Cet addendum relatif au traitement des données, y compris les annexes 1 et 2 (« DPA »), définit les conditions essentielles requises par Sojern, Inc., une société du Delaware dont le siège social est situé au 575 Market Street, 4th Floor, San Francisco, CA 94105 États-Unis (« Sojern »). Aux fins de la présente DPA, la société partie à l'Accord (tel que défini ci-dessous) dans laquelle cette DPA est incorporée est dénommée « Société ».
»Entente» désigne tous les accords entre les parties en vertu desquels Sojern reçoit, collecte, accède ou traite de toute autre manière des données personnelles aux fins prévues par le fournisseur de données ou le contrat de service applicable. Ce DPA intègre les termes et conditions de l'Accord et tels qu'ils sont énoncés ci-dessous. En cas de conflit entre le DPA et le Contrat, les termes du présent DPA prévaudront. Tous les termes en majuscules utilisés mais non définis dans les présentes auront leur signification respective telle qu'elle est définie dans le Contrat.
»Données personnelles» désigne toute information concernant une personne physique identifiée ou identifiable qui peut être identifiée directement ou indirectement.
»Service» désigne les services fournis par Sojern ou la Société, selon le cas, dans le cadre du Contrat.
Aux fins du traitement effectué par Sojern conformément au Contrat, le rôle de Sojern en tant que sous-traitant ou responsable du traitement des données en ce qui concerne les Données personnelles traitées par Sojern est défini dans l'Accord applicable.
Sauf autorisation expresse dans les présentes ou par écrit par la Société, Sojern ne divulguera, ne vendra, ne distribuera ou ne transmettra pas de données personnelles à des tiers, ou (b) n'utilisera pas les données personnelles à des fins autres que celles de fournir à la Société le Service dans le cadre du Contrat, et conformément à toutes les lois applicables en matière de confidentialité et de protection des données. Sojern veillera à ce que chaque personne autorisée à traiter des données personnelles soit soumise à une obligation de confidentialité en ce qui concerne ces données personnelles.
Chaque partie certifie qu'elle comprend ses obligations en vertu des lois applicables en matière de confidentialité et de protection des données et qu'elle traitera les données personnelles conformément à toutes les lois applicables en matière de confidentialité et de protection des données. Lorsque Sojern agit en tant que sous-traitant, Sojern effectuera le traitement conformément aux documents et aux instructions de la Société dans le Contrat, sauf notification contraire par une autorité réglementaire indiquant que ce traitement n'est pas conforme aux lois applicables en matière de confidentialité et de protection des données, cas dans lequel Sojern fournira rapidement à la Société une notification écrite de cet avis réglementaire et pourra cesser de traiter les données personnelles jusqu'à ce que le problème réglementaire soit résolu.
Dans la mesure requise par la législation applicable en matière de protection des données, la Société ne demandera à Sojern de traiter les données personnelles qu'aux fins autorisées par les lois applicables en matière de confidentialité et de protection des données et ne divulguera les données personnelles à Sojern qu'aux fins limitées et spécifiées dans le Contrat. La Société se réserve le droit, moyennant un préavis raisonnable, de prendre des mesures raisonnables et appropriées pour garantir que Sojern utilise les données personnelles transférées d'une manière conforme aux obligations de Sojern en vertu des lois applicables en matière de confidentialité et de protection des données, y compris des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des données personnelles et y remédier. Sojern informera la Société si elle détermine qu'elle ne peut plus respecter ses obligations en vertu des lois applicables en matière de confidentialité et de protection des données.
Chaque partie conservera un enregistrement écrit ou électronique du traitement des données personnelles. Chaque partie coopérera raisonnablement avec l'autre partie pour se conformer aux lois applicables en matière de confidentialité et de protection des données en ce qui concerne les évaluations de l'impact des données, les enregistrements de traitement, les demandes connexes ou les consultations avec les autorités de protection des données, et les audits conformément à l'accord applicable afin de permettre à la société de confirmer que Sojern a respecté ses obligations en vertu des lois applicables en matière de confidentialité et de protection des données et du Contract.
