Informations légales

Calendrier RGPD du traitement des données

Calendrier de traitement des données RGPD de ClickSend

Calendrier de traitement des données

La présente Annexe du traitement des données (Annexe) fait partie des Conditions d'utilisation de ClickSend (Contrat) conclues entre vous et ClickSend Pty Ltd (ACN 165918525) (nous, nos et notre, selon le cas), ensemble les Parties et chacun une Partie.

1. Définitions

1.1 Dans la présente Annexe, les termes suivants auront la signification indiquée ci-dessous et les termes apparentés seront interprétés en conséquence :

(1.1.a) Les lois applicables désignent (a) les lois de l'Union européenne ou des États membres concernant les données personnelles de l'entreprise en ce qui concerne les données personnelles de l'entreprise à l'égard de laquelle l'entreprise est soumise aux lois de l'UE sur la protection des données ; et (b) toute autre loi applicable en ce qui concerne les données personnelles de la société à l'égard de laquelle la société est soumise à toute autre loi sur la protection des données ;

(1.1.b) Les données personnelles de la société désignent toutes les données personnelles traitées par un sous-traitant pour le compte d'une société, y compris toutes les données personnelles des clients, employés ou sous-traitants (utilisateurs) de la société conformément ou en relation avec le Contrat ;

(1.1.c) Prestataire sous contrat signifie nous et / ou un sous-traitant ;

(1.1.d) Les lois sur la protection des données désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la confidentialité de tout autre pays ;

(1.1.e) EEE signifie l'Espace économique européen ;

(1.1.f) Les lois de l'UE sur la protection des données désignent la directive européenne 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou substituée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;

(1.1.g) RGPD signifie le règlement général de l'UE sur la protection des données 2016/679 ;

(1.1.h) Transfert restreint signifie un transfert de données personnelles de l'entreprise où un tel transfert serait interdit par les lois de l'UE sur la protection des données (ou par les termes des contrats de transfert de données mis en place pour traiter les restrictions de transfert de données imposées par les lois sur la protection des données) en l'absence des Clauses contractuelles types ou d'un autre mécanisme légal de transfert de données tel qu'énoncé au 6.4.3 ou 12 ci-dessous.

(1.1.i) Services désignent les services et autres activités à fournir ou à exécuter pour vous par nous, ou en notre nom, conformément au Contrat ;

(1.1.j) Les Clauses contractuelles types désigne les clauses contractuelles définies par la Commission européenne disponibles à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries, tels que mis à jour ou remplacés de temps à autre ;

(1.1.k) Sous-traitant désigne toute personne (y compris tout tiers, mais à l'exclusion de nos employés ou de nos sous-traitants) nommée par nous, ou en notre nom, pour traiter les données personnelles en votre nom ; et

(1.1.l) 'Vous' désigne l'entité qui accepte / a accepté le Contrat.

1.2 Les Termes, Commission, Responsable du traitement, Personne concernée, État membre, Données personnelles, Violation de données personnelles, Traitement, Catégories spéciales de données et Autorité de surveillance ont la même signification que dans le RGPD, et leurs termes associés doivent être interprétés en conséquence.

1.3 Le mot inclure doit être interprété comme signifiant inclure sans limitation, et les termes apparentés doivent être interprétés en conséquence.

2. Traitement des données personnelles de l'entreprise

2.1 Rôle des parties : les Parties reconnaissent qu'aux fins de la présente Annexe, nous agissons en tant que sous-traitant et vous êtes le responsable du traitement des données personnelles de l'entreprise.

2.2 Les Parties se conformeront à toutes les lois applicables en matière de protection des données dans le traitement des données personnelles de l'entreprise.

2.3 Nous ne traiterons les données personnelles de la société qu'en votre nom et conformément à vos instructions pertinentes et dans le cadre de nos obligations en vertu du Contrat, sauf si un autre traitement est requis par les lois applicables auxquelles le sous-traitant concerné est soumis, auquel cas le sous-traitant concerné informera immédiatement la société de cette exigence légale avant de traiter les données personnelles de la société, dans la mesure autorisée par la loi.

2.4 L'Annexe 1 de la présente Annexe contient les détails suivants :

(2.4.a) une description des types de traitement que nous effectuerons et des types de données personnelles de l'entreprise traitées dans le cadre du présent Contrat ; et

(2.4.b) les personnes concernées auxquelles vos données personnelles d'entreprise se rapportent.

2.5 Vous acceptez de nous informer (dès que possible) si les détails de l'Annexe 1 sont incorrects ou modifiés.

3. Sous-traitance

3.1 Vous nous autorisez à continuer à utiliser les Sous-traitants déjà engagés par nous en date du présent Calendrier, sous réserve de nos obligations au 3.3.

