Que vous optiez pour une entreprise individuelle ou une société, démarrez votre activité de manière 100 % digital avec Partena Professional, en bénéficiant de l’accompagnement personnalisé de nos experts.
Vous êtes nommé nouveau gérant, travailleur indépendant, partenaire actif ou collaborateur indépendant et vous voulez vous affilier en tant qu’indépendant.
Participez à nos sessions d'information pour bien lancer votre activité
Augmentez vos chances de réussite avec l'aide de nos coachs.
Parlons-en! Nous écoutons vos envies et concrétisons vos idées
Faites des modifications et gérez les formalités via une seule plateforme en ligne.
Notre outil pratique pour votre dossier de sécurité sociale.
Calculez la date à laquelle vous pourrez prendre votre retraite au plus tôt et le montant de votre pension.
Découvrez comment recruter avec succès votre premier employé.
Le guide qui vous explique tout. Retrouvez toutes les informations pratiques et les meilleurs conseils pour commencer à embaucher votre premier employé.
Bénéficiez du soutien de notre secrétariat social.
Profitez de l'expertise et des connaissances de Partena Professional.
Découvrez les avantages que nous pouvons offrir aux experts-comptables.
Les présentes conditions générales s'appliquent à la relation contractuelle entre l'Employeur et Partena Business Solutions SA (ci-après « Partena ») dont le siège social est situé à 1000 Bruxelles, rue des Chartreux 45, et qui est inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 0479.282.740.
L'utilisation de ce Chatbot ainsi que le mandat donné à Partena par l’Employeur (cf. Article 5) impliquent l'acceptation expresse et l'accord de l’Employeur en ce qui concerne les présentes conditions générales, sans aucune réserve. Les présentes conditions générales sont applicables à l'exclusion de toutes autres conditions, en particulier les conditions générales de l'Employeur.
1. Définitions et champ d’application :
1.1. le Chatbot : un service payant de Partena par le biais duquel, en remplissant un certain nombre de paramètres, un Employeur peut faire établir une lettre de licenciement dans le cadre de la rupture d'un contrat de travail avec son Travailleur. Le champ d'application de ce service (ci-après le « Champ d'application ») est limité à la rupture du contrat de travail moyennant le respect d’un délai de préavis, d'une indemnité de rupture ou à la rupture d'un commun accord. Dans le cas d'une rupture avec des circonstances particulières (régime de chômage avec complément d’entreprise, pension légale, restructurations, faillite, fermeture d'entreprise, licenciement collectif, dispositions relatives à la sécurité d'emploi, grève ou lock-out, ..., cette liste n'est pas exhaustive), le Chatbot peut recueillir les informations nécessaires, mais Partena analysera les données pertinentes et contactera personnellement l'Employeur si nécessaire. Le Chatbot ne tient pas compte des délais de préavis convenus individuellement, des éventuelles protections contre le licenciement, ni des délais de préavis qui s'appliquent aux travailleurs qui étaient en période d’essai au 31/12/2013. Le Chatbot ne prend pas non plus en compte les primes de licenciement supplémentaires.
1.2. L'Employeur : l'entreprise qui effectue le licenciement ainsi que la personne physique représentant valablement l'Employeur lors de la saisie des données dans le Chatbot, qui déclare disposer de la compétence pour déléguer l'exécution de la Décision de licenciement prise valablement ou, du moins, qui a été valablement autorisée à le faire par l'entreprise qui effectue le licenciement.
1.3. Le Travailleur : le travailleur de l’Employeur auquel se rapporte la Décision de licenciement (ci-après la « Décision de licenciement ») prise par la personne ou l'organe compétent de l'Employeur.
2. Mission de Partena Professional
Sur la base des données saisies dans le Chatbot par l’Employeur et dans les limites du Champ d'application, Partena calculera le délai de préavis du Travailleur et générera, pour le compte de l'Employeur, une lettre de préavis adressée au Travailleur et conforme à la législation sociale applicable à ce moment. La lettre de préavis ainsi générée sera vérifiée par Partena, puis signée et envoyée par Partena au Travailleur concerné ou remise à l'Employeur concerné qui pourra envoyer la lettre de préavis lui-même. Si le licenciement est demandé avant 11 heures, Partena se chargera d'envoyer ou de remettre la lettre de licenciement avant 18 heures le même jour ouvrable. Si le licenciement est demandé après 11 heures, Partena se chargera d'envoyer ou de remettre la lettre de licenciement le jour ouvrable suivant.
