Contrat de Traitement de Données

1. Objet

Le présent Contrat de Traitement de Données (ci-après "Contrat") est conclu dans le cadre de l'exécution des Services SaaS fournis par Eva (ci-après "Sous-Traitant") au Client. Il vise à définir les conditions et modalités de traitement des données personnelles en conformité avec le Règlement Général sur la Protection des Données (RGPD).

2. Description du Traitement

2.1 Nature et finalité du Traitement

Le traitement des données personnelles a pour finalité la fourniture, pour le compte du Client et selon ses instructions documentées, des Services SaaS d’assistance téléphonique virtuelle d’Eva, notamment la gestion des appels téléphoniques, la transmission de messages et la qualification des contacts.

2.2 Rôle des parties et licéité du traitement

Pour les traitements de données personnelles effectués dans le cadre des Services, le Client agit en qualité de responsable du traitement et Eva en qualité de sous-traitant au sens du RGPD.
Il appartient exclusivement au Client :
  • de déterminer les finalités du traitement ainsi que ses moyens essentiels ;
  • d’identifier, documenter et maintenir la ou les bases légales appropriées au sens de l’article 6 du RGPD ;
  • de déterminer, lorsque des catégories particulières de données au sens de l’article 9 du RGPD sont traitées, la condition de licéité applicable ;
  • de s’assurer que les personnes concernées reçoivent les informations requises et que toute formalité, autorisation, consentement ou mesure préalable nécessaire a été valablement accomplie.
Eva ne détermine pas de manière autonome la base légale ni la condition de l’article 9 applicable aux traitements réalisés pour le compte du Client.

2.3 Type de données personnelles traitées

Les catégories de données personnelles traitées par Eva pour le compte du Client dans le cadre des Services incluent, selon la configuration choisie par le Client et sous sa responsabilité :
  • des données d’identification et de contact des personnes interagissant avec le Client via les Services ;
  • des données relatives aux communications, appels, messages, journaux d’appels, enregistrements, transcriptions, résumés et métadonnées associées ;
  • toute autre donnée personnelle que le Client choisit de transmettre, connecter ou faire traiter via les Services dans le cadre de ses propres finalités.

2.4 Catégories de personnes concernées

Les catégories de personnes concernées incluent, selon l’usage des Services par le Client :
  • les appelants, prospects, clients, patients, correspondants, partenaires, collaborateurs ou autres interlocuteurs du Client ;
  • toute autre personne dont les données personnelles sont traitées via les Services sur instruction du Client.

2.5 Données sensibles et catégories particulières de données

Selon le secteur d’activité du Client, la configuration choisie et le contenu des communications traitées via les Services, certaines catégories particulières de données au sens de l’article 9 du RGPD, y compris des données de santé, peuvent être traitées de manière nécessaire ou incidente.
Le Client ne demandera à Eva de traiter de telles données que dans la mesure strictement nécessaire à l’usage autorisé des Services et sous sa seule responsabilité.
Le Client garantit avoir identifié et documenté, préalablement à tout traitement de telles données lorsque cela est requis, la base légale pertinente au sens de l’article 6 du RGPD ainsi que la condition applicable au sens de l’article 9 du RGPD, et avoir mis en place les mesures d’information, de sécurité, de confidentialité et de minimisation appropriées.
Eva se réserve le droit de refuser, suspendre ou limiter tout traitement portant sur des catégories particulières de données lorsqu’Eva estime raisonnablement que les instructions du Client sont insuffisantes, ambiguës, illicites ou incompatibles avec le niveau de risque présenté.