Lorsque le Contrat précise que Sojern agit en tant que « tiers » en vertu de la loi californienne sur la protection des consommateurs (CCPA) :
Sojern ne traitera les données personnelles que pendant la durée du Contrat pour fournir ou exécuter le Service, en particulier dans le but limité et spécifique de fournir le Service ou conformément aux instructions ou à l'autorisation écrite de la Société. Pour plus de clarté, les services fournis par Sojern sont énumérés sur le bon de commande de la société.
Sojern se conformera à toutes les obligations applicables en vertu de la CCPA et fournira le même niveau de protection de la vie privée que celui requis par la CCPA et informera si elle ne peut plus respecter ses obligations en vertu de la CCPA.
Sojern accorde à la Société le droit (a) de prendre des mesures raisonnables et appropriées pour s'assurer que le Fournisseur utilise les Données personnelles d'une manière conforme à ses obligations en vertu de la CCPA et (b) sur notification, de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des Données personnelles et y remédier.
Les parties reconnaissent que Sojern n'entretient pas de relation directe avec les personnes dont les données personnelles sont fournies à Sojern. Ainsi, lorsque les lois applicables en matière de confidentialité et de protection des données l'exigent, la Société mettra à disposition la Politique de confidentialité de Sojern à l'adresse https://www.sojern.com/privacy/privacy-policy/ aux personnes dont les données personnelles sont traitées par Sojern.
La Société informera les personnes et obtiendra leur consentement conformément aux lois applicables en matière de confidentialité et de protection des données concernant la collecte, l'utilisation et la divulgation des données personnelles par la Société. Si les lois applicables en matière de confidentialité et de protection des données exigent des mécanismes permettant aux individus d'exercer leurs droits, y compris, mais sans s'y limiter, les droits de retrait, la Société (ou toute autre partie responsable de la collecte des données personnelles pour le compte de la Société) fournira ce mécanisme aux individus. La Société sera présumée avoir fourni les notifications appropriées et obtenu les consentements appropriés, le cas échéant, de toutes les personnes dont les données personnelles sont fournies à Sojern. La Société fournira rapidement, sur demande et à tout moment par Sojern, la preuve que les consentements appropriés ont été obtenus par la Société auprès des personnes concernées.
Chaque partie coopérera raisonnablement avec l'autre partie en réponse à toute demande ou plainte émanant de personnes concernant le traitement des données personnelles dans le cadre du Contrat et concernant les droits à la vie privée en vertu des lois applicables en matière de confidentialité et de protection des données. Si Sojern reçoit une demande d'un individu, Sojern : (a) transmettra rapidement la demande à la Société pour gérer la demande ; et (b) lorsque Sojern est un responsable du traitement des données, mettra en œuvre la décision de la Société concernant la manière dont la demande sera gérée.
Les parties reconnaissent que les données personnelles provenant de l'extérieur des États-Unis (y compris de l'Espace économique européen (EEE), du Royaume-Uni ou de la Suisse) peuvent être transférées ou traitées par Sojern dans un pays ou un territoire reconnu comme garantissant une protection adéquate en vertu de la législation applicable en matière de confidentialité et de protection des données. Les parties conviennent également que les transferts de ces données personnelles à Sojern peuvent être effectués conformément à une solution, autre que les clauses contractuelles standard, qui permet le transfert légal de données personnelles vers un pays tiers conformément à la législation applicable en matière de confidentialité et de protection des données (une « Solution de transfert »). Cela inclut, mais sans s'y limiter, un cadre de protection des données approuvé comme garantissant que les entités participantes fournissent une protection adéquate des données personnelles.
