Addendum sur la protection des données

Date d'entrée en vigueur : 5 novembre 2020

Le présent addendum sur la protection des données (addendum) est conclu entre vous, en tant que client ou utilisateur, et nous, Remo USA, Inc. et fait partie de nos conditions de service pour les utilisateurs et les clients publiées sur notre site Web. Cet addendum régit le traitement des données personnelles lorsque vous utilisez le service et lorsque les lois européennes s'appliquent.

Définitions

  1. Les termes en majuscules qui ne sont pas autrement définis dans le présent document ont la signification qui leur est donnée dans les Conditions de service. Si les termes ci-dessous ne sont pas définis dans les Conditions de service, ils ont les définitions ci-dessous.
  2. " EEE " désigne l'Espace économique européen.
  3. " Lois européennes " désigne (a) le GDPR, et (b) toute autre loi, tout règlement et toute législation secondaire de l'Union européenne (UE) ou des États membres en matière de protection des données mettant en œuvre le GDPR, y compris la loi de 2018 sur la protection des données du Royaume-Uni (RU) et toute législation de remplacement mise en œuvre par le RU suite au retrait du RU de l'UE et la loi fédérale sur la protection des données du 19 juin 1952 (Suisse).
  4. " Règlement général sur la protection des données " ou " RGPD " désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
  5. " Lois non européennes " désigne les lois en vigueur en dehors de l'EEE, du Royaume-Uni et de la Suisse.
  6. "Transfert restreint" signifie
  7. un transfert de données personnelles de votre part à la nôtre, ou
  8. Un transfert ultérieur de données personnelles entre nous et un autre sous-traitant ou entre deux de nos établissements.
  9. " Clauses contractuelles types " désignent les clauses standard de protection des données pour le transfert de Données à caractère personnel soit à des Contrôleurs, soit à des Processeurs dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données tel que prévu à l'article 46 du GDPR.
  10. " Sous-traitant " désigne un sous-traitant engagé par nous pour effectuer des activités de traitement spécifiques en votre nom.
  11. Les termes " Commission ", " Contrôleur ", " Personne concernée ", " État membre ", " Données personnelles ", " Violation de données personnelles ", " Traitement (y compris " Processus ") ", " Processeur " et " Autorité de contrôle " ont la signification qui leur est donnée ou qui est donnée à des termes similaires dans le GDPR.
  12. Les termes "importateur de données" et "exportateur de données" ont la signification qui leur est donnée dans les Clauses Contractuelles Types.

Champ d'application des lois européennes

  1. Les lois européennes s'appliquent au traitement des données personnelles si, par exemple :
  2. Le traitement est effectué dans le cadre des activités d'un établissement situé sur le territoire de l'EEE, du Royaume-Uni ou de la Suisse ; et/ou
  3. Les Données à caractère personnel concernent des Personnes concernées qui se trouvent dans l'EEE, au Royaume-Uni et en Suisse, et le Traitement est lié à l'offre du Service dans l'EEE, au Royaume-Uni ou en Suisse ou au suivi du comportement des Personnes concernées dans la mesure où leur comportement a lieu dans l'EEE, au Royaume-Uni ou en Suisse.
  4. Les lois non européennes s'appliquent au traitement des données personnelles en dehors du champ territorial de l'EEE, du Royaume-Uni ou de la Suisse.

