Contrat de sous-traitance
1. Objet et durée
1.1. Le présent Contrat régit le traitement de données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement, conformément à l’article 28 du Règlement Général sur la Protection des Données (« RGPD »).
1.2. La durée du présent Contrat suit la durée du contrat principal (y compris le Contrat de licence de logiciel et les Conditions Générales). Les traitements commencent à l’activation des services et prennent fin lors de la suppression ou de la restitution de toutes les données à caractère personnel, comme prévu à l’article 12.
2. Description du traitement
2.1. Catégories de personnes concernées
- locataires et colocataires ;
- propriétaires et bailleurs ;
- inspecteurs et employés du Responsable du traitement ;
- fournisseurs et personnes de contact externes dans le cadre des inspections ;
- personnes de contact au sein d’Associations de Copropriétaires (ACP/VME), de sociétés de logement social ou d’autorités publiques.
2.2. Catégories de données à caractère personnel
Les données sont déterminées par le Responsable du traitement et peuvent inclure, sans s’y limiter :
- données d’identification (nom, prénom, adresse, coordonnées) ;
- données concernant les biens immobiliers et les lieux à inspecter ;
- photos, vidéos et rapports d’inspection ;
- signatures numériques ;
- remarques et références internes ;
- comptes d’utilisateurs et données de journalisation (logs).
2.3. Types de traitements
- collecte, enregistrement et stockage ;
- consultation, utilisation et traitement à des fins d’inspection ;
- organisation, structuration et reporting ;
- transfert vers le Responsable du traitement ou ses systèmes ;
- sauvegarde (back-up), archivage et suppression sécurisée.
2.4. Finalités
- réalisation, documentation et suivi des inspections numériques et des rapports d’inspection ;
- gestion et suivi de biens immobiliers ;
- respect des obligations légales relatives aux inspections et à la documentation ;
- constitution de preuves dans le cadre de la location et de la gestion de biens immobiliers.
3. Obligations du Sous-traitant
Le Sous-traitant s’engage à :
3.1. traiter les données à caractère personnel uniquement sur instruction écrite du Responsable du traitement, à moins qu’une obligation légale ne l’exige autrement ;
3.2. ne pas utiliser les données à caractère personnel pour ses propres finalités ;
3.3. veiller à ce que toutes les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité de manière contractuelle ;
3.4. mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées conformément à l’article 32 du RGPD, y compris, mais sans s’y limiter :
- le chiffrement des données lors du transfert et, dans la mesure du possible, au repos ;
- le contrôle d’accès et la journalisation ;
- l’utilisation de centres de données sécurisés ;
- la protection contre les logiciels malveillants et l’accès non autorisé ;
- la surveillance des systèmes et des incidents de sécurité.
3.5. aider le Responsable du traitement à donner suite aux demandes des personnes concernées (droit d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition) ;
3.6. collaborer, si nécessaire, à la réalisation d’analyses d’impact relatives à la protection des données (AIPD) et à la consultation préalable des autorités de contrôle ;
3.7. n’effectuer aucun traitement en dehors de l’UE/EEE sans que les conditions du chapitre V du RGPD ne soient remplies ;
3.8. tenir un registre à jour des activités de traitement pour les traitements qu’il effectue en tant que Sous-traitant.
4. Violations de données
4.1. Le Sous-traitant notifie par écrit au Responsable du traitement, dans les plus brefs délais et au plus tard dans les 24 heures, toute violation de données à caractère personnel avérée ou raisonnablement suspectée, concernant les données traitées dans le cadre du présent Contrat.
4.2. Dans la mesure du possible, la notification contient au moins :
- la nature de la violation de données et, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données ;
- les conséquences probables de la violation de données ;
- les mesures déjà prises et/ou proposées pour remédier à la violation et en atténuer les conséquences.
4.3. Le Sous-traitant coopère pleinement avec le Responsable du traitement pour évaluer la violation, notifier les autorités de contrôle et – si nécessaire – les personnes concernées, ainsi que pour toute enquête ultérieure ou mesure corrective.
5. Sous-traitants ultérieurs
5.1. Le Sous-traitant peut faire appel à des sous-traitants ultérieurs pour l’exécution du présent Contrat, à condition que ces sous-traitants ultérieurs soient contractuellement liés par les mêmes obligations en matière de confidentialité et de sécurité que celles prévues dans le présent Contrat, conformément à l’article 28, paragraphe 4 du RGPD.
5.2. Le Sous-traitant tient une liste à jour de ses sous-traitants ultérieurs (voir Annexe I – Liste des sous-traitants ultérieurs). Cette liste mentionne au moins l’entité juridique, la finalité du traitement, le lieu d’hébergement ou de traitement, et l’adresse du sous-traitant ultérieur.
5.3. Le Sous-traitant informe le Responsable du traitement au moins 30 jours avant d’ajouter ou de remplacer un sous-traitant ultérieur. La notification s’effectue par e-mail ou via une notification dans l’application.
