Légal - Accord de traitement des données

1. Définition

" contrôleur de données ", " personne concernée ", " données personnelles ", " traitement " (" traiter " et " traité " devant être interprétés en conséquence), " processeur de données " et " mesures techniques et organisationnelles appropriées " ont la signification qui leur est donnée dans la Législation sur la protection des données. Aux fins du présent Accord sur le traitement des données, les " données à caractère personnel " sont uniquement les données à caractère personnel traitées dans le cadre de l'Accord entre les Parties.

" Législation sur la protection des données " désigne l'ensemble de la législation et des exigences réglementaires de l'Union européenne (UE) ou du Royaume-Uni (RU) en vigueur de temps à autre concernant l'utilisation des données à caractère personnel et la confidentialité des communications électroniques, y compris, sans s'y limiter : (a) la loi sur la protection des données de 2018 et le GDPR du Royaume-Uni, ou toute législation qui leur succède ; (b) le GDPR de l'UE ou toute législation qui lui succède ; et (c) tout accord entre la Commission européenne ou le Royaume-Uni (RU) et un pays tiers concernant le transfert légal de données à caractère personnel de l'Espace économique européen (EEE) vers ce pays tiers.

Le terme "GDPR" désigne le GDPR européen et le GDPR britannique.

" EU GDPR " désigne le règlement général sur la protection des données ((UE) 2016/679).

" Destinataires autorisés " désigne les parties à l'accord et leurs sociétés affiliées, ainsi que le personnel respectif de chaque partie et de ses sociétés affiliées et tout tiers engagé pour exécuter les obligations de la partie dans le cadre de l'accord (comme autorisé par l'accord).

" Données à caractère personnel partagées " désigne les données à caractère personnel devant être partagées entre les Parties en vertu de l'Accord sur une base de contrôleur de données à contrôleur de données. Les Données à caractère personnel partagées sont limitées aux catégories suivantes d'informations pertinentes pour les catégories suivantes de personnes concernées, selon le cas :

(a) le personnel des parties : noms, numéros de téléphone et adresses électroniques

(b) Les clients du client : noms, adresses, numéros de téléphone et adresses électroniques.

" Pays tiers " désigne un pays que la Commission européenne ou le gouvernement britannique (selon le cas) n'a pas désigné comme un pays offrant des protections adéquates en matière de Données à caractère personnel.

" UK GDPR " désigne le GDPR de l'UE tel qu'il fait partie du droit interne du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) (y compris tel qu'amendé ou modifié ultérieurement par les lois du Royaume-Uni ou d'une partie du Royaume-Uni de temps à autre)

2. Traitement de Contrôleur à Contrôleur 

2.1 Applicabilité. La présente section 2 s'applique lorsque les parties partagent des données à caractère personnel soumises à la législation sur la protection des données sur une base de contrôleur de données à contrôleur de données.

2.2 Chaque Partie reconnaît qu'une Partie (le " Divulgateur des données ") peut divulguer à l'autre Partie (le " Destinataire des données ") des Données personnelles partagées collectées par le Divulgateur des données. Chaque Partie doit :

2.2.1 s'assurer qu'il dispose de tous les consentements et avis nécessaires pour permettre le transfert légal des données personnelles partagées au destinataire des
données ;

2.2.2 donner des informations complètes à toute personne dont les Données Personnelles Partagées peuvent être traitées en vertu de l'Accord sur la nature de ce traitement. Cela inclut la notification que, à la fin de l'Accord, les Données personnelles partagées les concernant peuvent être conservées par ou, selon le cas, transférées à un ou plusieurs des Destinataires des données, leurs successeurs et ayants droit ;

2.2.3 traiter les Données personnelles partagées uniquement dans le but de s'acquitter de ses obligations ou d'exercer ses droits en vertu de l'Accord ;

2.2.4 ne pas divulguer ou permettre l'accès aux Données Personnelles Partagées à toute personne autre que les Destinataires
Autorisés ;

