Cet Accord de Traitement des Données (« Accord ») fait partie du Contrat de Services (« Accord Principal ») entre TeleRetro (la « Société ») et le client TeleRetro identifié sur le document de commande TeleRetro applicable pour les services TeleRetro (le « Processeur de Données ») (ensemble les « Parties »).
ATTENDU QUE
(A) La Société agit en tant que Contrôleur de Données.
(B) La Société souhaite sous-traiter certains Services, qui impliquent le traitement de données personnelles, au Processeur de Données.
(C) Les Parties cherchent à mettre en œuvre un accord de traitement des données qui respecte les exigences du cadre juridique actuel en matière de traitement des données et du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/EC (Règlement Général sur la Protection des Données).
(D) Les Parties souhaitent établir leurs droits et obligations.
IL EST CONVENU CE QUI SUIT :
1. Définitions et Interprétation
1.1 Sauf indication contraire, les termes et expressions capitalisés utilisés dans cet Accord auront la signification suivante :
1.1.1 « Accord » désigne cet Accord de Traitement des Données et tous les Annexes ;
1.1.2 « Données Personnelles de la Société » désigne toute Donnée Personnelle traitée par un Processeur Contracté pour le compte de la Société en vertu ou en relation avec l'Accord Principal ;
1.1.3 « Processeur Contracté » désigne un Sous-processeur ;
1.1.4 « Lois sur la Protection des Données » désigne les Lois européennes sur la Protection des Données et, dans la mesure applicable, les lois de protection des données ou de la vie privée de tout autre pays ;
1.1.5 « EEE » désigne l’Espace Économique Européen ;
1.1.6 « Lois européennes sur la Protection des Données » désigne la Directive UE 95/46/EC, telle que transposée dans la législation nationale de chaque État Membre et telle qu'amendée, remplacée ou abrogée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;
1.1.7 « RGPD » désigne le Règlement Général sur la Protection des Données de l'UE 2016/679 ;
1.1.8 « Transfert de Données » signifie :
1.1.8.1 un transfert de Données Personnelles de la Société de la Société à un Processeur Contracté ; ou
1.1.8.2 un transfert ultérieur de Données Personnelles de la Société d'un Processeur Contracté à un Sous-processeur Contracté, ou entre deux établissements d'un Processeur Contracté, dans chaque cas, lorsque ce transfert serait interdit par les Lois sur la Protection des Données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des Lois sur la Protection des Données) ;
1.1.9 « Services » désigne les services de rétrospective agile en ligne que la Société fournit.
1.1.10 « Sous-processeur » désigne toute personne nommée par ou pour le compte du Processeur pour traiter des Données Personnelles pour le compte de la Société en relation avec l'Accord.
1.2 Les termes, « Commission », « Contrôleur », « Sujet des Données », « État Membre », « Données Personnelles », « Violation de Données Personnelles », « Traitement » et « Autorité de Contrôle » auront la même signification que dans le RGPD, et leurs termes cognatifs seront interprétés en conséquence.
2. Traitement des Données Personnelles de la Société
2.1 Le Processeur doit :
2.1.1 se conformer à toutes les Lois sur la Protection des Données applicables dans le Traitement des Données Personnelles de la Société ; et
2.1.2 ne pas traiter les Données Personnelles de la Société autrement que sur les instructions documentées pertinentes de la Société.
2.2 La Société donne instruction au Processeur de traiter les Données Personnelles de la Société.
3. Personnel du Processeur
Le Processeur prendra des mesures raisonnables pour assurer la fiabilité de tout employé, agent ou entrepreneur de tout Processeur Contracté qui peut avoir accès aux Données Personnelles de la Société, en s'assurant dans chaque cas que l'accès est strictement limité à ces individus qui ont besoin de connaître / avoir accès aux Données Personnelles pertinentes de la Société, strictement nécessaire aux fins de l'Accord Principal, et pour se conformer aux Lois Applicables dans le contexte des devoirs de cet individu au Processeur Contracté, en s'assurant que tous ces individus sont soumis à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.
4. Sécurité
4.1 Compte tenu de l'état de l'art, des coûts d'implémentation et de la nature, du cadre, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Processeur doit, en relation avec les Données Personnelles de la Société, mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures mentionnées à l'article 32(1) du RGPD.
4.2 Dans l'évaluation du niveau de sécurité approprié, le Processeur doit prendre particulièrement en compte les risques présentés par le Traitement, en particulier d'une Violation de Données Personnelles.
5. Sous-traitement
5.1 Le Processeur ne doit pas nommer (ou divulguer des Données Personnelles de la Société à) un Sous-processeur sauf si cela est requis ou autorisé par la Société.
6. Droits des Sujets des Données
6.1 Compte tenu de la nature du Traitement, le Processeur doit aider la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l'exécution des obligations de la Société, telles que raisonnablement comprises par la Société, pour répondre aux demandes d'exercice des droits des Sujets des Données en vertu des Lois sur la Protection des Données.
