Peppol est obligatoire pour les factures électroniques depuis cette année.

Peppol est obligatoire pour les factures électroniques depuis cette année.

Image
En savoir plus Fermer

Plus de contrôle et moins de travail. Dans votre secteur aussi.

Traitement rapide et sécurisé des factures pour toutes les organisations.

Traitement rapide et sécurisé des factures pour toutes les organisations

Les possibilités de notre plateforme

Qu'est-ce que tu cherches?

Recherches fréquentes

Commencez à utiliser Payt

Commencez dès maintenant Planifiez une démonstration Téléchargez la brochure

Plus de Payt

Pour les utilisateurs

Centre de contenu

Découvrez-en plus

Planifier une démonstration Télécharger la brochure

Plus de Payt

Centre de contenu

Pour les utilisateurs

Découvrez-en plus

NL Planifiez une démonstration
Menu
Choisissez votre pays
Confirmez votre choix

Accord de traitement des données

En ce qui concerne les accords relatifs au traitement licite des données personnelles.

 

Version : 2024

Parties :

  1. La société privée à responsabilité limitée Payt BV, ci-après dénommée « Processeur » ;
  2. Client de Payt BV, ci-après dénommé « Partie responsable » ;

Les parties seront désignées collectivement ci-après par le terme « Parties » et individuellement par le terme « Partie ».

Alors que:

  • Processor a développé une plateforme en ligne pour la gestion des débiteurs et les services de recouvrement ;
  • Le responsable du traitement utilise ou souhaite utiliser les services du sous-traitant ;
  • Cette utilisation a pour conséquence que le Sous-traitant traite ou envisage de traiter des Données Personnelles pour le compte du Responsable du traitement ;
  • Le responsable du traitement et le sous-traitant souhaitent définir les droits, obligations et accords mutuels dans le présent accord de traitement des données concernant le traitement des données personnelles dans le cadre de ces services.
  • Les annexes suivantes font partie intégrante du présent accord de traitement des données :
    • ANNEXE 1 Données personnelles ; personnes concernées, objet et durée, nature et finalité, modalités et moyens du traitement ;
    • ANNEXE 2 Mesures de sécurité
  • Si une disposition quelconque d'une annexe est incompatible ou en conflit avec une disposition de l'accord de traitement des données, les dispositions de l'annexe prévaudront.

1 : Définitions

Dans le présent Accord de traitement des données, les termes suivants, systématiquement indiqués par une majuscule, au singulier comme au pluriel, ont la signification suivante :

  1. Personne concernée : la personne physique à laquelle se rapportent les données personnelles ou son représentant.
  2. Sous-traitant : la partie qui traite des données personnelles pour le compte du responsable du traitement, sans être soumise à son autorité directe. Dans le présent accord de traitement des données, il s’agit de Payt BV.
  3. Annexe : partie de l’accord de traitement des données fournissant des explications et des informations supplémentaires concernant un élément ou une partie spécifique des services.
  4. Données personnelles : toutes données se rapportant à une personne physique identifiée ou identifiable.
  5. Responsable du traitement : la personne physique, la personne morale ou toute autre personne ou l’autorité administrative qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
  6. Traitement : toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, y compris au moins la collecte, l’enregistrement, l’organisation, la conservation, la mise à jour, la modification, l’extraction, la consultation, l’utilisation, la mise à disposition par transmission, la diffusion ou toute autre forme de mise à disposition, le couplage, l’interconnexion, ainsi que la protection, l’effacement ou la destruction des Données Personnelles.

2 : Durée et fin

  1. Le présent accord de traitement des données reste en vigueur tant que le sous-traitant traite des données personnelles pour le compte du responsable du traitement et ne peut être résilié prématurément.
  2. Le Sous-traitant met toutes les Données Personnelles à la disposition du Responsable du traitement dès la première demande de ce dernier, mais au plus tard dix jours ouvrables après la résiliation du présent Contrat de Traitement des Données.
  3. Dès la résiliation du présent Accord de traitement des données, le Sous-traitant supprimera et/ou détruira toutes les Données personnelles en sa possession ainsi que toutes les copies de celles-ci.
  4. Le Sous-traitant peut déroger aux dispositions des deux paragraphes précédents dans la mesure où une période de conservation légale s'applique aux Données à caractère personnel ou dans la mesure où cela est nécessaire pour prouver au Responsable du traitement le respect de ses obligations.

