Notre site web utilise des cookies, pour pouvoir adapter nos services et notre site web à vos besoins.
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies. Plus d'info

Processing Agreement

ProSoccerData

Le présent Addendum relatif à la protection des données («Addendum ») fait partie intégrante des conditions générales du Contrat de licence (« Contrat principal ») conclu entre le Licencié (« Responsable du traitement ») et ProSoccerData NV (« Sous-traitant »). Le Responsable du traitement et le Sous-traitant sont également désignés individuellement comme « Partie » et collectivement comme les « Parties » ;

Le Responsable du traitement et le Sous-traitant sont dénommés individuellement la « Partie » et collectivement les « Parties » ;

Les Parties conviennent que les dispositions relatives aux Données à caractère personnel contenues dans le Contrat Principal seront complétées par les dispositions du présent Addendum. En cas de contradiction entre le Contrat Principal et le présent Addendum concernant les Données à caractère personnel, le présent Addendum prévaudra.

Les termes utilisés dans le présent Addendum ont la signification qui leur est donnée dans cet Addendum. Les termes utilisés dans le Contrat Principal demeurent pleinement valides et applicables, sous réserve des modifications apportées ci-dessous.

Les Parties conviennent que les modalités et conditions reprises ci-après seront ajoutées sous la forme d’un Addendum au Contrat Principal. A moins que le contexte ne s’y oppose, toute référence dans le présent Addendum au Contrat Principal renvoie au Contrat Principal tel que modifié par le présent Addendum et au présent Addendum.

Les Parties conviennent ce qui suit :

1. Définitions

1.1. Dans le présent Addendum, les termes ci-après sont définis comme suit et les termes apparentés doivent être interprétés en conséquence :

  • « Lois Applicables » désigne toutes les Lois Européennes sur la Protection des Données et toutes les autres lois sur la protection des données ou la vie privée auxquelles une entité est soumise parce qu’elle traite des Données à caractère personnel ;
  • « EEE » désigne l’Espace Economique Européen ;
  • « Lois Européennes sur la Protection des Données » désigne le RGPD (Règlement Général sur la Protection des Données) et les législations nationales des Etats membres visant à mettre en œuvre ou à compléter le RGPD ;
  • « RGPD » désigne le Règlement Général sur la Protection des Données 2016/679 ;
  • « Services » désigne les services et autres activités devant être fournies au Responsable du traitement par le Sous-traitant en vertu du Contrat Principal ;
  • « Sous-traitant ultérieur » désigne toute partie tierce engagée par le Sous-traitant en vue de traiter des Données à caractère personnel pour le compte du Responsable du traitement et conformément à ses instructions, au présent Addendum et aux dispositions du contrat de sous-traitance ultérieure ; et

1.2. Les termes « Responsable du traitement », « Personne concernée », « Etat membre », Données à caractère personnel », « Violation de données », « Sous-traitance » et « Autorité de contrôle » ont la même définition que celle qui leur est donnée dans le RGPD, et les termes apparentés doivent être interprétés en conséquence.

1.3. Le verbe « inclure » doit être interprété comme signifiant inclure sans limitation, et les termes apparentés doivent être interprétés en conséquence.

2. Objet de l’Addendum

2.1. Le Sous-traitant offre aux clubs et aux fédérations de football une solution digitale permettant d’augmenter la qualité et l'efficacité de la détection des talents et du développement des joueurs.

2.2 Le présent Addendum définit à quelles conditions le Sous-traitant est autorisé à traiter les Données à caractère personnel pour le compte du Responsable du traitement.

2.3. Le Sous-traitant et le Responsable du traitement s'engagent à agir en tout temps conformément aux Lois Applicables et aux dispositions du présent Addendum lorsqu’ils exécutent le Contrat Principal.

3. Traitement des Données à caractère personnel

3.1 Le Sous-traitant s'engage à ne traiter les Données à caractère personnel qu'avec l'autorisation écrite préalable, spécifique ou générale, du Responsable du traitement. Le Contrat Principal et l'Addendum définissent conjointement l'objet et la durée du traitement.

3.2 Le Sous-traitant traite les Données à caractère personnel pour le compte du Responsable du traitement, dans le cadre du service et de la finalité décrits ci-dessous :

Le Sous-traitant traite les Données à caractère personnel dans le cadre du Contrat Principal. Le Sous-traitant fournit une plateforme collaborative de gestion du football qui offre aux clubs et fédérations de football une solution digitale pour gérer leurs données.