Traitement des données personnelles

  1. Afin de fournir le Service, en ce qui concerne les Données Personnelles soumises par vous ou en votre nom, nous devons :
  2. se conformer à toutes les lois européennes en matière de traitement des données personnelles, et
  3. Ne pas traiter les Données personnelles autrement que sur vos instructions documentées, à moins que le Traitement ne soit exigé par les Lois européennes auxquelles nous sommes soumis, auquel cas nous vous informerons, dans la mesure permise par les Lois européennes, de cette exigence légale avant le Traitement pertinent des Données personnelles, à moins que la loi n'interdise de vous informer pour des raisons importantes d'intérêt public.
  4. Nous traitons les Données Personnelles uniquement sur instructions documentées de votre part, telles que définies par les Conditions de Service et telles que définies lorsque vous enregistrez un Compte et lorsque vous organisez un Événement ou un Lieu de Travail afin d'utiliser le Service. Si, à notre avis, votre instruction documentée viole les Lois européennes ou si nous ne pouvons pas nous conformer à votre instruction documentée pour quelque raison que ce soit, nous vous en informerons et travaillerons ensemble pour trouver une alternative, et si une alternative n'est pas réalisable, vous pourrez résilier le Service conformément aux Conditions de service.
  5. Vous nous donnez des instructions (et nous autorisez à donner des instructions à chaque sous-traitant ultérieur) :
  6. Traiter les données personnelles ; et
  7. En particulier, transférer les Données personnelles vers tout pays ou territoire, dans la mesure où cela est raisonnablement nécessaire pour la fourniture des Services.
  8. L'Annexe 1 du présent Addendum présente certaines informations concernant notre Traitement des Données personnelles, comme l'exige l'article 28(3) du GDPR (et, éventuellement, les exigences équivalentes d'autres Lois européennes). Vous pouvez apporter des modifications raisonnables à l'Annexe 1 par notification écrite à notre intention de temps à autre, comme vous le jugez raisonnablement nécessaire pour répondre à ces exigences. Rien dans l'Annexe 1 (y compris telle que modifiée en vertu de la présente section 3.d.) ne confère de droit ou n'impose d'obligations à vous ou à nous.
  9. Notre traitement des données personnelles est soumis au présent addendum sur la protection des données, à nos conditions de service (lien), à notre avis sur la confidentialité (lien) et à notre avis sur les cookies (lien).

Responsabilités du processeur et du contrôleur

  1. Vous, en tant qu'Utilisateur ou Client du Service, êtes le Contrôleur, et nous sommes le Responsable du traitement, sauf lorsque vous agissez en tant que Responsable du traitement, auquel cas nous sommes le Sous-traitant. Si vous êtes un Responsable du traitement, vous garantissez que notre désignation en tant que Sous-traitant a été autorisée par le Responsable du traitement concerné. En tant que Responsable du traitement, vous déclarez et garantissez que (a) vous disposez d'une base légale pour traiter les Données à caractère personnel concernées et (b) le Contenu n'est pas illégal et ne viole aucun droit d'un tiers. Vous nous garantissez contre toutes les réclamations et actions de tiers liées (a) au Traitement des Données personnelles sans base légale pour le Traitement, et (b) au Contenu illégal et à la violation des droits de tiers.
  2. En tant que contrôleur, vous êtes seul responsable de déterminer de manière indépendante si les mesures techniques et organisationnelles du Service répondent à vos exigences, y compris à vos obligations de sécurité en vertu du GDPR ou d'autres lois européennes.

Personnel

  1. Nous prendrons des mesures raisonnables pour nous assurer que nos employés, agents ou sous-traitants qui peuvent avoir accès aux données personnelles :
  2. avoir un accès strictement limité dans chaque cas aux personnes qui ont besoin de connaître et d'accéder aux données personnelles, comme cela est strictement nécessaire aux fins du présent addendum et pour se conformer aux lois européennes dans le cadre de leurs fonctions individuelles, et
  3. sont soumis à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

Sécurité

  1. En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contenu et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, nous mettons en œuvre, en fonction de la nature des Données à caractère personnel, des mesures techniques et organisationnelles appropriées pour atteindre un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du GDPR. Ces mesures de sécurité comprennent des mesures visant à :
  2. Crypter les données personnelles ;
  3. Contribuer à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience de nos systèmes et services ;
  4. aider à rétablir en temps utile DeepL aux données personnelles après un incident ; et
  5. Tester régulièrement l'efficacité
  6. En évaluant le niveau de sécurité approprié, nous tiendrons compte en particulier des risques que présente le Traitement, notamment d'une violation de données personnelles. Nous pouvons mettre à jour ces mesures de sécurité de temps à autre, à condition que ces mises à jour n'entraînent pas leur dégradation globale.

