Police vie privée liée à l’utilisation du logiciel

 

Dans le cadre de l’utilisation du logiciel CYBERBOX, l’utilisateur sera amené à communiquer à CYBERBOX certaines données à caractère personnel le concernant ou concernant ses clients. L’ensemble des données transmises à CYBERBOX sont traitées conformément à la législation en vigueur.

A. Concernant les données de clients transmises par l’utilisateur à CYBERBOX

En utilisant le logiciel CYBERBOX, l’utilisateur accepte que l’ensemble des données encodées dans le logiciel CYBERBOX soient sous-traitées par CYBERBOX, au nom et pour le compte de l’utilisateur, conformément à la législation en vigueur et à la présente Police de Vie Privée.
L’utilisateur reste libre de contracter ou non avec CYBERBOX. En contractant avec CYBERBOX, l’utilisateur décide lui-même que les données à caractère personnel de ses clients soient traitées pour les finalités offertes par les fonctions du logiciel CYBERBOX dans la limite de ses conditions d’utilisation. CYBERBOX ne traite les données à caractère personnel des clients de l’utilisateur qui lui sont transmises uniquement aux fins d’exécuter correctement les services choisis par l’utilisateur en connaissance des conditions d’utilisation de ces services.
L’utilisateur doit dès lors être considéré comme le responsable du traitement des données à caractère personnel de ses clients et CYBERBOX comme le sous-traitant.
L’inexécution d’une obligation incombant à l’utilisateur en raison de sa position de responsable de traitement en ce qui concerne les données à caractère personnel de ses clients ne peut en aucun cas être reportée sur CYBERBOX dès lors que CYBERBOX est en conformité avec ses obligations légales y relatives. Á ce titre, CYBERBOX n’assume aucune obligation incombant à l’utilisateur au regard des données qu’il sous-traite et s’engage uniquement au respect des dispositions prévues ci-après.

a. Obligations de CYBERBOX

1. CYBERBOX traite les données à caractère personnel de manière correcte, soigneuse et en conformité avec toutes les lois applicables en matière de protection des données.

2. CYBERBOX se conformera à toutes les instructions écrites raisonnables qui lui sont fournies par l’utilisateur en ce qui concerne le traitement des données à caractère personnel. CYBERBOX avisera immédiatement le responsable du traitement si, à son estime, une des instructions de ce dernier est en conflit avec la loi belge applicable ou avec le RGPD.

3. CYBERBOX garantit que lui-même ainsi que toute personne agissant sous son autorité, ne traitera des données à caractère personnel que sur instruction documentée de l’utilisateur, conformément aux instructions du responsable du traitement et dans la stricte mesure nécessaire à l’exécution des obligations contractuelles le liant à l’utilisateur, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins que la législation de l’Union ou de l’État membre à laquelle CYBERBOX est soumis ne le requière. Dans ce cas, CYBERBOX informera l’utilisateur de cette obligation juridique avant le traitement, à moins que le droit concerné ne lui interdise de communiquer ces informations pour des motifs importants d’intérêt public. CYBERBOX avisera immédiatement l’utilisateur si, à son estime, une des instructions de ce dernier est en conflit avec la loi belge applicable ou avec le RGPD.

4. CYBERBOX traite uniquement les données à caractère personnel qui lui sont transmises par l’utilisateur aux fins d’exécuter correctement ses obligations légales et les obligations contractuelles qui le lient à l’utilisateur. Ces obligations comprennent notamment :
– La transmission des données sur des serveurs appartenant à ou sous le contrôle de CYBERBOX ;
– L’hébergement des données sur les serveurs appartenant à ou sous le contrôle de CYBERBOX;
– La copie de ces données sur des serveurs de réplication appartenant à ou sous le contrôle de CYBERBOX ;
– L’accès à ces données pour des raisons de support ou de maintenance ;
– La communication des données hébergées ou de données d’identification des utilisateurs à la demande des autorités judiciaires ou administrative;

5. Aux fins d’exécuter correctement les services choisis par l’utilisateur, les données à caractère personnel pouvant être transmises à CYBERBOX sont :
– Des données d’identification personnelles ;
– Des données d’identification électroniques ;
– Ainsi que les données nécessaires à l’exécution du contrat.

