Log in

Inoveo

Créer un projet

Traitement des Données

Dernière mise à jour : 21 mars 2023

Cet Addendum de Traitement de Données (« DPA ») entre vous, l’utilisateur, ainsi que toute entreprise ou autre entité commerciale que vous représentez, le cas échéant (collectivement, le « Client »), et la partie contractante Inoveo applicable en vertu de l’Accord (“Inoveo”) est incorporé par référence, et complète, et fait partie des termes régissant l’utilisation des différents Services Inoveo, tels que modifiés de temps à autre (collectivement, l’« Accord »). Ce DPA s’applique dans la mesure où Inoveo agit en tant que Traitant ou Prestataire de Services (selon le cas) de Données Personnelles au nom du Client en vertu de l’Accord. Ce DPA sera effectif et remplacera et annulera tous les termes précédemment applicables relatifs à leur objet à compter de la Date d’Entrée en Vigueur de l’Accord et restera en vigueur jusqu’à ce que l’Accord soit résilié.

1. DÉFINITIONS

« Pays adéquat » signifie, selon le cas (i) là où le RGPD de l’UE s’applique, l’Espace économique européen (« EEE ») ou un pays ou territoire qui est réputé assurer un niveau adéquat de protection par la Commission européenne ; (ii) là où le RGPD britannique s’applique, le Royaume-Uni ou un pays ou territoire reconnu comme assurant une protection adéquate des données en vertu de la Section 17A de la Loi britannique de 2018 sur la protection des données, telle que modifiée ou remplacée ; et (iii) là où la LPD suisse telle que modifiée ou remplacée s’applique, la Suisse ou un pays ou territoire en dehors de la Suisse qui a été reconnu comme offrant un niveau adéquat de protection par le Commissaire fédéral à la protection des données et à la transparence de la Suisse.

« But Commercial » signifie le but limité spécifiquement identifié à l’Annexe I pour lequel Inoveo reçoit ou accède à des Données Personnelles.

« Lois sur la Protection des Données » désigne toutes les lois et réglementations applicables en matière de protection des données et de confidentialité, applicables à une partie, y compris, mais sans s’y limiter, le cas échéant, les Lois sur la Protection des Données de l’UE et les Lois sur la Protection des Données des États-Unis, et toute autre loi sur la protection des données, la confidentialité des données ou la sécurité des données d’État ou nationale applicable à la portée des Services, dans chaque cas tel que modifié, remplacé ou remplacé de temps à autre.

« Données Personnelles des Utilisateurs Finaux » désigne les Données Personnelles relatives aux visiteurs et utilisateurs des services du Client et traitées par Inoveo pour le compte du Client pour la fourniture des Services.

« Lois sur la Protection des Données de l’UE » désigne (i) le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données ou « RGPD de l’UE »), (ii) le RGPD tel qu’incorporé dans le droit interne du Royaume-Uni en vertu de l’article 3 de la Loi de 2018 sur le retrait de l’Union européenne (le « RGPD britannique ») ; (iii) la Loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes (« LPD ») ; (iv) la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques) ; et (v) toute loi de l’UE ou du Royaume-Uni prise en vertu des articles (i) – (iii) ; dans chaque cas tel que modifié, remplacé ou remplacé de temps à autre.

« Données Personnelles », « Sujet de Données », « Traitement » ou « Traitement », « Responsable de Traitement » et « Sous-Traitant » auront le sens donné dans les Lois sur la Protection des Données applicables ou, si non défini dans celles-ci, le RGPD, et les termes « Entreprise » et « Prestataire de Services » ont les significations qui leur sont attribuées dans la CCPA.

« Services » désigne les différents services fournis par Inoveo au Client sur son site Web, dans la mesure où Inoveo agit en tant que Traitant ou Prestataire de Services (selon le cas) au nom du Client en vertu de l’Accord pertinent, y compris, mais sans s’y limiter, l’Accord du Programme ProAdvantage et les Conditions d’Utilisation de la Boutique ProShop.

« Clauses Contractuelles Types » ou « CCT » signifie (i) là où le RGPD de l’UE et/ou la LPD suisse s’applique, les clauses contractuelles types de l’UE telles qu’approuvées par la Décision de la Commission européenne (UE) 2021/914 du 4 juin 2021 (« CCT de l’UE ») ; et (ii) là où le RGPD britannique s’applique, les CCT de l’UE telles qu’amendées par l’Addendum International aux Clauses Contractuelles Types de la Commission européenne telles qu’édictées par l’Office du Commissaire à l’Information du Royaume-Uni (« Addendum UK »), dans chaque cas, tel qu’amendé, remplacé ou remplacé de temps à autre. Les CCT de l’UE et l’Addendum UK sont incorporés par référence et font partie intégrante de ce DPA.

