Accord sur le traitement des données

Les partis

1. Publitas.com B.V., établie à Leyde et ayant pour adresse J.H. Hoortweg 21, 2333 CH, Leyde Pays-Bas, enregistrée auprès de la Chambre de Commerce néerlandaise sous le numéro 39096214, (ci-après : "Publitas.com"), et
2. Le client qui n'est pas un consommateur au sens des dispositions légales applicables via la plate-forme Publitas et l'entité ou l'individu qui utilisera le produit ou les services de Publitas, et qui est désigné comme tel à la date de la commande de Publitas, ci-après dénommé "client". Client ou Contrôleur.

ci-après dénommés conjointement "Les partis".

1. Règlement général
   1. Introduction, champ d'application, définition
      1. Le présent Accord régit les droits et obligations du Responsable du traitement et du Sous-traitant (ci-après dénommés collectivement " Parties ") dans le cadre du traitement des données à caractère personnel pour le compte du Responsable du traitement (ci-après dénommé " RGPD "). Le présent DPA est conçu pour se conformer aux dispositions du règlement général de l'UE sur la protection des données (ci-après "RGPD").
      2. Si le terme "contrat de service" est utilisé dans la présente DPA, il s'agit de la conclusion séparée d'un contrat avec le responsable du traitement résultant de la conclusion d'un accord d'utilisation gratuit et/ou payant - conformément aux conditions générales (CG) du sous-traitant, à la politique de confidentialité du sous-traitant ou à un accord d'utilisation conclu séparément entre les parties.
      3. Dans la mesure où le terme "Publitas" ou "logiciel" est utilisé dans le présent contrat, il s'agit du service d'abonnement en ligne basé sur le web consistant en des applications basées sur le web et une plate-forme fournie par Publitas à www.publitas.com pour télécharger, produire, héberger et livrer des publications digitales dans l'environnement du serveur Publitas selon les termes définis dans le contrat de service (service qui, pour éviter toute ambiguïté, comprend la technologie fournie par Publitas en tant que partie des services).
      4. La présente DPA s'applique aux activités dans le cadre desquelles le sous-traitant, les employés du sous-traitant ou les sous-traitants mandatés par le sous-traitant traitent les données à caractère personnel du contrôleur conformément à l'accord de service au sens de l'article 28 du GDPR. 28 GDPR. 
      5. Les termes utilisés dans le présent DPA doivent être compris conformément à leur définition dans le GDPR.
   2. Champ d'application du traitement, catégories de données, personnes concernées
      1. L'objet, la portée, le type et la finalité du traitement des données découlent du présent DPA et de l'accord de service. Les activités de traitement suivantes seront effectuées par le sous-traitant pour le compte du contrôleur :
         A) Collecte de données sur l'utilisation des produits du sous-traitant par le contrôleur.
         B) L'agrégation et l'analyse des données et le stockage des données par l'intermédiaire de sous-traitants et donc le transfert de données à des sous-traitants. Le sous-traitant accède aux données à des fins de maintenance, d'analyse globale ou d'assistance au responsable du traitement. Sur instruction du responsable du traitement, le sous-traitant transmet les données du responsable du traitement à des tiers désignés par le responsable du traitement.
      2. Le sous-traitant ne traite pas de données à caractère personnel sensibles. Le sous-traitant peut traiter les catégories suivantes de données à caractère personnel pour le compte du responsable du traitement et de ceux qui peuvent être mentionnés dans la liste des sous-traitants ajoutée au présent DPA à l'annexe 1 : Liste des sous-traitants :
         A) Adresses électroniques
         B) Adresse IP
         C) Numéro de téléphone
         D) d'autres informations liées aux données à caractère personnel susmentionnées ou extraites de celles-ci, telles que les données de localisation
         La plateforme du sous-traitant étant ouverte, le responsable du traitement peut choisir de manière indépendante de collecter d'autres catégories de données à caractère personnel. Le responsable du traitement ne peut toutefois pas utiliser la plateforme du sous-traitant pour collecter des données à caractère personnel sensibles et les faire traiter par le sous-traitant. Toute collecte de données à caractère personnel de ce type sera considérée comme une violation du présent accord.
