Accord du processeur

Introduction

Autosoft BV traite, entre autres, les données personnelles pour et au nom du client. Autosoft BV et le client sont donc tenus, en vertu du règlement général sur la protection des données (RGPD), de conclure un accord de sous-traitance. Selon le RGPD, Autosoft BV est un « processeur » et le client est un « contrôleur ». Cet accord de processeur décrit également comment Autosoft BV gère l'obligation de notification de violation de données.

Accord du processeur

Composé de:
Partie 1 : Déclaration Data Pro
Partie 2 : Clauses de traitement standard

Partie 1 : Déclaration Data Pro

Informations générales

1). Cette déclaration Data Pro a été établie par le sous-traitant suivant (sous-traitant) :

• Autosoft BV
  Rue Hengelose 547
  7521 AG Enschede

Pour toute question concernant cette déclaration Data Pro ou la protection des données, veuillez contacter :
Arthur van der Lek : arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Cette déclaration Data Pro s'applique à partir du 1er août 2021
Nous adaptons régulièrement cette déclaration Data Pro et les mesures de sécurité qui y sont décrites pour nous assurer que nous sommes toujours préparés et à jour en ce qui concerne la protection des données. Nous vous tiendrons informés des nouvelles versions via nos canaux habituels.

3). Cette déclaration Data Pro s'applique aux produits et services de traitement de données suivants

• Site Web automatique
• Commerce automatique

4). Description Site internet de la voiture
Les constructeurs automobiles utilisent Autowebsite. Avec Autowebsite, les constructeurs automobiles peuvent se présenter sur Internet.

5). Utilisation prévue Site Web de la voiture
Autowebsite est conçu et équipé pour traiter les types de données suivants :
Les visiteurs des sites Web développés par Autosoft avec Autowebsite ont la possibilité d'y laisser leurs coordonnées afin que l'entreprise automobile ait la possibilité d'approcher le visiteur pour d'autres services. Ces coordonnées ne sont pas stockées chez Autosoft, mais sont transmises directement par e-mail à l'adresse e-mail de l'entreprise automobile.

• Ce service ne prend pas en compte le traitement de données personnelles spéciales, ou de données relatives à des condamnations pénales et des infractions ou des numéros personnels émis par le gouvernement.

6). Description Commerce automatique
Les constructeurs automobiles utilisent Autocommerce. Avec Autocommerce, les constructeurs automobiles peuvent gérer et présenter leurs véhicules sur leur propre site Web et sur les portails de recherche Internet de tiers.

7). Utilisation prévue Commerce automatique
Autocommerce est conçu et équipé pour traiter les types de données suivants :
Les constructeurs automobiles peuvent placer leurs véhicules immatriculés via Autocommerce sur leur propre site Web Car. Ces véhicules immatriculés ne contiennent aucune donnée pouvant être retracée à des données personnelles sous quelque forme que ce soit. Les visiteurs du site Web de Car ont la possibilité d'y laisser leurs coordonnées afin que l'entreprise automobile ait la possibilité d'approcher le visiteur pour d'autres services. Les coordonnées laissées par le visiteur sur son propre site Auto sont stockées dans Autocommerce.

• Ce service ne prend pas en compte le traitement de données personnelles spéciales, ou de données relatives à des condamnations pénales et des infractions ou des numéros personnels émis par le gouvernement.

8). Le processeur de données utilise les clauses standard pour le traitement du site Web automatique et du commerce automatique, qui peuvent être trouvées en annexe à l'accord.

9). Le processeur de données traite les données personnelles de ses clients au sein de l'UE/EEE pour Autowebsite et Autocommerce.

dix). Le processeur de données utilise les sous-processeurs suivants pour Autocommerce :
Dans certains cas, Autosoft envoie ses véhicules immatriculés via Autocommerce aux portails de recherche Internet de tiers ou de sous-traitants au nom de la société automobile. Une liste des sous-processeurs est disponible sur demande à support@autosoft.eu.