3.3. Les catégories de Données à caractère personnel suivantes peuvent être concernées par le traitement :

  • Informations de contact ;
  • Informations scolaires ;
  • Informations médicales ;
  • Statistiques d’entraînement et de jeu ;
  • Evaluations des joueurs ;
  • Nom d’utilisateur et mot de passe ;
  • Adresses e-mail ;
  • Coordonnées bancaires ;
  • Date de naissance ;
  • Sexe ;
  • Nationalité ;
  • Données vidéo ;
  • Informations relatives à la connexion internet (adresses IP, localisation, etc.).

3.4. Les Données à caractère personnel appartiennent aux catégories suivantes de Personnes Concernées :

  • Les joueurs de football et/ou leurs parents ;
  • Les membres du personnel des fédérations et clubs de football ;
  • Les dirigeants de l'association et des clubs de football ;
  • Toute autre Personne concernée avec laquelle le Sous-traitant entre en contact lorsqu'il fournit ses services.

Le Responsable du traitement confirme explicitement avoir obtenu les autorisations nécessaires des Parties concernées pour faire traiter leurs Données à caractère personnel par le Sous-traitant. Dans la mesure où les Parties concernées n’auraient pas donné leur consentement – pour quelque motif que ce soit – le Responsable du traitement garantira, le cas échéant, intégralement le Sous-traitant à cet égard.

4. Droits et obligations du Responsable du traitement

4.1 Il appartient au Responsable du traitement de fournir les informations mentionnées aux articles 13 et 14 du RGPD aux Personnes Concernées.

4.2. Le Responsable du traitement met à la disposition du Sous-traitant les Données à caractère personnel faisant l’objet du présent Addendum. Le Responsable du traitement détermine les moyens et les finalités du traitement. Il garantit en outre la conformité du traitement avec les dispositions légales applicables et le présent Addendum.

4.3. Le Responsable du traitement met à la disposition du Sous-traitant ses instructions écrites concernant le traitement. Il garantit la conformité de ses instructions aux Lois Applicables. Le Responsable du traitement avertit immédiatement le Sous-traitant de toute modification des instructions de traitement.

4.4. Le Responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité, conformément aux modalités prévues à l’article 30(1) du RGPD.

5. Droits et obligations du Sous-traitant

5.1. Le Sous-traitant ne traite que les Données à caractère personnel strictement nécessaires à l’exécution du Contrat Principal. En outre, il s’engage à traiter les Données à caractère personnel uniquement pour la ou les finalité(s) définie(s) dans le présent Addendum. Le Sous-traitant ne traitera les Données à caractère personnel pour aucune autre finalité que celles déterminées par le Responsable du traitement.

5.2. Le Sous-traitant s’engage à traiter les Données à caractère personnel conformément aux instructions documentées du Responsable du traitement et aux dispositions du présent Addendum. Si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou vers une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit en informer le Responsable du traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

5.3. Le Sous-traitant garantit la confidentialité des Données à caractère personnel mises à sa disposition dans le cadre de cet Addendum. En outre, le Sous-traitant s’assure que tous ses employés respectent la confidentialité des Données à caractère personnel ou soient soumis à une obligation légale de confidentialité.

5.4. Le Sous-traitant s’engage à ne pas stocker, transférer les Données à caractère personnel ou effectuer aucune autre opération de traitement en dehors de l’EEE, sans avoir obtenu au préalable l’accord écrit du Responsable du traitement. En outre, le Sous-traitant devra s’assurer que le pays tiers ou l’organisation internationale en question offre un niveau de protection adéquat.

5.5. Le Sous-traitant traite les Données à caractère personnel transmises par le Responsable du traitement aussi longtemps que nécessaire à l’exécution du Contrat principal. Dès l’instant où le traitement a été effectué, le Sous-traitant devra, dans un délai raisonnable, et à moins qu’il n’en soit expressément convenu autrement, mettre fin à toute utilisation des Données à caractère personnel, autre que nécessaire à la récupération des données par le Responsable du traitement.

5.6. Le Sous-traitant s’engage à respecter les droits des Personnes Concernées, tels que définis dans le RGPD. Dans la mesure du possible, le Sous-traitant doit aider le Responsable du traitement à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des Personnes Concernées : droit d’accès, de rectification, d’effacement, et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage). Lorsque les Personnes Concernées exercent leurs droits directement auprès du Sous-traitant, ce dernier doit transférer les demandes au Responsable du traitement. Le Responsable du traitement se chargera du traitement ultérieur de la demande, sauf si les Parties en disposent autrement. Les Parties peuvent s’accorder sur une compensation financière pour l’accomplissement de telles demandes.

