INTERNATIONAL
Content
Accord de traitement des données
Contents
PRÉAMBULE
Les parties ont conclu une entente de logiciel-service concernant la prestation de ses services par le sous-traitant, laquelle implique l’utilisation par le responsable du traitement des logiciels et services du sous-traitant (« Accord principal »). Dans le cadre de la prestation de ces services conformément à l’Accord principal (« Services »), il est nécessaire que le sous-traitant traite des renseignements personnels dont le responsable du traitement est responsable en vertu des lois applicables en matière de protection des renseignements personnels (« Lois applicables en matière de protection des données »). Afin de satisfaire aux exigences des Lois applicables en matière de protection des données, les Parties concluent la présente entente de traitement des données (DPA) :
1. DÉFINITIONS
Aux fins de la présente DPA, et sauf indication contraire du contexte, les termes utilisés auront la signification qui leur est attribuée conformément aux lois applicables sur la protection des données. Les termes clés de la présente DPA sont définis ci-dessous :
« renseignements personnels » désigne toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs propres à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;
« traitement » désigne toute opération ou tout ensemble d’opérations effectuées sur des renseignements personnels ou sur des ensembles de renseignements personnels, que ce soit ou non à l’aide de procédés automatisés, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;
« responsable du traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des renseignements personnels; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre;
« sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des renseignements personnels pour le compte du responsable du traitement.
2. PORTÉE / DURÉE
2.1 Le présent DPA s’applique au traitement de toutes les données personnelles (ci-après également appelées « données ») qui sont traitées par le Sous-traitant pour le compte du Responsable du traitement. L’étendue, la nature, la finalité et la description plus détaillée du traitement sont déterminées par le Contrat principal et sont излож? set out in Annex 1 (“Description du traitement des données”) to this DPA.
2.2 Sauf stipulation contraire dans le présent DPA, la durée et la résiliation du présent DPA sont régies par les dispositions relatives à la durée et à la résiliation du Contrat principal. La résiliation du Contrat principal entraîne automatiquement la résiliation du présent DPA. Une résiliation isolée du présent DPA est exclue.
2.3 Sauf indication contraire dans le présent DPA, toutes les définitions prévues dans le Contrat principal s’appliquent au présent DPA.
3. RESPONSABILITÉ ET POUVOIR DE DONNER DES INSTRUCTIONS / MESURES DE PROTECTION DU SOUS-TRAITANT
3.1 Les parties sont responsables du respect des dispositions des lois applicables en matière de protection des données. Le responsable du traitement peut, à tout moment, demander au sous-traitant de communiquer, corriger, adapter, supprimer et restreindre les données traitées en vertu de la présente DPA.
3.2 Le sous-traitant traite les données pour le compte du responsable du traitement et conformément à ses instructions, conformément aux lois applicables en matière de protection des données. Le responsable du traitement demeure le responsable du traitement au sens des lois applicables en matière de protection des données.
3.3 Afin d'assurer la protection des droits des personnes concernées, le sous-traitant fournit un soutien approprié au responsable du traitement, en particulier en veillant à la mise en place de mesures techniques et organisationnelles appropriées (voir la section 6). Si une personne concernée contacte directement le sous-traitant afin d'exercer un tel droit, le sous-traitant transmet sans retard indu cette demande au responsable du traitement.
3.4 Dans le cas où le sous-traitant estime qu'une instruction constitue une violation des lois applicables en matière de protection des données, il en informe le responsable du traitement sans retard indu. Le sous-traitant est 2 Momos - DPA en droit de suspendre l'exécution de l'instruction pertinente jusqu'à ce que cette instruction soit confirmée ou modifiée par le responsable du traitement.
3.5 Le sous-traitant ne peut traiter les données que conformément aux instructions du responsable du traitement, à moins qu'il ne soit tenu de traiter les données autrement en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis (p. ex., des enquêtes menées par les autorités chargées de l'application de la loi ou les autorités de sûreté de l'État); dans un tel cas, le sous-traitant doit informer le responsable du traitement de ces exigences légales avant le traitement, sauf si le droit en question interdit une telle information pour des motifs d'intérêt public important. Les instructions du responsable du traitement sont en principe régies de façon exhaustive et documentées dans les dispositions de la présente DPA. Les instructions individuelles qui dérogent aux dispositions de la présente DPA ou imposent des exigences supplémentaires nécessitent le consentement du sous-traitant et doivent être documentées. Les coûts supplémentaires engagés par le sous-traitant en conséquence sont à la charge du responsable du traitement.
