Addendum relatif au traitement des données

1. Introduction

ULTEH s'engage à garantir la confidentialité, la sécurité et la conformité des données clients. Cet addenda relatif au traitement des données (ATD) décrit les conditions régissant le traitement, le stockage et la protection des données personnelles, conformément aux lois et réglementations applicables en matière de protection des données. Ce DPA est une extension de notre accord principal avec les clients et s'applique lorsque ULTEH traite les données personnelles pour le compte du Client en tant que sous-traitant. Elle établit des responsabilités claires pour les deux parties concernant le traitement des données, garantissant ainsi le respect des lois applicables en matière de confidentialité. En utilisant ULTEH, Les clients reconnaissent et acceptent les conditions énoncées dans le présent DPA. Si vous avez besoin d'une copie signée de cet accord à des fins de conformité, veuillez nous contacter.

2. Définitions

Filiale Désigne toute entité qui contrôle, est contrôlée ou est sous contrôle commun d'une partie, directement ou indirectement. Le terme « contrôle » désigne la détention directe ou indirecte d'au moins 50 % des actions avec droit de vote, des participations ou des droits similaires de l'entité, permettant d'influencer sa gestion et ses politiques. Les sociétés affiliées sont considérées comme liées par les obligations et responsabilités décrites dans le présent ATD dans la mesure où elles interviennent dans le traitement de données personnelles.

Sous-traitant autorisé Désigne tout fournisseur, prestataire de services ou sous-traitant tiers engagé par le Prestataire pour traiter les données personnelles du Client, strictement pour le compte et selon ses instructions. Les sous-traitants autorisés contribuent à l'exécution des obligations découlant du présent ATD et du Contrat principal. Tous les sous-traitants doivent se conformer aux mêmes obligations en matière de protection des données, en préservant la sécurité, la confidentialité et la conformité réglementaire.

Données du compte désigne toutes les informations commerciales collectées, stockées et traitées par le Prestataire de services dans le cadre de sa relation contractuelle avec le Client. Cela inclut, sans s'y limiter, les noms, adresses e-mail, numéros de téléphone, informations de paiement et identifiants d'accès des personnes autorisées par le Client à gérer et exploiter son compte sur la plateforme du Prestataire de services. Les données de compte sont utilisées uniquement à des fins administratives, de facturation et de support.

Lois sur la protection des données englobent l'ensemble des lois, réglementations et cadres applicables régissant la collecte, le traitement, le stockage, le transfert et la protection des Données Personnelles. Cela inclut, sans s'y limiter, le Règlement général sur la protection des données (RGPD) de l'Union européenne, le RGPD applicable au Royaume-Uni, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et toute autre loi nationale ou internationale relative à la protection de la vie privée applicable aux activités de traitement des données dans le cadre du présent Contrat. Le respect de ces lois garantit que les Données Personnelles sont traitées de manière légale, transparente et sécurisée.

Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable (la « Personne concernée »). Une personne identifiable est une personne qui peut être identifiée directement ou indirectement, notamment par référence à des identifiants tels qu'un nom, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (comme une adresse IP ou des cookies) ou d'autres éléments uniques définissant son identité. Les données personnelles excluent les données anonymisées ou agrégées qui ne permettent pas d'identifier une personne.

Traitement désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, que ce soit par des moyens automatisés ou manuels. Cela comprend, sans s'y limiter, la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la modification, la récupération, la consultation, l'utilisation, la divulgation, la transmission, la restriction, l'effacement ou la destruction de données personnelles. Le traitement est effectué conformément aux instructions du client et aux lois applicables en matière de protection des données.

Mesures de sécurité Désigne les mesures de sécurité techniques et organisationnelles mises en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité des données personnelles. Ces mesures comprennent le chiffrement, les contrôles d'accès, les pare-feu, le masquage des données, la pseudonymisation, des audits de sécurité réguliers et des mécanismes de notification des violations. Les mesures de sécurité visent à empêcher tout accès non autorisé, toute perte accidentelle ou tout traitement illicite des données personnelles.