      3. Les catégories suivantes de personnes concernées sont affectées par le traitement des données :
         Les visiteurs du contenu du contrôleur, tels que, mais sans s'y limiter, le contenu et d'autres fonctionnalités Publitas qui ont enregistré leurs données dans les espaces sélectionnés par le contrôleur, tels que les sites Web, les applications et les plates-formes similairesLa fourniture du traitement des données convenu contractuellement a lieu exclusivement dans un État membre de l'Union européenne, un autre État partie à l'accord sur l'Espace économique européen ou un État ayant un niveau adéquat de protection des données conformément à l'art. 45 GDPR, tel que déterminé par la Commission européenne.
      4. La délocalisation du service vers un pays tiers - un pays n'entrant pas dans le champ d'application du point 1.2.4. - nécessite l'accord préalable du responsable du traitement et ne peut avoir lieu que si les exigences particulières de l'art. 44 et seqq. GDPR. Si ces conditions sont remplies, il doit y avoir des raisons importantes liées à la protection des données pour refuser le consentement.
      5. En cas de contradictions liées à la protection des données entre l'accord de service ou tout autre accord avec le sous-traitant et le présent accord, ce dernier prévaut en tant que disposition plus spécifique.
   3. Durée de la transformation
      La durée du traitement (durée) ne sera jamais plus longue que ce qui est nécessaire pour mener à bien les activités de traitement et correspond à la durée du contrat de service, à moins que les dispositions du présent DPA ne donnent lieu à des obligations supérieures. Dans ce dernier cas, le présent DPA prend fin à l'expiration des obligations excédentaires de l'accord de service.
2. Confidentialité
   Le sous-traitant veille à ce que la confidentialité soit maintenue conformément à l'art. 28 para. 3 S. 2 point (b), 29 et 32 para. 4 DU GDPR. Lors du traitement des données, le sous-traitant ne fait appel qu'à des employés qui sont tenus à la confidentialité et qui ont été préalablement familiarisés avec les dispositions relatives à la protection des données qui les concernent. Le sous-traitant et toute personne subordonnée au sous-traitant qui a accès aux données à caractère personnel ne traite ces données que conformément aux instructions du responsable du traitement, à l'accord de service et aux pouvoirs accordés dans le présent DPA, à moins qu'ils ne soient légalement tenus de traiter ces données.
3. Obligations du contrôleur
   1. Dans le cadre du DPA, le contrôleur est seul responsable du respect des dispositions légales en matière de protection des données, en particulier de la légalité des données transférées au sous-traitant et de la légalité du traitement ("contrôleur" au sens de l'article 4 n° 7 du GDPR). Ceci s'applique également à l'objet, à la portée, au type et à la finalité du traitement des données régi par le présent accord, à la description des données pertinentes conformément à la section 1.2 et à la protection des droits des personnes concernées.
   2. En particulier, le responsable du traitement est chargé de veiller à ce que toutes les mesures techniques et organisationnelles qui sont directement ou indirectement requises par la loi et les règlements pour ce traitement offrent un niveau de protection approprié pour les risques liés aux données traitées. Pour sa part, le sous-traitant est responsable du respect de ces mesures.
   3. Le responsable du traitement doit informer le sous-traitant en cas de violation de données à caractère personnel, le responsable du traitement doit sans retard indu et, si possible, au plus tard 72 heures après en avoir pris connaissance, et dans son intégralité s'il détecte des erreurs ou des irrégularités à la lumière du traitement au regard des réglementations en matière de protection des données.
   4. Si nécessaire, le contrôleur fournira au sous-traitant la personne de contact pour toute question relative à la protection des données dans le cadre du présent DPA. Si aucune personne de contact n'est désignée, l'entreprise de traitement contactera le signataire et/ou le responsable du traitement par le biais des détails présentés dans leur compte Publitas.
   5. D'autres droits et obligations du contrôleur découlent des dispositions suivantes du présent DPA et du GDPR, ainsi que des dispositions légales correspondantes.
