Contrat de traitement des données

Dernière mise à jour :
January 17, 2025
Termes et conditions
Contrat de traitement des données
Table des matières
h2
Exemple H2
h3
Exemple H3
h4
Exemple H4
h5
Exemple H5
h6
Exemple H6

Cet addendum relatif au traitement des données (»Addenda») au contrat-cadre d'abonnement (»Entente») définit les obligations en matière de confidentialité, de protection des données et de sécurité des données applicables à Loop Now Technologies, Inc. et à ses filiales (collectivement »Prestataire de services») Traitement (défini ci-dessous) des données personnelles (définies ci-dessous) pour le compte du client ainsi que de l'une de ses filiales (collectivement, »Contrôleur des données») qui reçoivent des services de traitement (définis ci-dessous) dans le cadre du Contrat.

1. Traitement des données personnelles

  1. Le responsable du traitement est et restera le responsable du traitement de toutes les informations fournies par le responsable du traitement au fournisseur de services ou collectées par le fournisseur de services dans le cadre du contrat qui identifient ou peuvent être utilisées pour identifier, décrire, contacter, localiser ou être liées ou associées de toute autre manière à ou associées à une personne ou un ménage (»Données personnelles») en vertu des lois et réglementations applicables en matière de confidentialité, de protection des données et de sécurité des données régissant le traitement des données personnelles (collectivement, « Loi (s) applicable (s) en matière de protection des données »). Les données personnelles n'incluent pas les données personnelles traitées par le fournisseur de services en sa qualité de responsable du traitement. Le responsable du traitement des données conserve les droits et obligations de déterminer les finalités pour lesquelles les données personnelles sont traitées (y compris, mais sans s'y limiter, la collecte, l'enregistrement, le stockage, l'utilisation, l'accès, la transmission et les moyens par lesquels les données personnelles peuvent être transférées vers un pays tiers ou une organisation internationale) (»Procédé» ou »Traitement»). Rien dans cet addendum ne doit restreindre ou limiter de quelque manière que ce soit les droits ou obligations du responsable du traitement en tant que responsable du traitement des données personnelles à ces fins.
  2. Le fournisseur de services ne traitera les données personnelles que conformément aux instructions du responsable du traitement et pour son compte, dans la mesure nécessaire à la réalisation des objectifs du contrat conformément à l'annexe A, ou conformément à l'autorisation écrite du responsable du traitement (»Services de traitement»), et dans aucun autre but. Le fournisseur de services ne doit pas s'engager dans la vente de données personnelles. Lorsqu'une loi applicable sur la protection des données oblige le fournisseur de services à traiter les données personnelles dans des conditions autres que celles du présent addendum, ou selon d'autres instructions écrites du responsable du traitement, le fournisseur de services doit informer le contrôleur des données de cette obligation légale avant le traitement conformément à l'exigence légale, sauf si la loi applicable interdit la divulgation. En outre, le fournisseur de services informera le responsable du traitement si, selon son évaluation, l'une des instructions du responsable du traitement enfreint les lois applicables en matière de protection des données, à moins que la loi applicable n'interdise la divulgation.
  3. Le fournisseur de services informera rapidement le responsable du traitement par écrit de toute demande, plainte, réclamation ou autre communication reçue par le fournisseur de services ainsi que les agents, sous-traitants ou autres tiers autorisés par le responsable du traitement à traiter les données personnelles (»Sous-processeur (s)») concernant les données personnelles : (i) d'une personne qui est (ou prétend être) la personne concernée par les données personnelles ; (ii) de toute autorité de protection des données, d'un organisme chargé de l'application de la loi ou de toute autre autorité gouvernementale ; et/ou (iii) d'employés du responsable du traitement ou d'autres tiers, autres que ceux indiqués dans cet addendum. Sauf si la loi applicable l'interdit, le fournisseur de services informera le responsable du traitement de toute demande de ce type et obtiendra le consentement écrit exprès du responsable du traitement avant de divulguer ou de partager des données personnelles en réponse à de telles demandes, et le fournisseur de services ne répondra à ces demandes que s'il y est autorisé par le responsable du traitement. Sous réserve de la loi applicable, si le fournisseur de services reçoit une demande d'une autorité gouvernementale d'une juridiction exigeant la divulgation de données personnelles à cette autorité gouvernementale, le fournisseur de services tentera de rediriger l'autorité gouvernementale pour qu'elle demande ces données personnelles directement au responsable du traitement. Nonobstant toute disposition contraire, le fournisseur de services doit également coopérer raisonnablement avec le responsable du traitement des données et fournir une assistance raisonnable au responsable du traitement des données et à ses filiales, agents, sous-traitants et représentants pour répondre aux demandes, demandes, réclamations et plaintes concernant le traitement des données personnelles.
  4. Le fournisseur de services garantit que toutes les personnes autorisées à traiter des données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
  5. Sur demande, le fournisseur de services fournira une coopération et une assistance raisonnables au responsable du traitement pour garantir le respect des obligations en matière de sécurité des données, ainsi que pour la réalisation de toute analyse d'impact sur la protection des données ou activité similaire, y compris, mais sans s'y limiter, en fournissant une description systémique des opérations de traitement envisagées, une assistance raisonnable pour évaluer les risques pour les droits et libertés des personnes concernées par les données personnelles, et/ou une assistance raisonnable pour évaluer la nécessité et la proportionnalité de les opérations de traitement en relation avec la finalité sous-jacente. Le fournisseur de services doit également coopérer raisonnablement et fournir toute assistance ou information raisonnablement demandée et nécessaire au responsable du traitement pour engager des consultations avec les autorités réglementaires ou répondre de toute autre manière aux demandes d'informations émanant de ces autorités.

