Accord sur le Traitement des Données ("DPA")
Le présent DPA fait partie de l'Accord conclu entre Sign In App ("Sign In Solutions" ou "SIS") et vous (le " Client ") à la Date d'entrée en vigueur (telle que définie dans l'Accord). "Sign In Solutions" désigne l'entité avec laquelle vous avez conclu l'Accord et "nous" désigne Sign In Solutions, et toutes les références à l'Accord incluent le présent DPA (y compris les Clauses Contractuelles Types, telles que définies ci-dessous).
Tous les termes en majuscules qui ne sont pas définis dans le présent DPA ont la signification qui leur est donnée dans l'Accord. Le présent DPA s'applique lorsque, et uniquement dans la mesure où, SIS traite vos Données Personnelles qui sont protégées par les Lois sur la Privacité Applicables et les réglementations applicables au traitement des Données Personnelles dans le cadre du présent DPA. Les signatures d'assentiment de SIS et du Client à l'Accord seront considérées comme une signature, une acceptation et un accord du présent DPA et des Clauses Contractuelles Types qui y sont incorporées.
Définitions
“Accord” | désigne l'accord écrit ou électronique conclu entre le Client et SIS pour la fourniture de Produits par SIS au Client. |
“Affiliés” | désigne, en ce qui concerne SIS, les entités qui possèdent ou contrôlent, sont possédées ou contrôlées par, ou sont sous propriété ou contrôle commun avec SIS, comme indiqué plus loin à l'adressehttps://signinapp.com/terms/affiliated-companies/ |
“Lois sur la Privacité Applicables” | désigne toute loi ou réglementation relative à la confidentialité, à la sécurité ou à la protection des données, dans la mesure où elle s'applique au traitement des Données Personnel en vertu du présent DPA, y compris toute loi ou réglementation contraignante ratifiant, mettant en œuvre, adoptant, complétant ou remplaçant ce qui précède ; dans chaque cas, dans la mesure où elle est en vigueur, et telle qu'elle est mise à jour, amendée ou remplacée de temps à autre. |
“Personnel Autorisé” | désigne une personne (notamment un employé, un travailleur temporaire ou un travailleur intérimaire) autorisée à traiter des Données Personnelles sous l'autorité de SIS. |
“Demande de Données de l'Intéressé” | une demande d'une personne concernée d'exercer ses droits en ce qui concerne les Données Personnelles, comme le prévoient les Lois sur la Privacité Applicables. |
“Instructions” | désigne les instructions écrites du Client à SIS ordonnant à SIS de traiter les Données Personnelles conformément à l'Accord, à la présente DPA, par l'utilisation par le Client des caractéristiques et fonctionnalités des Produits fournis par SIS en vertu de l'Accord ou de toute autre manière convenue par écrit par les signataires autorisés des deux parties. |
“Données Personnelles du Client” | désigne toutes les données à caractère personnel que la SIS traite pour le compte du Client en tant que processeur conformément à l'Accord, et telles qu'elles sont plus particulièrement décrites dans le présent DPA. |
“Violation de Données Personnelles” | désigne une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles en possession de SIS ou sous son contrôle (y compris lorsqu'elles sont transmises ou stockées par SIS), ou l'accès à ces Données Personnelles. |
“Données Sensibles” | désigne (a) le numéro social, le numéro de passeport, le numéro de permis de conduire ou tout autre identifiant similaire ; (b) le numéro de carte de paiement ; (c) les informations relatives à l'emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) les informations raciales, ethniques, d'affiliation, d'appartenance syndicale ou sexuelles ; (e) les mots de passe de compte ; ou (f) toute autre information entrant dans la définition des "catégories spéciales de données" en vertu des Lois sur la Privacité Applicables. |
“Produits” | désigne les produits achetés par le Client dans le cadre de l'Accord. |
“Clauses Contractuelles Types" ou ("SCCs" ou "Clauses")” | désigne (i) les clauses contractuelles types pour les transferts internationaux publiées par la Commission Européenne le 4 juin 2021 régissant le transfert de données à caractère personnel de l'Espace Européen vers des pays tiers, telles qu'adoptées par la Commission Européenne et le Préposé Fédéral à la Protection des Données et à l'Information Suisse ("FDPIC Suisse") concernant les transferts de données vers des Pays Tiers (collectivement les " SCCs de l'UE ") ; (ii) l'addendum sur le transfert international de données (" Addendum sur le transfert au Royaume-Uni ") adopté par le Bureau du Commissaire à l'information du Royaume-Uni (" ICO du Royaume-Uni ") pour les transferts de données du Royaume-Uni vers des Pays tiers ; ou (iii) toute clause similaire adoptée par un régulateur de la protection des données concernant les transferts de données vers des Pays Tiers ; ou (iv) toute clause succédant aux points (i) - (iii). |
“Sous-processeurs” | désigne toute personne ou entité, y compris les sociétés affiliées de SIS, désignée par SIS ou en son nom pour traiter les Données Personnelles dans le cadre de l'Accord. |
“Pays Tiers” | désigne les pays qui, lorsqu'ils sont régis par les Lois sur la Privacité Applicables, n'ont pas reçu de décision d'adéquation de la part d'une autorité applicable concernant les transferts de données, y compris les régulateurs tels que la Commission Européenne, l'ICO du Royaume-Uni, ou le FDPIC de la Suisse. |
Dans le présent DPA, les termes suivants (et tout terme substantiellement similaire tel que défini dans les Lois sur la Privacité Applicables) auront la signification et seront interprétés conformément aux Lois sur la Privacité Applicables : "Entreprise", "Contrôleur de données", "Processeur de données", "Personne concernée", "Vente", "Prestataire de services", "Partage", " Autorité de contrôle", "Traitement(s)" et "Transfert". |
Traitement des Données
- Rôles de chacune des parties. Entre la SIS et le Client, le Client est le responsable du traitement des Données Personnelles du Client, et la SIS traitera les Données Personnelles du Client uniquement en tant que processeur agissant pour le compte du Client, comme décrit dans l'Annexe A (Détails du Traitement) de ce DPA.
