Mise à jour 2024-05-28
1 Introduction
2 Accords Documents
3 Traitement des données à caractère personnel
4 Mesures de sécurité
5 Transfert en dehors de l'UE/EEE
6 Utilisation de sous-traitants
7 Fonctions du sous-traitant
8 Violation de données à caractère personnel
9 Confidentialité
10 Rémunération
11 Passif
12 Durée et résiliation
13 Retour et destruction des données à caractère personnel
14 Droit applicable et règlement des litiges
Annexe I - Liste des parties et description du traitement
Annexe II - Mesures techniques et organisationnelles
Annexe III - Liste des sous-traitants
Le présent accord de traitement des données ("DPA") fait partie de l'accord entre 360Player AB ("Processor"), en tant que processeur de données, et le client qui est partie à l'accord ("Controller"), en tant que responsable du traitement des données. En cas de conflit entre le présent DPA et l'accord, le présent DPA prévaudra en ce qui concerne le traitement des données à caractère personnel.
Le contrôleur et le sous-traitant sont désignés conjointement comme les "parties" et chacun d'entre eux comme une "partie".
1.1 Afin d'exécuter ses obligations en vertu de l'Accord, le Processeur traitera des données à caractère personnel pour le compte du Contrôleur. Le présent DPA constitue une annexe à l'Accord et réglemente le traitement des données à caractère personnel conformément aux dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données "RGPD") et de toute loi nationale ou de l'Union européenne applicable de temps à autre ("Législation applicable en matière de protection des données").
1.2 En cas de conflit ou d'incohérence entre l'accord et le présent DPA concernant le traitement des données à caractère personnel, les dispositions du DPA prévalent.
2.1 Les annexes suivantes sont incorporées par référence dans le présent DPA :
Annexe I - "Description du traitement
Annexe II - Mesures techniques et organisationnelles
Annexe III - Liste des sous-traitants
3.1 L'objet, la durée, la nature et la finalité du traitement sont indiqués à l'annexe I (description du traitement).
3.2 Le contrôleur est chargé de veiller à ce que le traitement soit effectué conformément à la législation applicable en matière de protection des données et de fournir au sous-traitant des instructions précises et suffisantes.
3.3 Le sous-traitant s'engage à ne traiter les données à caractère personnel que conformément aux instructions données dans le cadre du présent DPA, de l'accord et des instructions documentées données par le contrôleur de temps à autre, à moins que le traitement ne soit requis par la législation applicable en matière de protection des données. Dans ce cas, le sous-traitant informe le contrôleur du traitement et des exigences légales sur lesquelles le traitement est fondé, avant de traiter les données à caractère personnel, à moins que la fourniture de ces informations ne soit interdite en vertu de la législation applicable en matière de protection des données.
3.4 Le sous-traitant informe rapidement le contrôleur si :
(i) le sous-traitant n'est pas en mesure de remplir les obligations qui lui incombent en vertu du DPA ;
(ii) le sous-traitant estime que les instructions fournies par le contrôleur enfreignent la législation applicable en matière de protection des données ; ou
(iii) le sous-traitant estime que les instructions fournies par le contrôleur sont inadéquates ou incorrectes.
Dans ce cas, le contrôleur ajuste ses instructions.
4.1 Les parties prennent les mesures de sécurité techniques et organisationnelles appropriées nécessaires pour assurer un niveau de sécurité adapté aux risques présentés lors du traitement des données à caractère personnel et, le cas échéant, mettent en œuvre et maintiennent les mesures de sécurité techniques et organisationnelles visées à l'article 32 du RGPD.
4.2 Les mesures de sécurité techniques et organisationnelles convenues entre les Parties sont exposées à l'Annexe II (Mesures techniques et organisationnelles). Le contrôleur veille à ce que ces mesures soient conformes aux dispositions de la législation applicable en matière de protection des données.
5.1 Le sous-traitant peut parfois transférer des données à caractère personnel vers un pays situé en dehors de l'UE/EEE conformément aux instructions fournies par le responsable du traitement, comme indiqué dans les annexes du présent DPA, telles que mises à jour de temps à autre. Si des données à caractère personnel sont transférées vers un pays situé en dehors de l'UE/EEE, les parties veillent à ce que le transfert soit soumis à un mécanisme de transfert adéquat conformément au chapitre V du GDPR, par exemple en exécutant le module applicable des Clauses contractuelles types approuvées par la Commission européenne ou des règles d'entreprise contraignantes. Dans la mesure où cela est nécessaire pour assurer une protection adéquate des données à caractère personnel, les parties conviennent de garanties supplémentaires à l'annexe III (liste des sous-traitants).
