Document mis à jour le mercredi 1er janvier 2020.
Effectif à partir du jeudi 24 mai 2018 et conforme au Règlement Général sur la Protection des Données (RGPD).
Cet Accord de Traitement des Données (« ATD »), conclu entre le client de Xeno pour les services de Xeno (« le Client ») et l’entreprise ASK TECHNOLOGIES (XENO) désignée dans votre proposition commerciale, régule le traitement des données personnelles fournies ou téléchargées par le Client à Xeno dans le cadre des services, ainsi que le traitement de toutes données personnelles fournies ou téléchargées par Xeno au Client dans le même contexte.
Cet Accord de Traitement des Données (ATD) est intégré dans votre proposition commerciale, et est désigné de manière générique dans cet ATD comme le « Contrat Xeno ». L’ensemble formé par l’ATD (y compris les Clauses Contractuelles Types), le Contrat Xeno, et les documents de commande applicables, est désigné dans cet ATD comme l’« Accord ». En cas de conflit ou d’incohérence entre les termes de l’Accord, les dispositions des documents suivants prévaudront, par ordre de priorité : (a) les Clauses Contractuelles Types ; (b) cet ATD ; (c) le Contrat Xeno ; et (d) le document de commande applicable au Contrat Xeno. Sauf modifications spécifiquement apportées par cet ATD, le Contrat Xeno et le document de commande applicable restent inchangés et conservent toute leur force et effet.
1. DEFINITIONS
« Clauses Contractuelles Types de Contrôleur à Contrôleur » désignent les Clauses Contractuelles Standards (Transferts de Contrôleur à Contrôleur – Ensemble II) de l’Annexe à la Décision de la Commission Européenne du 27 décembre 2004, telles qu’elles peuvent être modifiées ou remplacées de temps à autre par la Commission Européenne.
« Clauses Contractuelles Types de Contrôleur à Processeur » désignent les Clauses Contractuelles Standards (Processeurs) de l’Annexe à la Décision de la Commission Européenne du 5 février 2010, telles qu’elles peuvent être modifiées ou remplacées de temps à autre par la Commission Européenne.
« Données Personnelles du Client » désignent les Données Personnelles (i) que le Client télécharge ou fournit autrement à Xeno dans le cadre de l’utilisation des services de Xeno ou (ii) pour lesquelles le Client est par ailleurs un contrôleur de données.
« Contrôleur de Données » désigne le Client.
« Processeur de Données » désigne Xeno.
« Exigences de Protection des Données » désignent la Directive, le Règlement Général sur la Protection des Données, les Lois Locales de Protection des Données, toute législation subordonnée et réglementation mettant en œuvre le Règlement Général sur la Protection des Données, et toutes les Lois sur la Confidentialité.
« Directive » désigne la Directive sur la Protection des Données de l’UE 95/46/CE (telle qu’amendée).
« Données Personnelles de l’UE » désignent les Données Personnelles dont le partage conformément à cet Accord est régulé par la Directive, le Règlement Général sur la Protection des Données et les Lois Locales de Protection des Données.
« Règlement Général sur la Protection des Données » désigne le Règlement de l’Union Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.
« Lois Locales de Protection des Données » désignent toute législation subordonnée et réglementation mettant en œuvre la Directive ou le Règlement Général sur la Protection des Données qui peut s’appliquer à l’Accord.
« Données Personnelles » désignent les informations concernant une personne physique qui (a) peuvent être utilisées pour identifier, contacter ou localiser une personne physique spécifique, y compris les données que le Client choisit de fournir à Xeno à partir de services tels que les services de gestion de relations clients (CRM) ; (b) peuvent être combinées avec d’autres informations pouvant servir à identifier, contacter ou localiser une personne physique spécifique ; ou (c) sont définies comme « données personnelles » ou « informations personnelles » par les lois ou réglementations applicables relatives à la collecte, l’utilisation, le stockage ou la divulgation d’informations concernant une personne identifiable.
« Violation de Données Personnelles » désigne toute destruction, perte, altération, divulgation non autorisée de, ou accès à des Données Personnelles du Client, accidentelle ou illicite.