Sous-processeurs

  1. Vous nous autorisez à engager (et à autoriser chaque sous-traitant secondaire engagé conformément à la présente section 7 à engager) des sous-traitants secondaires conformément à la présente section 7.
  2. Nous pouvons continuer à utiliser les sous-traitants secondaires que nous avons déjà engagés à la date du présent addendum, sous réserve que nous remplissions dès que possible les obligations énoncées à la section 7.c.
  3. Nous enverrons sur demande une liste des catégories de sous-traitants secondaires que nous avons engagés, organisée en fonction du type de traitement effectué par chaque sous-traitant secondaire.
  4. En ce qui concerne chaque sous-processeur, nous devons :
  5. Avant que le Sous-traitant ne traite pour la première fois des Données à caractère personnel (ou le cas échéant, conformément à la Section 7.b.), effectuer une diligence raisonnable adéquate (en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques) afin de déterminer si le Sous-traitant est capable d'assurer le niveau de protection des Données à caractère personnel requis par le présent Addendum.
  6. Conclure un contrat écrit qui régit l'arrangement entre nous, d'une part, et le Sous-traitant, d'autre part, y compris les termes qui offrent au moins le même niveau de protection des Données personnelles que ceux énoncés dans le présent Addendum et répondent aux exigences de l'article 28(3) et (4) du GDPR, et en particulier, fournit des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences des Lois européennes ;
  7. Si l'accord implique un transfert restreint, incorporer les clauses contractuelles types dans le présent addendum à tous les moments pertinents entre nous d'une part et le sous-traitant ultérieur d'autre part, ou avant que le sous-traitant ultérieur ne traite pour la première fois les données à caractère personnel, faire en sorte qu'il conclue avec vous un accord incorporant les clauses contractuelles types ; et
  8. Nous supervisons chaque sous-traitant ultérieur de manière à ce que l'obligation prévue aux articles 3.a., 5, 6, 8.a., 9.b., 10 et 12 soit exécutée.

Droits des personnes concernées

  1. Compte tenu de la nature du Traitement, nous mettrons en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible pour l'accomplissement de nos obligations, telles que nous les comprenons raisonnablement, pour répondre aux demandes d'exercice des droits des Personnes concernées en vertu de toutes les Lois européennes.
  2. Si nous recevons une demande d'une Personne concernée et que la demande vous identifie, nous vous en informerons ; si un Sous-traitant reçoit une demande, le Sous-traitant nous en informera, et nous vous en informerons.

Violation des données personnelles

  1. Nous vous informerons rapidement et sans retard injustifié dès que nous aurons connaissance d'une violation de données personnelles et nous vous fournirons des informations suffisantes pour vous permettre de remplir toutes les obligations de signaler ou d'informer les personnes concernées et l'autorité de surveillance applicable de la violation de données personnelles en vertu des lois européennes.
  2. Nous coopérerons avec vous et prendrons les mesures commerciales raisonnables que vous nous demanderez de prendre pour aider à l'enquête, à l'atténuation et à la réparation de chacune de ces violations de données personnelles.

Évaluation de l'impact sur la protection des données et consultation préalable

  1. Nous vous fournirons une assistance raisonnable pour toute évaluation d'impact sur la protection des données et toute consultation préalable des autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données que vous considérez raisonnablement comme étant requises par les articles 35 et 36 du GDPR ou des dispositions équivalentes de toute autre loi européenne, dans chaque cas en tenant compte de la nature du Traitement et des informations dont nous disposons.