« Sous-Traitant » désigne toute entité engagée par Inoveo, y compris ses Filiales, pour l’aider à remplir ses obligations en vertu de l’Accord ou de ce DPA.

« Évaluation des Risques de Transfert » signifie les garanties supplémentaires pour compléter les garanties fournies par les CCT et l’Addendum UK.

« Lois sur la Protection des Données des États-Unis » désigne toutes les lois et réglementations de toute juridiction aux États-Unis relatives à la confidentialité, à la protection des données ou à la sécurité des données (dans chaque cas, telles qu’amendées, remplacées ou remplacées de temps à autre), y compris, sans s’y limiter, le cas échéant, la California Consumer Privacy Act, telle qu’amendée par la California Privacy Rights Act, ainsi que les règlements édictés en vertu de celle-ci (collectivement, la « CCPA ») ; la Virginia Consumer Data Protection Act ; le Colorado Privacy Rights Act ; le Connecticut Data Privacy Act ; et le Utah Consumer Privacy Act.

Les autres termes en majuscules utilisés mais non définis dans ce DPA auront le sens donné dans l’Accord.

2. RÔLES ET PORTÉE DU TRAITEMENT

2.1. Rôle des Parties. Les Parties conviennent que, en ce qui concerne le Traitement des Données Personnelles des Utilisateurs Finaux dans le cadre de ce DPA, le Client agit en tant que Responsable de Traitement ou Entreprise (selon le cas) et Inoveo agit en tant que Sous-Traitant ou Prestataire de Services (selon le cas).

Le Client reconnaît qu’Inoveo agit en tant que Responsable de Traitement indépendant en ce qui concerne les Données Personnelles qu’il collecte directement auprès des clients ou des visiteurs via ses applications et services orientés vers les consommateurs.

2.2. Portée du Traitement. Chaque partie doit se conformer à toutes les Lois sur la Protection des Données applicables et à ses obligations respectives en vertu de l’Accord et de ce DPA en ce qui concerne son Traitement des Données Personnelles des Utilisateurs Finaux tel que décrit à l’Annexe I. Sans limiter ce qui précède, Inoveo doit fournir le même niveau de protection de la vie privée que celui exigé des Entreprises (telles que définies dans la CCPA) par la CCPA.

3. OBLIGATIONS DES PARTIES

3.1. Obligations du Client. En utilisant les Services fournis par Inoveo :

(i) Le Client garantit et déclare qu’il a informé les Sujets de Données et a établi toutes les bases légales et obtenu tous les consentements nécessaires en vertu des Lois sur la Protection des Données applicables pour qu’Inoveo, et ses Sous-Traitants, traitent les Données Personnelles des Utilisateurs Finaux en son nom et fournissent les Services conformément à l’Accord, y compris ce DPA.

(ii) Le Client est seul responsable de l’exactitude et de la qualité des Données Personnelles des Utilisateurs Finaux fournies et de la légalité des moyens par lesquels il acquiert, divulgue et traite les Données Personnelles des Utilisateurs Finaux. Le Client reste exclusivement responsable de sa propre conformité aux Lois sur la Protection des Données applicables en ce qui concerne toute collecte et traitement indépendants de Données Personnelles non liés aux Services.

(iii) Le Client donne des instructions à Inoveo pour traiter les Données Personnelles des Utilisateurs Finaux en son nom conformément à ce DPA et veille à ce que ses instructions soient conformes aux Lois sur la Protection des Données applicables. Ce DPA et l’Accord sont les instructions complètes et définitives du Client à l’égard d’Inoveo. Des instructions supplémentaires en dehors de la portée de l’Accord ou de ce DPA doivent être convenues séparément par écrit, y compris les frais supplémentaires éventuels pouvant être payables par le Client à Inoveo pour l’exécution de telles instructions supplémentaires.

3.2. Obligations d’Inoveo. Inoveo doit, en ce qui concerne le Traitement des Données Personnelles des Utilisateurs Finaux :

(i) Traiter uniquement les Données Personnelles des Utilisateurs Finaux pour le But Commercial et conformément aux instructions du Client, dans la mesure où les instructions sont compatibles avec l’Accord et ce DPA ;

(ii) Traiter les Données Personnelles des Utilisateurs Finaux comme des informations confidentielles et les traiter uniquement dans la mesure, et de la manière, nécessaire pour exécuter les obligations en vertu de l’Accord et aux fins spécifiquement précisées à l’Annexe I ci-dessous. Inoveo ne peut pas traiter les Données Personnelles des Utilisateurs Finaux à d’autres fins, sauf si Inoveo est légalement tenu de le faire. Dans ce cas, Inoveo informera le Client par écrit de cette exigence légale avant le Traitement, sauf si la loi interdit une telle information pour des motifs importants d’intérêt public ;

