Accord SmartFocus sur le traitement de données (avec les clauses contractuelles types de l’UE)
Accord SmartFocus sur le traitement de données (avec les clauses contractuelles types de l’UE)
Ceci est l’Accord sur le traitement de données mentionné dans le Contrat entre SmartFocus et vous, notre Client, qui énonce les obligations des deux parties concernant le traitement et l’utilisation de vos Données Personnelles Client dans le cadre de nos Services.
1. RELATION ET LOIS SUR LA PROTECTION DES DONNÉES
1.1. Relation. Pour le traitement des Données Personnelles Client dans le cadre des Services, vous serez le responsable du traitement et SmartFocus sera le sous-traitant.
1.2. Nos obligations envers vous. Lors du traitement des Données personnelles Client dans le cadre des Services, SmartFocus se conformera aux obligations des sous-traitants en vertu des Lois sur la Protection des Données et des termes du présent Contrat.
1.3. Vos obligations envers nous. Vous devez à tout moment respecter toutes les Lois sur la protection des données relatives au traitement des Données Personnelles Client lors de l’utilisation des Services, ainsi que les conditions du présent Accord. Cela comprend (sans s’y limiter) que vous acceptez et garantissez que :
(a) Les Données Personnelles Client et le traitement des Données Personnelles Client en rapport avec les Services doivent être conformes aux exigences d’un traitement équitable en vertu des Lois sur la Protection des Données ; et
(b) vous obtiendrez (ou fournirez ou garantirez) tous les consentements nécessaires auprès de vos clients, avant d’utiliser les services, requis pour l’utilisation des Services.
2. TRAITEMENTS ET INSTRUCTIONS
2.1. Les deux parties conviennent qu’elles fourniront à l’autre tous les renseignements raisonnables pour se conformer aux obligations prévues dans le présent Accord.
2.2. SmartFocus ne traitera les Données personnelles Client que :
(a) dans le but d’exécuter les Services conformément à vos instructions telles qu’énoncées dans le Contrat, à l’Annexe 1 et conformément au présent Accord ou aux instructions résultant de l’utilisation des Services par le Client (et non autrement, sauf instructions de traitement alternatives communiquées par écrit à SmartFocus, qui peuvent faire l’objet de frais supplémentaires, à convenir) ; et
(b) selon les exigences de la loi applicable (et devra informer le Client de cette exigence légale avant le traitement, sauf en cas d’empêchement pour des motifs impérieux d’intérêt public).
2.3. Si SmartFocus estime qu’une quelconque utilisation des Services par le Client, ou que l’une quelconque de vos instructions, est susceptible de violer les Lois de Protection des Données, SmartFocus informera le Client et sera en droit de suspendre ou arrêter les Services jusqu’à ce que cela puisse être résolu ou accepté par discussion entre les contacts DP dans les dix (10) jours ouvrables. Si ce problème ne peut pas être résolu, , SmartFocus pourra résilier le Contrat pour manquement substantiel au Contrat.
3. MESURES TECHNIQUES ET ORGANISATIONNELLES
3.1. SmartFocus mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour aider à protéger les Données Personnelles Client contre la destruction, la perte, l’altération, la divulgation ou l’accès de manière accidentelle, non autoriséé ou illicite pendant le traitement en lien avec les Services, conformément à la Politique de Sécurité des Informations de SmartFocus (qui est disponible via ce lien).
3.2. Vous confirmez avoir effectué votre devoir de diligence sur nos Services et que vous avez reçu une copie de la Politique de Sécurité des Informations de SmartFocus avant de signer le Contrat et que celles-ci sont adaptées à vos besoins et sont suffisantes pour satisfaire aux exigences des Lois sur la Protection des Données.
3.3. SmartFocus doit, à sa seule discrétion, continuer à améliorer ses mesures techniques et organisationnelles conformément à nos développements techniques afin d’accroître la sécurité des données et tout changement sera incorporé dans notre Politique de Sécurité des Informations de SmartFocus par une mise à jour.
3.4. Toute mesure technique et organisationnelle supplémentaire que vous sollicitez sera soumise à un accord entre les parties et pourra faire l’objet de frais supplémentaires.