6.2 Le Processeur doit :
6.2.1 notifier rapidement la Société s'il reçoit une demande d'un Sujet des Données en vertu de toute Loi sur la Protection des Données concernant les Données Personnelles de la Société ; et
6.2.2 s'assurer qu'il ne répond pas à cette demande sauf sur les instructions documentées de la Société ou tel que requis par les Lois Applicables auxquelles le Processeur est soumis, dans quel cas le Processeur doit dans la mesure permise par les Lois Applicables informer la Société de cette exigence légale avant que le Processeur Contracté ne réponde à la demande.
7. Violation de Données Personnelles
7.1 Le Processeur doit notifier la Société sans retard indu dès que le Processeur a connaissance d'une Violation de Données Personnelles affectant les Données Personnelles de la Société, fournissant à la Société suffisamment d'informations pour permettre à la Société de répondre à toute obligation de rapporter ou d'informer les Sujets des Données de la Violation de Données Personnelles en vertu des Lois sur la Protection des Données.
7.2 Le Processeur doit coopérer avec la Société et prendre des mesures commerciales raisonnables telles que dirigées par la Société pour aider à l'investigation, à l'atténuation et à la remédiation de chaque Violation de Données Personnelles de ce type.
8. Évaluation d'Impact sur la Protection des Données et Consultation Préalable
8.1 Le Processeur doit fournir une assistance raisonnable à la Société avec toute évaluation d'impact sur la protection des données, et consultations préalables avec les Autorités de Supervision ou d'autres autorités compétentes de protection des données, que la Société juge raisonnablement nécessaires par l'article 35 ou 36 du RGPD ou dispositions équivalentes de toute autre Loi sur la Protection des Données, dans chaque cas uniquement en relation avec le Traitement des Données Personnelles de la Société par, et en tenant compte de la nature du Traitement et des informations disponibles pour, les Processeurs Contractés.
9. Suppression ou retour des Données Personnelles de la Société
9.1 Sous réserve de cette section 9, le Processeur doit rapidement et en tout état de cause dans les 10 jours ouvrables à compter de la date de cessation de tout Service impliquant le Traitement des Données Personnelles de la Société (la « Date de Cessation »), supprimer et faire supprimer toutes les copies de ces Données Personnelles de la Société.
10. Droits d'audit
10.1 Sous réserve de cette section 10, le Processeur doit mettre à disposition de la Société sur demande toutes les informations nécessaires pour démontrer la conformité avec cet Accord, et doit permettre et contribuer aux audits, y compris aux inspections, par la Société ou un auditeur mandaté par la Société en relation avec le Traitement des Données Personnelles de la Société par les Processeurs Contractés.
10.2 Les droits d'information et d'audit de la Société ne surgissent en vertu de la section 10.1 que dans la mesure où l'Accord ne leur donne pas déjà des droits d'information et d'audit répondant aux exigences pertinentes de la Loi sur la Protection des Données.
11. Transfert de Données
11.1 Le Processeur ne peut pas transférer ou autoriser le transfert de Données vers des pays hors de l'UE et/ou de l'Espace Économique Européen (EEE) sans le consentement écrit préalable de la Société. Si des données personnelles traitées en vertu de cet Accord sont transférées d'un pays de l'Espace Économique Européen vers un pays en dehors de l'Espace Économique Européen, les Parties doivent s'assurer que les données personnelles sont adéquatement protégées. Pour y parvenir, les Parties doivent, sauf accord contraire, s'appuyer sur les clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.
12. Dispositions Générales
12.1 Confidentialité. Chaque Partie doit garder cet Accord et les informations qu'elle reçoit sur l'autre Partie et son entreprise en relation avec cet Accord (« Informations Confidentielles ») confidentielles et ne doit pas utiliser ou divulguer ces Informations Confidentielles sans le consentement écrit préalable de l'autre Partie sauf dans la mesure où : (a) la divulgation est requise par la loi ; (b) les informations pertinentes sont déjà dans le domaine public.
12.2 Avis. Tous les avis et communications donnés en vertu de cet Accord doivent être écrits et seront livrés personnellement, envoyés par courrier ou envoyés par e-mail à l'adresse ou à l'adresse e-mail indiquée dans l'en-tête de cet Accord à une autre adresse comme notifié de temps à autre par les Parties changeant d'adresse.
13. Droit Applicable et Juridiction
13.1 Cet Accord de Traitement des Données est régi par et interprété conformément aux lois et à la juridiction telles qu'énumérées ci-dessous :
| Pays ou région | Choix de la loi | Juridiction |
|---|---|---|
| Tous les autres pays et régions où TeleRetro est disponible | Lois de l'Angleterre et du Pays de Galles | Exclusive |
| États-Unis | État de Californie, États-Unis | Exclusive ; Cours d’État et Fédérales du Nord de la Californie, Californie |
13.2 Tout différend découlant en lien avec cet Accord de Traitement des Données, que les Parties ne seront pas capables de résoudre à l'amiable, sera soumis à la juridiction exclusive des tribunaux tels que spécifiés dans le tableau ci-dessus, en fonction du pays ou de la région du Client.
Expérimentez une meilleure rétro
Créez une rétro en quelques secondes et voyez par vous-même.