En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser son utilisation et de contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Accord sur le traitement des données

Mise à jour 2024-05-28

Table des matières

1 Introduction

2 Accords Documents

3 Traitement des données à caractère personnel

4 Mesures de sécurité

5 Transfert en dehors de l'UE/EEE

6 Utilisation de sous-traitants

7 Fonctions du sous-traitant

8 Violation de données à caractère personnel

9 Confidentialité

10 Rémunération

11 Passif

12 Durée et résiliation

13 Retour et destruction des données à caractère personnel

14 Droit applicable et règlement des litiges

Annexes

Annexe I - Liste des parties et description du traitement

Annexe II - Mesures techniques et organisationnelles

Annexe III - Liste des sous-traitants

Le présent accord de traitement des données ("DPA") fait partie de l'accord entre 360Player AB ("Processor"), en tant que processeur de données, et le client qui est partie à l'accord ("Controller"), en tant que responsable du traitement des données. En cas de conflit entre le présent DPA et l'accord, le présent DPA prévaudra en ce qui concerne le traitement des données à caractère personnel.

Le contrôleur et le sous-traitant sont désignés conjointement comme les "parties" et chacun d'entre eux comme une "partie".

1 - Introduction

1.1 Afin d'exécuter ses obligations en vertu de l'Accord, le Processeur traitera des données à caractère personnel pour le compte du Contrôleur. Le présent DPA constitue une annexe à l'Accord et réglemente le traitement des données à caractère personnel conformément aux dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données "RGPD") et de toute loi nationale ou de l'Union européenne applicable de temps à autre ("Législation applicable en matière de protection des données").

1.2 En cas de conflit ou d'incohérence entre l'accord et le présent DPA concernant le traitement des données à caractère personnel, les dispositions du DPA prévalent.

2 - Documents relatifs aux accords

2.1 Les annexes suivantes sont incorporées par référence dans le présent DPA :

Annexe I - "Description du traitement

Annexe II - Mesures techniques et organisationnelles

Annexe III - Liste des sous-traitants

3 - Traitement des données à caractère personnel

3.1 L'objet, la durée, la nature et la finalité du traitement sont indiqués à l'annexe I (description du traitement).

3.2 Le contrôleur est chargé de veiller à ce que le traitement soit effectué conformément à la législation applicable en matière de protection des données et de fournir au sous-traitant des instructions précises et suffisantes.

3.3 Le sous-traitant s'engage à ne traiter les données à caractère personnel que conformément aux instructions données dans le cadre du présent DPA, de l'accord et des instructions documentées données par le contrôleur de temps à autre, à moins que le traitement ne soit requis par la législation applicable en matière de protection des données. Dans ce cas, le sous-traitant informe le contrôleur du traitement et des exigences légales sur lesquelles le traitement est fondé, avant de traiter les données à caractère personnel, à moins que la fourniture de ces informations ne soit interdite en vertu de la législation applicable en matière de protection des données.

3.4 Le sous-traitant informe rapidement le contrôleur si :

(i) le sous-traitant n'est pas en mesure de remplir les obligations qui lui incombent en vertu du DPA ;

(ii) le sous-traitant estime que les instructions fournies par le contrôleur enfreignent la législation applicable en matière de protection des données ; ou

(iii) le sous-traitant estime que les instructions fournies par le contrôleur sont inadéquates ou incorrectes.

Dans ce cas, le contrôleur ajuste ses instructions.

4 - Mesures de sécurité

4.1 Les parties prennent les mesures de sécurité techniques et organisationnelles appropriées nécessaires pour assurer un niveau de sécurité adapté aux risques présentés lors du traitement des données à caractère personnel et, le cas échéant, mettent en œuvre et maintiennent les mesures de sécurité techniques et organisationnelles visées à l'article 32 du RGPD.

4.2 Les mesures de sécurité techniques et organisationnelles convenues entre les Parties sont exposées à l'Annexe II (Mesures techniques et organisationnelles). Le contrôleur veille à ce que ces mesures soient conformes aux dispositions de la législation applicable en matière de protection des données.