4. Instructions
   1. Le sous-traitant - et toute personne qui lui est subordonnée - ne peut traiter les données à caractère personnel que dans le cadre des instructions du responsable du traitement, à moins qu'il n'existe des circonstances exceptionnelles prépondérantes au sens de l'article 28, paragraphe 3, phrase 2, point a), du RGPD ou d'une autre disposition légale prépondérante. 3 phrase 2 point (a) GDPR ou d'une autre disposition légale prépondérante. L'accord de service et le DPA constituent les instructions finales du contrôleur (en ce qui concerne le traitement des données) au moment de la conclusion de ce DPA. Les instructions supplémentaires sont réservées au responsable du traitement mais seront traitées conformément à la section 4.3. du présent DPA. Le sous-traitant accepte les instructions du responsable du traitement par écrit, ainsi que par le biais des formats électroniques proposés par le sous-traitant à cette fin. Les instructions verbales ne sont autorisées qu'en cas d'urgence et doivent être confirmées immédiatement par le responsable du traitement par écrit ou dans un format électronique proposé par le sous-traitant à cette fin.
   2. Le sous-traitant informe le responsable du traitement dans les meilleurs délais s'il estime qu'une instruction est contraire à la législation ou à la réglementation en vigueur. Le sous-traitant peut suspendre la mise en œuvre de l'instruction jusqu'à ce qu'elle ait été confirmée ou modifiée par le responsable du traitement après vérification. Le responsable du traitement est pleinement responsable envers le sous-traitant des dommages de toute nature découlant des instructions confirmées et garantit le sous-traitant contre les réclamations de tiers à la première demande. En cas de désaccord persistant, les parties conviennent de consulter l'autorité de contrôle compétente pour le sous-traitant.
   3. Si les instructions du responsable du traitement ne sont pas couvertes par l'étendue des services convenue par contrat, elles seront traitées comme une demande de modification des services. En cas de modifications proposées, le sous-traitant peut informer le responsable du traitement de l'impact sur les services convenus, en particulier la possibilité de fournir les services, les délais et la rémunération. Si l'on ne peut raisonnablement s'attendre à ce que le sous-traitant mette en œuvre l'instruction, le sous-traitant a le droit de rejeter l'instruction. Si le responsable du traitement insiste néanmoins sur les instructions, le sous-traitant dispose d'un droit spécial de résiliation et peut mettre fin au traitement - et résilier le DPA et l'accord de service - à tout moment avec effet immédiat.
   4. Le contrôleur désigne les personnes exclusivement autorisées à donner des instructions au sein de Publitas ou, si cela n'est pas possible au sein de Publitas, par e-mail à l'adresse suivante : privacy@publitas.com. Si aucune personne autorisée à donner des instructions n'est désignée, seules les personnes physiques autorisées à représenter légalement le responsable du traitement sont habilitées à donner des instructions. Le sous-traitant peut suspendre l'exécution des instructions jusqu'à ce que le responsable du traitement ait fourni au sous-traitant la preuve qu'il est habilité à le représenter légalement.
5. Obligations du sous-traitant
   1. Obligations générales du sous-traitant
      1. Outre le respect des dispositions de la présente DPA, le sous-traitant a des obligations légales en vertu des articles 28 à 33 du GDPR ; à cet égard, le sous-traitant doit notamment veiller au respect des dispositions suivantes.
      2. Si la loi l'exige, le sous-traitant garantit la désignation écrite d'un délégué à la protection des données qui exerce ses fonctions conformément aux articles 38 et 39 du RGPD. Les coordonnées constamment mises à jour de ce délégué à la protection des données seront facilement accessibles sur la page d'accueil ou au sein de Publitas.
      3. Le responsable du traitement et le sous-traitant coopèrent avec l'autorité de contrôle dans l'exécution de leurs tâches si nécessaire.
      4. Le sous-traitant informe immédiatement le responsable du traitement de toutes les actions et mesures de contrôle prises par l'autorité de surveillance dans la mesure où elles se rapportent au présent accord. Cette disposition s'applique également si une autorité compétente détermine que des données à caractère personnel issues de ce traitement ont été traitées par le sous-traitant et sont liées à des procédures administratives ou pénales, à moins que le sous-traitant ne soit tenu par la loi ou par les autorités de s'abstenir de procéder à une telle notification.
