Le présent DPA fait partie intégrante des Conditions d’utilisation d’Easybox conclues entre le Client et Easybox (le « Contrat ») et y est annexé. Le présent Contrat de traitement Easybox (le « DPA ») est conclu entre le Client et Breex Easybox, dont le siège social est situé Moutstraat 54 9000 Gent, inscrite à la Banque-Carrefour des Entreprises sous le numéro d’entreprise BE 0760.527.015 (« Easybox »).

Le présent DPA décrit le traitement des données personnelles traitées par Easybox pour le compte du client.

INTRODUCTION

En vertu du Contrat, le Client s’est vu accorder l’accès à la plateforme Easybox (la  » Plateforme « ). Par le biais de la Plateforme, des données à caractère personnel sont collectées et traitées par Easybox pour le compte du Client.

Les parties souhaitent conclure un accord de traitement conformément aux exigences des lois applicables en matière de protection de la vie privée, y compris l’AVG.

Le présent APD remplace les dispositions antérieures des accords passés et actuels entre les parties qui sont directement ou indirectement liées au traitement des données personnelles, à la vie privée, à l’accès aux données personnelles, au transfert des données et à la sécurité des données.

1. DÉFINITIONS

1.1 Les termes qui ne sont pas explicitement définis dans le présent DPA ont la même signification que dans les conditions d’utilisation. Les termes et expressions utilisés ici sont définis comme suit :

« Règlement général sur la protection des données ou AVG »	désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la gratuité. circulation de ces données et abrogeant la directive 95/46/CE.
« Inquiet. »	désigne toute personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
« Service »	désigne l’offre en ligne de la Plateforme ainsi que les services affiliés (support, maintenance,…)
« Buts »	désignent les finalités déterminées, explicites et justifiées du Traitement.
« Violation des données à caractère personnel	signifie tout accès, suppression, modification, perte ou traitement non autorisé ou illégal des Données personnelles, tout autre événement qui entraîne ou peut entraîner une suppression, une perte, une modification, une divulgation non autorisée ou un accès non intentionnel ou illégal aux Données personnelles, toute Violation des données personnelles telle que définie dans le GAV, ou toute indication qu’une telle violation se produira ou s’est produite.
« Données des clients »	désigne toutes les données, sous quelque forme que ce soit, traitées par Easybox pour le compte du Client aux fins de la fourniture de la Plateforme, y compris (le cas échéant) les Données à caractère personnel.
« Données personnelles »	désigne toute information concernant une personne physique identifiée ou identifiable au titre de l’Accord. Une personne physique « identifiable » est une personne physique qui peut être identifiée, directement ou indirectement, notamment par un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou par un ou plusieurs éléments caractéristiques de l’identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique.
« Plate-forme »	signifie la plateforme Easybox.
« Processeur »	désigne le sous-traitant visé à l’article 4, paragraphe 8, de la LCA.
« Processeur »	le responsable du traitement visé à l’article 4, paragraphe 7, de la LCA.
« Législation sur la protection des données »	signifie l’AVG et toute autre législation locale au sein de l’Espace économique européen qui peut s’appliquer au Traitement des données personnelles.
« Traitement » ou toute variation du verbe « traiter ».	désigne toute opération ou ensemble d’opérations portant sur des Données à caractère personnel, effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la mise à jour ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, le verrouillage, l’effacement ou la destruction.

1.2 Tous les termes et expressions qui ne sont pas expressément définis dans le présent DPA ont la signification qui leur est donnée dans l’Accord.

2. LE TRAITEMENT DES DONNÉES PERSONNELLES

2.1 Les Parties reconnaissent qu’Easybox agit en tant que Responsable du traitement des Données à caractère personnel dans le cadre de l’exécution des Services. Le Client reste à tout moment le Responsable du traitement des Données à caractère personnel.

2.2 Chacune des parties se conformera à ses obligations respectives en matière de traitement des données personnelles en vertu de la législation sur la protection des données.

2.3 Lors de l’utilisation de la Plateforme, le Client peut fournir certaines Données à caractère personnel à traiter à Easybox. Easybox ne traitera ces Données personnelles que pendant la durée du Contrat ou pendant une autre période convenue (par exemple en cas de résiliation anticipée), et ne conservera en aucun cas les Données personnelles plus longtemps que nécessaire en fonction de la finalité pour laquelle elles sont Traitées.

