Politique relative au traitement des données

Pour nos clients B2B
Mise à jour avril 2024

INTRODUCTION 

Quand o2o BV (ci-après dénommée « o2o ») fournit certains Services à un Client (ci-après dénommé le « Client »), elle (i) a accès à des Données à caractère personnel (telles que définies ci-après) et/ou (ii) doit traiter des Données à caractère personnel pour lesquelles le Client est responsable en sa qualité de Responsable des données, conformément à la législation sur la protection de la vie privée (telle que définie ci-après). La présente politique relative au traitement des données (ci-après dénommée « Politique relative au traitement des données ») s'applique au traitement des Données à caractère personnel par o2o pour le Client et détermine (i) la manière dont o2o gérera, sécurisera et traitera les Données à caractère personnel, et (ii) l'obligation des parties de se conformer à la législation relative à la protection de la vie privée.

Le recours aux services d'o2o implique l'approbation par le Client de la présente Politique relative au traitement des données et, par conséquent, de la manière dont o2o traite les Données à caractère personnel du Client.

DÉFINITIONS

Dans la présente Politique relative au traitement des données, les concepts suivants recouvrent la signification décrite dans le présent article (lorsqu'ils sont rédigés avec une majuscule) :

Mission : Toutes les activités, telles que, mais sans s'y limiter, les services, fournis par o2o au Client, et toute autre forme de coopération par laquelle o2o traite des Données à caractère personnel pour le Client, quelle que soit la nature juridique de l'accord en vertu duquel ce Traitement est réalisé ;

Responsable des données : L'entité, en l'occurrence le Client, qui détermine les buts et moyens du Traitement de Données à caractère personnel ;

Personne concernée : La personne physique à laquelle se rapportent les Données à caractère personnel et dont le Client souhaite que les Données à caractère personnel soient traitées par o2o ;

Violation des données : Divulgation non autorisée, accès, abus, perte, vol ou destruction accidentelle ou illégale de Données à caractère personnel traitées par o2o pour le compte du Client ; 

Données à caractère personnel : Données à caractère personnel entendues au sens de la Législation sur la protection de la vie privée et telles que définies à l'Annexe I ; 

Législation relative à la protection de la vie privée : (i) le Règlement général 2016/679 sur la protection des données du 27 avril 2016 ; (ii) la loi belge du 30 juillet 2018 sur la protection de la vie privée ; et/ou (iii) la (future) législation belge relative à la mise en œuvre du Règlement général sur la protection des données ;

Traitement : Toute opération ou tout ensemble d'opérations exécutées à l'aide de processus automatisés ou non et appliquées à des données ou des ensembles de Données à caractère personnel, telles que, sans s'y limiter, la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction de Données à caractère personnel ;

Responsable : L'entité qui traite des Données à caractère personnel pour le compte du Responsable des données, en l'occurrence o2o ;

Services : Tous les services fournis par o2o au Client dans le cadre de la Mission, impliquant le Traitement de Données à caractère personnel par o2o ;

Sous-traitant secondaire : Tout sous-traitant engagé par o2o pour l'assister dans l'exécution des Services.La Politique relative au traitement des données comprend les annexes suivantes :

Annexe I : Aperçu (i) des Données à caractère personnel dont les parties prévoient qu'elles fassent l'objet du Traitement, (ii) des catégories de Personnes concernées dont les parties prévoient qu'elles fassent l'objet du Traitement, et (iii) de l'utilisation (c'est-à-dire le(s) mode(s) de traitement) des Données à caractère personnel, de la finalité et des moyens de ce Traitement.

Annexe II : Aperçu et description des mesures de sécurité prises par o2o dans le cadre de la présente Politique relative au traitement des données.

Annexe III : Aperçu de tous les Sous-traitants secondaires auxquels o2o fait appel, y compris (i) le nom des Sous-traitants, (ii) leur pays d'implantation, (iii) s'ils se situent à l'intérieur ou à l'extérieur de l'Espace économique européen (ci-après « EEE ») et (iv) les garanties mises en œuvre (en cas de transfert à des sous-traitants secondaires implantés en dehors de l'EEE).