3 : Sujet

  1. Le Sous-traitant traitera les Données Personnelles pour le compte du Responsable du traitement. À ce titre, le Responsable du traitement fournit des Données Personnelles au Sous-traitant.
  2. Le Sous-traitant traitera les Données Personnelles exclusivement sur la base des instructions écrites du Responsable du traitement (telles que définies dans le présent Accord de Traitement des Données et dans le contrat de service conclu entre le Responsable du traitement et le Sous-traitant, dont le présent Accord de Traitement des Données fait partie intégrante), sauf s'il est soumis à une obligation légale de traitement. Dans ce cas, le Sous-traitant en informera le Responsable du traitement avant tout traitement, à moins que la loi applicable ne s'y oppose pour des motifs impérieux d'intérêt public.
  3. Le Sous-traitant doit immédiatement informer le Responsable du traitement s'il estime qu'une instruction du Responsable du traitement est contraire aux lois et réglementations relatives à la protection des données, notamment au Règlement général sur la protection des données (RGPD).
  4. Le responsable du traitement a déterminé les finalités du traitement des données personnelles et en a informé le sous-traitant.
  5. Le Sous-traitant ne traitera pas les Données Personnelles à d’autres fins que celles établies et décrites à l’Annexe 1.
  6. Les données personnelles à traiter par le sous-traitant pour le compte du responsable du traitement, obtenues de quelque manière que ce soit, restent la propriété du responsable du traitement et/ou de la personne concernée.
  7. Le Responsable du traitement garantit au Sous-traitant que le contenu, l'utilisation et/ou le traitement des Données personnelles ne sont pas illicites et ne portent pas atteinte aux droits d'un tiers, que ces Données personnelles sont collectées et partagées légalement, et indemnise le Sous-traitant contre toute réclamation légale d'un tiers, quel qu'en soit le fondement, en relation avec le traitement de ces Données personnelles, à moins que le Responsable du traitement ne prouve que les faits à l'origine de la réclamation sont imputables au Sous-traitant.

4 : Exécution du traitement

  1. Le Sous-traitant est seul responsable du traitement des Données à caractère personnel qu'il effectue dans le cadre des services proposés et conformément aux conditions stipulées dans le présent Accord de traitement des données. Le Sous-traitant n'est expressément pas responsable des autres traitements de Données à caractère personnel, notamment de la collecte de Données à caractère personnel par le Responsable du traitement et/ou des tiers.
  2. Sauf consentement écrit préalable et exprès du responsable du traitement et sous réserve du respect des exigences légales, le sous-traitant ne traitera pas de données personnelles dans des pays situés en dehors de l'Espace économique européen (« EEE ») n'offrant pas un niveau de protection adéquat. Le transfert de données personnelles vers des pays situés en dehors de l'EEE n'assurant pas un niveau de protection adéquat est interdit.
  3. Le Sous-traitant doit stocker et traiter les Données Personnelles concernant le Responsable du traitement séparément des Données Personnelles qu'il traite pour son propre compte ou pour le compte de tiers.
  4. Le Sous-traitant traitera les Données Personnelles de manière appropriée et attentive et conformément aux obligations qui lui incombent en tant que Sous-traitant en vertu de la législation sur la protection de la vie privée, telle que le Règlement général sur la protection des données.
  5. Le responsable du traitement fournit au sous-traitant les données nécessaires à l'exécution des tâches. Il ne fournit que les données (à caractère personnel) nécessaires à l'exécution des tâches du sous-traitant et susceptibles d'être fournies par le responsable du traitement à cette fin.