6. Aux fins de se conformer aux obligations fiscales et comptable incombant à l’utilisateur, les données à caractère personnel transmises à CYBERBOX sont conservées pendant toute la durée du contrat conclu avec CYBERBOX et pour une période de 6 ans à dater de la dernière session active de l’utilisateur et ce, malgré la suppression du compte client de l’utilisateur, la fin ou encore la rupture des relations contractuelles entre l’utilisateur et CYBERBOX, pour quelle que raison que ce soit. L’utilisateur reconnait que la conservation des données transmises au-delà de cette durée dépend de son propre fait et non de celui de CYBERBOX.

7. CYBERBOX s’engage à ne traiter les données à caractère personnel qui lui sont transmises que pour les finalités mentionnées ci-dessus. En aucun cas CYBERBOX ne traitera ces données à caractère personnel au-delà de ce qui est nécessaire à l’exécution des obligations imposées par la convention qui le lie à l’utilisateur.

8. Si l’utilisateur opte pour la restitution des données, il devra défrayer CYBERBOX de celle-ci. Si l’utilisateur ne prend pas position sur le sort des données dans le mois de l’envoi d’une mise en demeure, CYBERBOX sera autorisé à détruire les données.

9. CYBERBOX ne divulguera des données à caractère personnel directement ou indirectement à aucune personne, société ou entité gouvernementale. Si une telle divulgation est nécessaire au bon traitement des données à caractère personnel, celle-ci ne peut avoir lieu qu’après autorisation écrite préalable de l’utilisateur et uniquement dans le cadre d’une obligation de confidentialité. CYBERBOX peut, s’il en informe préalablement l’utilisateur, communiquer des données à caractère personnel conformément à une injonction émise par un tribunal ou un organisme gouvernemental compétent.

10. Les autres activités de traitement ne seront exécutées que si l’utilisateur est expressément invité à le faire par l’utilisateur ou en vue de se conformer à une obligation légale, après en avoir informé l’utilisateur et en agissant sous sa responsabilité.

11. CYBERBOX ne traitera en aucun cas les données personnelles pour la réalisation de ses propres finalités.

12. CYBERBOX traite les données à caractère personnel de manière traçable, correcte, soigneuse et en conformité avec toutes les lois applicables en matière de protection des données. CYBERBOX s’engage à ne pas mettre, par aucun acte ou omission, l’utilisateur en situation d’infraction par rapport aux lois applicables à la protection des données en relation avec le présent contrat de traitement de données.

13. CYBERBOX prend des mesures pour veiller à ce que toute personne physique agissant sous son autorité ne les traite pas en contravention aux présentes dispositions.

14. La présente sous-traitance ne comprend pas de services de consultance par CYBERBOX en matière de protection des données (tels qu’une évaluation de risques, une évaluation de la conformité au RGPD ou une classification de données), ni de mise à disposition de personnel pour assister l’utilisateur au cours de son trajet de mise en conformité au RGPD, notamment en endossant la fonction de Délégué à la Protection des Données(DPD) ou responsable de la sécurité des systèmes d’information ou la réalisation de campagnes de conscientisation au sein du personnel de l’utilisateur.

b. Sécurité du traitement de données

15. CYBERBOX s’assure que l’accès et l’intégrité des données à caractère personnel qui lui sont transmises soient garantis par des mesures de protection et des mesures organisationnelles appropriées. Ces mesures sont notamment:

– Le chiffrement, par un logiciel fiable, de l’ensemble des données à caractère personnel transmises et hébergées sur les serveurs CYBERBOX;
– L’utilisation de connexions et de serveurs sécurisés;
– La mise en place d’un service de réplication;
– La sécurisation des accès par le biais d’un code d’activation rattaché à un compte client unique;
– Un système de détection automatique des fraudes ou actes contraires aux conditions de licence empêchant l’accès illicite aux bases de données.

16. CYBERBOX garantit qu’il mettra ces mesures en œuvre tout au long de la durée du contrat le liant à l’utilisateur et pour aussi longtemps que les données à caractère personnel fournie par l’utilisateur seront en sa possession.

