Accord de Traitement des Données RemoteLock – Mutuel

Date d'entrée en vigueur : Dec 14, 2022
Table des matières
Section principale 1
Section principale 1
Partager

Le présent Accord de Traitement des Données (l'« ATD »), conclu entre le partenaire qui est partie aux conditions de service et/ou aux accords qui font référence au présent ATD (le « Partenaire ») et RemoteLock, Inc. (ainsi que ses sociétés affiliées, « RemoteLock »), régit le traitement des Données Personnelles que le Partenaire télécharge ou fournit de toute autre manière à RemoteLock ou que RemoteLock fournit au Partenaire dans le cadre de l'intégration des services de RemoteLock et du Partenaire.

Le présent ATD est intégré aux conditions de service et accords RemoteLock applicables, ainsi qu'à tout avenant et/ou annexe applicable en vertu desquels RemoteLock et le Partenaire peuvent intégrer leurs services et/ou produits respectifs (désignés collectivement dans le présent ATD comme le « Contrat RemoteLock »). Collectivement, l'ATD et le Contrat RemoteLock sont désignés dans le présent ATD comme l'« Accord ». En cas de conflit ou d'incohérence entre l'une quelconque des dispositions de l'Accord, les dispositions des documents suivants (par ordre de priorité) prévaudront : (a) le présent ATD ; (b) le Contrat RemoteLock. Sauf modification spécifique dans le présent ATD, le Contrat RemoteLock demeure inchangé et pleinement en vigueur.

1. DÉFINITIONS

« Exigences en matière de protection des données » désigne la CCPA, le Règlement Général sur la Protection des Données, et toutes autres lois, réglementations et exigences légales applicables relatives à (a) la confidentialité, la sécurité des données et la protection des Données Personnelles ; et (b) le Traitement de toute Donnée Personnelle.

« Données Personnelles de l'UE » désigne les Données Personnelles dont le partage est réglementé par le Règlement Général sur la Protection des Données.

« Règlement Général sur la Protection des Données » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil, ainsi que toute législation ou réglementation subordonnée mettant en œuvre le Règlement Général sur la Protection des Données.

« Données Personnelles du Partenaire » désigne les Données Personnelles que le Partenaire télécharge ou fournit de toute autre manière à RemoteLock dans le cadre de l'intégration des services de RemoteLock et du Partenaire. Le Partenaire sera considéré comme le responsable du traitement des données et RemoteLock comme le sous-traitant des données en ce qui concerne les Données Personnelles du Partenaire.

« Données Personnelles » désigne les informations concernant une personne physique qui (a) peuvent être utilisées pour identifier, contacter ou localiser une personne physique spécifique ; (b) peuvent être raisonnablement combinées avec d'autres informations pour identifier, contacter ou localiser une personne physique spécifique ; ou (c) sont définies comme des « données personnelles » ou des « informations personnelles » par les lois ou réglementations applicables relatives à la collecte, à l'utilisation, au stockage ou à la divulgation d'informations concernant une personne physique identifiable.

« Violation de Données Personnelles » désigne toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé, accidentel ou illicite, aux Données Personnelles du Partenaire.

« Traiter » et ses termes apparentés désignent toute opération ou tout ensemble d'opérations effectuées sur des Données Personnelles ou des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

«Données Personnelles RemoteLock» désigne les Données Personnelles que RemoteLock fournit au Partenaire dans le cadre de l'intégration des services de RemoteLock et du Partenaire. RemoteLock sera considéré comme le responsable du traitement des données et le Partenaire comme le sous-traitant des données en ce qui concerne les Données Personnelles RemoteLock.

« SCC » désigne les clauses contractuelles types de la Commission européenne.

« Sous-traitant ultérieur » désigne toute entité qui fournit des services de traitement à un sous-traitant dans le cadre du traitement des Données personnelles par ce sous-traitant.

