Accord sur le traitement des données - Flux Panda Inc.

Le présent accord sur le traitement des données (ci-après dénommé "l'accord") fait partie du contrat relatif aux services suivants

Services (le "Contrat principal") entre Flux Panda Inc. (le " Responsable du traitement des données " ou "Flux Panda") et l'entité cliente qui est partie au Contrat (la " Société ", le " Client " ou " vous ") (ensemble, les "Parties").

ATTENDU QUE

(A) La Société, un client de Flux Panda , agit en tant que contrôleur de données, et Flux Panda agit en tant que processeur de données.

(B) La Société souhaite sous-traiter certains Services, qui impliquent le traitement de données personnelles, au Responsable du traitement.

(C) Les Parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences du cadre juridique actuel en matière de traitement des données et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

(D) Les parties souhaitent fixer leurs droits et obligations.

IL EST CONVENU CE QUI SUIT :

1. Définitions et interprétation

1.1 Sauf définition contraire, les termes et expressions en majuscules utilisés dans le présent accord ont la signification suivante :

1.1.1 " Convention " signifie la présente Convention sur le traitement des données et toutes les annexes ;

1.1.2 " Données personnelles de la Société " signifie toutes les Données personnelles traitées par un Processeur sous contrat pour le compte de la Société conformément à ou en relation avec l'Accord principal ;

1.1.3 " sous-traitant sous contrat " signifie un sous-traitant secondaire ;

1.1.4 "Lois sur la protection des données" signifie les lois européennes sur la protection des données et, dans la mesure où elles sont applicables, les lois sur la protection des données ou la confidentialité de tout autre pays ;

1.1.5 "EEE" désigne l'Espace économique européen ;

1.1.6 " Lois de l'UE sur la protection des données " désigne la directive 95/46/CE de l'UE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou supplantée de temps à autre, y compris par le GDPR et les lois mettant en œuvre ou complétant le GDPR ;

1.1.7 " GDPR " désigne le règlement général de l'UE sur la protection des données 2016/679 ;

1.1.8 " Transfert de données " signifie :

1.1.8.1 un transfert de données personnelles de la société de la société à un sous-traitant sous contrat ; ou

1.1.8.2 un transfert ultérieur de Données à caractère personnel de la Société d'un Responsable du traitement sous contrat à un Responsable du traitement sous-traité, ou entre deux établissements d'un Responsable du traitement sous contrat, dans chaque cas, lorsqu'un tel transfert serait interdit par les Lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour traiter les restrictions de transfert de données des Lois sur la protection des données) ;

1.1.9 " Services " désigne les services SaaS de commerce électronique et de vidéo fournis par le responsable du traitement des données.

1.1.10 "Sous-traitant" signifie toute personne désignée par ou au nom de Flux Panda pour traiter les Données Personnelles au nom de la Société dans le cadre de l'Accord.

1.2 Les termes "Commission", "Contrôleur", "Personne concernée", "État membre", "Données à caractère personnel", "Violation de données à caractère personnel", "Traitement" et "Autorité de contrôle" ont la même signification que dans le GDPR, et les termes correspondants doivent être interprétés en conséquence.

2. Traitement des données personnelles de l'entreprise

2.1 Le processeur doit :

2.1.1 se conformer à toutes les lois applicables en matière de protection des données dans le cadre du traitement des données personnelles de la Société ; et

2.1.2 ne pas traiter les données personnelles de la société autrement que sur la base des instructions documentées de la société concernée.

2.2 La Société charge le Processeur de traiter les Données Personnelles de la Société.

3. Personnel du processeur

Le Responsable du traitement prend des mesures raisonnables pour s'assurer de la fiabilité de tout employé, agent ou sous-traitant de tout Responsable du traitement sous contrat qui peut avoir accès aux Données à caractère personnel de la Société, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de connaître/accéder aux Données à caractère personnel de la Société concernées, comme strictement nécessaire aux fins de l'Accord principal, et pour se conformer aux Lois applicables dans le cadre des fonctions de cette personne auprès du Responsable du traitement sous contrat, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.

4. Sécurité

4.1 En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Processeur met en œuvre, en ce qui concerne les Données à caractère personnel de la Société, des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du GDPR.

4.2 Lors de l'évaluation du niveau de sécurité approprié, le Responsable du traitement tient compte en particulier des risques que présente le Traitement, notamment en cas de violation de données à caractère personnel.

5. Sous-traitement

5.1 Le Responsable du traitement ne doit pas nommer (ou divulguer) de Données à caractère personnel de la Société à un Sous-traitant, sauf si cela est requis ou autorisé par la Société.