3.6 Les modifications de l'objet du traitement doivent faire l'objet d'un accord et d'une documentation conjoints. Le sous-traitant n'utilisera pas les données à d'autres fins et n'a en particulier pas le droit de communiquer ces données à des tiers. Le sous-traitant n'est pas autorisé à copier ou dupliquer des données sans que le responsable du traitement en ait connaissance.
3.7 Le responsable du traitement est responsable de ses registres des activités de traitement conformément aux lois applicables en matière de protection des données. À la demande du responsable du traitement, le sous-traitant fournira au responsable du traitement les informations nécessaires à ces registres des activités de traitement. Le sous-traitant conservera des registres de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement conformément aux lois applicables en matière de protection des données.
3.8 Le sous-traitant est tenu d'informer les personnes physiques placées sous son autorité qui ont accès aux données de l'obligation de confidentialité et s'assure qu'elles ne traitent les données que dans le cadre des instructions du responsable du traitement.
4. OBLIGATIONS LÉGALES DU RESPONSABLE
4.1 Le Responsable du traitement est seul responsable de la licéité du traitement des données et de la protection des droits des personnes concernées dans la relation entre les Parties. Si des tiers font valoir des réclamations contre le Sous-traitant fondées sur le traitement des données conformément au présent DPA, le Responsable du traitement indemnisera le Sous-traitant de toutes ces réclamations sur première demande.
4.2 Le Responsable du traitement est tenu de fournir au Sous-traitant les données en temps utile pour l’exécution des Services conformément au Contrat principal et il est responsable de la qualité des données. Le Responsable du traitement informera immédiatement et intégralement le Sous-traitant s’il constate, lors de l’examen des résultats du Sous-traitant dans le cadre du 3 Momos - DPA, des erreurs ou des irrégularités au regard des lois applicables en matière de protection des données ou de ses instructions.
4.3 Sur demande, le Responsable du traitement fournira au Sous-traitant les renseignements requis pour consigner les activités de traitement conformément aux lois applicables en matière de protection des données, dans la mesure où ceux-ci ne sont pas déjà à la disposition du Sous-traitant lui-même.
4.4 Si le Sous-traitant est tenu de fournir des renseignements à un organisme gouvernemental ou à une personne lors du traitement de données, ou de coopérer avec ces organismes de toute autre manière, le Responsable du traitement est tenu, à première demande, d’aider le Sous-traitant à fournir ces renseignements et à remplir les autres obligations de coopération.
5. OBLIGATIONS LÉGALES DU SOUS-TRAITANT
5.1 Le Processeur doit s'assurer que les personnes autorisées à traiter les données sont liées par une obligation de confidentialité ou sont soumises à une obligation légale de secret appropriée et doit en fournir la preuve au Responsable du traitement à sa demande.
5.2 Les Parties se soutiendront mutuellement afin de démontrer et de documenter leur responsabilité relativement aux principes liés au traitement des données, conformément aux Lois applicables en matière de protection des données, y compris la mise en œuvre des mesures techniques et organisationnelles nécessaires. Si requis, le Processeur fournira au Responsable du traitement les renseignements pertinents.
5.3 Dans la mesure requise par les Lois applicables en matière de protection des données, le Processeur nommera un délégué à la protection des données qui exercera ses activités conformément aux Lois applicables en matière de protection des données. Les coordonnées du délégué à la protection des données seront fournies au Responsable du traitement aux fins de contact direct.
5.4 Le Processeur informera le Responsable du traitement sans délai indu de tout audit et de toute mesure prise par les autorités de contrôle, ou si une autorité de contrôle demande des renseignements, mène une enquête ou adresse autrement des demandes de renseignements au Processeur.
