ATTENDU QUE :
Le Client (tel que dénommé dans l’offre commerciale) a conclu un contrat (le “Contrat”) avec sharingbox, (le “Prestataire de services”) en vue de l’exécution des services décrits dans l’offre commerciale susmentionnée (dénommés ci-après les “Services”). Lors de l’exécution des services résultant ou étant liés au Contrat, le Prestataire peut être amené à traiter certaines données à caractère personnel du Client en tant que processeur de données au nom du Client (les “Données à caractère personnel du Client”), à l’exclusion des données à caractère personnel traitées par le Prestataire en sa qualité de contrôleur des données ;
Lors du traitement des données à caractère personnel du Client, le Prestataire agira en tant processeur de données au sens de la législation relative à la protection des données à caractère personnel en application ; et
Le Client et le Prestataire établissent, dans la présente Annexe au traitement de données, le cadre du traitement par le Prestataire des données à caractère personnel du Client conformément ou en relation avec le Contrat.
PAR CONSEQUENT, IL EST CONVENU CE QUI SUIT :
1. Interprétation
1.1 La présente annexe au traitement de données est régie par les termes et conditions définis dans le Contrat. Sauf stipulation contraire, les termes importants utilisés mais non définis dans la présente Annexe au traitement de données revêtent la signification qui leur est octroyée dans le Contrat.
1.2 Dans la présente Annexe au traitement de données :
“Contrat” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données ;
“Sous-traitants autorisés” se réfère aux sous-traitants approuvés par le Client conformément à l’article 6.2 ;
“Données à caractère personnel du Client” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données. Les catégories des données à caractère personnel du Client sont décrites dans la section 1 ;
“Législation en matière de données à caractère personnel” se réfère à toute loi, tout acte, règlement, réglementation par loi, ordonnance ou législation subordonnée relative au traitement de données, au respect de la vie privée et à l’utilisation des données à caractère personnel, applicable au Client, Prestataire et/ou Services, y compris:
en Belgique:
La loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel du 8 décembre 1992 ainsi que toute autre loi ou réglementation nationale transposant la directive communautaire 95/46/CE (“Data Protection Directive”); et
La règlementation du Parlement européen et du Conseil relative à la protection des personnes physiques en matière de traitement de données à caractère personnel et de libre circulation de ces données, l’abrogation de la directive 95/46/CE (Règlement Général sur la Protection des Données) (“RGPD”), ainsi que toute autre loi ou réglementation nationale correspondante ou équivalente ; et
dans les autres pays européens : la directive communautaire ou le RGPD, une fois d’application, ainsi que toute loi pertinente d’un Etat Membre ou réglementations implémentant les présentes Directives ou définissant le RGPD ;
dans tous les cas, tel qu’en vigueur et d’application, et pouvant occasionnellement faire l’objet de modification, ajout ou remplacement ;
“Annexe au traitement de données” se réfère à la présente Annexe au traitement de données, y compris toute section à la présente Annexe au traitement de données ;
“Données à caractère personnel” signifie toute information relative à une personne physique identifiée ou identifiable ;
“Services” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données.
“Pays tiers” revêt la signification qui lui est octroyée sous l’article 7.1.
Les Parties reconnaissent et acceptent que la présente Annexe au traitement de données fait partie intégrante du Contrat. En cas de conflit ou d’inconsistance entre tout :
terme de la partie principale de la présente Annexe au traitement de données ;
terme de toute section de la présente Annexe au traitement de données; et
terme dans le Contrat et ses sections et annexes ;
le terme apparaissant dans la première catégorie de la liste ci-dessus prévaudra.
2. Portée et objet
2.1 Les dispositions de la présente Annexe au traitement de données à caractère personnel seront uniquement d’application si, dans la mesure de la disposition des Services, le Prestataire traite les données à caractère personnel.
3. Conformité à la législation en application en matière de protection des données à caractère personnel
Lors du traitement de données à caractère personnel, le Prestataire respectera en tout moment ses obligations conformément à la législation de protection des données en application.
Le Prestataire procèdera uniquement au traitement de données à caractère personnel du Client :
Selon la manière et aux fins définies dans la Section 1; et
Sur les instructions documentées du Client.