6.1 Le sous-traitant obtient par la présente une autorisation générale écrite du responsable du traitement pour utiliser des sous-traitants secondaires afin de traiter des données à caractère personnel pour le compte du responsable du traitement. La liste des sous-traitants autorisés par le responsable du traitement pour le traitement des données à caractère personnel à la date d'entrée en vigueur du présent DPA figure à l'annexe III (liste des sous-traitants). Le sous-traitant informe le responsable du traitement par écrit de l'ajout ou du remplacement de sous-traitants secondaires au moins 30 jours avant que le changement n'ait lieu, afin de donner au responsable du traitement la possibilité de s'opposer au changement.
6.2 Le contrôleur a le droit de s'opposer par écrit dans un délai de 20 jours à compter de la date à laquelle le sous-traitant l'a informé du changement. Le contrôleur peut s'opposer à l'utilisation d'un sous-traitant ultérieur uniquement s'il a des raisons de croire que le sous-traitant ultérieur ne respecte pas les exigences de la législation applicable en matière de protection des données et indiquer les raisons de l'objection. Le sous-traitant fournit au contrôleur les informations nécessaires à l'exercice de son droit d'opposition.
6.3 Le sous-traitant doit veiller à ce qu'un accord écrit impose aux sous-traitants secondaires des obligations au moins équivalentes à celles imposées au sous-traitant en vertu de la présente DPA en ce qui concerne le traitement des données à caractère personnel. Le sous-traitant est pleinement responsable envers le contrôleur de l'exécution par le sous-traitant ultérieur de ses obligations, comme de ses propres obligations en vertu du présent DPA.
7.1 Le sous-traitant, à la demande raisonnable du responsable du traitement, aide ce dernier, dans la mesure du possible et compte tenu de la nature du traitement, à s'acquitter de ses obligations de répondre aux demandes des personnes concernées d'exercer leurs droits en vertu de la législation applicable en matière de protection des données. Le sous-traitant notifie au responsable du traitement, dans un délai de 30 jours, toute demande émanant de personnes concernées. Le sous-traitant ne peut répondre à aucune demande sans l'instruction écrite préalable spécifique du responsable du traitement.
7.2 Le sous-traitant, dans la mesure du possible, compte tenu de la nature du traitement et des informations dont il dispose, aide le responsable du traitement à s'acquitter des obligations qui lui incombent en vertu des articles 32 à 36 du GDPR.
7.3 "Le sous-traitant fournit au contrôleur, à sa demande raisonnable, les informations nécessaires pour démontrer qu'il respecte les obligations du RGPD.
7.4 "Si, conformément à la législation applicable en matière de protection des données, le sous-traitant est tenu de divulguer aux autorités de contrôle des données à caractère personnel qu'il traite pour le compte du contrôleur, le sous-traitant en informe le contrôleur et demande la confidentialité en ce qui concerne la divulgation des informations demandées.
7.5 "Sur demande raisonnable du contrôleur ou d'un auditeur externe désigné par le contrôleur, le sous-traitant autorise un audit dans le but de vérifier que le traitement des données à caractère personnel par le sous-traitant est effectué conformément à la législation applicable en matière de protection des données et au présent DPA. Tout auditeur tiers est aux frais du responsable du traitement.
8.1 Le sous-traitant notifie par écrit au contrôleur, dans un délai raisonnable, toute violation de données à caractère personnel dont il a connaissance et qui concerne des données à caractère personnel traitées par le sous-traitant pour le compte du contrôleur. Dans la mesure où cette violation a eu lieu chez le sous-traitant, le sous-traitant fournit au contrôleur une description de la violation, de sa nature, de ses conséquences probables et des informations sur les mesures prises ou qu'il est proposé de prendre pour remédier à la violation et en atténuer les conséquences.
8.2 Si le contrôleur notifie une violation à l'autorité de surveillance, le sous-traitant doit, à la demande raisonnable du contrôleur, l'aider et lui fournir les informations demandées.
9.1 Le sous-traitant s'engage à ne pas divulguer ou mettre à la disposition d'un tiers les données à caractère personnel traitées dans le cadre du présent DPA sans le consentement écrit préalable du contrôleur, à l'exception des sous-traitants secondaires engagés conformément au présent DPA.
9.2 Le sous-traitant veille à ce que seuls les membres du personnel et les autres représentants qui doivent avoir accès aux données à caractère personnel aient accès à ces informations. Le sous-traitant veille à ce que ces personnes soient liées par des engagements de confidentialité ou soumises à une obligation légale de confidentialité.
9.3 Le sous-traitant s'engage à veiller à ce que des accords de confidentialité soient conclus avec tous les sous-traitants secondaires engagés dans le cadre du présent DPA.
10.1 Le sous-traitant a droit à une rémunération raisonnable pour les coûts et le travail qu'il a encourus du fait de ses obligations telles que spécifiées ci-dessous :
(i) Le contrôleur ajuste ses instructions conformément à la section 3.1 ci-dessus.