2. TMesures de sécurité techniques et organisationnelles

Le fournisseur de services doit mettre en œuvre et maintenir un programme écrit de sécurité de l'information (»Programme de sécurité de l'information») qui comprend des garanties administratives, techniques, organisationnelles et physiques appropriées pour protéger les données personnelles, y compris, le cas échéant : (i) la pseudonymisation et le cryptage des données personnelles électroniques en transit et le hachage des données personnelles électroniques au repos ; (ii) la capacité à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement, y compris contre l'accès, l'utilisation, la divulgation, la modification ou la destruction non autorisés des données personnelles ; (iii) le capacité à rétablir en temps opportun la disponibilité et l'accès aux données personnelles en cas d'incident physique ou technique ; et (iv) un processus permettant d'évaluer régulièrement et d'évaluer l'efficacité des mesures administratives, techniques, organisationnelles et physiques visant à garantir la sécurité du traitement.

3. Incident de sécurité

  1. Nonobstant toute disposition contraire du présent addendum ou de l'accord, le fournisseur de services informera le responsable du traitement des données rapidement par écrit, mais au plus tard quarante-huit (48) heures après leur découverte (sauf si un délai plus court est requis par la loi applicable sur la protection des données) dans les cas suivants : (i) le fournisseur de services apprend que des données personnelles sont traitées par le fournisseur de services (y compris ses sous-traitants) en violation du présent addendum ou de la loi applicable sur la protection des données ; (ii) le fournisseur de services (y compris (ses sous-traitants) découvrent, en sont informés, ou soupçonne raisonnablement une violation de la sécurité entraînant ou pouvant entraîner la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisés à des données personnelles ; ou (iii) le fournisseur de services prend connaissance de plaintes formelles concernant ses pratiques en matière de confidentialité, de protection des données ou de sécurité des données (collectivement, »Incident de sécurité»).
  2. Le fournisseur de services doit coopérer raisonnablement à l'enquête et à la résolution de l'incident de sécurité, et prendre des mesures raisonnables pour limiter toute nouvelle divulgation ou tout traitement non autorisé de données personnelles en lien avec l'incident de sécurité.

4. Sous-processeurs

Les parties conviennent que le fournisseur de services est généralement autorisé à utiliser des sous-processeurs et que ces sous-processeurs peuvent utiliser des sous-processeurs. L'annexe C de cet addendum comprend une liste à jour des sous-traitants utilisés par le fournisseur de services. Le fournisseur de services informera le responsable du traitement des données en cas de modification concernant l'ajout ou le remplacement de tels sous-traitants. Le fournisseur de services reste à tout moment responsable et entièrement responsable envers le responsable du traitement des données pour l'exécution de ses obligations par les sous-traitants. Le fournisseur de services doit également s'assurer que chaque sous-traitant est capable de fournir le niveau de protection des données personnelles requis par le présent addendum et conclure un accord écrit contraignant avec chaque sous-traitant qui impose des obligations identiques ou supérieures à celles du fournisseur de services telles qu'énoncées dans cet addendum.

