Clause GDPR (en cas de prestataire de service qui va traiter des données personnelles)

Cette annexe est à utiliser lorsque l’adjudicataire est un sous-traitant au sens de la législation
RGPD, c’est-à- dire personne physique ou morale, qui traite des données à caractère personnel
pour le compte de Enabel.

Donnée personnelle = toute information se rapportant à une personne physique identifiée ou

identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée,
directement ou indirectement, notamment par référence à un identifiant tel que le nom, un numéro
d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs
spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou
sociale de cette personne physique.

CONVENTION relative aux traitements de données à caractère personnel (RGPD)

ENTRE :

Le pouvoir adjudicateur : Enabel, Agence belge de développement, société anonyme de

droit public à finalité sociale, dont le siège social est établi à 147, rue Haute, 1000 Bruxelles (numéro
d’entreprise 0264.814.354, RPM Bruxelles).

Représentée par : [… .........................................................................................................],

Ci-après dénommée « le pouvoir adjudicateur » ou « PA » ou « Responsable du traitement ».

ET :

L’adjudicataire : [… ......................................................................................................... ], dont le siège

social est établi à
[.............................................................................................................. ................................ ] et immatriculée
à la BCE sous le n° […......................................................................... ],

Représenté(e) par : [ ......................................................................................................... ],

conformément à l’article [ ................................................................................................ ] des statuts de la

société,

Ci-après dénommé(e) « l’adjudicataire » ou « sous-traitant ».

Le pouvoir adjudicateur et l’adjudicataire sont dénommés individuellement une « Partie » et

ensemble les « Parties ».

Préambule

Par décision du […........................... ], l’adjudicataire s’est vu attribuer un marché conformément au

cahier spécial des charges n° [… ..........................].

Les besoins faisant l’objet de ce marché impliquent le traitement de données à caractère personnel
au sens de la loi belge relative à la protection des personnes physiques à l’égard des traitements de
données à caractère personnel et du règlement européen 2016/679 (ci-après RGPD).

L’objet de cet avenant est de conformer les documents de marché aux exigences de l’article 28 du
RGPD.

Il n’est pas autrement dérogé aux conditions du marché, notamment quant au délai et à la valeur du
marché attribué.
Article 1 : Définitions

1.1. Les termes tels que « traiter » / « traitement », « données à caractère personnel », «
responsable du traitement », « sous-traitant » et « violation de données à caractère
personnel » doivent être interprétés à la lumière de la Législation en matière de protection
des données. Par « Législation en matière de protection des données » on entend toute
réglementation de l'Union européenne et/ou de ses États membres, y compris, sans être
limité aux actes, directives et règlements pour la protection des données à caractère
personnel, en particulier le règlement européen 2016/679 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données (ci-après RGPD) et la loi belge du 30 juillet 2018 relative à la
protection des personnes physiques à l’égard des traitements de données à caractère
personnel.

Article 2 : Objet de la Convention

1.1. Durant l’exécution du marché, le pouvoir adjudicateur confie à l’adjudicataire le traitement

de données à caractère personnel. L’adjudicataire s'engage à traiter les données à caractère
personnel au nom et pour le compte du pouvoir adjudicateur.

1.2. L’adjudicataire exécute le marché conformément aux dispositions de la présente

Convention.

1.3. Les deux Parties s'engagent explicitement à respecter les dispositions des lois applicables en
matière de protection des données et à ne rien faire ou omettre qui puisse amener l'autre
Partie à enfreindre les lois pertinentes et applicables en matière de protection des données.

1.4. Les éléments compris dans le traitement sont inclus et précisés plus amplement dans
l’Annexe 1 de cette Convention. Les éléments suivants sont particulièrement inclus dans
ladite Annexe :

a) Les activités de traitements de données à caractère personnel ;

b) Les catégories de données à caractère personnel traitées ;

c) Les catégories d’intéressés auxquelles se rapportent les données à caractère personnel du

pouvoir adjudicateur ;

d) Les finalités du traitement.