11). Après la résiliation du Contrat avec un client, le sous-traitant supprimera en principe les données personnelles qu'il traite pour le client dans un délai de 3 mois de manière à ce qu'elles ne puissent plus être utilisées et ne soient plus accessibles (rendre inaccessibles).

Politique de sécurité

Récapitulez les mesures de sécurité suivantes que le processeur de données a prises pour protéger son produit ou service :

Gestion des incidents et politique de réponse
Les politiques de gestion des incidents et de réponse dans le domaine de la sécurité de l'information incluent la surveillance et la détection des incidents de sécurité sur une infrastructure informatique ou informatique, mais aussi l'observation d'activités suspectes par le personnel, et la mise en œuvre des réponses correctes à ces événements.

L'objectif principal de cette politique est de développer une réponse bien comprise et prévisible aux événements malveillants et aux intrusions informatiques au sens le plus large du terme.

La politique de gestion des incidents et de réponse est le processus de gestion et de protection des ordinateurs, des réseaux et des systèmes d'information et des informations qui y sont stockées. Autosoft est conscient de ses responsabilités lorsqu'il s'agit de protéger ces informations au profit de ses clients et partenaires de la chaîne d'approvisionnement. Cette responsabilité s'étend à la mise en place d'une procédure d'incident. La gestion des incidents est un ensemble d'activités qui définissent et mettent en œuvre un processus qu'une organisation peut utiliser pour promouvoir son propre bien-être et la sécurité du public.

informatique et sécurité
La structure ICT d'Autosoft BV est sécurisée de manière adéquate avec un pare-feu et le logiciel antivirus est maintenu à jour. Chaque employé a un profil de connexion. Lors du démarrage d'un ordinateur, les employés doivent saisir un identifiant et un mot de passe et si possible avec une authentification en 2 étapes.

Certains logiciels demandent également un identifiant et un mot de passe et si possible une authentification en 2 étapes. La sensibilisation des employés à travailler en toute sécurité est stimulée, par exemple en attirant l'attention sur le fait de ne pas ouvrir d'e-mails suspects, de ne pas cliquer sur des liens suspects, de se déconnecter lorsque l'on quitte le lieu de travail pendant une longue période, etc.

Les fichiers sont sauvegardés de jour comme de nuit. Pour des raisons de sécurité, la procédure de stockage ultérieure entourant la sauvegarde est confidentielle. Autosoft BV a conclu des contrats de service à cet effet avec des fournisseurs d'ordinateurs et des fournisseurs d'hébergement Internet.

Politique de protection des données
Autosoft BV prend les mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client contre la perte ou toute forme de traitement illicite. Ces mesures techniques et organisationnelles sont considérées comme un niveau de sécurité approprié au sens de l'article 1 du RGPD et sont stockées sous forme de documents dans le Basecamp central (Projet : Organisation / Politique de protection des données) d'Autosoft BV

Technique et organisationnel

1. Mesures visant à garantir que seul le personnel autorisé a accès aux données personnelles traitées dans le cadre du contrat de sous-traitance ;
2. Mesures visant à protéger les Données Personnelles notamment contre la destruction accidentelle ou illicite, la perte, l'altération accidentelle, le stockage, l'accès ou la divulgation non autorisés ou illicites ;
3. Mesures visant à protéger les Données personnelles contre, en particulier, la destruction accidentelle ou illégale, la perte, l'altération accidentelle, le stockage, l'accès ou la divulgation non autorisés ou illégaux pendant l'échange/le transport de données ;
4. Mesures pour assurer la capacité d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services d'édition sur une base continue ;
5. Mesures pour rétablir la disponibilité et l'accès aux Données Personnelles en temps opportun en cas d'incident physique ou technique ;
6. Mesures pour identifier les vulnérabilités en ce qui concerne le traitement des données personnelles dans les systèmes utilisés pour fournir les services dans le cadre du contrat ;

Organisationnels tels que :