5. Droits des personnes concernées

Le fournisseur de services informera rapidement le responsable du traitement des données si le fournisseur de services reçoit une demande d'une personne concernant ses données personnelles et le fournisseur de services doit raisonnablement aider le contrôleur des données en mettant en œuvre des mesures administratives, techniques et organisationnelles appropriées pour répondre à ces demandes. Le responsable du traitement déterminera si une personne concernée a le droit d'exercer les droits de la personne concernée mentionnés ci-dessus ou en vertu de la loi applicable sur la protection des données en ce qui concerne ses données personnelles, et donnera des instructions au fournisseur de services dans la mesure où une assistance raisonnable est requise.

6. Droits d'audit

Le fournisseur de services doit tenir des registres complets et exacts relatifs à tous les traitements de données personnelles pour le compte du responsable du traitement dans le cadre des services de traitement, et le contrôleur des données peut demander, moyennant un préavis écrit de dix (10) jours au fournisseur de services, un audit, par lui-même ou par l'intermédiaire d'un auditeur tiers indépendant. L'audit ne peut être effectué qu'une fois par année civile. Les audits seront soumis à toutes les obligations de confidentialité applicables convenues par le responsable du traitement et le fournisseur de services, et tout auditeur indépendant sera tenu de conclure un accord de non-divulgation avec le fournisseur de services, contenant des dispositions de confidentialité essentiellement similaires à celles énoncées dans l'accord visant à protéger les informations confidentielles et exclusives du fournisseur de services. Les audits doivent être menés de manière à minimiser toute interruption de la performance des services et des autres opérations normales du fournisseur de services. Pour éviter toute ambiguïté, toute information divulguée par le fournisseur de services dans le cadre de cet addendum sera soumise aux dispositions de confidentialité (y compris la non-utilisation) du Contrat.

7. Transferts transfrontaliers depuis l'EEE

  1. UE Clauses contractuelles types. Dans la mesure requise par les lois applicables en matière de protection des données, les parties conviennent que les clauses annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 pour le transfert de données personnelles vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (»CCT de l'UE») s'appliquera aux données personnelles transférées en vertu de l'Accord depuis l'Espace économique européen ou la Suisse, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors de l'Espace économique européen ou de la Suisse qui n'est pas reconnu par la Commission européenne (ou, dans le cas de transferts depuis la Suisse, l'autorité compétente pour la Suisse) comme fournissant un niveau de protection adéquat des données personnelles (»Transfert restreint«). Pour les transferts de données en provenance de l'Espace économique européen qui sont soumis aux CCT de l'UE, les CCT de l'UE, module 2 (du responsable du traitement au sous-traitant), seront réputés avoir été conclus (et intégrés dans cet addendum par cette référence) et complétés comme suit :
    1. Dans la clause 7, la clause d'amarrage facultative s'appliquera ;
    2. Dans la Clause 9, l'Option 2 s'appliquera et le délai de notification des modifications apportées au Sous-processeur sera celui indiqué dans la Section 4 (Sous-processeurs) du présent Addendum ;
    3. Dans la clause 11, le libellé facultatif relatif à la réparation ne s'appliquera pas ;
    4. Dans la clause 13 (a), les trois options peuvent être conservées et s'appliquer, selon les circonstances, et le cas échéant, lorsque le transfert entre dans le champ d'application territorial du règlement (UE) 2016/679 ;
    5. Dans la clause 17, les CCT de l'UE seront régies par le droit irlandais ;
    6. Dans la Clause 18 (b), les litiges seront résolus devant les tribunaux irlandais ; et
    7. L'annexe A (Description du traitement) de cet addendum fait office d'annexe I des CCT de l'UE ; l'annexe B (Mesures de sécurité techniques et organisationnelles mises en œuvre par le fournisseur de services) de cet addendum fait office d'annexe II des CCT de l'UE et l'annexe C (liste des sous-processeurs) sert d'annexe III des CCT de l'UE.

