/Aristotl

Accord de Traitement des Données

Version: v1.02Dernière mise à jour: 31 décembre 2025

Entre le Client (tel que défini ci-dessous) et Aristotl Date d'entrée en vigueur : date d'acceptation électronique par le Client

Acceptation et caractère contraignant

Le présent DPA fait partie de l’Accord. En cliquant sur « I agree to the Privacy Policy, Terms of Service and DPA » (ou équivalent), la personne qui accepte déclare qu’elle est habilitée à engager le Client, et le Client accepte le présent DPA. Le Client peut sauvegarder et reproduire le présent DPA.

1. Parties

Le présent Data Processing Agreement (« DPA ») s’applique entre :

  • Client / Responsable du traitement : la personne morale qui utilise les Services, telle qu’identifiée via le compte et/ou le bon de commande.
  • Aristotl / Sous-traitant : Aristotl, Entrepotkaai 2/802, 2000 Antwerpen, numéro d’entreprise 1018.326.784.

Le Client et Aristotl sont ci-après conjointement dénommés les « Parties ».

2. Objet de l’Accord

Les Parties reconnaissent que le présent DPA est requis afin de fixer les conditions du traitement de données à caractère personnel par Aristotl, en sa qualité de Sous-traitant, conformément à l’article 28 du Règlement général sur la protection des données (RGPD) et aux autres législations applicables en matière de protection de la vie privée. Le présent DPA régit la manière dont Aristotl traite des données à caractère personnel pour le compte du Client, et prévoit des garanties pour la protection de ces données.

3. Définitions

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l’article 4 du RGPD.
  • Responsable du traitement : la partie qui détermine les finalités et les moyens du traitement des données à caractère personnel (en l’occurrence le Client).
  • Sous-traitant : la partie qui traite des données à caractère personnel pour le compte du Responsable du traitement (en l’occurrence Aristotl).
  • Sous-sous-traitant : une autre partie engagée par Aristotl pour exécuter certaines tâches de traitement, tel que décrit à l’article 28 du RGPD.
  • Finalités du traitement : les finalités pour lesquelles des données à caractère personnel sont traitées par le Sous-traitant, telles que spécifiées dans le présent accord et les services connexes.
  • Accord : la relation contractuelle entre le Client et Aristotl pour l’utilisation des Services, composée de (i) les Terms of Service, (ii) tout bon de commande/offre/abonnement, et (iii) la documentation applicable. En cas de contradiction relative à la protection des données, le présent DPA prévaut.
  • Services : la plateforme Aristotl et tous les services connexes fournis au Client.
  • Instructions documentées : instructions écrites ou démontrablement documentées du Client à Aristotl concernant le traitement des Données à caractère personnel, notamment les configurations et actions que le Client effectue dans les Services.
  • Annexes : les annexes au présent DPA, y compris (au minimum) l’Annexe 1 (Description du traitement) et l’Annexe 2 (Mesures techniques et organisationnelles).

4. Objet du traitement

Aristotl traite des Données à caractère personnel pour le compte du Client en vue de l’exécution des Services au titre de l’Accord, et exclusivement conformément aux Instructions documentées du Client, telles que décrites plus en détail à l’Annexe 1.

Le traitement comprend, dans la mesure où cela est pertinent :

  • la fourniture, l’hébergement et le fonctionnement de la plateforme,
  • la sécurité, la surveillance et la prévention de la fraude,
  • l’assistance et la maintenance, et
  • les améliorations et corrections de bugs des Services (dans la mesure où cela nécessite des Données à caractère personnel et relève des instructions du Client).

5. Types de Données à caractère personnel

Les catégories de Données à caractère personnel qu’Aristotl peut traiter dépendent de (i) les Services souscrits par le Client et (ii) les Données à caractère personnel que le Client (ou ses utilisateurs finaux) fournit ou fait fournir via les Services. Cela peut notamment inclure :

  • Données d’identification : nom, adresse e-mail, numéro de téléphone, fonction, informations relatives à l’entreprise des utilisateurs ;
  • Données techniques : adresse IP, données de connexion et de logs, informations sur l’appareil et le navigateur ;
  • Données d’utilisation : données relatives à l’utilisation des Services (p. ex. schémas d’utilisation, paramètres, préférences) ;
  • Contenu/données que le Client télécharge ou fait télécharger via les Services, dans la mesure où il contient des Données à caractère personnel.

Les catégories de personnes concernées ainsi que la nature/les finalités du traitement sont décrites plus en détail à l’Annexe 1.

