Nota bene : CECI EST UN EXEMPLE D’ANNEXE RELATIVE À LA PROTECTION DES DONNÉES
Nota bene :
CECI EST UN EXEMPLE D’ANNEXE RELATIVE À LA PROTECTION DES DONNÉES
Lyyti fournira à chaque client, le document APD officiel à signer annexé au Contrat. Ce document est consultable à titre informatif.
ANNEXE RELATIVE À LA
PROTECTION DES DONNÉES
Cette Annexe (« Annexe relative à la Protection des Données », ou « APD ») concerne le traitement des données personnelles et constitue une partie indissociable du contrat ("Contrat") entre Lyyti SAS ("Fournisseur") et le client ("Client"), signé par les deux parties et relatif au service fourni par Lyyti. Si le Contrat et ses autres annexes sont en conflit avec cette Annexe relative à la Protection des Données, la priorité est donnée à ce qui est convenu dans cette dernière concernant le traitement des informations personnelles. Les termes utilisés dans cette Annexe sont conformes aux termes spécifiés dans le Règlement Général de la Protection des Données de l'Union Européenne (RGPD). Le Fournisseur a le droit de réviser ces conditions dans le cas où cela s'avérerait justifié en raison d'un changement de législation ou d'interprétation de celle-ci ou en raison de changements dans l'environnement opérationnel du Fournisseur ou dans ses opérations commerciales.
Modalités du traitement des données personnelles
Sur la base de l'accord, le Fournisseur traitera les données personnelles dans le but défini par le Client et le système d'échange conformément aux instructions telles qu’elles sont définies dans la présente Annexe. Le fournisseur traite donc les données au nom du Client agissant comme Contrôleur régulier. Le but du registre personnel est de permettre 1) de collecter les données personnelles des personnes qui se sont inscrites à des événements organisés par le Client ; 2) de traiter les données découlant de diverses enquêtes ; et 3) de réaliser toute autre forme d'analyse des données susmentionnées telle que définie par le Client et par des moyens légalement approuvés.
Données personnelles à collecter
Pour chaque évènement, le Client doit définir quelles données doivent être collectées et stocker par le Fournisseur. Ce type de données peut inclure, par exemple, le nom de la personne, les informations de contact requises et - si nécessaire - l'âge ainsi que d'autres informations supplémentaires pour l'inscription, la participation et le paiement (« Données personnelles »). Les données sont traitées et conservées pour chaque évènement sur la durée définie par le Client. Ce dernier doit établir une description du processus du traitement et de la protection des données conformément à l'article 28 du Règlement Général de la Protection des Données de l'Union Européenne (RGPD).
Traitement des données personnelles
Pour le Client
Le Client est responsable d’obtenir les droits requis afin de traiter les données personnelles récoltées. Il doit vérifier l'âge de la personne inscrite. Il s’assure de la création et de la disponibilité de la Politique de Confidentialité relative aux opérations de traitement des données personnelles et doit en informer les participants.
Pour le Fournisseur
Le Fournisseur est responsable du traitement des données personnelles conformément à la législation en vigueur. Il doit appliquer le processus de sécurité des données et les instructions écrites du Client telles que stipulées dans le présent accord et respecter les spécifications fournies par ce dernier dans le système Lyyti. Le Fournisseur est tenu d'informer le Client s’il jugeait les instructions ou le recueil d’information illégales ou si le Fournisseur n'était pas en mesure de traiter les données personnelles conformément aux instructions du Client. Si nécessaire, le Fournisseur doit coopérer avec le personnel du Client responsable de la protection et de la sécurité des données.
Les données personnelles et le système Lyyti résident dans la zone UE, mais le Fournisseur ne garantit pas que tous les transferts de données entre le Client ou la personne enregistrée et le Fournisseur auront lieu dans la zone UE. Ce dernier doit aider le Client à se conformer aux exigences définies par la RGPD. En échange, le Fournisseur a le droit de facturer des frais raisonnables dans le cas où ce type d'assistance nécessitait des activités en dehors de ses opérations habituelles.
