Data Processing Annex - FR

ATTENDU QUE :

Le Client (tel que dénommé dans l’offre commerciale) a conclu un contrat (le “Contrat”) avec sharingbox, (le “Prestataire de services”) en vue de l’exécution des services décrits dans l’offre commerciale susmentionnée (dénommés ci-après les “Services”). Lors de l’exécution des services résultant ou étant liés au Contrat, le Prestataire peut être amené à traiter certaines données à caractère personnel du Client en tant que processeur de données au nom du Client (les “Données à caractère personnel du Client”), à l’exclusion des données à caractère personnel traitées par le Prestataire en sa qualité de contrôleur des données ;

Lors du traitement des données à caractère personnel du Client, le Prestataire agira en tant processeur de données au sens de la législation relative à la protection des données à caractère personnel en application ; et

Le Client et le Prestataire établissent, dans la présente Annexe au traitement de données, le cadre du traitement par le Prestataire des données à caractère personnel du Client conformément ou en relation avec le Contrat.

PAR CONSEQUENT, IL EST CONVENU CE QUI SUIT :

1. Interprétation

1.1 La présente annexe au traitement de données est régie par les termes et conditions définis dans le Contrat. Sauf stipulation contraire, les termes importants utilisés mais non définis dans la présente Annexe au traitement de données revêtent la signification qui leur est octroyée dans le Contrat.

1.2 Dans la présente Annexe au traitement de données :

“Contrat” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données ;

“Sous-traitants autorisés” se réfère aux sous-traitants approuvés par le Client conformément à l’article 6.2 ;

“Données à caractère personnel du Client” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données. Les catégories des données à caractère personnel du Client sont décrites dans la section 1 ;

“Législation en matière de données à caractère personnel” se réfère à toute loi, tout acte, règlement, réglementation par loi, ordonnance ou législation subordonnée relative au traitement de données, au respect de la vie privée et à l’utilisation des données à caractère personnel, applicable au Client, Prestataire et/ou Services, y compris:

en Belgique:

La loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel du 8 décembre 1992 ainsi que toute autre loi ou réglementation nationale transposant la directive communautaire 95/46/CE (“Data Protection Directive”); et

La règlementation du Parlement européen et du Conseil relative à la protection des personnes physiques en matière de traitement de données à caractère personnel et de libre circulation de ces données, l’abrogation de la directive 95/46/CE (Règlement Général sur la Protection des Données) (“RGPD”), ainsi que toute autre loi ou réglementation nationale correspondante ou équivalente ; et

dans les autres pays européens : la directive communautaire ou le RGPD, une fois d’application, ainsi que toute loi pertinente d’un Etat Membre ou réglementations implémentant les présentes Directives ou définissant le RGPD ;

dans tous les cas, tel qu’en vigueur et d’application, et pouvant occasionnellement faire l’objet de modification, ajout ou remplacement ;

“Annexe au traitement de données” se réfère à la présente Annexe au traitement de données, y compris toute section à la présente Annexe au traitement de données ;

“Données à caractère personnel” signifie toute information relative à une personne physique identifiée ou identifiable ;

“Services” revêt la signification octroyée sous le considérant 1 de la présente Annexe au traitement de données.

“Pays tiers” revêt la signification qui lui est octroyée sous l’article 7.1.

Les Parties reconnaissent et acceptent que la présente Annexe au traitement de données fait partie intégrante du Contrat. En cas de conflit ou d’inconsistance entre tout :

terme de la partie principale de la présente Annexe au traitement de données ;

terme de toute section de la présente Annexe au traitement de données; et

terme dans le Contrat et ses sections et annexes ;

le terme apparaissant dans la première catégorie de la liste ci-dessus prévaudra.

2. Portée et objet

2.1 Les dispositions de la présente Annexe au traitement de données à caractère personnel seront uniquement d’application si, dans la mesure de la disposition des Services, le Prestataire traite les données à caractère personnel.

