Addendum relatif au traitement des données de Sojern Inc.

Dernière mise à jour : 14 septembre 2022

Cet addendum relatif au traitement des données, y compris les annexes 1 et 2 (« DPA »), définit les conditions essentielles requises par Sojern, Inc., une société du Delaware dont le siège social est situé au 575 Market Street, 4th Floor, San Francisco, CA 94105 USA (« Sojern »). Aux fins de la présente DPA, la société partie à l'Accord (tel que défini ci-dessous) dans lequel cette DPA est incorporée est dénommée « Société ».

1. Définitions

»Entente» désigne tous les accords entre les parties en vertu desquels Sojern reçoit, collecte, accède ou traite de toute autre manière des données personnelles aux fins prévues par le fournisseur de données ou le contrat de service applicable. Ce DPA intègre les termes et conditions de l'Accord et tels qu'ils sont énoncés ci-dessous. En cas de conflit entre le DPA et le Contrat, les termes du présent DPA prévaudront. Tous les termes en majuscules utilisés mais non définis dans les présentes auront leur signification respective telle qu'elle est définie dans le Contrat.

»Données personnelles» désigne toute information concernant une personne physique identifiée ou identifiable qui peut être identifiée directement ou indirectement.

»Service» désigne les services fournis par Sojern ou la Société, selon le cas, dans le cadre du Contrat.

2. Application de la DPA

Aux fins du traitement effectué par Sojern conformément au Contrat, le rôle de Sojern en tant que sous-traitant ou responsable du traitement des données en ce qui concerne les Données personnelles traitées par Sojern est défini dans l'Accord applicable.

3. Utilisation des données personnelles

Sauf autorisation expresse dans les présentes ou par écrit par la Société, Sojern ne divulguera, ne vendra, ne distribuera ou ne transmettra pas de données personnelles à des tiers, ou (b) n'utilisera pas les données personnelles à des fins autres que celles de fournir à la Société le Service dans le cadre du Contrat, et conformément à toutes les lois applicables en matière de confidentialité et de protection des données.

4. Conformité à la loi ; autres instructions

Chaque partie certifie qu'elle comprend ses obligations en vertu des lois applicables en matière de confidentialité et de protection des données et qu'elle traitera les données personnelles conformément à toutes les lois applicables en matière de confidentialité et de protection des données. Lorsque Sojern agit en tant que sous-traitant, Sojern effectuera le traitement conformément aux documents et aux instructions de la Société dans le Contrat, sauf notification contraire par une autorité réglementaire indiquant que ce traitement n'est pas conforme aux lois applicables en matière de confidentialité et de protection des données, auquel cas Sojern fournira rapidement à la Société une notification écrite de cet avis réglementaire et pourra cesser de traiter les données personnelles jusqu'à ce que le problème réglementaire soit résolu.

5. Dossiers ; coopération en matière de conformité

Chaque partie conservera un enregistrement écrit ou électronique du traitement des données personnelles. Chaque partie coopérera raisonnablement avec l'autre partie pour se conformer aux lois applicables en matière de confidentialité et de protection des données en ce qui concerne les évaluations de l'impact des données, les enregistrements de traitement, les demandes connexes ou les consultations avec les autorités de protection des données, et les audits conformément à l'accord applicable afin de permettre à la société de confirmer que Sojern a respecté ses obligations en vertu des lois applicables en matière de confidentialité et de protection des données et du Contrat.