- Limitation de l'Objectif. La SIS traitera les Données Personnelles du Client uniquement en relation avec les arrangements envisagés dans le cadre de ce DPA et conformément aux instructions légales documentées du Client, sauf si le droit applicable en dispose autrement. Le client donne instruction à la SIS et à ses sous-processeurs de traiter les Données Personnelles du Client dans la mesure où cela est raisonnablement nécessaire à la fourniture des Produits envisagés par l'Accord et à l'exécution de ses obligations en vertu de l'Accord.
- Description du Traitement. Une description de la nature et des finalités du traitement, des types de Données Personnelles, des catégories de Personnes Concernées et de la durée du traitement est présentée à l'annexe A du présent DPA.
- Données sensibles. Il appartient au client de s'assurer que des mesures de protection appropriées sont en place avant de transmettre ou de traiter, ou avant d'autoriser les Utilisateurs du Client à transmettre ou à traiter, toute Donnée Sensible par l'intermédiaire des Produits. Le Client doit prendre les mesures supplémentaires (par exemple en matière de sécurité et de consentement) qui sont nécessaires pour protéger ces Données Sensibles conformément aux obligations qui lui incombent en vertu de toutes les Lois sur la Privacité Applicables.
- Pays Tiers. Dans la mesure où ces données sont transférées vers un Pays Tiers en vertu de ce DPA, les parties acceptent de se conformer aux SCCs, le cas échéant, pour de tels transferts. En particulier, les transferts de Données Personnelles de l'Union européenne, de l'Espace économique européen, de la Suisse ou du Royaume-Uni de Grande-Bretagne et d'Irlande du Nord ("Royaume-Uni") vers des Pays Tiers sont soumis aux Clauses Contractuelles Types, Module Trois. Les informations requises aux fins des SCCs figurent à l'annexe C du présent DPA. Les SCCs sont intégrées à l'Accord et l'acceptation par les parties du présent DPA constitue l'acceptation et la signature par les parties des Clauses Contractuelles Types. En cas de conflit entre les clauses de l'Accord et les SCCs, ce sont les clauses des SCCs qui prévalent. Nonobstant ce qui précède, si des mécanismes de transfert de données sont approuvés en vertu des Lois sur la Privacité Applicables, les parties peuvent convenir d'utiliser ces mécanismes de transfert de données en lieu et place des Clauses Contractuelles Types.
- Conformité du Client. Dans le cadre de son utilisation des Produits, le Client traitera à tout moment les Données Personnelles, et fournira les Instructions pour le traitement des Données Personnelles, en conformité avec les Lois sur la Privacité Applicables. Le client déclare et garantit qu'il a obtenu ou obtiendra tous les consentements, licences et approbations nécessaires au Traitement des Données Personnelles dans le cadre du présent DPA et, le cas échéant, qu'il dispose d'une base juridique valide en vertu des Lois sur la Privacité Applicables pour le Traitement des Données Personnelles dans le cadre du présent DPA. Si le client est un responsable du traitement des Données Personnelles, il déclare et garantit que ses instructions et son traitement des Données Personnelles, y compris sa désignation de SIS en tant que sous-processeur, ont été autorisés par le responsable respectif du traitement des Données Personnelles. Le client déclare et garantit en outre (i) qu'il se conformera à toutes les Lois sur la Privacité Applicables dans le cadre de l'exécution du présent DPA ; et (ii) qu'il a examiné les pratiques de sécurité de SIS et reconnaît que ces pratiques sont conçues de manière appropriée pour garantir un niveau de sécurité adapté au risque de traitement prévu par le présent Accord.
