ACCORD GÉNÉRAL DE TRAITEMENT DES DONNÉES THE DIGITAL PO BOX

1. Parties

  1. The Digital PO Box - Marque déposée de The Bizz Hub LLC-FZ, bureau au The Meydan Grandstand, 6ème étage, Meydan Road, Nad Al Sheba, Dubaï, E.A.U., enregistrée sous le numéro 2536783.01. Ci-après dénommé : "Sous-traitant".
  2. Responsable du traitement - La personne physique ou morale qui conclut un accord avec le Sous-traitant pour (entre autres) le traitement du courrier et utilise le service de numérisation à cette fin. Ci-après dénommé : "Responsable du traitement".
  3. Le Responsable du traitement et le Sous-traitant sont ci-après collectivement dénommés les "Parties".

Le présent Accord s'applique indépendamment du fait que le Client (Responsable du traitement) agisse à titre personnel ou professionnel.

Le présent Accord de Traitement des Données s'applique exclusivement à la numérisation et à la digitalisation des courriers contenant des données personnelles. Pour toutes les autres catégories de données personnelles traitées par TBH (y compris les données de compte, les données de facturation et les données de communication), TBH agit en tant que responsable du traitement indépendant tel que décrit dans sa Déclaration de Confidentialité.

2. Définitions

  1. RGPD : Le Règlement Général sur la Protection des Données (UE) 2016/679.
  2. Données personnelles : Toute donnée pouvant être rattachée, directement ou indirectement, à une personne physique identifiée ou identifiable et pouvant figurer dans le courrier du Responsable du traitement lors de sa numérisation.
  3. Traitement (ou "Traiter") : Toute opération ou ensemble d'opérations effectuées sur des données personnelles, telles que le stockage, la transmission, la mise à disposition, etc.
  4. Violation de Données / Incident de Sécurité : Une violation de la sécurité qui entraîne (potentiellement) la destruction, la perte, l'altération ou la divulgation non autorisée de, ou l'accès non autorisé à, des données personnelles transmises, stockées ou traitées d'une autre manière.
  5. Lorsque le présent accord fait référence aux définitions du RGPD, ces termes ont la même signification qu'à l'Article 4 du RGPD.
  6. Client / Responsable du traitement : Dans le présent Accord, le Client agit en tant que Responsable du traitement au sens de l'Article 4(7) du RGPD, et The Digital PO Box agit en tant que Sous-traitant au sens de l'Article 4(8) du RGPD.

3. Objet et portée

  1. Le présent Accord de Traitement des Données ne s'applique que lorsque le Responsable du traitement utilise le service de numérisation du Sous-traitant.
  2. En tant que responsable du traitement, le Responsable du traitement détient des données personnelles. Le Sous-traitant traite ces données personnelles uniquement pour le compte du Responsable du traitement, en numérisant (digitalisant) et, si nécessaire, en transférant les courriers pouvant contenir des données personnelles.

4. Rôles et responsabilités

  1. Responsable :
    • détermine les finalités et les moyens du traitement des données personnelles dans le service postal ;
    • est et demeure ultimement responsable de la licéité du traitement et du respect du RGPD ;
    • donne instruction au Sous-traitant uniquement de numériser les données personnelles et de les mettre à disposition via les systèmes convenus.
  2. Sous-traitant :
    • effectue le traitement uniquement pour le compte et sous la responsabilité du Responsable du traitement, tel que stipulé dans le présent Accord et l'Accord Spécifique au Service sous-jacent ;
    • n'a aucun contrôle indépendant sur la finalité et les moyens du traitement.

5. Obligations du sous-traitant

Le Sous-traitant garantit les obligations suivantes conformément à l'Article 28 du RGPD :

5.1 Confidentialité

  1. Le Sous-traitant et ses employés affiliés (et tout sous-traitant ultérieur) traiteront de manière confidentielle les données personnelles dont ils ont connaissance.
  2. Cette obligation de confidentialité continuera de s'appliquer également après la résiliation du présent Accord de Traitement des Données.