3.2 Nous vous informerons au préalable par écrit de la nomination de tout nouveau sous-traitant, y compris les détails complets du traitement à entreprendre par le sous-traitant. Si, dans les 10 jours suivant la réception de cet avis :

(3.2.a) vous ne nous avez pas notifié par écrit des objections (pour des motifs raisonnables) à la nomination proposée de ce sous-traitant. Nous supposerons que vous avez consenti à la nomination de ce sous-traitant ; ou

(3.2.b) si vous nous informez par écrit de toute objection (pour des motifs raisonnables) à la nomination proposée, nous ferons l'une des choses suivantes : (i) ne pas nommer ce sous-traitant; (ii) ne divulguer aucune donnée personnelle de la société à ce sous-traitant ; ou (ii) ne divulguer aucune donnée personnelle de la société à ce sous-traitant jusqu'à ce que des mesures raisonnables aient été prises pour répondre aux objections que vous avez soulevées et que vous ayez été informé et accepté ce sous-traitant sur la base des mesures raisonnables prises.

3.3 En ce qui concerne chaque sous-traitant, nous devons :

(3.3.a) avant que le sous-traitant ne traite les données personnelles de l'entreprise (ou, le cas échéant, conformément à la clause 3.2), effectuez une action raisonnable adéquate pour garantir que le sous-traitant est capable de fournir le niveau de protection des données personnelles de l'entreprise requis par le Contrat et cette Annexe ;

(3.3.b) veiller à ce que le Contrat entre nous et le sous-traitant intermédiaire concerné soit régi par un contrat écrit comprenant des conditions qui satisfont aux exigences de l'article 28, paragraphe 3, du RGPD.

4. Droits des personnes concernées

4.1 Nous devons :

(4.1.a) vous informer rapidement si un sous-traitant reçoit une demande d'une personne concernée en vertu d'une loi sur la protection des données concernant les données personnelles de l'entreprise ;

(4.1.b) veiller à ce que le sous-traitant sous contrat ne réponde pas à cette demande, sauf sur vos instructions documentées, ou tel que requis par les lois applicables auxquelles le sous-traitant est soumis, auquel cas nous vous informerons dans la mesure permise par les lois applicables de cette exigence légale avant que le sous-traitant ne réponde à la demande ;

(4.1.c) mettre en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir vos obligations en vertu des lois sur la protection des données ; et

(4.1.d) lorsque vous avez besoin de notre assistance pour répondre à la demande de la personne concernée, faire des efforts commercialement raisonnables pour vous aider et dans la mesure autorisée par la loi, et vous serez responsable des coûts découlant de notre assistance.

5. Sécurité

5.1 Compte tenu de l'état de la technologie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, nous mettrons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.

5.2 Nous prendrons des mesures raisonnables pour nous assurer que tout membre de notre personnel qui traite les données personnelles de la société a été informé de la nature confidentielle des données personnelles de la société et s'engage à garder les données personnelles de la société confidentielles.

5.3 En évaluant le niveau de sécurité approprié, nous prendrons en compte les risques qui sont présentés par le Traitement, en particulier en cas de violation de données personnelles.

5.4 Violation des données personnelles : nous vous informerons sans retard indu si nous prenons connaissance d'une violation des données personnelles et vous fournirons des informations suffisantes pour respecter vos obligations légales. Sur votre demande raisonnable, nous prendrons les mesures commerciales raisonnables que vous avez indiquées pour aider à l'enquête, à l'atténuation et à la correction de chaque violation de données personnelles.

6. Analyse d'impact sur la protection des données et consultation préalable

6.1 À votre demande et dans la mesure requise par le RGPD, nous vous fournirons une assistance raisonnable lorsque vous remplissez vos obligations en vertu du RGPD en effectuant une analyse d'impact sur la protection des données, comme suit :

(6.1.a) dans la mesure où l'évaluation que vous effectuez est directement liée au traitement des données personnelles de l'entreprise, vous n'avez pas autrement accès aux informations et ces informations nous sont disponibles ; et

(6.1.b) lorsque vous avez raisonnablement besoin de notre assistance lors de consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes en matière de protection des données.

6.2 Si vous demandez une assistance qui dépasse la portée de la clause 6.1, nous pouvons vous informer de nos frais et vous facturer cette assistance supplémentaire.

7. Transferts restreints

7.1 Sous réserve de la clause 7.3, vous (en tant qu'exportateur de données) et chaque sous-traitant, selon le cas, (en tant qu'importateur de données), concluez par la présente les clauses contractuelles types en ce qui concerne tout transfert restreint de votre part à ce sous-traitant. Les clauses contractuelles types sont disponibles ici.

7.2 Les clauses contractuelles types entreront en vigueur en vertu de la clause 7.1 au début du transfert restreint concerné.

7.3 La clause 7.1 ne s'applique pas à un transfert restreint à moins que son effet, ainsi que d'autres étapes de conformité raisonnablement réalisables (qui, pour éviter toute ambiguïté, n'incluent pas l'obtention du consentement des personnes concernées), est de permettre le transfert restreint concerné, sans violation de la loi applicable sur la protection des données.

