Accord de traitement des données

1.1 Sauf définition contraire dans les présentes, les termes et expressions en majuscules utilisés dans le présent Accord auront les significations suivantes :

• 'Accord' désigne cet Accord de traitement des données et toutes ses sections.
• 'Données personnelles de l'entreprise' désigne toutes les données personnelles traitées par un sous-traitant sous contrat au nom de la société conformément ou en relation avec l'accord principal.
• « Processeur sous contrat » désigne un sous-traitant ultérieur.
• 'Lois sur la protection des données' désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la vie privée de tout autre pays.
• 'EEA' désigne l'Espace économique européen.
• 'Lois de l'UE sur la protection des données' désigne la directive européenne 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou remplacée de temps à autre, y compris par le GDPR et les lois mettant en œuvre ou complétant le GDPR.
• 'GDPR' désigne le règlement général de l'UE sur la protection des données 2016/679.
• 'Transfert de données' désigne un transfert de données personnelles de l'entreprise de la société à un sous-traitant sous contrat, ou un transfert ultérieur de données personnelles de l'entreprise d'un sous-traitant sous contrat à un sous-traitant ultérieur, ou entre deux établissements d'un sous-traitant sous contrat, dans chaque cas où un tel transfert serait interdit par les lois sur la protection des données.
• 'Services' désigne les services fournis par la Société.
• 'Sous-traitant' désigne toute personne désignée par ou au nom du Sous-traitant pour traiter les Données personnelles au nom de la Société dans le cadre de l'Accord.

1.2 Les termes « Commission », « Responsable du traitement », « Personne concernée », « État membre », « Données personnelles », « Violation de données personnelles », « Traitement » et « Autorité de contrôle » ont la même signification que dans le GDPR, et leurs termes apparentés doivent être interprétés en conséquence.

2.1 Le processeur doit :

• Se conformer à toutes les lois applicables sur la protection des données lors du traitement des données personnelles de l'entreprise.
• Ne pas traiter les données personnelles de l'entreprise autrement que selon les instructions documentées de l'entreprise concernée.

2.2 La Société demande au Sous-traitant de traiter les Données personnelles de la Société.

3.1 Le sous-traitant doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant de tout sous-traitant sous contrat qui peut avoir accès aux données personnelles de la société, en garantissant dans chaque cas que l'accès est strictement limité aux personnes qui ont besoin de connaître/d'accéder aux données personnelles pertinentes de la société, dans la mesure strictement nécessaire au contrat principal, et de se conformer aux lois applicables dans le cadre des devoirs de cette personne envers le sous-traitant sous contrat, en garantissant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.

4.1 Compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque plus ou moins probable et grave pour les droits et libertés des personnes physiques, le Sous-traitant devra, en ce qui concerne les Données personnelles de la Société, mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du GDPR.

.

4.2 Lors de l'évaluation du niveau de sécurité approprié, le Sous-traitant doit notamment tenir compte des risques présentés par le Traitement, notamment en cas de violation de données personnelles.

5.1 Le sous-traitant ne doit pas nommer (ni divulguer les données personnelles de la société) un sous-traitant ultérieur, sauf si cela est requis ou autorisé par la société.

6.1 Compte tenu de la nature du traitement, le sous-traitant assistera la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir les obligations de la Société, telles que raisonnablement comprises par la Société, pour répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données.

6.2 Le processeur doit :

• Informer rapidement l'entreprise si elle reçoit une demande d'une personne concernée en vertu d'une loi sur la protection des données concernant les données personnelles de l'entreprise.
• Assurez-vous qu'il ne répond pas à cette demande, sauf sur les instructions documentées de la Société ou comme l'exigent les lois applicables auxquelles le sous-traitant est soumis, auquel cas le sous-traitant doit, dans la mesure permise par les lois applicables, informer la Société de cette exigence légale avant que le sous-traitant sous contrat ne réponde à la demande.

7.1 Le processeur doit informer la société sans délai injustifié dès qu'il prend connaissance d'une violation de données personnelles affectant les données personnelles de l'entreprise, en fournissant à la société suffisamment d'informations pour permettre à la société de remplir toute obligation de signaler ou d'informer les personnes concernées de la violation de données personnelles en vertu des lois sur la protection des données.

7.2 Le processeur doit coopérer avec la société et prendre des mesures commerciales raisonnables selon les instructions de la société pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces violations de données personnelles.

8.1 Le sous-traitant doit fournir une assistance raisonnable à la Société pour toute évaluation d'impact sur la protection des données et consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement comme requises par l'article 35 ou 36 du GDPR ou des dispositions équivalentes de toute autre loi sur la protection des données.

9.1 Sous réserve du présent article, le processeur doit rapidement et en tout état de cause dans les 10 jours ouvrables à compter de la date de cessation de tout service impliquant le traitement des données personnelles de l'entreprise (la « date de cessation »), supprimer et faire supprimer toutes les copies des données personnelles de l'entreprise.

10.1 Sous réserve de cette section, le Sous-traitant doit mettre à la disposition de la Société sur demande toutes les informations nécessaires pour démontrer le respect du présent Accord, et doit permettre et contribuer aux audits, y compris les inspections, par la Société ou un auditeur mandaté par la Société en relation avec le traitement des données personnelles de la Société par les Sous-traitants sous contrat.

10.2 Les droits d'information et d'audit de la Société ne découlent de cette section que dans la mesure où l'Accord ne confère pas autrement ces droits répondant aux exigences pertinentes des lois sur la protection des données.

11.1 Le processeur ne peut pas transférer ou autoriser le transfert des données personnelles de la société vers des pays en dehors de l'UE et/ou de l'Espace économique européen (EEA) sans le consentement écrit préalable de la société. Si les données personnelles traitées dans le cadre du présent Accord sont transférées d'un pays du EEA vers un pays en dehors du EEA, les Parties veilleront à ce que les données personnelles soient protégées de manière adéquate. Pour y parvenir, les Parties s'appuieront, sauf accord contraire, sur des clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.

12.1 Confidentialité. Chaque partie doit garder confidentiels le présent accord et les informations qu'elle reçoit sur l'autre partie et ses activités dans le cadre du présent accord (« Informations confidentielles ») et ne doit pas utiliser ou divulguer ces informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf dans la mesure où :

• La divulgation est requise par la loi.
• Les informations pertinentes sont déjà dans le domaine public.

12.2 Avis. Tous les avis et communications donnés dans le cadre du présent Accord doivent être rédigés par écrit et seront remis personnellement, envoyés par la poste ou envoyés par e-mail aux coordonnées indiquées dans le présent Accord ou à d'autres coordonnées notifiées de temps à autre par les Parties.

13.1 Le présent Contrat est régi par les lois françaises.

13.2 Tout litige né dans le cadre du présent Contrat, que les Parties ne pourront résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux français.

En utilisant les services de InsertChat, vous (« la Société ») acceptez les termes et conditions décrits dans le présent accord de traitement des données, les conditions d'utilisation de InsertChat et la politique de confidentialité de InsertChat. Cet Accord est automatiquement applicable à tous les utilisateurs des services de InsertChat et ne nécessite pas de signature physique.