2.4 La nature et la finalité du traitement, le type de données personnelles du client qui seront traitées et les catégories de personnes concernées par le présent DPA sont précisés à l’annexe 1.

2.5 Les données personnelles sont traitées dans l’Espace économique européen. Easybox peut transférer des Données personnelles vers des pays situés en dehors de l’Espace économique européen, à condition que ce transfert réponde aux garanties supplémentaires requises par la législation applicable en matière de protection des données.

3. OBLIGATIONS DU CLIENT

3.1 En concluant le présent DPA, le Client donne instruction à Easybox de traiter les Données personnelles du Client : (a) pour fournir le Service conformément à ses fonctions et fonctionnalités ; (b) pour permettre les actions initiées par le Client et les Utilisateurs enregistrés sur le Service et ce, conformément au présent DPA et/ou au Contrat.

3.2 Easybox informera immédiatement le Client si, à son avis, une instruction donnée par le Client constitue une violation du RGPD (ou d’autres lois sur la protection des données). À la suite de cette notification, Easybox est en droit de suspendre l’exécution de cette instruction et de ne plus traiter les Données à caractère personnel conformément aux instructions précédemment fournies. Cette suspension ne donne lieu à aucun droit à indemnisation de la part du Client.

3.3 Si Easybox est tenue de traiter des Données à caractère personnel ou de transférer des Données à caractère personnel à un pays tiers ou à une organisation internationale en vertu d’une disposition qui lui est applicable, Easybox notifiera au Client cette disposition légale, à moins que cette législation n’interdise une telle notification.

3.4 Dans le cadre du présent APD et de l’utilisation du Service, le Client est responsable du respect de toutes les obligations auxquelles il est soumis en vertu des lois applicables en matière de protection des données, en particulier en ce qui concerne le Traitement des données personnelles.

3.5 Sans préjudice de ce qui précède, le Client accepte spécifiquement qu’il est seul responsable : (i) de l’exactitude, de la qualité et de la licéité des Données à caractère personnel et de la manière dont le Client a obtenu ces Données à caractère personnel ; (ii) du respect de toutes les obligations de transparence et de licéité contenues dans les Lois sur la protection des données applicables concernant la collecte et l’utilisation des Données à caractère personnel ; (iii) et qu’il a le droit de fournir les Données à caractère personnel à Easybox et de donner à Easybox l’accès au Traitement conformément aux dispositions du Contrat ; et (iv) que ses instructions à Easybox concernant le Traitement des Données à caractère personnel sont conformes au droit applicable, y compris la Législation sur la protection des données. Le Client informera Easybox dans les meilleurs délais s’il n’est pas en mesure de respecter les obligations qui lui incombent en vertu du présent article ou de la législation applicable en matière de protection des données.

3.6 Aucune disposition du présent DPA ne confère au client le droit de permettre à toute personne ou entité, autre que les utilisateurs enregistrés, d’accéder et d’utiliser directement ou indirectement le service, ou d’utiliser (ou de permettre à d’autres d’utiliser) le service à des fins illégales ou d’une manière autre que celle prévue dans le contrat et/ou dans le présent DPA.

4. MESURES TECHNIQUES ET ORGANISATIONNELLES

4.1 Easybox a mis en œuvre les mesures techniques et organisationnelles appropriées pour que le Traitement soit effectué conformément à la Législation sur la protection des données et pour assurer un niveau de sécurité approprié des Données à caractère personnel compte tenu de l’état de l’art, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité différentes pour les droits et libertés des personnes physiques.

4.2 Le Client reconnaît que les exigences de sécurité sont susceptibles d’évoluer et qu’une sécurité efficace nécessite une évaluation et une amélioration régulières des mesures de sécurité. Pour cette raison, Easybox évaluera et renforcera, ajoutera ou améliorera en permanence les mesures prises pour se conformer à ses obligations Easybox peut modifier et réviser les mesures techniques et organisationnelles à sa seule discrétion, dans la mesure où cette modification ou révision n’entraîne pas une détérioration matérielle de la protection actuellement fournie par les mesures actuelles.

4.3 Easybox documentera toutes les informations nécessaires pour démontrer le respect des dispositions susmentionnées (y compris un registre des activités de traitement). Sur simple demande du Client, Easybox mettra ces documents à sa disposition.