« Autorité de contrôle » désigne une autorité publique indépendante qui est (i) établie par un État membre de l'Union européenne conformément à l'article 51 du Règlement général sur la protection des données ; ou (ii) l'autorité publique régissant la protection des données, qui a une autorité de contrôle et une juridiction sur le Partenaire.

« Addendum britannique » désigne l'addendum sur les transferts internationaux de données aux clauses contractuelles types de l'EEE, publié par le Commissaire à l'information pour les Parties effectuant des transferts restreints en vertu de l'article 119A(1) de la loi de 2018 sur la protection des données.

« RGPD britannique » désigne le Règlement (UE) 2016/679 tel que mis en œuvre par l'article 3 de la loi de 2018 du Royaume-Uni sur le retrait de l'Union européenne au Royaume-Uni.

2. NATURE DU TRAITEMENT DES DONNÉES

Chaque sous-traitant s'engage à Traiter les Données personnelles pour le compte d'un responsable du traitement dans le cadre de l'Accord, uniquement aux fins énoncées dans l'Accord. Afin d'éviter toute ambiguïté, les catégories de Données personnelles Traitées et les catégories de personnes concernées soumises à la présente DPA sont décrites à l'Annexe A de la présente DPA.

3. CONFORMITÉ AUX LOIS

Les parties se conformeront chacune à leurs obligations respectives en vertu de toutes les Exigences applicables en matière de protection des données.

4. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

4.1   Chaque partie, en sa qualité de responsable du traitement, s'engage à :

(i) déterminer les finalités et les moyens généraux du Traitement des Données personnelles par le sous-traitant conformément à l'Accord ; et

(ii) se conformer à ses obligations de protection, de sécurité et autres obligations relatives aux Données personnelles prescrites par les Exigences en matière de protection des données pour les responsables du traitement.  

4.2  Chaque responsable du traitement s'engage, à la demande de l'autre partie, à désigner un point de contact unique responsable de la réception et du traitement des demandes des personnes concernées que le sous-traitant reçoit des personnes concernées concernant les Données personnelles de ce responsable du traitement.

5. OBLIGATIONS DU SOUS-TRAITANT

5.1 Exigences de traitement. Chaque partie, en sa qualité de sous-traitant, s'engage à :

a. Traiter les Données personnelles uniquement aux fins de fournir, soutenir et améliorer les services de l'autre partie (y compris pour fournir des analyses et d'autres rapports), en utilisant des mesures de sécurité techniques et organisationnelles appropriées. Le sous-traitant n'utilisera ni ne traitera les Données personnelles à d'autres fins. Le sous-traitant informera rapidement le responsable du traitement par écrit s'il ne peut pas se conformer aux exigences du présent DPA ;

b. Informer rapidement le responsable du traitement si, de l'avis du sous-traitant, une instruction du responsable du traitement enfreint les Exigences applicables en matière de protection des données ;

c. Prendre des mesures commercialement raisonnables pour s'assurer que (i) les personnes qu'il emploie et (ii) les autres personnes engagées pour agir en son nom se conforment aux termes de l'Accord ;

d. S'assurer que ses employés, agents autorisés et tout sous-traitant ultérieur sont tenus de se conformer, de reconnaître et de respecter la confidentialité des Données personnelles, y compris après la fin de leur emploi, contrat ou mission respectif ;

e. S'il a l'intention de faire appel à des sous-traitants ultérieurs pour l'aider à remplir ses obligations conformément au présent DPA ou pour déléguer tout ou partie des activités de traitement à ces sous-traitants ultérieurs, (i) il reste responsable envers le responsable du traitement des actes et omissions des sous-traitants ultérieurs en matière de protection des données lorsque ces sous-traitants ultérieurs agissent sur les instructions du sous-traitant ; et (ii) il conclut des accords contractuels avec ces sous-traitants ultérieurs les obligeant à fournir le même niveau de protection des données et de sécurité de l'information que celui prévu aux présentes ; et

f. À la demande du responsable du traitement, fournir une liste des sous-traitants ultérieurs que le sous-traitant peut utiliser.  Chaque responsable du traitement approuve par la présente l'utilisation de tous les sous-traitants ultérieurs que le sous-traitant peut utiliser dans le cadre des services de ce sous-traitant.