6. MESURES TECHNIQUES ET ORGANISATIONNELLES
6.1 Les parties conviennent des mesures de sécurité techniques et organisationnelles spécifiques énoncées à l’annexe 3 (« Mesures techniques et organisationnelles ») du présent DPA. L’annexe 3 fait partie intégrante du présent DPA.
6.2 Les mesures techniques et organisationnelles sont soumises au progrès technique. À cet égard, le sous-traitant sera autorisé à mettre en œuvre des mesures de remplacement, mais adéquates, conformément aux dispositions du 4 Momos - DPA des lois applicables sur la protection des données et du présent DPA. Les changements importants apportés à ces mesures doivent être documentés.
6.3 À la demande du responsable du traitement, le sous-traitant démontrera au responsable du traitement sa conformité aux mesures techniques et organisationnelles précisées à l’annexe 3 en fournissant des preuves appropriées conformément aux exigences.
7. DROITS DE CONTRÔLE
7.1 Le Responsable du traitement est en droit de vérifier régulièrement la conformité aux dispositions de la présente DPA, en particulier en ce qui concerne la mise en œuvre et l’efficacité des mesures techniques et organisationnelles prévues à l’Annexe 3. À cette fin, le Responsable du traitement peut demander des renseignements au Sous-traitant, examiner les expertises, certifications ou résultats d’audits internes existants, ou inspecter les mesures techniques et organisationnelles mises en place pendant les heures normales de bureau.
7.2 Le Responsable du traitement informera le Sous-traitant en temps utile (généralement deux semaines à l’avance) de toutes les circonstances liées à la réalisation de l’audit. Le Responsable du traitement ne procédera à des audits que dans la mesure nécessaire (généralement un audit par année civile) et en tenant dûment compte des activités commerciales du Sous-traitant. Les Parties se coordonneront à l’avance quant au moment et aux modalités de l’audit.
7.3 Si le Responsable du traitement mandate un tiers pour réaliser l’audit, il devra l’engager par écrit de la même manière que le Responsable du traitement est tenu envers le Sous-traitant conformément à la présente Section 7 de la présente DPA. En outre, le Responsable du traitement obligera le tiers à maintenir le secret et la confidentialité, à moins que le tiers ne soit soumis à une obligation professionnelle de secret. À la demande du Sous-traitant, le Responsable du traitement lui soumettra immédiatement les accords d’engagement conclus avec le tiers. Le Responsable du traitement ne peut mandater aucun concurrent direct du Sous-traitant pour réaliser l’audit.
7.4 Le Responsable du traitement documentera les résultats de tout audit et transmettra le rapport au Sous-traitant. Si des erreurs ou des irrégularités sont constatées lors de l’audit, le Responsable du traitement en avisera le Sous-traitant sans retard indu. Lorsque l’audit révèle des circonstances nécessitant des ajustements aux procédures existantes afin d’éviter qu’elles ne se reproduisent, le Responsable du traitement informera le Sous-traitant, sans retard indu, des modifications procédurales nécessaires.
8. OBLIGATIONS DE NOTIFICATION DU SOUS-TRAITANT
Le Sous-traitant doit, sans retard indu, informer le Responsable du traitement en cas de perturbation grave de ses opérations, de soupçons de violation et de violation de la présente entente de traitement des données (DPA) et des lois applicables sur la protection des données, ou de toute autre irrégularité dans le traitement des données du Responsable du traitement. Cela s'applique, en particulier, à l'obligation de signaler les atteintes à la protection des données aux autorités compétentes et aux personnes concernées touchées, comme l'exigent les lois applicables sur la protection des données. Le Sous-traitant doit fournir au Responsable du traitement un soutien approprié pour s'acquitter de ses obligations de notification des atteintes à la protection des données conformément aux lois applicables sur la protection des données. Le Sous-traitant ne peut effectuer des notifications liées à des atteintes à la protection des données pour le Responsable du traitement qu'après avoir reçu des instructions préalables conformément à la section 3 de la présente DPA.
9. EFFACEMENT ET RETOUR DES DONNÉES
9.1 À la résiliation de l’Accord principal ou à la demande du Responsable du traitement, le Sous-traitant doit, sans délai injustifié, retourner au Responsable du traitement tous les documents, données et supports de données qui lui ont été fournis, ou – lorsqu’aucune obligation légale de conservation n’existe – les supprimer intégralement et de manière irrévocable à la demande du Responsable du traitement. Cette obligation s’applique également à toutes les copies des données, y compris les copies de sauvegarde.