- Obligations de notifications concernant l'instruction du Client. La SIS informera rapidement le Client par écrit, sans obligation de fournir un avis juridique, à moins que les Lois sur la Privacité Applicables ne l'interdisent, si elle apprend ou croit qu'une instruction de traitement de données du Client viole les Lois sur la Privacité Applicables.
Restitution ou Suppression des Données
- Une fois les Produits achevés, SIS renvoie ou supprime les Données Personnelles conformément à l'Accord ou à la documentation de service applicable, ou donne au Client la possibilité de supprimer ces Données Personnelles directement par le biais des outils ou des fonctionnalités mis à disposition par le Service. Les obligations susmentionnées ne s'appliquent pas (a) lorsque la suppression n'est pas autorisée par la loi applicable (y compris les Lois sur la Privacité Applicables) ou l'ordre d'un organisme gouvernemental ou réglementaire ; (b) lorsque SIS conserve ces Données Personnelles pour la tenue de registres internes et le respect de toute obligation légale ; et (c) lorsque le système de conservation des données de SIS ou un système de sauvegarde similaire stocke les Données Personnelles à condition que ces données restent protégées conformément aux mesures décrites dans l'Accord et dans le présent DPA.
Personnel Autorisé
- La SIS veille à ce que tout le Personnel Autorisé soit informé de la nature confidentielle des Données Personnelles et ait signé des accords de confidentialité ou soit soumis à d'autres obligations de confidentialité contraignantes qui lui interdisent de divulguer ou de traiter de quelque manière que ce soit des Données Personnelles, sauf en conformité avec les Instructions et leurs obligations en rapport avec les Produits.
- La SIS prend des mesures commercialement raisonnables pour s'assurer que le personnel autorisé a reçu une formation à la sécurité et à la protection de la vie privée adaptée à la nature du traitement des données personnelles et aux exigences des Lois sur la Privacité Applicables.
Sous-processeurs SIS
- Le Client autorise par écrit la SIS à engager des Sous-processeurs pour le traitement (y compris le transfert) des Données Personnelles en relation avec les Produits, conformément à la présente section 4.
- A list of SIS’s current Sub-processors (the “Sub-processor List”) is available at (such URL may be updated by SIS from time to time upon notice to Customer). These Sub-processors will be deemed authorized by Customer to process Personal Data in connection with this DPA. At least thirty (30) days before enabling any new Sub-processor to access or participate in the processing of Customer Personal Data, SIS will add such Sub-processor to the Sub-processor List and notify Customer of that update. Customer may object to such an engagement on reasonable data protection grounds by providing notice to SIS within ten (10) days of receipt of the aforementioned notice from SIS. Une liste des sous-processeurs actuels de SIS (la "Liste de Sous-processeurs") est disponible à l'adressehttps://signinapp.com/terms/sub-processors/(cette URL peut être mise à jour par SIS de temps à autre sur notification au Client). Ces Sous-processeurs seront considérés comme autorisés par le Client à traiter les Données Personnelles dans le cadre de ce DPA. Au moins trente (30) jours avant de permettre à un nouveau Sous-processeur d'accéder ou de participer au traitement des Données Personnelles du Client, SIS ajoutera ce Sous-processeur à la Liste de Sous-processeurs et informera le Client de cette mise à jour. Le client peut s'opposer à un tel engagement pour des motifs raisonnables de protection des données en le notifiant à SIS dans un délai de dix (10) jours à compter de la réception de la notification susmentionnée de SIS.
- Si le Client a soulevé une objection raisonnable à l'égard du nouveau Sous-processeur et que les parties n'ont pas réussi à se mettre d'accord sur une solution dans un délai raisonnable, le Client a le droit de résilier l'Accord avec un délai de préavis déterminé d'un commun accord par la SIS et le Client, sans préjudice de tout autre recours disponible en vertu de la loi ou du contrat. Dans ce cas, le client doit immédiatement payer tous les frais et coûts dus à SIS jusqu'à la date de résiliation.
- Si le Client ne s'oppose pas à l'engagement d'un tiers conformément à la section 4.2, ce tiers sera considéré comme un sous-processeur aux fins du présent DPA.
- La SIS s'assurera que chaque sous-processeur est soumis à des obligations concernant le traitement des Données Personnelles qui sont substantiellement similaires à celles auxquelles la SIS est soumise en vertu de ce DPA.
- La SIS est responsable envers le Client de toute violation du présent DPA causée par les actes ou les omissions de ses Sous-processeurs.
- Si le Client et la SIS ont conclu les Clauses Contractuelles Types telles que décrites dans la section 6 (Transferts de Données Personnelles), les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par la SIS du traitement des Données Personnelles si un tel consentement est requis en vertu des Clauses Contractuelles Types.
