Avenant de traitement des données

1. Introduction

ULTEH s'engage à garantir la confidentialité, la sécurité et la conformité des données clients. Cet Avenant de traitement des données (DPA) définit les conditions régissant la façon dont nous traitons, stockons et protégeons les données personnelles conformément aux lois et réglementations applicables en matière de protection des données. Cet Avenant constitue une extension de notre accord principal avec les Clients et s'applique lorsque ULTEH traite des données personnelles pour le compte du Client en tant que sous-traitant. Il établit des responsabilités claires pour les deux parties concernant le traitement des données, garantissant la conformité aux lois pertinentes sur la protection de la vie privée. En utilisant ULTEH, les Clients reconnaissent et acceptent les conditions énoncées dans cet Avenant. Si vous avez besoin d'une copie signée de cet accord à des fins de conformité, veuillez nous contacter.

2. Définitions

Affilié désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec une partie. "Contrôle" signifie la propriété directe ou indirecte d'au moins 50% des actions avec droit de vote, des participations, ou de droits similaires dans l'entité, donnant la capacité d'influencer sa gestion et ses politiques. Les Affiliés sont considérés comme liés par les obligations et responsabilités décrites dans cet Avenant dans la mesure où ils participent au traitement des Données Personnelles.

Sous-traitant autorisé désigne tout fournisseur tiers, prestataire de services ou contractant engagé par le Prestataire de services pour traiter les Données Personnelles du Client strictement pour le compte et selon les instructions du Prestataire de services. Les Sous-traitants autorisés aident à remplir les obligations en vertu de cet Avenant et de l'Accord principal. Tous les Sous-traitants doivent se conformer aux mêmes obligations de protection des données, en maintenant la sécurité, la confidentialité et la conformité réglementaire.

Données de compte désigne toutes les informations commerciales collectées, stockées et traitées par le Prestataire de services en relation avec sa relation contractuelle avec le Client. Cela comprend, sans s'y limiter, les noms, adresses e-mail, numéros de téléphone, coordonnées de paiement et identifiants d'accès des personnes autorisées par le Client à gérer et exploiter leur compte sur la plateforme du Prestataire de services. Les Données de compte sont utilisées strictement à des fins administratives, de facturation et d'assistance.

Lois sur la protection des données englobent toutes les lois, réglementations et cadres applicables régissant la collecte, le traitement, le stockage, le transfert et la protection des Données Personnelles. Cela inclut, sans s'y limiter, le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne, le RGPD britannique applicable au Royaume-Uni, la California Consumer Privacy Act (CCPA), et toute autre loi nationale ou internationale sur la confidentialité pertinente pour les activités de traitement des données dans le cadre de cet Accord. La conformité à ces lois garantit que les Données Personnelles sont traitées de manière légale, transparente et sécurisée.

Données Personnelles désigne toute information relative à une personne physique identifiée ou identifiable ("Personne concernée"). Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à des identifiants tels qu'un nom, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (comme une adresse IP ou des cookies), ou d'autres facteurs uniques qui définissent son identité. Les Données Personnelles excluent les données anonymisées ou agrégées qui ne peuvent pas être utilisées pour identifier un individu.

Traitement désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, que ce soit par des moyens automatisés ou manuels. Cela inclut, sans s'y limiter, la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la modification, la récupération, la consultation, l'utilisation, la divulgation, la transmission, la restriction, l'effacement ou la destruction de Données Personnelles. Le Traitement est effectué conformément aux instructions du Client et aux Lois sur la protection des données applicables.

Mesures de sécurité désignent les garanties techniques et organisationnelles mises en œuvre pour assurer la confidentialité, l'intégrité et la disponibilité des Données Personnelles. Ces mesures comprennent le chiffrement, les contrôles d'accès, les pare-feu, le masquage des données, la pseudonymisation, les audits de sécurité réguliers et les mécanismes de notification en cas de violation. Les Mesures de sécurité sont conçues pour empêcher l'accès non autorisé, la perte accidentelle ou le traitement illicite des Données Personnelles.