4. RECOURS AU PERSONNEL ET AUX SOUS-TRAITANTS
4.1. Personnel. SmartFocus :
(a) s’assurera que son Personnel n’aura accès aux Données Personnelles du Client que si cela est nécessaire pour l’exécution des services ; et
(b) confiera le traitement des Données Personnelles du Client à son Personnel ayant conscience de la nature confidentielle des Données Personnelles du Client et qui est contractuellement tenu de garder les Données Personnelles du Client confidentielles ;
(c) à partir de la Date du RGPD, s’assurera que le Personnel chargé du traitement des Données Personnelles du Client aura reçu une formation sur le RGPD et les obligations découlant du présent Accord.
4.2. Sous-traitants Ultérieurs. Si un sous-traitant désigné par SmartFocus traite les Données Personnelles du Client dans l’exécution des Services (« Sous-traitant Ultérieur »), SmartFocus restera responsable de ses obligations envers le Client. Dès la Date du RGPD :
(a) SmartFocus s’assurera que les Sous-traitants Ultérieurs seront liés par les mêmes obligations qui incombent à SmartFocus dans le cadre du présent Accord.
(b) Vous consentez au recours à des Sous-traitants Ultérieurs identifiés sur les pages d’aide du Client (fournir lien).
(c) Avant de nommer un nouveau Sous-traitant Ultérieur, SmartFocus en informera le Client au moins trente (30) jours avant cette désignation via les pages d’aide du Client.
(d) Si le Client s’oppose au recours par SmartFocus à un nouveau Sous-traitant Ultérieur, il peut soulever ses objections par une notification écrite à SmartFocus en en précisant les raisons dans les trente (30) jours suivant la mise en ligne de la notification sur les pages d’aide. Dès réception d’une telle notification, les deux parties conviennent de faire leurs
meilleurs efforts pour surmonter les objections dans les quatre-vingt-dix (90) jours suivant la réception de l’opposition du Client.
À la fin de cette période, et si vous nous notifiez par écrit que vous maintenez vos objections concernant le Sous-traitant Ultérieur :
(i) SmartFocus confirmera si le Client pourra poursuivre l’utilisation des Services sans recours au Sous-traitant Ultérieur ; ou
(ii) s’il n’est pas possible pour le Client de continuer à utiliser les Services sans recours au Sous-Traitant Ultérieur, le Client pourra, comme seul et unique recours, résilier le Contrat en envoyant une notification écrite à SmartFocus. Si, de l’avis du Délégué à la Protection des Données de SmartFocus, les objections que vous maintenez concernant le Sous-traitant Ultérieur sont raisonnables et reposent sur des motifs concernant le respect des Lois sur la Protection des Données, SmartFocus fournira un remboursement proportionnel au Client pour les frais de licence prépayés relatifs à la portion inutilisée de la Durée à compter de la date d’effet de la résiliation.
5. TRANSFERTS INTERNATIONAUX
5.1. SmartFocus ne traitera et / ou ne transférera aucune Donnée Personnelle du Client dans ou vers des pays en dehors de l’Espace économique européen (EEE) ou vers une organisation internationale, sous réserve des dispositions de l’article 5.2, sans votre consentement écrit préalable.
5.2. Vous acceptez que SmartFocus puisse transférer des Données Personnelles du Client en dehors de l’EEE ou à une organisation internationale, à condition que des mesures de protection appropriées soient en place. Le présent article constitue vos instructions concernant les transferts conformément à l’article 2.1. Les garanties appropriées comprennent :
(a) Clauses contractuelles types : sous réserve du point (b), si nous devons transférer des Données Personnelles du Client en dehors de l’EEE, le Client et SmartFocus acceptent les Clauses contractuelles types de l’Annexe 2.
(b) Mesures adéquates pour le transfert de données personnelles vers les États-Unis : si, lors de l’exécution des Services, les Données personnelles du Client sont transférées à SmartFocus US Inc, ce transfert est fondée sur le fait que SmartFocus US Incest une organisation certifiée au titre du bouclier de protection des données (Privacy Shield Framework) Suisse-États-Unis et a l’intention de maintenir son statut de certification à l’avenir.