6. Instructions et responsabilité quant à la base juridique

Aristotl traite des Données à caractère personnel exclusivement sur la base des Instructions documentées du Client, sauf si Aristotl est tenu d’agir autrement en vertu du droit de l’UE ou du droit belge ; dans ce cas, Aristotl informera le Client avant le traitement, sauf si cette législation l’interdit pour des raisons importantes d’intérêt public.

Le Client, en tant que Responsable du traitement, est responsable de :

  • la ou les bases juridiques du traitement,
  • l’information des personnes concernées (transparence),
  • la garantie de l’exactitude, de la pertinence et de la minimisation des Données à caractère personnel, et
  • la licéité des instructions qu’il donne à Aristotl.

Si Aristotl estime qu’une instruction du Client est contraire au RGPD ou à une autre législation applicable en matière de protection de la vie privée, Aristotl en informera le Client sans délai.

7. Durée du traitement

Le traitement des données à caractère personnel aura lieu pendant la durée de l’accord et pour la durée des services associés, ou aussi longtemps que le Responsable du traitement a besoin des données à caractère personnel pour les finalités du traitement. Après la fin des services, le Sous-traitant détruira ou restituera les données à caractère personnel à la demande du Responsable du traitement ou de sa propre initiative, sauf si la loi exige autrement.

8. Responsabilités du Sous-traitant

Le Sous-traitant devra :

  • Traiter les Données à caractère personnel uniquement sur la base d’instructions écrites du Responsable du traitement (sauf si une autre obligation est requise par la loi).
  • Assurer la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données à caractère personnel, comme l’exige l’article 32 du RGPD.
  • Assurer la confidentialité des données à caractère personnel par les employés et sous-traitants qui ont accès à ces données.
  • Assister à l’exercice des droits de la personne concernée (tels que le droit d’accès, de rectification, d’effacement et de portabilité) et au respect des obligations du Responsable du traitement sur demande.

9. Sous-sous-traitants

Le Client accorde à Aristotl une autorisation écrite générale de recourir à des sous-sous-traitants pour le traitement des Données à caractère personnel, dans la mesure où cela est nécessaire à la fourniture des Services. Aristotl met à disposition une liste à jour des sous-sous-traitants (la « Liste des sous-sous-traitants ») via son site web ou son portail client. Aristotl informera le Client à l’avance de tout changement envisagé concernant l’ajout ou le remplacement de sous-sous-traitants. Le Client a le droit de formuler une objection motivée à l’encontre d’un nouveau sous-sous-traitant dans un délai de trente (30) jours après notification. Dans ce cas, les Parties se consulteront de bonne foi afin de (i) prévoir une alternative raisonnable ou (ii) si aucune alternative n’est possible, permettre au Client de résilier le Service concerné avec un remboursement au prorata des frais prépayés et non utilisés pour ce Service (le cas échéant). Aristotl conclut avec chaque sous-sous-traitant un accord écrit imposant au minimum les mêmes obligations en matière de protection des données que le présent DPA, en particulier en matière de confidentialité, de sécurité et d’assistance.

10. Sécurité des Données à caractère personnel

Aristotl met en place des mesures techniques et organisationnelles appropriées (« TOMs ») afin de sécuriser les Données à caractère personnel, en tenant compte de l’état de l’art, des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du traitement, conformément à l’article 32 du RGPD. Les TOMs appliquées par Aristotl sont décrites à l’Annexe 2. Aristotl peut mettre à jour ces TOMs afin d’améliorer la sécurité, à condition que le niveau de protection ne soit pas substantiellement réduit.

11. Notifications de violations de données

Le Sous-traitant informera le Responsable du traitement sans délai de toute violation de la sécurité entraînant une perte ou un traitement illicite de données à caractère personnel (« violation de données »). La notification aura lieu sans retard déraisonnable et fournira au Responsable du traitement les informations nécessaires afin de respecter les obligations de notification au titre du RGPD.

12. Droits des personnes concernées

Le Sous-traitant aidera le Responsable du traitement à respecter ses obligations relatives aux droits des personnes concernées, notamment :

  • Le droit d’accès aux données à caractère personnel.
  • Le droit de rectifier ou d’effacer les données à caractère personnel.
  • Le droit de s’opposer au traitement.
  • Le droit à la limitation du traitement.