Autorité de contrôle désigne une autorité publique indépendante responsable de la surveillance et de l'application de la conformité aux Lois sur la protection des données. Les exemples incluent le Comité européen de la protection des données (CEPD) pour les questions liées au RGPD, le Bureau du Commissaire à l'information du Royaume-Uni (ICO) pour le RGPD britannique, et l'Agence californienne de protection de la vie privée (CPPA) pour l'application du CCPA. L'Autorité de contrôle a le pouvoir légal d'enquêter sur les plaintes, d'émettre des orientations et d'imposer des sanctions en cas de non-conformité.

Droits des personnes concernées désignent les droits accordés aux individus en vertu des Lois sur la protection des données applicables. Ces droits peuvent inclure le droit d'accéder à leurs Données Personnelles, de les rectifier, de les supprimer, de limiter ou de transférer leurs Données Personnelles, ainsi que le droit de s'opposer au traitement et de déposer des plaintes auprès d'une Autorité de contrôle. Le Prestataire de services aide les Clients à faciliter l'exercice de ces droits lorsqu'ils sont applicables.

3. Traitement des données

Le Client peut agir soit en tant que Responsable du traitement soit en tant que Sous-traitant, selon sa relation avec la Personne concernée et les finalités pour lesquelles les Données Personnelles sont traitées. Dans tous les cas, ULTEH agit en tant que Sous-traitant, traitant les Données Personnelles pour le compte et selon les instructions du Client.

Le Client est responsable de s'assurer que toutes les activités de traitement des données effectuées à l'aide de nos Services sont conformes aux Lois applicables sur la protection des données, y compris, mais sans s'y limiter, le Règlement Général sur la Protection des Données (RGPD), le RGPD britannique, la California Consumer Privacy Act (CCPA) et autres réglementations applicables en matière de confidentialité. Le Client reconnaît qu'il dispose de la base légale pour traiter les Données Personnelles et nous indemnise contre toutes réclamations, responsabilités ou dommages résultant du non-respect de ces exigences légales.

Nous traiterons les Données Personnelles uniquement conformément aux instructions écrites du Client et seulement dans la mesure nécessaire pour fournir les Services, sauf si la loi l'exige autrement. Nous n'utiliserons, ne divulguerons ou ne partagerons pas les Données Personnelles à des fins autres que celles autorisées par le Client ou explicitement décrites dans cet Accord.

À la résiliation de l'Accord ou à la demande du Client, nous devrons, à la discrétion du Client, soit: (a) Supprimer de manière sécurisée toutes les Données Personnelles traitées dans le cadre de cet Accord, en s'assurant qu'aucune copie ne reste sauf si la loi l'exige, ou (b) Restituer les Données Personnelles au Client dans un format structuré, couramment utilisé et lisible par machine avant leur suppression. Le Client doit fournir de telles demandes dans un délai raisonnable avant la résiliation.

Si nous sommes légalement tenus de conserver des Données Personnelles au-delà de la résiliation, nous en informerons le Client (sauf si la loi nous l'interdit) et veillerons à ce que ces données restent protégées conformément aux Lois sur la protection des données.

4. Sécurité et confidentialité

ULTEH s'engage à protéger la sécurité et la confidentialité des Données Personnelles traitées pour le compte du Client. Pour garantir l'intégrité et la sécurité des données, nous mettons en œuvre et maintenons des mesures de sécurité de pointe conçues pour empêcher l'accès non autorisé, la divulgation, l'altération ou la destruction des Données Personnelles.