      5. Lorsque le responsable du traitement fait lui-même l'objet d'une inspection par l'autorité de contrôle, d'une procédure administrative ou pénale, de la responsabilité d'une personne concernée ou d'un tiers ou de toute autre réclamation en rapport avec le traitement des données par le sous-traitant, le sous-traitant assiste, sur demande, le responsable du traitement dans toute la mesure de ses moyens.
      6. Le sous-traitant contrôle régulièrement les processus internes et les mesures techniques et organisationnelles afin de s'assurer que le traitement dans son domaine de responsabilité est effectué conformément aux exigences de la législation applicable en matière de protection des données et que les droits de la personne concernée sont protégés.
      7. Le sous-traitant fournit au responsable du traitement les documents prouvant les mesures techniques et organisationnelles prises conformément à la section 6.2, en démontrant les certifications ISO pertinentes de TOM couvrant la sécurité de la vie privée et autres.
   2. Obligation de coopérer aux inspections
      1. Le responsable du traitement a le droit de vérifier le respect des obligations découlant du RGPD en ce qui concerne ses propres données, en tenant compte des intérêts légitimes du sous-traitant, des mesures techniques et organisationnelles ainsi que des règles de protection des données, en accord avec le sous-traitant pendant les heures de bureau habituelles - en tenant compte d'un préavis minimum de 14 jours - ou de les faire vérifier par des auditeurs qui seront désignés dans des cas particuliers. Pour les inspections rendues nécessaires par un incident de sécurité ou une violation plus qu'insignifiante des dispositions relatives à la protection des données à caractère personnel ou des dispositions du présent RGPD (ci-après "inspection sur place liée à un événement"), le délai de notification prévu à la phrase 1 est réduit à une période appropriée, mais au plus tard à 72 heures. En outre, les inspections sur place liées à un événement ne sont pas soumises aux restrictions des clauses 5.2.3.-5.2.4. du présent DPA.
      2. Le responsable du traitement peut subordonner le consentement à l'inspection à la condition que l'inspecteur se soumette à un accord de confidentialité approprié. Si l'inspecteur mandaté par le responsable du traitement se trouve dans une relation de concurrence avec le sous-traitant ou s'il existe un autre cas justifié, le sous-traitant a le droit de s'opposer au choix du responsable du traitement.
      3. Dans le cadre de cette clause, le transformateur n'est tenu de tolérer et de coopérer qu'à une seule inspection sur place non liée à un événement (sans motif) par année civile, effectuée par un tiers indépendant. L'effort d'une inspection sur place non liée à un événement (sans motif) est généralement limité à une journée par année civile pour le sous-traitant. Tous les coûts liés à l'inspection, tant pour le contrôleur que pour le sous-traitant, sont à la charge du contrôleur. Les sous-traitants ne factureront pas les coûts internes tels que le coût de la main-d'œuvre.
      4. Le sous-traitant a le droit de refuser l'inspection sur place non liée à un événement (sans motif) au titre de la présente section si et aussi longtemps qu'il apporte la preuve du respect de ses obligations, au moyen de preuves appropriées. Les preuves appropriées peuvent notamment comprendre des règles de conduite approuvées au sens de l'article 40 du RGPD ou une procédure de certification approuvée. 40 GDPR ou une procédure de certification approuvée au sens de l'art. 42 GDPR. Les deux parties conviennent que la présentation de certificats ou de rapports par des organismes indépendants (par exemple, un responsable de la sécurité informatique, un responsable de la protection des données, etc.), un concept concluant de sécurité des données de l'entreprise ou une certification appropriée par un audit de la sécurité informatique et de la protection des données sont également reconnus comme des preuves appropriées.
6. Mesures techniques et organisationnelles
   1. Le sous-traitant documente la mise en œuvre des mesures techniques et organisationnelles définies et requises avant la conclusion du contrat avant le début du traitement, en particulier en ce qui concerne le traitement spécifique des données, et le tient à la disposition du responsable du traitement à des fins d'inspection.
