Attention : à partir du 1er janvier 2026, la facturation électronique via Peppol sera obligatoire en Belgique.

Attention : à partir du 1er janvier 2026, la facturation électronique via Peppol sera obligatoire en Belgique.

Image
Plus d'informations Fermer

Plus de contrôle et moins de travail. Aussi dans votre secteur.

Traitement des factures rapide et sécurisé pour chaque entreprise.

Traitement des factures rapide et sécurisé pour chaque entreprise

Un logiciel complet et puissant

Commencer avec Payt

Commencer immédiatement Planifier une démo Télécharger la brochure

En savoir plus sur Payt

Pour les utilisateurs

Content hub

Créer un compte Planifier une démo

En savoir plus sur Payt

Content hub

Pour les utilisateurs

FR Créer un compte
Menu
Choisissez votre pays
Confirmez votre choix

Accord de traitement des données

Concernant les accords relatifs au traitement licite des données à caractère personnel

 

Version : 2024

Parties :

  1. La société à responsabilité limitée Payt B.V., ci-après dénommée le « Sous-traitant » ;
  2. Le client de Payt B.V., ci-après dénommé le « Responsable du traitement » ;

Ci-après dénommées collectivement les « Parties » et individuellement une « Partie ».

 

Considérant que :

  • Le Sous-traitant a développé une plateforme en ligne pour la gestion des débiteurs et les services de recouvrement ;
  • Le Responsable du traitement utilise ou souhaite utiliser les services du Sous-traitant ;
  • Cette utilisation implique que le Sous-traitant traite ou traitera des Données à caractère personnel pour le compte du Responsable du traitement ;
  • Les Parties souhaitent consigner dans le présent Contrat de sous-traitance les droits, obligations et accords réciproques concernant le Traitement des Données à caractère personnel dans le cadre de ces services.
  • Les annexes suivantes font partie intégrante du présent Contrat de sous-traitance :
    • ANNEXE 1 : Données à caractère personnel ; personnes concernées, objet et durée, nature et finalité, méthodes et moyens du traitement ;
    • ANNEXE 2 : Mesures de sécurité
  • En cas d’incompatibilité entre une clause d’une Annexe et une clause du présent Contrat, la clause de l’Annexe prévaut.

1 : Définitions

Dans le présent Contrat de sous-traitance, les termes suivants, utilisés avec une majuscule, au singulier comme au pluriel, ont la signification suivante :

  1. Personne concernée : la personne physique à laquelle se rapportent les données ou son représentant.
  2. Sous-traitant : la personne qui traite les Données à caractère personnel pour le compte du Responsable du traitement, sans être soumise à son autorité directe. Dans le présent Contrat, il s’agit de Payt B.V.
  3. Annexe : une partie du Contrat de sous-traitance fournissant des explications ou informations supplémentaires sur un aspect spécifique des services.
  4. Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable.
  5. Responsable du traitement : la personne physique ou morale, ou l’organisme, qui seul ou conjointement avec d’autres détermine les finalités et les moyens du traitement de Données à caractère personnel.
  6. Traitement : toute opération ou ensemble d’opérations portant sur des Données à caractère personnel, y compris la collecte, l’enregistrement, l’organisation, la conservation, la modification, la consultation, l’utilisation, la communication, l’effacement, etc.

2 : Durée et résiliation

  1. Le présent Contrat de sous-traitance demeure en vigueur tant que le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement, et ne peut être résilié de manière anticipée.
  2. Le Sous-traitant mettra à la disposition du Responsable du traitement, à première demande de celui-ci, toutes les Données à caractère personnel, et ce au plus tard dans un délai de dix jours ouvrables suivant la fin du présent Contrat de sous-traitance.
  3. Dès la fin du présent Contrat de sous-traitance, le Sous-traitant supprimera et/ou détruira toutes les Données à caractère personnel en sa possession, ainsi que toute copie de celles-ci.
  4. Le Sous-traitant peut déroger aux deux dispositions précédentes dans la mesure où une obligation légale impose une durée de conservation des Données à caractère personnel, ou dans la mesure où cela est nécessaire pour démontrer, à l’égard du Responsable du traitement, le respect de ses obligations contractuelles.

