Cette traduction est fournie uniquement à titre indicatif. En cas de divergence, la version anglaise de ce document prévaudra et constitue le seul texte juridiquement contraignant.
Accord de traitement des données
Accord de traitement des données
Le présent Accord de traitement des données (« ATD ») est conclu entre :
- Sonetel AB (publ), org.nr. 556486-5847 (le « Fournisseur ») ; et
- La société ou l'entité que vous représentez (le « Client »)
ci-après dénommés conjointement les « Parties » ou individuellement une « Partie ».
1. Contexte
1.1 Le présent ATD constitue une partie intégrante du Contrat-cadre de services (le « Contrat ») entre le Fournisseur et le Client. 1.2 Lors de la conclusion du Contrat, le Fournisseur traitera des Données à caractère personnel pour le compte du Client, en tant que Sous-traitant. Le Client est le Responsable du traitement des Données à caractère personnel. 1.3 Si le Client est Responsable conjoint avec une autre partie pour les Données à caractère personnel concernées, le Client doit en informer le Fournisseur en conséquence. 1.4 L'objet du présent Contrat est de garantir que le Traitement est effectué conformément aux exigences applicables en matière de traitement des données et aux obligations découlant des Règles de protection des données, et d'assurer une protection adéquate de l'intégrité personnelle et des droits fondamentaux des personnes lors du transfert de Données à caractère personnel du Client au Fournisseur dans le cadre des Services que le Fournisseur fournit en vertu du Contrat.
2. Définitions
| « Traitement » | désigne toute opération ou tout ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; |
|---|---|
| « Données à caractère personnel » | désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; |
| « Règles de protection des données » | désigne les lois et règlements applicables de temps à autre en matière de Traitement de Données à caractère personnel, y compris, mais sans s'y limiter, le Règlement (UE) 2016/679 du Parlement européen et du Conseil (le « RGPD »), les décisions contraignantes, règlements et recommandations de l'Autorité de contrôle et les adaptations et règlements locaux supplémentaires en matière de protection des données. |
| « Responsable du traitement » | désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ; |
| « Sous-traitant » | désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ; |
| « Sous-traitant ultérieur » | désigne la personne physique ou morale qui traite des données à caractère personnel en tant que sous-traitant ultérieur pour le compte du Fournisseur ; |
| « Personne concernée » | désigne la personne physique à laquelle se rapportent les Données à caractère personnel. |
| « Autorité de contrôle » | désigne une autorité publique indépendante qui est instituée par un État membre conformément à l'article 51. L'Autorité de contrôle en Suède est l'Autorité suédoise de protection des données. |
2.1 Sauf indication contraire, tout autre terme ou concept utilisé en lettres majuscules dans le présent ATD (sauf dans certains cas dans le cadre d'un titre) aura le sens et la conception établis dans les Règles de protection des données et par ailleurs dans le Contrat, sauf si les circonstances exigent manifestement une autre interprétation.
3. Responsabilités et instructions
3.1 Le Client est Responsable du traitement de toutes les Données à caractère personnel que le Fournisseur Traite pour le compte du Client en vertu du Contrat. Le Client est donc responsable du respect des Règles de protection des données. Le Client s'engage à informer le Fournisseur des Règles de protection des données qui sont pertinentes pour effectuer le Traitement en vertu du présent Contrat. Outre les exigences qui s'appliquent directement à un Sous-traitant conformément aux Règles de protection des données, le Fournisseur est tenu de se conformer aux autres exigences applicables selon les Règles de protection des données et aux recommandations de l'Autorité de contrôle dont le Fournisseur a été informé par le Client. Le Client doit également informer en permanence le Fournisseur des actions de tiers, y compris de l'Autorité de contrôle et de la Personne concernée, résultant du Traitement. 3.2 Le Fournisseur et toute personne agissant sous l'autorité du Fournisseur, qui a accès aux Données à caractère personnel, ne doit pas Traiter ces données à d'autres fins que conformément aux instructions écrites du Client ou selon les Règles de protection des données. Les instructions qui s'appliquent au présent ATD sont énoncées dans l'Annexe 1. Outre les instructions énoncées dans l'Annexe 1, le présent ATD et le Contrat constituent les instructions du Client au Fournisseur concernant le Traitement des Données à caractère personnel. Le Client doit immédiatement informer le Fournisseur de tout changement qui affecte les obligations du Fournisseur en vertu du présent ATD. 3.3 Les Données à caractère personnel en vertu du présent ATD peuvent également être Traitées si ce Traitement est requis par le droit de l'Union ou en vertu du droit national d'un État membre auquel le Fournisseur ou le Sous-traitant ultérieur est soumis. Si un tel Traitement est requis, le Fournisseur ou le Sous-traitant ultérieur doit informer le Client de l'exigence légale avant le Traitement, sauf si cette information est interdite pour des raisons d'intérêt public en vertu de cette loi. 3.4 Le Fournisseur a le droit de stocker et de Traiter les données dérivées du Client sous forme agrégée ou anonymisée, ne contenant aucune Donnée à caractère personnel, en vertu du présent ATD.