5. CONFIDENTIALITÉ

5.1 Easybox s’engage à garantir la confidentialité des données personnelles traitées.

5.2 Easybox informera toute personne ayant accès aux Données à caractère personnel (y compris les employés, les intérimaires et les travailleurs indépendants) des obligations incombant à Easybox concernant les Données à caractère personnel du Client.

5.3 Easybox veillera à ce que toutes les personnes impliquées dans le Traitement des Données personnelles du Client soient tenues au secret professionnel ou légal, dans le but de préserver la confidentialité et l’intégrité des Données personnelles du Client.

6. SUBVERTISSEURS

6.1 Le client donne son consentement pour engager des sous-traitants (externes) afin de traiter les données personnelles (y compris le transfert ultérieur).

6.2 Actuellement, Easybox utilise les parties externes énumérées à l’annexe 2 comme sous-traitants secondaires. En signant le présent Contrat, le Client donne son consentement écrit à l’utilisation des sous-traitants secondaires énumérés aux fins du Traitement des Données à caractère personnel pour le compte du Client.

6.3 Easybox informera le Client par courrier électronique et/ou par un avis sur la Plateforme de tout changement envisagé concernant l’ajout ou le remplacement de ses sous-traitants actuels avant ledit changement. Le Client peut s’opposer à cet ajout ou à ce remplacement en invoquant des motifs légitimes liés à la protection des Données à caractère personnel dans un délai de 30 jours à compter de la notification, en envoyant un courrier électronique à hello@easybox.com. Si le Client ne s’oppose pas dans ce délai, il sera réputé avoir renoncé à son droit d’opposition et avoir autorisé Easybox à engager ledit sous-traitant ultérieur.

6.4 Si le Client notifie à Easybox une telle objection, les Parties discuteront de l’objection dans le but de parvenir à une solution raisonnable. Si aucune solution n’est trouvée, Easybox peut, à sa seule discrétion, décider de ne pas désigner le nouveau sous-traitant ou permettre au Client de suspendre ou de résilier le Service concerné conformément aux dispositions relatives à la résiliation du Contrat, sans responsabilité vis-à-vis de l’autre partie (les redevances pour la période précédant la suspension ou la résiliation du Contrat restant toutefois dues par le Client).

6.5 Les sous-traitants ultérieurs d’Easybox sont liés par les mêmes obligations contractuelles que celles énoncées dans le présent Contrat, le cas échéant compte tenu de la nature des services fournis par lesdits sous-traitants ultérieurs. En cas de non-respect par un sous-traitant ultérieur de ses obligations en matière de protection des données, Easybox reste pleinement responsable de l’exécution des obligations dudit sous-traitant ultérieur vis-à-vis du Client.

7. BESOIN D’INFORMATION ET ASSISTANCE

7.1 Easybox aidera le Client à s’acquitter de son obligation de répondre aux demandes des Personnes concernées aux fins de l’exercice de leurs droits :

• en notifiant au Client toute demande reçue en relation avec les Données Personnelles de la part d’une Personne concernée, d’une autorité de contrôle et/ou de toute autre autorité compétente en matière de Législation sur la Protection des Données ;
• en apportant une coopération raisonnable au Client pour répondre aux demandes de la Personne concernée conformément à l’AVG, toutefois après avoir obtenu l’approbation du Client ;
• en s’assurant que Easybox dispose des capacités techniques et organisationnelles pour supprimer du système, des dossiers ou des bases de données de la Personne concernée qui demande un tel droit. Les Données à caractère personnel peuvent rester présentes sur des supports de sauvegarde ou d’archivage qui sont isolés de manière sécurisée et protégés contre tout Traitement ultérieur, puis supprimées définitivement conformément à la politique de durée de conservation.

Nonobstant ce qui précède, le Client reste responsable du traitement approprié de ces demandes émanant des Personnes concernées.

7.2 Compte tenu de la nature du Traitement et dans la mesure où Easybox peut raisonnablement disposer des informations requises (, Easybox fournira une assistance raisonnable au Client, sur demande, pour la réalisation d’une évaluation de l’impact sur la vie privée et pour toute consultation préalable de l’autorité de contrôle compétente. Dans la mesure où les lois applicables en matière de protection des données le permettent, les coûts de cette assistance fournie par Easybox sont à la charge du Client.

7.3 Easybox informera le Client de la violation de ses données personnelles par message électronique sans retard déraisonnable et, en tout état de cause, dans les 48 heures après en avoir pris connaissance. Le Client s’assurera que ses coordonnées sont actuelles et correctes pendant toute la durée du présent Contrat.