1. RÔLES DES PARTIES

  1. Les parties reconnaissent et acceptent que, en ce qui concerne le Traitement des Données à caractère personnel, le Client est considéré comme le « Responsable » et o2o comme le « Sous-traitant » conformément à la Législation sur la protection de la vie privée. De plus, o2o peut faire appel à des sous-traitants secondaires conformément aux dispositions visées à l'article 5
  2. Chaque partie se conforme à ses obligations respectives en vertu de la Législation relative à la protection de la vie privée, et plus particulièrement pour ce qui concerne le traitement des Données à caractère personnel.

2. LA MISSION/LES SERVICES

  1. o2o traite les Données à caractère personnel de manière appropriée et minutieuse, et ce, conformément à la Législation en vigueur sur la protection de la vie privée et à toute autre réglementation applicable relative au traitement de Données à caractère personnel. 

Plus spécifiquement, o2o devra - durant l'exécution de la Mission - mettre à disposition tout son savoir-faire afin d'exécuter la Mission dans les règles de l'art et prendre - au mieux de ses capacités - les mesures de sécurité nécessaires (cf. Annexe II) attendues d'un sous-traitant spécialisé et « bon » (tel que défini dans la Législation sur la protection de la vie privée). 

  1. Le Client reconnaît que :
  • o2o intervient en qualité de fournisseur des Services. Par conséquent, le Client est responsable de l'utilisation qu'il fait des Services ; 
  • o2o décline toute responsabilité afférente aux adaptations et/ou modifications apportées aux Données à caractère personnel à la demande expresse du Client ;
  • Le Client est responsable de tous les actes et omissions de ses employés. Le Client informe ses employés sur la Législation applicable en matière de protection de la vie privée, la présente politique et/ou toute autre législation pertinente et veille à ce que les employés se conforment à cette législation ;
  • Le Client est responsable de l'exactitude du matériel et/ou des données qu'il fournit ;
  • Le Client est responsable du contenu des messages (personnalisés) générés ou transmis via les Services.
  1. En cas d'utilisation abusive des Services par le Client, ce dernier accepte que o2o ne puisse jamais être tenu responsable en la matière ni de tout dommage qui résulterait d'une telle utilisation abusive. 
  2. Le Client évite toute utilisation abusive des Services. Dès lors, le Client doit protéger o2o dans le cas d'une telle utilisation abusive ainsi que contre toute réclamation d'une Personne concernée et/ou d'un tiers résultant d'une telle utilisation abusive.

3. OBJET & INSTRUCTIONS

  1. Le Client reconnaît que, en raison du recours aux Services de o2o, cette dernière traitera les Données à caractère personnel collectées par le Client.Toutefois, o2o traitera les Données à caractère personnel à la seule demande du Client et conformément à ses instructions documentées, telles que visées à l'Annexe I, sauf si une obligation légale en dispose autrement.
  2. o2o informera le Client si, selon elle, les instructions du Client enfreignent la Législation sur la protection de la vie privée. Si le Client ne peut ensuite garantir la validité ou la légalité de l'instruction ou s'il omet ou refuse de modifier l'instruction illégale afin qu'elle ne viole plus la Législation sur la protection de la vie privée, o2o pourra (i) suspendre/refuser l'exécution de ladite instruction et (ii) à sa discrétion, continuer à traiter les Données à caractère personnel conformément aux instructions préalablement communiquées ou cesser complètement le traitement, jusqu'à ce que le Client ait modifié son instruction afin qu'elle ne viole plus la Législation sur la protection de la vie privée.
  1. Le Client possède et conserve le plein contrôle sur (i) le traitement des Données à caractère personnel, (ii) les types de Données à caractère personnel traitées, (iii) la finalité du Traitement et (iv) le caractère proportionnel (non limitatif) de ce traitement. 
  2. Le Client informera o2o dans les plus brefs délais s'il ne peut satisfaire à ses responsabilités visées dans le présent article ou dans la Législation sur la protection de la vie privée.