1.5. Seules les données à caractère personnel mentionnées dans l’Annexe 1 de la présente
Convention peuvent et doivent être traitées par l’adjudicataire. En outre, les données à
caractère personnel ne seront traitées qu'à la lumière des finalités déterminées par les
Parties dans l’Annexe 1 de la présente Convention.

1.6. Les deux Parties s'engagent à adopter des mesures appropriées pour s'assurer que les
données à caractère personnel ne sont pas utilisées abusivement ou acquises par un tiers
non autorisé.

1.7. En cas de conflit entre les dispositions de la présente Convention et celles du Cahier spécial
des charges, les dispositions de la présente Convention prévaudront.

Article 3 : Instructions du pouvoir adjudicateur

3.1. L’adjudicataire s’engage à traiter les données à caractère personnel uniquement sur les
instructions documentées du pouvoir adjudicateur et conformément aux activités de
traitement convenues telles que définies à l’Annexe 1 de la présente Convention.
L’adjudicataire ne traitera pas les données à caractère personnel faisant l'objet de la présente
 Convention d'une manière incompatible avec les instructions et les dispositions de la
présente Convention.

3.2. L’adjudicataire s’engage à traiter les données à caractère personnel conformément aux
instructions documentées du Responsable de traitement, en ce compris pour ce qui concerne
les transferts de données à caractère personnel vers des pays tiers ou vers des organisations
internationales, à moins qu’il ne soit tenu en vertu du droit de l’Union européenne ou de
l’État membre auquel il est soumis. Dans le cas ci-mentionné, le Sous-traitant informe le
Responsable de traitement de cette obligation légale avant le traitement sauf si le droit
concerné interdit une telle information pour des motifs importants d’intérêt public.

3.3. Le pouvoir adjudicateur peut unilatéralement apporter des modifications limitées aux
instructions. Le pouvoir adjudicateur s’engage à consulter l’adjudicataire avant d’apporter
des modifications importantes aux instructions. Les modifications affectant la teneur de
cette Convention doivent faire l’objet d’un accord par les Parties.

3.4. L’adjudicataire s’engage à notifier immédiatement le pouvoir adjudicateur s’il considère que
les instructions reçues (en tout ou en partie) constituent une violation de la Règlementation
ou d’autres dispositions du droit de l’Union européenne ou du droit des États membres
relatives à la protection des données.

Article 4 : Assistance au pouvoir adjudicateur

4.1. Conformité à la législation. L’adjudicataire assiste le pouvoir adjudicateur dans le

respect des obligations qui lui incombent en vertu du Règlement, en tenant compte de la
nature du traitement et des informations dont dispose l’adjudicataire.

4.2. Violation des Données à caractère personnel. Dans le cas d'une violation des
Données à caractère personnel relative à l’un des traitements qui fait l’objet de la présente
convention, l’adjudicataire doit notifier le pouvoir adjudicateur dans les meilleurs délais
après avoir pris connaissance de la violation.

Cette notification devra à tout le moins comporter les informations suivantes :

(a) La nature de la violation de données à caractère personnel ;

(b) Les catégories de données à caractère personnel ;

(c) Les catégories et le nombre approximatif de personnes concernées ;

(d) Les catégories et le nombre approximatif d'enregistrements de données à caractère

personnel concernées ;

(e) Les conséquences probables de la violation de données à caractère personnel ;

(f) Les mesures prises ou envisagées par l’adjudicataire pour remédier à la violation de
données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer
les éventuelles conséquences négatives.

L’adjudicataire est tenu de remédier aussi vite que possible aux conséquences négatives découlant
d'une violation de données ou de réduire au minimum les autres conséquences potentielles.
L’adjudicataire mettra en œuvre sans délai tous les remèdes demandés par le pouvoir adjudicateur
ou par les autorités compétentes pour remédier à toute violation de données ou toute autre non-
conformité et / ou atténuer les risques associés à ces évènements. L’adjudicataire devra coopérer à
tout moment avec le pouvoir adjudicateur et observer ses instructions afin de lui permettre
d'effectuer une enquête appropriée sur la violation de données, de formuler une réponse correcte et
de prendre ensuite les mesures adéquates.
4.3. Évaluation de l'impact du traitement des données. Le cas échéant et lorsque le
pouvoir adjudicateur en fait la demande, l’adjudicataire assiste le pouvoir adjudicateur dans
la réalisation de l'étude d'impact sur la protection des données conformément à l'article 35
du Règlement.