Stockage des données
À moins qu’une partie des données personnelles ait besoin d'être stockée durant une période plus longue, par exemple lors de transferts de paiement ou pour toute autre raison que la législation imposerait, celles-ci seront supprimées à la fin du Contrat ou à la demande du Client.
Dans le cas où le Fournisseur recevait une telle demande du Client, il devra lui fournir toutes les données personnelles avant de les supprimer. Le Fournisseur peut, pendant le traitement et après celui-ci, stocker et utiliser les informations issues de l'analyse des données personnelles par le biais de l'anonymisation pour le développement de ses opérations et de ses produits. L'anonymisation consiste à modifier les données afin qu'aucune personne ne puisse être identifiée à partir de celles-ci et ce par tous les moyens disponibles.
Les personnes qui traitent les données
Le Fournisseur est responsable de s'assurer que les données personnelles sont traitées uniquement par des personnes qui se sont engagées à les garder confidentielles. Le Client accepte que les données personnelles soient traitées, à la discrétion du Fournisseur, par des personnes autres que le personnel interne du Fournisseur. Dans le cas où les données seraient traitées par un tel tiers, le Fournisseur serait responsable pour la partie en question de respecter les obligations liées au Fournisseur telles qu'indiquées dans cette Annexe sur la Protection des Données. À la demande du Client, le Fournisseur doit fournir les informations nécessaires sur le tiers qui traite les données personnelles.
Droits de la personne enregistrée
En fournissant des interfaces techniques, le Fournisseur aidera le Client à remplir son obligation de Contrôleur afin de répondre aux demandes relatives à l'exercice des droits d'une personne enregistrée. Il aidera le Contrôleur à s'assurer que les exigences de sécurité liées au traitement des données personnelles ont été mises en œuvre et respectées. En cas de violation de la sécurité des données personnelles, le Fournisseur doit informer le Client sans délai. Le Fournisseur doit également aider le Client, par tous les moyens dont il dispose, à notifier l'autorité de surveillance officielle et les personnes enregistrées de la violation des données.
Le cas échéant, le Fournisseur assistera le Client dans l'évaluation d'impact relative à la protection des données et la procédure de consultation préalable. En cas d’assistance, il aura le droit de facturer au Client des frais supplémentaires nécessaires à cette procédure.
Assurer la protection des données.
Sur demande, le Fournisseur doit fournir la documentation et les informations requises par le Client, permettre les audits et les assister afin d’établir la conformité du Fournisseur avec ce qui est convenu dans cette Annexe sur la Protection des Données. La partie effectuant l'audit doit s'engager à garder confidentielle toute information provenant de celui-ci. Le Fournisseur a le droit de refuser un audit dans le cas où l'auditeur se révèle être le concurrent direct ou indirect du Fournisseur, ou s'il doute de son expertise ou de sa fiabilité. Le Client sera responsable de tous les coûts encourus par les audits.
Le Fournisseur doit également adresser au Client toutes les questions émanant des autorités de protection des données qui sont de son ressort. Le Fournisseur ne doit pas agir en tant que représentant du Client ni agir au nom du Client sur les questions relatives à la protection des données.
Responsabilité pour dommages
La responsabilité pour les dommages et les conditions sont stipulées dans le contrat de service Lyyti, auquel ce document est annexé.
Sécurité des données
Le Fournisseur est responsable de l'application du processus de gestion des risques et de la sécurité des données à toutes ses activités liées au traitement des données personnelles. Le Fournisseur doit prendre les mesures de protection techniques et organisationnelles adéquates, telles que définies dans le Règlement Général de la Protection des Données de l'Union Européenne (RGPD) et dans la présente Annexe sur la Protection des Données, afin de protéger les données personnelles qu'il traite. Tenant compte de la nature sensible des données personnelles définies par le Client et du niveau de risque associé, le Fournisseur utilisera les mesures de sécurité des données appropriées pour le traitement de celles-ci et pour tous les systèmes utilisés dans le traitement des données personnelles. Cela afin de garantir la confidentialité, l’intégrité et la disponibilité de celles-ci, jusqu'au moment où toutes les données personnelles seront retirées du système du Fournisseur conformément à la présente Annexe sur la Protection des Données.