5 : Sécurité des données personnelles

  1. Les Parties conviennent que le Sous-traitant prendra les mesures de sécurité techniques et organisationnelles appropriées qui, compte tenu de l'état actuel des connaissances et des coûts associés, correspondent à la nature des Données Personnelles à traiter, afin de protéger les Données Personnelles contre la perte, l'accès non autorisé, l'altération ou le traitement illicite, ainsi que d'assurer la disponibilité (en temps opportun) des Données Personnelles.
  2. Les Parties reconnaissent que les exigences en matière de sécurité évoluent constamment et qu'une sécurité efficace, une évaluation fréquente et une amélioration régulière des mesures de sécurité obsolètes sont nécessaires. Le Sous-traitant évaluera donc en permanence les mesures de sécurité visant à protéger les Données Personnelles et, si nécessaire, les renforcera, les complétera ou les améliorera afin de continuer à respecter ses obligations.
  3. En sus des dispositions du présent article, le Sous-traitant doit prendre les mesures de sécurité précisées à l’Annexe 2.
  4. Le processeur ne garantit pas que la sécurité est efficace en toutes circonstances.

6 : Vérifier

  1. Le responsable du traitement a le droit de réaliser (ou de faire réaliser) un test d'intrusion une fois par an afin de vérifier le respect des dispositions du présent accord de traitement des données. Il peut réaliser ce test lui-même ou le faire réaliser par un expert-comptable indépendant, un spécialiste informatique agréé ou tout autre auditeur certifié.
  2. Le processeur conserve les données justificatives nécessaires aux tests (de pénétration) de cet article, telles que les journaux système.
  3. Les personnes effectuant le test devront se conformer aux procédures de sécurité en vigueur chez le sous-traitant.
  4. Le sous-traitant s'engage à coopérer et à mettre à disposition en temps opportun toutes les informations raisonnablement pertinentes pour le test.
  5. Les frais liés au test sont à la charge de la partie responsable, sauf accord contraire écrit.
  6. Le responsable du traitement doit annoncer par écrit le test proposé, après quoi le sous-traitant doit s'assurer que ce test puisse commencer dans un délai raisonnable.

7 : Obligation de notification et de surveillance des violations de données

  1. En cas de violation de données à caractère personnel relevant de la sphère d'influence du Sous-traitant, ce dernier en informera le Responsable du traitement sans délai dès sa découverte.
  2. L’obligation de signalement implique, en tout état de cause, de signaler le fait qu’une fuite ou un incident s’est produit, ainsi que la cause (présumée) de la fuite ou de l’incident, la conséquence actuellement connue et/ou prévue, et la solution (proposée).
  3. Le responsable du traitement informe les personnes concernées et les tiers, notamment l'Autorité néerlandaise de protection des données, de toute violation de données ou autre incident, s'il le juge nécessaire. Le sous-traitant n'est pas autorisé à communiquer directement d'informations relatives à une violation de données ou à d'autres incidents aux personnes concernées ou à des tiers, sauf si la loi l'y oblige ou s'il a obtenu l'autorisation du responsable du traitement.

8 : Confidentialité

  1. Une obligation de confidentialité envers les tiers s'applique à toutes les Données Personnelles que le Sous-traitant reçoit du Responsable du traitement et/ou qu'il collecte lui-même dans le cadre du présent accord de traitement.
  2. Le Sous-traitant veille à ce que son personnel autorisé à traiter les Données Personnelles soit tenu au devoir de confidentialité énoncé dans le présent article.
  3. L’obligation de confidentialité ne s’applique pas dans la mesure où le responsable du traitement a expressément autorisé la communication des informations à des tiers, si cette communication est logiquement nécessaire compte tenu de la nature de la mission confiée et de l’exécution du présent accord de traitement des données, ou s’il existe une obligation légale de communiquer ces informations à un tiers. En cas de communication d’informations à des tiers en vertu d’une obligation légale, le sous-traitant en informe le responsable du traitement dans les meilleurs délais et, en tout état de cause, avant toute communication.