Article 5 : Obligations de l’adjudicataire

5.1. L’adjudicataire traitera toutes les demandes raisonnables du pouvoir adjudicateur

concernant le traitement des données à caractère personnel liées à la présente Convention,
immédiatement ou dans un délai raisonnable (en fonction des obligations légales définies
dans le Règlement) et de manière appropriée.

5.2. L’adjudicataire garantit qu'il n'existe aucune obligation découlant de toute législation
applicable qui rend impossible le respect des obligations de la présente Convention.

5.3. L’adjudicataire conserve une documentation complète, dans le respect de la loi ou du

règlement applicable au traitement des données à caractère personnel effectué pour le PA.
L’adjudicataire doit notamment tenir un registre de toutes les catégories d'activités de
traitement effectuées pour le compte du pouvoir adjudicateur conformément à l'article 30 du
GDPR.

5.4. L’adjudicataire s'engage à ne pas traiter les données à caractère personnel à d'autres fins que
l'exécution du marché et le respect des responsabilités de la présente Convention
conformément aux instructions documentées du pouvoir adjudicateur ; si l’adjudicataire,
pour quelque raison que ce soit, ne peut se conformer à cette exigence, il en informera le
pouvoir adjudicateur sans délai.

5.5. L’adjudicataire informera sans délai le pouvoir adjudicateur s'il estime qu'une instruction du
pouvoir adjudicateur viole la législation applicable en matière de protection des données.

5.6. L’adjudicataire veillera à ce que les données à caractère personnel ne soient divulguées
qu'aux personnes qui en ont besoin pour exécuter le marché conformément au principe de
proportionnalité et au principe du "besoin de savoir" (c'est-à-dire que les données ne sont
fournies qu'aux personnes qui ont besoin des données à caractère personnel pour exécuter le
marché tel que déterminé dans le cahier spécial des charges correspondant et la présente
Convention).

5.7. L’adjudicataire s'engage à ne pas divulguer les données à caractère personnel à d'autres
personnes que le personnel du pouvoir adjudicateur qui ont besoin des données à caractère
personnel pour se conformer aux obligations de la présente Convention, et s'assure que le
personnel identifié a accepté les obligations légales et contractuelles de confidentialité
adéquates.

5.8. Si l’adjudicataire enfreint le présent marché et le RGPD en déterminant les finalités et les
moyens du traitement, il devra être considéré comme responsable du traitement dans le
cadre de ce traitement.

Article 6 : Obligations du pouvoir adjudicateur

6.1. Le pouvoir adjudicateur apportera toute l'assistance nécessaire et coopérera de bonne foi
avec l’adjudicataire afin de s'assurer que tout traitement des données à caractère personnel
est conforme aux exigences du Règlement et notamment aux principes relatifs au traitement
des données à caractère personnel.

6.2. Le pouvoir adjudicateur conviendra avec l’adjudicataire sur les canaux de communication
appropriés afin de s'assurer que les instructions, directions et autres communications
concernant les données à caractère personnel qui sont traitées par l’adjudicataire pour le
 compte du pouvoir adjudicateur sont bien reçues entre les Parties. Le pouvoir adjudicateur
notifie à l’adjudicataire l'identité du point de contact unique du pouvoir adjudicateur que
l’adjudicataire est tenu de contacter en application de la présente Convention. Les
instructions non écrites (p. ex. instructions orales par téléphone ou en personne) doivent
toujours être confirmées par écrit.

Le point de contact du pouvoir adjudicateur est : dpo@[Link]

6.3. Le pouvoir adjudicateur garantit qu'il n'émettra aucune instruction, direction ou demande à
l’adjudicataire qui ne respecte pas les dispositions du Règlement.

6.4. Le pouvoir adjudicateur fournit l'assistance nécessaire à l’adjudicataire et/ou à son ou ses
sous-traitant(s) subséquent(s) pour se conformer à une demande, ordonnance, enquête ou
assignation adressée à l’adjudicataire ou à son ou ses sous-traitant(s) subséquent(s) par une
autorité gouvernementale ou judiciaire nationale compétente.