9.2 Le Sous-traitant peut conserver la documentation qui sert de preuve du traitement des données conformément à la présente DPA et aux lois applicables. Pour ces données conservées, les obligations énoncées à la section 9.1 s’appliquent en conséquence après l’expiration de toute période de conservation applicable.
9.3 Sur demande, le Sous-traitant confirmera par écrit au Responsable du traitement la suppression complète des données. 9.4 Tout droit de rétention est exclu.
10. SOUS-TRAITANTS
10.1 Les sous-traitants actuels engagés pour l’exécution du présent ATD et convenus entre les Parties sont détaillés à l’annexe 2 (« Liste des sous-traitants »).
10.2 Si le Sous-traitant principal entend sous-traiter à d’autres sous-traitants le traitement des données, il doit informer le Responsable du traitement du changement ou du remplacement envisagé des sous-traitants. Dans certains cas, le Responsable du traitement peut s’y opposer dans un délai de 14 jours suivant la notification respective. Si ce délai de notification expire sans objection de la part du Responsable du traitement, le sous-traitant proposé sera réputé approuvé. Si le Responsable du traitement soulève une objection justifiée au nouveau sous-traitant pendant le délai de notification, les Parties coopéreront en 6 Momos - DPA de bonne foi afin de trouver une solution de rechange. Si aucune solution de rechange mutuellement acceptable n’est confirmée par le Responsable du traitement, le Sous-traitant principal aura le droit de résilier la Convention principale et le présent ATD sans préavis, si les Services ne peuvent pas être fournis sans l’intervention du nouveau sous-traitant.
10.3 Aux fins de la présente disposition, les services de sous-traitance ne sont pas considérés comme des services que le Sous-traitant principal achète à des tiers à titre de services auxiliaires à l’appui de l’exécution prévue par le présent ATD, par exemple des services de télécommunications.
10.4 Si des sous-traitants sont engagés par le Sous-traitant principal, celui-ci doit s’assurer que ses ententes contractuelles avec le sous-traitant respectent un niveau de protection des données équivalent à celui convenu entre le Responsable du traitement et le Sous-traitant principal et que toutes les exigences contractuelles et légales sont respectées; cela s’appliquera en particulier à l’utilisation de mesures techniques et organisationnelles appropriées afin d’assurer un niveau adéquat de sécurité du traitement des données.
11. RESPONSABILITÉ
11.1 La responsabilité du Sous-traitant au titre de la présente DPA est régie par les exclusions et limitations de responsabilité prévues dans la Convention principale. Dans la mesure où des tiers présentent des réclamations contre le Sous-traitant qui résultent d’un manquement fautif du Responsable du traitement à la présente DPA ou à l’une de ses obligations en tant que responsable du traitement au sens des lois applicables en matière de protection des données, le Responsable du traitement devra, sur première demande, indemniser le Sous-traitant et le tenir indemne à l’égard de ces réclamations.
11.2 Le Sous-traitant sera également responsable envers le Responsable du traitement de toute violation commise par des sous-traitants engagés.
11.3 Le Responsable du traitement s’engage à indemniser le Sous-traitant, sur première demande, de toutes les amendes susceptibles d’être imposées au Sous-traitant correspondant à la part de responsabilité du Responsable du traitement dans l’infraction sanctionnée par l’amende.
12. DISPOSITIONS FINALES
12.1 En cas d’incompatibilité, les dispositions de la présente DPA l’emportent sur celles de l’Entente principale.
12.2 Si l’une quelconque des dispositions de la présente DPA est invalide ou inexécutoire, la validité des autres dispositions n’en sera pas affectée.