5.2 Mesures de sécurité appropriées

  1. Le Sous-traitant prendra les mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels.
  2. Les mesures techniques incluent, par exemple, des pare-feu, des antivirus, des mots de passe robustes et (le cas échéant) le chiffrement selon les normes ISO 27001 et ISO 27701. Les mesures organisationnelles incluent les restrictions d'accès, la vérification du personnel et la fermeture des zones où les données sont traitées.
  3. Les mesures de sécurité sont au moins conformes aux exigences de l'Article 32 du RGPD et adaptées à la nature des données traitées (cela peut varier selon l'envoi postal).

5.3 Traitement au sein de l'UE/EEE

  1. Le Sous-traitant ne permettra pas que le traitement des données personnelles ait lieu en dehors de l'Espace Économique Européen (EEE) à moins qu'un tel transfert ne soit couvert par des garanties appropriées, y compris les Clauses Contractuelles Types de l'UE (CCT) ou des mécanismes équivalents assurant un niveau de protection adéquat, ou lorsque la loi l'exige.
  2. Pour les transferts vers le Royaume-Uni ou les Émirats Arabes Unis, le Sous-traitant applique les mêmes garanties contractuelles, techniques et organisationnelles que celles décrites dans la Déclaration de Confidentialité de TDPB.

5.4 Pas de Traitement Ultérieur

  1. Le Sous-traitant ne traitera les données personnelles que conformément aux instructions du Responsable du traitement. L'utilisation à d'autres fins (par exemple, son propre marketing) n'est pas autorisée.

5.5 Assistance dans l'exécution des obligations

  1. Dans la mesure du raisonnablement possible, le Sous-traitant assistera le Responsable du traitement dans le respect des obligations en vertu du RGPD, telles que le traitement des demandes des personnes concernées ou la réalisation d'analyses d'impact relatives à la protection des données (AIPD).

5.6 Fourniture d'informations et audit

  1. Fourniture d'informations
    Le Sous-traitant devra, à première demande et dans la mesure où cela est raisonnablement nécessaire, fournir au Responsable du traitement toutes les informations nécessaires pour démontrer la conformité aux Obligations du présent Accord de Traitement des Données et du RGPD.
  2. Soutien à la conformité
    Si le Responsable du traitement a des raisons fondées de le faire (par exemple, contrôle périodique ou soupçon d'irrégularités), le Sous-traitant coopérera aux audits ou inspections, y compris (le cas échéant) la fourniture de documentation technique ou de rapports.
  3. Conditions d'audit
      Le Responsable du traitement annoncera un audit ou une inspection prévu par écrit au moins 30 jours ouvrables à l'avance, avec une description claire de la portée et de l'objectif, afin que le Sous-traitant puisse se préparer et que la continuité du service ne soit pas inutilement compromise.
    • Les audits n'affecteront pas la confidentialité des autres Responsables du traitement ni la sécurité des systèmes contenant également des données de tiers. Le Responsable du traitement accepte que l'audit puisse être effectué par un tiers indépendant, sous confidentialité, afin de protéger la vie privée des autres Responsables du traitement.
    • Les coûts d'un audit, y compris les heures de travail du Sous-traitant, seront à la charge du Responsable du traitement, sauf s'il est établi que le Sous-traitant agit en violation du présent Accord de Traitement des Données ou du RGPD, auquel cas le Sous-traitant supportera les coûts raisonnables de l'audit.
  4. Résultats et améliorations
    Le Sous-traitant informera le Responsable du traitement des conclusions pertinentes d'un audit ou d'une inspection et, le cas échéant, proposera ou mettra en œuvre des mesures d'amélioration pour continuer à assurer la conformité avec le présent Accord de Traitement des Données et le RGPD.

5.7 Traitement par des Systèmes d'IA

Le présent Article s'applique à toutes les opérations assistées par IA effectuées par le Sous-traitant et fait partie des mesures techniques et organisationnelles requises en vertu de l'Article 28 du RGPD.

