Annexe de traitement des données

1. Introduction

ULTEH s'engage à garantir la confidentialité, la sécurité et la conformité des données client. Cet avenant au traitement des données (DPA) décrit les conditions régissant la manière dont nous traitons, stockons et protégeons les données personnelles conformément aux lois et réglementations applicables en matière de protection des données. Cette DPA est une extension de notre accord principal avec les clients et s'applique lorsque ULTEH Traite des données personnelles pour le compte du Client en tant que sous‑traitant. Il définit des responsabilités claires pour les deux parties en matière de traitement des données et garantit le respect des lois de protection de la vie privée applicables. En utilisant ULTEH, Les clients reconnaissent et acceptent les termes énoncés dans le présent DPA. Si vous avez besoin d'un exemplaire signé de cet accord à des fins de conformité, veuillez nous contacter.

2. Définitions

Affilié Désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec une partie. 'Contrôle' désigne la détention directe ou indirecte d'au moins 50 % des actions avec droit de vote, des participations ou de droits similaires dans l'entité, conférant la capacité d'influencer sa direction et ses politiques. Les affiliés sont réputés liés par les obligations et responsabilités énoncées dans le présent DPA dans la mesure où ils interviennent dans le traitement des données à caractère personnel.

Sous-traitant autorisé désigne tout fournisseur, prestataire de services ou sous-traitant tiers engagé par le Prestataire de Services pour traiter les Données Personnelles du Client strictement pour le compte et sous les instructions du Prestataire de Services. Les sous-traitants autorisés aident à remplir les obligations prévues par cette DPA et par l'Accord principal. Tous les sous-traitants doivent respecter les mêmes obligations de protection des données, en garantissant la sécurité, la confidentialité et la conformité réglementaire.

Données du compte désigne l'ensemble des informations liées à l'activité commerciale collectées, stockées et traitées par le Prestataire de services dans le cadre de sa relation contractuelle avec le Client. Cela comprend, sans s'y limiter, les noms, adresses e-mail, numéros de téléphone, informations de paiement et identifiants d'accès des personnes autorisées par le Client à gérer et exploiter son compte sur la plateforme du Prestataire. Les données de compte sont utilisées strictement à des fins administratives, de facturation et d'assistance.

Lois sur la protection des données englobe toutes les lois, réglementations et cadres applicables régissant la collecte, le traitement, le stockage, le transfert et la protection des Données à caractère personnel. Cela inclut, sans s'y limiter, le Règlement général sur la protection des données (RGPD) de l'Union européenne, le UK GDPR applicable au Royaume‑Uni, la California Consumer Privacy Act (CCPA) et toute autre loi nationale ou internationale sur la vie privée pertinente pour les activités de traitement des données en vertu du présent Accord. Le respect de ces lois garantit que les Données à caractère personnel sont traitées de manière licite, transparente et sécurisée.

Données personnelles désigne toute information se rapportant à une personne physique identifiée ou identifiable ('personne concernée'). Une personne identifiable est celle qui peut être identifiée, directement ou indirectement, notamment par référence à des identifiants tels que le nom, l'adresse e‑mail, le numéro de téléphone, les données de localisation, un identifiant en ligne (tel qu'une adresse IP ou des cookies) ou d'autres éléments uniques définissant son identité. Les données à caractère personnel n'incluent pas les données anonymisées ou agrégées qui ne permettent pas d'identifier un individu.

Traitement en cours désigne toute opération ou tout ensemble d'opérations effectuées sur des Données à Caractère Personnel, que ce soit par des moyens automatisés ou manuels. Cela inclut, sans s'y limiter, la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la modification, la récupération, la consultation, l'utilisation, la divulgation, la transmission, la limitation, l'effacement ou la destruction des Données à Caractère Personnel. Le traitement est effectué conformément aux instructions du Client et aux lois applicables en matière de protection des données.

Mesures de sécurité Se réfèrent aux mesures techniques et organisationnelles mises en place pour garantir la confidentialité, l'intégrité et la disponibilité des Données à caractère personnel. Ces mesures incluent le chiffrement, les contrôles d'accès, les pare-feu, le masquage des données, la pseudonymisation, des audits de sécurité réguliers et des mécanismes de notification des violations. Les mesures de sécurité visent à empêcher tout accès non autorisé, la perte accidentelle ou le traitement illégal des Données à caractère personnel.