6.5. Le pouvoir adjudicateur garantit qu'il ne donnera aucune instruction, direction ou demande
à l’adjudicataire qui obligerait l’adjudicataire et/ou son (ses) sous-traitant(s) subséquent(s) à
violer toute obligation imposée par la législation nationale obligatoire applicable à laquelle
l’adjudicataire et/ou son (ses) sous-traitant(s) subséquent(s) sont soumis.

6.6. Le pouvoir adjudicateur garantit qu'il coopérera de bonne foi avec L’adjudicataire afin
d'atténuer les effets négatifs d'un incident de sécurité affectant les données à caractère
personnel traitées par l’adjudicataire et/ou son ou ses sous-traitant(s) subséquent(s) pour le
compte du pouvoir adjudicateur.

Article 7 : Utilisation de Sous-traitants subséquents

7.1. Conformément au cahier spécial des charges, l’adjudicataire peut faire appel à la capacité
d’un tiers pour répondre au présent marché, ce qui constitue une sous-traitance ultérieure
au sens de l’article 28 du RGPD.

7.2. L’adjudicataire peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant

subséquent ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe
préalablement et par écrit le pouvoir adjudicateur de tout changement envisagé concernant
l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer
clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-
traitant et les dates du contrat de sous-traitance. Le pouvoir adjudicateur dispose d’un délai
de 30 jous à compter de la date de réception de cette information pour présenter ses
objections. Cette sous-traitance subséquente ne peut être effectuée que si le pouvoir
adjudicateur n'a pas émis d'objection pendant le délai convenu.

7.3. L’adjudicataire n'utilisera que des sous-traitants subséquents offrant des garanties
suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées
de telle sorte que le traitement des données réponde aux exigences du présent marché, du
droit belge et du RGPD et qu’il assure la protection des droits de la personne concernée.

7.4. Lorsque l’adjudicataire engage un autre sous-traitant pour mener des activités de traitement
spécifiques au nom du pouvoir adjudicateur, des obligations en tout point identiques à celles
prévues par la présente Convention devront s’imposer sur ce sous-traitant subséquent, ce
dernier doit en particulier présenter les mêmes garanties suffisantes quant à la mise en
œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le
traitement réponde aux exigences de la Réglementation.

Les accords passés avec le sous-traitant subséquent sont établis par écrit. Sur demande,
l’adjudicataire devra fournir au PA une copie de ce (ces) contrats.
7.5. Si le sous-traitant subséquent ne remplit pas ses obligations en matière de protection des
données, l’adjudicataire demeure pleinement responsable devant le pouvoir adjudicateur de
l’exécution par le sous-traitant subséquent de ses obligations.

7.6. L’adjudicataire doit transmettre les objectifs déterminés et les instructions émises par le
pouvoir adjudicateur d'une manière précise et rapide au(x) sous-traitant(s) subséquent(s)
lorsque et où ces objectifs et instructions se rapportent à la partie du traitement dans
laquelle le(s) Sous-traitant(s) subséquent(s) est (sont) impliqué(s).

Article 8 : Droits des personnes concernées

8.1. Dans la mesure du possible, en tenant compte de la nature du traitement et au moyen de

mesures techniques et organisationnelles appropriées, l’adjudicataire s’engage à aider le
pouvoir adjudicateur à s’acquitter de son obligation de donner suite aux demandes
d’exercice des droits des personnes concernées conformément au Chapitre III du Règlement.