Ces délais d'envoi et de livraison s’appliquent uniquement aux situations de licenciement standards relevant du Champ d'application, et ne s'appliquent pas aux jours fériés, samedis et dimanches ou aux cas de force majeure. Pour les licenciements avec des circonstances particulières, un délai d'envoi ou de livraison plus long sera nécessaire pour permettre une analyse précise et la rédaction d’une lettre correcte. Le cas échéant, Partena en informera l'Employeur et fixera les délais d'envoi ou de livraison en concertation avec l’Employeur. Partena ne peut en aucun cas être tenue responsable des retards dus à BPost. Le suivi ultérieur après l'envoi de la lettre de licenciement au Travailleur ou la remise de la lettre de licenciement à l'Employeur ne fait pas partie de la mission de Partena.
3. Obligations de Partena Professional
Partena effectuera la mission susmentionnée conformément à la législation sociale belge en vigueur et veillera à ce que les juristes affectés à la mission possèdent les compétences et qualifications professionnelles requises. Sur la base des informations fournies par l'Employeur et à condition que ces informations soient correctes et complètes et qu'elles relèvent du Champ d’application du Chatbot, Partena calculera la durée légale du délai de préavis ainsi que sa date de début. Partena se réserve le droit de refuser la Mission qui lui est confiée en cas d'indications d'utilisation non autorisée du Chatbot.
Partena s'engage à considérer toutes les données fournies par l'Employeur via le Chatbot comme strictement confidentielles et à ne pas les copier, les modifier ni les divulguer à un tiers, étant entendu que les entités du groupe de fait Partena Professional ne sont pas considérées comme des tiers.
4. Obligations de l’Employeur
L'Employeur déclare expressément que la Décision de licenciement a été prise valablement et que, dans le cadre de l'utilisation de ce Chatbot, il est valablement autorisé à déléguer l'exécution de la Décision de licenciement à Partena. L'Employeur est seul responsable de la validité de la Décision de licenciement, tant en ce qui concerne la compétence de décision que la compétence pour déléguer l'exécution de cette décision à un tiers, tel que Partena. Par son utilisation du Chatbot, l'Employeur s'engage à ne pas faire un usage non autorisé du Chatbot en prenant une fausse identité, en agissant sans les compétences requises, en agissant sans mandat, en faisant de fausses déclarations ou en faisant des déclarations qui constituent une violation de la vie privée, ou de toute loi internationale ou belge.
5. Mandat exprès
En utilisant simplement le Chatbot, en complétant toutes les informations demandées et en confirmant dans le Chatbot que la lettre de licenciement doit être envoyée par Partena au Travailleur, l'Employeur déclare expressément qu’un mandat est octroyé à Partena pour exécuter la Décision de licenciement relative au Travailleur concerné.
6. Responsabilité de Partena Professional
Partena ne peut être tenue responsable des préjudices résultant de l'utilisation non autorisée ou incorrecte du Chatbot par l'Employeur. Partena décline toute responsabilité quant à la vérification de l'identité ou des compétences de l'Employeur. Partena n'est pas responsable de la validité de la Décision de licenciement, ni de l'exactitude et de l'exhaustivité des données saisies par l'Employeur dans le Chatbot. Dans le cadre de l'exécution de sa Mission, Partena ne sera à aucun moment considérée comme la partie qui a procédé au licenciement. La Mission de Partena se limite toujours à la simple exécution de la Décision de licenciement, qui se limite elle-même à l'envoi ou à la remise de la lettre de licenciement. Toute responsabilité de Partena dans le cadre de l'exécution de cette Mission est en tout cas limitée à l'indemnisation des dommages directs, et ce avec un maximum de 5 000,00 €. L'Employeur préserve Partena de toute réclamation de tiers, y compris le Travailleur pour lequel la Décision de licenciement a été prise.
7. Prix du service
Chaque conversation terminée avec le Chatbot donnera lieu à une facturation. La lettre de licenciement sera livrée ou envoyée à un tarif de 200,00 € (hors TVA) par lettre. Les circonstances particulières qui dérogent au Champ d'application du Chatbot peuvent entraîner une différence par rapport au prix standard. Le cas échéant, Partena contactera personnellement l'Employeur pour lui fournir une offre adaptée.