3 : Objet

  1. Le Sous-traitant traitera des Données à caractère personnel pour le compte du Responsable du traitement. À cet effet, le Responsable du traitement fournira les Données à caractère personnel au Sous-traitant.
  2. Le Sous-traitant traitera les Données à caractère personnel uniquement sur la base des instructions écrites du Responsable du traitement (telles que stipulées dans le présent Contrat de sous-traitance et dans le contrat de services conclu entre le Responsable du traitement et le Sous-traitant, dont le présent Contrat fait partie), sauf si le Sous-traitant est soumis à une obligation légale de traitement des Données à caractère personnel. Dans ce cas, le Sous-traitant informera le Responsable du traitement avant de procéder au traitement, sauf si la législation pertinente l’interdit pour des raisons impérieuses d’intérêt public.
  3. Le Sous-traitant informera immédiatement le Responsable du traitement s’il estime qu’une instruction donnée par ce dernier contrevient à la législation applicable en matière de protection des données, y compris le Règlement général sur la protection des données (RGPD).
  4. Le Responsable du traitement a déterminé les finalités du traitement des Données à caractère personnel et en a informé le Sous-traitant.
  5. Le Sous-traitant ne traitera les Données à caractère personnel à aucune autre fin que celles expressément définies dans l’Annexe 1.
  6. Les Données à caractère personnel traitées par le Sous-traitant pour le compte du Responsable du traitement, quelle que soit la manière dont elles ont été obtenues, restent la propriété du Responsable du traitement et/ou de la Personne concernée.
  7. Le Responsable du traitement garantit au Sous-traitant que le contenu, l’utilisation et/ou le traitement des Données à caractère personnel ne sont pas illicites, ne portent atteinte à aucun droit de tiers, que ces Données ont été collectées et partagées légalement, et il dégage le Sous-traitant de toute responsabilité en cas de réclamation émanant d’un tiers, quelle qu’en soit la nature, liée au traitement de ces Données, sauf si le Responsable du traitement prouve que les faits à l’origine de la réclamation sont imputables au Sous-traitant.

4 : Exécution du traitement

  1. Le Sous-traitant est uniquement responsable du traitement des Données à caractère personnel qu’il effectue dans le cadre des services proposés, et conformément aux conditions énoncées dans le présent Contrat de sous-traitance. Le Sous-traitant décline expressément toute responsabilité pour tout autre traitement de Données à caractère personnel, y compris, mais sans s’y limiter, la collecte de Données par le Responsable du traitement et/ou par des tiers.
  2. Le Sous-traitant ne traitera aucune Donnée à caractère personnel dans des pays situés en dehors de l’Espace économique européen (EEE) n’offrant pas un niveau de protection adéquat, sauf s’il a obtenu au préalable l’autorisation écrite expresse du Responsable du traitement et que les exigences légales applicables sont respectées. Le transfert de Données à caractère personnel vers des pays hors EEE ne disposant pas d’un niveau de protection adéquat est strictement interdit.
  3. Le Sous-traitant s’engage à stocker et à traiter les Données à caractère personnel du Responsable du traitement séparément des Données à caractère personnel qu’il traite pour son propre compte ou pour le compte d’autres tiers
  4. Le Sous-traitant traitera les Données à caractère personnel de manière appropriée et diligente, conformément aux obligations qui lui incombent en vertu de la législation applicable en matière de protection de la vie privée, notamment le Règlement général sur la protection des données (RGPD).
  5. Le Responsable du traitement fournit au Sous-traitant les données nécessaires à l’exécution de ses missions. Il ne transmettra au Sous-traitant que les Données (à caractère personnel) strictement nécessaires à l’exécution de ces missions et qu’il est autorisé à fournir à cette fin.