(iii) Aider le Client à garantir le respect de ses obligations en vertu des Lois sur la Protection des Données applicables, ce qui pourrait inclure, mais sans s’y limiter, la réalisation de toute évaluation d’impact sur la vie privée requise ou la consultation préalable avec les autorités de protection des données concernées à la demande raisonnable du Client ;

(iv) Informer le Client si elle estime que les instructions de Traitement du Client enfreignent les Lois sur la Protection des Données applicables. Dans ce cas, Inoveo se réserve le droit d’arrêter le Traitement des Données Personnelles des Utilisateurs Finaux jusqu’à ce que le Client donne de nouvelles instructions, et Inoveo ne sera pas responsable envers le Client pour tout défaut de fourniture des Services en vertu de l’Accord pendant cette période ;

(v) Veiller à ce que ses employés et Sous-Traitants qui ont accès aux Données Personnelles des Utilisateurs Finaux soient soumis à des obligations de confidentialité appropriées ;

(vi) Informer le Client de toute détermination selon laquelle elle ne peut plus respecter ses obligations en vertu de ce DPA ou des Lois sur la Protection des Données ;

(vii) Informer rapidement le Client de toute demande faite par un Sujet de Données ou un organisme de contrôle concernant le Traitement des Données Personnelles des Utilisateurs Finaux afin que le Client puisse répondre à une telle demande ; et

(viii) Fournir rapidement une telle coopération et assistance que raisonnablement demandé par le Client pour remplir ses obligations en vertu des Lois sur la Protection des Données concernant les demandes des Sujets de Données ou toute demande de l’autorité de régulation ou de contrôle gouvernementale applicable.

Dans la mesure permise par les Lois sur la Protection des Données applicables, Inoveo peut utiliser des données agrégées et anonymisées dérivées des Données Personnelles des Utilisateurs Finaux (« Données Anonymisées ») en interne pour améliorer la qualité des Services, à condition que ces Données Anonymisées ne constituent pas de Données Personnelles en vertu des Lois sur la Protection des Données applicables.

3.3. Activités de Traitement Interdites par Inoveo. Inoveo ne doit pas :

(i) Vendre ou Partager (tel que défini dans la CCPA) les Données Personnelles des Utilisateurs Finaux ou conserver, utiliser ou divulguer les Données Personnelles des Utilisateurs Finaux à des Fins Commerciales (telles que définies par la CCPA) ou en dehors de sa relation commerciale directe avec le Client et avec l’autorisation préalable écrite du Client uniquement ; et

(ii) Mélanger ou combiner les Données Personnelles des Utilisateurs Finaux avec ses propres données ou celles d’un tiers, sauf si cela est strictement nécessaire pour exécuter les Services.

Inoveo certifie qu’il comprend et se conformera aux restrictions sur l’utilisation des Données Personnelles des Utilisateurs Finaux en relation avec les Services énoncées dans ce DPA.

4. DROITS DES SUJETS DE DONNÉES

Dans la mesure où Inoveo en a la capacité, et conformément à la loi applicable, Inoveo devra, compte tenu de la nature du Traitement, fournir une assistance raisonnable pour permettre au Client de répondre à toute demande reçue des Sujets de Données pour exercer leurs droits en vertu des Lois sur la Protection des Données applicables. Le Client couvrira tous les coûts engagés par Inoveo en relation avec sa fourniture d’une telle assistance. Si une telle demande est adressée directement à Inoveo, Inoveo en informera le Client, sauf si Inoveo est légalement empêché de le faire, et le Client sera seul responsable de répondre à une telle demande. Inoveo n’assume aucune responsabilité pour les informations fournies de bonne foi au Client en se basant sur cette Section.

5. SOUS-TRAITANTS

5.1. Autorisation Générale. Le Client accorde par la présente à Inoveo une autorisation générale d’engager des Sous-Traitants (y compris ses Filiales) pour traiter les Données Personnelles des Utilisateurs Finaux afin de fournir les Services et de remplir ses obligations en vertu de l’Accord et de ce DPA. Inoveo fournira, sous réserve des dispositions de confidentialité de l’Accord et sur demande préalable du Client, une liste des Sous-Traitants qu’il engage.

5.2. Responsabilités. Inoveo imposera à ses Sous-Traitants des obligations contractuelles sensiblement similaires à celles imposées à Inoveo en vertu de ce DPA, dans la mesure où elles s’appliquent à la nature des services fournis par chaque Sous-Traitant.

5.3. Droit d’Opposition pour les Nouveaux Sous-Traitants. Lorsqu’il engage de nouveaux Sous-Traitants, Inoveo fournira au Client un avis préalable, dès que raisonnablement possible, lorsque et dans la mesure où cet engagement est lié à la fourniture des Services applicables.

