1. Relation avec l'accord
1.1. Le présent avenant relatif au traitement des données (« DPA ») fait partie du contrat cadre de services ou des conditions d'utilisation disponibles sur https://gmelius.com/legal/terms ou tout autre endroit où les conditions d'utilisation peuvent être publiées de temps à autre (le cas échéant, le « Contrat »), conclu par et entre le Client et Gmelius SA (« Gmelius »), en vertu duquel le Client a accédé aux services d'application de Gmelius tels que définis dans l'Accord applicable. Gmelius and Company constituent individuellement une « partie » et, collectivement, les « parties ».
1.2. Ce DPA s'applique uniquement dans la mesure où Gmelius reçoit, stocke ou traite des données personnelles en relation avec les Services. L'annexe 1 décrit les activités de traitement entrant dans le champ d'application de ce DPA.
1.3. Les parties conviennent que ce DPA remplacera tout addendum existant relatif au traitement des données qu'elles auraient pu avoir précédemment conclu dans le cadre des Services.
1.4. À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et pleinement en vigueur. En cas de conflit entre le présent DPA et le Contrat, ce DPA prévaudra dans la mesure de ce conflit.
1.5. Toute réclamation introduite en vertu ou en relation avec le présent DPA sera soumise à l'Accord.
1.6. La société accepte en outre que toute sanction réglementaire encourue par Gmelius en relation avec les données de la société résultant de, ou en relation avec, le non-respect par la société de ses obligations en vertu du présent DPA ou de toute loi applicable en matière de protection des données sera prise en compte et réduira la responsabilité de Gmelius en vertu du Contrat comme s'il s'agissait d'une responsabilité envers la Société en vertu du Contrat.
1.7. Personne d'autre qu'une partie à ce DPA, ses successeurs et cessionnaires autorisés n'aura le droit de faire appliquer l'une quelconque de ses conditions (sauf dans la mesure où les individus sont en mesure de faire valoir leurs droits par le biais d'un mécanisme international de transfert de données).
1,8. Le présent DPA sera régi et interprété conformément à la législation en vigueur et aux dispositions juridictionnelles de l'Accord, sauf disposition contraire d'un mécanisme international de transfert de données ou des lois applicables en matière de protection des données.
1,9. En cas de conflit entre le présent DPA et l'Accord, le DPA exercera le contrôle dans la mesure nécessaire pour résoudre le conflit. Si les parties utilisent un mécanisme international de transfert de données et qu'il existe un conflit entre les obligations de ce mécanisme international de transfert de données et du présent DPA, le mécanisme international de transfert de données prévaudra.
1,10. Gmelius peut être tenu de mettre à jour ce DPA pour se conformer à la loi applicable, et dans ce cas, Gmelius vous informera dans un délai raisonnable de ces mises à jour.
2. Définitions
2.1. Les termes suivants ont la signification qui leur est donnée ci-dessous. Tous les termes en majuscules non définis dans le présent DPA auront le sens indiqué dans le Contrat.
2.2. Les termes suivants ont les définitions qui leur sont données dans le CCPA : »Affaires,» »Vente, »Prestataire de services», et »Tierce partie. »
2.3. »Entente» désigne le ou les accords conclus entre les parties, qui régissent la fourniture des Services à la Société.
2.4. »Données de l'entreprise» désigne toutes les données personnelles que Gmelius traite pour le compte de la société en tant que processeur dans le cadre de la fourniture de services.
2.5. »Consentement» signifie l'indication libre, spécifique, éclairée et sans ambiguïté des souhaits de la personne concernée par laquelle elle accepte, par une déclaration ou par une action positive claire, le traitement des données personnelles la concernant.
2.6. »Contrôleur» désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles. Le terme « responsable du traitement » inclut des termes équivalents dans d'autres lois sur la protection des données, tels que le terme « entreprise » ou « tiers » défini par le CCPA, selon le contexte.
