Avenant sur le traitement des données de Vantage Circle
Avenant sur la protection des données de Vantage Circle (Incluant le RGPD, les règles d’entreprise contraignantes de Vantage Circle, le Privacy Shield, et les clauses contractuelles types)
Avenant sur la protection des données
Dans le cadre de la fourniture de nos services, Vantage Circle peut être amené à traiter des données personnelles pour le compte de nos clients, conformément aux réglementations européennes sur la protection des données, telles que le RGPD. Pour cela, nous mettons à disposition un Addendum de Protection des Données (DPA). Ce DPA devient contraignant et effectif uniquement lorsque (1) il est formellement signé par les nouveaux clients, et (2) le signataire est client de Vantage Circle à la date de signature complète. En raison de notre large base clientèle, il n’est pas possible de personnaliser cet avenant pour des clients individuels.
1. Définitions
“Affilié” Désigne toute entité qui exerce un contrôle, direct ou indirect, est contrôlée par, ou est sous contrôle commun avec l’entité en question. Le terme « contrôle » signifie ici la détention, directe ou indirecte, de plus de 50 % des droits de vote de l’entité concernée.
“Contrat” Se réfère aux Conditions d’utilisation de Vantage Circle ou au Contrat de Service (selon le cas), y compris tout Bon de Commande, régissant collectivement la fourniture des services au Client.
“Données Client” Englobe toutes les données personnelles que Vantage Circle traite pour le compte du client en tant que processeur de données dans le cadre de la fourniture des services.
“Lois sur la Protection des Données” Inclut toutes les législations sur la protection des données et la confidentialité qui s’appliquent au traitement des données personnelles par Vantage Circle en vertu de l’Accord, y compris, lorsque pertinent, la législation européenne sur la protection des données.
“Contrôleur de données” Désigne l’entité qui détermine les finalités et les moyens du traitement des données personnelles.
” Processeur de données “ Désigne une entité qui traite des données personnelles pour le compte d’un contrôleur de données.
“Personne concernée” réfère à l’individu identifié ou identifiable auquel se rapportent les données personnelles.
“Lois et réglementations sur la protection des données “ Englobe toutes les lois et réglementations, y compris celles de l’Union européenne, de l’Espace économique européen, de leurs États membres, de la Suisse et du Royaume-Uni, applicables au traitement des données personnelles sous le Contrat.
“RGPD” Désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et à la libre circulation de ces données, qui abroge la Directive 95/46/CE.
“Données personnelles” Toute information relative à une personne physique identifiée ou identifiable.
“Traitement” Comprend toutes les opérations ou ensembles d’opérations effectuées sur des données personnelles, comme défini dans le RGPD. Les termes “traiter”, “traité” et “traite” doivent être interprétés en conséquence.
“Incident de sécurité” Toute violation de la sécurité qui entraîne la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données client, de manière accidentelle ou illégale.
“Services” Désigne tous les produits ou services fournis par Vantage Circle au client, conformément au Contrat.
“Sous-traitant Ultérieur” Tout processeur de données engagé par Vantage Circle ou ses affiliés pour aider à remplir les obligations de fourniture des services en vertu de l’accord ou du présent ATD.
2. Traitement des données personnelles
“Rôles des parties” Les parties reconnaissent que, dans le traitement des données personnelles, le client agit en tant que contrôleur de données et Vantage Circle en tant que sous-traitant. Vantage Circle, ainsi que les membres du groupe Vantage Circle, engagent des sous-traitants ultérieurs, conformément aux dispositions de la section 5 “Sous-traitants ultérieurs”.
“Traitement des données personnelles par le client” Le client est tenu de traiter les données personnelles en accord avec les exigences légales et réglementaires en matière de protection des données. Il est de la responsabilité du client de s’assurer que les instructions pour le traitement des données personnelles respectent ces normes. Le client est également responsable de l’exactitude, de la qualité, et de la légalité des données personnelles qu’il collecte.
“Traitement des données personnelles par Vantage Circle” Vantage Circle traitera les données personnelles de manière confidentielle et uniquement sur instruction documentée du client pour les besoins suivants : (i) exécution conforme à l’accord et aux bons de commande applicables; (ii) traitement initié par les utilisateurs dans le cadre de l’utilisation des services; et (iii) conformité avec d’autres instructions documentées du client compatibles avec les termes de l’accord.
“Détails du traitement” Le traitement des données personnelles par Vantage Circle vise à fournir les services stipulés dans l’accord. Les détails tels que la durée, la nature, la finalité du traitement, les types de données personnelles, et les catégories de personnes concernées sont spécifiés dans l’Annexe 4 “Détails du traitement”.