5 : Sécurité des Données à caractère personnel

  1. Les Parties conviennent que le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, proportionnées à l’état actuel de la technique et aux coûts associés, et adaptées à la nature des Données à caractère personnel traitées, afin de protéger celles-ci contre la perte, l’accès non autorisé, l’altération ou le traitement illicite, ainsi que pour garantir la disponibilité (en temps utile) des Données à caractère personnel.
  2. Les Parties reconnaissent que les exigences en matière de sécurité évoluent en permanence et qu’une protection efficace nécessite des évaluations fréquentes et une mise à jour régulière des mesures de sécurité devenues obsolètes. Par conséquent, le Sous-traitant s’engage à évaluer en continu les mesures de sécurité mises en place pour protéger les Données à caractère personnel et à les renforcer, compléter ou améliorer si nécessaire, afin de continuer à satisfaire à ses obligations.
  3. En complément des dispositions du présent article, le Sous-traitant applique les mesures de sécurité détaillées à l’Annexe 2.
  4. Le Sous-traitant ne garantit pas que les mesures de sécurité seront efficaces en toutes circonstances.

6 : Contrôle

  1. Le Responsable du traitement a le droit d’effectuer ou de faire effectuer un test (de pénétration) une fois par an afin de vérifier le respect des dispositions du présent Contrat de sous-traitance. Ce test peut être réalisé par le Responsable du traitement lui-même ou par un expert indépendant, tel qu’un expert-comptable agréé, un informaticien certifié ou tout autre auditeur dûment habilité.
  2. Le Sous-traitant conservera les données nécessaires à l’exécution de ces tests (de pénétration), telles que les journaux système.
  3. Les personnes chargées de réaliser le test devront se conformer aux procédures de sécurité en vigueur chez le Sous-traitant.
  4. Le Sous-traitant s’engage à coopérer pleinement et à fournir en temps utile toutes les informations raisonnablement pertinentes pour la réalisation du test.
  5. Les coûts liés à l’exécution du test sont à la charge du Responsable du traitement, sauf accord écrit contraire entre les Parties.
  6. Le Responsable du traitement annoncera le test envisagé par écrit, après quoi le Sous-traitant veillera à ce que celui-ci puisse débuter dans un délai raisonnable.

7 : Obligation de notification des violations de données & surveillance

  1. En cas de violation relative aux Données à caractère personnel relevant du périmètre de responsabilité du Sous-traitant, celui-ci informera sans délai le Responsable du traitement dès la constatation de ladite violation.
  2. Cette obligation de notification comprend, au minimum, l’information relative à l’existence d’une fuite ou d’un incident, la cause présumée de la fuite ou de l’incident, les conséquences connues ou attendues, ainsi que les mesures correctrices (proposées) mises en œuvre.
  3. Le Responsable du traitement informera, s’il le juge nécessaire, les Personnes concernées ainsi que tout tiers, y compris l’Autorité de protection des données, d’une violation de données ou d’un autre incident. Le Sous-traitant n’est pas autorisé à fournir directement des informations relatives à une violation de données ou à d’autres incidents aux Personnes concernées ou à des tiers, sauf si la loi l’y oblige ou si le Responsable du traitement lui en a donné l’autorisation expresse.

8 : Confidentialité

  1. Toutes les Données à caractère personnel que le Sous-traitant reçoit du Responsable du traitement et/ou collecte lui-même dans le cadre du présent Contrat de sous-traitance sont soumises à une obligation de confidentialité à l’égard des tiers.
  2. Le Sous-traitant veille à ce que son personnel autorisé à traiter les Données à caractère personnel soit lié par l’obligation de confidentialité stipulée dans le présent article.
  3. L’obligation de confidentialité ne s’applique pas dans les cas suivants :
    – lorsque le Responsable du traitement a donné une autorisation expresse pour divulguer les informations à des tiers ;
    – lorsque la communication à des tiers est logiquement nécessaire au vu de la nature de la mission confiée et de l’exécution du présent Contrat de sous-traitance ;
    – ou lorsque la loi impose de fournir ces informations à un tiers.
    En cas de communication d’informations à un tiers sur la base d’une obligation légale, le Sous-traitant en informera le Responsable du traitement dans les plus brefs délais et, en tout état de cause, avant toute divulgation.