2.2.5 s'assurer que tous les Destinataires autorisés sont soumis à des obligations contractuelles écrites concernant les Données personnelles partagées (y compris des obligations de confidentialité) qui ne sont pas moins exigeantes que celles imposées par le présent Accord de
traitement des données ;

2.2.6 s'assurer qu'il a mis en place des mesures techniques et organisationnelles appropriées, examinées et approuvées par l'autre partie, pour se protéger contre le traitement non autorisé ou illégal des Données Personnelles Partagées et contre la perte ou la destruction accidentelle des Données Personnelles Partagées, ou contre les dommages causés à celles-ci ; et

2.2.7 ne pas transférer les données personnelles partagées reçues du fournisseur de données vers un pays tiers, sauf s'il s'assure que des garanties appropriées sont en place conformément à la législation sur la protection des données.

2.3 Chaque partie doit se conformer à la législation sur la protection des données et convient que toute violation substantielle de la législation sur la protection des données, si elle n'est pas corrigée dans les trente (30) jours suivant une notification écrite de l'autre partie, donnera à l'autre partie des raisons de résilier le contrat avec effet immédiat.

2.4 Chaque partie doit aider l'autre à se conformer à toutes les exigences applicables de la législation sur la protection des données. En particulier, chaque partie doit

2.4.1 consulter l'autre partie au sujet de tout avis donné aux personnes concernées en rapport avec les données personnelles partagées ;

2.4.2 informer rapidement l'autre Partie de la réception de toute demande d'accès d'une personne concernée ou de toute demande d'effacement ou de rectification de Données Personnelles Partagées émanant d'une personne concernée et fournir à l'autre Partie une assistance raisonnable pour se conformer à toute demande d'
accès d'une personne concernée ;

2.4.3 ne pas divulguer ou communiquer des Données Personnelles Partagées en réponse à une demande d'accès d'une personne concernée sans avoir préalablement consulté l'autre Partie ;

2.4.4 aider l'autre partie, aux frais de l'autre partie, à répondre à toute demande d'une personne concernée et à assurer le respect de ses obligations en vertu de la législation sur la protection des données en ce qui concerne la sécurité, les notifications de violation, les évaluations d'impact et les consultations avec les autorités de contrôle ou les régulateurs ;

2.4.5 notifier à l'autre partie, sans délai excessif, toute violation de la législation sur la protection des données en rapport avec les données
personnelles partagées ;

2.4.6 à la demande écrite du Divulgateur des données, supprimer ou renvoyer les données personnelles partagées et les copies de celles-ci au Divulgateur des données à la fin de l'accord, à moins que la loi ne l'oblige à conserver les données
personnelles partagées ;

2.4.7 utiliser une technologie compatible pour le traitement des données personnelles partagées afin de garantir qu'il n'y a pas de manque d'exactitude résultant des transferts de
données personnelles ;

2.4.8 tenir des registres et des informations complets et exacts pour démontrer sa conformité avec le présent article 12 et fournir ces registres et informations à l'autre partie sur demande raisonnable afin de prouver cette conformité ; et

2.4.9 fournir à l'autre partie les coordonnées d'au moins un employé en tant que point de contact et responsable de toutes les questions découlant de la législation sur la protection des données, y compris la formation conjointe du personnel concerné, les procédures à suivre en cas de violation de la sécurité des données et l'examen régulier du respect par les parties de la législation sur la protection des données.

2.5 Sous réserve des limitations et exclusions de responsabilité énoncées dans l'accord, chaque partie indemnisera et maintiendra l'autre partie indemnisée contre toute responsabilité, amende, réclamation, demande, dépense et coût (y compris les frais juridiques raisonnables) encourus par l'autre partie découlant de ou en relation avec toute réclamation faite ou introduite par une personne concernée ou une autre personne morale en ce qui concerne toute perte, tout dommage ou toute détresse qui leur ont été causés à la suite de toute violation par l'autre partie de la législation sur la protection des données par cette partie, ses employés ou ses agents.

