GDPR (General Data Protection Regulation)


Annexe sur le traitement des données entre acalby.com et le client

Cette Annexe sur le traitement des données ("DPA") fait partie de l'Accord de services conclu entre les clients selon l'accord trouvé sur le site Web de acalby.com ou dans d'autres accords écrits ou électroniques entre une entité de acalby.com et le client, résultant en un service d'accès sous licence à acalby.com ou à d'autres services (appelé "services" ou défini autrement dans l'accord applicable), pour refléter l'accord entre les parties concernant le traitement des données personnelles.

En signant l'Accord, le client entre dans ce DPA en son propre nom et pour son propre compte avec l'entité actuelle acalby.com avec laquelle l'accord initial a été conclu. Le client agit en conformité avec les lois et règlements sur la protection des données applicables, pour son propre compte et pour le compte de ses filiales autorisées, dans la mesure où acalby.com traite des données personnelles pour lesquelles ces filiales qualifiées sont considérées comme responsables du traitement. Pour ce DPA, le terme "client" s'applique uniquement au client et à ses filiales autorisées. Tous les termes en majuscules qui ne sont pas définis ici ont la signification donnée dans l'accord.

Lors de la prestation des services au client selon l'accord, acalby.com peut traiter des données personnelles au nom du client et les parties s'engagent à respecter les dispositions suivantes concernant toutes données personnelles, chacune agissant de manière raisonnable et de bonne foi.

COMMENT RÉALISER CE DPA:

  1. Ce DPA est composé de deux parties : la partie principale du DPA et l'Annexe A.
  2. Pour compléter ce DPA, le client doit remplir les informations dans la section de signature et signer à la page 6.
  3. Validez le DPA signé sous forme de DPA depuis acalby.com.

Une fois que le DPA rempli a été reçu par acalby.com via le formulaire DPA, ce DPA devient juridiquement contraignant.

COMMENT CE DPA S'APPLIQUE : Si l'entité cliente qui signe ce DPA est partie à l'accord, ce DPA est un ajout à l'accord et fait partie de l'accord. Dans ce cas, l'entité acalby.com qui est partie à l'accord est également partie à ce DPA. Si l'entité cliente qui signe ce DPA a signé un bon de commande avec acalby.com ou sa société affiliée selon l'accord, mais n'est pas elle-même partie à l'accord, ce DPA est un ajout à ce bon de commande et aux bons de commande renouvelés applicables, et l'entité acalby.com qui est partie à ce bon de commande est également partie à ce DPA.

Si l'entité cliente qui signe ce DPA n'est pas partie au bon de commande ni à l'accord, ce DPA n'est pas valide et n'a pas de force juridique. Une telle entité devrait demander à l'entité cliente qui est partie à l'accord de signer ce DPA.

Si l'entité cliente qui signe le DPA n'est pas directement partie à l'accord avec acalby.com, mais est un client indirect par l'intermédiaire d'un revendeur autorisé de services acalby.com, ce DPA n'est pas valide et n'a pas de force juridique. Une telle entité devrait contacter le revendeur autorisé pour déterminer s'il y a des changements à apporter à son accord avec le revendeur.

Ce DPA remplace tout droit comparable ou supplémentaire concernant le traitement des données client contenus dans l'accord client (y compris tout avenant existant relatif au traitement des données de l'accord).

Dans ce texte du DPA (Addendum au traitement des données), les conditions et les engagements liés au traitement des données personnelles entre acalby.com et le client sont définis. Il détaille ce que les deux parties acceptent de faire concernant le traitement des données personnelles du client par acalby.com, ainsi que la manière de garantir la conformité avec les lois de protection des données applicables. Il décrit également les procédures d'audit de sécurité des données, la gestion des incidents, les droits des sujets des données et d'autres aspects importants liés au traitement des données personnelles.

C'est un document généralement ajouté comme partie d'un contrat ou d'un accord entre acalby.com et le client, pour garantir que les deux parties respectent certaines normes et procédures concernant la protection des données personnelles.

TERMES DU TRAITEMENT DES DONNÉES

  1. DÉFINITIONS

"\Société affiliée" désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l'entité cible. "\Contrôle" dans ce contexte signifie une participation directe ou indirecte de plus de 50 % des droits de vote de l'entité.