9 : Droits des Personnes concernées

Le Sous-traitant apporte sa pleine coopération au Responsable du traitement, après approbation et sur instruction de ce dernier, afin de :

  1. Donner aux Personnes concernées l’accès aux Données à caractère personnel les concernant, ainsi que des informations sur le traitement de leurs Données ;
  2. Permettre aux Personnes concernées d’obtenir les Données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un tiers ;
  3. Limiter temporairement le traitement des Données à caractère personnel à leur simple conservation, ou au traitement pour lequel la Personne concernée a donné son consentement, jusqu’à ce que le Responsable du traitement décide de lever cette limitation ;
  4. Supprimer ou corriger les Données à caractère personnel des Personnes concernées (par exemple si une Personne concernée s’oppose valablement au traitement de ses Données personnelles) ;
  5. Fournir la preuve que les Données à caractère personnel ont été supprimées ou corrigées si elles s’avéraient inexactes (ou, dans le cas où le Responsable du traitement n’est pas d’accord sur l’inexactitude, consigner le fait que la Personne concernée considère ses Données comme inexactes).

Le Sous-traitant s’engage en outre, à la première demande du Responsable du traitement, à agir dans les plus brefs délais, et au plus tard dans un délai de cinq jours ouvrables suivant ladite demande, pour :

  1. Fournir par écrit toutes les informations nécessaires dont le Responsable du traitement pourrait avoir besoin ;
  2. Corriger, compléter, supprimer ou bloquer les Données à caractère personnel.

Dans la mesure du possible, le Sous-traitant coopérera pleinement avec le Responsable du traitement afin de lui permettre de respecter les obligations qui lui incombent en vertu de la législation applicable en matière de traitement des Données à caractère personnel.

10 : Recours à des sous-traitants et partage des Données à caractère personnel

Le Sous-traitant est autorisé à faire appel à des tiers pour le traitement des Données à caractère personnel dans les cas suivants :

  1. – si le Sous-traitant en a informé préalablement par écrit le Responsable du traitement, et que ce dernier ne s’y est pas opposé dans un délai de quatorze jours suivant ladite notification ; ou
    – si le Sous-traitant a obtenu l’autorisation du Responsable du traitement à cet effet ; ou
    – si le recours à des tiers est logiquement nécessaire en raison de la nature de la mission confiée et/ou de l’exécution du présent Contrat de sous-traitance.
  2. Le Sous-traitant veillera à ce que les tiers concernés acceptent, au minimum, les mêmes obligations que celles imposées au Sous-traitant dans le cadre du présent Contrat de sous-traitance.
  3. Pour exécuter correctement les services, le Sous-traitant fait appel à des tiers et partage les Données à caractère personnel collectées pour le compte du Responsable du traitement avec, au minimum (mais sans s’y limiter), les partenaires spécifiés à l’ANNEXE 1, pour lesquels le Responsable du traitement donne par la présente son consentement.
  4. Si le tiers que le Sous-traitant souhaite engager est établi en dehors de l’Espace économique européen (EEE), le Sous-traitant devra obtenir au préalable l’autorisation du Responsable du traitement avant d’engager ce tiers. En outre, le Sous-traitant garantit, sans préjudice de ce qui précède, que ce tiers assure un niveau de protection et de sécurité des Données à caractère personnel adéquat, au sens du Règlement général sur la protection des données (RGPD).
  5. Le Sous-traitant est responsable vis-à-vis du Responsable du traitement de tout acte ou omission des tiers qu’il engage.
  6. Dans le cas où le Responsable du traitement demande au Sous-traitant de partager des Données à caractère personnel avec un tiers ne figurant pas sur la liste des parties avec lesquelles le Sous-traitant partage des données, telle que visée à l’ANNEXE 1, les dispositions du présent article ne s’appliquent pas, et le Responsable du traitement assume l’entière responsabilité de tout dommage, direct ou indirect, en résultant.
  7. Le Sous-traitant peut également transmettre des Données à caractère personnel à des tiers lorsqu’il y est tenu en vertu d’une demande ou d’un ordre émanant d’une autorité publique ou judiciaire compétente, ou dans le cadre d’une obligation légale de divulgation.

11 : Durée de conservation

  1. Payt s’efforce de conserver le moins de données possible qui ne sont plus pertinentes. Parallèlement, les données historiques offrent des possibilités d’analyse approfondie, de financement et de documentation pour les rapports annuels.
  2. Compte tenu de la nature des services fournis, la durée de conservation commence à courir dès qu’une facture est payée.
  3. Le Sous-traitant applique une durée de conservation standard de 25 mois.
  4. Des dérogations à cette règle sont possibles via l’application ou en contactant le service d’assistance.