5.2 Notification. Chaque partie, en sa qualité de sous-traitant, informera le responsable du traitement si elle prend connaissance de :

a. Tout non-respect par elle ou ses employés du présent DPA ou des Exigences en matière de protection des données concernant la protection des Données personnelles traitées en vertu du présent DPA ;

b. Toute demande légalement contraignante de divulgation de Données personnelles par une autorité chargée de l'application de la loi, à moins que le sous-traitant ne soit légalement interdit d'informer le responsable du traitement, par exemple pour préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi ;

c. Tout avis, demande d'information ou enquête par une Autorité de contrôle concernant les Données personnelles ; ou

d. Toute plainte ou demande (en particulier, les demandes d'accès, de rectification, d'effacement, de limitation, de portabilité, de blocage ou de suppression de Données personnelles) reçues directement des personnes concernées du responsable du traitement. Le responsable du traitement ne répondra pas sur le fond à une telle demande sans l'autorisation écrite préalable du sous-traitant.

5.3 Assistance. Chaque partie, en sa qualité de sous-traitant, fournira une assistance raisonnable au responsable du traitement concernant :

a. Toute demande des personnes concernées concernant l'accès, la rectification, l'effacement, la limitation, la portabilité, le blocage ou la suppression des Données personnelles que le sous-traitant traite pour le responsable du traitement. Dans le cas où une personne concernée envoie une telle demande directement au sous-traitant, le sous-traitant transmettra rapidement cette demande au responsable du traitement ;

b. L'enquête sur les Violations de Données personnelles et la notification à l'Autorité de contrôle et aux personnes concernées concernant ces Violations de Données personnelles ; et

c. Le cas échéant, la préparation d'évaluations d'impact relatives à la protection des données et, si nécessaire, la réalisation de consultations avec toute Autorité de contrôle.

5.4 Traitement requis. Si le sous-traitant est tenu par les Exigences en matière de protection des données de Traiter des Données à caractère personnel pour une raison autre que dans le cadre des services décrits dans l'Accord, le sous-traitant informera le responsable du traitement de cette exigence avant tout Traitement, à moins que le sous-traitant ne soit légalement interdit d'informer le responsable du traitement d'un tel Traitement (par exemple, en raison d'exigences de secret pouvant exister en vertu des lois applicables des États membres de l'UE).

5.5 Sécurité. Chaque partie, en sa qualité de sous-traitant, s'engage à :

a. Maintenir des mesures de sécurité organisationnelles et techniques appropriées (qui peuvent inclure, en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, les contrôles d'accès, la surveillance et la journalisation, la détection des vulnérabilités et des violations, la réponse aux incidents, le chiffrement des Données à caractère personnel en transit et au repos) conçues pour protéger contre l'accès, la perte, l'altération, la divulgation ou la destruction non autorisés ou accidentels des Données à caractère personnel ;

b. Être responsable de la suffisance des garanties de sécurité, de confidentialité et de protection de la vie privée de tout le personnel du sous-traitant en ce qui concerne les Données à caractère personnel et être responsable de tout manquement de ce personnel du sous-traitant aux termes de la présente DPA ;

c. Prendre des mesures raisonnables pour confirmer que tout le personnel du sous-traitant protège la sécurité, la confidentialité et la protection de la vie privée des Données à caractère personnel conformément aux exigences de la présente DPA ;

d. Notifier le responsable du traitement de toute Violation de Données à caractère personnel par le sous-traitant, ses sous-traitants ultérieurs, ou toute autre tierce partie agissant au nom du sous-traitant sans retard injustifié et en tout état de cause dans les 48 heures suivant la prise de connaissance d'une Violation de Données à caractère personnel.

5.6 Notification à RemoteLock.  Le Partenaire peut contacter RemoteLock à l'adresse datasecurity@remotelock.com concernant toute question relative à la présente DPA.