Autorité de surveillance désigne une autorité publique indépendante chargée de surveiller et de faire respecter la conformité aux lois sur la protection des données. Parmi les exemples figurent le **European Data Protection Board (EDPB)** pour les questions liées au RGPD, le **UK Information Commissioner's Office (ICO)** pour le RGPD britannique, et la **California Privacy Protection Agency (CPPA)** pour l'application du CCPA. L'autorité de contrôle a le pouvoir juridique d'enquêter sur les plaintes, d'émettre des orientations et d'imposer des sanctions en cas de non‑conformité.

Droits de la personne concernée se réfèrent aux droits accordés aux personnes en vertu des lois applicables en matière de protection des données. Ces droits peuvent inclure le droit d'accéder, de rectifier, de supprimer, de restreindre ou de transférer leurs données personnelles, ainsi que le droit de s'opposer au traitement et de déposer des plaintes auprès d'une autorité de contrôle. Le prestataire de services aide les Clients à faciliter l'exercice de ces droits lorsque cela s'applique.

3. Traitement des données

Le client peut agir comme l'un ou l'autre Responsable du traitement des données ou un Sous-traitant de données, en fonction de sa relation avec la personne concernée et des finalités pour lesquelles les données à caractère personnel sont traitées. Dans tous les cas, ULTEH sert de Sous-traitant de données, traitement des données à caractère personnel pour le compte du Client et selon ses instructions.

Le Client est responsable de s'assurer que toutes les activités de traitement des données effectuées en utilisant nos Services sont conformes à Lois applicables en matière de protection des données, y compris, sans s'y limiter Règlement général sur la protection des données (RGPD/GDPR), UK GDPR, la California Consumer Privacy Act (CCPA) et autres réglementations de confidentialité applicables. Le Client reconnaît disposer de la base légale pour traiter des Données à caractère personnel et nous indemnise de toute réclamation, responsabilité ou dommage résultant du non-respect de ces obligations légales.

Nous traiterons les données personnelles. uniquement conformément aux instructions écrites du Client et uniquement dans la mesure nécessaire pour fournir les Services, sauf obligation légale contraire. Nous n'utiliserons, ne divulguerons ni ne partagerons les Données Personnelles à des fins autres que celles autorisées par le Client ou expressément prévues dans le présent Accord.

dès résiliation du contrat ou à la demande du client, nous procéderons, à la discrétion du Client, soit: (a) Supprimer en toute sécurité toutes les Données Personnelles traitées en vertu du présent Accord, en veillant à ce qu'aucune copie ne subsiste sauf si la loi l'exige, ou (b) Restituer les données personnelles au Client dans un format structuré, couramment utilisé et lisible par machine avant la suppression. Le Client doit formuler ces demandes dans un délai raisonnable avant la résiliation.

Si la loi nous oblige à conserver des Données à caractère personnel au-delà de la résiliation, nous en informerons le Client (sauf si la loi nous en interdit la communication) et veillerons à ce que ces données restent protégées conformément aux lois sur la protection des données.

4. Sécurité et confidentialité

ULTEH s'engage à protéger la sécurité et la confidentialité de Données personnelles traité pour le compte de Client. Pour garantir l'intégrité et la sécurité des données, nous mettons en œuvre et maintenons mesures de sécurité de pointe dans le secteur Conçu pour prévenir l'accès, la divulgation, la modification ou la destruction non autorisés des données personnelles.