5 - Transfert en dehors de l'UE/EEE

5.1 Le sous-traitant peut parfois transférer des données à caractère personnel vers un pays situé en dehors de l'UE/EEE conformément aux instructions fournies par le responsable du traitement, comme indiqué dans les annexes du présent DPA, telles que mises à jour de temps à autre. Si des données à caractère personnel sont transférées vers un pays situé en dehors de l'UE/EEE, les parties veillent à ce que le transfert soit soumis à un mécanisme de transfert adéquat conformément au chapitre V du GDPR, par exemple en exécutant le module applicable des Clauses contractuelles types approuvées par la Commission européenne ou des règles d'entreprise contraignantes. Dans la mesure où cela est nécessaire pour assurer une protection adéquate des données à caractère personnel, les parties conviennent de garanties supplémentaires à l'annexe III (liste des sous-traitants).

6 - Utilisation de sous-traitants

6.1 Le sous-traitant obtient par la présente une autorisation générale écrite du responsable du traitement pour utiliser des sous-traitants secondaires afin de traiter des données à caractère personnel pour le compte du responsable du traitement. La liste des sous-traitants autorisés par le responsable du traitement pour le traitement des données à caractère personnel à la date d'entrée en vigueur du présent DPA figure à l'annexe III (liste des sous-traitants). Le sous-traitant informe le responsable du traitement par écrit de l'ajout ou du remplacement de sous-traitants secondaires au moins 30 jours avant que le changement n'ait lieu, afin de donner au responsable du traitement la possibilité de s'opposer au changement.

6.2 Le contrôleur a le droit de s'opposer par écrit dans un délai de 20 jours à compter de la date à laquelle le sous-traitant l'a informé du changement. Le contrôleur peut s'opposer à l'utilisation d'un sous-traitant ultérieur uniquement s'il a des raisons de croire que le sous-traitant ultérieur ne respecte pas les exigences de la législation applicable en matière de protection des données et indiquer les raisons de l'objection. Le sous-traitant fournit au contrôleur les informations nécessaires à l'exercice de son droit d'opposition.

6.3 Le sous-traitant doit veiller à ce qu'un accord écrit impose aux sous-traitants secondaires des obligations au moins équivalentes à celles imposées au sous-traitant en vertu de la présente DPA en ce qui concerne le traitement des données à caractère personnel. Le sous-traitant est pleinement responsable envers le contrôleur de l'exécution par le sous-traitant ultérieur de ses obligations, comme de ses propres obligations en vertu du présent DPA.

7 - Obligations du sous-traitant

7.1 Le sous-traitant, à la demande raisonnable du responsable du traitement, aide ce dernier, dans la mesure du possible et compte tenu de la nature du traitement, à s'acquitter de ses obligations de répondre aux demandes des personnes concernées d'exercer leurs droits en vertu de la législation applicable en matière de protection des données. Le sous-traitant notifie au responsable du traitement, dans un délai de 30 jours, toute demande émanant de personnes concernées. Le sous-traitant ne peut répondre à aucune demande sans l'instruction écrite préalable spécifique du responsable du traitement.

7.2 Le sous-traitant, dans la mesure du possible, compte tenu de la nature du traitement et des informations dont il dispose, aide le responsable du traitement à s'acquitter des obligations qui lui incombent en vertu des articles 32 à 36 du GDPR.

7.3 "Le sous-traitant fournit au contrôleur, à sa demande raisonnable, les informations nécessaires pour démontrer qu'il respecte les obligations du RGPD.

7.4 "Si, conformément à la législation applicable en matière de protection des données, le sous-traitant est tenu de divulguer aux autorités de contrôle des données à caractère personnel qu'il traite pour le compte du contrôleur, le sous-traitant en informe le contrôleur et demande la confidentialité en ce qui concerne la divulgation des informations demandées.

7.5 "Sur demande raisonnable du contrôleur ou d'un auditeur externe désigné par le contrôleur, le sous-traitant autorise un audit dans le but de vérifier que le traitement des données à caractère personnel par le sous-traitant est effectué conformément à la législation applicable en matière de protection des données et au présent DPA. Tout auditeur tiers est aux frais du responsable du traitement.

8 - Violation de données à caractère personnel

8.1 Le sous-traitant notifie par écrit au contrôleur, dans un délai raisonnable, toute violation de données à caractère personnel dont il a connaissance et qui concerne des données à caractère personnel traitées par le sous-traitant pour le compte du contrôleur. Dans la mesure où cette violation a eu lieu chez le sous-traitant, le sous-traitant fournit au contrôleur une description de la violation, de sa nature, de ses conséquences probables et des informations sur les mesures prises ou qu'il est proposé de prendre pour remédier à la violation et en atténuer les conséquences.