Dans la mesure où des données personnelles provenant de l'extérieur des États-Unis (y compris de l'Espace économique européen (EEE), du Royaume-Uni ou de la Suisse) sont transférées à Sojern, que le traitement des données nécessite une adéquation en vertu des lois du pays de la société, qu'aucune décision d'adéquation ou solution de transfert ne s'applique, et que l'adéquation requise peut être satisfaite par les termes du présent DPA, les parties conviennent que ce DPA intègre par référence, le cas échéant, le (UE) 2021/914 européen Clauses contractuelles types de la Commission pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016-679 par les responsables du traitement de l'UE/EEE aux sous-traitants établis en dehors de l'UE/EEE (« Module 2 ») et/ou par les responsables du traitement de l'UE/EEE aux responsables du traitement établis en dehors de l'UE/EEE (« Module 1 »), et tels qu'ils sont modifiés ou remplacés de temps à par autre la Commission européenne (collectivement, les « Clauses »). Pour des raisons de commodité, les clauses hyperliens ci-dessus sont générées sur la base de texte mis à disposition par la Commission européenne dans le seul but d'intégrer les Clauses dans l'Accord, de sélectionner le ou les modules appropriés et d'ajouter des informations dans l'Annexe, comme le permettent les Clauses. Aux fins des transferts de données personnelles, la Société sera « l'exportateur de données » et Sojern sera l' « importateur de données » (même si la Société est une entité située en dehors de l'UE/EEE, à condition que la Société soit par ailleurs soumise au Règlement (UE) 2016-679). Lorsque les Clauses s'appliquent, la Société et Sojern seront réputées avoir conclu les Clauses en leurs noms respectifs et pour leur propre compte, et les noms, adresses, coordonnées, rôles et activités des parties liées aux données personnelles transférées en vertu de ces Clauses seront fournis dans le Contrat. L'exécution du Contrat sera considérée comme l'exécution des Clauses, en particulier l'exécution de l'Annexe I.A des Clauses. En cas de conflit entre les termes du présent DPA et les Clauses, les Clauses applicables prévaudront.
Chaque partie doit mettre en œuvre et maintenir des mesures techniques, physiques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels.
La société accorde une autorisation générale à Sojern pour faire appel à d'autres processeurs de données pour le traitement des données personnelles (« sous-traitants »), qui sont liés par des obligations de confidentialité et de protection des données conformes au présent DPA et aux lois applicables en matière de confidentialité et de protection des données, répertoriées sur www.sojern.com/legal/partner-list/. Lorsque le Contrat l'exige ou lorsque Sojern agit en tant que responsable du traitement des données, Sojern informera la Société de tout changement concernant l'ajout ou le remplacement de sous-traitants en mettant à jour la liste susmentionnée, donnant ainsi à la Société la possibilité de s'opposer à ces modifications, et les instructions relatives aux objections sont fournies sur la même URL. Si la Société s'oppose raisonnablement à une modification et que Sojern n'est pas en mesure de résoudre cette objection, la Société peut résilier le Contrat et la DPA.
Le présent DPA restera pleinement en vigueur jusqu'à ce que la dernière des conditions suivantes soit (a) le (s) Contrat (s) restant en vigueur, et (b) Sojern conserve des copies des données personnelles. Chaque partie peut résilier le présent DPA immédiatement en cas de violation substantielle du présent DPA ou si une autorité réglementaire et/ou un tribunal compétent constate que le traitement des données personnelles par les parties constitue une violation substantielle des lois applicables en matière de confidentialité et de protection des données, à condition toutefois que la partie non contrevenante doive notifier la violation présumée, et cette violation ne sera pas corrigée pendant une période de quinze (15) jours suivant cette notification.
Le présent DPA est réputé avoir été rédigé et doit être interprété conformément aux lois de l'État de Californie, aux États-Unis, sans égard à ses dispositions relatives aux conflits de lois.
Voyageurs et autres clients de la Société.
Les données personnelles transférées par la société sont fournies conformément à l'accord et peuvent inclure, mais sans s'y limiter :
Aucune
Sur une base continue, pendant la durée de l'accord applicable.
Collecte d'informations de navigation en ligne grâce à l'utilisation de cookies et d'autres technologies de suivi.
À toute fin légale liée aux Services fournis dans le cadre du Contrat entre l'exportateur de données et l'importateur de données, en particulier la publicité ciblée basée sur les informations de navigation en ligne. Aucun autre traitement n'est autorisé.
Pendant la durée de l'accord applicable, sauf si l'exportateur de données le souhaite, les données personnelles sont supprimées ou renvoyées.