Autorité de surveillance Désigne une autorité publique indépendante chargée de surveiller et de faire respecter la législation sur la protection des données. Parmi les exemples figurent le **Comité européen de la protection des données (CEPD)** pour les questions relatives au RGPD, le **Bureau du Commissaire à l'information du Royaume-Uni (ICO)** pour le RGPD britannique et l'**Agence californienne de protection de la vie privée (CPPA)** pour l'application du CCPA. L'autorité de contrôle est habilitée à enquêter sur les plaintes, à émettre des directives et à imposer des sanctions en cas de non-conformité.

Droits des personnes concernées Se référer aux droits accordés aux personnes en vertu des lois applicables en matière de protection des données. Ces droits peuvent inclure le droit d'accès, de rectification, de suppression, de restriction ou de transfert de leurs données personnelles, ainsi que le droit de s'opposer au traitement et de déposer une plainte auprès d'une autorité de contrôle. Le Prestataire de services aide les Clients à exercer ces droits, le cas échéant.

3. Traitement des données

Le client peut agir soit comme un Responsable du traitement des données ou un Sous-traitant des données, en fonction de sa relation avec la personne concernée et des finalités pour lesquelles les données personnelles sont traitées. Dans tous les cas, ULTEH agit comme un Sous-traitant des données, traiter les Données Personnelles pour le compte et selon les instructions du Client.

Le Client est responsable de s'assurer que toutes les activités de traitement de données effectuées à l'aide de nos Services sont conformes aux Lois applicables en matière de protection des données, y compris, mais sans s'y limiter, Règlement général sur la protection des données (RGPD), RGPD britannique, California Consumer Privacy Act (CCPA) et autres réglementations applicables en matière de confidentialité. Le Client reconnaît qu'il dispose de la base légale pour traiter les Données Personnelles et nous indemnise contre toute réclamation, responsabilité ou dommage résultant du non-respect de ces exigences légales.

Nous traiterons les données personnelles uniquement conformément aux instructions écrites du client et uniquement dans la mesure nécessaire à la fourniture des Services, sauf disposition légale contraire. Nous n'utiliserons, ne divulguerons ni ne partagerons les Données Personnelles à d'autres fins que celles autorisées par le Client ou explicitement décrites dans le présent Contrat.

Sur résiliation du Contrat ou demande du Client, nous procéderons, à la discrétion du client, soit: (a) Supprimer en toute sécurité toutes les données personnelles traitées dans le cadre du présent accord, en veillant à ce qu'aucune copie ne reste, sauf si la loi l'exige, ou (b) Renvoyer les données personnelles au Client, dans un format structuré, couramment utilisé et lisible par machine, avant leur suppression. Le Client doit formuler ces demandes dans un délai raisonnable avant la résiliation.

Si nous sommes légalement tenus de conserver des données personnelles au-delà de la résiliation, nous en informerons le client (sauf interdiction légale de le faire) et veillerons à ce que ces données restent protégées conformément aux lois sur la protection des données.

4. Sécurité et confidentialité

ULTEH s'engage à protéger la sécurité et la confidentialité des Données personnelles traitées pour le compte de Client. Pour garantir l'intégrité et la sécurité des données, nous mettons en œuvre et maintenons mesures de sécurité de pointe conçu pour empêcher l’accès non autorisé, la divulgation, la modification ou la destruction des données personnelles.

Ces mesures de sécurité inclure, mais ne sont pas limités à:

• Cryptage des données: Les données personnelles sont cryptées en transit et au repos à l'aide de protocoles de cryptage standard du secteur pour se protéger contre tout accès non autorisé.
• Contrôles d'accès: Des politiques strictes de gestion des accès garantissent que seul le personnel autorisé a accès aux données personnelles sur la base du principe du moindre privilège.
• Sécurité des réseaux et des systèmes: Les pare-feu, les systèmes de détection d’intrusion et la surveillance continue contribuent à prévenir les accès non autorisés et les cybermenaces.
• Anonymisation et pseudonymisation des données: Le cas échéant, les données personnelles peuvent être anonymisées ou pseudonymisées afin de réduire les risques associés à l’exposition des données.
• Audits de sécurité réguliers: Nous effectuons des évaluations de sécurité périodiques, des tests de vulnérabilité et des contrôles de conformité pour identifier et atténuer les risques.
• Plan de réponse aux incidents: Un protocole de réponse aux incidents structuré garantit que toute violation de sécurité est rapidement identifiée, atténuée et signalée conformément aux lois applicables en matière de protection des données.