« Lois sur la Confidentialité » désignent toutes les lois, réglementations et autres exigences légales applicables relatives à (a) la confidentialité, la sécurité des données, la protection des consommateurs, le marketing, la promotion, et les messages texte, les courriels, et autres communications ; et (b) l’utilisation, la collecte, la conservation, le stockage, la sécurité, la divulgation, le transfert, l’élimination, et tout autre traitement de toute Donnée Personnelle.
Le terme “Processus” et ses dérivés désignent toute opération ou ensemble d’opérations effectuées sur des Données Personnelles ou des ensembles de Données Personnelles, que ce soit de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
“Clauses Contractuelles Types” désigne toutes les Clauses Contractuelles Types de Contrôleur à Processeur et les Clauses Contractuelles Types de Contrôleur à Contrôleur conclus entre les parties dans le cadre de l’Accord.
“Sous-traitant” désigne toute entité qui fournit des services de traitement à Xeno dans le cadre du traitement effectué par Xeno pour le compte du Client.
“Autorité de Contrôle” désigne une autorité publique indépendante qui est établie par un État membre de l’Union Européenne conformément à l’Article 51 du Règlement Général sur la Protection des Données.
2. NATURE DU TRAITEMENT DES DONNÉES
Chaque partie convient de traiter les Données Personnelles reçues dans le cadre de l’Accord uniquement aux fins établies dans l’Accord. Pour éviter tout doute, les catégories de Données Personnelles traitées et les catégories de sujets de données concernés par cet ATD sont décrites dans l’Annexe A de cet ATD.
3. CONFORMITÉ AUX LOIS
Les parties doivent chacune se conformer à leurs obligations respectives en vertu de toutes les exigences applicables en matière de protection des données.
4. OBLIGATIONS DU CLIENT
Le client accepte de :
4.1 Fournir des instructions à Xeno et déterminer les finalités et les moyens généraux du traitement par Xeno des Données Personnelles du Client conformément à l’Accord ; et
4.2 Se conformer à ses obligations de protection, de sécurité et autres obligations concernant les Données Personnelles du Client prescrites par les exigences en matière de protection des données pour les contrôleurs de données en :
(a) établissant et maintenant une procédure pour l’exercice des droits des individus dont les Données Personnelles du Client sont traitées pour le compte du Client ;
(b) traitant uniquement des données qui ont été collectées de manière légale et valide et en s’assurant que ces données seront pertinentes et proportionnées aux usages respectifs ; et
(c) assurant la conformité avec les dispositions de cet Accord par son personnel ou par tout tiers accédant ou utilisant les Données Personnelles du Client en son nom.
5. OBLIGATIONS DE XENO
5.1 Exigences de traitement. Xeno s’engage à :
a. Traiter les Données Personnelles des Clients (i) uniquement dans le but de fournir, soutenir et améliorer les services de Xeno (y compris pour fournir des analyses et autres rapports), en utilisant des mesures de sécurité techniques et organisationnelles appropriées ; et (ii) conformément aux instructions reçues du Client. Xeno n’utilisera ni ne traitera les Données Personnelles des Clients à d’autres fins. Xeno informera rapidement le Client par écrit si elle ne peut pas se conformer aux exigences des sections 5 à 8 de cet ATD, auquel cas le Client peut résilier l’Accord ou prendre toute autre mesure raisonnable, y compris suspendre les opérations de traitement des données ;
b. Informer rapidement le Client si, de l’avis de Xeno, une instruction du Client viole les exigences applicables en matière de protection des données ;
c. Si Xeno collecte des Données Personnelles des Clients auprès d’individus pour le compte du Client, suivre les instructions du Client concernant cette collecte de Données Personnelles des Clients (y compris en ce qui concerne la fourniture d’avis et l’exercice du choix) ;
d. Prendre des mesures commercialement raisonnables pour s’assurer que (i) les personnes employées par elle et (ii) d’autres personnes engagées pour agir au nom de Xeno respectent les termes de l’Accord ;
e. Veiller à ce que ses employés, agents autorisés et tout Sous-traitant soient tenus de se conformer et reconnaissent et respectent la confidentialité des Données Personnelles des Clients, y compris après la fin de leur emploi respectif, contrat ou mission ;
f. Si elle a l’intention d’engager des Sous-traitants pour l’aider à satisfaire ses obligations conformément à cet ATD ou pour déléguer tout ou partie des activités de traitement à de tels Sous-traitants, (i) À l’exclusion de la liste des sous-traitants que Xeno maintient à jour, obtenir le consentement écrit préalable du Client à une telle sous-traitance, ce consentement ne devant pas être déraisonnablement retenu ; (ii) rester responsable vis-à-vis du Client pour les actes et omissions des Sous-traitants en matière de protection des données lorsque ces Sous-traitants agissent sur les instructions de Xeno ; et (iii) conclure des arrangements contractuels avec de tels Sous-traitants les obligeant à fournir le même niveau de protection des données et de sécurité de l’information que celui prévu ici ;
g. Sur demande, fournir au Client un résumé des politiques de confidentialité et de sécurité de Xeno ; et
h. Informer le Client si Xeno entreprend une révision de sécurité indépendante.