12 : Dispositions finales

  1. Toute modification du présent Contrat de sous-traitance n’est valable que si elle a été convenue par écrit entre les Parties.
  2. Le présent Contrat de sous-traitance prévaut sur toute autre convention conclue entre le Responsable du traitement et le Sous-traitant en matière de traitement des Données à caractère personnel.
  3. Le présent Contrat de sous-traitance est exclusivement régi par le droit néerlandais.
  4. Tout litige relatif à ou découlant du présent Contrat de sous-traitance sera exclusivement soumis au tribunal compétent du ressort du siège du Sous-traitant.

ANNEXE 1 – Données à caractère personnel ; finalité, modalités et moyens du traitement ; durées de conservation

Données à caractère personnel traitées

Données concernant les débiteurs du Responsable du traitement :

  • Nom, adresse, lieu de résidence, numéro de téléphone, adresse e-mail, sexe, informations relatives aux débiteurs, ainsi que données sur le comportement de paiement et les communications entre les débiteurs et les clients de Payt, et données de facturation.

Catégories de Personnes concernées

  • Débiteurs

Objet, durée et nature du traitement

Le Sous-traitant fournit au Responsable du traitement une solution SaaS destinée à automatiser la gestion des débiteurs. Les conditions dans lesquelles cette solution SaaS est fournie au Responsable du traitement, ainsi que les services inclus, sont décrites plus en détail dans le contrat de services conclu entre le Sous-traitant et le Responsable du traitement.

Finalités, modalités et moyens du traitement

Les Données à caractère personnel sont traitées par le Sous-traitant dans le but de :

a) permettre le recouvrement des créances soumises par le Responsable du traitement via le Sous-traitant ;

b) exécuter les services convenus entre le Responsable du traitement et le Sous-traitant.

Ces Données à caractère personnel sont traitées et stockées dans les systèmes logiciels concernés du Sous-traitant. En outre, pour exécuter correctement les services, le Sous-traitant fait appel à des tiers. Au moment de la conclusion du présent Contrat de sous-traitance, le Sous-traitant fait usage des sous-traitants suivants :

Sous-traitants ultérieurs
Amazon Web Services, Inc.EEA
Aangetekend BVEEA
Paragon Customer Communications B.V.EEA
eConnect International B.V.EEA
Messagebird B.V.EEA
Flowmailer B.V.EEA
Sendgrid, Inc. EEA/USA
Speos Belgium N.V.EEA

Une liste actualisée des parties avec lesquelles le Sous-traitant partage des données, ainsi qu’une description des données partagées et des finalités de ce partage, peut être obtenue en contactant : servicedesk@paytsoftware.com.

Le Sous-traitant prend également en charge l’intégration avec des Tiers ayant leur propre responsabilité en matière de traitement, avec lesquels le Responsable du traitement a conclu une relation contractuelle directe. Cela inclut notamment, sans s’y limiter, des huissiers de justice, des prestataires de services de paiement (tels que, mais non exclusivement, Pay et Mollie), ainsi que des fournisseurs de services d’évaluation de crédit (tels que GraydonCreditsafe).

ANNEXE 2 : Mesures de sécurité

Le Sous-traitant met en œuvre, entre autres, des mesures de sécurité dans les domaines suivants, tels que définis dans sa politique de sécurité de l’information. Cette politique est certifiée conforme à la norme ISO 27001.

  1. Personnel sécurisé ;
  2. Gestion des actifs de l’entreprise ;
  3. Contrôle des accès ;
  4. Cryptographie ;
  5. Sécurité physique ;
  6. Sécurité des opérations ;
  7. Sécurité des communications ;
  8. Acquisition et développement des systèmes ;
  9. Relations avec les fournisseurs ;
  10. Gestion des incidents de sécurité de l’information ;
  11. Aspects liés à la gestion de la continuité d’activité ;
  12. Conformité.

La déclaration d’applicabilité est disponible sur demande et sera transmise de manière confidentielle.

Payt

Chambre de Commerce: 08155915
TVA: NL817576320B01

Siège social à Pays Bas
Waagstraat 4
9712 JX Groningen
Pays Bas

 

Remove Cookie