4. Sécurité
4.1 Le Fournisseur doit mettre en œuvre des mesures techniques et organisationnelles, comme l'exigent les Règles de protection des données, afin de garantir un niveau de sécurité approprié compte tenu du risque et de protéger les Données à caractère personnel en cours de Traitement contre la destruction, la perte ou l'altération accidentelle ou illicite, ou la divulgation non autorisée de, ou l'accès non autorisé aux Données à caractère personnel en cours de Traitement. 4.2 Le Fournisseur doit aider le Client à garantir que les obligations en vertu des articles 32 à 36 du RGPD sont remplies, en tenant compte du type de Traitement et des informations disponibles pour le Fournisseur. 4.3 Le Fournisseur doit notifier le Client sans retard indu après avoir pris connaissance d'une violation de données à caractère personnel.
5. Divulgation de Données à caractère personnel et d'Informations
5.1 Dans le cas où le Fournisseur reçoit une demande de la Personne concernée, de l'Autorité de contrôle ou d'un autre tiers pour obtenir des informations concernant les Données à caractère personnel que le Fournisseur Traite pour le compte du Client, le Fournisseur doit sans délai transmettre la demande au Client. Le Fournisseur et toute personne agissant sous l'autorité du Fournisseur ne peuvent pas divulguer de Données à caractère personnel ou d'autres informations sur le Traitement de Données à caractère personnel sans instructions explicites du Client, sauf si cette divulgation est requise selon les Règles de protection des données applicables. 5.2 Le Fournisseur doit aider le Client à se conformer à son obligation de répondre aux demandes concernant le droit d'accès, de rectification et d'effacement d'une Personne concernée, en prenant des mesures techniques et organisationnelles appropriées compte tenu de la nature du Traitement et aider à divulguer les Données à caractère personnel lorsque cela est requis par le droit national applicable.
6. Contact avec l'Autorité de contrôle
6.1 Le Fournisseur doit informer le Client de tout contact de l'Autorité de contrôle concernant le Traitement de Données à caractère personnel en vertu du présent ATD. Le Fournisseur n'est pas autorisé à représenter le Client ou à agir au nom du Client en relation avec l'Autorité de contrôle si cela n'est pas requis par les Règles de protection des données.
7. Sous-traitants ultérieurs
7.1 Les Données à caractère personnel peuvent être Traitées par un Sous-traitant ultérieur à condition que le Fournisseur conclue un accord écrit avec le Sous-traitant ultérieur qui lui impose les obligations correspondantes lors du Traitement de Données à caractère personnel conformément au présent ATD. 7.2 Le Fournisseur s'engage à informer le Client de tout projet de recours à de nouveaux Sous-traitants ultérieurs ou de remplacement de Sous-traitants ultérieurs. Le Client a le droit de s'opposer à ces changements. Une telle objection ne peut porter que sur des motifs objectifs liés au respect des exigences de sécurité techniques et organisationnelles lors du Traitement de Données à caractère personnel en vertu de l'ATD. 7.3 Le Fournisseur est responsable de s'assurer que les exigences relatives à l'utilisation de Sous-traitants ultérieurs en vertu des Règles de protection des données sont prises en compte et de s'assurer que ces Sous-traitants ultérieurs fournissent des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences des Règles de protection des données. 7.4 Le Fournisseur doit fournir au Client une liste correcte et à jour des Sous-traitants ultérieurs affectés au Traitement de Données à caractère personnel en vertu du présent ATD, ainsi que les Coordonnées et l'emplacement géographique du Traitement. Cette liste est disponible pour le Client à l'adresse https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. Le Fournisseur s'engage à notifier le Client de toute mise à jour de la liste des Sous-traitants ultérieurs et à s'assurer qu'elle est toujours correcte. 7.5 Si un Sous-traitant ultérieur ne remplit pas les obligations en vertu du Contrat, du présent ATD et/ou selon les Règles de protection des données, le Fournisseur est responsable de l'exécution des obligations du Sous-traitant ultérieur vis-à-vis du Client.
8. Audits
8.1 Le Fournisseur doit fournir au Client toutes les informations requises pour se conformer aux obligations selon le présent ATD et les Règles de protection des données dans un délai raisonnable après qu'une telle demande ait été faite par le Client au Fournisseur. 8.2 Le Fournisseur doit permettre et contribuer aux audits, y compris les inspections effectuées par le Client ou par un autre auditeur indépendant (aux frais du Client) sélectionné par le Client, et que le Fournisseur peut raisonnablement accepter. L'auditeur est tenu de signer des accords de confidentialité suffisants fournis par le Fournisseur avant les audits. Le Client a le droit d'effectuer un audit par an sans frais. Si le Client souhaite effectuer des audits supplémentaires, le Client doit indemniser le Fournisseur pour tous les coûts associés à l'audit/aux audits. 8.3 Le Fournisseur doit, concernant les obligations énoncées à la section 8 du présent ATD, informer immédiatement le Client si le Fournisseur considère qu'une instruction constitue une violation des Règles de protection des données.