      En outre, la signature de cet addendum constituera toutes les signatures nécessaires et requises pour les CCT de l'UE.
  2. Addendum britannique. En ce qui concerne les données personnelles protégées par le règlement (UE) 2016/679, car elles font partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de la loi de 2018 sur le retrait de l'Union européenne (la »GDPR (ROYAUME-UNI)«), l' « Addendum britannique aux clauses contractuelles types de l'UE » (»Addendum britannique«) s'applique. Dans la mesure où l'addendum britannique s'applique, les annexes A, B et C du présent addendum s'appliquent également. Pour les transferts de données en provenance du Royaume-Uni qui sont soumis à l'addendum britannique, l'addendum britannique sera considéré comme conclu (et incorporé dans cet addendum par cette référence) et complété comme suit :
    1. Pour le tableau 1, les détails figurant à l'annexe A du présent additif s'appliquent ;
    2. Pour le tableau 2, la case à cocher faisant référence aux éléments suivants s'applique :
      1. « Les CCT de l'UE approuvées, y compris les informations figurant en annexe, seuls les modules, clauses ou dispositions facultatives des CCT approuvées de l'UE sont entrés en vigueur aux fins de l'addendum britannique. »
      2. Dans le tableau, le module 2 s'applique et doit être rempli de la même manière que les CCT de l'UE, comme indiqué dans la section 6 (a) (Clauses contractuelles types de l'UE) ci-dessus.
    3. Pour le tableau 3, les dispositions suivantes s'appliquent aux colonnes référencées : l'annexe A (Description du traitement) du présent addendum s'applique aux colonnes intitulées Annexe IA et Annexe IB ; l'annexe B (Mesures de sécurité techniques et organisationnelles mises en œuvre par le fournisseur de services) du présent addendum s'applique à la colonne intitulée Annexe II ; et l'annexe C (Liste des sous-processeurs) s'applique à la colonne intitulée Annexe III.
    4. Pour le tableau 4, seul l'exportateur a le droit de mettre fin à cet addendum.

      En outre, la signature de cet addendum constituera toutes les signatures nécessaires et requises pour l'addendum britannique.

8. Après la résiliation

Nonobstant toute autre disposition contraire du Contrat ou du présent Addendum, lorsque le Fournisseur de services (y compris ses sous-traitants) cesse de fournir des Services de traitement pour le Responsable du traitement à la résiliation du Contrat ou pour toute autre raison (par exemple, à la demande ou sur instruction explicite du Responsable du traitement), le Fournisseur de services doit, à la demande du Responsable du traitement et dans les soixante (60) jours suivant la demande : (i) renvoyer les données personnelles (et tous les supports contenant des copies des données personnelles) au Responsable du traitement ; et/ou (ii)) purger, supprimer et détruire en toute sécurité les données personnelles pour dans la mesure du possible, à moins que la législation imposée au fournisseur de services ne l'empêche de retourner ou de détruire tout ou partie des données personnelles transférées. Les supports électroniques contenant des données personnelles doivent être éliminés de manière à rendre les données personnelles irrécupérables.

9. Entrée dans l'addendum

Chaque entité responsable du traitement des données qui recevra des services de traitement dans le cadre du Contrat sera habilitée et liée par les droits et obligations du présent Addendum et aura le droit d'être ajoutée en tant que signataire à cet Addendum, et le Contrôleur des données aura le pouvoir de signer cet Addendum au nom de ses affiliés. Nonobstant toute disposition contraire, chaque entité responsable du traitement des données exercera ses droits en vertu du présent addendum par l'intermédiaire de l'entité responsable du traitement qui est l'un des signataires originaux de cet addendum, sauf disposition contraire de la législation applicable en matière de protection des données. Quoi qu'il en soit, le fournisseur de services est lié et tenu de respecter toutes les obligations du présent addendum envers chaque entité responsable du traitement des données ajoutée à cet addendum.

10. Homologues

Cet addendum peut être exécuté en un ou plusieurs exemplaires, chacun d'entre eux étant considéré comme un original, mais qui, pris ensemble, constitueront un seul et même accord.