2.7. »Loi sur la protection des données» désigne toutes les lois relatives à la protection des données et à la confidentialité applicables au traitement des données personnelles dans le cadre du Contrat, y compris le Règlement 2016/679 (Règlement général sur la protection des données) (« RGPD ») et Cal. Civ. Titre du code 1.81.5, § 1798.100 et suivants. (Loi californienne sur la protection de la vie privée des consommateurs) (« CCPA »).
2,8. »Sujet des données» désigne une personne physique identifiée ou identifiable.
2.9. »Données dépersonnalisées» désigne un ensemble de données qui ne contient aucune donnée personnelle. Les données agrégées sont des données dépersonnalisées. « Désidentifier » signifie créer des données dépersonnalisées à partir de données personnelles.
2,10. »EEE» désigne l'Espace économique européen.
2.11. »Données personnelles» désigne des informations qui identifient, concernent, décrivent, sont raisonnablement susceptibles d'être associées ou pourraient raisonnablement être liées, directement ou indirectement, à une personne concernée. Les « données personnelles » incluent des termes équivalents dans la loi sur la protection des données, tels que le terme « informations personnelles » défini par la CCPA, selon le contexte.
2,12 poucesViolation de données personnelles» signifie une violation de la sécurité des Services entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données de la société.
2,13. »Procédé» ou »Traitement» toute opération ou ensemble d'opérations qu'une partie effectue sur des données personnelles, y compris la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction.
2,14. »Processeur» désigne une entité qui traite des données personnelles pour le compte d'une autre entité. Le terme « sous-traitant » inclut des termes équivalents dans d'autres lois sur la protection des données, tels que le terme « fournisseur de services » défini par la CCPA, selon le contexte.
2,15. »Données sensibles» désigne les types et catégories de données suivants : données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ; données génétiques ; données biométriques ; données concernant la santé, y compris les informations de santé protégées régies par la loi sur la portabilité et la responsabilité en matière d'assurance maladie ; données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ; numéros d'identification gouvernementaux (par exemple, SSN, permis de conduire) ; informations de carte de paiement ; informations personnelles non publiques régies par le Gramm Loi Leach Bliley ; et identifiant non chiffré associé à un mot de passe ou à un autre code d'accès qui permettrait d'accéder au compte d'une personne concernée ; et géolocalisation précise.
2,16. »Des services» désigne tout produit ou service fourni par Gmelius à la Société conformément au Contrat.
2,17. »Clauses contractuelles types» désigne les clauses contractuelles types de l'Union européenne pour les transferts internationaux depuis l'Espace économique européen vers des pays tiers, décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
2,18. »Sous-processeur» désigne un sous-traitant engagé par une partie agissant en tant que sous-traitant.
3. Description des activités de traitement des données personnelles des parties et des statuts des parties
3.1. L'annexe 1 décrit les objectifs du traitement par les parties, les types ou catégories de données personnelles impliquées dans le traitement et les catégories de personnes concernées par le traitement.
3.2. L'annexe 1 répertorie les statuts des parties en vertu de la législation applicable en matière de protection des données.
4. Transfert international de données
4.1. Certaines juridictions exigent qu'une entité transférant des données personnelles vers une juridiction étrangère ou accédant à des données personnelles depuis une juridiction étrangère prenne des mesures supplémentaires pour garantir que les données personnelles bénéficient de protections spéciales (un »Mécanisme international de transfert de données»). Les parties se conformeront à tout mécanisme international de transfert de données qui pourrait être exigé par la législation applicable en matière de protection des données, y compris les clauses contractuelles types. Avant que l'une des parties ne transfère à l'autre partie ou n'autorise l'autre partie à accéder à des données personnelles situées dans une juridiction qui exige un mécanisme international de transfert de données, la partie transférante informera l'autre partie de l'exigence pertinente et les parties travailleront ensemble de bonne foi pour satisfaire aux exigences de ce mécanisme international de transfert de données.