4. SÉCURITÉ DU TRAITEMENT

Compte tenu de l'état de la technique, o2o met en œuvre les mesures techniques et organisationnelles appropriées pour la protection (i) des Données à caractère personnel - y compris la protection contre l'utilisation et/ou le traitement négligent, inapproprié, non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels - (ii) de la confidentialité et de l'intégrité des Données à caractère personnel, comme indiqué à l'Annexe II.

5. SOUS-TRAITANTS SECONDAIRES

  1. Le Client reconnaît et accepte que o2o puisse faire appel à des Sous-Traitants secondaires dans le cadre de la Mission. Dans un tel cas, o2o veillera à ce que les Sous-traitants secondaires soient au moins liés par les mêmes obligations que o2o en vertu de la présente Politique relative au traitement des données.
  2. o2o a ajouté une liste (cf. Annexe III) concernant les Sous-traitants secondaires actuels auxquels elle fait appel pour l'exécution de la Mission. 

o2o doit : 

  • mettre à jour la liste chaque fois qu'un Sous-traitant secondaire est modifié ; 
  • indiquer clairement les modifications apportées à la liste ; 
  • indiquer la date à laquelle la liste a été mise à jour et la date à laquelle la modification du Sous-traitant secondaire est entrée ou entrera en vigueur. 

o2o informera le Client (par exemple, via la plate-forme) des modifications apportées à la liste. Si le Client souhaite exercer son droit d'opposition à l'égard d'un Sous-traitant secondaire, il doit en informer o2o par écrit et de manière motivée au plus tard dans un délai de trente (30) jours à compter de la date de la notification. 

  1. Si le Client s'oppose à un nouveau Sous-traitant secondaire et si cette objection est jugée raisonnable, o2o consentira des efforts raisonnables pour (i) mettre à la disposition du Client une modification des Services ou (ii) recommander une modification commercialement raisonnable de l'utilisation des Services par le Client afin d'éviter le Traitement des Données à caractère personnel par le nouveau Sous-Traitant secondaire contesté, sans imposer de charge déraisonnable au Client. 

Toutefois, si o2o ne peut mettre cette modification à disposition dans un délai raisonnable (qui ne pourra excéder trente (30) jours à compter de la date de l'objection du Client), le Client pourra résilier la Mission / les Services, dans les conditions suivantes :

  • Le Client ne peut utiliser les Services sans faire appel au nouveau Sous-traitant secondaire visé par l'objection ; et/ou 
  • Cette résiliation concerne uniquement les Services qui ne peuvent être fournis par o2o sans faire appel au nouveau Sous-traitant secondaire contesté ; 

Et ce, par notification écrite à o2o dans un délai raisonnable. 

  1. o2o est responsable des actes et omissions de ses Sous-traitants secondaires dans la même mesure que si elle exécutait directement les Services conformément aux dispositions de la présente Politique relative au traitement des données.

6. TRANSFERT DES Données à caractère personnel HORS DE L'EEE

  1. Les Données à caractère personnel sont principalement traitées dans l'EEE et l'article 6.3 s'applique si elles sont traitées en dehors de l'EEE. 
  2. o2o transférera uniquement les Données à caractère personnel à la demande du Client et/ou conformément à ses instructions documentées, sauf si o2o est tenue de le faire en vertu de la législation de l'UE ou d'un État membre. Dans ce cas, o2o informera le Client de cette exigence légale avant le Traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public.
  3. Tout transfert de Données à caractère personnel hors de l'EEE, par o2o à un tiers dont le domicile ou le siège social se situe dans un pays qui ne relève pas de la décision d'adéquation promulguée par la Commission européenne, sera en outre soumis à une ou plusieurs des garanties approuvées par l'UE : 
  • Conclure un accord de transfert de données avec ce destinataire, qui contiendra les clauses contractuelles standard visées dans la décision de la Commission européenne du 5 février 2010 (Décision 2010/87/CE) ; et/ou 
  • des règles d'entreprise contraignantes ; et/ou 
  • des mécanismes de certification.