3. Traitement du Contrôleur au Processeur ou du Processeur au Processeur

3.1 Applicabilité. La présente section 3 s'applique lorsque Bravenn traite des données personnelles soumises à la législation sur la protection des données pour le compte du Client.

3.2 Champ d'application et statut des parties.

3.2.1 Bravenn agit en tant que processeur de données pour le compte du Client en ce qui concerne toutes les données personnelles qui sont traitées par Bravenn pour le compte du Client en vertu du Contrat, dans la mesure où elles sont liées au(x) Produit(s) (y compris en ce qui concerne tous les Services d'assistance à exécuter par Bravenn en relation avec le(s) Produit(s) en vertu du Contrat) (les "Données personnelles du Client"). Le Client peut agir en tant que contrôleur de données ou processeur de données en ce qui concerne les Données personnelles du Client. La présente section 3 définit les obligations de traitement des données de Bravenn envers le Client en ce qui concerne les Données personnelles du Client. Les détails des activités de traitement applicables (y compris les catégories de données personnelles et les personnes concernées) sont décrits dans l'Annexe 1 du présent Accord de traitement des données.

3.2.2 Le Client garantit, déclare et s'engage envers Bravenn que :

(a) il se conformera à tout moment à la législation sur la protection des données ; et

(b) tous les consentements et avis nécessaires sont en place pour permettre le transfert légal (y compris les transferts internationaux, le cas échéant) des Données personnelles du Client à Bravenn pour la durée et les objectifs de l'Accord (y compris, sans limitation, les motifs légaux de traitement).

3.3 Obligations de Bravenn. Lorsque Bravenn traite les Données personnelles du Client en vertu ou dans le cadre de l'exécution de ses obligations en vertu de l'Accord, Bravenn doit :

3.3.1 traiter les Données personnelles du Client uniquement conformément au Contrat et aux autres instructions mutuellement convenues et documentées du Client (y compris en ce qui concerne tout transfert international de Données personnelles du Client effectué conformément à la Section 3.4) ;

3.3.2 mettre en œuvre les mesures techniques et organisationnelles appropriées nécessaires pour répondre aux exigences de l'article 32 du GDPR ;

3.3.3 s'assurer que le personnel de Bravenn autorisé à traiter les Données Personnelles du Client est soumis à des obligations de confidentialité appropriées ;

3.3.4 être généralement autorisé à engager des sous-traitants pour traiter les Données Personnelles du Client uniquement dans la mesure où cela est nécessaire pour que Bravenn fournisse les Produits et Services conformément au Contrat. Bravenn doit, par rapport à tout sous-traitant secondaire nommé conformément à la présente section 3.3.4 :

(a) s'assurer que des exigences équivalentes à celles énoncées dans la présente section 3.3 sont imposées au sous-traitant ultérieur par le biais d'un accord écrit ;

(b) reste responsable envers le client de l'exécution des obligations du sous-traitant ultérieur ; et

(c) notifier au client toute modification de ces sous-processeurs ;

3.3.5 en tenant compte de la nature du traitement et des informations dont dispose Bravenn, aider raisonnablement le client à remplir ses obligations en vertu de la législation sur la protection des données :

(a) pour répondre aux demandes des personnes concernées exerçant leurs droits ; et

(b) en ce qui concerne la sécurité, les évaluations d'impact sur la protection des données, les notifications de violation des données et les consultations avec les autorités de contrôle de la protection des données ;

3.3.6 sauf si la loi l'exige, au choix du Client, supprimer ou restituer au Client
les Données Personnelles du Client en possession de Bravenn à l'expiration ou à la résiliation du Contrat ;