5.7. Le Sous-traitant aide le Responsable du traitement pour toute réalisation d’analyse d’impact relative à la protection des données et pour toute consultation préalable de l’Autorité de contrôle. En outre, le Sous-traitant aide le Responsable du traitement à répondre aux demandes de l’Autorité de contrôle. A cette fin, les Parties peuvent s’accorder sur une compensation financière pour l’accomplissement de telles demandes.

5.8. Le Sous-traitant est autorisé à effectuer des copies et à procéder à des back-ups des Données à caractère personnel si cela s’avère nécessaire à l’exécution des services. Les Données à caractère personnel concernées par ces copies et back-ups jouissent de la même protection que les Données à caractère personnel d’origine.

5.9. Le Sous-traitant tient par écrit un registre des activités de traitement effectuées pour le compte du Responsable du traitement. Ce registre contient toutes les informations visées à l’article 30(2) du RGPD.

5.10. Le Sous-traitant garantit un accès limité de ses employés aux Données à caractère personnel, uniquement dans la mesure où cet accès est nécessaire pour exécuter leurs obligations en vertu du présent Addendum. Les employés du Sous-traitant sont en outre soumis à une obligation de confidentialité. Le Sous-traitant s’engage à informer ses employés des Lois Applicables et des dispositions du présent Addendum.

5.11. Le Sous-traitant communique au Responsable du traitement le nom et les coordonnées de contact de son Délégué à la Protection des Données (DPO), s’il est tenu d’un désigner un conformément à l’article 37 du RGPD.

6. Sécurité

6.1. Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque pour les droits et libertés des personnes physiques, le Responsable du traitement et le Sous-traitant mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité des données adéquat au risque encouru, y compris, le cas échéant, les mesures visées à l'article 32 (1) du RGPD.

6.2. Les Parties doivent prendre les mesures de sécurité techniques et organisationnelles appropriées et nécessaires, conformément aux Lois Applicables, pour protéger les Données à caractère personnel contre la destruction - accidentelle ou illicite -, la perte, la falsification, la divulgation, la distribution, le transfert ou l'accès non autorisé, en particulier lorsque le traitement des données comprend une transmission par l'intermédiaire d'un réseau, ou contre toute autre utilisation inappropriée des données. Les Parties mettront en œuvre et continueront à mettre en œuvre ces mesures destinées à empêcher un traitement non autorisé ou illicite des données, et la perte ou la destruction accidentelle des données. Les mesures de sécurité techniques et organisationnelles mises en place par le Sous-traitant sont définies dans l'Annexe 1 au présent Addendum ("mesures de sécurité techniques et organisationnelles").

6.3. Pour estimer le niveau de sécurité adéquat, les Parties devront tenir compte en particulier des risques induits par le traitement, en particulier en cas de Violation des Données à caractère personnel.

6.4. Le Sous-traitant est tenu d’informer le Responsable du traitement des mesures de sécurité qu’il met en œuvre pour se conformer à l’obligation de protection. Si, en raison de l’évolution de l’état de la technique, des modifications importantes doivent être apportées aux technologies utilisées pour sécuriser les données, le Sous-traitant devra en informer le Responsable du traitement et faire une évaluation des coûts de mise en œuvre. Si le Responsable du traitement refuse l’exécution de ces mesures, le Sous-traitant ne pourra pas être tenu responsable en cas de Violation des Données imputable à une omission dans le chef du Responsable du traitement. Dans ce cas, le Responsable du traitement ne pourra pas recouvrer les amendes et/ou autres coûts éventuels auprès du Sous-traitant.

6.5. Le Responsable du traitement et le Sous-traitant s’efforcent de fournir tous les efforts raisonnables pour vérifier que leurs systèmes de traitement répondent aux exigences de confidentialité, d’intégrité, de disponibilité et de résilience, compte tenu de l’état de la technique et des coûts raisonnables de mise en œuvre.

7. Sous-traitance ultérieure

7.1. Le Sous-traitant peut déléguer l’ensemble ou une partie de ses obligations de traitement à un Sous-traitant ultérieur uniquement avec l’autorisation écrite, préalable et spécifique du Responsable du traitement. Le Responsable du traitement ne peut refuser la demande que s’il invoque des raisons valables. Le Sous-traitant reste le point de contact du Responsable du traitement à tout moment.

7.2. Le Sous-traitant peut faire appel aux services d’un Sous-traitant ultérieur situé en dehors de l’EEE uniquement avec l’accord préalable, écrit et spécifique du Responsable du traitement. Dans ce cas, le Sous-traitant doit choisir un Sous-traitant ultérieur qui garantit un niveau de protection adéquat des Données à caractère personnel. A défaut, il devra mettre en place des garanties appropriées par voie contractuelle ou avoir obtenu le consentement explicite des Personnes Concernées.