5.4. Le Responsable du traitement a le droit d’émettre une objection motivée dans ce délai si le sous-traitant ultérieur n’offre pas de garanties suffisantes en matière de confidentialité ou de sécurité de l’information, ou si le sous-traitant ultérieur traite des données dans un pays ne garantissant pas un niveau de protection adéquat et sans mécanisme de transfert valide.
5.5. Si l’objection est recevable, les parties se concertent pour trouver une solution appropriée. Si aucune solution n’est trouvée dans un délai de 15 jours, le Responsable du traitement peut résilier le(s) service(s) concerné(s) ou limiter le traitement afin que le sous-traitant ultérieur concerné ne soit pas utilisé.
5.6. Le Sous-traitant reste pleinement responsable des actes et omissions de tous ses sous-traitants ultérieurs. Une violation par un sous-traitant ultérieur est considérée comme une violation par le Sous-traitant lui-même.
5.7. Si un sous-traitant ultérieur traite des données à caractère personnel en dehors de l’UE/EEE, le Sous-traitant garantit l’utilisation d’un mécanisme de transfert international valide et la mise en œuvre de mesures supplémentaires si nécessaire.
5.8. Le Responsable du traitement peut, sur demande, recevoir une copie des contrats de traitement de données pertinents conclus entre le Sous-traitant et ses sous-traitants ultérieurs, sous réserve de l’anonymisation des informations commerciales confidentielles.
5.9. Le Sous-traitant ne fait pas appel à des sous-traitants ultérieurs pour d’autres finalités que celles nécessaires à l’exécution des services de Chapps.
6. Transferts internationaux
6.1. Si des données à caractère personnel sont traitées en dehors de l’UE/EEE dans le cadre du présent Contrat, les parties veillent à ce que le transfert soit conforme au chapitre V du RGPD.
6.2. Le Sous-traitant communique en toute transparence, sur demande, les pays dans lesquels les données à caractère personnel sont stockées ou traitées.
7. Droits des personnes concernées
7.1. Le Responsable du traitement est principalement responsable du traitement des demandes des personnes concernées concernant l’exercice de leurs droits en vertu du RGPD.
7.2. Le Sous-traitant assistera le Responsable du traitement, sans frais et dans un délai raisonnable (maximum 5 jours ouvrables), concernant les demandes d’accès, de rectification, d’effacement, de limitation, de portabilité des données ou d’opposition.
8. Sécurité
8.1. Le Sous-traitant met en œuvre des mesures de sécurité adaptées au risque, y compris :
- la gestion des accès basée sur le principe du « besoin d’en connaître » (need-to-know) et du « moindre privilège » (least privilege) ;
- une politique stricte en matière de mots de passe et d’authentification ;
- des communications chiffrées (par ex. TLS) et, dans la mesure du possible, un stockage chiffré ;
- des pare-feu, une segmentation du réseau et une surveillance continue ;
- une évaluation et un ajustement réguliers des mesures de sécurité.
8.2. Le Sous-traitant mettra à la disposition du Responsable du traitement, sur demande, une description des principales mesures de sécurité techniques et organisationnelles.
9. Audit et inspection
9.1. Le Responsable du traitement a le droit, au maximum une fois par an ou en cas de suspicion fondée d’une violation, de faire réaliser un audit ou une inspection concernant le respect du présent Contrat.
9.2. Les audits sont menés moyennant un préavis raisonnable et sans perturber de manière déraisonnable les activités commerciales du Sous-traitant.
9.3. Le Sous-traitant peut fournir des preuves alternatives, telles que des rapports d’audit externes récents ou des certifications, à condition que ceux-se couvrent suffisamment les aspects de sécurité pertinents.
10. Confidentialité
10.1. Le Sous-traitant traite de manière strictement confidentielle toutes les données à caractère personnel qu’il traite pour le compte du Responsable du traitement.
10.2. Le Sous-traitant garantit que l’ensemble des employés, consultants ou autres personnes agissant sous sa responsabilité et ayant accès aux données à caractère personnel, sont soumis à une obligation de confidentialité appropriée.
11. Responsabilité
11.1. Chaque partie est responsable des dommages résultant de sa propre violation du RGPD ou du présent Contrat, dans la mesure où ces dommages lui sont imputables.
11.2. Sauf en cas de faute intentionnelle ou de faute lourde, la responsabilité totale du Sous-traitant découlant de ou liée au présent Contrat est, dans tous les cas, limitée aux montants effectivement payés par le Responsable du traitement pour les services concernés au cours des douze (12) mois précédant le fait générateur du dommage.
11.3. Aucune des parties n’est responsable des dommages indirects, consécutifs, des pertes de profits ou des pertes d’opportunités, sauf disposition contraire du droit impératif.