8.2. En ce qui concerne toute demande des personnes concernées en lien avec leurs droits
concernant le traitement des données à caractère personnel les concernant par
l’adjudicataire et/ou son (ses) sous-traitant(s) subséquent(s), les conditions suivantes
s'appliquent :

 L’adjudicataire informera sans délai le pouvoir adjudicateur de toute demande formulée par
une Personne concernée relative aux données à caractère personnel que l’adjudicataire et/ou
son (ses) sous-traitant(s) subséquent(s) traite(nt) pour le compte du pouvoir adjudicateur ;

 L’adjudicataire se conformera promptement et exigera de son (ses) sous-traitant(s)

subséquent(s) qu'il(s) se conforme(nt) promptement à toute demande du pouvoir
adjudicateur afin que ce dernier se conforme à une demande faite par la Personne concernée
qui souhaite exercer un de ses droits ;

 L’adjudicataire veillera à ce que lui-même et son ou ses sous-traitant(s) subséquent(s)

disposent des capacités techniques et organisationnelles nécessaires pour bloquer l'accès aux
données à caractère personnel et pour détruire physiquement les données sans possibilité de
récupération si et quand une telle demande est faite par le pouvoir adjudicateur. Sans
préjudice de ce qui précède, l’adjudicataire conserve la possibilité d'examiner si la demande
du pouvoir adjudicateur ne constitue pas une violation du Règlement.

8.3. L’adjudicataire doit, sur simple demande du pouvoir adjudicateur, fournir toute l'assistance
nécessaire et fournir toutes les informations nécessaires pour que le pouvoir adjudicateur
puisse défendre ses intérêts dans toute procédure - judiciaire, arbitrale ou autre - engagée
contre le pouvoir adjudicateur ou son personnel pour toute violation des droits
fondamentaux à la vie privée et à la protection des données à caractère personnel des
personnes concernées.

Article 9 : Mesures de sécurité

9.1. Pendant toute la durée de la présente Convention, l’adjudicataire doit avoir mis en place et
maintenir des mesures techniques et organisationnelles appropriées de manière à ce que le
traitement réponde aux exigences du Règlement et garantisse la protection des droits des
personnes concernées.

9.2. L’adjudicataire s’engage à mettre en œuvre les mesures techniques et organisationnelles

appropriées pour assurer un niveau de sécurité approprié au risque, conformément à l'article
32 du Règlement.
9.3. Pour évaluer le niveau de sécurité approprié, il a été tenu compte en particulier des risques
présentés par le traitement, notamment la destruction accidentelle ou illicite, la perte,
l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données à caractère
personnel transmises, stockées ou traitées d'une autre manière.

9.4. Les parties reconnaissent que les exigences en matière de sécurité évoluent continuellement
et qu'une sécurité efficace exige une évaluation fréquente et une amélioration régulière des
mesures de sécurité désuètes. L’adjudicataire devra donc continuellement évaluer et
renforcer, compléter ou améliorer les mesures mises en œuvre en vue du respect continu de
ses obligations.

9.5. L’adjudicataire fournit au pouvoir adjudicateur une description complète et claire, de

manière transparente et compréhensible, de la manière dont il traite les données à caractère
personnel de celui-ci (Annexe 3).

9.6. Dans le cas où l’adjudicataire viendrait à modifier les mesures de sécurité appliquées,
l’adjudicataire s’engage à le notifier immédiatement au pouvoir adjudicateur ;

9.7. Le pouvoir adjudicateur se réserve le droit de suspendre et/ou de résilier le marché, lorsque
l’adjudicataire ne peut plus prévoir des mesures techniques et organisationnelles
appropriées au risque de traitement ;

Article 10 : Audit

10.1. L’adjudicataire reconnaît que le pouvoir adjudicateur est sous la surveillance d'une Autorité
de surveillance ou de plusieurs Autorités de surveillance. L’adjudicataire reconnaît que le
pouvoir adjudicateur et toute Autorité de surveillance concernée auront le droit d'effectuer
un audit à tout moment, et en tout cas pendant les heures normales de bureau de
l’adjudicataire, pendant la durée de la présente Convention afin d'évaluer si l’adjudicataire
est conforme au Règlement et aux dispositions de la présente Convention. L’adjudicataire
apporte la coopération nécessaire.

10.2. Ce droit d'audit ne peut être utilisé plus d'une fois par année civile, sauf si le pouvoir
adjudicateur et/ou l'Autorité de surveillance a des motifs raisonnables de supposer que
l’adjudicataire agit en conflit avec la présente Convention et/ou les dispositions du
Règlement. La restriction du droit de contrôle ne s'applique pas à l'Autorité de surveillance.