5.3.1. Le Client peut s’opposer à la nomination ou au remplacement d’un Sous-Traitant par Inoveo par écrit dans un délai de dix (10) jours ouvrables à compter de la réception de l’avis sur des motifs raisonnables liés aux Lois sur la Protection des Données applicables. Dans un tel cas, Inoveo peut, à sa seule discrétion, choisir d’utiliser des efforts commercialement raisonnables (mais n’est pas tenu de le faire) pour mettre à votre disposition une solution alternative afin d’éviter le Traitement des Données Personnelles des Utilisateurs Finaux par le nouveau Sous-Traitant ou son remplaçant. Jusqu’à ce qu’Inoveo prenne une décision concernant l’opposition du Client, Inoveo peut être amené à suspendre temporairement le Traitement des Données Personnelles des Utilisateurs Finaux concernées, y compris, si nécessaire pour cette question, suspendre ou limiter l’accès au Compte du Client ou suspendre ou limiter certaines fonctionnalités des Services offerts au Client. Si Inoveo est raisonnablement en mesure de fournir les Services au Client conformément à l’Accord sans utiliser le Sous-Traitant et décide à sa discrétion de le faire, alors le Client n’aura aucun autre droit en vertu de cette Section concernant l’utilisation proposée du Sous-Traitant.

5.3.2. Si Inoveo, à sa discrétion, nécessite l’utilisation du Sous-Traitant et est incapable de satisfaire l’opposition du Client concernant l’utilisation proposée du nouveau ou du remplaçant Sous-Traitant dans un délai de trente (30) jours à compter de la réception de votre objection raisonnée valide, alors le Client peut résilier l’Accord applicable à compter de la date à laquelle Inoveo commence à utiliser ce nouveau ou remplaçant Sous-Traitant uniquement pour les Services qui utiliseront le nouveau sous-traitant proposé pour le Traitement des Données Personnelles en fournissant un avis écrit à Inoveo. Une telle résiliation se fera sans préjudice des frais engagés par le Client avant la résiliation des Services affectés et le Client n’aura aucune autre réclamation contre Inoveo en relation avec la résiliation des Services affectés.

5.3.3. Si le Client n’exprime pas d’opposition par écrit à la nomination par Inoveo d’un nouveau Sous-Traitant dans un délai de dix (10) jours ouvrables à compter de la réception de l’avis, le Client accepte que cela sera considéré comme une approbation de ce nouveau Sous-Traitant.

5.4. Responsabilité. Inoveo reste responsable de toute violation de ce DPA causée par un acte ou une omission de ses Sous-Traitants, dans la même mesure où Inoveo est responsable de la sienne, sauf disposition contraire de l’Accord.

6. TRANSFERTS INTERNATIONAUX DE DONNÉES

6.1. En Général. Dans le cadre de la fourniture des Services, le Client autorise Inoveo, ses Filiales et ses Sous-Traitants à stocker, traiter et transférer les Données Personnelles des Utilisateurs Finaux n’importe où dans le monde où Inoveo, ses Filiales ou ses Sous-Traitants maintiennent des opérations de traitement des données. Lorsque les Données Personnelles de l’UE, du Royaume-Uni ou de la Suisse sont transférées en dehors de l’EEE, du Royaume-Uni ou de la Suisse, Inoveo ne traitera ou ne permettra le Traitement de Données Personnelles de l’UE, du Royaume-Uni ou de la Suisse en dehors de l’EEE, du Royaume-Uni ou de la Suisse que si l’une des conditions suivantes est remplie :

a) les Données Personnelles de l’UE, du Royaume-Uni ou de la Suisse sont transférées vers un Pays Adéquat ; ou

b) les Clauses Contractuelles Types et l’Évaluation du Risque de Transfert sont en place entre Inoveo et le Client et/ou entre Inoveo et le Sous-Traitant, selon le cas.

6.2. Transferts de Données Personnelles de l’UE. Dans la mesure où des Données Personnelles sont transférées depuis une juridiction de l’EEE pour laquelle le RGPD régit la nature internationale du transfert, les Clauses Contractuelles Types de l’UE font partie de ce DPA, et elles seront considérées comme complétées comme suit :

(i) Les termes du Module deux (Contrôleur vers Sous-Traitant) s’appliqueront lorsque le Client est un Contrôleur et un exportateur de données de Données Personnelles et qu’Inoveo est un Sous-Traitant et un importateur de données concernant ces Données Personnelles.

(ii) Les termes du Module trois (Sous-Traitant vers Sous-Traitant) s’appliqueront lorsque Inoveo est un Sous-Traitant agissant au nom d’un Contrôleur et un exportateur de données de Données Personnelles, et que le Sous-Traitant est un Sous-Traitant et un importateur de données concernant ces Données Personnelles.