Sécurité des Données Personnelles
- Le SIS met en œuvre et maintient des mesures techniques et organisationnelles appropriées conçues pour (i) assurer un niveau de sécurité adapté au risque présenté par le traitement des Données Personnelles ; et (ii) protéger les Données Personnelles contre l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés. Ces mesures techniques et organisationnelles comprennent des mesures égales ou supérieures à celles énoncées à l'annexe B du présent DPA.
Transferts de Données Personnelles
- Uniquement dans la mesure où cela est applicable, ou si SIS l'exige pour fournir les Produits, le Client reconnaît et accepte que SIS et ses Sous-processeurs puissent traiter (y compris transférer) les Données Personnelles au Royaume-Uni de Grande-Bretagne et d'Irlande du Nord ("Royaume-Uni"), dans l'Espace Economique Européen, aux Etats-Unis d'Amérique, au Canada et dans tout autre lieu où SIS ou ses Sous-processeurs effectuent des opérations de traitement des données, comme indiqué dans la Liste de Sous-processeurs. La SIS assurera à tout moment un niveau de protection adéquat des Données Personnelles, conformément aux exigences des Lois sur la Privacité Applicables et, dans la mesure où elles sont applicables, aux exigences ci-dessous.
- Dans le cadre de la fourniture des Produits au Client, SIS peut (et peut autoriser ses Sous-processeurs à) recevoir de, traiter dans, ou transférer des Données Personnelles vers, tout Pays Tiers, à condition que SIS et ses Sous-processeurs prennent des mesures pour protéger de manière adéquate ces données en accord avec les Lois sur la Privacité Applicables. Ces mesures peuvent inclure, dans la mesure où elles sont disponibles et applicables en vertu de ces lois.
- L'accord des parties à conclure et à respecter les Clauses Contractuelles Types qui sont incorporées dans le présent DPA et telles que décrites à l'Annexe C. En particulier, les transferts de Données Personnelles de l'Union Européenne, de l'Espace Economique Européen, de la Suisse ou du Royaume-Uni par le Client à SIS ou par SIS au Client dans des Pays Tiers sont soumis aux Clauses Contractuelles Types, au Module Deux ("Contrôleur à Processeur"), et au Module Trois ("Processeur à Processeur"). Les informations requises aux fins des SCCs sont fournies à l'annexe C de la présente DPA. Dans la mesure où le transfert de données vers un pays tiers nécessite des garanties ou des mécanismes de transfert substitutifs ou supplémentaires en vertu des Lois sur la Privacité Applicables, les parties conviennent de les mettre en œuvre dès que possible et de documenter ces exigences de mise en œuvre dans une pièce jointe au présent DPA.
- Les Parties reconnaissent et conviennent qu'elles ont, en tenant compte, sans s'y limiter, des Données Personnelles et des Pays Tiers concernés, des mesures de sécurité pertinentes en vertu du présent DPA et des parties concernées participant au traitement de ces Données Personnelles, procédé à une évaluation de l'adéquation du mécanisme de transfert pertinent adopté en vertu des présentes et ont déterminé que ce mécanisme de transfert est conçu de manière appropriée pour garantir que les Données Personnelles transférées conformément au présent DPA bénéficient dans le pays de destination d'un niveau de protection essentiellement équivalent à celui garanti en vertu des Lois sur la Privacité Applicables.
Coopération, Audit et Demandes de dossiers
- Dans la mesure où la loi le permet, la SIS informe rapidement le Client de la réception et de la vérification d'une Demande de Données de l'Intéressé ou conseille à l'Intéressé de soumettre sa demande de Données de l'Intéressé directement au Client. Dans les deux cas, il incombe au Client de répondre à une telle demande.
- À la demande du Client et en tenant compte de la nature du traitement applicable à toute Demande de Données de l'Intéressé, SIS appliquera les mesures techniques et organisationnelles appropriées pour permettre au Client de se conformer à l'obligation du Client de répondre à cette Demande de Données de l'Intéressé et/ou de démontrer cette conformité, à condition que (i) le Client soit lui-même incapable de répondre ou de satisfaire à la demande sans l'assistance de SIS et (ii) que SIS soit en mesure de le faire en conformité avec toutes les lois, règles et réglementations applicables. Le client est responsable, dans la mesure où la loi le permet, de tous les coûts et dépenses découlant d'une telle assistance de SIS.