7.4 Easybox mettra à la disposition du Client toutes les informations nécessaires et dans la mesure requise par la loi pour démontrer le respect des obligations prévues par le présent Contrat et facilitera et contribuera aux audits, y compris les inspections, réalisés par un auditeur externe mandaté par le Client pendant la durée du Contrat afin de démontrer le respect des conditions du Contrat.

7.5 Le Client limitera ses initiatives en matière d’audit ou d’inspection à un maximum d’une fois par an, sauf dans le cas où (i) la loi l’exige, (ii) Easybox a connu une violation des Données à caractère personnel au cours des douze (12) mois précédents qui a affecté les Données à caractère personnel du Client ou (iii) en cas d’accord mutuel, et notifiera Easybox de cette demande au moins 30 jours ouvrables avant l’audit.

7.6 Le Client garantit que l’audit sera exécuté de telle sorte que la gêne occasionnée à Easybox soit réduite au minimum. Le Client impose à ses auditeurs une obligation de confidentialité adéquate. En outre, Easybox peut exiger que le Client et ses auditeurs concluent un accord de non-divulgation avant le début de l’audit.

7.7 L’étendue d’un audit ne peut entraîner l’obligation de donner ou de fournir à l’auditeur l’accès à : (a) aux informations ou aux données de tout autre client d’Easybox ; (b) aux secrets commerciaux d’Easybox ou aux informations connexes ; (c) aux informations qui, de l’avis raisonnable d’Easybox, peuvent compromettre la sécurité des systèmes ou des locaux d’Easybox ou qui peuvent entraîner la violation par Easybox de ses obligations en vertu de la législation sur la protection des données ou d’autres obligations en matière de sécurité, de confidentialité ou de respect de la vie privée envers d’autres clients d’Easybox ou des tiers ; ou (d) toute information que l’auditeur souhaite consulter pour des raisons autres que l’exécution de bonne foi de ses obligations en vertu de la législation sur la protection des données et le respect par Easybox des dispositions du présent DPA.

8. L’EFFACEMENT OU LA RESTITUTION

8.1 À la résiliation ou à l’expiration du Contrat, Easybox procédera à l’effacement ou à la restitution de toutes les Données à caractère personnel traitées en vertu du présent Contrat (et de toutes les copies existantes), sauf si (i) Easybox est tenue, en vertu du droit applicable, de conserver les Données à caractère personnel, ou (ii) les Données à caractère personnel sont archivées dans un système de sauvegarde qui est conservé séparément par Easybox de manière sécurisée, qui est protégé contre tout traitement ultérieur et où les données sont supprimées conformément à la politique de conservation des données d’Easybox.

9. DURATION

9.1 Le présent DPA prend automatiquement fin à l’expiration de la durée déterminée dans la confirmation de la commande, sauf si le présent DPA est résilié plus tôt.

10. RESPONSABILITÉ

10.1 S’il peut être prouvé qu’Easybox n’a pas rempli ses obligations en vertu du présent Contrat de traitement ou des CGV, Easybox sera responsable du dommage direct prouvé subi par le Client. Easybox n’est pas responsable des dommages indirects, immatériels et/ou consécutifs, y compris la perte de bénéfices, la perte d’opportunité, la perte et/ou l’endommagement de données, la perte de réputation, les sanctions et/ou amendes et les dommages imprévisibles. La responsabilité d’Easybox envers le Client sera en tout état de cause limitée au montant total payé par le Client à Easybox en vertu du Contrat au cours des 12 derniers mois.

10.2 Chaque partie est responsable des amendes administratives imposées par une autorité de surveillance en ce qui concerne son propre Traitement.

10.3 Aucune disposition du présent RGPD ne limite ou n’exclut la responsabilité ou le droit auquel la Personne concernée peut prétendre en vertu de la loi en cas de dommages résultant d’une violation des GVA par Easybox en sa qualité de Responsable du traitement.

10.4 Les dispositions de la présente clause sont sans préjudice de toute autre disposition relative à la responsabilité contenue dans le contrat.

11. LOI ET JURIDICTION APPLICABLE

11.1 Le présent DPA est soumis à la législation belge en matière de protection des données et doit être interprété conformément à celle-ci, sauf disposition contraire de la législation applicable en matière de protection des données.

11.2 Les litiges découlant du présent accord doivent être portés devant les tribunaux tels que définis dans l’accord.