17. Les parties reconnaissent que les exigences en matière de sécurité évoluent continuellement et qu’une sécurité efficace exige une évaluation fréquente et une amélioration régulière des mesures de sécurité désuètes. Spontanément, CYBERBOX adoptera de nouvelles mesures de protection des données à caractère personnel sous-traitées s’il les estime adéquates ou aux fins de se conformer à l’évolution de la législation.

18. CYBERBOX informe ses employés et agents des obligations qui lui incombent en ce qui concerne les données à caractère personnel de l’utilisateur. CYBERBOX fait en sorte que tous les employés et agents impliqués dans le traitement des données à caractère personnel de l’utilisateur traitement soient liés par une obligation de confidentialité dans le but de garantir la confidentialité et l’intégrité des données à caractère personnel de l’utilisateur.

c. Obligations de conformité

19. À la demande de l’utilisateur, CYBERBOX coopère à la préparation d’une analyse d’impact sur la protection des données à caractère personnel ainsi qu’aux mises à jour régulières de cette analyse et, si nécessaire, adaptera ses mesures techniques et organisationnelles conformément aux conclusions de l’analyse et après décision en ce sens de l’utilisateur. Les coûts de cette assistance pourront être facturés à l’utilisateur.

20. À la demande de l’utilisateur, CYBERBOX met à sa disposition toutes les informations nécessaires à la démonstration du respect des obligations prévues par le droit belge et le RGPD.

d. Exercice des droits des personnes concernées

21. CYBERBOX notifiera à l’utilisateur toute plainte, demande ou avis d’une personne concernée par le traitement des données qui exercerait les droits qui lui sont conférés par la législation sur la protection des données.

22. CYBERBOX devra se conformer aux instructions de l’utilisateur en cas de demande ou d’avis et il ne devra pas répondre à cette demande ou avis sans instruction de celui-ci. De plus, en tant qu’hébergeur des données, CYBERBOX s’engage à aider l’utilisateur, dans les limites légales, à répondre aux demandes des personnes concernées concernant l’exercice de leurs droits prévus aux articles 15 à 22 du Règlement (UE) 2016/679 (RGPD) ou à toute autre législation applicable dans le domaine du traitement des données à caractère personnel.

23. L’assistance fournie par CYBERBOX au profit de l’utilisateur afin de répondre aux demandes des personnes concernées comprennent notamment, et dans la mesure où l’utilisateur ne peut accéder lui-même aux demandes des personnes concernées :
– après avoir été instruit en ce sens par celui-ci, permettre aux personnes concernées d’accéder à leurs données à caractère personnel concernées par ce traitement,
– après avoir été instruit en ce sens par celui-ci, supprimer ou corriger des données à caractère personnel,
– démontrer que les données à caractère personnel ont été supprimées ou corrigées, si elles sont inexactes (ou, dans le cas où l’utilisateur est en désaccord avec le caractère incorrect des données à caractère personnel, tenir compte du fait que la personne concernée considère que ses données à caractère personnel sont incorrectes)
– ou permettre à l’utilisateur de s’acquitter de ses obligations de répondre aux demandes des personnes concernées, conformément à la LVP, au chapitre III du RGPD ou à toute autre législation applicable dans le domaine du traitement des données à caractère personnel.

24. Dans l’hypothèse où l’assistance fournie par CYBERBOX à l’utilisateur dans le cadre de la présente clause engendrait des coûts pour CYBERBOX, ceux-ci peuvent être facturés à l’utilisateur.

25. L’utilisateur se chargera toutefois de toutes les relations avec les personnes concernées.

26. Il incombera à l’utilisateur de préciser à CYBERBOX si un délai lui est imparti pour fournir la réponse à la personne concernée. En tout état de cause, l’utilisateur formulera sa demande d’assistance à CYBERBOX dès réception de la demande de la personne concernée et veillera à laisser à CYBERBOX un délai de minimum 25 jours pour répondre à sa demande.

27. L’utilisateur est habilité à surveiller le respect du présent contrat ou à le faire surveiller par des tiers. À cette fin, CYBERBOX devra, si l’utilisateur le lui demande, permettre à celui-ci de vérifier cette conformité ou de demander à un tiers de le faire à un moment convenu conjointement entre parties. CYBERBOX devra bénéficier d’au moins un mois de préavis avant une telle intervention de surveillance de l’utilisateur, et devra être informé de l’identité du tiers éventuel qui pratiquera cette vérification. Moyennant justification raisonnable, CYBERBOX pourra demander à un autre tiers d’effectuer cette mission.