Ces Mesures de sécurité incluent, sans s'y limiter:

• Chiffrement des données: Les données personnelles sont chiffrées, tant en transit qu'au repos, à l'aide de protocoles de chiffrement conformes aux standards du secteur afin de les protéger contre tout accès non autorisé.
• Contrôles d'accès: Des politiques strictes de gestion des accès garantissent que seules les personnes autorisées ont accès aux données personnelles, conformément au principe du moindre privilège.
• Sécurité des réseaux et des systèmes: Les pare-feu, les systèmes de détection d'intrusion et la surveillance continue contribuent à prévenir les accès non autorisés et les menaces informatiques.
• Anonymisation et pseudonymisation des données: Le cas échéant, les données personnelles peuvent être anonymisées ou pseudonymisées afin de réduire les risques liés à l'exposition des données.
• Audits de sécurité réguliers: Nous réalisons des évaluations de sécurité périodiques, des tests de vulnérabilité et des contrôles de conformité pour identifier et atténuer les risques.
• Plan de réponse aux incidents: Un protocole structuré de réponse aux incidents garantit que toute violation de sécurité est rapidement identifiée, atténuée et signalée conformément aux lois applicables en matière de protection des données.

Toute personne, y compris les employés, sous-traitants et prestataires de services autorisés, qui traite des Données à caractère personnel pour notre compte est liée par obligations strictes de confidentialité. Cela inclut la signature de documents juridiquement exécutoires accords de confidentialité (NDA) et respecter les politiques internes de gestion des données afin d'assurer la conformité aux normes de confidentialité et de sécurité des données.

Nous informerons rapidement le Client de toute violation de sécurité confirmée susceptible d'entraîner la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données à caractère personnel de manière accidentelle ou illicite. Ces notifications incluront des détails sur l'incident, l'impact potentiel et les mesures correctives prises pour atténuer les risques.

Nous révisons et mettons continuellement à jour nos mesures de sécurité conformément à normes sectorielles et exigences réglementaires en évolution pour garantir la protection continue des données clients.

5. Sous-traitants

ULTEH peut interagir sous-traitants tiers pour aider à fournir et maintenir les Services. Ces sous-traitants effectuent des fonctions spécifiques telles que le stockage des données, l'hébergement d'infrastructure, l'analytique ou le support client. Nous veillons à ce que tous les sous-traitants engagés respectent obligations strictes de protection des données équivalents à ceux décrits dans la présente DPA.

Nous tenons à jour une liste des sous‑traitants, indiquant leurs rôles et les lieux de traitement. Les clients peuvent à tout moment demander des informations sur les sous‑traitants actuels en nous contactant.

Droits et objections du client:

• Nous informerons les clients de tout **nouvel engagement de sous-traitant** au moins 10 jours à l'avance.
• Les clients peuvent, dans un délai de dix jours, présenter une objection écrite à l'utilisation d'un nouveau sous‑traitant s'ils ont des préoccupations légitimes en matière de protection des données.
• À la réception d'une objection, nous engagerons des discussions de bonne foi pour répondre aux préoccupations, ce qui peut inclure la recherche de solutions alternatives.
• Si aucune solution mutuellement acceptable n'est trouvée, le Client peut avoir le droit de **résilier les Services concernés** conformément au Contrat.

Nous restons pleinement responsable et juridiquement responsable pour les actions de nos sous-traitants et veiller à ce qu'ils se conforment à:

• Lois sur la protection des données, y compris le RGPD, la CCPA et d'autres réglementations applicables.
• Accords de confidentialité pour protéger les données personnelles
• Mesures de sécurité conformes aux normes du secteur pour prévenir l'accès non autorisé ou l'utilisation abusive des données.

Nous nous réservons le droit de **mettre à jour ou de remplacer** nos sous‑traitants chargés du traitement si nécessaire, en tenant dûment compte des préoccupations des clients et des obligations continues de conformité.

6. Transferts de données personnelles

ULTEH peut transférer Données personnelles à l'extérieur du Espace économique européen (EEE), le Royaume‑Uni (RU) ou la Suisse pour faciliter la fourniture des Services. Lorsque de tels transferts ont lieu, nous veillons à ce que des garanties appropriées soient en place. garanties juridiques Des mesures sont en place pour protéger les données transférées conformément aux lois applicables en matière de protection des données.