   2. Le sous-traitant assure la sécurité du traitement conformément à l'art. 28 para. 3, point c), et 32 du GDPR, en particulier en liaison avec l'art. 5 para. 1, paragraphe 2 du GDPR. Globalement, les mesures à prendre sont des mesures de sécurité des données et des mesures visant à assurer un niveau de protection adapté au risque en ce qui concerne la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes. L'état de l'art, les coûts de mise en œuvre et la nature, la portée et les finalités du traitement, ainsi que le risque de probabilité et de gravité variables des droits et libertés des personnes physiques au sens de l'art. 32 para. 1 GDPR doivent être pris en compte. 
   3. Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement. Le sous-traitant se réserve le droit de modifier les mesures de sécurité prises, tout en veillant à ce que le niveau de protection convenu par contrat ne soit pas réduit. Les modifications importantes doivent être documentées.
7. Relations de sous-traitement
   1. Les relations de sous-traitance au sens du présent accord sont uniquement les services qui sont directement liés à la fourniture du service principal. Les services auxiliaires, tels que le transport, l'entretien et le nettoyage, l'utilisation de services de télécommunications, le service aux utilisateurs ou la gestion des relations avec la clientèle, ainsi que d'autres mesures visant à garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et des logiciels des systèmes de traitement des données, ne sont pas inclus. L'obligation du sous-traitant d'assurer le respect de la protection et de la sécurité des données conformément aux dispositions légales pertinentes n'est pas affectée dans ces cas non plus.
   2. Les sous-traitants secondaires sont énumérés à l'annexe 1 : Liste des sous-traitants secondaires. L'approbation du contrôleur est accordée à la conclusion de la DPA.
   3. En outre, le contrôleur accorde au sous-traitant l'autorisation générale d'utiliser d'autres sous-traitants, en tenant compte de la section 1.2.4. du RGPD. Le sous-traitant informe le responsable du traitement par notification active - par exemple par courrier électronique, sur le compte Publitas du responsable du traitement - s'il a l'intention d'engager d'autres sous-traitants ou de remplacer des sous-traitants. Le contrôleur peut s'opposer à de tels changements, mais il ne peut le faire que pour des raisons importantes liées à la protection des données. L'objection à la modification envisagée doit être présentée par écrit au sous-traitant dans un délai de 14 jours à compter de la notification de la modification à l'adresse suivante : privacy@publitas.com. En cas d'objection, le sous-traitant peut, à sa discrétion, fournir le service sans la modification prévue ou - si l'exécution du service est déraisonnable pour le sous-traitant sans la modification prévue - interrompre le service vis-à-vis du contrôleur dans les 4 semaines suivant la réception de l'objection justifiée et résilier l'accord de service sans préavis et avec effet immédiat.
   4. Si le sous-traitant passe des commandes à des sous-traitants secondaires, il incombe au sous-traitant de transférer ses obligations en matière de protection des données en vertu du présent accord aux sous-traitants secondaires et de conclure un accord contractuel avec eux conformément à l'art. 28 para. 2-4 GDPR. En particulier, le sous-traitant doit garantir que la sécurité du traitement des soustraitants est conforme au niveau de protection indiqué dans le présent DPA. 
   5. Une inspection sur place dans les locaux des sous-traitants ultérieurs est effectuée exclusivement par le sous-traitant et au plus tard tous les ans. Dans les mêmes conditions que celles énoncées à la section 5.2.4. du présent RGPD, l'inspection sur place peut être remplacée par la preuve d'un traitement conforme à la protection des données. Le sous-traitant accorde au responsable du traitement le droit d'obtenir des informations sur le contenu essentiel du contrat et la mise en œuvre des obligations de ce contrat, le sous-traitant pouvant subordonner ce droit à l'autorisation des sous-traitants ultérieurs, par exemple en concluant un accord de confidentialité.
8. Droits des personnes concernées
   1. Si une personne concernée adresse au sous-traitant une réclamation au titre du chapitre III du GDPR en ce qui concerne les droits des personnes concernées, le sous-traitant renvoie la personne concernée au responsable du traitement, à condition qu'une assignation au responsable du traitement soit possible après indication de la personne concernée. En outre, le sous-traitant transmet la demande de la personne concernée au responsable du traitement sans délai et au plus tard dans les 74 heures.