8. Confidentialité
Les informations mises à la disposition de Partena par l’Employeur dans le cadre de cette Mission contiennent des « données à caractère personnel » au sens du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGDP »). Les parties conviennent qu'en ce qui concerne ces données à caractère personnel, Partena sera considérée comme Sous-traitant tel que stipulé dans le RGPD. Les obligations de Partena et de l’Employeur en matière de traitement des données à caractère personnel sont précisées dans un Data Protection Agreement distinct qui est accepté par les deux parties. L'acceptation de ce Data Protection Agreement distinct est une condition essentielle à l'acceptation de la Mission par Partena. L'Employeur déclare par la présente qu'il a également pris connaissance de la politique générale de confidentialité de Partena à l'adresse http://www.partena-professional.be/fr/declaration-vie-privee.
9. Droit applicable et tribunaux compétents
La présente convention est régie par le droit belge et au cas où les Parties ne seraient pas en mesure d’arriver à une solution amiable pour régler le litige, seuls les cours et tribunaux de l’arrondissement judiciaire de Bruxelles seront compétents.
La présente convention de traitement des données à caractère personnel (ci-après « DPA ») fait partie intégrante de la Relation Contractuelle entre l’Employeur (ci-après le « Responsable du traitement ») et Partena Business Solutions SA (ci-après le « Sous-traitant », dont le siège social est établi à 1000 Bruxelles, rue des Chartreux 45, et qui est inscrite auprès de la Banque-Carrefour des Entreprises sous le no 0479.282.740), dénommés conjointement « les Parties » ou séparément « la Partie » ;
IL EST CONVENU CE QUI SUIT :
« Relation Contractuelle » le contrat principal entre les Parties définissant la livraison des services et / ou des produits ou la collaboration entre eux, y compris toutes ses modifications et annexes et tout ce qui est convenu ultérieurement entre les Parties au sujet du présent DPA ;
« Réglementation Applicable en matière de :
« Protection des Données » toutes les réglementations relatives à la protection des données qui sont applicables au Traitement et à l'utilisation des Données à Caractère Personnel dans le contexte des activités menées dans le cadre de la Relation Contractuelle, y compris le Règlement général sur la protection des données (comme défini ci-après) ;
« DPA » la présente convention de traitement des données à caractère personnel, y compris ses annexes ;
« GDPR » le règlement général sur la protection des données (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 applicable à compter du 25 mai 2018 ;
« Données à Caractère Personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
« Traiter » ou « Traitement » toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de Données à Caractère Personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
« Violation de Données à Caractère
Personnel » une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou Traitées d'une autre manière, ou l'accès non autorisé à de telles données
« Mesures Techniques et
Organisationnelles » les mesures techniques et organisationnelles telles que définies dans le GDPR.
« Autorité de contrôle » une autorité publique indépendante instituée par un État membre de l'Union européenne en exécution de l’article 51 du GDPR.
Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s’engage à effectuer pour le compte du Responsable du Traitement les opérations de Traitement de Données à Caractère Personnel définies dans la Relation Contractuelle ou décrites en annexe 1 du présent DPA.
Dans le cadre de leur Relation Contractuelle, les Parties s’engagent à respecter la Réglementation en vigueur Applicable au Traitement de Données à Caractère Personnel et, en particulier, le GDPR.
Le présent DPA entre en vigueur à compter du 25/05/2018 ou à la date d’entrée en vigueur de la Relation Contractuelle si celui-ci sort ses effets après le 25/05/2018.
Le Sous-traitant peut Traiter les Données à Caractère Personnel transmises par le Responsable du Traitement aussi longtemps que nécessaire pour l'exécution de la mission telle que spécifiée dans la Relation Contractuelle ou dans l’annexe 1 du présent DPA.
Le Sous-traitant s'engage à respecter les obligations suivantes :
Le Sous-traitant s’engage à Traiter les Données conformément aux instructions écrites du Responsable du Traitement contenues dans la Relation Contractuelle ou en annexe 1 du présent DPA. Si le Sous-traitant considère raisonnablement qu’une instruction constitue une violation du GDPR ou d'autres dispositions du droit de l'Union européenne ou du droit des états membres relatives à la Protection des Données (« Instruction Contestée »), il en informe immédiatement le Responsable du Traitement.