28. En tout état de cause, cette surveillance se limitera strictement aux mesures nécessaires pour s’assurer que le sous-traitant respecte les dispositions de ce contrat. Cette surveillance ne pourra pas être l’occasion pour l’utilisateur d’avoir accès à des informations confidentielles de CYBERBOX et ce dernier devra refuser de communiquer ces informations confidentielles lorsque celles-ci ne sont pas directement liées et nécessaires aux fins de la surveillance prévue dans le cadre du présent contrat. De même, la fréquence des contrôles devra être limitée à une fois par an maximum.

29. CYBERBOX devra, dans une mesure raisonnable, fournir sa coopération à la surveillance. Les coûts de cette surveillance seront supportés par l’utilisateur.

30. Suite à ce contrôle et s’il est établi que CYBERBOX ne respecte pas le présent avenant, il se conformera, dans un délai raisonnable, aux instructions raisonnables fournies par l’utilisateur pour ajuster sa politique de sécurité.

e. Localisation du traitement

31. CYBERBOX traite les données personnelles fournies par l’utilisateur dans un lieu situé dans l’Union européenne. CYBERBOX ne devra pas traiter ou transférer les données personnelles de l’utilisateur, ni les traiter lui-même ou par le biais de tiers, en dehors de l’Union européenne, sauf autorisation préalable expresse et explicite de l’utilisateur et en exécution d’un des mécanismes de transfert de données reconnus comme notamment les clauses contractuelles types.

f. Gestion des violations de données à caractère personnel

32. En cas de violation de données à caractère personnel dans le cadre du traitement des données à caractère personnel, CYBERBOX aidera l’utilisateur à assurer le respect des obligations découlant de la législation belge et des articles 32 à 36 du RGPD en tenant compte de la nature du traitement et des informations dont dispose CYBERBOX.

33. Dès qu’une violation de la sécurité et/ou de la confidentialité dans le cadre du traitement des données à caractère personnel se produit, s’est produite ou pourrait se produire, CYBERBOX notifiera sans délai et au plus tard dans les 72 heures à l’utilisateur toute brèche de sécurité, tout incident ou tout autre manquement au présent contrat qui pourrait affecter la sécurité, la confidentialité ou l’intégrité des données à caractère personnel de l’utilisateur.

34. CYBERBOX fera ses meilleurs efforts pour remédier ou réduire aussi vite que possible aux conséquences négatives découlant d’une violation de données à caractère personnel.

35. CYBERBOX documentera toute fuite de données à caractère personnel, et notamment les faits relatifs à cette fuite de données à caractère personnel, toute information utile sur l’origine, la nature, l’ampleur et les conséquences de l’incident, le risque que les données aient été ou puissent être traitées illégalement, les actions correctrices qui ont été ou seront prises et toutes autres informations pertinentes. CYBERBOX communiquera ces informations à l’utilisateur afin que celui-ci soit en mesure de se conformer aux exigences de la législation en matière de protection des données concernant (1) l’information des autorités compétentes et des personnes concernées; (2) la mise en œuvre des remèdes nécessaires.

36. CYBERBOX mettra en œuvre sans délai tous les remèdes demandés par l’utilisateur ou par les autorités compétentes pour remédier à tout incident, brèche de sécurité ou toute autre non-conformité et/ou atténuer les risques associés à ces évènements. CYBERBOX coopérera avec l’utilisateur et observera ses instructions afin de lui permettre d’effectuer une enquête appropriée sur l’Incident, de formuler une réponse correcte et de prendre ensuite les mesures adéquates quant à cet incident.

37. L’utilisateur informera les personnes concernées et les tiers, y compris l’Autorité de Protection des Données, de toute violation de données. Il n’est pas permis à CYBERBOX de fournir des informations sur les violations de données aux personnes concernées ou aux tiers, sauf s’il est légalement tenu de le faire.