- Si SIS reçoit une citation à comparaître, une décision de justice, un mandat ou toute autre demande légale de la part d'un tiers, d'un service de police, d'un gouvernement étranger ou de toute autre autorité publique ou judiciaire, demandant la divulgation de données personnelles, SIS doit, si la loi le permet, en informer le Client par écrit dans les plus brefs délais. Dans ce cas, SIS fournira une coopération raisonnable au Client, aux frais de ce dernier, s'il souhaite limiter, contester ou se protéger contre une telle divulgation, dans la mesure permise par les lois applicables. Le Client assume tous les risques et responsabilités liés au traitement et à la réponse à ces demandes de tiers et indemnise SIS pour toutes les pertes, coûts, dommages, réclamations, actions, poursuites, demandes et responsabilités subies ou encourues par SIS ou intentées contre elle, résultant de ou liées à des demandes d'accès de tiers.
- Compte tenu de la nature du traitement et des informations dont elle dispose, SIS fournira au client une coopération et une assistance raisonnables pour lui permettre de se conformer aux obligations qui lui incombent en vertu des Lois sur la Privacité Applicables, y compris toute obligation de procéder à une évaluation de l'impact sur la protection des données, de répondre à toute demande de renseignements de la part d'une autorité de contrôle ou de la consulter, ou de démontrer qu'elle se conforme aux Lois sur la Privacité Applicables. Les obligations ci-dessous ne s'appliquent que lorsque la Loi sur la Privacité Applicable l'exige de SIS et à condition que le client n'ait pas autrement accès aux informations ou fonctionnalités demandées. Le client est responsable, dans la mesure où la loi le permet, de tous les coûts et dépenses découlant d'une telle assistance de la part de SIS.
- Sur demande du Client et au maximum une fois par année civile, SIS mettra à la disposition du Client des copies de tous les rapports d'attestation ou certifications applicables démontrant la conformité de SIS avec les Lois sur la Privacité Applicables en ce qui concerne le traitement par SIS des Données Personnelles du Client en vertu des présentes. Uniquement lorsque et dans la mesure où (i) les Lois sur la Privacité Applicables l'exigent et (ii) les copies des rapports d'attestation ou des certifications ne suffisent pas à démontrer la conformité de SIS aux Lois sur la Privacité Applicables en ce qui concerne le traitement des Données Personnelles par SIS dans le cadre des présentes, SIS mettra à la disposition du Client les informations supplémentaires raisonnablement nécessaires pour démontrer le respect de ces obligations et autorisera et contribuera à des audits, y compris des inspections mutuellement convenues et gérées, des installations de traitement des données sous le contrôle de SIS, menées par le Client ou un autre auditeur mutuellement convenu par SIS et le Client.
- Tout audit ou inspection autorisé par l'article 7.5 n'aura lieu qu'après que le Client en ait informé SIS par écrit au moins 30 jours à l'avance et à une date, une heure et un lieu convenus d'un commun accord entre SIS et le Client. Les audits ne doivent pas interférer de manière déraisonnable avec les activités ou les opérations de SIS, et l'étendue d'un tel audit sera soumise à l'approbation préalable raisonnable de SIS. Les personnes chargées d'effectuer un tel audit seront soumises à un contrat de confidentialité avec SIS. Le travail requis par SIS pour participer à un audit peut entraîner des frais supplémentaires (à un taux horaire mutuellement convenu) à payer par le Client, à moins qu'il n'en soit convenu autrement par écrit avant le début de l'audit. Afin de s'assurer que SIS respecte les Lois sur la Privacité Applicables et ses obligations contractuelles en matière de confidentialité et de sécurité des données, le Client accepte que SIS ne soit pas tenu de lui fournir un accès aux systèmes ou aux informations de SIS d'une manière qui pourrait compromettre la sécurité, la confidentialité ou le caractère privé des informations confidentielles ou exclusives d'autres clients de SIS.
- Toute information divulguée en vertu de la présente section 7 sera considérée comme une information confidentielle de la SIS.
Violation de Données Personnelles
- Après avoir pris connaissance d'une Violation de Données Personnelles identifiée avec certitude, SIS doit, sans délai excessif (mais au plus tard dans les 72 heures), informer le Client de la Violation de Données Personnelles et prendre les mesures que SIS, à sa seule discrétion, juge nécessaires et raisonnables pour remédier à cette Violation de Données Personnelles (dans la mesure où la remédiation est raisonnablement sous le contrôle de SIS).
- Compte tenu de la nature du traitement et des informations dont elle dispose raisonnablement, la SIS s'engage à (a) fournir au Client la coopération et l'assistance raisonnables nécessaires pour que le Client puisse se conformer à ses obligations en vertu des Lois sur la Privacité Applicables en ce qui concerne la notification des régulateurs pertinents et/ou des Personnes concernées par une telle Violation de Données Personnelles ; et (b) fournir au Client les informations sous le contrôle raisonnable de SIS concernant les détails de la Violation de Données Personnelles, y compris, le cas échéant, la nature de la Violation de Données Personnelles, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de Données Personnelles concernés, et les conséquences probables de la Violation de Données Personnelles.
