1.1. Cet addendum sur le traitement des données (« DPA ») fait partie du contrat-cadre de services ou des conditions d'utilisation disponibles à l'adresse https://gmelius.com/legal/terms ou à tout autre endroit où les Conditions d'utilisation peuvent être publiées de temps à autre (le cas échéant, le « Contrat »), conclu par et entre le Client et Gmelius SA (« Gmelius »), en vertu duquel le Client a accédé aux services applicatifs de Gmelius tels que définis dans le Contrat applicable. Gmelius and Company sont individuellement une « partie » et, collectivement, les « parties ».
1.2. Le présent DPA ne s'applique que dans la mesure où Gmelius reçoit, stocke ou traite des données personnelles en lien avec les Services. L'annexe 1 décrit les activités de traitement visées par ce DPA.
1.3. Les parties conviennent que le présent DPA remplacera tout addendum relatif au traitement des données existant que les parties auraient pu conclure précédemment dans le cadre des Services.
1.4. À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et est pleinement en vigueur. En cas de conflit entre le présent DPA et le Contrat, ce DPA prévaudra dans la mesure de ce conflit.
1.5. Toute réclamation introduite en vertu ou en relation avec cette DPA sera soumise à l'Accord.
1.6. La Société convient en outre que toute sanction réglementaire encourue par Gmelius en relation avec les données de la société résultant ou en relation avec le non-respect par la Société de ses obligations en vertu du présent DPA ou de toute loi applicable sur la protection des données sera prise en compte et réduira la responsabilité de Gmelius en vertu du Contrat comme s'il s'agissait d'une responsabilité envers la Société en vertu du Contrat.
1.7. Personne d'autre qu'une partie à cette DPA, ses successeurs et cessionnaires autorisés n'aura le droit de faire appliquer l'une quelconque de ses conditions (sauf dans la mesure où les individus sont en mesure de faire valoir leurs droits par le biais d'un mécanisme international de transfert de données).
1.8. Le présent DPA sera régi et interprété conformément à la loi applicable et aux dispositions juridictionnelles du Contrat, sauf disposition contraire d'un mécanisme international de transfert de données ou des lois applicables en matière de protection des données.
1.9. En cas de conflit entre le présent DPA et l'Accord, le DPA contrôlera dans la mesure nécessaire pour résoudre le conflit. Si les parties utilisent un mécanisme international de transfert de données et qu'il existe un conflit entre les obligations de ce mécanisme international de transfert de données et du présent DPA, le mécanisme international de transfert de données contrôlera.
1.10. Gmelius peut être tenu de mettre à jour cette DPA pour se conformer à la loi applicable, et dans ce cas, Gmelius fournira un préavis raisonnable de ces mises à jour.
2.1. Les termes suivants ont la signification indiquée ci-dessous. Tous les termes en majuscules qui ne sont pas définis dans le présent DPA auront la signification indiquée dans le Contrat.
2.2. Les termes suivants ont les définitions qui leur sont données dans le CCPA : »Affaires,» »Vente», »Prestataire de services», » et »Tierce partie. »
2.3. »Entente» désigne le (s) contrat (s) conclu (s) entre les parties, qui régissent la fourniture des Services à la Société.
2.4. »Données de l'entreprise» désigne toutes les données personnelles que Gmelius traite pour le compte de la société en tant que sous-traitant dans le cadre de la fourniture de services.
2.5. »Consentement» désigne l'indication libre, spécifique, informée et sans ambiguïté des souhaits de la personne concernée par laquelle elle accepte, par une déclaration ou par une action positive claire, le traitement des données personnelles la concernant.
2.6. »Contrôleur» désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles. Le terme « responsable du traitement » inclut des termes équivalents dans d'autres lois sur la protection des données, tels que le terme « entreprise » ou « tiers » défini par le CCPA, selon le contexte.
2.7. »Loi sur la protection des données» désigne toutes les lois relatives à la protection des données et à la confidentialité applicables au traitement des données personnelles dans le cadre du Contrat, y compris le Règlement 2016/679 (Règlement général sur la protection des données) (« RGPD »), et Cal. Civ. Titre de code 1.81.5, § 1798.100 et suiv. (Loi californienne sur la protection de la vie privée des consommateurs) (« CCPA »).