Toute personne, y compris les employés, les sous-traitants et les prestataires de services autorisés, qui traite des données personnelles en notre nom est tenue de respecter obligations strictes de confidentialité. Cela comprend la signature de documents juridiquement exécutoires. accords de non-divulgation (NDA) et en adhérant aux politiques internes de traitement des données pour garantir le respect des normes de confidentialité et de sécurité des données.

Nous informerons rapidement le Client de toute **violation de sécurité confirmée** susceptible d'entraîner la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé, accidentel ou illicite, de données personnelles. Ces notifications détailleront l'incident, son impact potentiel et les mesures correctives prises pour atténuer les risques.

Nous révisons et mettons à jour en permanence nos mesures de sécurité conformément aux évolution des normes industrielles et des exigences réglementaires pour assurer la protection continue des données des clients.

5. Sous-traitants

ULTEH peut s'engager sous-traitants tiers pour contribuer à la fourniture et à la maintenance des Services. Ces sous-traitants exécutent des fonctions spécifiques telles que le stockage de données, l'hébergement d'infrastructures, l'analyse ou le support client. Nous veillons à ce que tous les sous-traitants engagés respectent les obligations strictes en matière de protection des données équivalentes à celles décrites dans le présent DPA.

Nous tenons à jour la liste des sous-traitants, indiquant leurs rôles et leurs lieux de traitement. Les clients peuvent demander des informations sur les sous-traitants actuels à tout moment en nous contactant.

Droits et objections des clients:

• Nous informerons les clients de tout **nouveau engagement de sous-traitant** au moins 10 jours à l'avance.
• Les clients peuvent soumettre une **objection** écrite à l'utilisation d'un nouveau sous-traitant dans ce délai de 10 jours s'ils ont des **préoccupations légitimes en matière de protection des données**.
• Dès réception d’une objection, nous engagerons des **discussions de bonne foi** pour répondre aux préoccupations, ce qui peut inclure la recherche de solutions alternatives.
• Si aucune résolution mutuellement acceptable n’est trouvée, le Client peut avoir le droit de **résilier les Services concernés** conformément à l’Accord.

Nous restons entièrement responsable et redevable pour les actions de nos sous-traitants et nous assurer qu'ils sont conformes:

• Lois sur la protection des données, y compris le RGPD, le CCPA et d'autres réglementations applicables.
• Accords de confidentialité pour protéger les données personnelles.
• Mesures de sécurité conformes aux normes de l'industrie pour empêcher l’accès non autorisé ou l’utilisation abusive des données.

Nous nous réservons le droit de **mettre à jour ou de remplacer** nos sous-traitants selon les besoins, en tenant dûment compte des préoccupations des clients et des obligations de conformité en cours.

6. Transferts de données personnelles

ULTEH peut transférer Données personnelles en dehors de la Espace économique européen (EEE), Royaume-Uni (RU) ou Suisse pour faciliter la fourniture des Services. Lorsque de tels transferts ont lieu, nous veillons à ce que les données appropriées garanties juridiques sont en place pour protéger les données transférées conformément aux lois applicables en matière de protection des données.