• Limiter le cercle des fonctionnaires ayant accès à certaines données personnelles aux personnes qui en ont besoin pour l'exercice de leurs fonctions ;
• accorder à ces personnes l'accès aux seules données personnelles dont elles ont besoin pour l'exercice de leurs fonctions ;
• convenir d'une clause de confidentialité assortie d'une clause pénale avec toutes les personnes auxquelles l'accès aux données personnelles sera accordé ;
• stocker des données personnelles sur des serveurs dans un espace clos ;
• conserver les dossiers papier dans des armoires verrouillables ;
• sensibiliser les employés à la sécurité de l'information ;
• établir des protocoles et des procédures clairs pour le traitement rapide et efficace des incidents de sécurité de l'information et des vulnérabilités de sécurité ;

Le sous-traitant utilise ses propres méthodologies et procédures de gestion qui s'inscrivent dans la méthode de travail de l'organisation :

• Au sein de Basecamp, les documents pertinents sont gérés et évalués périodiquement.

Protocole de violation de données

En cas de problème, le sous-traitant utilise le protocole de fuite de données suivant pour s'assurer que le client est au courant des incidents :

Autosoft BV – Procédure de violation de données

Qu'est-ce qu'une violation de données et quand dois-je la signaler à l'AP ?
Une violation de données est un incident de sécurité de l'information impliquant une violation de la sécurité des données personnelles par le biais d'une exposition à une perte ou à un traitement illégal tel que (mais de manière non exhaustive) :

• Ajustement et/ou modification des données personnelles et accès non autorisé à ces données personnelles ;
• En cas d'effraction par un pirate informatique ;
• Perte d'une clé USB, vol d'un ordinateur portable ;
• Envoi de données sensibles à une adresse e-mail incorrecte ;

Conformément à la loi, une violation de données « grave » doit être signalée à l'Autorité néerlandaise de protection des données sans retard injustifié, et si possible au plus tard 72 heures après la découverte.

Autosoft BV n'a pas à signaler à l'Autorité néerlandaise de protection des données si l'identification réelle de personnes physiques individuelles est raisonnablement exclue.
Tous les soupçons d'incident de sécurité de l'information seront traités en premier lieu support@autosoft.eu signalé et enregistré. Le support signale l'incident à l'équipe de direction et détermine les actions de suivi à prendre.

Procédure de suivi

Quand dois-je notifier les personnes concernées ?
Une violation de données doit être signalée à la personne concernée si, en cas de violation, il existe un risque élevé que la violation ait des conséquences néfastes sur sa vie privée. Les conséquences défavorables pour la personne concernée sont : atteinte à sa réputation et à sa réputation, usurpation d'identité ou discrimination. Si Autosoft BV a pris des mesures techniques de protection appropriées, à la suite desquelles les données personnelles concernées sont rendues incompréhensibles ou inaccessibles, la notification à la personne concernée n'est pas nécessaire. La notification à la personne concernée doit contenir une description, dans un langage clair et simple, de la nature de la violation des données personnelles et au moins :

• le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact où plus d'informations peuvent être obtenues ;
• les conséquences probables de la violation des données personnelles ;
• les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures pour en atténuer les effets négatifs. Il appartient toujours à Autosoft BV d'évaluer si une violation de données doit être signalée à l'Autorité néerlandaise de protection des données et/ou aux personnes concernées. Afin de déterminer si un incident doit être signalé, l'Autorité néerlandaise de protection des données a établi des règles de politique (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) et le groupe de travail 29 des lignes directrices européennes des superviseurs publiées sur l'obligation de déclaration dans le RGPD. Si Autosoft BV n'a pas signalé la violation de données, l'Autorité néerlandaise de protection des données peut exiger qu'Autosoft BV fasse tout de même un rapport. Le non-signalement est passible d'une amende administrative.