Nous nous appuyons sur des mécanismes reconnus de transfert de données, y compris, mais sans s'y limiter:

• Clauses contractuelles types (SCCs): Nous intégrons les clauses contractuelles types approuvées par la Commission européenne ou par d'autres autorités compétentes afin de garantir des transferts de données licites.
• Mesures complémentaires: Lorsque cela est nécessaire, nous appliquons des garanties techniques, organisationnelles et contractuelles supplémentaires pour renforcer la protection des données.
• Règles d'entreprise contraignantes (BCRs): Le cas échéant, nos entités affiliées se conforment aux règles contraignantes d'entreprise (BCR), garantissant un niveau élevé de protection des données dans leurs opérations internationales.
• Autres mécanismes de transfert approuvés: Nous nous conformons à tout cadre, toute certification ou tout instrument juridique supplémentaire reconnu pour les transferts transfrontaliers de données licites.

Droits et assistance client: Nous nous engageons à aider le Client à garantir le respect de droits des personnes concernées conformément aux lois applicables en matière de protection des données. Cela inclut, sans s'y limiter,:

• Demandes d'accès: Permettre aux personnes concernées d'accéder à leurs données personnelles.
• Demandes de rectification: Permettre la correction de données inexactes ou incomplètes.
• Demandes de suppression («droit à l'oubli»): Aide à la suppression des données personnelles sur demande, lorsque la législation le permet.
• Opposition et limitation du traitement: Accompagner les personnes concernées dans l'exercice de leur droit de s'opposer ou de demander la limitation des activités de traitement des données.
• Portabilité des données: Faciliter le transfert de Données à caractère personnel vers un autre responsable du traitement, le cas échéant.

Nous surveillons en permanence les réglementations mondiales en matière de confidentialité afin de garantir le respect des exigences de transfert transfrontalier de données et nous informerons le Client si des changements dans le cadre juridique affectent nos obligations de traitement des données.

7. Droits de la personne concernée

ULTEH Reconnaît et respecte les droits des **personnes concernées** au titre des **lois applicables en matière de protection des données**. Nous assisterons le **Client**, en tant que Responsable du traitement, pour répondre aux demandes des personnes concernant leurs **données personnelles**.

Les personnes concernées peuvent exercer les droits suivants:

• Droit d'accès: La possibilité de demander et d'obtenir la confirmation que leurs données sont traitées, ainsi que l'accès à ces données.
• Droit de rectification: Le droit de rectifier ou de mettre à jour des données personnelles inexactes ou incomplètes.
• Droit à l'effacement ('droit à l'oubli'): Le droit de demander la suppression des Données à caractère personnel, sous réserve des obligations légales et contractuelles.
• Droit de restreindre le traitement: La possibilité de limiter le traitement des données personnelles dans certaines conditions.
• Droit à la portabilité des données: La possibilité d'obtenir et de transférer des données personnelles à un autre prestataire de services lorsque cela est techniquement possible.
• Droit d'opposition: Le droit de s'opposer au traitement fondé sur des intérêts légitimes, au marketing direct ou à la prise de décision automatisée.
• Droit de retirer son consentement: Si le traitement est fondé sur le consentement, la personne concernée peut retirer son consentement à tout moment.

Responsabilités du client: Le Client, agissant en tant que responsable du traitement, est chargé de traiter les demandes des personnes concernées. Sur demande, nous fournirons une assistance raisonnable, en veillant à ce que les réponses soient traitées rapidement et conformément aux lois applicables.

Nous ne répondrons pas directement à une demande de la personne concernée, sauf si la loi nous y oblige ou si le Client nous y autorise expressément.

8. Notification de violation de données

ULTEH prend la sécurité au sérieux et met en œuvre des mesures préventives pour protéger les données personnelles. Toutefois, en cas de violation de données personnelles, nous agirons rapidement et en toute transparence.

Plan de réponse en cas de violation de données: Si nous prenons connaissance d'une violation confirmée de données personnelles susceptible d'entraîner l'accès non autorisé, la perte, l'altération ou la divulgation de données personnelles, nous prendrons les mesures appropriées.:

• Évaluez l'impact de la violation et prenez immédiatement des mesures pour atténuer les risques.
• Informer le client sans délai indu (généralement dans les 48 heures suivant la confirmation).
• Fournissez des détails, y compris::
  • La nature et l'étendue de la violation.
  • Type de données affectées
  • Les conséquences potentielles.
  • Mesures prises ou proposées pour remédier à la violation.
• Assister le Client dans l'accomplissement de toute obligation réglementaire, y compris, le cas échéant, les notifications aux autorités et aux personnes concernées.
• Mettez en place des mesures correctives pour prévenir de futures violations.