9. Transferts de Données à caractère personnel en dehors de l'UE/EEE
9.1 Dans le cas où le Fournisseur et/ou le Sous-traitant ultérieur transfère des Données à caractère personnel vers un lieu en dehors de l'UE/EEE, le Fournisseur et/ou les Sous-traitants ultérieurs doivent s'assurer qu'un tel transfert est conforme aux Règles de protection des données applicables.
10. Confidentialité
10.1 Le fournisseur doit, le cas échéant, se conformer à la législation nationale applicable aux informations classifiées ou confidentielles. Le Fournisseur s'engage à s'assurer que le personnel autorisé à traiter les Données à caractère personnel en vertu du présent ATD s'est engagé à respecter la confidentialité du Traitement ou est soumis à une obligation légale de confidentialité applicable. 10.2 La section 10.1 ci-dessus ne s'applique pas aux informations demandées par l'Autorité de contrôle conformément aux Règles de protection des données ou à toute autre obligation légale. 10.3 L'obligation de confidentialité s'applique également après que le Contrat et/ou l'ATD ait cessé de s'appliquer.
11. Portabilité des données
11.1 Le Fournisseur doit s'assurer que le Client est en mesure de remplir toute obligation concernant la Portabilité des données relative aux Données à caractère personnel que le Fournisseur Traite pour le compte du Client.
12. Indemnisation
12.1 Dans le cas où les obligations imposées au Fournisseur conformément aux Sections 5, 8, 9 et 11 entraînent un travail important pour le Fournisseur, le Fournisseur a droit à une indemnisation raisonnable de la part du Client. 12.2 Dans le cas où le Client présente une objection légitime à un nouveau Sous-traitant ultérieur conformément à la Section 7 et que le Fournisseur n'accepte pas de remplacer le Sous-traitant ultérieur, le Fournisseur a droit à une indemnisation supplémentaire de la part du Client pour les coûts encourus par le Fournisseur en raison du fait que le Sous-traitant ultérieur ne peut pas être utilisé. 12.3 Le Fournisseur a droit à une indemnisation raisonnable pour tout travail et tous les coûts qui découlent des Instructions du Client pour le Traitement si celles-ci dépassent les fonctionnalités et le niveau de sécurité basés sur les services que le Fournisseur fournit normalement à ses clients, par exemple dans le cas où le système/les services du Fournisseur ou autre nécessite que le Fournisseur effectue des ajustements spéciaux pour le compte du Client.
13. Responsabilité
13.1 Si le Fournisseur, toute personne agissant sous l'autorité du Fournisseur ou un Sous-traitant ultérieur, Traite des Données à caractère personnel en violation du présent ATD ou des Instructions pour le Traitement des données fournies par le Client, le Fournisseur doit, compte tenu de la limitation de responsabilité découlant du Contrat, indemniser le Client pour le dommage direct subi par le Client en raison du Traitement illicite. Indépendamment de la limitation de responsabilité dans le présent Contrat, la responsabilité du Fournisseur en vertu du paragraphe 13.1 est toujours limitée à un montant équivalent aux frais payés par le Client au Fournisseur en vertu du Contrat pour une période de douze (12) mois avant que le dommage ne se produise. Dans le cas où le Contrat n'a pas été valide pendant une année contractuelle complète, ce montant doit être calculé sur les coûts que le Client est censé payer pendant une année contractuelle en vertu du Contrat. 13.2 Pendant la durée du présent ATD et par la suite, le Client doit indemniser et dégager le Fournisseur de toute responsabilité pour tout dommage direct, y compris les réclamations des Personnes concernées et de tiers, que le Fournisseur a subi en raison d'instructions peu claires, inadéquates ou illicites du Client, ou autrement, selon les circonstances découlant du Client. 13.3 L'obligation du Fournisseur de payer des dommages-intérêts, énoncée à la section 13.1 ci-dessus, ne s'applique que, à condition que i) le Client informe sans retard indu le Fournisseur par écrit de toute réclamation contre le Client ; et ii) le Client permette au Fournisseur de contrôler la défense de la réclamation et de prendre des décisions indépendantes concernant le règlement.