38. L’obligation pour une partie de faire un rapport ou répondre à une violation des données à caractère personnel n’est pas et ne sera pas interprétée comme une reconnaissance pour cette partie d’une quelconque faute ou responsabilité vis-à-vis de cet incident.

g. Recours à un sous-traitant de second rang

39. En acceptant la présente police de vie privée, l’utilisateur autorise CYBERBOX à recourir à un autre sous-traitant (« sous-traitant de second rang »). CYBERBOX s’engage à informer l’utilisateur de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi à l’utilisateur la possibilité d’émettre des objections à l’encontre de ces changements.

40. CYBERBOX ne recourt qu’à sous-traitants de second rang offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de telle sorte que le traitement des données réponde aux exigences de la présente police de vie privée, du droit belge et du RGPD et qu’il assure la protection des droits de la personne concernée.

41. CYBERBOX s’engage à imposer à son ou ses sous-traitant(s) de second rang des engagements aussi (ou davantage) contraignants que ceux qui découlent du présent contrat, du droit belge et du RGPD et il veillera à ce que ces derniers soient respectés par son ou ses sous-traitants de second rang. Les accords passés avec le sous-traitant de second rang sont établis par écrit.

42. Nonobstant le recourt à un sous-traitant de second rang, CYBERBOX demeure entièrement responsable envers l’utilisateur des conséquences de cette sous-traitance d’activités à un tiers.

h. Responsabilité

43. CYBERBOX ne pourra être tenu responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou s’il a agi en-dehors des instructions licites l’utilisateur ou contrairement à celles-ci. Conformément à l’article 82.3 du RGPD, CYBERBOX sera exonéré de responsabilité à l’égard de la personne concernée s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

La responsabilité de CYBERBOX est limitée aux dommages directs, à l’exclusion de tous les dommages indirects ou consécutifs, comme les pertes de profits, perte de revenus, perte d’épargne anticipée, perte d’opportunité, perte de clients, réclamations de clients ou autres tiers, et dommages à la réputation.

La responsabilité de CYBERBOX est, en toute hypothèse, limitée à la durée de prestations fournies dans le cadre du contrat de licence existant entre CYBERBOX et l’utilisateur.

44. L’utilisateur garantit CYBERBOX de toute conséquence qui découlerait :
– d’une qualification erronée des données et des détails du traitement, telle que prévue à l’article 2,
– de l’absence d’information complète de CYBERBOX par l’utilisateur, notamment au sujet d’un incident, d’une demande d’une autorité de contrôle ou d’une personne concernée,
– d’une décision incombant à l’utilisateur ou de tout manquement commis par le personnel de l’utilisateur,
– et plus généralement d’un manquement aux obligations mises à charge de CYBERBOX par la législation applicable ou la présente convention.

Les conséquences visées au présent article sont, de manière non exhaustive : le coût des prestations supplémentaires de CYBERBOX, le préjudice subi, des amendes administratives, toute somme due à une personne concernée ou à un sous-traitant de second-rang.

45. Lorsque l’utilisateur ou CYBERBOX a réparé totalement le dommage subi par la personne concernée, il est en droit de réclamer auprès de l’autre partie la part de la réparation correspondant à sa part de responsabilité dans le dommage, pour autant que l’autre partie ait marqué son accord sur le caractère adéquat de l’indemnisation de la personne concernée ou que l’indemnisation ait été fixée par un jugement et que l’autre partie ait été mise à la cause.

i. Durée et résiliation

46. Les obligations qui, de par leur nature, sont destinées à se poursuivre même après l’extinction du présent contrat, demeureront en vigueur après la fin de celui-ci. Parmi ces obligations figurent celles qui découlent des dispositions relatives à la confidentialité, à la responsabilité et à la loi applicable.

B. Traitement des données à caractère personnel relatives à l’utilisateur

1. CYBERBOX traite les données à caractère personnel des utilisateurs conformément à la législation applicable en matière de données à caractère personnel.