13. Audit et contrôle

Sur demande écrite du Client, Aristotl mettra à disposition des informations raisonnables nécessaires pour démontrer le respect du présent DPA (par exemple des documents de politique, des synthèses des mesures de sécurité et/ou des attestations pertinentes), pour autant que cela ne constitue pas une charge disproportionnée et sans divulgation d’informations confidentielles d’Aristotl ou de tiers. Si le Client souhaite réaliser un audit sur site, cela n’est autorisé que (i) pour un motif fondé lié à la protection des données, (ii) au maximum une fois par année civile, (iii) moyennant un préavis écrit d’au moins trente (30) jours, (iv) pendant les heures normales de bureau, (v) d’une manière qui ne perturbe pas de façon déraisonnable les opérations d’Aristotl, et (vi) sous réserve d’un accord de confidentialité approprié. Les coûts de l’audit sont à charge du Client, sauf si l’audit démontre une non-conformité matérielle d’Aristotl au présent DPA.

14. Résiliation de l’Accord

Après résiliation de l’accord, le Sous-traitant détruira ou restituera au Responsable du traitement toutes les données à caractère personnel relevant du présent DPA, sauf si la loi exige autrement. Le Sous-traitant confirmera au Responsable du traitement que les données ont été supprimées.

15. Droit applicable et juridiction

Le présent DPA est régi par le droit belge, et tout litige sera soumis aux tribunaux compétents d’Anvers.

16. Dispositions finales

Le présent DPA constitue l’intégralité de l’accord entre les Parties en ce qui concerne le traitement des Données à caractère personnel dans le cadre des Services et remplace toutes les dispositions antérieures à cet égard. Aristotl peut modifier le présent DPA de temps à autre (par exemple en cas de modifications de la législation, des Services ou des sous-sous-traitants), à condition que (i) le Client en soit informé à l’avance via la plateforme, par e-mail ou via une autre notification raisonnable et (ii) le Client puisse sauvegarder et reproduire le DPA mis à jour. Sauf indication contraire, un DPA mis à jour entre en vigueur à la date mentionnée dans la notification. Si le Client continue d’utiliser les Services après cette date, cela vaut acceptation. Si une modification affecte de manière substantielle et défavorable les droits ou obligations du Client, le Client peut résilier l’Accord dans les trente (30) jours suivant la notification.

Acceptation électronique

Le présent DPA est valablement accepté par voie électronique. Aristotl conserve une preuve de l’acceptation (date/heure et identification du compte/utilisateur acceptant) et la met à disposition sur demande, dans la mesure du raisonnable et conformément au droit applicable.

ANNEXE 1 – Description du traitement

Objet : fourniture de la plateforme Aristotl et des Services connexes.

Durée : pendant la durée de l’Accord et, ensuite, pendant une période technique limitée de rétention/sauvegarde (le cas échéant), conformément à l’article 14.

Nature du traitement : collecte, stockage, consultation, utilisation, transmission (dans la mesure nécessaire), sécurisation et suppression des Données à caractère personnel dans le cadre des Services et du support.

Finalités : (i) fournir et maintenir les Services, (ii) gestion des comptes, (iii) support client, (iv) sécurité/surveillance et prévention des incidents, (v) respect des obligations légales.

Catégories de personnes concernées : utilisateurs du Client (employés/prestataires) et, selon l’utilisation par le Client, clients finaux/relations du Client.

Catégories de Données à caractère personnel : données d’identification et de contact, données techniques/de logs, données d’utilisation et contenu fourni par le Client via les Services (dans la mesure où il contient des Données à caractère personnel).

Catégories particulières : les Services ne sont pas destinés au traitement de catégories particulières de données à caractère personnel, sauf si le Client l’initie expressément et applique des garanties supplémentaires appropriées.

ANNEXE 2 – Mesures techniques et organisationnelles (TOMs)

Aristotl applique notamment les mesures suivantes (non exhaustif) :

  • Gestion des accès : moindre privilège (least privilege), accès basé sur les rôles, authentification forte pour les administrateurs lorsque possible ;
  • Journalisation & surveillance : journalisation des événements système et d’accès pertinents et surveillance des incidents ;
  • Chiffrement : chiffrement du transport des données (en transit) et protection appropriée des secrets/identifiants ;
  • Sauvegardes & restauration : sauvegardes périodiques et procédures de tests de restauration le cas échéant ;
  • Gestion des incidents : procédures de détection, réponse et notification des incidents de sécurité ;
  • Maintenance de la sécurité : patching/gestion des vulnérabilités et évaluation périodique des mesures ;
  • Confidentialité : les employés/prestataires ayant accès sont liés par des obligations de confidentialité.