6. NOTIFICATION D’INCIDENT DE SÉCURITÉ
6.1. Dans le cas d’un accès, non autorisé et confirmé, par un tiers, aux Données Personnelles du Client (« Incident de sécurité »), SmartFocus informera le Client dans les meilleurs délais, après avoir pris connaissance de l’Incident de sécurité, par e-mail au Contact DP Client fournissant les informations suivantes (ou dès que SmartFocus prend connaissance de ces informations) :
(a) une description de l’Incident de sécurité ; et
(b) la nature de l’Incident de sécurité et les catégories et le nombre approximatif de clients et le nombre de dossiers personnels concernés.
6.2. En prenant connaissance d’un Incident de sécurité, SmartFocus doit :
(a) enquêter sur l’Incident de sécurité ;
(b) prendre des mesures pour traiter et limiter l’Incident de sécurité, ainsi que toute conséquence négative de l’Incident de sécurité ;
(c) le Contact PD SmartFocus (ou toute autre personne qui vous a été notifiée) sera votre point de contact dédié chez SmartFocus pour vous tenir informé ;
(d) fournir une assistance raisonnable au Client afin de notifier à l’autorité de contrôle ou aux clients les informations requises sur l'Incident de sécurité (tel que détaillé à l’article
6.2 (e)), à condition que (sauf si la loi ou une autorité de contrôle l’exige), nous ne fassions aucune déclaration concernant l'Incident de sécurité sans vous en informer au préalable.
(e) les informations requises sur l’Incident de sécurité comprennent :
(i) une description de la nature de la violation des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
(ii) le nom et les coordonnées du délégué à la protection des données ou de tout autre point de contact où des informations supplémentaires peuvent être obtenues ;
(iii) la description des conséquences probables de la violation des données à caractère personnel ; et
(iv) une description des mesures prises ou envisagées pour remédier à la violation des données à caractère personnel, y compris, le cas échéant, des mesures pour en atténuer les éventuelles conséquences négatives.
7. ASSISTANCE, COOPÉRATION ET AUDITS
7.1. Demandes de vos clients : Si SmartFocus reçoit une demande ou une réclamation d’une personne concernée, nous vous en informerons dès que possible (et dans les trois (3) jours ouvrables suivant la demande).
7.2. SmartFocus vous fournira une assistance raisonnable en ce qui concerne toute demande des personnes concernées, comme suit :
(a) à condition que, si le nombre de demandes dépasse 2 par mois, vous payez à SmartFocus des coûts raisonnables ; et
(b) à partir de la Date du RGPD, en tenant compte de la nature du traitement, avec toutes les mesures techniques ou organisationnelles que SmartFocus considère être pratiques pour vous aider à répondre aux demandes de vos clients.
7.3. Conformité avec la Protection des Données et Etude d’Impact sur la Vie Privée : dès la Date du RGPD, SmartFocus fournira une assistance raisonnable afin de répondre à vos questions concernant les Services (à condition que le Client paie nos coûts raisonnables) pour vous permettre d'évaluer et d'envisager des mesures d'atténuation raisonnables en effectuant une analyse d’impact sur la protection des données.
7.4. Audit : À compter de la Date du RGPD, vous acceptez d’exercer votre droit de procéder à une vérification en demandant à SmartFocus d’effectuer un audit qui :
(a) examinera les mesures techniques et organisationnelles décrites dans la Politique de Sécurité des Informations de SmartFocus ;
(b) sera effectuée au moins une fois par an ;
(c) effectuée par des auditeurs indépendants compétents au choix et aux frais de SmartFocus ; et
(d) aboutira à l’élaboration d’un rapport d’audit, qui sera confidentiel à SmartFocus
; et
(e) si le Client le demande par écrit, SmartFocus fournira au Client une copie confidentielle du rapport d’audit.
7.5. Assistance supplémentaire : à partir de la Date du RGPD, si le Client demande des informations supplémentaires, une assistance ou un audit pour démontrer la conformité de SmartFocus à ses obligations, SmartFocus fournira des informations et une assistance raisonnables moyennant un préavis raisonnable d’au moins 10 (dix) jours ouvrables (sauf si le Client peut démontrer que la demande est urgente), à condition que le Client paie les coûts raisonnables de SmartFocus.