3. Droits des personnes concernées
“Demande de la personne concernée” Vantage Circle, dans le cadre légal, doit informer le client sans délai si une demande d’exercice des droits de la personne concernée (accès, rectification, limitation du traitement, effacement, portabilité des données, opposition au traitement, et droit de ne pas être soumis à une décision automatisée) est reçue. Vantage Circle soutiendra techniquement et organisationnellement le client pour répondre à ces demandes, dans la mesure du possible. Si le client ne peut pas répondre directement, Vantage Circle s’efforcera, sur demande, d’assister raisonnablement le client, tant que cela est légalement permis et requis par la réglementation. Les coûts associés à cette assistance, si permis par la loi, seront à la charge du client.
4. Détails du traitement des données
“Types de données personnelles traitées” Les catégories de données personnelles traitées sont définies par le client et peuvent comprendre : noms, détails professionnels, coordonnées, informations professionnelles, données de localisation, et identifiants d’appareils.
“Catégories spéciales de données personnelles” Les données sensibles traitées sont également déterminées par le client et peuvent inclure des données sur l’origine ethnique, les opinions politiques ou religieuses, la santé, etc.
“Nature des opérations de traitement” Vantage Circle traite les données nécessaires pour fournir ses services d’abonnement, conformément à l’accord. Le traitement peut inclure la collecte, l’organisation, le stockage, l’utilisation, la transmission, et d’autres actions nécessaires pour fournir ces services, selon les spécifications de l’accord et les configurations du client.
5. Sous-traitement
“Nomination de sous-traitants” Le client accepte que Vantage Circle et ses affiliés puissent engager des sous-traitants pour contribuer à la prestation des services. Ces sous-traitants peuvent inclure les affiliés de Vantage Circle ainsi que des tiers. Chaque sous-traitant engagé par Vantage Circle ou ses filiales disposera d’un accord écrit qui impose des mesures de protection des données personnelles au moins aussi protectrices que celles stipulées dans cet accord, adaptées aux services spécifiques qu’ils fournissent.
“Responsabilité des sous-traitants” Vantage Circle assume la responsabilité complète des actions et des manquements de ses sous-traitants, comme si Vantage Circle réalisait elle-même les services directement. Cette responsabilité est maintenue sauf clause contraire spécifiée dans le présent accord ou dans les conditions supplémentaires du contrat de sous-traitance.
Le client autorise généralement Vantage Circle à engager des sous-traitants ultérieurs, à condition que les exigences suivantes soient respectées :
(a) Vantage Circle restreindra l’accès du sous-traitant ultérieur au contenu du client strictement au nécessaire pour la prestation des services. De plus, Vantage Circle interdira à ce sous-traitant de traiter les données personnelles à des fins autres que celles nécessaires à la fourniture des services.
(b) Vantage Circle s’engage à imposer des obligations contractuelles de protection des données, y compris des mesures techniques et organisationnelles adaptées, à tout sous-traitant qu’elle engage. Ces obligations garantiront que le sous-traitant protège le contenu du client conformément aux standards requis par la loi sur la protection des données applicable.
(c) Vantage Circle conservera l’entière responsabilité pour toute violation résultant d’actes, d’erreurs ou d’omissions de ses sous-traitants ultérieurs.
Le sous-traitant (Vantage Circle) ne pourra engager un autre sous-traitant (ci-après désigné « sous-traitant secondaire ») pour réaliser tout ou partie des activités de traitement confiées par les fournisseurs sans une autorisation écrite préalable de ces derniers.
À cette fin, le sous-traitant devra informer les fournisseurs par écrit de (i) l’identité du sous-traitant secondaire, (ii) l’emplacement du sous-traitant secondaire, et (iii) le lieu où les activités de traitement par le sous-traitant secondaire sont effectuées.
Les fournisseurs ont la possibilité de (i) refuser un sous-traitant secondaire ou (ii) d’accepter le sous-traitant secondaire sous certaines conditions.
Cette même procédure s’appliquera de manière identique (« mutatis mutandis ») à tout remplacement d’un sous-traitant secondaire déjà autorisé.
Le sous-traitant secondaire sera tenu aux mêmes obligations que le sous-traitant principal. En conséquence, il doit respecter toutes les obligations mentionnées dans cet avenant de protection des données, ainsi que celles applicables au sous-traitant en vertu du RGPD et de toute autre réglementation pertinente en matière de protection des données. Ces obligations doivent être imposées au sous-traitant secondaire par écrit, via un contrat.