Des garanties appropriées, incluant mais sans s'y limiter les Clauses Contractuelles Types de l'UE et les mécanismes de transfert équivalents du Royaume-Uni et des EAU, s'appliquent à tout traitement effectué par OpenAI.

6. Sous-traitants ultérieurs

6.1 Pas d'Activation Sans Permission

  1. Le Sous-traitant n'engagera aucun tiers supplémentaire (sous-traitants ultérieurs) pour le traitement effectif des données personnelles sans le consentement (spécifique ou général) du Responsable du traitement.
  2. Si le Sous-traitant dispose d'une autorisation générale du Responsable du traitement, le Sous-traitant informera le Responsable du traitement au moins quatorze (14) jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur, par notification via le Portail du Responsable du traitement ou par e-mail, afin que le Responsable du traitement puisse s'y opposer.

6.2 Sous-traitant ultérieur actuel pour la numérisation

  1. Le Responsable du traitement reconnaît et accepte que le Sous-traitant engage déjà un sous-traitant ultérieur pour la numérisation et la digitalisation des courriers. Ce sous-traitant ultérieur est lié par les mêmes obligations (de confidentialité) que celles incluses dans le présent Accord de Traitement des Données, de sorte qu'il se conforme également au RGPD.
  2. Le Responsable du traitement peut demander des informations au Sous-traitant sur l'identité et la localisation de ce sous-traitant ultérieur, ainsi que sur la manière dont les garanties appropriées sont assurées.

6.3 Accords avec les sous-traitants ultérieurs

  1. Si le Sous-traitant engage un sous-traitant ultérieur, le Sous-traitant fournira un accord écrit avec ce sous-traitant ultérieur, incluant au moins les mêmes obligations (de confidentialité) que dans le présent Accord de Traitement, afin que le sous-traitant ultérieur se conforme au RGPD.
  2. Le Sous-traitant demeure le point de contact principal pour le Responsable du traitement à tout moment et conserve la responsabilité (contractuelle) du traitement par le sous-traitant ultérieur.

7. Violations de Données (Incidents de Sécurité)

7.1 Obligation de signaler

  1. En cas d'incident de sécurité établi ou suspecté (possible violation de données) concernant les données personnelles traitées par le Sous-traitant, le Sous-traitant le signalera au Responsable du traitement sans retard injustifié.
  2. Le Sous-traitant fournira autant d'informations pertinentes que possible, afin que le Responsable du traitement puisse se conformer à sa propre obligation de signaler à l'autorité de contrôle (et à toute personne concernée).

7.2 Soutien

  1. Le Sous-traitant soutiendra le Responsable du traitement dans toutes les enquêtes ou mesures devant être prises à la suite de la violation de données (telles que des enquêtes forensiques, des mesures correctives).

8. Demandes des Personnes Concernées

8.1 Traitement par le Responsable du traitement

  1. Si le Sous-traitant reçoit une demande (par exemple, inspection, rectification, suppression) directement d'une personne concernée, le Sous-traitant transmettra cette demande au Responsable du traitement sans retard déraisonnable.
  2. Le Responsable du traitement est responsable du traitement ultérieur de ces demandes.

8.2 Coopération

  1. Le Sous-traitant devra, dans la mesure du raisonnablement possible, coopérer pour permettre au Responsable du traitement de remplir ses obligations (Articles 12–22 du RGPD).

9. Durée et Résiliation

9.1 Durée

  1. Le présent Accord de Traitement des Données entre en vigueur dès le début de l'accord principal (Responsable du traitement - Sous-traitant) et reste valide tant que le Sous-traitant traite des données personnelles dans le contexte du service de numérisation.