- Les obligations décrites dans la présente section 8 ne s'appliquent pas dans le cas où une Violation de Données Personnelles résulte d'actions ou d'omissions du Client. La coopération ou l'obligation de SIS de signaler ou de répondre à une Violation de Données Personnelles en vertu de la présente section ne peut en aucun cas être interprétée comme une reconnaissance par SIS d'une faute ou d'une responsabilité en ce qui concerne la Violation de Données Personnelles.
- Sauf interdiction en vertu d'une loi ou d'une décision de justice applicable, le Client informera la SIS de toute procédure judiciaire d'un tiers relative à une Violation de Données Personnelles, y compris, mais sans s'y limiter, toute procédure judiciaire initiée par une entité gouvernementale.
Miscellaneous (divers)
- Toutes les notifications adressées au Client au titre du présent DPA sont envoyées par courrier électronique et adressées à l'administrateur système désigné par le Client pour les Produits et à la personne de contact pour les "avis juridiques et de confidentialité" si elle a été fournie par le Client dans le cadre de l'Accord. Le client peut mettre à jour ces contacts à tout moment en envoyant un e-mail à privacy@signinsolutions.com.
- La responsabilité de SIS et de ses employés, administrateurs, dirigeants, sociétés affiliées, successeurs et ayants droit respectifs (les "Parties SIS"), découlant de ou liée à ce DPA, qu'elle soit contractuelle, délictuelle ou autre, est soumise à la section "Exclusion de garanties, limitation de responsabilité et indemnisation" de l'Accord, et toute référence dans cette section à la responsabilité de SIS ou des parties SIS signifie la responsabilité globale des parties SIS en vertu de l'Accord et de ce DPA ensemble.
- Le présent DPA est sans préjudice des droits et obligations des parties en vertu de l'Accord, qui restera pleinement en vigueur. En cas de conflit entre les termes de ce DPA et ceux de l'Accord, les termes de ce DPA prévaudront. En cas de conflit entre les termes de ce DPA et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront, uniquement dans la mesure où elles s'appliquent.
- Sauf disposition contraire prévue par le présent DPA ou par la Loi sur la Privacité Applicable, le Client et le SIS conviennent que les dispositions de l'Accord relatives à la résolution des litiges (y compris le droit applicable et le lieu de juridiction) s'appliquent au présent DPA.
Annexe A
Détails du Traitement
Exportateur de Données:
Nom, adresse et coordonnées :
Comme stipulé dans l'Accord.Activités en rapport avec les données transférées en vertu des Clauses :
Réception des Produits dans le cadre de l'Accord.Signature et date :
Comme stipulé dans l'Accord.Importateur de Données:
Nom : Sign In Solutions Inc.
Adresse : 150 2nd Ave N, Suite 1540 St :
150 2nd Ave N, Suite 1540 St. Petersburg FL, USA 33701Jason Mordeno : Global Privacy Officerprivacy@signinsolutions.com
Activités en rapport avec les données transférées en vertu des Clauses :
La fourniture, l'entretien et la sécurisation des ProduitsSignature et date :
Comme stipulé dans l'Accord.- Détails du Traitement:
- Sujet: Le sujet du traitement des données en vertu du présent DPA est constitué par les Données Personnelles du Client.
- Duration: Entre le SIS et le Client, la durée du traitement des données en vertu de ce DPA est jusqu'à l'expiration ou la résiliation de l'Accord conformément à ses termes.
- Objectif: La SIS ne traitera les Données Personnelles du Client qu'aux fins suivantes : (i) traitement pour exécuter ses obligations en vertu de l'Accord ; et (ii) traitement pour se conformer à toute autre instruction raisonnable fournie par le Client (par exemple, par e-mail ou par des tickets de support) qui sont compatibles avec les termes de l'Accord (individuellement et collectivement, l'"Objectif").
- Nature du Traitement: SSIS apporte son soutien au Client dans l'utilisation des Produits tels qu'ils sont plus particulièrement décrits dans l'Accord.
- Catégories de Données de l'Intéressé: les employés et les utilisateurs du Client (tels que ces termes sont définis dans l'Accord)
Catégories de Données Personnelles du Client: Le Client peut télécharger, soumettre ou fournir d'une autre manière certaines Données Personnelles à SIS, dont l'étendue est généralement déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure les types de Données Personnelles suivants :
- Les Données de l'Intéressé (nom et prénom), ses coordonnées (qui peuvent inclure tout ou partie de son adresse électronique, de son adresse, de son numéro de téléphone, de sa localisation et de ses informations informatiques (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigation) et
- Toute autre Donnée Personnelle que vous choisissez d'inclure dans votre instance des Produits pour que les Personnes Intéressées puissent y entrer, notamment les Données Sensibles pour lesquelles vous avez reçu le consentement explicite d'une Personne Intéressée pour le Traitement de ces Données Sensibles aux fins prévues et sous réserve de la Clause 1.4 de ce RGPD, les Données Sensibles.