6. Politique de confidentialité de Sojern

Les parties reconnaissent que Sojern n'entretient pas de relation directe avec les personnes dont les données personnelles sont fournies à Sojern. Ainsi, lorsque les lois applicables en matière de confidentialité et de protection des données l'exigent, la Société mettra à disposition la Politique de confidentialité de Sojern à l'adresse http://www.sojern.com/privacy/privacy-policy/ aux personnes dont les données personnelles sont traitées par Sojern

7. Notification, consentement et désinscription

La Société informera les personnes et obtiendra leur consentement conformément aux lois applicables en matière de confidentialité et de protection des données concernant la collecte, l'utilisation et la divulgation des données personnelles par la Société. Si les lois applicables en matière de confidentialité et de protection des données exigent des mécanismes permettant aux individus d'exercer leurs droits, y compris, mais sans s'y limiter, les droits de retrait, la Société (ou toute autre partie responsable de la collecte des données personnelles pour le compte de la Société) fournira ce mécanisme aux individus. La Société sera présumée avoir fourni les notifications appropriées et obtenu les consentements appropriés, le cas échéant, de toutes les personnes dont les données personnelles sont fournies à Sojern.

8. Droits individuels en matière de confidentialité

Chaque partie coopérera raisonnablement avec l'autre partie en réponse à toute demande ou plainte émanant de personnes concernant le traitement des données personnelles dans le cadre du Contrat et concernant les droits à la vie privée en vertu des lois applicables en matière de confidentialité et de protection des données. Si Sojern reçoit une demande d'un individu, Sojern : (a) transmettra rapidement la demande à la Société pour gérer la demande ; et (b) lorsque Sojern est un responsable du traitement des données, mettra en œuvre la décision de la Société concernant la manière dont la demande sera gérée.

9. Données personnelles de l'UE

Dans la mesure où des données personnelles provenant de l'extérieur des États-Unis (y compris de l'Espace économique européen (EEE), du Royaume-Uni ou de la Suisse) sont transférées à Sojern, si le traitement des données nécessite une adéquation en vertu des lois du pays de la Société et que l'adéquation requise peut être satisfaite par les termes du présent APD, les parties conviennent que ce DPA intègre par référence, le cas échéant, les clauses contractuelles types (UE) 2021/914 de la Commission européenne pour le transfert de Données personnelles à destination de pays tiers conformément au règlement (UE) 2016-679 par les responsables du traitement de l'UE/EEE à sous-traitants établis en dehors de l'UE/EEE (»Module 2») et/ou par les responsables du traitement de l'UE/EEE à des contrôleurs établis en dehors de l'UE/EEE (»Module 1»), et tels qu'ils sont modifiés ou remplacés de temps à autre par la Commission européenne (collectivement, les « Clauses »). Pour des raisons de commodité, les clauses hyperliens ci-dessus sont générées sur la base de texte mis à disposition par la Commission européenne dans le seul but d'intégrer les Clauses dans l'Accord, de sélectionner le ou les modules appropriés et d'ajouter des informations dans l'Annexe, comme le permettent les Clauses. Aux fins des transferts de données personnelles, la Société sera « l'exportateur de données » et Sojern sera l' « importateur de données » (même si la Société est une entité située en dehors de l'UE/EEE, à condition que la Société soit par ailleurs soumise au Règlement (UE) 2016-679). Lorsque les Clauses s'appliquent, la Société et Sojern seront réputées avoir conclu les Clauses en leurs noms respectifs et pour leur propre compte, et les noms, adresses, coordonnées, rôles et activités des parties liés aux données personnelles transférées en vertu de ces Clauses seront fournis dans le Contrat. L'exécution du Contrat sera considérée comme l'exécution des Clauses, en particulier l'exécution de l'Annexe I.A des Clauses. En cas de conflit entre les termes du présent DPA et les Clauses, les Clauses applicables prévaudront.