4.2. Si le mécanisme international de transfert de données sur lequel les parties s'appuient est invalidé ou remplacé, les parties travailleront ensemble de bonne foi pour trouver une alternative appropriée.
4.3. En ce qui concerne les données personnelles des personnes concernées situées dans l'EEE, en Suisse ou au Royaume-Uni que la société transfère à Gmelius ou autorise Gmelius à accéder, les parties conviennent qu'en exécutant ce DPA, elles exécutent également les clauses contractuelles types, qui seront incorporées par référence et feront partie intégrante de ce DPA. Les parties conviennent que, en ce qui concerne les éléments des clauses contractuelles types qui nécessitent la contribution des parties, les annexes 1 et 2 contiennent les informations pertinentes. Les parties conviennent que, pour les données personnelles des personnes concernées au Royaume-Uni et en Suisse, elles adoptent les modifications des clauses contractuelles types énumérées dans l'annexe 1 afin d'adapter les clauses contractuelles types au droit britannique ou suisse, selon le cas.
5. Protection des données en général
5.1. Conformité. Les parties respecteront leurs obligations respectives en vertu de la loi sur la protection des données et de leurs avis de confidentialité.
5.2. Traitement des données personnelles par l'entreprise. La société déclare et garantit qu'elle dispose du consentement ou de toute autre base légale nécessaire pour collecter et divulguer des données personnelles à Gmelius dans le cadre des Services.
5.3. Coopération.
- Demandes des personnes concernées. (5.3.1.1.) Facilitation des réponses. Les Services fournissent à la Société un certain nombre de contrôles que la Société peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données de la Société, que la Société peut utiliser pour l'aider à remplir ses obligations en vertu de la Loi sur la protection des données, y compris ses obligations relatives à la réponse aux demandes émanant de particuliers ou des autorités de protection des données applicables. Dans la mesure où la Société n'est pas en mesure d'accéder de manière indépendante aux Données de la Société pertinentes dans le cadre des Services, Gmelius fournira (aux frais de la Société) une coopération raisonnable pour aider la Société à répondre à toute demande émanant de particuliers ou des autorités de protection des données applicables concernant le traitement des données de la Société dans le cadre de l'Accord. (5.3.1.2.) Demandes reçues par Gmelius. Si Gmelius reçoit des demandes de la part de personnes souhaitant exercer leurs droits, Gmelius informera la personne de la nécessité de soumettre la demande directement à la Société et informera rapidement la Société de la demande, sauf si la loi interdit à Gmelius de fournir une telle notification.
- Demandes gouvernementales et d'enquête. Si une autorité gouvernementale (par exemple, la Federal Trade Commission, le procureur général d'un État américain ou une autorité européenne de protection des données) envoie à Gmelius une demande de données d'entreprise (par exemple, par le biais d'une citation à comparaître ou d'une ordonnance du tribunal), Gmelius tentera de rediriger l'agence chargée de l'application de la loi pour demander ces données directement à la société. Dans le cadre de cet effort, Gmelius peut fournir les coordonnées de base de la société à l'autorité gouvernementale. Si elle est obligée de divulguer les données de l'entreprise à une autorité gouvernementale, Gmelius informera la société dans un délai raisonnable de la demande afin de permettre à la société de demander une ordonnance de protection ou un autre recours approprié, sauf si la loi interdit à Gmelius de le faire.
- Autres exigences de la loi sur la protection des données. Sur demande, les parties se fourniront mutuellement les informations pertinentes pour remplir leurs obligations respectives (le cas échéant) en matière de réalisation d'analyses d'impact relatives à la protection des données ou de consultations préalables avec les autorités de protection des données.
5.4. Confidentialité. Les parties veilleront à ce que leurs employés, sous-traitants indépendants et agents soient soumis à l'obligation de préserver la confidentialité des données personnelles.