Comment signaler une violation de données ?
L'Autorité néerlandaise de protection des données met à disposition un formulaire Web qui doit être utilisé pour signaler les violations de données (https://dataleks.autoriteitpersoonsgegevens.nl/). L'Autorité néerlandaise de protection des données tient un registre des notifications de violation de données reçues. Ce registre n'est pas public. Si une amende est infligée par l'Autorité néerlandaise de protection des données à la suite de la violation de données, cette décision sera rendue publique. Une violation de données est également rendue publique lorsque les personnes concernées doivent être informées de la violation de données. La notification à la personne concernée doit dans tous les cas indiquer la nature de l'infraction et les autorités auprès desquelles la personne concernée peut obtenir plus d'informations sur l'infraction. Il doit également être indiqué ce que la personne concernée peut faire elle-même pour limiter les conséquences négatives de la violation des données. Par exemple, changer les noms d'utilisateur et les mots de passe lorsqu'ils peuvent avoir été compromis par la violation.

Que dois-je déclarer ?
Une notification à l'autorité néerlandaise de protection des données comprend :

• Le journaliste de la violation de données.
• La personne que l'autorité néerlandaise de protection des données peut contacter pour plus d'informations sur le rapport.
• Un résumé de l'incident où la violation de la sécurité des données personnelles s'est produite.
• Le moment de l'infraction.
• La nature de l'infraction.
• Le type de données personnelles concernées.
• Les conséquences que l'infraction peut avoir sur la vie privée des personnes impliquées.
• Les mesures techniques et organisationnelles qu'Autosoft BV a prises pour lutter contre l'infraction et prévenir d'autres infractions.
• Si Autosoft BV a signalé la violation de données aux personnes concernées et si ce n'est pas le cas, si Autosoft BV a l'intention de le faire :
• Si tel est le cas, le contenu de la notification aux personnes concernées.
• Sinon, la raison pour laquelle Autosoft BV s'abstient de signaler la violation de données aux personnes concernées.
• Les données personnelles ont-elles été cryptées, hachées ou rendues incompréhensibles ou inaccessibles à des personnes non autorisées ?

Partie 2 : Clauses de traitement standard

Version : septembre 2019
Avec la déclaration Data Pro, forme l'accord de traitement et constitue une annexe à l'accord et aux annexes qui l'accompagnent, telles que les conditions générales applicables.

Article 1. Définitions

Les termes ci-dessous ont les significations suivantes dans les présentes clauses de traitement standard, dans la déclaration Data Pro et dans l'accord :

• 1.1 Autorité néerlandaise de protection des données (AP) : autorité de surveillance, telle que décrite à l'article 4, sous 21 de l'Avg.
• 1.2 MOY : le règlement général sur la protection des données.
• 1.3 Sous-traitant : partie qui, en tant que fournisseur ICT, traite des Données Personnelles au profit de son Client dans le cadre de l'exécution du Contrat.
• 1.4 Déclaration Data Pro : déclaration du processeur de données dans laquelle il fournit des informations concernant l'utilisation prévue de son produit ou service, les mesures de sécurité prises, les sous-processeurs, les fuites de données, les certifications et le traitement des droits des personnes concernées.
• 1.5 Personne concernée (personne concernée) : une personne physique identifiée ou identifiable.
• 1.6 Client : partie au nom de laquelle le processeur de données traite les données personnelles. Le Client peut être soit un contrôleur (« contrôleur »), soit un autre sous-traitant.
• 1.7 Accord : l'accord entre le client et le sous-traitant, sur la base duquel le fournisseur de TIC fournit des services et/ou des produits au client, dont l'accord de sous-traitant fait partie.
• 1.8 Données personnelles : toutes les informations concernant une personne physique identifiée ou identifiable, telles que décrites à l'article 4, alinéa 1 AVG, que le Sous-traitant traite dans le cadre de l'exécution de ses obligations découlant du Contrat.
• 1.9 Accord de traitement : les présentes clauses standard de traitement, qui, avec la déclaration Data Pro (ou des informations comparables) du sous-traitant, forment l'accord de traitement visé à l'article 28, paragraphe 3 du RGPD.