3. Conformité à la législation en application en matière de protection des données à caractère personnel

Lors du traitement de données à caractère personnel, le Prestataire respectera en tout moment ses obligations conformément à la législation de protection des données en application.

Le Prestataire procèdera uniquement au traitement de données à caractère personnel du Client :

Selon la manière et aux fins définies dans la Section 1; et

Sur les instructions documentées du Client.

Le Client, par la présente :

Demande au Prestataire, dans le cadre de ses prestations de services, de prendre toutes les mesures raisonnablement nécessaires lors du traitement de données personnelles du Client ; et

Autorise le Prestataire à transmettre aux sous-traitants autorisés, et au nom du Client, des instructions équivalentes aux instructions définies sous l’article 3.3.1.

4. Confidentialité et Sécurité

Le Prestataire s’engage à traiter toutes les données à caractère personnel du Client de manière confidentielle. Sauf si le Client le requiert autrement par écrit, le Prestataire ne divulguera aucune donnée à caractère personnel du Client à des tiers autres que :

ceux de ses employés, sous-traitants autorisés et employés des sous-traitants autorisés pour qui une telle transmission s’avère raisonnablement nécessaire en vue de la prestation de services ; ou

dans les limites de la loi, toute entité gouvernementale ou régulatoire, ou la cour ou toute autre autorité de juridiction compétente ; et,

sous réserve que les personnes à qui les données à caractère personnel du Client peuvent être divulguées sont, conformément à l’article 4.1.3, liées, par des obligations de confidentialité cohérentes avec celles imposées au Prestataire dans la présente Annexe au traitement de données et dans le Contrat ;

Compte tenu de la technologie disponible, du coût de son implémentation et vu la nature, la portée, le contexte et les raisons du traitement de données à caractère personnel du Client, le Prestataire appliquera des mesures techniques et organisationnelles appropriées en vue de garantir un niveau de sécurité adéquat et d’éviter toute destruction, perte, transformation, divulgation accidentelle ou illégale ou accès non autorisé aux données à caractère personnel du Client.

5. Rapport des violations des données à caractère personnel

Le Prestataire informera le Client pas écrit, dès que raisonnablement possible, de toute violation en matière de sécurité menant à la destruction, perte, transformation, divulgation accidentelle ou illégale ou accès non autorisé aux données à caractère personnel du Client par le Prestataire.

6. Sous-traitance et sous-traitement

Le Client autorise le Prestataire à sous-traiter, en tout ou en partie, le processus des données à caractère personnel du Client sous réserve que:

Le Prestataire informe le Client de toute modification relative à l’ajout ou au remplacement de
sous-traitants, autorisant par là-même le Client à s’opposer auxdites modifications; et

Le Prestataire et le sous-traitant ont convenu le traitement de données à caractère personnel par écrit et ont établi des obligations conformes à celles établies dans la présente Annexe au traitement de données.

Au sens de l’article 6.1, le Client autorise, par la présente, la sous-traitance du traitement de données à caractère personnel du Client aux sous-traitants tels que décrits dans la Section 2. Les sous-traitants décrits dans la Section 2 devront être des sous-traitants autorisés au sens de la présente Annexe au traitement de données.

7. Transferts transfrontaliers des données à caractère personnel du client

Le Prestataire peut envoyer les données à caractère personnel du Client à un destinataire hors de l’Union Economique Européenne (cet autre pays étant dénommé un “Pays Tiers”) si:

Une Commission EU a constaté l’adéquation de ce Pays Tiers en matière de législation relative à la protection des données ;

Le transfert relève de la portée du programme EU-US Privacy Shield ;

Le contrat signé entre le destinataire et le Client contient des clauses types approuvées par la Commission européenne ou toute autre autorité publique compétente en matière de législation de protection des données; ou

Des garanties alternatives appropriées ont été offertes conformément à la législation en matière de protection des données.