8.2 Si le contrôleur notifie une violation à l'autorité de surveillance, le sous-traitant doit, à la demande raisonnable du contrôleur, l'aider et lui fournir les informations demandées.

9 - Confidentialité

9.1 Le sous-traitant s'engage à ne pas divulguer ou mettre à la disposition d'un tiers les données à caractère personnel traitées dans le cadre du présent DPA sans le consentement écrit préalable du contrôleur, à l'exception des sous-traitants secondaires engagés conformément au présent DPA.

9.2 Le sous-traitant veille à ce que seuls les membres du personnel et les autres représentants qui doivent avoir accès aux données à caractère personnel aient accès à ces informations. Le sous-traitant veille à ce que ces personnes soient liées par des engagements de confidentialité ou soumises à une obligation légale de confidentialité.

9.3 Le sous-traitant s'engage à veiller à ce que des accords de confidentialité soient conclus avec tous les sous-traitants secondaires engagés dans le cadre du présent DPA.

10 - Rémunération

10.1 Le sous-traitant a droit à une rémunération raisonnable pour les coûts et le travail qu'il a encourus du fait de ses obligations telles que spécifiées ci-dessous :

(i) Le contrôleur ajuste ses instructions conformément à la section 3.1 ci-dessus.

(ii) le contrôleur ajuste ses instructions conformément à la section 4.2 ci-dessus.

(iii) le sous-traitant assiste le contrôleur dans le cadre d'un audit conformément à l'article 7.5 ci-dessus.

11 - Responsabilité

11.1 Les parties reconnaissent qu'elles sont respectivement responsables, comptables et redevables dans leurs rôles respectifs de responsable du traitement et de sous-traitant en vertu des exigences énoncées dans le GDPR et le présent DPA. Les amendes, frais ou sanctions administratives imposés par l'autorité de contrôle et/ou l'indemnisation des personnes concernées sont soumis aux dispositions relatives à la responsabilité énoncées aux articles 82 à 84 du GDPR. Si une partie traite des données à caractère personnel en violation du présent DPA ou de la législation applicable en matière de protection des données, elle doit indemniser l'autre partie pour les dommages directs subis en raison de ce traitement illicite et/ou de la violation du présent DPA, conformément aux limitations de responsabilité énoncées dans l'accord.

12 - Durée et résiliation

12.1 Le présent DPA entre en vigueur lorsque l'accord est signé par les deux parties et reste en vigueur par la suite tant que le sous-traitant traite des données à caractère personnel pour le compte du contrôleur.

12.2 Le sous-traitant a le droit de résilier immédiatement le DPA par notification écrite au contrôleur si les instructions données par le contrôleur enfreignent la législation applicable en matière de protection des données et si le contrôleur, après avoir été informé de ces circonstances, insiste par la suite sur l'application de ces instructions.  

13 - Restitution et destruction des données à caractère personnel

13.1 En cas de résiliation ou d'expiration du présent DPA, le sous-traitant doit, sans délai excessif, cesser de traiter les données à caractère personnel et, à la demande écrite du contrôleur, supprimer toutes les données à caractère personnel du contrôleur et effacer toutes les copies restantes, sauf si la législation applicable en matière de protection des données l'exige.

14 - Droit applicable et règlement des litiges

14.1 Le DPA est régi par le droit suédois, à l'exclusion des règles de conflit de lois applicables.

14.2 Tout litige découlant du DPA ou en rapport avec celui-ci est définitivement réglé conformément à la disposition relative à la résolution des litiges figurant dans l'accord.

Annexe I - Description du traitement

1 Introduction

L'annexe I (Description du traitement) décrit le traitement des données à caractère personnel dans le cadre du RGPD.

2 Description de la transformation

Pour les contrôleurs qui disposent d'une législation locale en matière de protection de la vie privée, il est essentiel de comprendre quelles sont les données qui font l'objet d'une classification spéciale dans la législation locale en matière de protection de la vie privée. Il est recommandé de réduire au minimum la collecte de données sensibles et 360Player demandera toujours aux utilisateurs de consentir aux conditions d'utilisation et à la politique de confidentialité.