Nous nous appuyons sur des mécanismes de transfert de données reconnus, y compris, mais sans s'y limiter,:

• Clauses contractuelles types (CCT): Nous intégrons des SCC approuvés par la Commission européenne ou d'autres autorités compétentes pour garantir des transferts de données légaux.
• Mesures supplémentaires: Si nécessaire, nous appliquons des mesures de protection techniques, organisationnelles et contractuelles supplémentaires pour améliorer la protection des données.
• Règles d'entreprise contraignantes (REC): Le cas échéant, nos entités affiliées adhèrent aux BCR garantissant un niveau élevé de protection des données dans toutes les opérations internationales.
• Autres mécanismes de transfert approuvés: Nous nous conformons à tous les cadres, certifications ou instruments juridiques supplémentaires reconnus pour les transferts de données transfrontaliers légaux.

Droits et assistance des clients: Nous nous engageons à aider le Client à garantir le respect des droits des personnes concernées conformément aux lois applicables en matière de protection des données. Cela comprend, sans s'y limiter,:

• Demandes d'accès: Permettre aux personnes concernées d’accéder à leurs données personnelles.
• Demandes de rectification: Permettre la correction de données inexactes ou incomplètes.
• Demandes d'effacement (« Droit à l'oubli »): Aider à la suppression des données personnelles sur demande, lorsque la loi le permet.
• Opposition et limitation du traitement: Aider les personnes concernées à exercer leurs droits d’opposition ou de restriction des activités de traitement des données.
• Portabilité des données: Faciliter le transfert de données personnelles à un autre responsable du traitement, le cas échéant.

Nous surveillons en permanence les réglementations mondiales en matière de confidentialité afin de garantir le respect des **exigences de transfert de données transfrontalier** et informerons le client si des modifications du cadre juridique ont un impact sur nos obligations de traitement des données.

7. Droits des personnes concernées

ULTEH reconnaît et respecte les droits des **Personnes concernées** en vertu des **Lois applicables en matière de protection des données**. Nous assisterons le **Client**, en tant que Responsable du traitement des données, à répondre aux demandes des personnes concernant leurs **Données personnelles**.

Les personnes concernées peuvent exercer les droits suivants:

• Droit d'accès: La possibilité de demander et d’obtenir la confirmation que leurs données sont traitées, ainsi que l’accès aux données.
• Droit de rectification: Le droit de corriger ou de mettre à jour les Données personnelles inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli »): Le droit de demander la suppression des Données Personnelles, sous réserve des obligations légales et contractuelles.
• Droit de restreindre le traitement: La possibilité de limiter le traitement des données personnelles sous certaines conditions.
• Droit à la portabilité des données: La capacité d’obtenir et de transférer des données personnelles à un autre fournisseur de services lorsque cela est techniquement possible.
• Droit d'opposition: Le droit de s’opposer au traitement fondé sur des intérêts légitimes, au marketing direct ou à la prise de décision automatisée.
• Droit de retirer son consentement: Si le traitement est basé sur le consentement, la personne concernée peut retirer son consentement à tout moment.

Responsabilités du client: Le Client, agissant en qualité de Responsable du traitement des données, est responsable du traitement des demandes des personnes concernées. Nous fournirons une assistance raisonnable sur demande, en veillant à ce que les réponses soient traitées rapidement et conformément à la législation applicable.

Nous ne répondrons pas directement à une demande d'une personne concernée, sauf si la loi l'exige ou si le client l'autorise explicitement.

8. Notification de violation de données

ULTEH Nous prenons la sécurité au sérieux et mettons en œuvre des mesures préventives pour protéger vos données personnelles. Cependant, en cas de violation de données personnelles, nous agirons rapidement et en toute transparence.

Plan de réponse aux violations de données: Si nous prenons connaissance d'une **violation confirmée des données personnelles** susceptible d'entraîner un **accès non autorisé, une perte, une altération ou une divulgation** de données personnelles, nous:

• **Évaluez l’impact** de la violation et prenez des mesures immédiates pour atténuer les risques.
• **Avertir le Client sans délai injustifié** (généralement dans les 48 heures suivant la confirmation).
• Fournissez des détails, y compris:
  • La nature et la portée de la violation.
  • Le type de données affectées.
  • Les conséquences potentielles.
  • Mesures prises ou proposées pour remédier à la violation.
• **Aider le client** à remplir toutes les obligations réglementaires, y compris les notifications aux autorités et aux personnes concernées, si nécessaire.
• **Mettre en œuvre des mesures correctives** pour prévenir de futures violations.