Suppression ou restitution des données personnelles

  1. Sous réserve des sections 11.b. et 11.c., sur votre demande écrite, nous supprimerons et ferons supprimer rapidement toutes les copies des données personnelles.
  2. Sous réserve de la section 11.c., vous pouvez, à votre entière discrétion, nous demander, par notification écrite, de
  3. vous renvoyer rapidement une copie complète de toutes les données personnelles par transfert de fichier sécurisé dans le format que vous nous avez raisonnablement indiqué ; et
  4. Supprimer et faire supprimer toutes les autres copies des données personnelles que nous traitons.
  5. Nous et tout Sous-traitant pouvons conserver les Données à caractère personnel dans la mesure requise par les Lois européennes et uniquement dans la mesure et pour la période requise par les Lois européennes et toujours à condition que la confidentialité des Données à caractère personnel soit maintenue et que les Données à caractère personnel ne soient Traitées que dans la mesure nécessaire à la ou aux fins spécifiées dans les Lois européennes exigeant leur stockage et à aucune autre fin.
  6. Sur demande, nous vous fournirons un certificat écrit attestant que nous nous sommes pleinement conformés à la présente section 11.

Droits d'audit

  1. Sur demande, nous mettrons à votre disposition les informations nécessaires pour évaluer notre conformité à nos obligations en vertu des Lois européennes dans la mesure où nous agissons en tant que Processeur pour votre compte. Si le GDPR s'applique au Traitement de vos Données à caractère personnel, afin de confirmer notre conformité à nos obligations en vertu de l'article 28 du GDPR, vous ou un auditeur mandaté par vous pouvez effectuer les inspections ou audits conformément aux procédures décrites aux sections 12.b.-12.e.
  2. Toute demande d'audit doit être envoyée à success@remo.co. Après réception d'une telle demande, pas plus d'une fois par an, nos coûts raisonnables de mise en conformité avec une telle demande étant à votre charge, nous :
  3. discutent et conviennent à l'avance de la date de début, de la portée et de la durée raisonnables de tout contrôle de sécurité et de confidentialité applicable à l'audit ; et
  4. Nous pouvons nous opposer par écrit à ce que vous désigniez un vérificateur pour effectuer un audit si, à notre avis raisonnable, ce vérificateur n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent du nôtre ou s'il est manifestement inapproprié. Une telle objection de notre part vous obligera à nommer un autre auditeur ou à réaliser l'audit vous-même.
  5. Nonobstant la section 12.b., si votre demande d'audit a lieu pendant notre fin de trimestre ou d'année, ou toute autre période pendant laquelle nous ne pouvons raisonnablement pas répondre à votre demande, nous conviendrons mutuellement d'une prolongation.
  6. Vous devrez signer un accord de confidentialité dont la forme et le fond nous conviennent raisonnablement avant cet audit. Pour éviter tout doute, aucune disposition des présentes ne vous autorise à examiner les données relatives à nos autres clients ou partenaires.
  7. Vous supporterez vos propres coûts et dépenses en ce qui concerne les audits décrits dans la présente section 12. Vous ferez tout ce qui est raisonnablement possible lors de l'exercice des droits prévus par la présente section 12 pour minimiser la perturbation de nos activités commerciales. Vous ferez (et superviserez chacun de vos auditeurs mandatés afin qu'ils fassent) des efforts raisonnables pour éviter de causer (ou, si cela ne peut être évité, pour minimiser) tout dommage, blessure ou perturbation à nos locaux, équipements, personnel et activités pendant que votre personnel se trouve dans nos locaux au cours d'un tel audit ou d'une telle inspection.