Article 2. Généralités

• 2.1 Ces clauses standard de traitement s'appliquent à tous les traitements de données personnelles effectués par le sous-traitant dans le cadre de la livraison de ses produits et services et à tous les accords et offres. L'applicabilité des accords de traitement du Client est expressément rejetée.
• 2.2 La déclaration Data Pro, et en particulier les mesures de sécurité qui y sont contenues, peuvent être modifiées par le responsable du traitement de temps à autre pour refléter l'évolution des circonstances. Le processeur de données informera le client des changements importants. Si le Client ne peut raisonnablement accepter les ajustements, le Client est en droit de résilier le contrat de traitement par écrit dans les 30 jours suivant la notification des ajustements.
• 2.3 Le processeur de données traite les données personnelles au nom et au nom du client conformément aux instructions écrites du client convenues avec le processeur de données.
• 2.4 Le Client, ou son client, est le responsable du traitement au sens du RGPD, a le contrôle du traitement des Données Personnelles et a déterminé la finalité et les moyens du traitement des Données Personnelles.
• 2.5 Le sous-traitant est un sous-traitant au sens du RGPD et n'a donc aucun contrôle sur la finalité et les moyens du traitement des données personnelles et ne prend donc aucune décision concernant, entre autres, l'utilisation des données personnelles.
• 2.6 Le sous-traitant met en œuvre le RGPD tel que stipulé dans les présentes clauses standard de traitement, la déclaration Data Pro et l'accord. Il appartient au Client d'apprécier sur la base de ces informations si le Responsable du traitement offre des garanties suffisantes quant à l'application de mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD et à la protection des droits des personnes concernées. est suffisant, c'est garanti.
• 2.7 Le Client garantit au Sous-traitant qu'il agit conformément au RGPD, qu'il protège adéquatement ses systèmes et infrastructures à tout moment et que le contenu, l'utilisation et/ou le traitement des Données personnelles ne sont pas illégaux et ne violent aucun droit. d'un tiers.
• 2.8 Une amende administrative imposée au Client par le PA ne peut être récupérée auprès du Responsable du traitement.

Article 3. Sécurité

• 3.1 Le sous-traitant prend les mesures de sécurité techniques et organisationnelles, telles que décrites dans sa déclaration Data Pro. Lors de la prise des mesures de sécurité techniques et organisationnelles, le sous-traitant a pris en compte l'état de l'art, les coûts de mise en œuvre des mesures de sécurité, la nature, la portée et le contexte du traitement, les finalités et l'utilisation prévue de ses produits et services , les risques de traitement et les risques différents en probabilité et en gravité pour les droits et libertés des Personnes Concernées qu'il pourrait en attendre eu égard à l'usage auquel sont destinés ses produits et services.
• 3.2 Sauf indication contraire explicite dans la déclaration Data Pro, le produit ou le service du processeur de données n'est pas conçu pour traiter des catégories spéciales de données personnelles ou des données concernant des condamnations pénales ou des infractions ou des numéros personnels émis par le gouvernement.
• 3.3 Le sous-traitant s'efforce de garantir que les mesures de sécurité qu'il doit prendre sont appropriées à l'utilisation prévue du produit ou du service par le sous-traitant.
• 3.4 De l'avis du Client, les mesures de sécurité décrites offrent un niveau de sécurité adapté au risque du traitement des Données Personnelles utilisées ou fournies par le Client, en tenant compte des facteurs visés à l'article 3.1.
• 3.5 Le processeur de données peut apporter des modifications aux mesures de sécurité prises si, à son avis, cela est nécessaire pour continuer à fournir un niveau de sécurité approprié. Le processeur de données enregistrera les modifications importantes, par exemple dans une déclaration Data Pro modifiée, et informera le client de ces modifications, le cas échéant.
• 3.6 Le client peut demander au processeur de données de prendre des mesures de sécurité supplémentaires. Le processeur de données n'est pas tenu d'apporter des modifications à ses mesures de sécurité sur une telle demande. Le Sous-traitant peut facturer au Client les frais liés aux modifications apportées à la demande du Client. Ce n'est qu'après que les mesures de sécurité modifiées souhaitées par le Client ont été convenues par écrit et signées par les Parties, que le Sous-traitant est tenu de mettre effectivement en œuvre ces mesures de sécurité.