Responsabilités du client: Le Client est responsable de déterminer s'il convient d'informer les autorités réglementaires et les personnes concernées conformément aux lois applicables en matière de protection des données.

Nous documenterons toutes les violations et conserverons des enregistrements de nos **enquêtes, efforts d’atténuation et mesures correctives**.

9. Conservation et suppression des données

ULTEH conserve les **Données personnelles uniquement aussi longtemps que nécessaire** pour remplir ses obligations en vertu du présent Contrat ou comme l'exigent les lois applicables.

Politique de conservation des données:

• Nous suivons les **principes de minimisation des données**, garantissant que les données ne sont conservées que pour des **besoins commerciaux et de conformité légitimes**.
• Les données seront supprimées ou anonymisées dès qu'elles ne seront **plus nécessaires** à des fins de traitement.
• Les périodes de conservation peuvent varier en fonction des **exigences légales, contractuelles ou réglementaires**.

Suppression des données contrôlée par le client:

• Les clients peuvent demander la **suppression des données personnelles** à tout moment.
• À la fin des services, nous supprimerons ou restituerons les données personnelles** conformément aux instructions du client.
• Si aucune demande de suppression n’est faite, nous supprimerons **automatiquement** les données personnelles dans un délai raisonnable, sauf si la loi nous oblige à les conserver.

Exceptions à la suppression des données: Dans certains cas, nous pouvons **conserver les données personnelles** au-delà de la période de conservation convenue, y compris:

• Pour se conformer aux **obligations légales** (par exemple, aux exigences fiscales, d’audit ou réglementaires).
• Pour des **intérêts légitimes**, tels que la prévention de la fraude ou les enquêtes de sécurité.
• Lorsque requis par une **demande légale contraignante** (par exemple, une ordonnance du tribunal).

Nous garantissons que les **procédures de suppression sécurisées** sont suivies, empêchant toute récupération non autorisée ou utilisation abusive des données personnelles.

10. Droit applicable et règlement des litiges

Le présent addendum relatif au traitement des données (DPA) sera régi et interprété conformément aux **mêmes lois et juridictions** telles que définies dans l'accord principal entre ULTEH et le Client.

Processus de résolution des litiges: Si un litige survient concernant le présent DPA, les deux parties conviennent de suivre un processus de résolution structuré, y compris:

• Négociation de bonne foi: Les parties tenteront d’abord de résoudre les différends par des discussions et des négociations directes.
• Médiation ou arbitrage: Si la négociation échoue, le litige peut être soumis à la médiation ou à l’arbitrage, comme indiqué dans l’accord principal.
• Procédures judiciaires: Si aucune résolution n’est trouvée, les litiges peuvent être réglés par le biais de procédures judiciaires formelles dans la juridiction compétente.

En cas de conflit entre le présent DPA et l'accord principal, **les termes du présent DPA prévaudront** uniquement en ce qui concerne les questions de protection des données, garantissant le respect des dispositions applicables Lois sur la protection des données.

11. Dispositions finales

Cet addenda relatif au traitement des données fait partie intégrante de l'accord global entre ULTEH et le Client. En continuant à utiliser les Services, le Client reconnaît et accepte les termes du présent DPA.

Si une disposition du présent ATD est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur. Les parties conviennent de remplacer toute disposition inapplicable par une disposition reflétant au mieux l'intention initiale, tout en restant conforme aux lois applicables.

Modifications et mises à jour: Nous nous réservons le droit de modifier ou de mettre à jour le présent APD afin de refléter l'évolution des lois applicables en matière de protection des données, des pratiques du secteur ou des besoins opérationnels. Les clients seront informés de toute modification importante, et l'utilisation continue des Services vaut acceptation des conditions mises à jour.

Coordonnées: Pour toute question, préoccupation ou pour demander une copie signée du présent DPA, les clients peuvent nous contacter à: [email protected].