2.8. »Sujet des données» désigne une personne physique identifiée ou identifiable.
2.9. »Données anonymisées» désigne un ensemble de données qui ne contient aucune donnée personnelle. Les données agrégées sont des données anonymisées. « Désidentifier » signifie créer des données anonymisées à partir de données personnelles.
2.10. »EEE» désigne l'Espace économique européen.
2.11. »Données personnelles» désigne les informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées à, ou pourraient raisonnablement être liées, directement ou indirectement, à une personne concernée. Les « données personnelles » incluent des termes équivalents dans la loi sur la protection des données, tels que le terme « informations personnelles » défini par le CCPA, selon le contexte.
2.12 poucesViolation de données personnelles» désigne une violation de la sécurité des Services entraînant la destruction, la perte, l'altération, la divulgation non autorisée des Données de la Société ou l'accès à celles-ci de manière accidentelle ou illégale.
2.13. »Procédé» ou »Traitement» toute opération ou ensemble d'opérations qu'une partie effectue sur des données personnelles, y compris la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction.
2.14. »Processeur» désigne une entité qui traite des données personnelles pour le compte d'une autre entité. Le terme « sous-traitant » inclut des termes équivalents dans d'autres lois sur la protection des données, tels que le terme « fournisseur de services » défini par la CCPA, selon le contexte.
2.15. »Données sensibles» désigne les types et catégories de données suivants : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; données génétiques ; données biométriques ; données concernant la santé, y compris les informations de santé protégées régies par la loi sur la portabilité et la responsabilité en matière d'assurance maladie ; données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ; numéros d'identification gouvernementaux (par exemple, SSN, permis de conduire) ; informations relatives aux cartes de paiement ; informations personnelles non publiques régies par le Gramm Leach Loi Bliley ; et identifiant non chiffré associé à un mot de passe ou à un autre code d'accès qui permettrait d'accéder au compte de la personne concernée ; et géolocalisation précise.
2.16. »Des services» désigne tout produit ou service fourni par Gmelius à la Société conformément au Contrat.
2.17. »Clauses contractuelles types» désigne les clauses contractuelles types de l'Union européenne pour les transferts internationaux depuis l'Espace économique européen vers des pays tiers, décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
2.18. »Sous-processeur» désigne un Sous-traitant engagé par une partie agissant en tant que Sous-traitant.
3.1. L'annexe 1 décrit les finalités du traitement par les parties, les types ou catégories de données personnelles concernés par le traitement et les catégories de personnes concernées par le traitement.
3.2. L'annexe 1 répertorie les statuts des parties en vertu de la loi sur la protection des données pertinente.
4.1. Certaines juridictions exigent qu'une entité transférant des données personnelles vers une juridiction étrangère ou accédant à des données personnelles depuis une juridiction étrangère prenne des mesures supplémentaires pour garantir que les données personnelles bénéficient de protections spéciales (un »Mécanisme international de transfert de données»). Les parties se conformeront à tout mécanisme international de transfert de données qui pourrait être exigé par la législation applicable en matière de protection des données, y compris les clauses contractuelles types. Avant que l'une des parties ne transfère à l'autre partie ou ne permette à l'autre partie d'accéder à des données personnelles situées dans une juridiction nécessitant un mécanisme international de transfert de données, la partie transférante informera l'autre partie de l'exigence pertinente et les parties travailleront ensemble de bonne foi pour répondre aux exigences de ce mécanisme international de transfert de données.
4.2. Si le mécanisme international de transfert de données sur lequel les parties s'appuient est invalidé ou remplacé, les parties travailleront ensemble de bonne foi pour trouver une alternative appropriée.
4.3. En ce qui concerne les données personnelles des personnes concernées situées dans l'EEE, en Suisse ou au Royaume-Uni que la société transfère à Gmelius ou autorise Gmelius à accéder, les parties conviennent qu'en exécutant cette DPA, elles exécutent également les clauses contractuelles types, qui seront incorporées par référence et feront partie intégrante de cette DPA. Les parties conviennent que, en ce qui concerne les éléments des clauses contractuelles types qui nécessitent la saisie des parties, les annexes 1 et 2 contiennent les informations pertinentes. Les parties conviennent que, pour les données personnelles des personnes concernées au Royaume-Uni et en Suisse, elles adoptent les modifications des clauses contractuelles types énumérées dans l'annexe 1 afin d'adapter les clauses contractuelles types au droit britannique ou suisse, selon le cas.