En cas d’une telle notification, le Sous-traitant est autorisé à suspendre l’exécution de ladite Instruction Contestée et de continuer à Traiter les Données à Caractère Personnel conformément aux instructions reçues précédemment. Le Responsable du Traitement n’aura pas droit, pour cela, à une indemnisation ou dédommagement. Si le Sous-traitant est tenu en vertu du droit de l'Union européenne ou du droit de l'état membre auquel il est soumis de procéder à des transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale, il informe le Responsable du Traitement de cette obligation légale avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Le Sous-traitant s’engage à garantir la confidentialité des Données à Caractère Personnel Traitées dans le cadre de la Relation Contractuelle entre les Parties.
A cette fin, l'accès aux Données à Caractère Personnel est strictement limité aux personnes qui, dans le cadre de l’exécution de Relation Contractuelle entre les Parties, doivent y avoir accès ou en avoir connaissance. L'obligation de confidentialité reste en vigueur après la cessation de la Relation Contractuelle entre les Parties.
Le Sous-traitant s’engage à ce que les personnes autorisées à Traiter les Données à Caractère Personnel :
s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
soient sensibilisées / formées en matière de protection des Données à Caractère Personnel
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre les Mesures Techniques et Organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Ces Mesures Techniques et Organisationnelles reprendront, inter alia et le cas échéant, la liste des mesures de sécurité minimales applicables reprise en annexe 2 du présent DPA.
Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le Traitement, résultant notamment de la destruction, de la perte, de l'altération, de la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou Traitées d'une autre manière, ou de l'accès non autorisé à de telles Données, de manière accidentelle ou illicite.
Le Sous-traitant est autorisé à faire appel à un autre Sous-traitant (ci-après le Sous-traitant Ultérieur). Par la signature du présent DPA, le Responsable de Traitement accorde, en effet, au Sous-traitant l’autorisation générale de recruter des Sous-traitants Ultérieurs.
Le Sous-traitant peut continuer à travailler avec les Sous-traitants Ultérieurs qui avaient déjà été désignés à la date de prise d’effet du DPA à condition de répondre dans les plus brefs délais aux conditions suivantes.
Ces conditions s’appliquent à toute Sous-traitance Ultérieure :
Le Sous-traitant doit s’assurer au préalable que le Sous-traitant Ultérieur présente des garanties suffisantes quant à la mise en œuvre de Mesures Techniques et Organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du GDPR.
Le Sous-traitant impose contractuellement au Sous-traitant Ultérieur les mêmes obligations en matière de protection des Données que celles fixées dans l’article 4 du présent DPA.
Dans le cadre de cette autorisation générale, le Sous-traitant s’engage à informer le Responsable du Traitement au moins deux (2) semaines à l’avance des changements envisagés au sujet de l'ajout ou du remplacement de Sous-traitants Ultérieurs donnant la possibilité au Responsable du Traitement d’émettre ses objections éventuelles (sur base de motifs raisonnables) quant à ces changements. Des objections irraisonnables et invalides sont, entre autre, mais non limitées à, des objections non-documentées. Des objections raisonnables et valides sont, entre autre, mais non limitées à, des situations dans lesquelles le Responsable du Traitement a émis des objections documentées par rapport à la capacité du Sous-traitant de protéger des Données à caractère Personnel et d’en garantir la confidentialité. Afin d’être valable, les objections doivent être émises avant l’expiration de la moitié du délai de notification.
Le Sous-traitant veillera à fournir une réponse motivée aux objections (documentées et valables) formulées.
Si le Sous-traitant Ultérieur ne remplit pas ses obligations en matière de Protection des Données, le Sous-traitant demeure pleinement responsable devant le Responsable du Traitement de l’exécution par l’autre Sous-Traitant de ses obligations.
Il appartient au Responsable du Traitement de fournir aux personnes concernées les informations prévues par rapport à leurs droits (chapitre III du GDPR).
Dans la mesure du possible, en tenant compte de la nature du Traitement, et au moyen de Mesures Techniques et Organisationnelles appropriées, le Sous-traitant fournira toute l'aide raisonnable pour permettre au Responsable du Traitement de remplir son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
Le Sous-traitant aide le Responsable du Traitement à garantir le respect des obligations qui lui incombe en la matière d’analyse d’impact et de consultation préalable (articles 35 à 36 du GDPR), compte tenu de la nature du Traitement et des informations à la disposition du Sous-traitant (sauf si cette information est déjà à la disposition du Responsable du Traitement)
Le Sous-traitant notifiera au Responsable du Traitement toute Violation de Données à Caractère Personnel aussi vite que possible après en avoir pris connaissance et ce sans retard excessif.