"Responsable du traitement" désigne une entité qui détermine les finalités et les moyens de traitement des données personnelles.

"Données du client" signifie ce qui est défini dans l'accord comme "Données du client" ou "Vos données".

"Société affiliée autorisée" désigne toute société du groupe du client (a) soumise aux lois de protection des données pertinentes de l'Union européenne, de l'Espace économique européen et/ou de leurs États membres, de la Suisse et/ou du Royaume-Uni, et (b) autorisée à utiliser les services conformément à l'accord entre le client et acalby.com, mais qui n'a pas établi ses propres bons de commande et n'est pas le "client" au sens de l'accord, et (c) dans la mesure où acalby.com traite des données personnelles pour lesquelles ces sociétés affiliées sont qualifiées de responsables du traitement.

"Législation et règlements sur la protection des données" désigne toutes les lois et règlements, y compris ceux de l'Union européenne, de l'Espace économique européen et de leurs États membres, de la Suisse et du Royaume-Uni, qui s'appliquent au traitement des données personnelles conformément à l'accord.

"Personne concernée" désigne une personne identifiée ou identifiable à laquelle se rapportent des données personnelles.

"RGPD" signifie le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données personnelles et sur la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

"Données personnelles" signifie toute information relative à une personne identifiée ou identifiable, à condition que ces informations soient protégées comme des données personnelles conformément aux lois de protection des données applicables et envoyées comme données du client.

"Traitement" désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

"Sous-traitant" désigne une entité qui traite des données personnelles pour le compte du responsable du traitement.

"Politiques de sécurité" désigne les Politiques de sécurité d'acalby.com, comme mises à jour de temps à autre et disponibles sur le site Web d'acalby.com (https://app.acalby.com/legacy/security).

"Groupe acalby.com" désigne acalby.com et ses entreprises affiliées participant au traitement des données personnelles, comme indiqué sur le site Web d'acalby.com (https://app.acalby.com/legacy/sub-processors).

"Sous-traitant" désigne toute entité qu'acalby.com ou un membre du Groupe acalby.com engage pour traiter des données personnelles dans le cadre des services.

"Autorité de contrôle" signifie une autorité publique indépendante établie par un État membre de l’UE conformément au RGPD.

TRAITEMENT DES DONNÉES PERSONNELLES

  1. TRAITEMENT DES DONNÉES PERSONNELLES

2.1 Rôles des parties. Les parties reconnaissent et acceptent que, pour le traitement des données personnelles, le client est le responsable du traitement, acalby.com est le sous-traitant, et acalby.com ou les membres du groupe acalby.com engageront des sous-traitants conformément aux exigences de la section 5 "Sous-traitants" ci-dessous. 2.2 Traitement des données personnelles du client. Le client s'engage à traiter les données personnelles conformément aux lois et règlements sur la protection des données lors de l'utilisation des services. Pour clarifier, les instructions du client pour le traitement des données personnelles doivent être conformes aux lois sur la protection des données. Le client est responsable de l'exactitude, de la qualité et de la légalité des données personnelles et de la manière dont elles ont été obtenues. 2.3 Traitement des données personnelles par acalby.com. En tant que sous-traitant des données personnelles du client, acalby.com traite les données personnelles comme des informations confidentielles et ne les traitera que conformément aux instructions écrites du client pour les objectifs suivants : (i) traitement conformément à l'accord et au bon de commande applicable ; (ii) traitement initié par des utilisateurs autorisés dans le cadre de leur utilisation des services ; et (iii) traitement pour satisfaire des instructions documentées supplémentaires fournies par le client (par exemple, par e-mail ou par demande de support client), à condition que ces instructions soient conformes aux conditions de l'accord (individuellement et collectivement, "But"). acalby.com agit au nom et selon les instructions du client pour accomplir l'objectif. 2.4 Détails du traitement. L'objet du traitement des données personnelles par acalby.com est la prestation des services conformément à l'accord. La durée du traitement, la nature et le but du traitement, les types de données personnelles et les catégories de personnes concernées traitées conformément à ce DPA sont détaillés dans l'annexe A (Description des activités de traitement) de ce DPA.