10.3. Sur demande écrite du pouvoir adjudicateur, l’adjudicataire fournira au pouvoir

adjudicateur ou à l'Autorité de surveillance concernée l'accès aux parties pertinentes de
l'administration de l’adjudicataire et à tous les lieux et informations d'intérêt de
l’adjudicataire (ainsi que, si applicable, ceux de ses agents, filiales et sous-traitants
subséquents) pour déterminer si l’adjudicataire est conforme au Règlement et aux
dispositions de la présente Convention. Sur demande de l’adjudicataire, les parties
concernées conviennent d'un accord de confidentialité.

10.4. Le pouvoir adjudicateur doit prendre toutes les mesures appropriées pour minimiser toute
obstruction causée par l'audit sur le fonctionnement quotidien de l’adjudicataire ou des
services exécutés par l’adjudicataire.

10.5. S'il y a accord entre l’adjudicataire et le pouvoir adjudicateur sur un manquement important
dans le respect du Règlement et/ou de la Convention, tel qu'il ressort de l'audit,
l’adjudicataire remédie à ce manquement dans les plus brefs délais. Les Parties peuvent
convenir de mettre en place un plan, y compris un calendrier de mise en œuvre de ce plan,
afin de combler les lacunes révélées par la vérification.
10.6. Le pouvoir adjudicateur prendra en charge les frais de tout audit effectué au sens du présent
article. Sans préjudice de ce qui précède, l’adjudicataire supportera les frais de ses employés.
Toutefois, lorsque l'audit a révélé que l’adjudicataire n'est manifestement pas en conformité
avec le règlement et/ou les dispositions de la présente Convention, l’adjudicataire prend à sa
charge les frais de cet audit. Les frais de remise en conformité avec le Règlement et/ou les
dispositions de la présente Convention sont à la charge de l’adjudicataire.

Article 11 : Transfert à des tiers

11.1. La transmission de données à caractère personnel à des tiers de quelque manière que ce soit
est en principe interdite, sauf si la loi l'exige ou si l’adjudicataire a obtenu l’autorisation
explicite du pouvoir adjudicateur pour ce faire.

11.2. Dans le cas où une obligation légale s'applique au transfert de données à caractère
personnel, qui fait l'objet de la présente Convention, à des Tiers, l’adjudicataire devra en
informer le pouvoir adjudicateur avant le transfert.

Article 12 : Transfert en dehors de l'EEE

12.1. L’adjudicataire traitera les données à caractère personnel du pouvoir adjudicateur

uniquement dans un lieu situé dans l'EEE.

12.2. L’adjudicataire ne devra pas traiter ou transférer les données à caractère personnel du
pouvoir adjudicateur, ni les traiter lui-même ou par le biais de tiers, en dehors de l'Union
européenne, sauf autorisation préalable expresse et explicite du pouvoir adjudicateur.

L’adjudicataire devra veiller à ce qu'aucun accès aux données à caractère personnel du pouvoir
adjudicateur par un tiers n'aboutisse de quelque manière que ce soit à la transmission de ces
données à l'extérieur de l'Union Européenne.

Article 13 : Comportement à l'égard des autorités gouvernementales et judiciaires

nationales

13.1. L’adjudicataire informera immédiatement le pouvoir adjudicateur de toute demande,

injonction, enquête ou assignation d'une autorité gouvernementale ou judiciaire nationale
compétente adressée à l’adjudicataire ou à son sous-traitant subséquent qui implique la
communication de données à caractère personnel traitées par l’adjudicataire ou un sous-
traitant subséquent pour et au nom du pouvoir adjudicateur ou toute donnée et/ou
information relative à ce traitement.

Article 14 : Droits de propriété intellectuelle

14.1. Tous les droits de propriété intellectuelle concernant les données à caractère personnel et les
bases de données qui contiennent ces données à caractère personnel sont réservés au pouvoir
adjudicateur, sauf convention contraire entre les Parties.

Article 15 : Confidentialité

15.1. L’adjudicataire s’engage à garantir la confidentialité des données à caractère personnel ainsi
que leur traitement.