7.6. Coopération avec l’autorité de surveillance ou un autre organisme de réglementation : SmartFocus coopèrera avec toute autorité de surveillance ou autorité de régulation (y compris toute demande d'audit directe) et communiquera avec le Client pour toute réponse, s'il est autorisé à le faire.
8. CONSERVATION DES DONNÉES
À la fin des périodes de conservation relatives au traitement des Données Personnelles du Client telles qu’énoncées dans le Contrat et, au choix du Client, SmartFocus devra soit supprimer soit récupérer les Données Personnelles du Client conformément à notre Contrat, sauf dans la mesure où une loi applicable exige que SmartFocus continue à conserver ces Données Personnelles du Client.
9. INDEMNISATION
9.1. Par SmartFocus. Sauf dans la mesure où le Client est responsable en vertu de l’article 9.2 et sous réserve de l’article 10, SmartFocus indemnisera le Client contre toutes les Pertes liées à Protection des Données avérées résultant directement ou se rapportant à un manquement substantiel de SmartFocus:
(a) en ce qui concerne les mesures techniques et organisationnelles appropriées et l’article 4 du présent Accord, en cas de violation de la Politique de Sécurité des Informations SmartFocus ; et
(b) sauf tel que prévu au point (a), tout manquement à nos obligations en vertu des articles 1.2, 2, 4 et 5 du présent Accord.
9.2. Par le Client. Le Client indemnisera SmartFocus contre toutes les Pertes liées à la Protection des Données dans la mesure où elles résultent de ou sont liées :
(a) au non-respect par le Client des Lois sur la Protection des Données ;
(b) au traitement effectué par SmartFocus ou tout sous-traitant conformément à toute instruction du Client qui enfreint les Lois sur la protection des données ; ou
(c) toute violation par le Client de l'une de vos obligations en vertu du présent Accord.
9.3. Les obligations d’indemnisation de chaque partie sont conditionnées à ce que la partie indemnisée (dans la mesure autorisée par la loi applicable):
(a) notifie promptement la partie qui indemnise par écrit de toute Réclamation relative à la Protection des Données ;
(b) accorde à la partie qui indemnise le contrôle exclusif de la défense et du règlement de la Réclamation relative à la Protection des Données ;
(c) coopère avec la partie qui indemnise dans la défense de la Réclamation relative à la Protection des Données ;
(d) s’abstienne de faire des aveux sur la Réclamation relative à la Protection des Données ; et
(e) prenne toutes les mesures raisonnables pour atténuer les Pertes liées à la Protection des Données ou les pertes potentielles découlant de la Réclamation relative à la Protection des Données.
10. RESPONSABILITÉ
Sous réserve des articles 9.1 et 9.2 du Contrat (se référant aux cas où une limite ne s’applique pas et des exclusions générales ou dispositions équivalentes dans la ACS), la responsabilité maximale de chaque partie résultant du présent Accord ou en rapport avec ce dernier ou son objet est limitée à un montant égal à un multiple de deux (2) fois le total des Tarifs dus par le Client dans le cadre du présent Contrat dans les douze (12) mois précédant la date à laquelle la Réclamation est survenue ou à la responsabilité maximale prévue à l’article 9.3 du Contrat, le plus élevé de ces montants étant retenu.
11. DIVERS
11.1. Dispositions types du Contrat : les dispositions relatives aux points suivants du Contrat s’appliquent au présent Accord :
(a) Responsabilité conjointe et solidaire ;
(b) Indépendance des Clauses ;
(c) Droits des Tiers ;
(d) Intégralité de l’Accord ; et
(e) Copies Authentiques.
11.2. Applicabilité. En cas de divergences entre le présent Accord, le Contrat et tout autre accord entre vous et SmartFocus, les dispositions du présent Accord prévaudront, si elles sont liées au traitement des Données personnelles du Client dans le cadre des Services.