  1. DROITS DES PERSONNES CONCERNÉES

3.1 Demande de la personne concernée. acalby.com ne traitera aucune demande émanant de la personne concernée pour le traitement de ses données personnelles ou si la personne concernée n\’accepte pas le traitement de ces données ("Demande de la personne concernée"). acalby.com ne répondra pas à une demande de la personne concernée ni ne la transmettra au client. Le client, dans la mesure où il a la capacité de traiter une demande de la personne concernée dans le cadre de son utilisation des services, est responsable de traiter ces demandes des personnes concernées et d'informer la personne concernée que le traitement est effectué par le côté client. Compte tenu de la nature du traitement, acalby.com a le droit de décider, sur demande écrite du client, s'il convient ou non d'aider à traiter les demandes de la personne concernée. Ces demandes du client ne seront traitées que si elles sont légalement autorisées et à condition que ces demandes soient conformes aux lois sur la protection des données. Le client sera responsable de tous les coûts associés à cette aide fournie par acalby.com.

  1. EMPLOYÉS D'acalby.com

4.1 Confidentialité. acalby.com s'engage à s'assurer que son personnel impliqué dans le traitement des données personnelles est informé de la nature confidentielle des données personnelles, reçoit une formation appropriée sur ses obligations, et signe des accords de confidentialité écrits. acalby.com garantira que ces obligations de confidentialité persistent même après la fin de l’engagement du personnel. 4.2 Fiabilité. acalby.com prendra des mesures raisonnables pour s'assurer de la fiabilité de tout personnel d'acalby.com impliqué dans le traitement des données personnelles. 4.3 Limitation de l'accès. acalby.com garantira que l'accès aux données personnelles soit limité au personnel chargé de fournir des services conformément à l'accord.

  1. SOUS-SUJETS

5.1 Désignation des sous-sujets. Le client reconnaît et accepte que (a) acalby.com et ses entreprises affiliées peuvent être engagés comme sous-traitants ; et (b) acalby.com et ses entreprises affiliées peuvent engager des tiers comme sous-traitants pour fournir des services. acalby.com ou l'entreprise affiliée acalby.com ont conclu un accord écrit avec chaque sous-traitant contenant des obligations en matière de protection des données qui sont au moins aussi protectrices que celles de cet accord, en ce qui concerne la protection des données du client, dans la mesure où cela s'applique à la nature des services fournis par ce sous-traitant. 5.2 Liste des sous-traitants actuels et notification des nouveaux sous-sujets. La liste actuelle des sous-traitants pour les services, y compris l'identité de ces sous-traitants et leurs pays d'origine, est disponible sur le site Web d'acalby.com. acalby.com informera le client des nouveaux sous-traitants par le biais de notifications dans son logiciel avant d'autoriser ces nouveaux sous-traitants à traiter des données personnelles dans le cadre de la fourniture des services pertinents. 5.3 Droit de s'opposer aux nouveaux sous-sujets. Le client peut s'opposer à l'utilisation d'un nouveau sous-traitant en envoyant un avis écrit à acalby.com dans les dix (10) jours ouvrables suivant la réception de la notification par acalby.com conformément au mécanisme établi dans la section 5.2. Cet avis doit expliquer des raisons valables pour l'objection. En cas d'objection du client à un nouveau sous-traitant, comme permis par la phrase précédente, acalby.com fera des efforts raisonnables pour fournir une modification des services au client ou recommander un ajustement commercialement raisonnable de la configuration ou de l'utilisation des services pour éviter le traitement des données personnelles de la personne concernée par ce nouveau sous-traitant.

  1. SÉCURITÉ

6.1 Mesures de protection des données des clients. acalby.com maintiendra des mesures techniques et organisationnelles appropriées pour protéger la sécurité (y compris la protection contre le traitement non autorisé ou illégal, contre la perte accidentelle ou illégale, les changements ou les dommages, les fuites ou l'accès non autorisés aux données des clients), la confidentialité et l'intégrité des données des clients, comme indiqué dans l'annexe des mesures de sécurité. acalby.com surveillera régulièrement le respect de ces mesures.