- Opérations de Traitement: Les Données Personnelles du Client seront traitées conformément à l'Accord (y compris le présent DPA) et pourront faire l'objet des activités de traitement suivantes : Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer les Produits et les Produits professionnels fournis au Client conformément à l'Accord ; et/ou Divulgations conformément au présent DPA et/ou comme l'exige la loi applicable.
Annexe B
Mesures Techniques et Organisationnelles
SIS doit :
- Fournir un niveau de mesures techniques et organisationnelles (y compris des mesures de sécurité et de conformité appropriées en fonction des catégories ou de la nature des Données Client) appropriées pour se protéger contre les dommages qui pourraient résulter d'une violation de données, ce qui comprendra, sans s'y limiter :
- Gouvernance, risques et contrôles de conformité
- Gouvernance - SIS maintient un programme de gouvernance, de risque et de conformité, c'est-à-dire un ensemble de processus, de politiques et de procédures afin d'opérer en conformité avec les lois, les règlements et les normes de l'industrie ;
- Risque - SIS gère des cadres de risque qui identifient et gèrent les risques liés à la technologie et aux systèmes de traitement des données ;
- Conformité - SIS maintient des processus de sécurité et de conformité et effectue des audits qui examinent nos contrôles avec la direction et la protection des données des clients ;
- Contrôles de Sécurité de l'Infrastructure
- Surveillance - SIS maintient des systèmes de surveillance de la sécurité, y compris, mais sans s'y limiter, la détection et la prévention des intrusions, la surveillance du trafic et la surveillance de l'intégrité des fichiers.
- Authentification - SIS maintient des processus d'authentification efficaces pour protéger les données des clients (par exemple, authentification à plusieurs facteurs pour les accès privilégiés ou les informations restreintes) ;
- Gestion des vulnérabilités - SIS dispose d'une politique et d'un processus définis qui établissent les exigences en matière d'évaluation et de gestion des vulnérabilités ;
- Contrôles de Sécurité des Réseaux
- Points d'accès - Le SIS assure l'authentification et la supervision des droits d'accès au réseau et applique des politiques techniques pour prévenir toute menace interne ou externe liée à l'accès ;
- Gestion des rôles et responsabilités du réseau - définit les groupes autorisés, les rôles et les responsabilités pour la gestion des composants du réseau ;
- Événements liés au système et à la sécurité/pare-feu - Le SIS enregistre automatiquement les événements liés au système et à la sécurité, les examine périodiquement et les problèmes identifiés sont examinés et résolus en temps utile ;
- Contrôles de la Sécurité des Données
- Politiques Techniques et Organisationnelles - SIS a mis en place des processus pour la classification, la gestion, l'accès, l'utilisation et la destruction des données ;
- Cryptage - SIS crypte les données en transmission, en transit, au repos et en stockage en utilisant des outils de cryptage standard de l'industrie ;
- Clés de cryptage - SIS garantit la sécurité et la confidentialité de toutes les clés de cryptage associées aux données cryptées des clients ;
- Contrôles d'accès basés sur les rôles - SIS pratique la méthode du moindre privilège qui limite l'accès des utilisateurs aux personnes autorisées ;
- Sauvegardes planifiées - SIS sauvegarde régulièrement les Données Client à la demande du Client et s'assure que toutes les données sauvegardées sont soumises à des Mesures de Sécurité appropriées afin de protéger la confidentialité, l'intégrité et la disponibilité des Données Client ;
- Gouvernance, risques et contrôles de conformité
Annexe C
Clauses Contractuelles Types
Les parties conviennent que les Données Personnelles transférées entre et par les parties vers des Pays Tiers seront soumises aux Clauses Contractuelles Types dans la mesure où elles sont applicables et telles que définies dans le DPA.
- Les parties reconnaissent l'importance de la protection des données personnelles et des restrictions légales sur les transferts internationaux de ces données vers des pays tiers.
- En conséquence, les parties conviennent de respecter le RGPD, le DPA 2018 du Royaume-Uni et le DPA suisse, ainsi que d'autres Lois sur la Privacité Applicables reconnaissant les Clauses Contractuelles Types ou des principes similaires, selon le cas, et de conclure ces Clauses Contractuelles Types afin de garantir que les transferts de Données Personnelles vers des Pays Tiers sont légaux et soumis à des protections de données adéquates. Dans la mesure où un transfert de données personnelles est soumis à l'article 3, paragraphe 2, du RGPD, la présente annexe C ne s'applique pas.
- CLARIFICATION DES DÉFINITIONS ET DES TERMES
- Les termes " contrôleur de données " ou " contrôleur ", " exportateur de données ", " importateur de données ", " processeur de données " et " Données Personnelles " ont la signification qui leur est donnée dans le RGPD, le RGPD 2018 du Royaume-Uni, le RGPD suisse ou toute autre Loi sur la Privacité Applicable, selon le cas.