11.3. Modification et renonciation. Le présent Accord ne pourra modifié ou complété que par écrit et signé par les deux parties. La renonciation par l’une ou l’autre des parties à toute violation de l’une quelconque des dispositions du présent Accord ne saurait être interprétée comme une renonciation à toute autre violation. Les parties reconnaissent que le présent Accord pourra être amené à faire l’objet d’une mise à jour lorsque le Royaume-Uni quittera l’Union européenne et que l’une ou l’autre des parties pourra notifier à l’autre les modifications qui pourraient être nécessaires, d’un commun accord.
11.4. Survie. La résiliation du présent Accord ne pourra : (i) porter préjudice aux droits acquis ou aux obligations de l’une ou l’autre des parties à la date de résiliation ; ou (ii) affecter une quelconque disposition du présent Accord qui, par leur nature, restent en vigueur après résiliation ou expiration, notamment les articles 1.1, 8, 9, 10 et 11 et 6 et 7.6 (dans la mesure où des obligations sont en cours), qui resteront en vigueur après la résiliation.
11.5. Contacts et résolution de questions : Les personnes suivantes seront disponibles pour discuter et résoudre toute question relative au présent Accord :
(a) pour SmartFocus : le contact de SmartFocus identifié dans le Bon de commande, et à partir de la Date du RGPD, le cas échéant, le Délégué à la Protection des Données SmartFocus (le « Contact PD SmartFocus ») ;
(b) pour le Client : le contact du Client identifié dans le Bon de commande ou autrement notifié à SmartFocus dans le cadre du Contrat (le « Contact PD Client ») ;
ensemble, les « Contacts PD ».
11.6. Loi applicable et compétence. Le présent Accord et tout litige ou réclamation (y compris les litiges ou réclamations non contractuels) résultant du présent Accord ou en rapport avec ce dernier, son objet ou sa formation seront régis et interprétés conformément au droit de l’Angleterre et du Pays de Xxxxxx. Si les parties ne peuvent résoudre leurs questions conformément à l’article 11.5, chaque partie accepte irrévocablement la compétence exclusive des tribunaux de l’Angleterre et du Pays de Xxxxxx pour régler tout différend ou toute réclamation (y compris les litiges ou réclamations non contractuels) résultant du présent Accord ou en rapport avec ce dernier, son objet ou sa formation.
12. DÉFINITIONS ET INTERPRÉTATION
« Accord » signifie l’accord de traitement de données entre SmartFocus et le Client et les Annexes jointes au présent accord.
« Client » (également désigné par « vous » ou « votre ») désigne le client mentionné dans le Bon de commande relatif au Contrat de Services concerné.
« Contact DP Client » a le sens indiqué à l’article 11.5 ;
« Données Personnelles du Client » désignent les données personnelles relatives aux clients reçues du Client ou en son nom dans le cadre de l’exécution des Services ;
« Contrat » désigne l’Accord de services relatifs au logiciel SmartFocus ou l’Accord-cadre de services SmartFocus (ou les deux) conclu(s) entre vous et SmartFocus, ainsi que tout Énoncé des travaux, Bon de commande et ANS ;
« client » désigne vos clients et prospects, dont les données personnelles seront conservées et traitées dans le cadre des Services ;
« Réclamation relative à la Protection des Données » désigne toute action ou procédure judiciaire intentée contre une partie qui pourrait donner lieu à une réclamation au titre des indemnisations prévues à l’article 10 ;
« Lois sur la protection des données » désigne :
(i) la loi britannique sur la protection des données de 1998 et toute loi ou règlement d'application de la directive 95/46 / CE (directive sur la protection des données) ;
(ii) le RGPD, et / ou toute loi ou réglementation nationale correspondante ou équivalente ; et
(iii) le Règlement de 2003 sur la protection de la vie privée et les communications électroniques (directive CE) et toute loi ou réglementation mettant en œuvre la Directive 2002/58 / CE (telle que modifiée par la Directive 2009/136 / CE).