(iii) Les Clauses 7 (a)-(c) s’appliqueront ;

(iv) L’Option 2 de la Clause 9 s’appliquera, et la période de préavis des changements de Sous-Traitant sera conforme au processus de notification établi dans les dispositions sur les Sous-Traitants de ce DPA.

(v) La Clause 11 ne s’appliquera pas ;

(vi) L’Option 1 de la Clause 17 s’appliquera, et les Clauses Contractuelles Types de l’UE seront régies par la loi spécifiée dans l’Accord, à condition que cette loi soit une loi d’un État membre de l’UE reconnaissant des droits de tiers bénéficiaires, sinon, la loi des Pays-Bas s’appliquera ;

(vii) La Clause 18 (b), les litiges seront résolus devant les tribunaux spécifiés dans l’Accord, à condition que ces tribunaux soient situés dans un État membre de l’UE, sinon ces tribunaux seront les tribunaux des Pays-Bas. En tout état de cause, la Clause 17 et la 18 (b) seront cohérentes en ce que le choix du forum et de la juridiction incombera au pays de la loi applicable ;

(viii) Les Annexes des Clauses Contractuelles Types de l’UE seront complétées avec les informations pertinentes énoncées dans l’Annexe I, l’Annexe II et l’Annexe III de ce DPA ; et

(ix) Si, et dans la mesure où, les Clauses Contractuelles Types de l’UE entrent en conflit avec une disposition de ce DPA, les Clauses Contractuelles Types de l’UE prévaudront dans la mesure de ce conflit.

6.3. Transferts de Données Personnelles du Royaume-Uni. Dans la mesure où des Données Personnelles du Royaume-Uni sont transférées pour lesquelles le RGPD du Royaume-Uni régit la nature internationale du transfert, les Clauses Contractuelles Types de l’UE mentionnées à la Section 6.2 ci-dessus s’appliqueront conjointement avec le Complément du Royaume-Uni, et seront considérées comme complétées comme suit :

(i) Les Tableaux 1 à 3 de la Partie 1 du Complément du Royaume-Uni seront considérés comme complétés en utilisant les informations contenues dans les Annexes de ce DPA ;

(ii) Le Tableau 4 de la Partie 2 du Complément du Royaume-Uni sera considéré comme complété en sélectionnant “importateur” ; et

(iii) Tout conflit entre les Clauses Contractuelles Types de l’UE et le Complément du Royaume-Uni sera résolu conformément à la Section 10 et à la Section 11 du Complément du Royaume-Uni.

6.4. Transferts de Données Personnelles Suisses. Dans la mesure où des Données Personnelles sont transférées depuis la Suisse de manière à déclencher des obligations en vertu de la Loi fédérale sur la protection des données de Suisse (“FADP”), les Clauses Contractuelles Types de l’UE s’appliqueront à de tels transferts et seront réputées modifiées de manière à incorporer les références et définitions pertinentes rendant ces Clauses Contractuelles Types de l’UE un outil adéquat pour de tels transferts en vertu de la FADP, comprenant notamment :

(i) L’autorité de surveillance compétente dans l’Annexe I.C des Clauses Contractuelles Types de l’UE en vertu de la Clause 13 est le Commissaire fédéral à la protection des données et à l’information de la Suisse ;

(ii) La loi applicable pour les réclamations contractuelles en vertu de la Clause 17 des Clauses Contractuelles Types de l’UE est la loi suisse ou la loi d’un pays qui permet et accorde des droits en tant que tiers bénéficiaire ;

(iii) Le terme “État membre” utilisé dans les Clauses Contractuelles Types de l’UE ne doit pas être interprété de manière à exclure les Sujets de Données en Suisse de la possibilité d’intenter des actions pour leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la Clause 18(c) ; et

(iv) Les Clauses Contractuelles Types de l’UE protègent également les données des personnes morales jusqu’à l’entrée en vigueur de la FADP révisée.

6.5. Garanties Supplémentaires. Dans la mesure où Inoveo traite des Données Personnelles de Sujets de Données situés dans ou soumis aux Lois sur la Protection des Données applicables de l’EEE, du Royaume-Uni ou de la Suisse, Inoveo a mis en place diverses garanties supplémentaires concernant le transfert de ces Données Personnelles depuis ces juridictions. Inoveo a réalisé une Évaluation du Risque de Transfert, qui sera fournie au Client sur demande écrite à l’adresse e-mail info@inoveo.ai.