8. Audit

8.1 Sous réserve d'un préavis raisonnable (pas moins de 30 jours) et de votre demande raisonnable de démontrer le respect du présent Calendrier, nous devons (sous réserve des obligations de confidentialité) :

(8.1.a) mettre à disposition des informations directement liées aux données personnelles de votre société et nécessaires pour démontrer votre conformité à l'article 28 (3) du RGPD ;

(8.1.b) vous permettra, ou à un auditeur indépendant désigné par vous, d'effectuer des audits, y compris des inspections, en relation avec le traitement des données personnelles de l'entreprise par les sous-traitants sous contrat,

et vous acceptez de prendre toutes les mesures raisonnables pour limiter tout impact sur les sous-traitants.

9. Suppression ou retour des données personnelles de l'entreprise

9.1 Dans les quatre mois suivant la résiliation ou l'expiration de la présente Annexe, nous détruirons ou vous retournerons (lorsque vous faites une telle demande), toutes les données personnelles de la société en notre possession ou sous notre contrôle, à moins que des lois applicables exigent que nous conservions les données à caractère personnel de la société.

10. Conditions générales

10.1 Ordre de préséance : en cas de conflit ou d'incohérence entre les contrats conclus entre les Parties, les Clauses contractuelles types prévaudront, puis l'Annexe, suivie par le Contrat.

10.2 Obligations en vertu du Contrat : sous réserve de la clause 10.1, rien dans le présent Calendrier ne réduit les obligations des Parties en vertu du Contrat et toutes les clauses du Contrat continueront de s'appliquer à moins qu'elles n'entrent en conflit avec les lois applicables, y compris mais sans s'y limiter : la loi applicable et juridiction et limitation de responsabilité.

10.3 Effet juridique : cette Annexe est conclue et devient une partie contraignante du Contrat, la date d'entrée en vigueur étant la date à laquelle vous acceptez en ligne le Contrat et cette Annexe, qui fait partie du Contrat.

L'Annexe 1 détaille le traitement des données personnelles de l'entreprise

La présente Annexe 1 comprend certains détails du traitement des données personnelles de la société conformément à l'article 28, paragraphe 3, du RGPD.

1. Objet et durée du traitement des données personnelles de l'entreprise

L'objet et la durée du traitement des données personnelles de la société sont définis dans le Contrat et dans la présente Annexe.

2. La nature et le but du traitement des données personnelles de l'entreprise

La nature et le but du traitement des données personnelles de l'entreprise sont précisés plus en détail dans le Contrat et conformément aux instructions de votre part.

3. Les types de données personnelles de l'entreprise à traiter

Les types de données personnelles de la société à traiter peuvent inclure, mais sans s'y limiter :

i. le nom d'une personne concernée ;

ii. les coordonnées professionnelles d'une personne concernée ;

iii. le numéro de portable personnel d'une personne concernée ;

iv. toute donnée personnelle concernant une personne concernée qui est incluse dans le corps du message texte que vous choisissez d'envoyer via nos services (par exemple, les détails du rendez-vous de la personne concernée) ; et

v. toute autre donnée personnelle demandée par nous et / ou fournie par vous, une personne concernée ou un tiers.

Remarque : les données personnelles sur une personne concernée qui sont incluses dans le corps du message texte peuvent inclure des catégories spéciales de données, telles que des données de santé relatives à cette personne concernée.

4. Les catégories de personnes concernées auxquelles se rapportent les données personnelles de l'entreprise

Les catégories de personnes concernées auxquelles se rapportent les données personnelles de la société sont les suivantes :

i. votre ou vos interlocuteurs avec lesquels nous communiquons ;

ii. vos employés ou sous-traitants qui utilisent nos Services et nous contactent activement (y compris pour une demande d'assistance) ; et

iii. vos clients où vous saisissez leurs coordonnées lors de l'utilisation de nos Services.

5. Vos obligations et droits

Vos obligations et vos droits sont définis dans le Contrat et dans la présente Annexe.

Annexe 1 aux Clauses contractuelles types

Cette Annexe fait partie des Clauses.

Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans la présente Annexe.

Personnes concernées

Les données personnelles transférées concernent les catégories suivantes de personnes concernées :

  • tel que spécifié dans le Contrat et l'Annexe.

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes :

  • tel que spécifié dans le Contrat et l'Annexe.

Catégories spéciales de données (le cas échéant)

Les données personnelles transférées concernent les catégories particulières de données suivantes :

  • tel que spécifié dans le Contrat et l'Annexe.

Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes :

  • activités raisonnablement requises pour la fourniture des services ou autorisées par vous.

Annexe 2 aux Clauses contractuelles standard

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) :

Nous prenons des mesures de sécurité techniques et organisationnelles pour protéger les données personnelles de l'entreprise que nous traitons.

Les détails de ces mesures de sécurité techniques et organisationnelles peuvent être trouvés ici : https://www.clicksend.com/fr/api-docs/security-compliance/

Questions ?

Comptes gratuits et conseils gratuits. Notre équipe juridique sera ravie de vous aider.

Confidentialité et juridique© 2020 ClickSend