7. CONFIDENTIALITÉ

  1. o2o garantira la confidentialité des Données à caractère personnel et ne divulguera ni ne transférera à des tiers aucune donnée à caractère personnel sans l'accord écrit préalable du Client, sauf si une telle divulgation et/ou annonce est exigée par la loi ou par un tribunal ou une autre décision gouvernementale (de quelque nature que ce soit). Dans ce cas, o2o conviendra avec le Client, avant toute divulgation et/ou annonce, de la portée et des modalités de cette divulgation ou annonce.
  1. o2o s'assure que son personnel, impliqué dans l'exécution de la Mission, est informé de la nature confidentielle des Données à caractère personnel, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits. o2o s'assure que ces obligations de confidentialité survivent à la résiliation du contrat de travail.
  2. o2o veille à ce que son accès aux Données à caractère personnel soit limité au personnel chargé de l'exécution de la Mission conformément à la Politique relative au traitement des données.

8. NOTIFICATION 

  1. o2o mettra tout en oeuvre pour informer le Client dans un délai raisonnable si elle :
  • reçoit, d'une autorité publique compétente, une demande d'information, une citation à comparaître ou une demande d'inspection ou d'audit relative au traitement des Données à caractère personnel ;
  • reçoit une demande d'une Personne concernée invoquant ses droits en matière de protection de la vie privée en vertu de la Législation sur la protection de la vie privée (cf. Article 9.2
  • A l'intention de communiquer des Données à caractère personnel à une autorité publique compétente ;
  • Constate ou soupçonne raisonnablement une Violation des Données à caractère personnel. 
  1. En cas de Violation des données, o2o :
  • Notifie le Client dans les meilleurs délais après avoir pris connaissance d'une Violation de données et assiste - dans la mesure du possible - le Client dans le cadre de son obligation de notification en vertu de la Législation sur la protection de la vie privée ;
  • S'engage - dès que cela est raisonnablement possible - à prendre les mesures correctives appropriées pour mettre fin à la Violation des données et pour prévenir et/ou limiter toute future Violation des données.

9. RESPONSABILITÉ

  1. Les deux parties sont seules responsables de tous les dommages, réclamations et/ou amendes de tiers, d'autorités de contrôle autorisées ou de Personnes concernées résultant de leur propre violation ou non-respect (i) des dispositions de la présente Politique relative au traitement des données, et (ii) de la Législation sur la protection de la vie privée ou d'autres règles applicables en matière de Données à caractère personnel. Chaque partie indemnise l'autre partie à cet égard. 
  2. En cas de violation/non-conformité telle que décrite à l'article 9.1, la partie en infraction est responsable envers l'autre partie et doit lui rembourser tous les dommages et coûts, y compris les honoraires raisonnables d'avocat, les frais (juridiques) et les dommages résultant d'une telle violation/non-conformité.
  3. La responsabilité d'o2o en cas de violation de la présente Politique relative au traitement des données est limitée comme indiqué dans la documentation contractuelle applicable (à savoir, l'accord-cadre).

10. DROITS DES PERSONNES CONCERNÉES

  1. Si une Personne concernée souhaite exercer ses droits et si le Client ne peut - dans le cadre de son utilisation des Services - corriger, modifier, bloquer ou supprimer les Données à caractère personnel, o2o proposera sa coopération et son assistance pour toute demande commercialement raisonnable du Client visant à faciliter ces actions.
  2. o2o informera rapidement le Client s'il reçoit une demande d'accès, de correction, de modification ou de suppression des Données à caractère personnel d'une Personne concernée. o2o ne répondra toutefois pas à une telle demande d'une Personne concernée sans le consentement écrit préalable du Client, sauf pour confirmer que la demande concerne le Client, ce à quoi le Client consent par la présente. 

11. CONSERVATION, RESTITUTION ET SUPPRESSION DES Données à caractère personnel

  1. o2o conservera les Données à caractère personnel le temps nécessaire à la fourniture des Services ou tant que la Mission entre le Client et o2o n'aura pas été résiliée. 
  2. À l'échéance de la Mission, o2o informera le Client de la possibilité d'exporter les Données à caractère personnel à l'aide des outils d'exportation disponibles, et ce, pendant un délai déterminé (tel que stipulé dans cette notification).
  3. Après l'expiration du délai d'exportation susmentionné, o2o supprimera définitivement les Données à caractère personnel ou les anonymisera.