  1. Contrôleur à contrôleur. Aux fins du module 1, (i) l'annexe 1 du présent DPA remplacera l'annexe 1.B du module 1 ; (ii) l'annexe 2 du présent DPA remplacera l'annexe II du module 1 ; et (iii) en vertu de la clause 11 (a) du module 1, le texte facultatif fourni est sélectionné ; (iv) en vertu de la clause 17 du module 1, l'OPTION 1 est sélectionnée et l'État membre de l'UE est l'Irlande ; et (v) en vertu de la clause 18 (b) du module 1, les tribunaux irlandais sont sélectionnés.
  2. Du contrôleur au processeur. Aux fins du module 2, (i) l'annexe 1 de cette DPA remplacera l'annexe 1.B du module 2 ; (ii) l'annexe 2 de cette DPA remplacera l'annexe II du module 2 ; (iii) en vertu de la clause 9 (a) du module 2, OPTION 2 : L'AUTORISATION ÉCRITE GÉNÉRALE est sélectionnée et le délai de préavis est de trente (30) jours ; (iv) en vertu de la clause 11 (a) du module 2, le texte facultatif fourni est sélectionné ; (v) en vertu de la clause 17 du module 2, l'OPTION 1 est sélectionnée et l'État membre de l'UE est l'Irlande ; et (vi) en vertu de la clause 18 (b) du module 2, les tribunaux irlandais sont sélectionnés.
  3. Section 702 de la FISA et décret 12333. Sojern informera immédiatement la Société et cessera d'accepter les données personnelles si Sojern apprend qu'elle est soumise à des exigences de partage ou de divulgation de données, comme prévu par la section 702 de la Foreign Intelligence Surveillance Act (FISA) et/ou le décret 12333 des États-Unis. Si des directives supplémentaires sont publiées par le Comité européen de protection des données ou une autre autorité réglementaire réglementée par la Société sur les mesures adéquates supplémentaires requises pour l'exportation internationale de données personnelles, Sojern mettra rapidement en œuvre toute autre mesure adéquate.

10. Garanties de sécurité

Chaque partie doit mettre en œuvre et maintenir des mesures techniques, physiques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels.

  1. Violation de données personnelles. Dès qu'elle aura connaissance d'une violation des données personnelles en vertu des lois applicables en matière de confidentialité et de protection des données, chaque partie en informera l'autre par écrit dans les meilleurs délais et dans les délais requis par les lois applicables en matière de confidentialité et de protection des données. Chaque partie coopérera raisonnablement avec l'autre pour atténuer, dans la mesure du possible, les effets négatifs d'une violation de données personnelles.
  2. Stockage des données ; suppression des données personnelles après la résiliation. Sojern met en œuvre des mesures de sécurité techniques pour empêcher tout accès non autorisé aux données personnelles, notamment en cryptant les données personnelles sous forme électronique pendant leur transit et lorsqu'elles sont stockées sur les réseaux ou systèmes Sojern. Les obligations de Sojern relatives aux données personnelles en cas de résiliation du Contrat sont énoncées dans la section Durée et résiliation du Contrat, sous réserve des conditions de conservation des données du Contrat applicable.

11. Sous-processeurs

La société accorde une autorisation générale à Sojern pour faire appel à d'autres processeurs de données pour le traitement des données personnelles (« sous-traitants »), qui sont liés par des obligations de confidentialité et de protection des données conformes à la présente DPA, listée sur www.sojern.com/legal/partner-list/. Lorsque le Contrat l'exige ou lorsque Sojern agit en tant que responsable du traitement des données, Sojern informera la Société de tout changement concernant l'ajout ou le remplacement de sous-traitants en mettant à jour la liste susmentionnée, donnant ainsi à la Société la possibilité de s'opposer à ces modifications, et les instructions relatives aux objections sont fournies sur la même URL. Si la Société s'oppose raisonnablement à une modification et que Sojern n'est pas en mesure de résoudre cette objection, la Société peut résilier le Contrat et la DPA.

12. Application de la DPA

Le présent DPA restera pleinement en vigueur jusqu'à ce que la dernière des conditions suivantes soit (a) le (s) Contrat (s) restant en vigueur, et (b) Sojern conserve des copies des données personnelles. Chaque partie peut résilier le présent DPA immédiatement en cas de violation substantielle du présent DPA ou si une autorité réglementaire et/ou un tribunal compétent constate que le traitement des données personnelles par les parties constitue une violation substantielle des lois applicables en matière de confidentialité et de protection des données, à condition toutefois que la partie non contrevenante doive notifier la violation présumée, et cette violation ne sera pas corrigée pendant une période de quinze (15) jours suivant cette notification.