5.2 Notification au Client. Xeno informera le Client si Xeno prend connaissance :
a. De toute non-conformité de la part de Xeno ou de ses employés avec les Sections 5-8 du présent ATD ou les Exigences en matière de Protection des Données relatives à la protection des Données Personnelles du Client traitées sous cet ATD ;
b. De toute demande de divulgation des Données Personnelles du Client légalement contraignante par une autorité de la force publique, à moins que Xeno ne soit autrement interdit par la loi d’informer le Client, par exemple pour préserver la confidentialité d’une enquête menée par les autorités de la force publique ;
c. De tout avis, enquête ou investigation par une Autorité de Contrôle concernant les Données Personnelles du Client ; ou
d. De toute plainte ou demande (en particulier, demandes d’accès, de rectification ou de blocage des Données Personnelles du Client) reçue directement des sujets de données du Client. Xeno ne répondra à aucune de ces demandes sans l’autorisation écrite préalable du Client.
5.3 Assistance au Client. Xeno fournira une assistance raisonnable au Client concernant :
a. Toute demande de la part des sujets de données du Client concernant l’accès ou la rectification, l’effacement, la restriction, la portabilité, le blocage ou la suppression des Données Personnelles du Client que Xeno traite pour le Client. Dans l’événement où un sujet de données envoie une telle demande directement à Xeno, Xeno transmettra promptement cette demande au Client ;
b. L’enquête sur les Violations de Données Personnelles et la notification à l’Autorité de Contrôle et aux sujets de données du Client concernant de telles Violations de Données Personnelles ; et
c. Le cas échéant, la préparation d’évaluations d’impact sur la protection des données et, si nécessaire, la réalisation de consultations avec toute Autorité de Contrôle.
5.4 Traitement Requis.
Si Xeno est requis par les Exigences de Protection des Données de traiter des Données Personnelles du Client pour une raison autre que la fourniture des services décrits dans l’Accord, Xeno informera le Client de cette exigence à l’avance de tout traitement, à moins que Xeno ne soit légalement interdit d’informer le Client d’un tel traitement (par exemple, en raison d’exigences de secret qui peuvent exister en vertu des lois des États membres de l’UE applicables).
5.5 Sécurité. Xeno s’engagera à :
a. Maintenir des mesures de sécurité organisationnelles et techniques appropriées (y compris en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, les contrôles d’accès, la surveillance et l’enregistrement, la détection des vulnérabilités et des infractions, la réponse aux incidents, le chiffrement des Données Personnelles des Clients pendant le transfert et au repos) pour protéger contre l’accès non autorisé ou accidentel, la perte, l’altération, la divulgation ou la destruction des Données Personnelles des Clients ;
b. Être responsable de la suffisance des mesures de sécurité, de confidentialité et de protection de la vie privée de tout le personnel de Xeno concernant les Données Personnelles des Clients et être responsable de tout manquement de ce personnel de Xeno à respecter les termes de cet Accord de Traitement des Données Personnelles (ATD) ;
c. Prendre des mesures raisonnables pour confirmer que tout le personnel de Xeno protège la sécurité, la confidentialité et la protection de la vie privée des Données Personnelles des Clients conformément aux exigences de cet ATD ; et
d. Notifier le Client de toute Violation de Données Personnelles par Xeno, ses Sous-traitants, ou tout autre tiers agissant au nom de Xeno sans retard injustifié et en tout état de cause dans les 48 heures suivant la prise de connaissance d’une Violation de Données Personnelles.