9.2 Résiliation

  1. Toutes les numérisations et les données personnelles associées seront supprimées ou détruites dans les quatre-vingt-dix (90) jours suivant la date de téléchargement initiale, ou trente (30) jours après la résiliation du service de numérisation, selon la date la plus tardive, à moins qu'une obligation légale de conservation ne s'applique ou que le Responsable du traitement n'ordonne un transfert par écrit.
  2. Lorsqu'une archive numérique a été maintenue, le Sous-traitant conservera les numérisations pour la même période maximale de quatre-vingt-dix (90) jours avant la suppression ou la destruction définitive.
  3. Exceptions et conservation légale : Si le Responsable du traitement et le Sous-traitant sont obligés par la loi (par exemple, fiscale ou administrative) de conserver certaines données pendant une période plus longue, le Sous-traitant peut, après consultation avec le Responsable du traitement, continuer à conserver les données pour cette période (légale) spécifique.
  4. Demande de transfert : Le Responsable du traitement peut demander le transfert des numérisations dans un fichier numérique ou sous une autre forme convenue dans le délai visé au paragraphe 2. Le Sous-traitant coopérera à cela, dans la mesure du raisonnablement possible. Les coûts associés à cela peuvent être facturés au Responsable du traitement, sauf convention contraire.
  5. Garantie de suppression : Après les périodes visées dans le présent article, le Sous-traitant s'assurera que les données personnelles (numérisations) sont complètement supprimées ou détruites, de sorte qu'elles ne soient plus accessibles ou récupérables. Le Sous-traitant peut fournir une confirmation de destruction sur demande.

10. Responsabilité

  1. Les dispositions relatives à la responsabilité des Conditions Générales du Sous-traitant s'appliquent également au présent Accord de Traitement des Données. Dans tous les cas, la responsabilité cumulative totale du Sous-traitant, que ce soit contractuelle, délictuelle ou autre, ne dépassera pas le montant total payé par le Responsable du traitement au Sous-traitant pour les services de numérisation pertinents au cours des douze (12) mois précédant l'événement donnant lieu à la réclamation.
  2. Le Sous-traitant ne sera pas responsable des dommages indirects, consécutifs ou spéciaux, y compris, mais sans s'y limiter, la perte de profit, de données ou de clientèle, sauf en cas de négligence grave ou de faute intentionnelle du Sous-traitant.
  3. Le Responsable du traitement demeure seul responsable de la licéité du traitement des données personnelles et de s'assurer que ses instructions sont conformes à la législation applicable en matière de protection des données.

11. Dispositions Diverses

  1. Toute modification du présent Accord doit être faite par écrit (y compris sous forme électronique) et acceptée par les deux Parties (par exemple, via des mécanismes d'acceptation électronique).
  2. Les parties font des efforts conjoints pour se conformer au RGPD et aux autres législations applicables en matière de confidentialité.
  3. Le présent Accord de Traitement des Données sera régi et interprété conformément aux lois d'Angleterre et du Pays de Galles. Les Parties feront tous les efforts raisonnables pour résoudre tout litige à l'amiable. Si les Parties ne parviennent pas à un règlement amiable dans un délai de trente (30) jours, le litige sera définitivement tranché par arbitrage conformément au Règlement de la Cour d'Arbitrage International de Londres (LCIA), lequel règlement est réputé être incorporé par référence. Le siège de l'arbitrage sera Londres, Royaume-Uni, et la langue de l'arbitrage sera l'anglais. La sentence rendue par l'arbitre sera définitive et contraignante pour les deux Parties.
    Rien dans cette clause ne saurait priver un consommateur de la protection offerte par les lois impératives de son pays de résidence.
  4. Avis et Mises à jour : Tous les avis ou communications en vertu du présent Accord de Traitement des Données, y compris les mises à jour ou modifications, seront fournis électroniquement via le Portail Client ou par e-mail à l'adresse de contact enregistrée par le Responsable du traitement. L'utilisation continue du service de numérisation après notification constitue l'acceptation des conditions mises à jour, à moins que le Responsable du traitement ne s'y oppose par écrit dans un délai de quatorze (14) jours.
  5. En cas de contradictions ou de différences entre cette version anglaise et toute traduction, la version anglaise prévaudra. Les traductions sont fournies uniquement pour des raisons de commodité et ne créent aucune obligation ou droit légal.

Ce document fait partie du Cadre Juridique de The Digital PO Box.

Version : 1.4 / Date : 18-11-2025