(ii) le contrôleur ajuste ses instructions conformément à la section 4.2 ci-dessus.
(iii) le sous-traitant assiste le contrôleur dans le cadre d'un audit conformément à l'article 7.5 ci-dessus.
11.1 Les parties reconnaissent qu'elles sont respectivement responsables, comptables et redevables dans leurs rôles respectifs de responsable du traitement et de sous-traitant en vertu des exigences énoncées dans le GDPR et le présent DPA. Les amendes, frais ou sanctions administratives imposés par l'autorité de contrôle et/ou l'indemnisation des personnes concernées sont soumis aux dispositions relatives à la responsabilité énoncées aux articles 82 à 84 du GDPR. Si une partie traite des données à caractère personnel en violation du présent DPA ou de la législation applicable en matière de protection des données, elle doit indemniser l'autre partie pour les dommages directs subis en raison de ce traitement illicite et/ou de la violation du présent DPA, conformément aux limitations de responsabilité énoncées dans l'accord.
12.1 Le présent DPA entre en vigueur lorsque l'accord est signé par les deux parties et reste en vigueur par la suite tant que le sous-traitant traite des données à caractère personnel pour le compte du contrôleur.
12.2 Le sous-traitant a le droit de résilier immédiatement le DPA par notification écrite au contrôleur si les instructions données par le contrôleur enfreignent la législation applicable en matière de protection des données et si le contrôleur, après avoir été informé de ces circonstances, insiste par la suite sur l'application de ces instructions.
13.1 En cas de résiliation ou d'expiration du présent DPA, le sous-traitant doit, sans délai excessif, cesser de traiter les données à caractère personnel et, à la demande écrite du contrôleur, supprimer toutes les données à caractère personnel du contrôleur et effacer toutes les copies restantes, sauf si la législation applicable en matière de protection des données l'exige.
14.1 Le DPA est régi par le droit suédois, à l'exclusion des règles de conflit de lois applicables.
14.2 Tout litige découlant du DPA ou en rapport avec celui-ci est définitivement réglé conformément à la disposition relative à la résolution des litiges figurant dans l'accord.
1 Introduction
L'annexe I (Description du traitement) décrit le traitement des données à caractère personnel dans le cadre du RGPD.
2 Description de la transformation
Pour les contrôleurs qui disposent d'une législation locale en matière de protection de la vie privée, il est essentiel de comprendre quelles sont les données qui font l'objet d'une classification spéciale dans la législation locale en matière de protection de la vie privée. Il est recommandé de réduire au minimum la collecte de données sensibles et 360Player demandera toujours aux utilisateurs de consentir aux conditions d'utilisation et à la politique de confidentialité.
Catégories de personnes concernées
Les catégories suivantes de personnes concernées sont incluses dans le traitement :
☐ Employés et personnel du contrôleur
☐ Membres du contrôleur et tuteurs légaux des membres
Catégories de données à caractère personnel traitées par le responsable du traitement
Les données personnelles suivantes seront traitées :
☐ Nom
☐ Date de naissance
☐ Courriel
☐ Numéro de téléphone
☐ Adresse
Catégories particulières de données à caractère personnel que les responsables du traitement peuvent traiter
Les catégories spéciales de données à caractère personnel suivantes seront incluses dans le traitement :
☐ Données génétiques
☐ Données biométriques
☐ Données relatives à la santé
☐ Autres données que le responsable du traitement doit collecter (champs de données personnalisés)
Nature et finalité du traitement
Le sous-traitant traite les données à caractère personnel aux fins suivantes :
Les données personnelles seront traitées pour permettre au contrôleur d'utiliser le système conformément à l'objectif de la plate-forme.
Durée de la transformation
Les données à caractère personnel seront traitées conformément à ce qui suit :
La durée du traitement correspond à la durée de l'accord ou jusqu'à ce que le responsable du traitement supprime les données. Par la suite, les données à caractère personnel seront traitées aussi longtemps que l'exige la législation applicable en matière de protection des données.
1 Introduction
L'annexe II (Mesures techniques et organisationnelles) précise les mesures techniques et organisationnelles prises pour assurer un niveau élevé de sécurité dans le traitement des données à caractère personnel.
2 Liste des mesures techniques et organisationnelles
Les mesures de sécurité suivantes ont été explicitement convenues entre les parties :
1 Introduction
L'appendice III (Liste des sous-traitants) présente les sous-traitants du sous-traitant approuvés par le responsable du traitement. CCS signifie "Clauses contractuelles types" et désigne la dernière version des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en vertu du GDPR.
2 Liste des sous-traitants
Le contrôleur a approuvé les sous-traitants énumérés dans le tableau ci-dessous à la date d'entrée en vigueur du DPA. Le tableau est mis à jour de temps à autre :