15.2. L’adjudicataire s'assure que les employés ou les sous-traitants subséquents autorisés à
traiter les données à caractère personnel se sont engagés à opérer les traitements de manière
confidentielle et sont par ailleurs tenus par une obligation contractuelle de confidentialité.
Article 16 : Responsabilité

16.1. Sans préjudice du marché, l’adjudicataire n'est responsable des dommages causés par le
traitement que s'il ne s'est pas conformé aux obligations du Règlement s'adressant
spécifiquement aux sous-traitants ou s'il a agi en dehors ou contrairement aux instructions
légales du pouvoir adjudicateur.

16.2. L’adjudicataire est redevable du paiement des amendes administratives qui découlent d’une
infraction à la Réglementation.

16.3. L’adjudicataire sera exempt de sa responsabilité uniquement s’il peut prouver qu’il n’est pas
responsable de l’évènement à l’origine d’une violation de la Réglementation.

16.4. S'il apparaît que le pouvoir adjudicateur et l’adjudicataire sont responsables des dommages
causés par le traitement des Données à caractère personnel, les deux Parties seront
responsables et paieront des dommages, conformément à leur part de responsabilité
individuelle pour les dommages causés par le traitement.

Article 17 : Fin du contrat

17.1. La présente Convention s'applique tant que l’adjudicataire traite des données à caractère
personnel au nom et pour le compte du pouvoir adjudicateur dans le cadre du présent
marché. Si le marché prend fin, la présente Convention prendra également fin.

17.2. En cas de violation sérieuse de la présente Convention ou des dispositions applicables du

Règlement, le pouvoir adjudicateur peut ordonner à l’adjudicataire de mettre fin au
traitement des données à caractère personnel avec effet immédiat.

17.3. En cas de résiliation de la Convention, ou si les données à caractère personnel ne sont plus
pertinentes pour la fourniture des services, L’adjudicataire supprimera, sur décision du
pouvoir adjudicateur, toutes les données à caractère personnel ou les retournera au pouvoir
adjudicateur et supprimera les données à caractère personnel et autres copies.
L’adjudicataire en apportera la preuve par écrit, à moins que la législation applicable n'exige
le stockage des données à caractère personnel. Les données à caractère personnel seront
retournées gratuitement au pouvoir adjudicateur, à moins qu'il n'en soit convenu autrement.

Article 18 : Médiation et compétence

18.1. L’adjudicataire convient que si la personne concernée invoque contre elle des demandes de
dommages-intérêts en vertu de la présente Convention, l’adjudicataire acceptera la décision
de la personne concernée :

- De renvoyer le différend à la médiation chez une personne indépendante

- De renvoyer le litige devant les tribunaux du lieu d'établissement du pouvoir

adjudicateur

18.2. Les Parties conviennent que le choix fait par la personne concernée ne portera pas atteinte
aux droits substantiels ou procéduraux de la personne concernée de demander réparation
conformément à d'autres dispositions du droit national ou international applicable.
19.1. Tout différend entre les Parties au sujet des modalités de la présente entente doit être porté
devant les tribunaux compétents, tel que déterminé dans l'entente principale.

Ainsi, convenu le [… .............................................. ] et établi en deux exemplaires dont chaque Partie

reconnaît avoir reçu un exemplaire signé.

POUR LE POUVOIR ADJUDICATEUR POUR L’ADJUDICATAIRE

Nom : […………………………….……....] Nom : […........................................... ]

Fonction : [………………………………..] Fonction : [ ........................................ ]

Annexe 1 : Description des activités de traitement des données à caractère personnel

opérées par l’adjudicataire12

1. Activités de traitement effectuées par le sous-traitant

Objet du traitement :

Nature du traitement : [Par exemple : structuration, consultation, stockage et collection, etc.]

Durée du traitement :

Finalité du traitement :

2. Les catégories de données à caractère personnel que le sous-traitant va traiter

pour le compte du responsable de traitement (*indiquer ce qui est applicable).

 Données d'identification personnelle (par ex. nom, adresse, téléphone, etc.)

 Données d'identification électroniques (par ex. adresses e-mail, ID Facebook, ID Twitter,

noms d'utilisateur, mots de passe ou autres données de connexion, etc.)