Ces mesures de sécurité comprennent, sans s'y limiter:

• Chiffrement des données: Les Données Personnelles sont chiffrées à la fois en transit et au repos à l'aide de protocoles de chiffrement standards de l'industrie pour les protéger contre tout accès non autorisé.
• Contrôles d'accès: Des politiques strictes de gestion des accès garantissent que seul le personnel autorisé a accès aux Données Personnelles selon le principe du moindre privilège.
• Sécurité du réseau et des systèmes: Les pare-feu, les systèmes de détection d'intrusion et une surveillance continue aident à prévenir les accès non autorisés et les cybermenaces.
• Anonymisation et pseudonymisation des données: Le cas échéant, les Données Personnelles peuvent être anonymisées ou pseudonymisées pour réduire les risques associés à l'exposition des données.
• Audits de sécurité réguliers: Nous effectuons périodiquement des évaluations de sécurité, des tests de vulnérabilité et des vérifications de conformité pour identifier et atténuer les risques.
• Plan de réponse aux incidents: Un protocole structuré de réponse aux incidents garantit que toute violation de sécurité est rapidement identifiée, atténuée et signalée conformément aux Lois applicables sur la protection des données.

Toute personne, y compris les employés, les contractants et les prestataires de services autorisés, qui traite des Données Personnelles en notre nom est soumise à des obligations strictes de confidentialité. Cela inclut la signature d' accords de confidentialité (NDA) juridiquement contraignants et le respect des politiques internes de traitement des données pour assurer la conformité aux normes de confidentialité et de sécurité des données.

Nous informerons rapidement le Client de toute violation de sécurité confirmée qui pourrait entraîner la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illicite aux Données Personnelles. Ces notifications incluront les détails de l'incident, l'impact potentiel et les efforts de remédiation entrepris pour atténuer les risques.

Nous révisons et mettons à jour continuellement nos mesures de sécurité conformément aux normes évolutives de l'industrie et aux exigences réglementaires pour assurer la protection continue des données du Client.

5. Sous-traitants

ULTEH peut engager des Sous-traitants tiers pour aider à fournir et à maintenir les Services. Ces Sous-traitants exercent des fonctions spécifiques telles que le stockage de données, l'hébergement d'infrastructure, l'analyse ou le support client. Nous veillons à ce que tous les Sous-traitants engagés respectent des obligations strictes de protection des données équivalentes à celles décrites dans cet Avenant.

Nous maintenons une liste à jour des Sous-traitants, incluant leurs rôles et les lieux de traitement. Les Clients peuvent demander des informations sur les Sous-traitants actuels à tout moment en nous contactant.

Droits et objections du Client:

• Nous informerons les Clients de tout engagement de nouveau Sous-traitant au moins 10 jours à l'avance.
• Les Clients peuvent soumettre une objection écrite à l'utilisation d'un nouveau Sous-traitant dans ce délai de 10 jours s'ils ont des préoccupations légitimes concernant la protection des données.
• À la réception d'une objection, nous entamerons des discussions de bonne foi pour résoudre les préoccupations, ce qui peut inclure la recherche de solutions alternatives.
• Si une résolution mutuellement acceptable n'est pas trouvée, le Client peut avoir le droit de résilier les Services concernés conformément à l'Accord.

Nous demeurons entièrement responsables des actions de nos Sous-traitants et veillons à ce qu'ils se conforment aux:

• Lois sur la protection des données, y compris le RGPD, le CCPA et autres réglementations applicables.
• Accords de confidentialité pour protéger les Données Personnelles.
• Mesures de sécurité conformes aux normes de l'industrie pour empêcher l'accès non autorisé ou l'utilisation abusive des données.

Nous nous réservons le droit de mettre à jour ou de remplacer nos Sous-traitants selon les besoins, en tenant dûment compte des préoccupations des Clients et des obligations continues de conformité.

6. Transferts de Données Personnelles

ULTEH peut transférer des Données Personnelles en dehors de l' Espace Économique Européen (EEE), du Royaume-Uni (UK) ou de la Suisse pour faciliter la fourniture des Services. Lorsque de tels transferts se produisent, nous veillons à ce que des garanties juridiques appropriées soient en place pour protéger les données transférées conformément aux Lois applicables sur la protection des données.