ANNEXE 1 : DESCRIPTION DU TRAITEMENT DES DONNÉES
Section | Description |
|---|---|
Nature et finalité du traitement | Le Sous-traitant traitera les données afin de fournir les Services conformément à l'Entente principale et au présent DPA. Le Sous-traitant ne traitera les données qu'aux fins suivantes : (i) le traitement pour exécuter ses obligations en vertu de l'Entente principale; et (ii) le traitement pour se conformer à toute autre instruction raisonnable fournie par le Responsable du traitement qui est conforme aux modalités de l'Entente principale. |
Type de traitement des données | Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou combinaison, restriction, effacement ou destruction. |
Catégories de données personnelles | Coordonnées du client pour envoyer des sondages après commande : |
Personnes concernées | Clients finaux du Responsable du traitement. |
Fréquence et durée du traitement des données | La fréquence des activités de traitement est continue. Le Sous-traitant traitera les données jusqu'à l'expiration ou à la résiliation de l'Entente principale, conformément à ses modalités. |
Critères utilisés pour déterminer la période pendant laquelle les données personnelles seront conservées | Les critères de la période de conservation sont décrits à la section 9 du présent DPA. |
Transferts aux sous-traitants ultérieurs | Le Sous-traitant transférera des données à des sous-traitants ultérieurs comme le permet la section 10 du présent DPA. |
ANNEXE 2 : LISTE DES SOUS-TRAITANTS
Nom du fournisseur | Adresse | Objet et description du traitement des données | Lieu du traitement des données |
|---|---|---|---|
Amazon Web Services | Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA | Fournisseur d’hébergement infonuagique | États-Unis |
Auth0 | Auth0, LLC, 100 First Street, Floor 6, San Francisco, CA 94105, USA | Fournisseur d’identité et d’authentification | États-Unis |
Mixpanel | Mixpanel Inc., One Front Street, 28th Floor, San Francisco, CA 94111, USA | Analytique de produit pour l’application | États-Unis |
GitHub | GitHub Inc., 88 Colin P Kelly Jr. Street, San Francisco, CA 94107, USA | Gestion du contrôle de version | États-Unis |
Databricks | Databricks Inc., 160 Spear Street, 15th Floor, San Francisco, CA, USA | Fournisseur de plateforme d’analyse de lac de données | États-Unis |
Datadog | Datadog, Inc., 620 8th Avenue, Floor 45, New York, NY 10018, USA | Gestion des journaux d’application | États-Unis |
OpenAI | OpenAI, Inc., 3180 18th Street, San Francisco, CA, USA | Fournisseur de modèle de base | États-Unis |
Twilio | Twilio Inc., 101 Spear Street, Fifth Floor, San Francisco, CA, USA | Service d’envoi de SMS | États-Unis |
SendGrid | SendGrid, Inc., 801 California Street, Suite 500, Denver, CO 80202, USA | Service d’envoi de courriels | États-Unis |
Google Cloud Platform | Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | Fournisseur de messagerie infonuagique pour notifications push et fournisseur de calcul pour les exécuteurs GitHub | États-Unis |
Drata | Drata Inc., 4660 La Jolla Village Drive, San Diego, CA, USA | Plateforme de gestion de la conformité | États-Unis |
![](data:image/svg+xml,<svg display="block" role="presentation" viewBox="0 0 183 100" xmlns="http://www.w3.org/2000/svg"><path d="M 152.452 37.349 C 136.442 20.842 115.98 6.325 93.049 1.892 C 86.081 0.534 76.773 0.163 71.407 5.736 C 64.565 13.035 70.499 30.487 81.481 29.6 C 87.433 29.072 89.698 22.162 87.042 17.439 C 85.631 14.617 83.027 12.629 80.168 11.079 C 56.02 -2.764 23.38 -4.862 0 11.844" fill="transparent" height="37.34868528749147px" id="rGpqSnR8J" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(3.219 19.212)" width="152.45224485148515px"/><path d="M 0 11.619 C 7.071 11.39 33.491 21.738 40.35 21.268 C 38.499 18.19 37.116 14.915 35.507 11.625 C 33.7 7.867 32.587 3.926 31.702 0" fill="transparent" height="21.28391189647101px" id="I9fuJaf7q" stroke-dasharray="" stroke-linecap="round" stroke-linejoin="round" stroke-width="4.97" stroke="rgb(0, 0, 0)" transform="translate(139.727 55.754)" width="40.34950693069311px"/></svg>)