2. En utilisant le logiciel CYBERBOX, les utilisateurs sont amenés à fournir à CYBERBOX les données à caractère personnel (nom, prénom, adresse, téléphone, email,…) nécessaires à la bonne utilisation du logiciel CYBERBOX conformément à ses conditions d’utilisation, et plus particulièrement, en vue des finalités suivantes:

a. En vue de s’assurer du respect des conditions d’utilisation ;
b. En vue de sécuriser votre compte client et l’accès aux bases de données ;
c. En vue de répondre à une demande des autorités judiciaires ou administratives ;
d. En vue d’exécuter correctement une commande réalisée ;
e. En vue d’assurer la facturation ;
f. En vue de la modification de la police vie privée ;
g. En vue de la gestion de la clientèle ;

L’ensemble de ces traitements sont fondés sur la bonne exécution du contrat d’utilisation de CYBERBOX liant l’utilisateur et CYBERBOX. Aux fins de se conformer aux obligations fiscales et comptables de l’utilisateur, les données à caractère personnel relatives à l’utilisateur communiquées dans le cadre de l’exécution du contrat le liant à CYBERBOX sont conservées pour une durée de 6 ans à dater de la dernière session active de l’utilisateur, et ce malgré la suppression du compte client de l’utilisateur, la fin ou encore la rupture des relations contractuelles entre l’utilisateur et CYBERBOX.

3. En plus des traitements évoqués ci-dessus, les données fournies à CYBERBOX peuvent être traitées en vue de satisfaire les finalités suivantes :
a. En vue de la réalisation d’études de marché ;
b. En vue de la réalisation d’opération d’information ou de promotion sur nos services;

Ces traitements sont fondés sur l’intérêt légitime de CYBERBOX à maintenir le contact avec ses utilisateurs aux fins de poursuivre leur relation commerciale et améliorer les services qui leur sont proposés ainsi que pour leur proposer des services susceptibles de les intéresser.

Les données à caractère personnel des utilisateurs sont utilisées en vue de ces finalités pour toute la durée du contrat et pour une durée de 3 ans à dater de la dernière session active de l’utilisateur, et ce malgré la suppression du compte client de l’utilisateur, la fin ou encore la rupture des relations contractuelles entre l’utilisateur et CYBERBOX.
Conformément au RGPD, vous avez le droit de vous opposer à tout moment aux traitements prospectifs visés au point 3. Il vous suffit, dans ce cas, de cocher la case prévue à cet effet dans nos newsletters ou d’envoyer une lettre ou un courriel à CYBERBOX (rgpd@CYBERBOX.be).

4. Aucune des données à caractère personnel de l’utilisateur ne sont communiquées à des tiers sans l’autorisation préalable des utilisateurs.

5. CYBERBOX traite les données personnelles fournies par l’utilisateur dans un lieu situé dans l’UE. CYBERBOX ne devra pas traiter ou transférer les données personnelles de l’utilisateur, ni les traiter lui-même ou par le biais de tiers, en dehors de l’Union européenne, sauf autorisation préalable expresse et explicite de l’utilisateur et en exécution d’un des mécanismes de transfert de données reconnus comme notamment les clauses contractuelles types.

6. L’utilisateur (par demande écrite datée, signée, adressée à CYBERBOX et prouvant leur identité) obtenir, gratuitement – s’il s’agit d’un volume raisonnable – du responsable du traitement, la communication écrite des données et la portabilité des données, ainsi que, le cas échéant, la rectification, la limitation du traitement, la suppression de celles qui sont inexactes, incomplètes ou non pertinentes. Si aucune suite n’a été réservée à la demande 30 jours après son introduction, elle sera considérée comme rejetée. L’utilisateur peut également s’adresser ou déposer une plainte auprès de l’Autorité de Protection des Données pour l’exercice de ces droits. Le Président du Tribunal de première instance connaîtra de toute demande concernant ces droits si la demande a été rejetée.

7. À tout moment, si l’utilisateur estime que l’autre partie ne respecte pas sa vie privée, il peut adresser une lettre ou un e-mail au délégué à la protection des données. CYBERBOX fera ses meilleurs efforts pour détecter et corriger le problème. Pour plus de renseignements, l’utilisateur peut également s’adresser à l’Autorité de Protection des Données à l’adresse suivante: Autorité de Protection des Données, 1000 Bruxelles, Rue de la Presse, 35 (Tél. + 32 2 213 85 40 – Fax + 32 2 213 85 65 – commission@privacycommission.be). L’utilisateur peut également consulter le Registre public du traitement automatique des données à caractère personnel.