9 : Droits des personnes concernées

Le sous-traitant doit apporter sa pleine coopération au responsable du traitement, après approbation et sur instruction de ce dernier :

  1. Accorder aux personnes concernées l’accès aux données personnelles pertinentes et leur fournir des informations sur le traitement de leurs données personnelles ;
  2. Pour permettre aux personnes concernées d’accéder aux données personnelles pertinentes dans un format structuré, couramment utilisé et lisible par machine et de les transférer à un tiers ;
  3. (Temporairement) limiter le traitement des Données Personnelles à leur stockage ou au traitement pour lequel la Personne concernée donne son consentement, jusqu'à ce que le Responsable du traitement détermine que la restriction du traitement doit être levée.
  4. Pour supprimer ou corriger les données personnelles des personnes concernées (par exemple, si une personne concernée s’oppose légitimement au traitement des données personnelles la concernant) ;
  5. Pour démontrer que les données personnelles ont été supprimées ou corrigées si elles sont inexactes (ou, dans le cas où le responsable du traitement conteste l’inexactitude des données personnelles, pour consigner le fait que la personne concernée considère ses données personnelles comme inexactes).

En outre, à la première demande du responsable du traitement, le sous-traitant procède dans les meilleurs délais, et au plus tard cinq jours ouvrables après la réception de cette demande, à :

  1. Fournir par écrit toutes les informations nécessaires que la partie responsable pourrait exiger ;
  2. Améliorer, compléter, supprimer ou restreindre l'accès aux données personnelles.

Le Sous-traitant doit, dans toute la mesure du possible, coopérer pleinement avec le Responsable du traitement afin de lui permettre de se conformer à ses obligations en vertu de la législation applicable en matière de traitement des Données à caractère personnel.

 

10 : Communication et partage de données personnelles avec un sous-traitant

Le sous-traitant est autorisé à faire appel à des tiers pour le traitement des données personnelles si :

  1. – le Sous-traitant l’a annoncé par écrit à l’avance et le Responsable du traitement ne s’y oppose pas dans les quatorze jours suivant l’annonce ; ou
    – le Sous-traitant a obtenu l’autorisation du Responsable du traitement à cet effet ; ou
    – si le recours à des tiers est logiquement nécessaire compte tenu de la nature de la mission et/ou de l’exécution du présent Accord de traitement des données.
  2. Le Sous-traitant s'assure que le ou les tiers concernés assument au moins les mêmes obligations que celles qui lui incombent dans le présent Accord de traitement des données.
  3. Pour la bonne exécution des services, le Sous-traitant fait appel à des tiers et partage les données personnelles collectées pour le compte du Responsable du traitement avec au moins (mais pas exclusivement) les partenaires spécifiés à l'ANNEXE 1, pour lesquels le Responsable du traitement donne par la présente son consentement.
  4. Si le tiers auquel le Sous-traitant envisage de faire appel est établi hors de l'EEE, le Sous-traitant doit obtenir l'accord du Responsable du traitement avant de faire appel à ce tiers. Par ailleurs, et sans préjudice de ce qui précède, le Sous-traitant garantit que ce tiers assure un niveau de protection et de sécurité approprié des Données à caractère personnel au sens du Règlement général sur la protection des données (RGPD).
  5. Le Sous-traitant est responsable envers le Responsable du traitement des tiers auxquels il fait appel.
  6. Dans le cas où le responsable du traitement ou le sous-traitant demanderait que des données personnelles soient partagées avec un tiers qui ne figure pas déjà sur la liste des noms des parties où
  7. Si le Sous-traitant partage des données conformément à l'ANNEXE 1, les dispositions du présent article ne s'appliquent pas et le Responsable du traitement est pleinement responsable de tout dommage en résultant, directement ou indirectement.
    Le Sous-traitant peut également communiquer des Données personnelles à des tiers s'il y est tenu en vertu d'une demande ou d'une décision valable émanant d'une autorité publique ou judiciaire, ou en application d'une obligation légale.

11 : Période de rétention

  1. Payt s'efforce de conserver le moins de données possible qui ne sont plus pertinentes. Parallèlement, les données historiques offrent des opportunités d'analyse plus approfondie, des possibilités de financement et servent de référence pour les rapports annuels.
  2. Compte tenu de la nature des services fournis, le délai de conservation commence dès le paiement de la facture.
  3. Le sous-traitant applique une période de conservation standard de 25 mois.
  4. Il est possible de déroger à cette règle via l'application ou le service d'assistance.