6. AUDIT, CERTIFICATION
Audit de l’Autorité de Contrôle. Si une Autorité de Contrôle exige un audit des installations de traitement des données depuis lesquelles Xeno traite les Données Personnelles des Clients afin de vérifier ou de surveiller la conformité du Client avec les Exigences de Protection des Données, Xeno coopérera avec cet audit. Le Client est responsable de tous les coûts et frais liés à cet audit, y compris tous les coûts et frais raisonnables pour tout temps que Xeno consacre à un tel audit, en plus des tarifs pour les services réalisés par Xeno.
7. TRANSFERTS DE DONNÉES
Pour les transferts de Données Personnelles de l’UE à Xeno pour traitement par Xeno dans une juridiction autre qu’une juridiction de l’UE, de l’EEE, ou des pays approuvés par la Commission Européenne offrant une protection des données ‘adéquate’, Xeno s’engage à fournir au moins le même niveau de protection de la vie privée pour les Données Personnelles de l’UE comme requis selon les cadres du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis. Si les transferts de données sous l’article 7 de cet ATD se basent sur les CCE Contrôleur-à-Processus pour permettre le transfert légal de Données Personnelles de l’UE, tel qu’établi dans la phrase précédente, les parties conviennent que les sujets des données pour lesquels une entité Xeno traite des Données Personnelles de l’UE sont des bénéficiaires tiers sous les CCE Contrôleur-à-Processus. Si Xeno est incapable ou devient incapable de se conformer à ces exigences, alors les Données Personnelles de l’UE seront traitées et utilisées exclusivement à l’intérieur du territoire d’un État membre de l’Union Européenne et tout mouvement de Données Personnelles de l’UE vers un pays non-UE nécessite le consentement écrit préalable du Client. Xeno notifiera rapidement le Client de toute incapacité de Xeno à se conformer aux dispositions de cette Section 7.
8. RETOUR ET SUPPRESSION DES DONNÉES
Les parties conviennent qu’à la terminaison des services de traitement des données ou sur demande raisonnable du Client, Xeno doit, et doit faire en sorte que tout Sous-traitant, au choix du Client, retourne toutes les Données Personnelles du Client et les copies de telles données au Client ou les détruise de manière sécurisée et démontre à la satisfaction du Client qu’il a pris de telles mesures, à moins que les Exigences de Protection des Données n’empêchent Xeno de retourner ou de détruire tout ou partie des Données Personnelles du Client divulguées. Dans un tel cas, Xeno s’engage à préserver la confidentialité des Données Personnelles du Client retenues par lui et qu’il ne traitera activement de telles Données Personnelles du Client après cette date que pour se conformer aux lois applicables.
10. TRAITEMENT DES DONNÉES PAR DES TIERS
11. DURÉE
Cet ATD restera en vigueur tant que Xeno effectue des opérations de traitement des Données Personnelles pour le compte du client ou jusqu’à la résiliation du Contrat Xeno (et que toutes les Données Personnelles ont été retournées ou supprimées conformément à la Section 8 ci-dessus).
–
ANNEXE A – DESCRIPTION DU TRANSFERT
- Sujets des Données.Les données personnelles transférées concernent les catégories de sujets de données suivantes : Selon les services utilisés par l’exportateur de données : Les prospects de vente et de marketing de l’exportateur de données ; et Les tiers qui ont, ou peuvent avoir, une relation commerciale avec l’exportateur de données (par exemple, annonceurs, clients, abonnés et contractants).
- Finalités du Transfert.Le transfert est effectué pour les finalités suivantes : Le transfert vise à permettre à l’exportateur de données de déterminer les finalités et les moyens du traitement des données personnelles obtenues via les produits de l’importateur de données pour soutenir les pratiques commerciales de l’exportateur de données en matière de vente, de recrutement, de marketing, de formation ou autres.
- Catégories de Données.Les données personnelles transférées concernent les catégories de données suivantes : Les données transférées sont les données personnelles fournies par l’exportateur de données à l’importateur de données dans le cadre de son utilisation des services de vente et de marketing de Xeno, désignées comme Données Personnelles du Client dans l’Accord d’Abonnement Xeno. Ces données personnelles peuvent inclure le prénom, le nom, l’adresse e-mail, les coordonnées, et la position professionnelle, les données CRM concernant les prospects de vente et les listes de clients, et toutes notes fournies par l’exportateur de données concernant ce qui précède.