Le Client, par la présente :
Demande au Prestataire, dans le cadre de ses prestations de services, de prendre toutes les mesures raisonnablement nécessaires lors du traitement de données personnelles du Client ; et
Autorise le Prestataire à transmettre aux sous-traitants autorisés, et au nom du Client, des instructions équivalentes aux instructions définies sous l’article 3.3.1.
4. Confidentialité et Sécurité
Le Prestataire s’engage à traiter toutes les données à caractère personnel du Client de manière confidentielle. Sauf si le Client le requiert autrement par écrit, le Prestataire ne divulguera aucune donnée à caractère personnel du Client à des tiers autres que :
ceux de ses employés, sous-traitants autorisés et employés des sous-traitants autorisés pour qui une telle transmission s’avère raisonnablement nécessaire en vue de la prestation de services ; ou
dans les limites de la loi, toute entité gouvernementale ou régulatoire, ou la cour ou toute autre autorité de juridiction compétente ; et,
sous réserve que les personnes à qui les données à caractère personnel du Client peuvent être divulguées sont, conformément à l’article 4.1.3, liées, par des obligations de confidentialité cohérentes avec celles imposées au Prestataire dans la présente Annexe au traitement de données et dans le Contrat ;
Compte tenu de la technologie disponible, du coût de son implémentation et vu la nature, la portée, le contexte et les raisons du traitement de données à caractère personnel du Client, le Prestataire appliquera des mesures techniques et organisationnelles appropriées en vue de garantir un niveau de sécurité adéquat et d’éviter toute destruction, perte, transformation, divulgation accidentelle ou illégale ou accès non autorisé aux données à caractère personnel du Client.
5. Rapport des violations des données à caractère personnel
Le Prestataire informera le Client pas écrit, dès que raisonnablement possible, de toute violation en matière de sécurité menant à la destruction, perte, transformation, divulgation accidentelle ou illégale ou accès non autorisé aux données à caractère personnel du Client par le Prestataire.
6. Sous-traitance et sous-traitement
Le Client autorise le Prestataire à sous-traiter, en tout ou en partie, le processus des données à caractère personnel du Client sous réserve que:
Le Prestataire informe le Client de toute modification relative à l’ajout ou au remplacement de
sous-traitants, autorisant par là-même le Client à s’opposer auxdites modifications; et
Le Prestataire et le sous-traitant ont convenu le traitement de données à caractère personnel par écrit et ont établi des obligations conformes à celles établies dans la présente Annexe au traitement de données.
Au sens de l’article 6.1, le Client autorise, par la présente, la sous-traitance du traitement de données à caractère personnel du Client aux sous-traitants tels que décrits dans la Section 2. Les sous-traitants décrits dans la Section 2 devront être des sous-traitants autorisés au sens de la présente Annexe au traitement de données.
7. Transferts transfrontaliers des données à caractère personnel du client
Le Prestataire peut envoyer les données à caractère personnel du Client à un destinataire hors de l’Union Economique Européenne (cet autre pays étant dénommé un “Pays Tiers”) si:
Une Commission EU a constaté l’adéquation de ce Pays Tiers en matière de législation relative à la protection des données ;
Le transfert relève de la portée du programme EU-US Privacy Shield ;
Le contrat signé entre le destinataire et le Client contient des clauses types approuvées par la Commission européenne ou toute autre autorité publique compétente en matière de législation de protection des données; ou
Des garanties alternatives appropriées ont été offertes conformément à la législation en matière de protection des données.
8. Audit
En vue du contrôle du respect des obligations du Prestataire dans le cadre de la présente Annexe au traitement de données, le Client peut requérir et obtenir de la part du Prestataire des copies de toute information non confidentielle raisonnablement nécessaire afin que le Prestataire puisse prouver le respect de ses obligations dans le cadre de la présente Annexe au traitement de données. Ces demandes d’informations seront requises par écrit au Client. Le Prestataire s’engage à fournir, au mieux de sa connaissance, les informations et documents requis dans une période raisonnable, compte tenu du montant et de la complexité de l’information requise.