6.2 Mises à jour des mesures de sécurité. Le client est responsable de l'examen des informations fournies par acalby.com concernant la sécurité des données et de la décision indépendante si les services répondent aux exigences du client et aux obligations légales conformément aux lois sur la protection des données. Le client reconnaît que les pratiques de sécurité définies dans l'annexe des mesures de sécurité sont sujettes aux progrès technologiques et au développement, et qu'acalby.com peut régulièrement mettre à jour ou modifier les mesures de sécurité, à condition que ces mises à jour et modifications ne dégradent pas la sécurité globale des services achetés par le client.

6.3 Responsabilités du client. Nonobstant ce qui précède, le client accepte que, sauf disposition contraire dans cet accord, il est responsable de l'utilisation sécurisée des services, y compris de la protection des identifiants de compte, de la sécurité des données des clients lors du transfert vers et depuis les services, et de la prise de toutes les mesures appropriées pour assurer le chiffrement ou la sauvegarde sécurisés de toutes les données des clients téléchargées vers les services.

  1. GESTION ET NOTIFICATION DES DONNÉES DES CLIENTS acalby.com maintient des politiques et des procédures de gestion des incidents de sécurité spécifiées dans l'annexe des mesures de sécurité et informera sans délai le client s'il prend connaissance d'une violation concernant des données personnelles (au sens de la loi sur la protection des données applicable) qui nécessite une notification à l'autorité de contrôle ou à la personne concernée conformément à la loi sur la protection des données applicable, ou que acalby.com est obligé de notifier au client conformément à la loi sur la protection des données applicable ("Incident de données des clients"). acalby.com fera des efforts raisonnables pour identifier la cause de cet incident de données des clients et prendra des mesures qu'il juge nécessaires et appropriées pour éliminer la cause d'un tel incident de données des clients, dans la mesure où cet élimination relève du contrôle raisonnable d'acalby.com. Ces obligations ne s'appliquent pas aux événements causés par le client, les entreprises affiliées autres que acalby.com, les utilisateurs autorisés et/ou tout produit non-acalby.com.
  1. RETOUR ET SUPPRESSION DES DONNÉES DES CLIENTS À la fin des services pour lesquels acalby.com traite des données personnelles, acalby.com, sur demande du client et sous réserve des restrictions énoncées dans l'accord et l'annexe des mesures de sécurité, retournera toutes les données des clients et leurs copies au client ou les détruira de manière sécurisée et fournira au client une preuve de ces actions, sauf si la loi applicable empêche le retour ou la destruction de tout ou partie des données des clients.
  1. SOUS-SUJETS AUTORISÉS

9.1 Relation contractuelle. Les parties reconnaissent et acceptent qu'en signant l'accord, le client entre dans l'accord en son nom propre et, si nécessaire, au nom de ses entreprises affiliées autorisées, créant ainsi un DPA distinct entre acalby.com et chacune de ces entreprises affiliées autorisées selon les dispositions de l'accord et de cette section 9 et de la section 10. Chaque sous-sujet autorisé accepte d'être lié par les obligations de cet accord et, si nécessaire, par l'accord. Pour définir avec précision les sous-sujets autorisés conformément à cette section, les dispositions pertinentes de l'accord seront appliquées. Tous les accès et utilisations des services et du contenu par les sous-sujets autorisés doivent se conformer aux dispositions de l'accord, et toute violation des dispositions de l'accord par un sous-sujet autorisé sera considérée comme une violation par le client.

9.2 Communication. Le client qui est partie à l'accord sera responsable de la coordination de toutes les communications avec acalby.com dans le cadre de ce DPA et aura le droit de mener et de recevoir toute communication concernant ce DPA au nom de ses sociétés affiliées autorisées.

9.3 Droits des sous-traitants autorisés. Lorsque le sous-traitant autorisé devient partie au DPA avec acalby.com, le sous-traitant autorisé sera autorisé, dans la mesure requise par les lois applicables sur la protection des données, à exercer des droits et à demander des recours conformément à ce DPA, sauf pour les exceptions suivantes : 9.3.1 Sauf si les lois applicables sur la protection des données exigent que le sous-traitant autorisé exerce un droit ou demande un recours directement à acalby.com, les parties conviennent que (i) seul le client qui est partie à l'accord exercera ce droit ou demandera ce recours au nom du sous-traitant autorisé, et (ii) le client qui est partie à l'accord exercera ces droits en vertu de ce DPA non pas individuellement pour chaque sous-traitant autorisé, mais collectivement pour toutes ses sociétés affiliées autorisées (comme mentionné par exemple à la section 9.3.2, ci-dessous). 9.3.2 Les parties conviennent que le client, qui est partie à l'accord, prendra toutes les mesures raisonnables lors de la réalisation d'une visite d'audit des pratiques relatives à la protection des données pour minimiser tout impact sur acalby.com et ses sous-traitants en combinant, dans la mesure du possible, plusieurs audits réalisés au nom de différents sous-traitants autorisés en un seul audit.