8. Audit

En vue du contrôle du respect des obligations du Prestataire dans le cadre de la présente Annexe au traitement de données, le Client peut requérir et obtenir de la part du Prestataire des copies de toute information non confidentielle raisonnablement nécessaire afin que le Prestataire puisse prouver le respect de ses obligations dans le cadre de la présente Annexe au traitement de données. Ces demandes d’informations seront requises par écrit au Client. Le Prestataire s’engage à fournir, au mieux de sa connaissance, les informations et documents requis dans une période raisonnable, compte tenu du montant et de la complexité de l’information requise.

Dans la mesure où le Client n’a pas obtenu l’information nécessaire conformément à l’article 8.1, le Client peut, en vue du contrôle du respect des obligations par le Prestataire, requérir une inspection dans les locaux du Prestataire, ce que le Prestataire acceptera moyennant les conditions suivantes :

La demande écrite d’inspection est soumise au Prestataire au moins nonante (90) jours ouvrables avant la date de l’inspection ;

L’inspection est menée durant les heures normales de bureau ;

Les opérations quotidiennes du Prestataire ne sont pas affectées par l’inspection ;

En vue de l’information requise, l’inspection ne dure pas plus longtemps ou n’implique pas plus de ressources que nécessaires;

Avant toute inspection, le Client et/ou les tiers réalisant l’inspection en son nom accepte(nt) premièrement d’être lié(s) par des obligations de confidentialité ad hoc raisonnables vis-à-vis de l’information et des documents obtenus ;

Le Client et le Prestataire acceptent, par écrit, un plan d’action de l’étendue des informations, documents, systèmes d’information et équipement IT qui feront l’objet de l’inspection ; et

Le Client prend à sa charge tous les frais et dépenses résultant de chaque audit (y compris, mais sans être limité à) les frais et dépenses assumés par le Prestataire liés à toute assistance prêtée par le Prestataire lors de l’exécution d’un tel audit).

9. Assistance lors du traitement de demandes des personnes concernées

Dans la mesure du possible et à la charge du Client, le Prestataire collaborera avec le Client lors :

du traitement de demandes des personnes concernées dans l’exercice de leurs droits ; et

de la réalisation de tout facteur relatif à la vie privée dans le cadre de la prestation de services.

10. Durée et résiliation

10.1 La présente Annexe au traitement de données entre en vigueur le jour du Contrat de Services et restera en vigueur aussi longtemps que le Prestataire fournira ses services conformément au Contrat.

11. Restitution/Destruction des données à caractère personnel du client

Dans les trente (30) jours ouvrables suivant l’expiration ou la résiliation de la présente Annexe au traitement de données, le Prestataire :

Au choix du Client :

remettra au Client, sous un format électronique fréquemment utilisé, toutes les données à caractère personnel du Client qui, à la date de résiliation ou d’expiration du Contrat, se trouvent en possession ou sous le contrôle du Prestataire ; ou

détruira ou videra ses systèmes informatiques et fichiers de toute donnée à caractère personnel du Client qui, à la date de résiliation ou d’expiration du Contrat, se trouvent en possession ou sous le contrôle du Prestataire.

Section 1: Description du traitement de données

1. Finalités du traitement de données

Les finalités du traitement de données sont :

La collecte de photos et de données à travers les photo booths, l’hébergement online de galeries photos, les contrôles de qualité photos et le transfert de photos aux utilisateurs finaux ;

Le service IT (résolution de problèmes) et les services à la clientèle (y compris l’accès à distance aux photo booths à des fins de maintenance).

2. Catégories des données a caractère personnel

Les données à caractère personnel du Client qui feront l’objet de traitement par le processeur sont :

Les données d’identification (noms, titres, etc.);

L’emplacement des photo booths;

Les coordonnées (e-mails);

Les données d’identification professionnelle (job title, etc.);

Les enregistrements d’images (photos).

3. Catégories des personnes concernées

Les catégories des personnes concernées sont :

Les utilisateurs finaux des photo booths.

4. instructions de traitement

Le Prestataire traitera les données à caractère personnel du Client comme suit :

Uniquement dans les limites nécessaires en vue des finalités susmentionnées ; et

Le cas échéant, uniquement dans les limites nécessaires en vertu de l’obligation légale applicable au Prestataire ; ou

Lorsque le consentement d’une personne concernée est requis, uniquement après avoir obtenu le consentement préalable de la personne concernée.