5.5. Technologies de suivi. La Société reconnaît que dans le cadre de la performance des Services, Gmelius utilise des cookies, des identifiants uniques, des balises Web et des technologies de suivi similaires (« Technologies de suivi »). La société maintiendra des mécanismes de notification, de consentement, d'inscription et de désactivation appropriés, comme l'exigent les lois sur la protection des données pour permettre à Gmelius de déployer légalement des technologies de suivi sur les appareils des utilisateurs finaux (définis ci-dessous) et de collecter des données à partir de ceux-ci conformément à et comme décrit dans la déclaration de Gmelius en matière de cookies (https://gmelius.com/legal/cookie-policy).
6. Sécurité des données
6.1. Contrôles de sécurité. Gmelius mettra en œuvre et maintiendra les mesures de sécurité techniques et organisationnelles appropriées pour protéger les données de l'entreprise contre les violations de données personnelles et pour préserver la sécurité et la confidentialité des données de l'entreprise, conformément aux normes de sécurité de Gmelius décrites dans le présent DPA et sur https://gmelius.com/legal/security (« Mesures de sécurité »).
6.2. Mises à jour des mesures de sécurité. La société est chargée d'examiner les informations mises à disposition par Gmelius relatives à la sécurité des données et de déterminer de manière indépendante si les services répondent aux exigences de la société et aux obligations légales en vertu des lois sur la protection des données. La société reconnaît que les mesures de sécurité sont soumises aux progrès et au développement techniques et que Gmelius peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des services achetés par la société.
6.3. Responsabilités de l'entreprise. Nonobstant ce qui précède, la Société convient que, sauf dans les cas prévus par le présent DPA, la Société est responsable de son utilisation sécurisée des Services, notamment de la sécurisation des informations d'authentification de son compte, de la protection de la sécurité des Données de l'entreprise lors du transit vers et depuis les Services et de la prise de toutes les mesures appropriées pour crypter ou sauvegarder en toute sécurité les Données de la société téléchargées vers les Services.
7. Obligations de Gmelius en tant que sous-traitant ou sous-traitant
7.1. Gmelius aura les obligations énoncées dans la présente Section 7 si elle traite des données personnelles en sa qualité de processeur de la société ; pour plus de clarté, ces obligations ne s'appliquent pas à Gmelius en sa qualité de responsable du traitement, d'entreprise ou de tiers.
7.2. Étendue du traitement. Gmelius traitera les données de l'entreprise uniquement aux fins décrites dans le présent DPA et uniquement conformément aux instructions légales et documentées de la société. Les parties conviennent que le présent DPA et l'Accord énoncent les instructions complètes et finales de la Société à Gmelius en ce qui concerne le traitement des données de la société dans le cadre de l'Accord et que le traitement en dehors du champ d'application de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre la Société et Gmelius. Il est interdit à Gmelius de : (i) vendre les données de l'entreprise ; (ii) conserver, utiliser ou divulguer les données de l'entreprise à des fins autres que dans le but spécifique de fournir les services spécifiés dans l'accord, y compris de conserver, d'utiliser ou de divulguer les données de l'entreprise à des fins commerciales autres que la fourniture des services spécifiés dans le contrat ; ou (iii) de conserver, d'utiliser ou de divulguer les données de l'entreprise en dehors de la relation commerciale directe entre la société et Gmelius. Gmelius informera rapidement la société si le fait de suivre les instructions de la société entraînerait une violation de la loi sur la protection des données ou si Gmelius doit divulguer les données de la société en réponse à une obligation légale, sauf si l'obligation légale interdit à Gmelius de faire une telle divulgation. Nonobstant toute disposition contraire dans cette section, Gmelius peut traiter les données de l'entreprise si nécessaire pour détecter les incidents de sécurité des données ou se protéger contre les activités frauduleuses ou illégales et pour créer ou améliorer la qualité de ses produits et services, à condition que dans le cadre de ces activités, Gmelius n'autorise aucun tiers (autre que les fournisseurs de services de Gmelius ou sauf instruction de la société) à accéder aux données de l'entreprise ou (ii) n'utilise les données de la société pour modifier ou ajouter aux informations personnelles qu'elle a collectées auprès d'une source autre que la Société. En signant cet addendum, Gmelius certifie qu'elle comprend et respectera les obligations énoncées dans le présent document.