7. SÉCURITÉ DES DONNÉES ET NOTIFICATION DES VIOLATIONS DE DONNÉES

7.1. Mesures de Sécurité. Inoveo a mis en place et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles des Utilisateurs Finaux contre tout Traitement non autorisé ou illicite, ainsi que contre toute perte ou altération accidentelle (“Incident de Sécurité”). En particulier, Inoveo a mis en œuvre les mesures techniques et organisationnelles énumérées à l’Annexe II.

7.2. Notification des Violations de Données. En cas de prise de conscience par Inoveo d’un Incident de Sécurité affectant les Données Personnelles des Utilisateurs Finaux, Inoveo prendra des mesures raisonnables pour notifier le Client sans délai indu et devra :

(i) fournir au Client les informations sur l’Incident de Sécurité dont il est raisonnablement capable de les divulguer au Client, en tenant compte de la nature des Services, des informations disponibles pour Inoveo et de toute restriction sur la divulgation des informations telles que la confidentialité.

(ii) À la demande du Client, fournir une assistance raisonnable pour permettre au Client de notifier les autorités compétentes ou les Sujets de Données concernés conformément aux Lois sur la Protection des Données applicables.

Un Incident de Sécurité n’inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données Personnelles des Utilisateurs Finaux. La notification par Inoveo ou la réponse à un Incident de Sécurité ne constituera pas une reconnaissance de faute ou de responsabilité à l’égard dudit Incident de Sécurité.

8. AUDITS

8.1. Rapports d’Audit. Sur demande écrite du Client à des intervalles raisonnables (pas plus d’une fois par an) et sous réserve des obligations de confidentialité, Inoveo fournira une copie des résumés des audits, certifications ou rapports de tiers les plus récents d’Inoveo, le cas échéant. Les parties conviennent que les droits d’audit du Client décrits dans les Lois sur la Protection des Données applicables seront satisfaits par la fourniture de tels résumés et/ou rapports par Inoveo.

8.2. Audit de l’Autorité de Surveillance. Inoveo fournira au Client un accès raisonnable à sa documentation et à ses systèmes en cas d’audit requis par un régulateur gouvernemental ou une autorité de surveillance pour se conformer aux Lois sur la Protection des Données applicables.

8.3. Information Confidentielle. Toute information fournie par Inoveo en vertu de cette Section 8 constitue une information confidentielle. Inoveo ne sera pas tenu de divulguer les secrets commerciaux, y compris les algorithmes, le code source, les secrets commerciaux et des informations similaires.

9. SUPPRESSION DES DONNÉES

Les parties conviennent qu’à la résiliation de la DPA ou à la demande écrite du Client, Inoveo doit, et doit obliger tout Sous-Traitant à détruire de manière sécurisée toutes les Données Personnelles des Utilisateurs Finaux et toutes les copies dès que raisonnablement possible conformément aux modalités de l’Accord et aux lois applicables. Nonobstant ce qui précède, Inoveo peut conserver tout ou partie des Données Personnelles des Utilisateurs Finaux divulguées si cela est requis par l’Accord ou par la loi ou la réglementation applicable (y compris les Lois sur la Protection des Données applicables), à condition que de telles Données Personnelles des Utilisateurs Finaux restent protégées conformément aux modalités de cette DPA et aux Lois sur la Protection des Données applicables.

10. DISPOSITIONS DIVERSES

10.1. Hiérarchie. En cas d’incohérences ou de conflit entre les dispositions de cette DPA et celles de l’Accord, les dispositions de cette DPA prévaudront dans la mesure de ce conflit en ce qui concerne le Traitement des Données Personnelles des Utilisateurs Finaux. Dans la mesure où il existe un conflit entre les Clauses Contractuelles Types (le cas échéant), cette DPA ou l’Accord, les Clauses Contractuelles Types prévaudront.

10.2. Mises à Jour de la DPA. Inoveo peut modifier cette DPA selon les besoins et publiera la version la plus récente sur le site. Tout changement ou modification entrera en vigueur dès sa publication. En continuant d’utiliser ou d’accéder aux Services après la prise d’effet de toute modification, le Client accepte d’être lié par la DPA modifiée.

10.3. Loi Applicable. Cette DPA sera régie et interprétée conformément aux dispositions de la loi applicable et de juridiction prévues dans l’Accord, sauf disposition contraire des Lois sur la Protection des Données applicables.

10.4. Limitation de Responsabilité. Toutes les activités en vertu de cette DPA (y compris, sans s’y limiter, le Traitement des Données Personnelles des Utilisateurs Finaux) restent soumises aux limitations de responsabilité applicables telles que définies dans l’Accord.

10.5. Contact. Toute question concernant cette DPA doit être adressée au Délégué à la Protection des Données à l’adresse info@inoveo.ai.  Inoveo tentera de résoudre toute réclamation concernant l’utilisation des Données Personnelles des Utilisateurs Finaux conformément à cette DPA et à l’Accord.