3. Obligations du client

Le Client s’engage à :
  • fournir à Eva des instructions documentées, licites, suffisamment précises et à jour pour le traitement des données personnelles ;
  • s’assurer que les données personnelles transmises à Eva ont été collectées et sont traitées de manière licite, loyale et transparente ;
  • informer les personnes concernées conformément aux articles 12 à 14 du RGPD et, le cas échéant, recueillir les consentements ou autorisations nécessaires ;
  • déterminer et documenter la ou les bases légales applicables, ainsi que toute condition requise en cas de traitement de catégories particulières de données ;
  • veiller au respect des règles de conservation, de minimisation, d’exactitude, de confidentialité et de sécurité qui lui incombent en tant que responsable du traitement ;
  • répondre aux demandes des personnes concernées, sous réserve de l’assistance d’Eva dans les conditions du présent Contrat ;
  • s’assurer que son utilisation des Services respecte toute réglementation sectorielle ou déontologique applicable.

4. Obligations du sous-traitant

Le Sous-Traitant s'engage à :
  • traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les éventuels transferts de données personnelles, sauf obligation légale contraire applicable ;
  • veiller à ce que les personnes autorisées à traiter les données personnelles s’engagent à la confidentialité et ne traitent ces données que sur instruction appropriée, sauf obligation légale contraire ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ;
  • assister le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour répondre aux demandes d’exercice des droits des personnes concernées. Si Eva reçoit directement une demande d’une personne concernée relative à un traitement effectué pour le compte du Client, Eva pourra, sauf obligation légale contraire, inviter la personne concernée à contacter le Client ou transmettre la demande au Client afin qu’il y réponde en sa qualité de responsable du traitement ;
  • assister le Client, compte tenu de la nature du traitement et des informations dont il dispose, afin de respecter ses obligations en matière de sécurité et de notification des violations de données ;
  • informer sans délai le Client si, selon lui, une instruction constitue une violation du RGPD ou d’une autre disposition applicable en matière de protection des données ;
  • à l’issue des Services, supprimer ou renvoyer les données personnelles conformément à l’article 8 du présent Contrat, sauf obligation légale de conservation.
Le Sous-Traitant assiste également le Client, dans la mesure du possible et compte tenu de la nature du traitement ainsi que des informations dont il dispose, en matière d’analyses d’impact relatives à la protection des données et de consultation préalable de l’autorité de contrôle, lorsque celles-ci sont requises.

5. Violation de données personnelles

Eva notifiera au Client toute violation de données personnelles concernant les données traitées pour son compte dans les meilleurs délais après en avoir pris connaissance.
Eva communiquera au Client les informations raisonnablement disponibles afin de lui permettre d’évaluer la situation et, le cas échéant, de respecter ses propres obligations de notification.
Le Client demeure responsable de déterminer si une notification à l’autorité de contrôle ou aux personnes concernées est requise, sauf disposition légale contraire.

6. Sous-traitance ultérieure

Le Client autorise de manière générale Eva à recourir à des sous-traitants ultérieurs pour l’exécution de certaines opérations de traitement nécessaires à la fourniture des Services.
Eva tient à disposition du Client, sur demande, une liste à jour des sous-traitants ultérieurs pertinents intervenant dans la fourniture des Services. Cette liste précise, de manière raisonnable, le rôle général du sous-traitant ultérieur concerné.
Eva informe le Client par écrit ou par voie électronique de tout ajout ou remplacement substantiel d’un sous-traitant ultérieur.
Le Client peut, pour des motifs raisonnables liés à la protection des données, émettre une objection écrite à l’encontre d’un sous-traitant ultérieur dans un délai de quinze (15) jours à compter de cette information. À défaut d’objection dans ce délai, le changement est réputé accepté.
En cas d’objection raisonnablement fondée, les parties se concerteront de bonne foi afin de trouver une solution raisonnable. Si aucune solution raisonnable ne peut être trouvée et que le recours au sous-traitant ultérieur concerné est nécessaire à la fourniture des Services, Eva pourra suspendre ou résilier les Services concernés, sans responsabilité autre que le remboursement éventuel des montants payés d’avance pour la période non prestée.
Eva veille à ce que tout sous-traitant ultérieur soit lié par des obligations de protection des données au moins équivalentes à celles prévues par le présent Contrat.