7.3. Demandes d'exercice des droits des personnes concernées. Gmelius informera rapidement la Société si Gmelius reçoit une demande d'une personne concernée visant à exercer ses droits en ce qui concerne ses données personnelles en vertu de la législation applicable en matière de protection des données. La société sera chargée de répondre à ces demandes. Gmelius ne répondra pas à ces personnes concernées, sauf pour accuser réception de leurs demandes. Gmelius fournira à la Société une assistance commercialement raisonnable, sur demande, pour aider la Société à répondre à la demande d'une personne concernée.
7.4. Sous-processeurs de Gmelius.
- Sous-processeurs existants. La société accepte que Gmelius puisse utiliser les sous-traitants énumérés à l'annexe 1.
- Recours à des sous-traitants. La société accorde à Gmelius l'autorisation générale d'engager des sous-traitants si Gmelius et ces sous-traitants concluent un accord obligeant le sous-traitant à respecter des obligations qui ne sont pas moins protectrices que ce DPA.
- Notification des ajouts ou des modifications aux sous-traitants. Gmelius (i) fournira une liste à jour des sous-traitants qu'elle a désignés sur demande écrite de la Société à https://gmelius.com/legal/dpa; et (ii) informer la Société (e-mail suffisant) si elle ajoute ou modifie des Sous-traitants au moins 10 jours calendaires avant ces modifications. La société peut s'opposer par écrit à la nomination par Gmelius d'un sous-traitant nouveau ou modifié dans les cinq (5) jours calendaires suivant cette notification, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans un tel cas, les parties discuteront de ces préoccupations de bonne foi en vue de parvenir à une solution. Si cela n'est pas possible, la Société peut suspendre ou résilier le Contrat (sans préjudice des frais encourus par la Société avant la suspension ou la résiliation).
- Responsabilité des sous-traitants. Gmelius sera responsable des actes ou omissions de ses sous-traitants dans la même mesure que Gmelius serait responsable si elle fournissait les services du sous-traitant directement dans le cadre du DPA, sauf disposition contraire dans le Contrat.
7.5. Violation de données personnelles. Gmelius informera la Société dans les meilleurs délais d'une violation de données personnelles affectant les données personnelles que Gmelius Processes en relation avec les Services. Sur demande, Gmelius fournira à la Société des informations sur la violation des données personnelles dans la mesure nécessaire pour que la Société puisse remplir ses obligations d'enquêter ou de notifier les autorités, sauf que Gmelius se réserve le droit de supprimer des informations confidentielles ou sensibles sur le plan de la concurrence. La société convient que la notification par e-mail d'une violation de données personnelles est suffisante et la société informera Gmelius si elle modifie ses coordonnées. La Société accepte que Gmelius ne puisse pas informer la Société des événements liés à la sécurité qui n'entraînent pas de violation des données personnelles ou n'affectent pas les processus de Gmelius relatifs aux données personnelles en relation avec les Services.
7.6. Suppression et retour des données personnelles. À la résiliation ou à l'expiration du Contrat, Gmelius supprimera, à la demande de la Société (après avoir permis à la Société de télécharger, conformément au Contrat) toutes les données de l'entreprise (y compris des copies) en sa possession ou sous son contrôle, sauf que cette exigence ne s'appliquera pas dans la mesure où Gmelius est tenue par la loi applicable de conserver tout ou partie des Données de la Société, que Gmelius isolera et protégera de manière sécurisée contre tout traitement ultérieur, sauf dans la mesure requise par le loi.