 Données électroniques de localisation (par ex. adresses IP, GSM, GPS, points de connexion,
etc.)

 Données d'identification biométriques (p. ex. empreintes digitales, balayage de l'iris, etc.)

 Copies des documents d'identité

 Données d'identification financière (par ex. numéros de compte (bancaire), numéros de

carte de crédit, informations sur le salaire et le paiement, etc.)

12 A remplir par le pouvoir adjudicateur et l’adjudicataire

  Caractéristiques personnelles (p. ex. sexe, âge, date de naissance, état civil, nationalité, etc.)

 Données physiques (par ex. taille, poids, etc.)

 Habitudes de vie

 Données psychologiques (p. ex. personnalité, caractère, etc.)

 Composition de la famille

 Loisirs et intérêts

 Adhésions

 Les habitudes de consommation

 L'éducation et la formation

 Profession et occupation (par ex. fonction, titre, etc.)

 Images/photos

 Enregistrements sonores

 Numéro du registre national de sécurité sociale/numéro d'identification

 Détails du contrat (par ex. relation contractuelle, historique de commande, numéros de

commande, facturation et paiement, etc.)

 Autres catégories de données, <Décrivez>

3. Les catégories particulières de données à caractère personnel que le sous-traitant

va traiter pour le compte du responsable de traitement (le cas échéant) (indiquer
ce qui est applicable)

 Données sensibles (art. 9 RGPD)

o Données raciales ou ethniques

o Données sur la vie sexuelle
o Opinions politiques
o Appartenance à un syndicat
o Croyances philosophiques ou religieuses

 Données relatives à la santé (art. 9 RGPD)

o Santé physique
o Santé psychologique
o Situations et comportements à risque
o Données génétiques
o Données relatives aux soins

 Données judiciaires (article 10 de la loi générale sur la protection des données)

o Soupçons et actes d'accusation

 o Condamnations et peines
o Mesures judiciaires
o Sanctions administratives
o Données ADN
4. Les catégories de personnes concernées (*indiquer ce qui est applicable)

 (Potentiels)/(anciens) clients
Si oui, <décrivez>

 Candidats et (anciens) salariés, stagiaires, etc.

Si oui, <décrivez>

 (Potentiels)/(anciens) fournisseurs
Si oui, <décrivez>

 (Potentiels)/ (anciens) partenaires (d’affaires)

Si oui, <décrivez>

 Autre catégorie
Si oui, <décrivez>

5. L’ampleur des traitements (nombre d’enregistrements/nombre de personnes

concernées)

<Décrivez>

6. Les périodes d'utilisation et de conservation des (différentes catégories de)

données personnelles :

<Décrivez>

7. Lieu du traitement :

<Décrivez>

Si le traitement a lieu en dehors de l’EEE, veuillez préciser les garanties appropriées mises en place

<Décrivez>

8. Engagement des sous-traitants subséquents suivants :

<Décrivez>
9. Coordonnées de la personne de contact responsable
chez le responsable du traitement

Nom :
Titre :
Numéro de téléphone :
E-mail :

Nom :13
Titre :
Numéro de téléphone :
E-mail :

10. Coordonnées de la personne de contact responsable chez le sous-traitant :

Nom :

Titre :

Numéro de téléphone :

E-mail :

Nom :

Titre :

Numéro de téléphone :

E-mail :

Annexe 2 : Sécurité du traitement14

Le Pouvoir adjudicateur ne doit faire appel qu’aux sous-traitants qui

fournissent des garanties suffisantes, en particulier en termes d’expertise, de
fiabilité et de ressources, pour mettre en œuvre les mesures techniques et
organisationnelles mentionnées à l’article 32 du RGPD, ce qui inclus la
sécurité du traitement.15

Afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état

des connaissances et de la nature, de la portée, du contexte et des finalités du
traitement ainsi que des risques, dont le degré́ de probabilité́ et de gravité
varie, que présente le traitement pour les droits et libertés des personnes
physiques, l’adjudicataire met en œuvre, des mesures techniques et
organisationnelles appropriées. Ces mesures de sécurité comprennent, entre
autres, ce qui suit :