Transferts restreints

  1. Sous réserve de la section 13.c., vous (en tant qu'" exportateur de données ") et nous, le cas échéant (en tant qu'" importateur de données "), concluez par les présentes des Clauses contractuelles types en ce qui concerne tout Transfert restreint.
  2. Les Clauses Contractuelles Types entreront en vigueur en vertu de la présente section 13.b. à la date la plus tardive :
  3. L'exportateur de données devenant une partie à ceux-ci,
  4. L'importateur de données devenant une partie à ceux-ci,
  5. Début du transfert restreint concerné.
  6. La section 13.a. ne s'applique pas à un Transfert restreint, sauf si son effet, conjointement avec d'autres mesures de conformité raisonnablement réalisables (qui, pour éviter toute ambiguïté, n'incluent pas l'obtention des consentements des Personnes concernées), est de permettre au Transfert restreint concerné d'avoir lieu sans violation des Lois européennes.
  7. Nous garantissons et déclarons que, avant le début de tout transfert restreint à un sous-traitant ultérieur, notre entrée dans les clauses contractuelles types en vertu de la section 13.a., et l'accord sur les modifications apportées à ces clauses contractuelles types en vertu de la présente section 13.d., en tant qu'agent pour et au nom de ce sous-traitant ultérieur, auront été dûment et effectivement autorisés (ou ratifiés ultérieurement) par ce sous-traitant ultérieur.

Conditions générales

  1. Sans préjudice des clauses 7 (Médiation et juridiction) et 9 (Droit applicable) des Clauses contractuelles types, tous les litiges ou réclamations, de quelque nature qu'ils soient, découlant du présent avenant, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité, et le présent avenant et toutes les obligations non contractuelles ou autres découlant du présent avenant ou en rapport avec celui-ci, seront régis et interprétés conformément aux dispositions relatives au choix du droit applicable figurant dans les Conditions de service.
  2. En cas de conflit ou d'incohérence entre le présent avenant et les clauses contractuelles types, les clauses contractuelles types prévaudront. En cas d'incompatibilité entre les dispositions du présent avenant et tout autre accord entre nous deux, y compris (sauf accord contraire explicite par écrit, signé au nom des deux parties) les accords conclus ou censés être conclus après la date du présent avenant, les dispositions du présent avenant prévaudront.
  3. Vous pouvez apporter des modifications aux Clauses Contractuelles Types (y compris toutes Clauses Contractuelles Types conclues en vertu de la Section 13.a.) telles qu'elles s'appliquent aux Transferts Restreints soumis à une Loi européenne particulière, qui sont requises à la suite d'un changement ou d'une décision d'une autorité compétente en vertu de cette Loi européenne, afin de permettre que ces Transferts Restreints soient effectués (ou continuent d'être effectués) sans violation de cette Loi européenne, et proposer toute autre modification au présent Addendum que vous jugez raisonnablement nécessaire pour répondre aux exigences de toute Loi Applicable. Si vous apportez ou proposez de telles modifications, nous coopérerons rapidement (et veillerons à ce que tous les sous-traitants secondaires concernés coopèrent rapidement) afin que des modifications équivalentes soient apportées à tout accord mis en place en vertu de la section 7.d.
  4. Si une disposition du présent addenda est invalide ou inapplicable, le reste de l'addenda demeure valide et en vigueur. La disposition invalide ou inapplicable sera soit modifiée de manière à être valide et applicable, soit, si cela n'est pas possible, interprétée comme si la partie invalide ou inapplicable n'avait jamais été contenue.

ANNEXE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES

La présente annexe 1 comprend certains détails du traitement des données personnelles, comme l'exige l'article 28(3) du GDPR.

L'OBJET DU TRAITEMENT

Notre fourniture du service à vous

LA DURÉE DU TRAITEMENT

Jusqu'à ce que vous supprimiez votre compte ou que vous supprimiez un événement ou un espace de travail.

NATURE ET FINALITÉ DU TRAITEMENT

Nous traiterons les données personnelles dans le but de vous fournir le service conformément au présent addendum sur la protection des données.

LE TYPE DE DONNÉES PERSONNELLES À TRAITER

Données personnelles vous concernant que vous nous avez fournies

CATÉGORIES DE PERSONNES CONCERNÉES

Les personnes qui utilisent le service

OBLIGATIONS ET DROITS DU RESPONSABLE DU TRAITEMENT

Vos obligations et vos droits sont énoncés dans le présent addendum relatif à la protection des données.

Vous avez encore des questions ?

Parlez à un spécialiste