7,7. Vérification de conformité. Sur demande raisonnable, Gmelius vérifiera sa conformité à ce DPA, à condition que la Société n'exerce pas ce droit plus d'une fois par an.
Annexe 1
Description du traitement et des sous-traitants
Sous-processeurs
La société autorise Gmelius à utiliser les sous-traitants énumérés ci-dessous conformément à la section 7.4.
Annexe 2
Mesures de sécurité techniques et organisationnelles de Gmelius
Gmelius met en place des garanties administratives, physiques et techniques conçues pour protéger la sécurité, la confidentialité et l'intégrité des données personnelles du client traitées par Gmelius dans le cadre des Services, comme décrit ici : https://gmelius.com/legal/security
Annexe A
Clauses contractuelles types
Article 7: Les parties n'autorisent pas l'amarrage.
Article 9, module 2 (a): Les parties choisissent l'option 2. Le délai est de 5 jours.
Article 9, module 3 (a): Les parties choisissent l'option 2. Le délai est de 5 jours.
Article 11 (a): Les parties ne choisissent pas l'option de résolution indépendante des litiges.
Article 17: Les parties conviennent que la juridiction compétente est l'État membre dans lequel l'exportateur de données est établi.
Article 18: Pour les modules 1 à 3, les parties conviennent que le forum est l'État membre dans lequel l'exportateur de données est établi.
Annexe I (A): L'exportateur de données est la société. L'importateur de données est Gmelius. Les coordonnées des parties font partie de l'accord.
Annexe I (B): Les parties conviennent que l'annexe 1 décrit le transfert.
Annexe I (C): L'autorité de surveillance compétente est l'autorité de surveillance qui exerce la juridiction principale sur l'exportateur de données.
Annexe II: Les parties conviennent que l'annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
Localisation des clauses contractuelles types
Pour la Suisse
- Les parties adoptent la norme RGPD pour tous les transferts de données.
- Clause 13 et annexe I (C) : Les autorités compétentes en vertu de la clause 13 et de l'annexe I (C) sont le commissaire fédéral à la protection des données et à l'information et, simultanément, l'autorité de l'État membre de l'EEE identifiée ci-dessus.
- Clause 17 : Les parties conviennent que la juridiction compétente est l'État membre dans lequel l'exportateur de données est établi.
- Clause 18 : Pour les modules 1 à 3, les parties conviennent que le forum est l'État membre dans lequel l'exportateur de données est établi. Les parties conviennent d'interpréter les clauses contractuelles types de manière à ce que les personnes concernées en Suisse puissent intenter une action en justice pour faire valoir leurs droits en Suisse conformément à la clause 18 (c).
- Les parties conviennent d'interpréter les clauses contractuelles types de telle sorte que les « personnes concernées » incluent des informations sur les entités juridiques suisses jusqu'à l'entrée en vigueur de la loi fédérale révisée sur la protection des données.
Pour le Royaume-Uni
- Les parties conviennent que les clauses contractuelles types sont considérées comme modifiées dans la mesure nécessaire pour qu'elles s'appliquent aux transferts depuis le Royaume-Uni vers un pays tiers et fournissent des garanties appropriées pour les transferts conformément à l'article 46 du règlement général sur la protection des données du Royaume-Uni (« RGPD britannique »). Ces modifications incluent la modification des références au RGPD au RGPD britannique et la modification des références aux États membres de l'UE au Royaume-Uni.
- Clause 17 : Les parties conviennent que la juridiction compétente est le Royaume-Uni.
- Clause 18 : Pour les modules 1 à 3, les parties conviennent que le forum est celui des tribunaux d'Angleterre et du Pays de Galles. Les parties conviennent que les personnes concernées peuvent intenter des poursuites judiciaires contre l'une ou l'autre des parties devant les tribunaux de n'importe quel pays du Royaume-Uni.