   2. Sans préjudice de la section 8.1, le responsable du traitement permet une auto-administration complète des données, ainsi qu'un accès, un traitement et une vérification autonomes des données traitées par chaque employé ou administrateur du responsable du traitement, dans le cadre des droits d'accès qui lui ont été attribués. Ainsi, dans la mesure où il s'agit de sauvegarder les droits des personnes concernées en vertu du chapitre III du GDPR, le responsable du traitement lui-même est en premier lieu en mesure et tenu de se conformer à la demande de la personne concernée.
   3. Si, malgré la possibilité d'une telle auto-administration, un soutien supplémentaire de la part du sous-traitant est nécessaire, le sous-traitant aidera le responsable du traitement dans la mesure du possible dans son obligation de répondre aux demandes d'exercice des droits de la personne concernée, comme indiqué au chapitre III du GDPR.
   4. Le sous-traitant n'est pas responsable si le responsable du traitement ne répond pas à la demande d'une personne concernée, n'y répond pas correctement ou n'y répond pas en temps voulu et que cela est uniquement dû à la faute du responsable du traitement.
9. Obligations d'information et de notification
   1. Le sous-traitant aide le responsable du traitement à respecter les obligations énoncées aux articles 32 à 36 du GDPR en ce qui concerne la sécurité des données à caractère personnel, les obligations de notification en cas de fuite de données et les consultations préalables, si nécessaire. Cela comprend, entre autres, ce qui suit :
      1. L'obligation de signaler toute violation de la protection des données personnelles relatives aux utilisateurs finaux du contrôleur, par le processeur, les employés du processeur ou les sous-traitants mandatés par le processeur, dans un délai raisonnable, au contrôleur au sens de l'article 33, paragraphe 2, du GDPR. 33 para. 2 GDPR.
      2. le soutien du responsable du traitement pour son analyse d'impact de la protection des données, si nécessaire. Le sous-traitant peut s'y conformer en fournissant au responsable du traitement, sur demande, les informations et la documentation nécessaires.
      3. L'assistance du contrôleur dans les consultations avec l'autorité de contrôle avant le traitement.
   2. Le transformateur peut exiger une rémunération appropriée pour les services d'appui conformément aux sections 9.1.2. et 9.1.3.
10. Divulgation et suppression des données
    1. Au terme du traitement des données, le sous-traitant divulgue les données à caractère personnel fournies conformément aux paragraphes suivants. En règle générale, le traitement des données prend fin à l'expiration de l'accord de service.
    2. Le sous-traitant peut avoir le droit ou l'obligation, légale ou contractuelle, de conserver les données personnelles fournies pendant une certaine période après la fin du contrat. Le responsable du traitement a le droit, à tout moment jusqu'à l'expiration de cette période, d'exiger sous forme de texte la divulgation des données à caractère personnel dans un format lisible par machine ou la suppression des données à caractère personnel stockées ou, si possible, de télécharger les données directement à partir du logiciel.
    3. Si le responsable du traitement donne au sous-traitant des instructions contraignantes de suppression sous forme de texte, le sous-traitant est autorisé à procéder à la suppression des données même avant l'expiration de la période de conservation conformément à la section 10.2. La seule exception à cette règle concerne les données que le sous-traitant est légalement tenu de conserver, c'est-à-dire les journaux de sécurité.
    4. Si le responsable du traitement n'a pas demandé la divulgation des données ou la suppression de ces données à la fin de la période visée à la section 10.2, le sous-traitant est tenu de supprimer ces données.
11. Anonymisation
    1. Le sous-traitant a le droit d'anonymiser et d'agréger les données à caractère personnel couvertes par le présent accord et d'effectuer les étapes de traitement nécessaires à l'anonymisation et à l'agrégation. Tout en préservant l'anonymat, le sous-traitant peut traiter et utiliser toutes les données ainsi générées à ses propres fins, telles que des évaluations statistiques, des comparaisons sectorielles, des analyses comparatives, des améliorations de produits, des développements de nouveaux produits et d'autres fins comparables.
    2. Les données nécessaires à la fourniture des services décrits dans l'accord et fournies volontairement par le contrôleur ne sont pas affectées par l'anonymisation.