14. Durée et Résiliation
14.1 Le présent ATD entre en vigueur lorsqu'il est dûment signé par les deux Parties, soit séparément en tant qu'amendement au Contrat, soit dans le cadre du Contrat, et reste en vigueur tant que le Fournisseur Traite des Données à caractère personnel pour le compte du Client. 14.2 À la résiliation du Contrat ou du présent ATD (selon ce qui se produit en premier), le Fournisseur doit, conformément aux instructions du Client, supprimer ou restituer toutes les Données à caractère personnel au Client et s'assurer que tous les Sous-traitants ultérieurs fassent de même. 14.3 Si le Client n'a pas demandé que les Données à caractère personnel soient restituées, le Fournisseur doit supprimer les données dans les 90 jours suivant la résiliation de l'ATD ou du Contrat (selon ce qui se produit en premier). Le fournisseur doit supprimer toutes les copies existantes sauf si le stockage de Données à caractère personnel est requis par le droit de l'Union ou le droit national de l'État membre.
15. Modifications et ajouts
15.1 Si les Règles de protection des données sont modifiées pendant la durée du présent ATD, ou si l'Autorité de contrôle émet des lignes directrices, des décisions ou des règlements concernant l'application des Règles de protection des données qui ont pour conséquence que le présent ATD ne répond plus aux exigences d'un ATD, les Parties doivent apporter les modifications nécessaires au présent ATD, afin de répondre à ces exigences nouvelles ou supplémentaires. Ces modifications entrent en vigueur au plus tard trente (30) jours après qu'une Partie envoie un avis de modification à l'autre Partie ou autrement au plus tard comme prescrit par les Règles de protection des données, les lignes directrices, les décisions ou les règlements de l'Autorité de contrôle. 15.2 Les autres modifications et ajouts au présent ATD, pour être contraignants, doivent être faits par écrit et dûment signés par les deux Parties.
16. Dispositions diverses
16.1 Le présent ATD remplace et annule tous les ATD antérieurs entre les Parties et remplace toutes les dispositions divergentes du Contrat concernant l'objet du présent ATD, indépendamment de ce qui est autrement indiqué dans le Contrat. 16.2 Le présent ATD est régi par la même loi et soumis au même for que le Contrat. 16.3 En outre, les termes du Contrat s'appliquent également au Traitement par le Fournisseur de Données à caractère personnel et aux obligations en vertu du présent ATD. Toutefois, en cas de contradictions entre les dispositions du Contrat et du présent ATD, les dispositions de l'ATD prévaudront concernant tout Traitement de Données à caractère personnel. Les dispositions du Contrat ne peuvent pas restreindre ou modifier l'une des obligations du présent ATD. 16.4 Le présent ATD est régi par la même loi et soumis au même for que celui indiqué dans le Contrat.
Annexe 1 – Instructions de traitement des données
Dans ces instructions de traitement des données, tous les mots en majuscules ont le même sens que celui défini dans l'ATD, sauf indication contraire expresse.
| Finalités Veuillez préciser toutes les finalités pour lesquelles les Données à caractère personnel seront Traitées par le Fournisseur en tant que sous-traitant de données du Client | Le Fournisseur traite les données à caractère personnel aux fins de l'exécution du service en vertu du Contrat. Les données à caractère personnel peuvent également être traitées pour le support informatique et les services connexes. En outre, le Fournisseur traite les données pour la détection de fraude et d'autres actions préventives. |
|---|---|
| Catégories de données Veuillez préciser les Données à caractère personnel qui seront Traitées par le Fournisseur en tant que sous-traitant de données | Le Fournisseur traite les catégories suivantes de données à caractère personnel : |
- Informations et données transférées par le Client au Fournisseur lors de l'utilisation des services du Fournisseur,
- données utilisateur et informations relatives à l'utilisation des services du fournisseur,
- contenu généré par l'utilisateur final, et
- autres informations pertinentes pour le support informatique et les services connexes.
Le Fournisseur ne Traite pas de données à caractère personnel sensibles, le Client est responsable de s'assurer que les données à caractère personnel sensibles ne sont pas transférées aux services du Fournisseur sauf si le Fournisseur a fourni au Client un consentement écrit à l'avance pour un tel Traitement. Catégories de personnes concernées Veuillez préciser les catégories de personnes concernées dont les Données à caractère personnel seront Traitées par le Fournisseur en tant que sous-traitant de données | Le fournisseur traite les catégories suivantes de Personnes concernées :
- Informations sur les utilisateurs enregistrés, et
- Informations sur les Personnes concernées qui apparaissent dans les documents que le Client transfère au Fournisseur par l'utilisation de l'un des services du Fournisseur, et
- Informations sur les utilisateurs finaux.
Exigences de conservation Veuillez préciser la durée de conservation des Données à caractère personnel stockées par le Fournisseur | Les données à caractère personnel doivent être supprimées à la demande du Client et selon les instructions du Client. Le Fournisseur a une période de conservation de 90 jours après la résiliation du Contrat ou de l'ATD.