Les sous-processeurs sont répertoriés sur www.sojern.com/legal/partner-list/ comme le permet la clause 9 (a) du modèle 1.
L'autorité de contrôle de l'un des États membres dans laquelle se trouvent les personnes concernées dont les données personnelles sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services, ou dont le comportement est surveillé, se trouvent, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
1. General. Sojern établira, mettra en œuvre et maintiendra des mesures administratives, techniques et organisationnelles appropriées conçues pour protéger contre le traitement non autorisé ou illégal des données personnelles et contre la perte, la destruction ou l'endommagement accidentels des données personnelles. Ces mesures seront adéquates pour se conformer aux lois applicables en matière de protection des données et Sojern se conformera à tout moment à ses politiques de sécurité de l'information et à son programme de sécurité des informations.
2. Politiques et normes de sécurité de l'information. Sojern maintiendra les politiques, normes et procédures de sécurité de l'information. Ces politiques, normes et procédures doivent être tenues à jour et révisées chaque fois que des modifications pertinentes sont apportées aux systèmes d'information qui utilisent ou stockent des données personnelles.
3. Gestion des vulnérabilités. Sojern maintiendra un programme de gestion des vulnérabilités pour tous les systèmes qui traitent des données personnelles, qui comprend, sans s'y limiter, une analyse des vulnérabilités internes et externes avec des résultats d'évaluation des risques et des plans de correction formels pour corriger toutes les vulnérabilités identifiées.
4. Evaluation des risques. Sojern procédera à des évaluations des risques périodiques afin d'identifier et d'évaluer les risques raisonnablement prévisibles en matière de sécurité, de confidentialité et d'intégrité des dossiers contenant des données personnelles et évaluera et améliorera, si nécessaire, l'efficacité de ses garanties visant à limiter ces risques.
5. Classification des données. Sojern appliquera des politiques et des procédures visant à classer les actifs d'informations sensibles, à clarifier les responsabilités en matière de sécurité et à sensibiliser tous les employés.
6. Chiffrement. Sojern mettra en œuvre des mécanismes de chiffrement conformes aux normes de l'industrie et des suites de chiffrement robustes (l'AES 256 bits est recommandé) pour le stockage et la transmission. Sojern accepte les connexions via des canaux cryptés (le protocole TLS est recommandé).
7. Security of network. Sojern sécurisera son réseau en utilisant une approche de défense en profondeur qui utilise des équipements disponibles dans le commerce et des techniques standard de l'industrie, notamment des pare-feux, des systèmes de détection d'intrusion, des listes de contrôle d'accès et des protocoles de routage.
8. Contrôles contre les virus et les programmes malveillants. Sojern protégera les données personnelles contre les codes malveillants et installera et maintiendra un logiciel de protection antivirus et antimalware sur tout système traitant des données personnelles.
9. Contrôle d'accès. Sojern appliquera le principe du moindre privilège selon lequel l'accès aux données personnelles n'est accordé qu'aux personnes au sein de l'organisation qui ont besoin d'un tel accès pour des raisons professionnelles et les autorisations seront limitées au minimum requis pour exécuter la fonction spécifique.
10. Lieu de traitement. Les données personnelles seront traitées par Sojern aux États-Unis, sous réserve des lois applicables en matière de protection des données qui peuvent exiger le contraire.
11. Reponse aux incidents. Sojern maintiendra un programme de réponse aux incidents liés à la sécurité des données et documentera tous les incidents présumés liés à la sécurité des données. Sojern enquêtera sur tout incident de sécurité des données et prendra toutes les mesures nécessaires pour éliminer ou contenir l'incident de sécurité des données.
12. Le personnel. Sojern maintiendra un programme de sensibilisation et de formation à la sécurité de l'information et formera le personnel essentiel de Sojern aux mesures de protection des données et aux protections générales en matière de cybersécurité.
13. Seller. Sojern maintiendra un programme de gestion des fournisseurs qui évaluera tous les fournisseurs avec lesquels Sojern échange des données personnelles. Ces fournisseurs seront tenus de respecter des normes de sécurité des données non moins restrictives que celles énoncées dans les présentes.