  1. LIMITATION DE RESPONSABILITÉ

La responsabilité de chaque partie et de toutes ses sociétés affiliées, au total, découlant de ou liée à ce DPA et à tous les DPAs entre les sous-traitants autorisés et acalby.com, que ce soit contractuel, légal ou autrement, est régie par la section "Limitation de responsabilité" de l'accord, et toute référence dans cette section à la responsabilité de la partie signifie la responsabilité totale de cette partie et de toutes ses sociétés affiliées selon l'accord et tous les DPAs réunis.

Sur cette base, la responsabilité totale d'acalby.com et de ses sociétés affiliées pour toutes les réclamations du client et de toutes ses sociétés affiliées autorisées résultant de ou liée à l'accord et chaque DPA applicable dans le cadre de l'accord est applicable au total pour toutes les réclamations selon l'accord et tous les DPAs établis selon l'accord, y compris celles du client et de toutes ses sociétés affiliées autorisées, et cela n'est pas compris individuellement et séparément pour le client et/ou pour toute société affiliée autorisée qui est partie à un tel DPA.

  1. DISPOSITIONS SPÉCIFIQUES À L'EUROPE

11.1 GDPR. À partir du 25 mai 2018, acalby.com traitera les données personnelles conformément aux exigences du GDPR directement applicables à la fourniture de ses services.

11.2 Évaluation d'impact sur la protection des données. À partir du 25 mai 2018, acalby.com fournira, sur demande du client, une coopération et une assistance raisonnables nécessaires pour aider le client à remplir ses obligations en vertu du GDPR pour réaliser une évaluation d'impact sur la protection des données liée à l'utilisation des services par le client, sauf si le client a un autre accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles auprès d'acalby.com. acalby.com fournira une assistance raisonnable pour une coopération ou une consultation préalable avec l'autorité de contrôle conformément au GDPR.

  1. LES PARTIES DE CE DPA

La section "COMMENT CE DPA S'APPLIQUE" détermine comment acalby.com est partie à ce DPA.

  1. EFFET JURIDIQUE

Ce DPA deviendra juridiquement contraignant entre le client et acalby.com uniquement après que les étapes formelles mentionnées dans la section "COMMENT EFFECTUER CE DPA" ci-dessus auront été complètement accomplies.

DESCRIPTION DU TRAITEMENT DES DONNÉES

Personnes

Le client peut fournir des données personnelles aux services, dont l'étendue est déterminée et contrôlée par le client, et peuvent inclure, mais sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes :

  • Utilisateurs autorisés ;
  • Clients du client ;
  • Employés du client ;
  • Consultants du client ;
  • Sous-traitants du client ;
  • Agents du client ;
  • Tiers avec lesquels le client a des relations commerciales.

Catégories de données

Les données personnelles transférées concernent les catégories suivantes de données :

  • Toutes les données personnelles incluses dans les données du client telles que définies dans l'accord.

Catégories spéciales de données

Le client peut fournir des données personnelles à acalby.com via les services, dont l'étendue est déterminée et contrôlée par le client conformément aux lois applicables sur la protection des données. Le client ne doit pas fournir des données personnelles à acalby.com via les services qui pourraient inclure les catégories spéciales suivantes de données :

  • Origine raciale ou ethnique ;
  • Opinions politiques ;
  • Croyances religieuses ou philosophiques ;
  • Appartenance à des syndicats ;
  • Données génétiques ou biométriques ;
  • État de santé ;
  • Vie sexuelle ou orientation sexuelle.

Opérations de traitement

Les données personnelles transférées seront traitées conformément à l'accord et à toute commande, et peuvent faire l'objet des opérations de traitement suivantes :

  • Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au client ;
  • Fourniture d'un support client et technique aux clients ;
  • Divulgation conformément à l'accord, comme requis par la loi.