5.1. Conformité. Les parties respecteront leurs obligations respectives en vertu de la loi sur la protection des données et de leurs déclarations de confidentialité.
5.2. Traitement des données personnelles par l'entreprise. La société déclare et garantit qu'elle dispose du consentement ou d'une autre base légale nécessaire pour collecter et divulguer des données personnelles à Gmelius dans le cadre des Services.
5.3. Coopération.
5.4. Confidentialité. Les parties veilleront à ce que leurs employés, leurs sous-traitants indépendants et leurs agents soient soumis à l'obligation de préserver la confidentialité des données personnelles.
5.5. Technologies de suivi. La société reconnaît que dans le cadre de la performance des Services, Gmelius utilise des cookies, des identifiants uniques, des balises Web et des technologies de suivi similaires (« Technologies de suivi »). La Société maintiendra les mécanismes de notification, de consentement, d'inscription et de désinscription appropriés, comme l'exigent les lois sur la protection des données, afin de permettre à Gmelius de déployer légalement des technologies de suivi sur les appareils des utilisateurs finaux (définis ci-dessous) et de collecter des données à partir de ceux-ci, conformément à et comme décrit dans la Déclaration relative aux cookies de Gmelius (https://gmelius.com/legal/cookie-policy).
6.1. Contrôles de sécurité. Gmelius mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données de l'entreprise contre les violations de données personnelles et pour préserver la sécurité et la confidentialité des données de l'entreprise, conformément aux normes de sécurité de Gmelius décrites dans le présent DPA et sur https://gmelius.com/legal/security (« Mesures de sécurité »).
6.2. Mises à jour des mesures de sécurité. La Société est chargée d'examiner les informations mises à disposition par Gmelius relatives à la sécurité des données et de déterminer de manière indépendante si les Services répondent aux exigences et obligations légales de la Société en vertu des lois sur la protection des données. La Société reconnaît que les mesures de sécurité sont soumises au progrès et au développement techniques et que Gmelius peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas de dégradation de la sécurité globale des Services achetés par la Société.
6.3. Responsabilités de l'entreprise. Nonobstant ce qui précède, la Société accepte que, sauf dans les cas prévus par le présent DPA, la Société est responsable de son utilisation sécurisée des Services, notamment de la sécurisation des informations d'authentification de son compte, de la protection de la sécurité des données de l'entreprise lors de leur transit vers et depuis les Services et de la prise de toutes les mesures appropriées pour crypter ou sauvegarder en toute sécurité les données de l'entreprise téléchargées vers les Services.
7.1. Gmelius aura les obligations énoncées dans cette Section 7 si elle traite des données personnelles en sa qualité de sous-traitant de la société ; pour plus de clarté, ces obligations ne s'appliquent pas à Gmelius en sa qualité de responsable du traitement, d'entreprise ou de tiers.
7.2. Étendue du traitement. Gmelius traitera les données de l'entreprise uniquement aux fins décrites dans le présent DPA et uniquement conformément aux instructions légales et documentées de la société. Les parties conviennent que le présent DPA et l'Accord énoncent les instructions complètes et finales de la Société à Gmelius en ce qui concerne le traitement des données de l'entreprise dans le cadre du Contrat et que le traitement en dehors du champ d'application de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre la Société et Gmelius. Il est interdit à Gmelius de : (i) vendre les données de l'entreprise ; (ii) de conserver, d'utiliser ou de divulguer les données de la société à des fins autres que celles liées à l'exécution des services spécifiés dans le contrat, y compris la conservation, l'utilisation ou la divulgation des données de l'entreprise à des fins commerciales autres que la fourniture des services spécifiés dans le contrat ; ou (iii) de conserver, d'utiliser ou de divulguer les données de l'entreprise en dehors de la relation commerciale directe entre la société et Gmelius. Gmelius informera rapidement la Société si le fait de suivre les instructions de la Société entraînerait une violation de la Loi sur la protection des données ou si Gmelius doit divulguer les données de l'entreprise en réponse à une obligation légale, sauf si l'obligation légale interdit à Gmelius de faire une telle divulgation. Nonobstant toute disposition contraire de cette Section, Gmelius peut traiter les données de l'entreprise si nécessaire pour détecter les incidents liés à la sécurité des données ou se protéger contre les activités frauduleuses ou illégales et pour créer ou améliorer la qualité de ses produits et services, à condition que, dans le cadre de ces activités, Gmelius n'autorise aucun tiers (autre que les fournisseurs de services de Gmelius ou sauf instruction contraire de la Société) à accéder aux données de l'entreprise ou (ii) à les utiliser pour modifier ou ajouter aux informations personnelles collectées auprès d'une source qui n'est pas la Société. En signant cet addendum, Gmelius certifie qu'elle comprend et respectera les obligations énoncées dans les présentes.