6. Droits des personnes concernées

6.1 Compte tenu de la nature du Traitement, le Processeur doit aider la Société en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement des obligations de la Société, telles que raisonnablement comprises par la Société, pour répondre aux demandes d'exercice des droits des Personnes concernées en vertu des Lois sur la protection des données.

6.2 Le processeur doit :

6.2.1 informer rapidement la Société si elle reçoit une demande d'une personne concernée en vertu de toute loi sur la protection des données concernant les données personnelles de la Société ; et

6.2.2 s'assurer qu'il ne répond pas à cette demande, sauf sur les instructions documentées de la Société ou comme l'exigent les lois applicables auxquelles le sous-traitant est soumis, auquel cas le sous-traitant doit, dans la mesure où les lois applicables le permettent, informer la Société de cette exigence légale avant que le sous-traitant sous contrat ne réponde à la demande.

7. Violation de données personnelles

7.1 Le Processeur doit notifier la Société sans retard excessif dès que le Processeur a connaissance d'une violation de données personnelles affectant les données personnelles de la Société, en fournissant à la Société des informations suffisantes pour permettre à la Société de satisfaire à toute obligation de signaler ou d'informer les personnes concernées par la violation de données personnelles en vertu des lois sur la protection des données.

7.2 Le Processeur doit coopérer avec la Société et prendre des mesures commerciales raisonnables selon les instructions de la Société pour aider à l'enquête, à l'atténuation et à la réparation de chaque violation de données personnelles.

8. Évaluation de l'impact sur la protection des données et consultation préalable Le Processeur doit fournir une assistance raisonnable à la Société pour toute évaluation de l'impact sur la protection des données et toute consultation préalable des autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement comme requises par l'article 35 ou 36 du GDPR ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le Traitement des Données personnelles de la Société par les Processeurs sous contrat, et en tenant compte de la nature du Traitement et des informations dont ils disposent.

9. Suppression ou restitution des données personnelles de l'entreprise

9.1 Sous réserve de la présente section 9, le Processeur doit rapidement et, en tout état de cause, dans les délais suivants

10 jours ouvrables après la date de cessation de tout service impliquant le traitement de données personnelles de la société (la "date de cessation"), supprimer et faire supprimer toutes les copies de ces données personnelles de la société.

10. Droits d'audit

10.1 Sous réserve de la présente section 10, le Responsable du traitement met à la disposition de la Société, sur demande, toutes les informations nécessaires pour démontrer le respect du présent Accord, et permet et contribue aux audits, y compris les inspections, par la Société ou un auditeur mandaté par la Société en ce qui concerne le Traitement des Données personnelles de la Société par les Responsables du traitement sous contrat.

10.2 Les droits d'information et d'audit de la Société ne découlent de la section 10.1 que dans la mesure où l'Accord ne leur confère pas autrement des droits d'information et d'audit répondant aux exigences pertinentes de la loi sur la protection des données.

11. Transfert de données

11.1 Le Responsable du traitement ne peut transférer ou autoriser le transfert de données vers des pays situés en dehors de l'UE et/ou de l'Espace économique européen (EEE) sans le consentement écrit préalable de la Société. Si les données à caractère personnel traitées en vertu du présent Accord sont transférées d'un pays de l'Espace économique européen vers un pays situé en dehors de l'Espace économique européen, les Parties s'assurent que les données à caractère personnel sont protégées de manière adéquate. Pour ce faire, les Parties s'appuient, sauf accord contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert de données à caractère personnel.

12. Conditions générales

12.1 Confidentialité. Chaque partie doit préserver la confidentialité du présent accord et des informations qu'elle reçoit au sujet de l'autre partie et de ses activités dans le cadre du présent accord ("Informations confidentielles") et ne doit pas utiliser ou divulguer ces Informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf dans la mesure où :

(a) la divulgation est exigée par la loi ;

(b) les informations pertinentes sont déjà dans le domaine public.

12.2 Avis. Tous les avis et communications donnés en vertu du présent contrat doivent être faits par écrit et seront remis en mains propres, envoyés par la poste ou envoyés par courrier électronique à l'adresse ou à l'adresse électronique indiquée dans l'en-tête du présent contrat, à toute autre adresse notifiée de temps à autre par les parties qui changent d'adresse.

13. Droit applicable et juridiction

13.1 Le présent accord est régi par les lois de l'État du Delaware. Le présent DPA est régi et interprété conformément aux dispositions relatives à la loi applicable et à la juridiction compétente figurant dans l'accord, sauf disposition contraire des lois applicables en matière de protection des données.

13.2 Tout litige relatif au présent accord, que les parties ne parviendraient pas à résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux de l'État membre du contrôleur de données, sous réserve d'un recours possible auprès de l'État membre du contrôleur de données.