Article 4. Violation de données personnelles

• 4.1 Le sous-traitant ne garantit pas que les mesures de sécurité sont efficaces en toutes circonstances. Si le sous-traitant découvre une violation en rapport avec les données personnelles (telles que visées à l'article 4 sous 12 Moy), il en informera le client sans retard injustifié. La déclaration Data Pro (sous le protocole de fuite de données) définit la manière dont le sous-traitant informe le client des violations liées aux données personnelles.
• 4.2 Il appartient au responsable du traitement (client ou son client) d'évaluer si la violation des données personnelles dont le processeur de données a informé doit être signalée au PA ou à la personne concernée. Le signalement des violations en rapport avec les Données personnelles, qui doivent être signalées au PA et/ou aux Personnes concernées conformément aux articles 33 et 34 du RGPD, reste à tout moment la responsabilité du responsable du traitement (Client ou son client). Le processeur de données n'est pas obligé de signaler les violations de données personnelles au PA et/ou à la personne concernée.
• 4.3 Le processeur de données fournira, si nécessaire, des informations supplémentaires sur la violation en rapport avec les données personnelles et coopérera à la fourniture d'informations nécessaires au client aux fins d'une notification telle que visée aux articles 33 et 34 moy.
• 4.4 Le Sous-traitant peut facturer au Client les frais raisonnables qu'il engage dans ce contexte à ses tarifs alors applicables.

Article 5. Confidentialité

• 5.1 Le Responsable du Traitement garantit que les personnes qui traitent les Données Personnelles sous sa responsabilité ont un devoir de confidentialité.
• 5.2 Le sous-traitant a le droit de fournir les données personnelles à des tiers, si et dans la mesure où la fourniture est nécessaire en vertu d'une décision de justice, d'une réglementation légale ou sur la base d'une ordonnance autorisée d'une autorité gouvernementale.
• 5.3 Tous les codes d'accès et/ou d'identification, les certificats, les informations concernant l'accès et/ou la politique de mot de passe fournis par le sous-traitant au client et toutes les informations fournies par le sous-traitant au client qui mettent en œuvre les mesures de sécurité techniques et organisationnelles incluses dans la déclaration Data Pro sont confidentielles. et seront traités comme tels par le Client et ne seront communiqués qu'aux employés autorisés du Client. Le Client veille au respect par ses collaborateurs des obligations prévues au présent article.

Article 6. Durée et résiliation

• 6.1 Cet accord de sous-traitance fait partie de l'Accord et tout accord nouveau ou ultérieur qui en découle, entre en vigueur au moment de la conclusion de l'Accord et est conclu pour une durée indéterminée.
• 6.2 Cet accord de sous-traitance prend fin de plein droit à la résiliation de l'accord ou de tout accord nouveau ou ultérieur entre les parties.
• 6.3 En cas de fin du contrat de traitement, le sous-traitant supprimera toutes les données personnelles en sa possession et reçues du client dans le délai inclus dans la déclaration Data Pro de manière à ce qu'elles ne puissent plus être utilisées et ne soient plus accessible (rendre inaccessible). , ou, si convenu, le retourner au Client dans un format lisible par machine.
• 6.4 Le Responsable du traitement peut facturer au Client tous les frais qu'il engage dans le cadre des dispositions de l'article 6.3. D'autres accords à ce sujet peuvent être définis dans la déclaration Data Pro.
• 6.5 Les dispositions de l'article 6.3 ne s'appliquent pas si une réglementation légale empêche le Responsable du traitement de supprimer ou de restituer totalement ou partiellement les Données personnelles. Dans un tel cas, le sous-traitant ne continuera à traiter les données personnelles que dans la mesure nécessaire en vertu de ses obligations légales. Les dispositions de l'article 6.3 ne s'appliquent pas non plus si le sous-traitant est le responsable du traitement au sens du RGPD en ce qui concerne les données personnelles.