13. Loi applicable

Le présent DPA est réputé avoir été rédigé et doit être interprété conformément aux lois de l'État de Californie, aux États-Unis, sans égard à ses dispositions relatives aux conflits de lois.

CALENDRIER 1

Description du transfert

Catégories de personnes dont les données personnelles sont transférées

Voyageurs et autres clients de la Société.

Catégories de données personnelles transférées

Les données personnelles transférées par la société sont fournies conformément à l'accord et peuvent inclure, mais sans s'y limiter :

  • Informations relatives à un identifiant en ligne unique, tel qu'un identifiant de cookie, un identifiant d'appareil mobile, une adresse e-mail hachée, un identifiant publicitaire et des numéros d'identification client attribués par l'entreprise.
  • Informations relatives à l'appareil d'un individu, telles que l'adresse IP, le type d'appareil, le type de navigateur, la date et l'heure des clics et des visites Web, les URL visitées et d'autres informations techniques.
  • Informations relatives au voyage d'une personne, telles que le nombre et les types de voyageurs, la devise/les taux/les tarifs/les frais, les informations de recherche et de réservation (telles que les dates de départ et d'arrivée, le pays ou la ville de destination), les informations sur les programmes de fidélité ou de récompenses et les préférences en matière d'hébergement ou de service (telles que la chambre, le type de siège d'avion ou de voiture, et les préférences en matière d'installations et de commodités).
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre de l'accès aux données, les restrictions relatives aux transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

Sur une base continue, pendant la durée de l'accord applicable.

Nature du traitement

Collecte d'informations de navigation en ligne grâce à l'utilisation de cookies et d'autres technologies de suivi.

Finalité (s) du transfert de données et du traitement ultérieur

À toute fin légale liée aux Services fournis dans le cadre du Contrat entre l'exportateur de données et l'importateur de données, en particulier la publicité ciblée basée sur les informations de navigation en ligne. Aucun autre traitement n'est autorisé.

La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période

Pendant la durée de l'accord applicable, sauf si l'exportateur de données le souhaite, les données personnelles sont supprimées ou renvoyées.

Pour les transferts vers des (sous-) processeurs, précisez également l'objet, la nature et la durée du traitement

Les sous-processeurs sont répertoriés sur www.sojern.com/legal/partner-list/ comme le permet la clause 9 (a) du modèle 1.

  • Objet du traitement : Les sous-traitants fournissent une infrastructure et des services d'hébergement, de stockage et de traitement permettant à Sojern de fournir des services à ses clients. En outre, les sous-traitants diffusent des publicités numériques sur des sites Web, des applications mobiles et d'autres propriétés connectées à Internet, publient des rapports sur les performances des campagnes publicitaires et fournissent une plate-forme qui facilite la vente d'impressions/d'inventaires en ligne par le biais d'enchères en temps réel.
  • Nature du traitement : les fournisseurs d'hébergement cloud stockent et traitent les données fournies par les clients de Sojern, et les plateformes axées sur la demande traitent les données pour les services d'achat de médias programmatiques et de publicité.
  • Durée du traitement : pendant la durée du contrat entre Sojern et les sous-traitants, sous réserve des périodes de conservation qui y sont prévues.
Autorité de surveillance compétente

L'autorité de contrôle de l'un des États membres dans lequel se trouvent les personnes concernées dont les données personnelles sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services, ou dont le comportement est surveillé, se trouvent, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

ANNEXE 2

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR GARANTIR LA SÉCURITÉ DES DONNÉES

1. Général. Sojern établira, mettra en œuvre et maintiendra des mesures administratives, techniques et organisationnelles appropriées conçues pour protéger contre le traitement non autorisé ou illégal des données personnelles et contre la perte, la destruction ou l'endommagement accidentels des données personnelles. Ces mesures seront adéquates pour se conformer aux lois applicables en matière de protection des données et Sojern se conformera à tout moment à ses politiques de sécurité de l'information et à son programme de sécurité des informations.