7.3. Demandes d'exercice de droits des personnes concernées. Gmelius informera rapidement la Société si Gmelius reçoit une demande d'une personne concernée visant à exercer ses droits concernant ses données personnelles en vertu de la législation applicable en matière de protection des données. La société sera chargée de répondre à ces demandes. Gmelius ne répondra pas à ces personnes concernées, sauf pour accuser réception de leurs demandes. Gmelius fournira à la Société une assistance commercialement raisonnable, sur demande, pour aider la Société à répondre à la demande d'une personne concernée.
7.4. Sous-processeurs de Gmelius.
7.5. Violation de données personnelles. Gmelius informera la Société sans retard injustifié d'une violation de données personnelles affectant les données personnelles traitées par Gmelius en relation avec les Services. Sur demande, Gmelius fournira à la Société des informations sur la violation de données personnelles dans la mesure nécessaire pour que la Société puisse remplir ses obligations d'enquête ou d'informer les autorités, sauf que Gmelius se réserve le droit de supprimer les informations confidentielles ou sensibles sur le plan de la concurrence. La société convient que la notification par e-mail d'une violation de données personnelles est suffisante et la société informera Gmelius si elle modifie ses informations de contact. La Société accepte que Gmelius ne puisse pas informer la Société d'événements liés à la sécurité qui n'entraînent pas de violation de données personnelles ou n'affectent pas les données personnelles traitées par Gmelius dans le cadre des Services.
7.6. Suppression et renvoi des données personnelles. À la résiliation ou à l'expiration du Contrat, Gmelius supprimera, à la demande de la Société (après avoir donné à la Société la possibilité de télécharger, conformément à l'Accord) toutes les données de l'entreprise (y compris des copies) en sa possession ou sous son contrôle, sauf dans la mesure où Gmelius est tenue par la loi applicable de conserver tout ou partie des données de l'entreprise, que Gmelius isolera en toute sécurité et protégera de tout traitement ultérieur, sauf dans la mesure requise par loi.
7.7. Vérification de conformité. Sur demande raisonnable, Gmelius vérifiera sa conformité à cette DPA, à condition que la Société n'exerce pas ce droit plus d'une fois par an.
La société autorise Gmelius à utiliser les sous-processeurs répertoriés ci-dessous conformément à la section 7.4.
Gmelius dispose de garanties administratives, physiques et techniques conçues pour protéger la sécurité, la confidentialité et l'intégrité des données personnelles du client traitées par Gmelius dans le cadre des Services, comme décrit ici : https://gmelius.com/legal/security
Article 7: Les parties n'autorisent pas l'amarrage.
Article 9, module 2 (a): Les parties sélectionnent l'option 2. Le délai est de 5 jours.
Article 9, module 3 (a): Les parties sélectionnent l'option 2. Le délai est de 5 jours.
Article 11 (a): Les parties ne sélectionnent pas l'option de résolution indépendante des litiges.
Article 17: Les parties conviennent que la juridiction compétente est l'État membre dans lequel l'exportateur de données est établi.
Article 18: Pour les modules 1 à 3, les parties conviennent que le forum est l'État membre dans lequel l'exportateur de données est établi.
Annexe I (A): L'exportateur de données est Company. L'importateur de données est Gmelius. Les coordonnées des parties font partie de l'accord.
Annexe I (B): Les parties conviennent que l'annexe 1 décrit le transfert.
Annexe I (C): L'autorité de surveillance compétente est l'autorité de surveillance qui a la juridiction principale sur l'exportateur de données.
Annexe II: Les parties conviennent que l'annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
Pour la Suisse
Pour le Royaume-Uni