Article 7. Droits des personnes concernées, analyse d'impact sur la protection des données (DPIA) et droits d'audit

• 7.1 Le processeur de données coopérera, dans la mesure du possible, avec les demandes raisonnables du client qui sont liées aux droits des personnes concernées invoquées par le client par les personnes concernées. Si le sous-traitant est approché directement par une personne concernée, il orientera cette personne vers le client dans la mesure du possible.
• 7.2 Si le client est obligé de le faire, le sous-traitant coopérera avec une évaluation d'impact sur la protection des données (DPIA) ou une consultation préalable ultérieure, conformément aux articles 35 et 36 moy.
• 7.3 Le processeur de données coopérera avec les demandes du client pour la suppression des données personnelles dans la mesure où le client ne peut pas l'effectuer lui-même.
• 7.4 À la demande du client, le sous-traitant mettra également à disposition toutes les informations supplémentaires raisonnablement nécessaires pour démontrer le respect des accords conclus dans le présent accord de traitement. Si le Client a néanmoins des raisons de croire que le traitement des Données Personnelles n'a pas lieu conformément à la convention de traitement, il peut être consulté au maximum une fois par an par un expert externe indépendant, certifié, ayant une expérience avérée du type de les traitements qui sont effectués sur la base du Contrat. , faire réaliser un audit aux frais du Client. L'audit se limitera à vérifier le respect des accords concernant le traitement des données personnelles tels que définis dans le présent accord de sous-traitant. L'expert aura un devoir de confidentialité en ce qui concerne ce qu'il trouve et ne signalera au Client que ce qui entraîne un manquement à l'exécution des obligations du Sous-traitant en vertu du présent contrat de sous-traitance. L'expert fournira une copie de son rapport au sous-traitant. Le responsable du traitement peut refuser un audit ou une instruction de l'expert si, à son avis, cela viole le RGPD ou une autre législation ou constitue une violation inadmissible des mesures de sécurité qu'il a prises.
• 7.5 Les parties se consulteront dès que possible sur les résultats du rapport. Les parties suivront les mesures d'amélioration proposées énoncées dans le rapport dans la mesure où cela peut raisonnablement être attendu d'elles. Le processeur de données mettra en œuvre les mesures d'amélioration proposées dans la mesure où elles sont appropriées à son avis, en tenant compte des risques de traitement associés à son produit ou service, l'état de l'art, les coûts de mise en œuvre, le marché sur lequel il opère, et l'utilisation prévue du produit ou du service.
• 7.6 Le Sous-traitant a le droit de facturer au Client les frais qu'il engage dans le cadre des dispositions du présent article.

Article 8. Sous-traitants

• 8.1 Le processeur de données a indiqué dans la déclaration Data Pro si, et le cas échéant, quels tiers (sous-processeurs ou sous-processeurs) le processeur de données s'engage dans le traitement des données personnelles.
• 8.2 Le client autorise le sous-traitant à engager d'autres sous-traitants pour exécuter ses obligations découlant de l'accord.
• 8.3 Le sous-traitant informera le client d'un changement concernant les tiers engagés par le sous-traitant, par exemple au moyen d'une déclaration Data Pro modifiée. Le Client a le droit de s'opposer à la modification susmentionnée par le Sous-traitant. Le sous-traitant garantit que les tiers engagés par lui s'engagent à respecter le même niveau de sécurité en matière de protection des données personnelles que le niveau de sécurité auquel le sous-traitant est lié envers le client sur la base de la déclaration Data Pro.

Article 9. Autres

Les présentes clauses de traitement standard, ainsi que la déclaration Data Pro, font partie intégrante du contrat. Tous les droits et obligations en vertu du Contrat, y compris les conditions générales applicables et/ou les limitations de responsabilité, s'appliquent donc également au contrat de traitement.