Dans la mesure où le Client n’a pas obtenu l’information nécessaire conformément à l’article 8.1, le Client peut, en vue du contrôle du respect des obligations par le Prestataire, requérir une inspection dans les locaux du Prestataire, ce que le Prestataire acceptera moyennant les conditions suivantes :
La demande écrite d’inspection est soumise au Prestataire au moins nonante (90) jours ouvrables avant la date de l’inspection ;
L’inspection est menée durant les heures normales de bureau ;
Les opérations quotidiennes du Prestataire ne sont pas affectées par l’inspection ;
En vue de l’information requise, l’inspection ne dure pas plus longtemps ou n’implique pas plus de ressources que nécessaires;
Avant toute inspection, le Client et/ou les tiers réalisant l’inspection en son nom accepte(nt) premièrement d’être lié(s) par des obligations de confidentialité ad hoc raisonnables vis-à-vis de l’information et des documents obtenus ;
Le Client et le Prestataire acceptent, par écrit, un plan d’action de l’étendue des informations, documents, systèmes d’information et équipement IT qui feront l’objet de l’inspection ; et
Le Client prend à sa charge tous les frais et dépenses résultant de chaque audit (y compris, mais sans être limité à) les frais et dépenses assumés par le Prestataire liés à toute assistance prêtée par le Prestataire lors de l’exécution d’un tel audit).
9. Assistance lors du traitement de demandes des personnes concernées
Dans la mesure du possible et à la charge du Client, le Prestataire collaborera avec le Client lors :
du traitement de demandes des personnes concernées dans l’exercice de leurs droits ; et
de la réalisation de tout facteur relatif à la vie privée dans le cadre de la prestation de services.
10. Durée et résiliation
10.1 La présente Annexe au traitement de données entre en vigueur le jour du Contrat de Services et restera en vigueur aussi longtemps que le Prestataire fournira ses services conformément au Contrat.
11. Restitution/Destruction des données à caractère personnel du client
Dans les trente (30) jours ouvrables suivant l’expiration ou la résiliation de la présente Annexe au traitement de données, le Prestataire :
Au choix du Client :
remettra au Client, sous un format électronique fréquemment utilisé, toutes les données à caractère personnel du Client qui, à la date de résiliation ou d’expiration du Contrat, se trouvent en possession ou sous le contrôle du Prestataire ; ou
détruira ou videra ses systèmes informatiques et fichiers de toute donnée à caractère personnel du Client qui, à la date de résiliation ou d’expiration du Contrat, se trouvent en possession ou sous le contrôle du Prestataire.
Section 1: Description du traitement de données
1. Finalités du traitement de données
Les finalités du traitement de données sont :
La collecte de photos et de données à travers les photo booths, l’hébergement online de galeries photos, les contrôles de qualité photos et le transfert de photos aux utilisateurs finaux ;
Le service IT (résolution de problèmes) et les services à la clientèle (y compris l’accès à distance aux photo booths à des fins de maintenance).
2. Catégories des données a caractère personnel
Les données à caractère personnel du Client qui feront l’objet de traitement par le processeur sont :
Les données d’identification (noms, titres, etc.);
L’emplacement des photo booths;
Les coordonnées (e-mails);
Les données d’identification professionnelle (job title, etc.);
Les enregistrements d’images (photos).
3. Catégories des personnes concernées
Les catégories des personnes concernées sont :
Les utilisateurs finaux des photo booths.
4. instructions de traitement
Le Prestataire traitera les données à caractère personnel du Client comme suit :
Uniquement dans les limites nécessaires en vue des finalités susmentionnées ; et
Le cas échéant, uniquement dans les limites nécessaires en vertu de l’obligation légale applicable au Prestataire ; ou
Lorsque le consentement d’une personne concernée est requis, uniquement après avoir obtenu le consentement préalable de la personne concernée.
Section 2: Sous-traitants autorisés
– Amazon Web Services, Inc., établi à P.O. Box 81226 Seattle, WA 98108-1226
– Google LLC, établi à 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States
– Mandrill, (The Rocket Science Group LLC), établi à 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308
– Twilio Inc., établi à 375 Beale Street, Suite 300, San Francisco, CA 94105
– Sightengine, Kozelo SAS, 16 bis rue d’Odessa, 75014 Paris, France