Cette notification sera accompagnée, dans la mesure du possible, de toute documentation utile afin de permettre au Responsable du Traitement, si nécessaire, de notifier cette Violation à l’Autorité de contrôle compétente.
Le Sous-traitant supprimera ou fera supprimer (par les Sous-traitants Ultérieurs) toutes les copies des Données à Caractère Personnel du Responsable du Traitement, dans les meilleurs délais et, en tout cas, dans les 12 mois à compter de la date à laquelle la prestation de service relative au Traitement des Données à Caractère Personnel a pris fin (Date de fin).
Le Responsable du Traitement est libre d'exiger à son gré, au moyen d'une notification écrite en ce sens au Sous-traitant dans les 15 jours qui suivent la Date de fin que le Sous-traitant lui restitue une copie complète de toutes les Données à Caractère Personnel.
Le Sous-traitant répondra à toute requête écrite de cette nature dans les meilleurs délais et au plus tard dans les 3 mois suivant la Date de fin.
Si en vertu du droit de l’Union européenne ou du droit de l’état membre, le Sous-Traitant est tenu de conserver, pour une période imposée, les Données à Caractère Personnel du Responsable du Traitement, les délais indiqués ci-dessus ne commenceront à courir qu’à la fin de la période imposée. Dans ce cas, le Sous-traitant garantira la confidentialité de ces Données à Caractère Personnel et veillera à ce que ces Données à Caractère Personnel du Responsable du Traitement soient Traitées exclusivement aux fins spécifiées dans les législations qui imposent de les conserver.
A la demande du Responsable du Traitement, le Sous-traitant mettra à disposition toutes les informations nécessaires afin de démontrer le respect de la présente DPA, et pour permettre la réalisation d’audit ou d’inspections par le Responsable du Traitement lui-même ou par un auditeur qu’il a mandaté à cet effet.
Le Sous-traitant aura droit à une indemnisation du Responsable du Traitement pour la communication et la mise à disposition des informations nécessaires.
Toute demande d’audit devra être formulée par écrit au minimum 15 jours ouvrables à l’avance par le Responsable du Traitement.
L’audit n’aura lieu que pendant les heures de travail et sans perturber substantiellement les activités opérationnelles du Sous-traitant. Les audits seront facturés au taux journalier de 1.500,00 € (TVA non comprise).
Sauf disposition contraire dans la Relation Contractuelle et tenant compte des limitations prévues dans la Relation Contractuelle, le Sous-traitant défendra, indemnisera et exonéra le Responsable du Traitement de toute responsabilité, dommage, frais et coût dus au non-respect par le Sous-traitant de ses obligations reprises dans ce DPA.
Afin de lever toute ambiguïté, est souligné que le Sous-traitant ne sera pas responsable envers le Responsable du Traitement d’une infraction quelconque à la Règlementation Applicable en matière de Protection des Données imputable en tout ou en partie au Responsable du Traitement ou ses instructions.
Les Parties déclarent que la juridiction compétente (unique ou exclusive) déterminée dans la Relation Contractuelle entre les Parties sera également compétente pour tout litige et toutes prétentions qui naîtraient du fait de ce DPA, en ce compris les litiges éventuels à propos de son existence, de sa validité en droit ou de sa résiliation ou encore des conséquences de sa nullité.
Les Parties déclarent que ce DPA, de même que toutes les obligations non contractuelles ou autres attachées à cet DPA seront régies par les lois du pays déterminé dans la Relation Contractuelle entre les Parties.
Sauf accord contraire entre les Parties, rien dans ce DPA ne réduit les obligations du Sous-traitant fixées par la Relation Contractuelle entre les Parties ou ne permet au Sous-traitant de (faire) Traiter les Données à Caractère Personnel d'une manière qui est interdite par la Relation Contractuelle.
Sauf accord contraire entre les Parties, il se fait, à propos de l'objet de ce DPA, qu'en cas d'incompatibilité entre ce DPA et la Relation Contractuelle entre les Parties, les dispositions de cette DPA prévalent.
L'invalidité ou le caractère non exécutoire d'une disposition du DPA, quelle qu'elle soit, n'a aucune influence sur la validité ou le caractère exécutoire des autres dispositions du DPA.
La disposition correspondante sera soit (1) remplacée par une disposition valable et exécutoire qui se rapproche le plus de l'intention initiale des Parties, soit, si cela ne s'avère pas possible, (2) sera interprétée comme si la disposition invalidée ou non exécutoire n'avait jamais fait partie du présent DPA.
