  2. Cette obligation de réserve ne s'applique pas pour autant que le Client ait explicitement consenti à ce que ces informations soient communiquées à des tiers, si la communication de ces informations à des tiers est logiquement requise compte tenu de la nature de la mission confiée et de l'exécution du Contrat de service, ou s'il existe une obligation légale de communiquer ces informations à des tiers.

Article 8 : Dispositions générales

  1. Le présent Contrat entre en vigueur à compter du 25 mai 2018, ou à la date de l'entrée en vigueur du Contrat de service si cette date est ultérieure.
  2. Le présent Contrat et ses annexes définissent les droits et obligations des Parties en ce qui concerne son objet. Il annule et remplace toutes les propositions et conventions antérieures, écrites ou orales, portant sur le même objet. Toutes les annexes font partie intégrante du présent Contrat.
  3. Les modifications et compléments au Contrat ne sont valables que s'ils ont été consignés par écrit et signés par les deux Parties, et font partie intégrante du présent Contrat. Il ne peut être dérogé à cette exigence que par écrit.
  4. Le présent Contrat n'induit aucun abandon tacite de droits. Sauf dans la mesure où cette possibilité serait prévue explicitement dans le présent Contrat, un abandon de droits par l'une des Parties ou le fait que l'une des Parties n'intente pas d'action du chef d'un manquement au respect d'une quelconque disposition du présent Contrat n'induira pas un abandon de droits lors d'un nouveau manquement imputable, ni n'affectera en aucune manière la force de droit de ladite disposition. Une Partie ne peut pas être considérée comme ayant renoncé à un droit ou une revendication découlant du présent Contrat ou ayant trait à un manquement de l'autre Partie, sauf si cet abandon de droits est explicite et signifié par courrier recommandé.
  5. Le présent Contrat est régi par le droit belge et doit être interprété en fonction. Les tribunaux de l'Arrondissement judiciaire de Gent sont seuls compétents pour connaître de quelque litige que ce soit. Dans un premier temps, les Parties tenteront de trouver une solution à l'amiable à tout litige les opposant.
  6. Les Parties conviennent explicitement que la nullité ou le caractère non exécutoire d'une ou plusieurs dispositions du présent Contrat n'a aucun impact sur la validité ou le caractère exécutoire de ses autres dispositions. Ces dernières dispositions restent donc d'application sans restriction. Les Parties s'engagent à remplacer les dispositions nulles ou non exécutoires par d'autres dispositions ou mesures d'exécution se rapprochant le plus possible de l'intention commune initiale des Parties.


UPDATED: 05/03/2024