Section 2: Sous-traitants autorisés

– Amazon Web Services, Inc., établi à P.O. Box 81226 Seattle, WA 98108-1226
– Google LLC, établi à 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States
– Mandrill, (The Rocket Science Group LLC), établi à 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, Georgia 30308
– Twilio Inc., établi à 375 Beale Street, Suite 300, San Francisco, CA 94105
– Sightengine, Kozelo SAS, 16 bis rue d’Odessa, 75014 Paris, France

Cookie	Durée	Description
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Advertisement".
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-functional	11 mois	Le cookie est défini par GDPR cookie consent pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Functional".
cookielawinfo-checkbox-necessary	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Necessary".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Other".
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Durée	Description
_zcsr_tmp	session	Zoho nécessite ce cookie pour la fonction de connexion sur le site Web.
bcookie	1 year	LinkedIn nécessite ce cookie à partir des boutons de partage LinkedIn et des balises publicitaires pour reconnaître l'ID du navigateur.
bscookie	1 year	LinkedIn définit ce cookie pour stocker les actions effectuées sur le site Web.
lang	session	LinkedIn nécesste ce cookie pour mémoriser le paramètre de langue d'un utilisateur.
lidc	1 day	LinkedIn nécessite le cookie lidc pour faciliter la sélection du centre de données.
pll_language	1 an	Le cookie pll _language est utilisé par Polylang pour mémoriser la langue sélectionnée par l'utilisateur lorsqu'il revient sur le site Web, et également pour obtenir les informations sur la langue lorsqu'elles ne sont pas disponibles d'une autre manière.
UserMatchHistory	1 mois	LinkedIn nécessite ce cookie pour la synchronisation de l'identifiant LinkedIn Ads.

Cookie	Durée	Description
_dc_gtm_UA-48590804-1	1 minute	Il est utilisé par Google via Google Analytics et Google Tag Manager pour limiter le pourcentage de demandes.
5ad188d5f9	session	Ce cookie est défini par Zoho (notre CRM).
AnalyticsSyncHistory	1 mois	Utilisé par LinkedIn pour stocker des informations sur l'heure à laquelle une synchronisation a eu lieu avec le cookie lms_analytics
crmcsr	session	We use the CRM (Customer Relationship Management) Zoho to store customer information. By entering your details into our website, the data is sent securely to Zoho.
gclid	1 mois	Ce cookie stock des informations sur le clic sur l'annonce qui a amené les gens sur notre site Web.
ip2location_redirection_first_visit	1 jour	Ce cookie fournit des informations sur la localisation d'un visiteur IP2Location.
li_gc	5 mois 27 jours	Utilisé par LinkedIn pour stocker le consentement des invités concernant l'utilisation de cookies à des fins non essentielles

Cookie	Durée	Description
_fbp	3 mois	Ce cookie est défini par Facebook pour afficher des publicités sur Facebook ou sur une plate-forme numérique alimentée par la publicité Facebook, après avoir visité le site Web.
fr	3 mois	Facebook définit ce cookie pour afficher des publicités pertinentes aux utilisateurs en suivant le comportement des utilisateurs sur le Web, sur des sites dotés d'un pixel Facebook ou d'un plugin social Facebook.
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée.
yt-remote-device-id	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur à l'aide de la vidéo YouTube intégrée.
yt.innertube::nextId	never	Ce cookie, défini par YouTube, enregistre un identifiant unique pour stocker des données sur les vidéos de YouTube que l'utilisateur a vues.
yt.innertube::requests	never	Ce cookie, défini par YouTube, enregistre un identifiant unique pour stocker des données sur les vidéos de YouTube que l'utilisateur a vues.

ATTENDU QUE :

PAR CONSEQUENT, IL EST CONVENU CE QUI SUIT :

Section 2: Sous-traitants autorisés

Snap!