Annexe 1 : DÉTAILS CONCERNANT LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DE LA PARTIE CONTRACTANTE
L’Annexe 1 contient des détails spécifiques relatifs au Traitement des données à caractère personnel transmises par le Responsable du traitement, tel que stipulé à l'article 28(3) du GDPR.
L'objectif et la durée du Traitement des Données à caractère personnel transmises par le Responsable du traitement sont décrits dans la Relation contractuelle et dans la présente Annexe.
L'objectif du traitement est d'aider le Responsable du traitement à établir des lettres de licenciement, et de l’assister en ce qui concerne les aspects suivants : le calcul des délais de préavis pour les licenciements avec préavis, les licenciements avec indemnité de rupture, les ruptures d’un commun accord et la rédaction des lettres envoyées au nom du client.
La durée du traitement est de 1 an, ou de 5 ans en cas de licenciement pour vol, à prolonger chaque fois d'un an en cas de mise en demeure au nom du travailleur.
Données d'identification personnelles, données d'identification financières, caractéristiques personnelles, adresses, données relatives au statut particulier dans lequel se trouvent les travailleurs, profession et occupation.
Le personnel occupé par le Responsable du traitement.
Annexe 2 : MESURES DE SECURITE MINIMALES APPLICABLES
1. Police de sécurité
Le sous-traitant dispose de police et de procédures de sécurité. Celles-ci sont revues périodiquement, mises à jour et communiquées au personnel et aux tiers autorisés.
2. Organisation de la sécurité
Les responsabilités en matière de sécurité sont définies et attribuées chez le sous-traitant
3.Ressources Humaines
Les collaborateurs internes et externes du sous-traitant sont sensibilisés à la sécurité de l’information et des données à caractère personnel en particulier
4. Gestion des actifs
Le sous-traitant dispose d’un inventaire des actifs régulièrement mis à jour. Les règles d’utilisation de ces actifs sont définies et clairement communiquées
5. Sécurité physique et environnementale
Les locaux du sous-traitant où se trouvent les informations, les données ainsi que leurs dispositifs de traitement disposent d’un accès sécurisé.
Les salle de serveurs disposent de mesures de protection physique spécifiques. Seul le personnel admis est autorisé.
6. Sécurité Opérationnelle
Le sous-traitant met en place des mesures anti-virus et anti-malware afin prévenir toute altération ou vols de donnée à l’aide de logiciels malveillants. Ces protections sont régulièrement mises à jour.
Le sous-traitant dispose d’un processus pour la gestion des demandes d’accès L’accès des collaborateurs est limité aux informations nécessaires à l’exercice de leur fonction Les droits d’administrateur sur les systèmes sont strictement limités aux personnes indispensables.
Le sous-traitant dispose d’une politique en matière de mot d epasse (incl. Caractères spéciaux, longueur minimum, changement régulier.
Le sous-traitant a en place une politique de Backup qui permet la restauration des données en cas de besoin (perte, dommage, vol, ..). Des tests de restauration sont régulièrement effectués
L’utilisation des médias de stockage (USB, disque dur externe, ..) est règlementé. Aucune donnée ne peut être sauvegardée sur un média n’appartenant pas au sous-traitant.
7. Sécurité des communications
Le sous-traitant utilise des mesures de sécurité pour protéger les transferts d’information en utilisant des protocoles sécurisés.
8. Développement et maintenance d’applications ou de systèmes
Le sous-traitant veille à ce que les exigences de sécurité soient garanties lors du développement et la maintenance de logiciels et de système.
Les procédures liées au change management sont documentées (point de contrôle et validation)
Le sous-traitant sépare les environnements de développement et de test de l’environnement de production.
Le sous-traitant veille à la sécurité des systèmes et à effectuer des tests avant utilisation.
9. Gestion des incidents
Le sous-traitant dispose d’une procédure de gestion des incidents documentée et communiquée au personnel et aux tiers autorisés.
10. Continuité
Le sous-traitant limite les risques de panne des systèmes par une bonne maintenance et par la redondance.
Des copies de sécurité des données sont effectuées systématiquement et conservées dans des locaux sécurisés distincts.
Un plan de restauration des systèmes est établi par le sous-traitant
Des tests sont régulièrement réalisés et le personnel est sensibilisé