Accord de traitement des données

1. Introduction & Champ d'application

Cet Accord de Traitement des Données (« DPA ») est incorporé et fait partie intégrante des Conditions d'Utilisation (« Accord ») entre Strion Inc. (« Société », « nous », « notre ») et le client (« Client », « vous », « votre ») pour l'utilisation de la plateforme software-as-a-service Adrow (« Service »). Ce DPA s'applique dans la mesure où nous traitons des Données Personnelles Client en votre nom en tant que Sous-traitant dans le cadre de la fourniture du Service. Ce DPA prend effet pour la durée de l'Accord.

2. Définitions

Les termes en majuscules utilisés mais non définis dans ce DPA ont les significations énoncées dans l'Accord. Dans ce DPA, les termes suivants ont les significations définies ci-dessous :

• « Législation applicable en matière de protection des données » désigne toutes les lois et réglementations applicables au traitement des Données Personnelles en vertu de l'Accord, y compris mais sans s'y limiter le Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »).
• « Responsable du traitement » a le sens qui lui est donné dans le RGPD.
• « Données Personnelles Client » désigne toute Donnée Personnelle que la Société traite pour le compte du Client en tant que Sous-traitant dans le cadre de la fourniture du Service.
• « Personne concernée » a le sens qui lui est donné dans le RGPD.
• « Données Personnelles » a le sens qui lui est donné dans le RGPD.
• « Sous-traitant » a le sens qui lui est donné dans le RGPD.
• « Incident de Sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Personnelles Client, de manière accidentelle ou illicite.
• « Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil, telles qu'adoptées par la Commission européenne.
• « Sous-traitant ultérieur » désigne tout tiers engagé par la Société pour traiter les Données Personnelles Client.

3. Rôles et Responsabilités

Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des Données Personnelles Client, le Client est le Responsable du traitement et Strion Inc. est le Sous-traitant. Le Client est seul responsable du respect de ses obligations en tant que Responsable du traitement en vertu de la Législation applicable en matière de protection des données, y compris mais sans s'y limiter la licéité du traitement et l'exactitude des Données Personnelles Client. La Société traite les Données Personnelles Client uniquement pour le compte du Client et conformément aux instructions documentées du Client.

4. Champ d'application et Finalité du traitement

La Société traite les Données Personnelles Client dans le seul but de fournir, maintenir et améliorer le Service tel que décrit dans l'Accord. L'objet, la durée, la nature et la finalité du traitement, ainsi que les types de Données Personnelles et les catégories de Personnes concernées, sont déterminés par l'utilisation du Service par le Client.

5. Sous-traitance ultérieure

Le Client donne une autorisation générale à la Société pour engager des Sous-traitants ultérieurs pour traiter les Données Personnelles Client. La Société maintiendra une liste de ses Sous-traitants ultérieurs actuels, qui sera mise à la disposition du Client sur demande. La Société notifiera le Client de tout changement prévu concernant l'ajout ou le remplacement de Sous-traitants ultérieurs, donnant ainsi au Client la possibilité de s'opposer à ces changements. Si le Client a une base raisonnable pour s'opposer à un nouveau Sous-traitant ultérieur, les parties négocieront de bonne foi pour trouver une résolution. La Société imposera à ses Sous-traitants ultérieurs des obligations de protection des données qui ne sont pas moins protectrices que celles de ce DPA.

6. Droits des personnes concernées

Dans la mesure où le Client n'est pas en mesure d'accéder de manière indépendante aux Données Personnelles Client pertinentes au sein du Service, la Société fournira, en tenant compte de la nature du traitement, une assistance raisonnable au Client pour lui permettre de répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu de la Législation applicable en matière de protection des données. Cette assistance sera fournie aux frais exclusifs du Client.

7. Mesures de sécurité

La Société mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles Client contre les Incidents de Sécurité et pour préserver la sécurité et la confidentialité des Données Personnelles Client. Ces mesures sont conçues pour empêcher l'accès, l'utilisation, l'altération ou la divulgation non autorisés des Données Personnelles Client. Le Client reconnaît que ces mesures sont soumises au progrès technique et au développement et que la Société peut les mettre à jour ou les modifier de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation importante de la sécurité globale du Service.

8. Notification d'incident de sécurité

Dès qu'elle a connaissance d'un Incident de Sécurité, la Société notifiera le Client sans retard injustifié. La notification décrira, dans la mesure du possible, la nature de l'Incident de Sécurité, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de Données Personnelles concernés, les conséquences probables de l'Incident de Sécurité et les mesures prises ou proposées par la Société pour traiter l'Incident de Sécurité. La notification ou la réponse de la Société à un Incident de Sécurité en vertu de cette Section ne doit pas être interprétée comme une reconnaissance par la Société de toute faute ou responsabilité en ce qui concerne l'Incident de Sécurité.

9. Transferts internationaux de données

La Société peut transférer et traiter les Données Personnelles Client en dehors de l'Espace économique européen (« EEE »). Dans la mesure où le transfert de Données Personnelles Client est soumis au RGPD et où le pays de destination n'est pas couvert par une décision d'adéquation de la Commission européenne, ces transferts seront régis par les Clauses Contractuelles Types, qui sont réputées incorporées dans ce DPA par référence. Le Client est réputé avoir exécuté les CCT en tant que « exportateur de données » et la Société en tant que « importateur de données ».

10. Audits

Le Client peut, sur demande raisonnable et à ses propres frais, auditer la conformité de la Société à ses obligations en vertu de ce DPA. Pour faciliter un tel audit, la Société mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité, y compris des résumés de ses rapports d'audit tiers les plus récents (par exemple, SOC 2). Les audits directs des installations ou systèmes de la Société ne sont pas autorisés.

11. Limitation de responsabilité

La responsabilité de chaque partie découlant de ou liée à ce DPA est soumise aux limitations de responsabilité énoncées dans l'Accord. La responsabilité totale de la Société pour toutes les réclamations du Client découlant de ou liées à ce DPA ne dépassera pas le montant total des frais payés par le Client à la Société en vertu de l'Accord au cours des douze (12) mois précédant l'événement donnant lieu à la réclamation.

12. Durée, Résiliation & Restitution des données

Ce DPA restera en vigueur aussi longtemps que la Société traitera des Données Personnelles Client pour le compte du Client en vertu de l'Accord. À la résiliation ou l'expiration de l'Accord, la Société, au choix du Client, supprimera ou restituera toutes les Données Personnelles Client au Client, sauf si la loi applicable exige le stockage des Données Personnelles. Le Client peut exporter ses données du Service à tout moment pendant la durée de l'Accord.