ANNEXE I – DESCRIPTION DU TRAITEMENT/TRANSFERT

A. LISTE DES PARTIES

Exportateur(s) de données :

•        Nom : L’entité identifiée en tant que “Client” ou le nom spécifié dans le compte du Client.

•        Adresse : L’adresse de facturation du Client spécifiée dans le compte du Client.

•        Nom, fonction et coordonnées de la personne de contact : Les informations de contact spécifiées dans le compte du Client.

•        Activités pertinentes pour les données transférées en vertu de ces Clauses : Toutes les activités pertinentes aux fins de la réception des Services fournis par Inoveo dans le cadre de l’Accord.

•        Signature et date : En concluant la DPA, l’exportateur de données est réputé avoir signé les Clauses Contractuelles Types et les Annexes incorporées ici à partir de la Date d’Entrée en Vigueur de la DPA.

•        Rôle (responsable/procédant) : Responsable

Importateur(s) de données :

•        Nom : La partie contractante d’Inoveo comme applicable en vertu de l’Accord.

•        Adresse : L’adresse de la partie contractante d’Inoveo comme applicable en vertu de l’Accord.

•        Nom, fonction et coordonnées de la personne de contact : info@inoveo.ai.

•        Activités pertinentes pour les données transférées en vertu de ces Clauses : Traitement de Données Personnelles dans le cadre de l’utilisation des Services d’Inoveo par le Client.

•        Signature et date : En concluant la DPA, l’importateur de données est réputé avoir signé les Clauses Contractuelles Types et les Annexes incorporées ici à partir de la Date d’Entrée en Vigueur de la DPA.

•        Rôle (responsable/procédant) : Procédant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées : Les personnes concernées peuvent inclure, sans s’y limiter :

•        Les utilisateurs finaux (qui sont des personnes physiques), tels que les clients actuels et potentiels, les visiteurs ou les utilisateurs du service du Client.

•        Les représentants actuels, anciens ou potentiels du Client, les employés, les candidats, les agents, les consultants, les travailleurs indépendants, les partenaires commerciaux, les sous-traitants et/ou les collaborateurs du Client (qui sont des personnes physiques).

•        Les tiers avec lesquels le Client décide d’interagir via le Service.

Catégories de données personnelles : Données Personnelles soumises dans le cadre et la nature déterminés par le Responsable de données à sa seule discrétion.

Données sensibles transférées (si applicable) et restrictions ou garanties appliquées : Les parties ne prévoient pas le transfert de données sensibles.

Fréquence du transfert : Sur une base continue en fonction de l’utilisation des Services par le Client.

Nature du traitement : Exécution des Services conformément à l’Accord.

Objectif(s) du transfert de données et traitement ultérieur : Nous pouvons utiliser vos Données Personnelles aux fins suivantes (et des tâches liées à ces fins), toutes conformément à l’Accord et de manière proportionnée et respectueuse de vos Données Personnelles des Utilisateurs Finaux :

•        Vous fournir les Services ;

•        Agir sur vos instructions ;

•        Exécuter et faire respecter l’Accord et cette DPA ;

•        Défendre nos droits ;

•        Prévenir, enquêter et atténuer les risques et incidents de sécurité des données, la fraude, les erreurs et/ou les activités illégales ou interdites ;

•        Se conformer aux lois et réglementations applicables.

Période pendant laquelle les données personnelles seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période : Inoveo conservera les Données Personnelles jusqu’à la résiliation de l’Accord et conformément à la Section 9 de la DPA, sauf disposition contraire de l’Accord.

Pour les transferts à des (sous-)traitants, précisez également l’objet, la nature et la durée du traitement : Les Sous-Traitants traiteront les Données Personnelles selon les besoins pour exécuter les Services conformément à l’Accord et pour la durée de l’Accord, sauf accord contraire par écrit.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier l’autorité de surveillance compétente conformément à la Clause 13 : L’Autorité de Protection des Données néerlandaise, sauf disposition contraire de la Section 6 de la DPA.

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES

Inoveo maintient actuellement les mesures de sécurité techniques et organisationnelles suivantes pour la protection, la confidentialité et l’intégrité des Données Personnelles. Veuillez noter qu’Inoveo peut modifier ces pratiques à sa discrétion. Toute modification apportée ne diminuera pas de manière significative la sécurité et la protection globales des Données Personnelles.