6. AUDIT

6.1 Audit par l'Autorité de contrôle. Si une Autorité de contrôle exige un audit des installations de traitement des données à partir desquelles un sous-traitant Traite des Données à caractère personnel afin de vérifier ou de contrôler la conformité aux Exigences en matière de protection des données, le sous-traitant coopérera à cet audit. Le responsable du traitement est responsable de tous les coûts et frais liés à un tel audit, y compris tous les coûts et frais raisonnables pour tout le temps que le sous-traitant consacre à un tel audit.

7. TRANSFERTS DE DONNÉES

Chaque partie convient par les présentes qu'elle ne transférera des Données à caractère personnel à l'autre partie qu'après que les parties auront mis en œuvre toutes les mesures supplémentaires requises pour un tel transfert en vertu de la loi applicable, telles que la conclusion de CCT.

Si une partie transfère des Données à caractère personnel protégées par le Règlement général sur la protection des données ou le RGPD britannique à l'autre partie d'une manière qui exige que les parties concluent les CCT et/ou l'Addendum britannique sans que les parties n'aient préalablement conclu les accords requis, les parties seront réputées avoir signé les CCT et/ou l'Addendum britannique applicables en concluant la présente DPA et ces accords seront incorporés aux présentes par référence.

8. RESTITUTION ET SUPPRESSION DES DONNÉES

Les parties conviennent qu'à la cessation des services de traitement de données ou sur demande raisonnable du responsable du traitement, le sous-traitant doit, et doit faire en sorte que tout sous-traitant ultérieur, au choix du responsable du traitement, restitue toutes les Données Personnelles et les copies de ces données au responsable du traitement ou les détruise de manière sécurisée et démontre à la satisfaction du responsable du traitement qu'il a pris de telles mesures, à moins que les Exigences en matière de Protection des Données n'empêchent le sous-traitant de restituer ou de détruire tout ou partie des Données Personnelles divulguées. Dans un tel cas, le responsable du traitement s'engage à préserver la confidentialité des Données Personnelles qu'il conserve et qu'il ne traitera activement ces Données Personnelles après cette date que pour se conformer aux lois applicables.

9. CCPA

Les parties conviennent qu'aux fins du CCPA, le sous-traitant agit en tant que fournisseur de services CCPA pour les Données Personnelles.

10. DURÉE

La présente DPA restera en vigueur tant que l'une ou l'autre des parties effectuera des opérations de traitement de Données Personnelles pour le compte de l'autre partie ou jusqu'à la résiliation du Contrat RemoteLock (et que toutes les Données Personnelles auront été restituées ou supprimées conformément à la présente DPA).

11. DROIT APPLICABLE, JURIDICTION ET FOR COMPÉTENT

Nonobstant toute disposition contraire de l'Accord, la présente DPA sera régie par les lois du Colorado, et toute action ou procédure liée à la présente DPA (y compris celles découlant de litiges ou de réclamations non contractuels) sera portée à Denver, Colorado.

ANNEXE A

CATÉGORIES DE PERSONNES CONCERNÉES

  • Employés, agents et autres administrateurs du Partenaire accédant aux services et/ou produits RemoteLock dans le but de fournir des services aux utilisateurs finaux du Partenaire.
  • Employés, agents et autres administrateurs de RemoteLock accédant aux services et/ou produits du Partenaire dans le but de fournir des services aux utilisateurs finaux de RemoteLock.
  • Utilisateurs finaux du Partenaire et de RemoteLock.

CATÉGORIES DE DONNÉES PERSONNELLES TRAITÉES

  • Informations d'identification de connexion, y compris le nom, l'adresse e-mail et le numéro de téléphone portable.
  • Informations sur les utilisateurs et les invités ayant accès, y compris le nom, l'adresse e-mail, le numéro de téléphone portable et la localisation.
  • Informations et transactions de contrôle d'accès à distance, y compris les demandes d'accès et les événements.