    3. Les données anonymisées ou agrégées telles que définies à la section 11.1. Ne sont plus considérées comme des données à caractère personnel et ne sont pas soumises à l'obligation de divulgation ou de suppression des données telle que définie à la section 10. Le sous-traitant a le droit d'utiliser et de conserver ces données à ses propres fins au-delà de la fin du contrat.
12. Responsabilité
    1. Si un dommage est survenu parce que le sous-traitant n'a pas respecté les obligations qui lui incombent spécifiquement en vertu du GDPR ou parce que le sous-traitant n'a pas respecté les instructions légalement émises par le responsable du traitement ou parce que le sous-traitant a agi contrairement à ces instructions, il est responsable du dommage subi en vertu de l'art. 82 para. 2 GDPR.
    2. Dans tous les autres cas, le responsable du traitement est entièrement responsable des dommages subis dans le cadre de la relation interne et libère le sous-traitant de toute réclamation de la personne concernée ou de tiers, à la première demande, introduite à l'encontre du sous-traitant en rapport avec le traitement des données. Cette disposition s'applique en particulier si une réclamation en tant que codébiteur dépasse la proportion de la dette attribuable au sous-traitant en termes de montants. 
    3. Il incombe au contrôleur de prouver que le dommage ne résulte pas de circonstances dont il est responsable.
    4. Les exclusions de responsabilité prévues par le présent accord ne s'appliquent pas en cas d'intention ou de négligence grave ou en cas de dommages résultant d'une atteinte à la vie, à l'intégrité physique ou à la santé.
    5. Pour le reste, la responsabilité est régie par l'accord de service.
13. Dispositions finales
    1. Les parties peuvent accepter/confirmer la conclusion du contrat sous forme électronique au sens de l'art. 28 para. 9 GDPR.
    2. Les deux parties sont tenues de traiter de manière confidentielle toutes les connaissances relatives aux secrets d'affaires et aux mesures de sécurité des données de l'autre partie qui ont été acquises dans le cadre de la relation contractuelle, même après la résiliation de l'accord. Cela s'applique en particulier au contenu du présent DPA, ainsi qu'à tous les documents, preuves, etc. mis à disposition dans le cadre de l'audit sur la protection des données. S'il existe des doutes quant à la confidentialité d'une information, celle-ci sera traitée comme confidentielle jusqu'à ce que l'autre partie la divulgue par écrit.
    3. Les modifications et compléments apportés à la présente DPA et à toutes ses composantes - y compris les assurances données par le sous-traitant - doivent être rédigés par écrit conformément au GDPR, éventuellement sous forme électronique, et requièrent une indication expresse que les présentes conditions ont été modifiées ou complétées. Ceci s'applique également à la renonciation à cette exigence formelle. Les parties conviennent que les adaptations du RGPD ou les nouveaux contrats doivent être conclus sous forme électronique conformément à l'art. 28 al. 9 DU RGPD.  
    4. Si les données du contrôleur sont menacées par une saisie ou une confiscation, par une procédure d'insolvabilité ou de concordat ou par d'autres événements ou mesures de tiers, le sous-traitant en informe immédiatement le contrôleur, à moins que le sous-traitant n'en soit légalement empêché par les instructions d'une autorité officielle ou par la loi elle-même. Le sous-traitant informe immédiatement toutes les parties concernées que la souveraineté et la propriété des données appartiennent exclusivement au contrôleur en tant que "partie responsable" au sens du GDPR.
    5. Le droit néerlandais est d'application.
    6. Pour tous les litiges en rapport avec le présent DPA, le siège social du sous-traitant est, si possible, le lieu de juridiction exclusif.
    7. Le présent DPA remplace toutes les garanties, arrangements, accords, contrats ou notifications antérieurs ou concomitants entre le responsable du traitement et le sous-traitant, qu'ils soient écrits ou oraux, en ce qui concerne l'objet du présent DPA. Les accords de service conclus respectivement ne sont pas affectés par le présent document.
    8. La nullité de certaines parties du présent accord n'affecte pas la validité des autres parties de l'accord.

ANNEXE 1 : LISTE DES SOUS-PROCESSEURS