1- Empêcher les personnes non autorisées d’accéder aux systèmes avec lesquels les Données Personnelles sont traitées ou utilisées (contrôle d’accès physique) ; en particulier, en prenant les mesures suivantes :

•        Contrôle d’accès pour les zones critiques ou sensibles

•        Journaux d’incidents

•        Systèmes automatisés de contrôle d’accès

•        Lecteurs de cartes d’identité ou de puce

•        Formation à la sensibilisation à la sécurité

2- Empêcher que les systèmes de traitement des données soient utilisés sans autorisation (contrôle d’accès logique) ; en particulier, en prenant les mesures suivantes :

•        Dispositifs réseau tels que les systèmes de détection d’intrusion, les routeurs et les pare-feu.

•        Connexion sécurisée avec un identifiant d’utilisateur/mot de passe unique, y compris des exigences de complexité des mots de passe et une authentification multi-facteurs lorsque cela est approprié.

•        Les politiques obligent le verrouillage des postes de travail non surveillés. Un mot de passe est mis en place pour le protecteur d’écran de manière à ce que si l’utilisateur oublie de verrouiller le poste de travail, le verrouillage automatique soit assuré.

•        Journalisation et analyse de l’utilisation du système.

•        Accès basé sur les rôles pour les systèmes critiques contenant des Données Personnelles.

•        Processus de mises à jour système régulières pour les vulnérabilités connues.

•        Chiffrement des disques durs d’ordinateur portable.

•        Surveillance des vulnérabilités de sécurité sur les systèmes critiques.

•        Déploiement et mise à jour de logiciels antivirus.

•        Dispositifs réseau tels que les systèmes de détection d’intrusion, les routeurs et les pare-feu.

•        Respect des normes de sécurité des données de l’industrie des cartes de paiement.

3- S’assurer que les personnes autorisées à utiliser un système ne peuvent accéder qu’aux données auxquelles elles ont le droit d’accéder, et que, dans le cadre du traitement ou de l’utilisation et après le stockage, les Données Personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d’accès aux données) ; en particulier, en prenant les mesures suivantes :

• Dispositifs réseau tels que les systèmes de détection d’intrusion, les routeurs et les pare-feu.

• Connexion sécurisée avec un identifiant d’utilisateur/mot de passe unique, y compris des exigences de complexité des mots de passe et une authentification multi-facteurs lorsque cela est approprié.

• Journalisation et analyse de l’utilisation du système.

• Accès basé sur les rôles pour les systèmes critiques contenant des Données Personnelles.

• Chiffrement des disques durs d’ordinateur portable.

• Déploiement et mise à jour de logiciels antivirus.

• Conformité à la norme de sécurité des données de l’industrie des cartes de paiement.

4- S’assurer que les Données Personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage en prenant les mesures suivantes :

• Connexion sécurisée avec un identifiant d’utilisateur/mot de passe unique, y compris des exigences de complexité des mots de passe et une authentification multi-facteurs lorsque cela est approprié.

• Protocoles de transmission sécurisée.

• Journalisation et analyse de l’utilisation du système.

• Accès basé sur les rôles pour les systèmes critiques contenant des Données Personnelles.

• Dispositifs réseau tels que les systèmes de détection d’intrusion, les routeurs et les pare-feu.

• Déploiement d’un VPN.

5- S’assurer que les Données Personnelles sont traitées uniquement conformément à la politique de l’entreprise, en prenant les mesures suivantes :

• Formation obligatoire à la sécurité et à la confidentialité pour tous les employés.

• Procédures d’embauche des employés qui nécessitent la complétion d’un formulaire de candidature détaillé pour les employés clés ayant accès à des données personnelles importantes et, lorsque la loi locale le permet.

• Sélection diligente du personnel et des prestataires de services appropriés.

• Conclusion d’accords de traitement des données appropriés avec les sous-traitants, qui comprennent des mesures de sécurité techniques et organisationnelles appropriées.

6- S’assurer que les Données Personnelles sont protégées contre la destruction ou la perte accidentelle (contrôle de disponibilité) ; en particulier, en prenant les mesures suivantes :

• Test régulier de l’efficacité des mesures de sécurité.

• Procédures de sauvegarde et systèmes de récupération.

• Serveurs redondants dans des emplacements séparés.

• Alimentation électrique sans interruption et unité d’alimentation auxiliaire.

• Stockage à distance.

• Surveillance et contrôle du climat pour les serveurs.

• Déploiement et mise à jour de logiciels antivirus.

• Plan de récupération après sinistre et plan d’urgence.

7- S’assurer que les données collectées à des fins ou selon des principes différents peuvent être traitées séparément (contrôle de séparation) ; en particulier, en prenant les mesures suivantes :

• Accès basé sur les rôles pour les systèmes critiques contenant des Données Personnelles.

• Séparation des données de test et des données en direct.

• Conformité à la norme de sécurité des données de l’industrie des cartes de paiement.

ANNEXE III – LISTE DES SOUS-TRAITANTS

Une liste des Sous-Traitants que nous engageons et notre objectif pour les engager est accessible sur demande du Client.