7.3. Le Sous-traitant doit s’assurer que le Sous-traitant ultérieur présente les mêmes garanties quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, conformément à l’article 32 du RGPD.

7.4. Les obligations prévues à l’article 5 du présent Addendum s’appliquent intégralement au Sous-traitant ultérieur. Ces obligations sont stipulées par écrit dans un contrat conclu entre le Sous-traitant et le Sous-traitant ultérieur. Le Sous-traitant demeure pleinement responsable vis-à-vis du Responsable du traitement du respect par le Sous-traitant ultérieur de ses obligations.

7.5. Pour exécuter le traitement, le Sous-traitant fait appel aux catégories de Sous-traitants ultérieurs suivantes :

  • Serveurs hôtes
  • Services de messagerie (SMS)
  • Services de notification push
  • Services web

8. Confidentialité

8.1. Le Sous-traitant est tenu à une obligation de confidentialité concernant toutes les Données à caractère personnel et les informations communiquées par le Responsable du traitement dans le cadre du présent Addendum. Cette obligation de confidentialité s’applique de la même manière aux employés du Sous-traitant ainsi qu’aux éventuels Sous-traitants ultérieurs et à leurs propres employés.

8.2. Cette obligation de confidentialité s’applique pendant toute la durée du traitement et subsiste même après la fin du traitement.

8.3. Cette obligation de confidentialité ne s’applique pas lorsque le Sous-traitant est tenu de communiquer les Données à caractère personnel à l’Autorité de contrôle, en vertu d’une disposition légale ou d’une décision judiciaire, lorsque l’information est déjà connue du public, et lorsque la communication des Données à caractère personnel a été autorisée par le Responsable du traitement.

9. Violation des Données à caractère personnel

9.1. Le Sous-traitant notifie au Responsable du traitement toute violation de Données à caractère personnel dans les plus brefs délais, et au plus tard 48 heures après en avoir pris connaissance. Cette notification est accompagnée, au minimum, des informations suivantes :

  • La nature de la Violation des Données à caractère personnel, et dans la mesure du possible les catégories de personnes et de données concernées, ainsi que le nombre approximatif de personnes et de données concernées ;
  • Le nom et les informations de contact du DPO ou de toute autre personne de contact ;
  • Les conséquences probables de la Violation des Données à caractère personnel ;
  • Les mesures prises par le Sous-traitant pour remédier à la Violation de Données à caractère personnel, y compris, le cas échéant, les mesures prises pour en atténuer les conséquences négatives.

9.2. A la demande du Responsable du traitement, le Sous-traitant notifiera la Violation des Données à caractère personnel au nom et pour le compte du Responsable du traitement à l’Autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après avoir constaté la Violation, à moins que la Violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

10. Droit de vérification

10.1. Si le Responsable du traitement entend réaliser un audit ou une inspection, celui-ci devra le notifier suffisamment à temps au Sous-traitant ou au Sous-traitant ultérieur. En outre, le Responsable du traitement devra faire des efforts raisonnables pour éviter, ou à tout le moins minimiser, tout dommage ou perturbation des locaux, de l’équipement, du personnel et des activités du Sous-traitant ou du Sous-traitant ultérieur au cours de l’audit ou de l’inspection. Cette même obligation s’applique aux personnes mandatées par le Responsable du traitement pour effectuer l’audit ou l’inspection. Le Sous-traitant n’est pas tenu de donner accès à ses locaux aux fins de l’audit ou de l’inspection :

10.1.1. à tout individu qui n’est pas en mesure de prouver son identité et son autorité;

10.1.2. en dehors des heures normales travail, à moins que l’audit ou l’inspection ne doit être effectuée en urgence et à condition que le Responsable du traitement ou la personne mandatée ait notifié au préalable le Sous-traitant ou le Sous-traitant ultérieur de cette urgence.

10.2. Les Parties peuvent s’accorder sur une compensation financière pour la réalisation de ces audits et inspections.

11. Durée et résiliation

11.1. Le présent Addendum s’applique aussi longtemps que le Contrat Principal est en vigueur et prend fin en même temps que le Contrat Principal. Le présent Addendum ne peut être résilié indépendamment du Contrat Principal, à moins que les Parties conviennent que la résiliation est nécessaire pour respecter les Lois Applicables ou une décision de l’Autorité de contrôle.