Nous nous appuyons sur des mécanismes reconnus de transfert de données, notamment, mais sans s'y limiter:

• Clauses Contractuelles Types (CCT): Nous intégrons des CCT approuvées par la Commission européenne ou d'autres autorités compétentes pour garantir des transferts légaux de données.
• Mesures supplémentaires: Le cas échéant, nous appliquons des garanties techniques, organisationnelles et contractuelles supplémentaires pour renforcer la protection des données.
• Règles d'entreprise contraignantes (BCR): Le cas échéant, nos entités affiliées adhèrent à des BCR garantissant un niveau élevé de protection des données dans toutes les opérations internationales.
• Autres mécanismes de transfert approuvés: Nous nous conformons à tout cadre, certification ou instrument juridique supplémentaire reconnu pour les transferts transfrontaliers légaux de données.

Droits du Client et assistance: Nous nous engageons à aider le Client à assurer la conformité avec les droits des Personnes concernées en vertu des Lois applicables sur la protection des données. Cela inclut, sans s'y limiter:

• Demandes d'accès: Permettre aux Personnes concernées d'accéder à leurs Données Personnelles.
• Demandes de rectification: Permettre la correction de données inexactes ou incomplètes.
• Demandes d'effacement ("Droit à l'oubli"): Assister à la suppression des Données Personnelles sur demande, lorsque légalement autorisé.
• Opposition et limitation du traitement: Soutenir les Personnes concernées dans l'exercice de leurs droits d'opposition ou de limitation des activités de traitement des données.
• Portabilité des données: Faciliter le transfert des Données Personnelles vers un autre responsable du traitement, le cas échéant.

Nous surveillons continuellement les réglementations mondiales en matière de confidentialité pour assurer la conformité aux exigences de transfert transfrontalier de données et informerons le Client si des changements dans le cadre juridique ont un impact sur nos obligations de traitement des données.

7. Droits des personnes concernées

ULTEH reconnaît et respecte les droits des Personnes concernées en vertu des Lois applicables sur la protection des données. Nous aiderons le Client, en tant que Responsable du traitement, à répondre aux demandes des individus concernant leurs Données Personnelles.

Les Personnes concernées peuvent exercer les droits suivants:

• Droit d'accès: La capacité de demander et d'obtenir confirmation que leurs données sont traitées, ainsi que l'accès à ces données.
• Droit de rectification: Le droit de corriger ou de mettre à jour des Données Personnelles inexactes ou incomplètes.
• Droit à l'effacement ("Droit à l'oubli"): Le droit de demander la suppression des Données Personnelles, sous réserve des obligations légales et contractuelles.
• Droit à la limitation du traitement: La capacité de limiter le traitement des Données Personnelles dans certaines conditions.
• Droit à la portabilité des données: La capacité d'obtenir et de transférer des Données Personnelles à un autre prestataire de services lorsque cela est techniquement possible.
• Droit d'opposition: Le droit de s'opposer au traitement basé sur des intérêts légitimes, le marketing direct ou la prise de décision automatisée.
• Droit de retirer son consentement: Si le traitement est basé sur le consentement, la Personne concernée peut retirer son consentement à tout moment.

Responsabilités du Client: Le Client, agissant en tant que Responsable du traitement, est responsable de la gestion des demandes des Personnes concernées. Nous fournirons une assistance raisonnable sur demande, en veillant à ce que les réponses soient traitées rapidement et conformément aux lois applicables.

Nous ne répondrons pas directement à une demande d'une Personne concernée, sauf si la loi nous y oblige ou si le Client nous y autorise expressément.

8. Notification de violation de données

ULTEH prend la sécurité au sérieux et met en œuvre des mesures préventives pour protéger les Données Personnelles. Cependant, en cas de Violation de Données Personnelles, nous agirons rapidement et en toute transparence.

Plan de réponse aux violations de données: Si nous prenons connaissance d'une Violation de Données Personnelles confirmée qui pourrait entraîner un accès non autorisé, une perte, une altération ou une divulgation de Données Personnelles, nous:

• Évaluerons l'impact de la violation et prendrons des mesures immédiates pour atténuer les risques.
• Informerons le Client sans délai injustifié (généralement dans les 48 heures suivant la confirmation).
• Fournirons des détails comprenant:
  • La nature et l'étendue de la violation.
  • Le type de données affectées.
  • Les conséquences potentielles.
  • Les mesures prises ou proposées pour remédier à la violation.
• Aiderons le Client à remplir toutes les obligations réglementaires, y compris les notifications aux autorités et aux Personnes concernées affectées, le cas échéant.
• Mettrons en œuvre des actions correctives pour prévenir de futures violations.