Responsabilités du client: Le Client est responsable de déterminer s'il doit notifier les autorités de régulation et les personnes concernées conformément aux lois applicables en matière de protection des données.

Nous documenterons toutes les violations et conserverons des enregistrements de nos enquêtes, de nos mesures d'atténuation et de nos actions de remédiation.

9. Conservation et suppression des données

ULTEH conserve **les Données Personnelles uniquement pendant la durée nécessaire** pour s'acquitter de ses obligations en vertu du présent Accord ou lorsque la loi applicable l'exige.

Politique de conservation des données:

• Nous appliquons le principe de minimisation des données, en veillant à ce que les données ne soient conservées que pour des besoins commerciaux légitimes et des exigences de conformité.
• Les données seront supprimées ou anonymisées dès qu'elles ne seront plus nécessaires aux fins du traitement.
• Les durées de conservation peuvent varier en fonction des exigences légales, contractuelles ou réglementaires.

Suppression des données contrôlée par le client:

• Les clients peuvent demander à tout moment la **suppression de leurs données personnelles**.
• À la résiliation des services, nous supprimerons ou restituerons les données personnelles conformément aux instructions du client.
• Si aucune demande de suppression n'est formulée, nous supprimerons les données personnelles **automatiquement** dans un délai raisonnable, sauf obligation légale de les conserver.

Exceptions à la suppression des données: Dans certains cas, nous pouvons **conserver des données personnelles** au-delà de la période de conservation convenue, y compris:

• Pour respecter les **obligations légales** (p. ex., exigences fiscales, d'audit ou réglementaires).
• Pour des **intérêts légitimes**, tels que la prévention de la fraude ou les enquêtes de sécurité.
• Lorsque cela est requis par une demande juridique contraignante (par exemple, une ordonnance du tribunal).

Nous veillons à ce que des **procédures de suppression sécurisée** soient respectées, empêchant toute récupération non autorisée ou tout usage abusif des Données Personnelles.

10. Droit applicable et règlement des litiges

Le présent avenant au traitement des données (DPA) est régi et interprété conformément aux **mêmes lois et à la même juridiction** définies dans le contrat principal entre ULTEH et le client.

Processus de résolution des litiges: Si un litige survient concernant cette DPA, les deux parties conviennent de suivre une procédure structurée de résolution, incluant ::

• Négociation de bonne foi: Les parties tenteront d'abord de résoudre les différends par des discussions et des négociations directes.
• Médiation ou arbitrage: Si les négociations échouent, le différend peut être renvoyé à la médiation ou à l'arbitrage, comme prévu dans le contrat principal.
• Procédures juridiques: Si aucun règlement n'est trouvé, les différends peuvent être résolus par des procédures judiciaires formelles dans la juridiction compétente.

En cas de conflit entre cette DPA et l'accord principal, les dispositions de cette DPA prévaudront exclusivement en ce qui concerne les questions de protection des données, garantissant le respect des lois applicables. Lois sur la protection des données.

11. Dispositions finales

Le présent avenant relatif au traitement des données constitue une partie intégrante de l'accord global entre ULTEH et le Client. En continuant d'utiliser les Services, le Client reconnaît et accepte les termes de ce DPA.

Si une disposition de ce DPA est jugée invalide ou inapplicable, les autres dispositions resteront en vigueur et de plein effet. Les parties conviennent de remplacer toute disposition inapplicable par une disposition qui reflète autant que possible l'intention initiale tout en respectant les lois applicables.

Modifications et mises à jour: Nous nous réservons le droit de modifier ou de mettre à jour ce DPA afin de tenir compte des évolutions des lois applicables en matière de protection des données, des pratiques du secteur ou des besoins opérationnels. Les clients seront informés de toute modification substantielle et la poursuite de l'utilisation des Services vaut acceptation des conditions mises à jour.

Coordonnées: Pour toute question, préoccupation ou pour demander un exemplaire signé de ce DPA, les clients peuvent nous contacter à :: [email protected].