« Pertes liées à de Protection des Données » désignent toutes les pertes, obligations, dommages (y compris les dommages matériels et immatériels) et les coûts raisonnables encourus (y compris les frais légaux raisonnables) et pour inclure, dans la mesure permise par les lois sur la protection des données :
(i) les amendes administratives imposées par une autorité de contrôle ;
(ii) les indemnités ordonnées par une autorité de contrôle devant être versées à une personne concernée ; et
(iii) les coûts raisonnables pour se conformer aux investigations menées par une autorité de contrôle ;
« Contacts PD » a le sens indiqué à l’article 11.5 ;
« Tarifs » a le sens indiqué dans le Contrat ;
« RGPD » désigne le Règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) ;
« Date du RGPD » signifie la date à partir de laquelle le RGPD s’applique, soit le 25 mai 2018 ;
« Objections raisonnables » a le sens indiqué à l’article 4.2d) ;
« Incident de sécurité » a le sens indiqué à l’article 6.1 ;
« Services » désigne les Services logiciels SmartFocus fournis par SmartFocus dans le cadre de l’Accord de services relatifs au logiciel SmartFocus ou les Services professionnels fournis par SmartFocus dans le cadre de l’Accord-cadre de services SmartFocus (le cas échéant) ;
« SmartFocus » (également appelée «nous» ou « notre ») désigne l’entité SmartFocus définie dans le Contrat et dans le Bon de commande auxquels se rapporte le présent Accord ;
« Contact PD SmartFocus » a la signification indiquée à l’article 11.5 ;
« Politique de Sécurité des Informations de SmartFocus » désigne notre Politique de sécurité des informations disponible sur les pages Client de nos Services ;
« Personnel » signifie les employés ou les prestataires de SmartFocus ;
« Sous-traitant Ultérieur » a le sens indiqué à l’article 4 du présent Accord.
Les termes « données à caractère personnel », « sous-traitant des données / sous-traitant »,
« traitement », « responsable du traitement des données / responsable du traitement », « personne concernée », « analyse d’impact sur la protection des données » et « autorité de contrôle » ont le sens qui leur est donné par les Lois sur la protection des données applicables.
La référence aux lois applicables (y compris les Lois sur la Protection des Données) doit être remplacée par ou incorporer (selon le cas) des références aux lois applicables remplaçant, modifiant, prolongeant, ré-adoptant ou consolidant la loi applicable.
Les mots « notamment », « inclure », « y compris », « en particulier », « par exemple » ou des expressions similaires seront interprétés comme fournissant une liste non exhaustive.
ANNEXE 1 – Précisions relatives au traitement des données
Objet du traitement.
Fourniture de campagnes d’emailing .
Durée du traitement.
SmartFocus traitera les Données Personnelles du Client pour la durée de l’Accord, sauf accord contraire formulé par écrit.
Nature et finalité du traitement.
SmartFocus traitera les Données Personnelles du Client selon les besoins pour exécuter les Services tels qu’énoncés dans le Contrat et dans les conditions du présent Accord, et conformément aux instructions du Client concernant l’utilisation des Services, sauf accord contraire formulé par écrit.
Catégories de Personnes concernées.
Le Client peut soumettre des Données personnelles du Client aux Services, notamment, mais sans s'y limiter, les catégories suivantes de personnes concernées :
les prospects du Client ;
les clients du Client.
Les catégories de Données personnelles du Client reçues par SmartFocus en rapport avec l’exécution des Services sont définies et contrôlées par le Client à sa seule discrétion.
Type de Données à caractère personnel
Le Client peut soumettre des Données personnelles du Client aux Services, notamment, mais sans s’y limiter, les Données personnelles du Client relatives aux types suivants de personnes concernées :
nom ;
adresse e-mail, numéro de téléphone, adresse postale, adresse IP ;
sexe ;
données de désabonnement ;
données comportementales ;
données relatives aux interactions ;
données relatives aux transactions.
Les types de Données Personnelles du Client reçues par SmartFocus en rapport avec l’exécution du Service sont définis et contrôlés par le Client à sa seule discrétion.
Dans le cas où le Client modifie les catégories de traitement, telles que détaillées dans la présente Annexe 1, en utilisant les Services, il est de votre responsabilité de nous en informer par écrit afin que la présente Annexe 1 puisse être tenue à jour.