2. Politiques et normes de sécurité de l'information. Sojern maintiendra les politiques, normes et procédures de sécurité de l'information. Ces politiques, normes et procédures doivent être tenues à jour et révisées chaque fois que des modifications pertinentes sont apportées aux systèmes d'information qui utilisent ou stockent des données personnelles.

3. Gestion des vulnérabilités. Sojern maintiendra un programme de gestion des vulnérabilités pour tous les systèmes qui traitent des données personnelles, qui comprend, sans s'y limiter, une analyse des vulnérabilités internes et externes avec des résultats d'évaluation des risques et des plans de correction formels pour corriger toutes les vulnérabilités identifiées.

4. Évaluation des risques. Sojern procédera à des évaluations des risques périodiques afin d'identifier et d'évaluer les risques raisonnablement prévisibles en matière de sécurité, de confidentialité et d'intégrité des dossiers contenant des données personnelles et évaluera et améliorera, si nécessaire, l'efficacité de ses garanties visant à limiter ces risques.

5. Classification des données. Sojern appliquera des politiques et des procédures visant à classer les actifs d'informations sensibles, à clarifier les responsabilités en matière de sécurité et à sensibiliser tous les employés.

6. Chiffrement. Sojern mettra en œuvre des mécanismes de chiffrement conformes aux normes de l'industrie et des suites de chiffrement robustes (l'AES 256 bits est recommandé) pour le stockage et la transmission. Sojern accepte les connexions via des canaux cryptés (le protocole TLS est recommandé).

7. Sécurité du réseau. Sojern sécurisera son réseau en utilisant une approche de défense en profondeur qui utilise des équipements disponibles dans le commerce et des techniques standard de l'industrie, notamment des pare-feux, des systèmes de détection d'intrusion, des listes de contrôle d'accès et des protocoles de routage.

8. Contrôles contre les virus et les programmes malveillants. Sojern protégera les données personnelles contre les codes malveillants et installera et maintiendra un logiciel de protection antivirus et antimalware sur tout système traitant des données personnelles.

9. Contrôle d'accès. Sojern appliquera le principe du moindre privilège selon lequel l'accès aux données personnelles n'est accordé qu'aux personnes au sein de l'organisation qui ont besoin d'un tel accès pour des raisons professionnelles et les autorisations seront limitées au minimum requis pour exécuter la fonction spécifique.

10. Lieu de traitement. Les données personnelles seront traitées par Sojern aux États-Unis, sous réserve des lois applicables en matière de protection des données qui peuvent exiger le contraire.

11. Réponse aux incidents. Sojern maintiendra un programme de réponse aux incidents liés à la sécurité des données et documentera tous les incidents présumés liés à la sécurité des données. Sojern enquêtera sur tout incident de sécurité des données et prendra toutes les mesures nécessaires pour éliminer ou contenir l'incident de sécurité des données.

12. Le personnel. Sojern maintiendra un programme de sensibilisation et de formation à la sécurité de l'information et formera le personnel essentiel de Sojern aux mesures de protection des données et aux protections générales en matière de cybersécurité.

13. Vendeur. Sojern maintiendra un programme de gestion des fournisseurs qui évaluera tous les fournisseurs avec lesquels Sojern échange des données personnelles. Ces fournisseurs seront tenus de respecter des normes de sécurité des données non moins restrictives que celles énoncées dans les présentes.

Merci de votre inscription à notre newsletter.
Oups ! Une erreur s'est produite lors de l'envoi du formulaire. Je vous en prie encore une fois
Produit
Plateforme de marketing pour les voyageursCustomer Experience SolutionsPrivacy y data
Ressources
Informations sur les voyagesBlogueReportagesHistoires de réussiteFAQ sur les cookies
L'entreprise
Pourquoi SojernTravaillez en partenariat avec nousCARRIÈRESPresseCentre de confidentialité