7. Transfert de données

Lorsque les Services impliquent un transfert de données personnelles en dehors de l’Espace économique européen, Eva veille à ce que ce transfert repose sur un mécanisme reconnu par la réglementation applicable, tel qu’une décision d’adéquation, des clauses contractuelles types ou tout autre mécanisme approprié.
Le Client reconnaît que certains prestataires techniques ou services tiers nécessaires au fonctionnement des Services peuvent être situés ou accessibles depuis des pays tiers, sous réserve de la mise en place des garanties appropriées lorsque celles-ci sont requises.
Lorsque des données personnelles sont transmises vers des outils, adresses email, systèmes, intégrations ou environnements désignés ou utilisés par le Client, le Client demeure responsable de s’assurer que ces destinations et traitements sont conformes à ses propres obligations en matière de protection des données.

8. Durée du contrat

Le présent Contrat entre en vigueur à compter de la date de souscription aux Services par le Client et restera en vigueur pendant toute la durée de la fourniture des Services par le Sous-Traitant.

9. Fin du Traitement

À l’expiration du présent Contrat, Eva s’engage, selon les instructions du Client et dans un délai raisonnable, à supprimer les données personnelles concernées ou à les renvoyer au Client, et à détruire les copies existantes, sauf si le droit de l’Union ou le droit des États membres exige la conservation des données personnelles.
Les copies résiduelles présentes dans les sauvegardes, journaux techniques ou systèmes d’archivage seront supprimées ou rendues inaccessibles selon les cycles habituels de conservation et de suppression d’Eva, sauf obligation légale contraire.

10. Documentation et audit

Eva met à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent Contrat. Eva peut satisfaire à tout ou partie de cette obligation au moyen de documents, questionnaires, attestations, certifications, rapports d’audit indépendants ou autres éléments de conformité raisonnablement appropriés.
Les audits documentaires seront privilégiés. Sous réserve d’un préavis raisonnable, d’une fréquence raisonnable, du respect des obligations de confidentialité, et à condition que l’audit ne perturbe pas de manière disproportionnée l’activité d’Eva ni la sécurité ou la confidentialité des autres clients, le Client peut faire procéder, à ses frais, à un audit portant uniquement sur les traitements relevant du présent Contrat.
Un audit sur site ou technique ne pourra être envisagé qu’en dernier recours, lorsque les éléments documentaires fournis ne permettent pas raisonnablement de démontrer le respect du présent Contrat, et sous réserve de modalités préalablement convenues entre les parties.

11. Responsabilité

Le Sous-Traitant est responsable des dommages causés par le traitement uniquement si :
  • Il n'a pas respecté les obligations prévues par le RGPD spécifiquement applicables aux sous-traitants.
  • Il a agi en dehors ou contrairement aux instructions légales du Client.
Le présent article s’applique sans préjudice des dispositions impératives du RGPD et s’articule avec le régime de responsabilité prévu par les CGVU, sauf disposition légale contraire.

12. Modification du contrat

Eva peut modifier le présent Contrat afin de refléter l’évolution des Services, de ses sous-traitants ultérieurs, des exigences de sécurité ou de la réglementation applicable. Toute modification substantielle sera notifiée au Client par écrit ou par voie électronique avant son entrée en vigueur.
Si une modification substantielle affecte de manière significative les droits ou obligations du Client en matière de protection des données, le Client pourra cesser d’utiliser les Services et résilier le contrat principal conformément aux modalités prévues par les CGVU avant l’entrée en vigueur de ladite modification.

13. Droit applicable et juridiction compétente

Le présent Contrat est régi par le droit belge. Tout litige relatif à son interprétation et/ou à son exécution relève de la compétence des tribunaux de Bruxelles.

14. Acceptation du contrat

En souscrivant aux Services d’Eva, le Client accepte les termes du présent Contrat de Traitement de Données.