12. CONFORMITÉ & INSPECTIONS

  1. À la demande du Client, o2o s'engage à lui fournir toutes les informations et, dans la mesure requise par la loi, à l'autoriser à vérifier si o2o se conforme aux dispositions de la présente Politique relative au traitement des données.
  2. En la matière, o2o autorisera le Client (ou un tiers auquel le Client fait appel) à mener des inspections - telles que, mais sans s'y limiter, un audit - et fournira l'assistance nécessaire au Client ou à ce tiers. Le Client doit en informer o2o au moins trente (30) jours ouvrables au préalable. La réalisation d'inspections ne peut en aucun cas engendrer un retard dans l'exécution des Services par o2o.
  3. Afin de garantir la confidentialité des autres Clients d'o2o, le Client impose des obligations de confidentialité suffisantes à ses auditeurs (internes/externes). 
  4. Tous les frais d'inspection sont exclusivement à la charge du Client, sauf si (et dans la mesure où) un incident de sécurité grave/une violation de Données à caractère personnel (chez o2o/ sous la responsabilité d'o2o) ou une violation de la présente Politique relative au traitement des données, est constaté durant l'inspection. 

13. DURÉE

  1. La Politique relative au traitement des données produit ses effets tant que la Mission se poursuit. 

14. CONTACT

Les notifications réalisées par le Client en vertu de la présente Politique relative au traitement des données et/ou à toute question ou préoccupation concernant les dispositions de la présente Politique relative au traitement des données, doivent être adressées à privacy@o2o.be.

15. DROIT APPLICABLE & JURIDICTION 

La présente Politique relative au traitement des données, y compris ses annexes, est régie par le droit et est soumise à la clause juridictionnelle, tels que stipulés dans la Mission.

Annexe I - Aperçu des activités de traitement

Tabel

Annexe II - Description des mesures de sécurité techniques et organisationnelles prises par o2o

  1. Protection des données et de la vie privée : Nous mettons en œuvre des mesures strictes de protection des données afin de garantir la confidentialité, l'intégrité et la disponibilité des informations personnelles et sensibles. Cela comprend le cryptage, le contrôle d'accès et les solutions de stockage sécurisé des données.
  2. Gestion des risques : Nous évaluons régulièrement les risques afin d'identifier, d'évaluer et de gérer les risques liés à la sécurité de l'information. Cette approche proactive nous permet de prendre des mesures appropriées afin d'atténuer les menaces potentielles pour la sécurité.
  3. Réponse aux incidents : Nous avons mis en place un plan complet de réponse aux incidents afin de remédier rapidement à toute violation de la sécurité ou à toute fuite de données. Cela nous permet de juguler et d'atténuer efficacement l'impact de tout incident de sécurité.
  4. Formation et sensibilisation des employés : Conscients que l'erreur humaine peut souvent engendrer des failles de sécurité, nous investissons dans des programmes réguliers de formation et de sensibilisation de nos employés. Cela garantit que notre équipe dispose des connaissances nécessaires lui permettant d'appliquer des normes de sécurité élevées et de reconnaître les menaces potentielles et d'y répondre.
  5. Gestion des fournisseurs : Nous évaluons et gérons minutieusement les pratiques de sécurité des fournisseurs et partenaires tiers. Il s'agit notamment de faire preuve de diligence raisonnable et d'exiger le respect de nos normes de sécurité afin de garantir la protection des informations partagées.
  6. Amélioration continue : Nous nous engageons à améliorer en permanence nos pratiques de sécurité via des examens réguliers, des mises à jour de nos politiques de sécurité, et en restant informés des dernières tendances et menaces en matière de sécurité.
  7. Respect des exigences légales et réglementaires : Nous veillons au respect de toutes les exigences légales et réglementaires applicables en matière de sécurité de l'information et de la protection des données. Cela inclut le respect des lois et réglementations en matière de protection de la vie privée, qui régissent les juridictions dans lesquelles nous opérons.

Annexe III - Aperçu de tous les sous-traitants secondaires

o2o fournira un aperçu de tous les sous-traitants secondaires (i) dans le cadre des négociations avec le Client ou (ii) à la demande du Client.