3.3.7 mettre à la disposition du Client les informations que le Client demande raisonnablement et que Bravenn est raisonnablement en mesure de fournir, et permettre et contribuer à de tels audits, y compris les inspections, menées par le Client (ou des auditeurs agréés autres que les concurrents de Bravenn), comme cela est nécessaire pour démontrer la conformité de Bravenn avec ses obligations énoncées dans cette Section. Le Client donnera un préavis raisonnable de tout audit, s'assurera que tout audit ne perturbe pas les opérations commerciales de Bravenn, s'assurera que les auditeurs convenus (le cas échéant) sont liés par des obligations de confidentialité appropriées (de l'avis de Bravenn) pour protéger les informations confidentielles de Bravenn, et sera entièrement responsable de tous les coûts associés (y compris ceux de Bravenn) ; et

3.3.8 notifier le client sans délai excessif après avoir pris connaissance de toute violation de données personnelles impliquant des données personnelles du client.

Bravenn a le droit de facturer au Client, sur la base de la carte tarifaire de Bravenn alors en vigueur et conformément à sa politique de dépenses, tout effort ou coût de Bravenn en vertu des sections 3.3.5 à 3.3.8 (inclus).

3.4 Transferts internationaux. Bravenn peut transférer les Données personnelles du client vers tout pays ou territoire (y compris les Pays tiers) en dehors de l'EEE ou du Royaume-Uni ou de l'EEE vers le Royaume-Uni, à condition que Bravenn s'assure que toute donnée personnelle du client faisant l'objet de tels transferts bénéficie d'un niveau de protection adéquat, y compris l'utilisation de :

3.4.1 des mesures techniques et organisationnelles appropriées ; et

3.4.2 les garanties ou dérogations appropriées prévues par la législation sur la protection des données.

3.5 Le cas échéant, les Parties exécuteront les clauses contractuelles types approuvées appropriées pour les transferts de Données Personnelles du Client de l'EEE ou du Royaume-Uni vers des Pays Tiers (" Clauses Contractuelles Types ") et, le cas échéant, le Client veillera à ce que l'entité responsable du traitement des données concernée fasse de même. Le Client accepte que si, conformément aux Clauses Contractuelles Standard, Bravenn est obligé de fournir une copie de tout accord de sous-traitance secondaire applicable, cet accord peut avoir toutes les informations commerciales, ou les clauses sans rapport avec les Clauses Contractuelles Standard, supprimées par Bravenn au préalable et que ces copies seront fournies par Bravenn d'une manière qui sera déterminée à sa discrétion et uniquement sur demande du Client.

3.6 Indemnisation.

3.6.1 Sous réserve des limitations et exclusions de responsabilité énoncées dans l'Accord, chaque partie doit indemniser et maintenir l'autre partie indemne de toute responsabilité, amende, réclamation, demande, dépense et coût (y compris les frais juridiques raisonnables) encourus par l'autre partie et découlant de ou en relation avec :

(a) toute violation par l'autre partie (y compris dans le cas du Client, par toute société affiliée listée et tout autre contrôleur des données personnelles du Client) de ses obligations en vertu de la législation sur la protection des données ; et/ou

(b) lorsque Bravenn est la partie indemnisée, Bravenn agissant conformément à toute instruction, politique ou procédure du Client ou de toute société affiliée répertoriée.

3.6.2 Sous réserve des limitations et exclusions de responsabilité énoncées dans le Contrat, le Client défendra et indemnisera, à ses propres frais, Bravenn contre toute réclamation de tiers à l'encontre de Bravenn dans la mesure où elle découle de la violation par le Client de la Section 3.2.2(b) ou est liée à celle-ci.

4. Nous Contracter

Si vous avez des questions sur cette politique de confidentialité ou souhaitez exercer l'un de vos droits, contactez l'équipe du délégué à la protection des données. Nous tenterons de résoudre toute plainte concernant l'utilisation de vos informations personnelles conformément à la présente politique de confidentialité.

​

Vous pouvez également nous contacter par courrier à l'adresse :

• 28 rue de l'Amiral Hamelin, 75016 PARIS, FRANCE .