12. Fin du traitement
12.1. À la résiliation du contrat principal, le Sous-traitant s’engage à supprimer ou à restituer les données à caractère personnel au Responsable du traitement. Pour la restitution (exportation de données), les délais, conditions et éventuels frais tels qu’expressément convenus à l’Article 10 du Contrat de licence de logiciel s’appliquent.
12.2. Sous réserve d’une demande d’exportation de données valide et soumise en temps utile, le Sous-traitant supprime définitivement toutes les données à caractère personnel au plus tard 30 jours après la fin de l’abonnement ou des services, à moins qu’une obligation légale de conservation n’exige une durée plus longue.
12.3. Le Sous-traitant peut, sur demande, fournir une confirmation écrite de la suppression.
13. Droit applicable et juridiction compétente
13.1. Le présent Contrat est exclusivement régi par le droit belge.
13.2. Tout litige découlant de ou lié au présent Contrat relève de la compétence exclusive des tribunaux d’Anvers.
14. Ordre de priorité et relation avec d’autres documents
14.1. En cas de contradiction ou d’incohérence entre les documents constituant la relation contractuelle, l’ordre de priorité obligatoire suivant s’applique (par ordre décroissant de priorité) :
- La proposition de services que vous avez signée (offre) ;
- Le présent Contrat de sous-traitance (exclusivement pour ce qui concerne le traitement des données à caractère personnel) ;
- Les Conditions Générales ;
- Le Contrat de licence de logiciel ;
- La Politique de confidentialité.
14.2. Le présent Contrat remplace tous les contrats de sous-traitance antérieurs conclus entre les parties concernant les mêmes services.
15. Modifications
15.1. Le Sous-traitant peut modifier le présent Contrat si les lois et réglementations, les exigences de sécurité ou les circonstances opérationnelles l’exigent.
15.2. Les modifications sont, dans la mesure du raisonnable, communiquées au moins 30 jours à l’avance via le site web de Chapps ou d’autres canaux de communication habituels.
15.3. Si une modification a un impact substantiel sur les droits ou obligations du Responsable du traitement, ce dernier peut résilier le contrat concernant les services concernés avant la date d’entrée en vigueur de la modification.
16. Langue et interprétation
Le présent Contrat de sous-traitance peut être mis à disposition dans plusieurs langues. En cas de contradictions, de différences d’interprétation ou d’incohérences entre une version traduite et la version néerlandaise, seule la version néerlandaise prévaudra.
Annexe I – Liste des sous-traitants
Vous trouverez ci-dessous la liste des sous-traitants auxquels Chapps SA fait appel. Ces sous-traitants ont été
soigneusement sélectionnés afin de répondre aux exigences élevées de Chapps en matière de sécurité et de protection
des données.
| Entité juridique | Finalité du traitement | Lieu d’hébergement | Adresse |
|---|---|---|---|
| Combell NV | Infrastructure cloud : hébergement et stockage des données | Belgique, UE | Skaldenstraat 121, 9042 Gand, Belgique |
| Teamleader NV | Gestion de la clientèle, facturation et paiements | Irlande, UE | Dok Noord 3A / 101, 9000 Gand, Belgique |
| Hubspot Ireland Limited | Traitement des leads, CRM, activités marketing, communication, rendez-vous en ligne, suivi des ventes | Irlande, UE | One Sir John Rogerson’s Quay, Dublin 2, Ireland |
| Aareon Deutschland GmbH | Intégration API et échanges de données entre les logiciels Chapps et les systèmes ERP Aareon | Allemagne, UE | Isaac-Fulda-Allee 6, 55124 Mayence, Allemagne |
| UTS innovative Softwaresysteme GmbH | Intégration API et échanges de données entre les logiciels Chapps et le logiciel ERP KARTHAGO | Allemagne, UE | Schanzenstraße 6-20, 51063 Cologne, Allemagne |
| Thurnherr SA | Intégration API et échanges de données entre les logiciels Chapps et le logiciel immob10 | Suisse | Morgenstraße 121, Case postale 753, 3018 Berne, Confoederatio Helvetica |
| Informant Software B.V. | Intégration API et échanges de données entre les logiciels Chapps et le logiciel Informant | Pays-Bas, UE | Kwaklaan 9, 2291 AT Wateringen, Pays-Bas |
| Pararius B.V. | Intégration API et échanges de données entre les logiciels Chapps et le logiciel Pararius | Pays-Bas, UE | Blaak 555, 3011 GB Rotterdam, Pays-Bas |
| Vlaams Energiebedrijf NV | Échange de relevés de compteurs d’énergie via une API REST avec le back-office du VEB | Belgique, UE | Avenue du Port 88, 1000 Bruxelles, Belgique |
| Enloc AG | Échange de relevés de compteurs d’énergie via une API REST avec le back-office d’Enloc | Allemagne, UE | Am Schießhaus 1-3, 01067 Dresden, Allemagne |