Catégories de personnes concernées

Les catégories suivantes de personnes concernées sont incluses dans le traitement :

Employés et personnel du contrôleur

Membres du contrôleur et tuteurs légaux des membres

Catégories de données à caractère personnel traitées par le responsable du traitement

Les données personnelles suivantes seront traitées :

Nom

Date de naissance

Courriel

Numéro de téléphone

Adresse

Catégories particulières de données à caractère personnel que les responsables du traitement peuvent traiter

Les catégories spéciales de données à caractère personnel suivantes seront incluses dans le traitement :

☐ Données génétiques

Données biométriques

Données relatives à la santé

Autres données que le responsable du traitement doit collecter (champs de données personnalisés)

Nature et finalité du traitement

Le sous-traitant traite les données à caractère personnel aux fins suivantes :

Les données personnelles seront traitées pour permettre au contrôleur d'utiliser le système conformément à l'objectif de la plate-forme.

Durée de la transformation

Les données à caractère personnel seront traitées conformément à ce qui suit :

La durée du traitement correspond à la durée de l'accord ou jusqu'à ce que le responsable du traitement supprime les données. Par la suite, les données à caractère personnel seront traitées aussi longtemps que l'exige la législation applicable en matière de protection des données.

Annexe II - Mesures techniques et organisationnelles

1 Introduction

L'annexe II (Mesures techniques et organisationnelles) précise les mesures techniques et organisationnelles prises pour assurer un niveau élevé de sécurité dans le traitement des données à caractère personnel.

2 Liste des mesures techniques et organisationnelles

Les mesures de sécurité suivantes ont été explicitement convenues entre les parties :

  • 360Player est hébergé avec le protocole de sécurité le plus élevé chez Microsoft Azure et l'authentification à deux facteurs.
  • Le trafic au sein de l'application utilise le cryptage SSL (TLS 1.2).
  • 360Player les membres du personnel sont soumis à des accords de confidentialité et ont un accès limité aux données du contrôleur.
  • Les utilisateurs de l'organisation peuvent être structurés de manière à obtenir un accès limité aux données au sein de la plateforme.
  • 360Player prend en charge l'authentification unique (SSO) et la synchronisation des répertoires pour le cycle de vie des utilisateurs et le provisionnement.
  • 360Player et ses services sont pleinement conformes au GDPR et prennent des mesures trimestrielles pour vérifier la conformité.
  • Des protocoles sont en place pour signaler les contenus générés par les utilisateurs.
  • Les pistes d'audit existent au niveau du compte et de l'utilisateur.
  • Il est possible de surveiller les chats auxquels participent des mineurs.
  • Accord de niveau de service disponible sur demande.

Annexe III - Liste des sous-traitants

1 Introduction

L'appendice III (Liste des sous-traitants) présente les sous-traitants du sous-traitant approuvés par le responsable du traitement. CCS signifie "Clauses contractuelles types" et désigne la dernière version des clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en vertu du GDPR.

2 Liste des sous-traitants

Le contrôleur a approuvé les sous-traitants énumérés dans le tableau ci-dessous à la date d'entrée en vigueur du DPA. Le tableau est mis à jour de temps à autre :

NOM DE L'ENTREPRISE
ADRESSE
Lieu du traitement (pays)
Description du traitement
Catégories de données personnelles.
Mécanisme de transfert (pour les transferts en dehors de l'UE/EEE)
Envoyer la grille
ÉTATS-UNIS
Courriels transactionnels
Courriel, nom
CCN
Aide à la recherche
ÉTATS-UNIS
Support CUSTOmer
EMAIL, NOM
CCN
Duda
IRLANDE
Hébergement de sites web
N.A.
N.A.
Microsoft
Attn : Data Protection, One Microsoft Place South County Business Park, Leopardstown. Dublin 18, D18 P521, Irlande
IRLANDE
Stockage et hébergement dans le nuage
N.A.
N.A.
WOrk os
support@workos.com
ue, usa
sso
na
scc
Nuvei
attn : data protection officer, 4th floor, 8 bloomsbury street london, wc1b 3qd, united kingdom
mondial
prestataire de services de paiement
nom, email, produits
scc
grafana
raintank inc dba. grafana labs, 165 broadway, 23rd floor, new york, ny, 10006, états-unis d'amérique
mondial
mesures et analyses
n.d.
scc
vacances
holid ab, united spaces, götgatan 22a, 118 46, stockholm, suede
Suède
publicité
le sexe, l'âge, la famille
n.d.
sinch, mailjet
siège de paris, 4 rue jules lefebvre, 75009 paris, france
allemagne et belgique
courriel
nom, courriel
n.d.
mixpanel
mixpanel inc, one front street, 28th floor, san fransico, ca 94111
eu
mesures et analyses
n.d.
n.d.