Le sous-traitant garantira que le sous-traitant secondaire respecte strictement toutes les obligations stipulées dans cet avenant de protection des données. Le sous-traitant restera en toute circonstance pleinement responsable devant les fournisseurs de Vantage Circle pour l’exécution fidèle et ponctuelle de ces obligations par le sous-traitant secondaire.
Vantage Circle communiquera tout changement concernant les sous-traitants dès que raisonnablement possible. Concernant les modifications apportées aux fournisseurs d’infrastructure, Vantage Circle s’efforcera de fournir un préavis écrit soixante (60) jours avant tout changement, et en tout cas, fournira un préavis d’au moins trente (30) jours avant un tel changement. Pour les autres sous-traitants de Vantage Circle, un préavis de trente (30) jours sera également tenté, avec un préavis minimal de dix (10) jours avant tout changement.
Liste des sous-traitants
1.Digital Ocean.
2. Mandrill.
3. MSG91.
4. Spark Post.
5. Cloudinary.
6. Hubspot.
7. Amazon Web Services.
6. Sécurité
Mesures de protection des données clients” Vantage Circle est tenu de mettre en place et de maintenir des mesures techniques et organisationnelles adéquates pour assurer la sécurité des données clients (incluant la protection contre les traitements non autorisés ou illégaux, la destruction, la perte, l’altération, les dommages, la divulgation ou l’accès non autorisé aux données), ainsi que leur confidentialité et leur intégrité, telles que définies dans la documentation relative à la sécurité, à la confidentialité et à l’architecture. Vantage Circle effectue des contrôles réguliers pour assurer la conformité avec ces mesures et s’engage à ne pas réduire significativement le niveau de sécurité global des services durant la période d’abonnement.
“Certifications et audits externes” Vantage Circle a acquis des certifications et a été soumis à des audits par des tiers, comme spécifié dans la documentation sur la sécurité et la confidentialité. Sur demande écrite du client, à intervalles raisonnables et conformément aux obligations de confidentialité stipulées dans le contrat, Vantage Circle fournira au client, qui ne doit pas être un concurrent de Vantage Circle (ou à un auditeur indépendant représentant le client, à condition qu’il ne soit pas un concurrent), une copie des audits ou des certifications les plus récents effectués sur Vantage Circle, si applicable.
7. Gestion et notification des incidents liés aux données client
Vantage Circle maintient des politiques et des procédures de gestion des incidents de sécurité telles que spécifiées dans notre documentation sur la sécurité, la confidentialité, et l’architecture. Nous devons informer le client sans retard injustifié après avoir pris connaissance de tout incident impactant les données clients, qu’il s’agisse de destruction accidentelle ou illégale, de perte, d’altération, de divulgation non autorisée ou d’accès non autorisé aux données clients, y compris les données personnelles traitées par Vantage Circle ou ses sous-traitants. Vantage Circle s’efforcera de déterminer la cause de l’incident et prendra les mesures jugées nécessaires et raisonnables pour y remédier, dans la mesure où cela est raisonnablement dans notre contrôle. Les obligations décrites ici ne s’appliquent pas aux incidents causés par le Client ou les utilisateurs du Client.
8. Retour et suppression des données client
Vantage Circle restituera ou supprimera les données clients conformément aux souhaits du client et, dans la mesure permise par la loi applicable, supprimera les données clients selon les procédures et délais spécifiés dans la documentation sur la Sécurité, la Confidentialité et l’Architecture.
(a) Services de Vantage Circle : Avant la fin du contrat, Vantage Circle traitera le contenu client stocké pour les usages autorisés jusqu’à ce que le client décide de supprimer ce contenu via les services. Le client reconnaît qu’il est le seul responsable de la suppression du contenu client via les services. À la résiliation du contrat, Vantage Circle offrira au client un délai de trente (30) jours après la date d’effet de la résiliation pour récupérer une copie de tout contenu client stocké via les services.
À la résiliation du contrat, Vantage Circle, selon le choix du client, supprimera ou restituera au client le contenu client (y compris les copies) stocké dans tout service et interface de programmation d’applications marquée sous la marque Vantage Circle.
Vantage Circle traitera les données de compte client aussi longtemps que nécessaire pour (a) fournir les services au client ; (b) répondre aux besoins commerciaux légitimes de Vantage Circle ; ou (c) conformément à la loi ou la réglementation applicable. Les données de compte client seront stockées conformément à la notice de confidentialité de Vantage Circle. Vantage Circle anonymisera ou supprimera les données d’utilisation du client lorsque celles-ci ne seront plus nécessaires aux fins prévues.