- Pour les transferts de Données Personnelles vers des Pays Tiers provenant de l'extérieur de l'UE, les références au Règlement Général sur la Protection des Données seront remplacées par la Loi sur la Privacité Applicable et les références à "l'UE", "l'Union" ou "l'Etat Membre" seront remplacées par la région d'origine applicable.
- Section 1 Clause 1 (a) des Clauses Contractuelles Types (Définition de l'importateur de données) : L'"importateur de données" est le SIS.
- Section 1 Clause 1 (a) des Clauses Contractuelles Types (Définition de l'exportateur de données) : L'"exportateur de données" est le Client.
- En ce qui concerne les objections adressées aux sous-traitants ultérieurs en vertu de la section 1, clause 9, la procédure prévue à la section 4 du présent DPA s'applique.
- MODULES APPLICABLES
En ce qui concerne le Traitement des données personnelles applicables :
- Lorsque le Client est exportateur de données et responsable du traitement, et que le SIS est importateur de données et responsable du traitement, le module 1 s'applique.
- Lorsque le Client est Exportateur de Données et responsable du traitement, et que le SIS est Importateur de Données et responsable du traitement, le Module 2 s'applique.
- Lorsque le Client est un Exportateur de Données et un Processeur, et que le SIS est un Importateur de Données et un sous-processeur, le Module 3 s'applique.
- Les références au Module 4 dans les SCCs ne s'appliquent pas et le langage faisant référence à ce module ne doit pas être traité comme faisant partie de ce DPA.
- AMENDEMENTS OU MISES À JOUR
Dans la mesure où des garanties supplémentaires appropriées en vertu des Lois sur la Privacité Applicables reconnaissant les Clauses Contractuelles Types ou des principes similaires sont requises pour exporter des données vers un Pays Tiers, ou dans la mesure où les Clauses Contractuelles Types sont substituées ou remplacées ou ne sont pas reconnues en vertu d'une telle loi, les parties conviennent soit de les mettre en œuvre rapidement, soit d'utiliser une autre méthode acceptable pour le transfert de ces données et de modifier rapidement la présente Annexe C si nécessaire afin de se conformer à ces exigences.
- CONFLITS
Si les termes de l'Accord ou du DPA sont en contradiction avec les Clauses Contractuelles Types, les termes des Clauses Contractuelles Types prévaudront.
- CLAUSES CONTRACTUELLES TYPES
- Les Clauses Contractuelles Types seront réputées incorporées dans le présent DPA et s'appliqueront telles que complétées ci-dessous :
- À la clause 7, la " Clause d'Arrimage (Facultative) " sera considérée comme incorporée.
- Dans la clause 9, l'option 2 est choisie et le délai de notification préalable de l'ajout ou du remplacement de sous-processeurs sera celui prévu dans le DPA.
- Dans la clause 11, la langue optionnelle ne s'appliquera pas.
- Dans la clause 13, l'autorité de contrôle compétente est la Commission Irlandaise de Protection des Données lorsque les SCCs de l'UE s'appliquent, le FDPIC lorsque la DPA suisse s'applique et le Commissaire à l'Information du Royaume-Uni lorsque l'Addendum de Transfert du Royaume-Uni s'applique.
- Dans la clause 17, l'option 2 est sélectionnée et les Clauses Contractuelles Types seront régies par le droit irlandais lorsque les SCCs de l'UE s'appliquent, par la loi suisse lorsque la DPA suisse s'applique et par la loi du Royaume-Uni et du Pays de Galles lorsque l'Addendum sur le transfert du Royaume-Uni s'applique.
- Dans la Clause 18(b), les litiges seront résolus devant les tribunaux irlandais lorsque les SCCs de l'UE s'appliquent, les tribunaux suisses lorsque la DPA suisse s'applique et les tribunaux du Royaume-Uni et du Pays de Galles lorsque l'Addendum de Transfert du Royaume-Uni s'applique.
- Les Annexes I et II des SCCs figurent dans les pièces A et B de la présente DPA ; l'Annexe III figure dans la liste des Sous-processeurs.
- Aux fins de l'Addendum de transfert du Royaume-Uni, les Clauses Contractuelles Types seront interprétées conformément à la Partie 2 de l'Addendum de transfert du Royaume-Uni ; les sections 9 à 11 de l'Addendum de transfert du Royaume-Uni prévaudront sur la Clause 5 des SCCs de l'UE et l'"Importateur" et l'"Exportateur" pourront mettre fin à l'Addendum de transfert du Royaume-Uni conformément à la section 19 de l'Addendum de transfert du Royaume-Uni.
En concluant le DPA, les parties sont réputées signer les Clauses Contractuelles Types applicables.