11.2. Lorsque le traitement est terminé, le Sous-traitant devra, au choix du Responsable du traitement, supprimer ou renvoyer au Responsable du traitement toutes les Données à caractère personnel qui ont été traitées dans le cadre du Contrat Principal. Le Sous-traitant devra également détruire les copies et back-ups existants, à moins que la conservation des données ne soit obligatoire en vertu des Lois Applicables. Les coûts liés au renvoi et à la destruction des Données à caractère personnel sont à charge du Responsable du traitement.

12. Dispositions générales

12.1. Le présent Addendum ne peut être cédé par l’une des Parties à un tiers sans l’autorisation préalable écrite de l’autre Partie. Cette interdiction ne s’applique cependant pas à la cession de l’Addendum à des entreprises associées ou reprises, ni aux successeurs légaux des Parties, pour laquelle aucune autorisation n’est requise.

12.2. Le présent Addendum exprime la volonté pleine et entière des Parties pour tout ce qui concerne son objet et a vocation à remplacer tout accord antérieur ou préexistant entre les Parties à ce sujet.

12.3. La nullité ou l’illégalité d’une disposition, en tout ou en partie, du présent Addendum n’aura pas d’effet sur la validité et l’application des autres dispositions. Dans ce cas, les Parties s’engagent, dans la mesure du possible, à remplacer ou modifier la disposition en question pour en faire une disposition valable en droit et opposable. Les Parties négocieront de bonne foi et préféreront autant que possible l’adoption d’une disposition de portée similaire. Si cela s’avère impossible, seule la disposition nulle ou illégale sera considérée comme inexistante.

12.4. Les titres et sous-titres utilisés dans le présent Addendum le sont à titre purement illustratif.

12.5. Le présent Addendum est soumis au droit belge. En cas de litige découlant de son exécution, les Parties s’engagent à tout mettre en œuvre pour trouver une solution à l’amiable. A cette fin, elles s’engagent à faire prévaloir une interprétation raisonnable de l’Addendum. A défaut de résolution à l’amiable, le litige pourra être soumis à un centre d’arbitrage et de médiation (comme le CEPANI) ou aux tribunaux compétents. Le seul tribunal compétent est le tribunal de l’arrondissement judiciaire de Bruxelles, à savoir l’arrondissement judiciaire où le Sous-traitant a son siège social.

Annexe 1 : Mesures de sécurité techniques et organisationnelles

La présente annexe contient un descriptif des mesures de sécurité techniques et organisationnelles mises en place par le Sous-traitant, conformément à l’Article 6 de l’Addendum. Les mesures suivantes ont été mises en place :

Mesures organisationnelles

Les mesures suivantes ont déjà été mises en place :

  • Un scan de mise en conformité au RGPD a été réalisé ;
  • Des contrats de sous-traitance ont été rédigés et sont conclus avec les tiers qui traitent des données à caractère personnel pour le compte du sous-traitant ;
  • Un plan réactif en cas de violation des données a été prévu ;
  • Des conditions d’utilisation et une politique de vie privée ont été rédigées pour les droits des personnes concernées. Ces documents stipulent clairement que les personnes concernées peuvent contacter l’Administrateur du Club à tout moment pour modifier ou supprimer leurs données personnelles ;
  • Une politique de TIC a été rédigée pour définir les règles que doivent suivre les employés quant à l’utilisation professionnelle / privée des appareils électroniques ainsi que les mesures de sécurité et les actions à mettre en place en cas de perte ou de vol.
  • Tenir un registre centralisé des données ;
  • Mettre en œuvre les différents contrats sur ses diverses plateformes (site, plateforme et mobile) ;
  • Signer les contrats de sous-traitance avec toutes les parties tierces qui sont impliquées dans le traitement ;
  • Informer les employés des mesures internes qui sont mises en œuvre dans le contexte du RGPD ;
  • Fournir un casier fermé à clé pour y mettre les documents contenant des informations sensibles ;
  • Prévoir un enregistrement automatique des incidents de sécurité via le logiciel JIRA.

Mesures techniques

Les mesures techniques suivantes ont déjà été mises en place :

  • Un audit de sécurité annuel est réalisé par notre partenaire en sécurité Sectricity (piratage éthique) ;
  • Mise en œuvre des recommandations suite à l’audit de sécurité ;
  • Migration des serveurs vers un partenaire d'hébergement avec certification ISO27001 (niveau 27) ;
  • Surveillance des incidents de sécurité avec New Relic Software ;
  • Verrouillage automatique de l'écran des ordinateurs de bureau et des ordinateurs portables après une inactivité de 10 minutes ;
  • Installation d’un logiciel anti-virus sur chaque ordinateur de bureau et ordinateur portable, et mise à jour régulière du logiciel.
  • Mise en œuvre de l'authentification à deux facteurs sur les plateformes des clubs pour les employés internes.