12 : Dispositions finales

  1. Les modifications apportées au présent Accord de traitement des données ne sont valables que si elles sont convenues par écrit entre les Parties.
  2. Le présent accord de traitement des données prévaut sur tous les autres accords conclus entre le responsable du traitement et le sous-traitant concernant le traitement des données personnelles.
  3. Le présent accord de traitement des données est régi exclusivement par le droit néerlandais.
  4. Tout litige découlant du présent Accord de traitement des données ou s'y rapportant sera soumis exclusivement au tribunal compétent du lieu d'établissement du Sous-traitant.

ANNEXE 1 Données personnelles ; finalité, modalités et moyens du traitement ; durées de conservation

Données personnelles traitées

Détails concernant les débiteurs de la partie responsable :

  • Nom, adresse, ville, numéro de téléphone, adresse e-mail, sexe, débiteurs, ainsi que des données concernant le comportement de paiement et la communication entre les débiteurs et les clients de Payt et les détails des factures.

Catégories de parties prenantes

  • Débiteurs

Objet, durée et nature du traitement

Processor propose à Controller une solution SaaS pour automatiser la gestion des comptes clients. Les conditions de fourniture de cette solution SaaS à Controller, ainsi que les services inclus, sont décrits plus en détail dans le contrat de service conclu entre Processor et Controller.

Les finalités, les modalités et les moyens du traitement

Les données personnelles sont traitées par le sous-traitant aux fins suivantes :

a) être en mesure d’effectuer le paiement des créances présentées par le Responsable du traitement via le Sous-traitant ;

b) afin de pouvoir exécuter les services convenus entre le responsable du traitement et le sous-traitant.

Ces données personnelles sont traitées et stockées dans les systèmes informatiques du Sous-traitant. Par ailleurs, le Sous-traitant fait appel à des tiers pour la bonne exécution des services. Au moment de la conclusion du présent Accord de traitement des données, le Sous-traitant a recours aux sous-traitants suivants :

Sous-processeurs
Amazon Web Services, Inc.HONNEUR
Société BV enregistréeHONNEUR
Paragon Customer Communications BV.HONNEUR
eConnect International BV.HONNEUR
Messagebird BV.HONNEUR
Flowmailer BV.HONNEUR
Sendgrid, Inc. EEE/États-Unis
Speos Belgium NV.HONNEUR

 

Vous pouvez demander une liste actualisée des noms des parties avec lesquelles le Sous-traitant partage des données, ainsi qu'une indication des données et de la finalité de ce partage, via servicedesk@paytsoftware.com .

Le sous-traitant prend également en charge l'intégration avec des tiers qui ont leur propre responsabilité en matière de traitement et avec lesquels le responsable du traitement entretient une relation contractuelle directe. Il s'agit notamment des huissiers de justice, des prestataires de services de paiement (tels que, sans s'y limiter, Pay et Mollie) et des agences d'évaluation du crédit (telles que Graydon).

ANNEXE 2 : Mesures de sécurité

Le Sous-traitant met en œuvre des mesures de sécurité dans les domaines suivants, entre autres, conformément à sa politique de sécurité de l'information. Le Sous-traitant est certifié ISO 27001 pour sa politique de sécurité de l'information.

  1. Personnel de sécurité;
  2. Gestion des actifs de l'entreprise ;
  3. Sécurité d'accès ;
  4. Cryptographie ;
  5. Sécurité physique ;
  6. sécurité des opérations commerciales ;
  7. Sécurité des communications ;
  8. Acquisition, etc. de systèmes ;
  9. Relations avec les fournisseurs ;
  10. Gestion des incidents de sécurité de l'information ;
  11. Aspects de la gestion de la continuité des activités ;
  12. Conformité.

Nous sommes heureux de mettre à votre disposition, en toute confidentialité et sur simple demande, la Déclaration d'applicabilité.

Payt

Numéro de registre du commerce : 08155915
TVA : NL817576320B01

Siège social Groningen – Pays-Bas
Waagstraat 4
9712 JX Groningen Pays-
Bas

Télécharger au format PDF.

Image Lightbox
Supprimer le cookie