Responsabilités du Client: Le Client est responsable de déterminer s'il convient d'informer les autorités réglementaires et les Personnes concernées conformément aux Lois applicables sur la protection des données.

Nous documenterons toutes les violations et conserverons des enregistrements de notre enquête, des efforts d'atténuation et des actions correctives.

9. Conservation et suppression des données

ULTEH ne conserve les Données Personnelles que pendant la durée nécessaire à l'exécution de ses obligations en vertu de cet Accord ou selon les exigences des lois applicables.

Politique de conservation des données:

• Nous suivons les principes de minimisation des données, garantissant que les données ne sont conservées que pour des besoins commerciaux et de conformité légitimes.
• Les données seront supprimées ou anonymisées une fois qu'elles ne sont plus nécessaires aux fins du traitement.
• Les périodes de conservation peuvent varier en fonction des exigences légales, contractuelles ou réglementaires.

Suppression des données contrôlée par le Client:

• Les Clients peuvent demander la suppression des Données Personnelles à tout moment.
• À la résiliation des services, nous supprimerons ou restituerons les Données Personnelles conformément aux instructions du Client.
• Si aucune demande de suppression n'est formulée, nous supprimerons automatiquement les Données Personnelles dans un délai raisonnable, sauf si la loi nous oblige à les conserver.

Exceptions à la suppression des données: Dans certains cas, nous pouvons conserver des Données Personnelles au-delà de la période de conservation convenue, notamment:

• Pour se conformer aux obligations légales (par exemple, exigences fiscales, d'audit ou réglementaires).
• Pour des intérêts légitimes, tels que la prévention de la fraude ou les enquêtes de sécurité.
• Lorsque requis par une demande légale contraignante (par exemple, une ordonnance judiciaire).

Nous veillons à ce que des procédures de suppression sécurisées soient suivies, empêchant toute récupération ou utilisation abusive non autorisée des Données Personnelles.

10. Loi applicable et résolution des litiges

Cet Avenant de traitement des données (DPA) sera régi et interprété conformément aux mêmes lois et juridiction que celles définies dans l'accord principal entre ULTEH et le Client.

Processus de résolution des litiges: Si un litige survient concernant cet Avenant, les deux parties acceptent de suivre un processus de résolution structuré, comprenant:

• Négociation de bonne foi: Les parties tenteront d'abord de résoudre les litiges par des discussions et négociations directes.
• Médiation ou arbitrage: Si la négociation échoue, le litige peut être soumis à une médiation ou à un arbitrage, comme indiqué dans l'accord principal.
• Procédures judiciaires: Si aucune résolution n'est trouvée, les litiges peuvent être réglés par des procédures judiciaires formelles dans la juridiction applicable.

En cas de conflit entre cet Avenant et l'accord principal, les conditions de cet Avenant prévaudront uniquement en ce qui concerne les questions de protection des données, garantissant la conformité aux Lois sur la protection des données.

11. Dispositions finales

Cet Avenant de traitement des données fait partie intégrante de l'accord global entre ULTEH et le Client. En continuant à utiliser les Services, le Client reconnaît et accepte les conditions de cet Avenant.

Si une disposition de cet Avenant est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur. Les parties conviennent de remplacer toute disposition inapplicable par une disposition qui reflète l'intention originale aussi fidèlement que possible tout en restant conforme aux lois applicables.

Modifications et mises à jour: Nous nous réservons le droit de modifier ou de mettre à jour cet Avenant pour refléter les changements dans les Lois sur la protection des données applicables, les pratiques de l'industrie ou les besoins opérationnels. Les Clients seront informés de tout changement important, et la poursuite de l'utilisation des Services constitue l'acceptation des conditions mises à jour.

Coordonnées de contact: Pour toute question, préoccupation ou pour demander une copie signée de cet Avenant, les Clients peuvent nous contacter à: [email protected].