Le présent addendum sur le traitement des données ("addendum" ou"DPA") s'applique aux accords conclus entre Dash Hudson Inc, une société canadienne ("Dash Hudson") et les entités qui s'abonnent aux services de Dash Hudsonet qui sont soumises à la loi applicable ("Société"), et collectivement avec Dash Hudson, les "Parties"), et définit les conditions relatives à la vie privée, à la confidentialité et à la sécurité des données personnelles de la Société (telles que définies ci-dessous) associées aux services devant être fournis par Dash Hudson à la Société conformément à l'accord d'abonnement conclu entre les Parties, (l'"Accord-cadre").
(A) "Droit applicable": toutes les lois et réglementations applicables relatives à la vie privée, à la confidentialité, à la sécurité et à la protection des données à caractère personnel, y compris, le cas échéant, les lois européennes sur la protection des données.
(B) "Approved UK Addendum": le modèle d'addendum, version B. 1.0, publié par le commissaire à l'information du Royaume-Uni en vertu du S119A(1) Data Protection Act 2018 et déposé devant le Parlement britannique le 2 février 2022, tel qu'il peut être révisé conformément à l'article 18 des clauses obligatoires ;
(C) "Pays adéquat" signifie tout pays ou territoire reconnu comme offrant une protection adéquate pour les transferts de données à caractère personnel en vertu d'une décision d'adéquation prise de temps à autre par (selon le cas) : (i) la Commission européenne en vertu du GDPR ; ou (ii) l'Information Commissioner's Office ("ICO") du Royaume-Uni et/ou en vertu du droit britannique applicable.
(D) "Responsable du traitement": une personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
(E ) "Processeur" désigne une personne physique ou morale qui traite des données à caractère personnel pour le compte du contrôleur.
(F ) "Mesures de sécurité des données": mesures techniques et organisationnelles visant à assurer un niveau de sécurité des données à caractère personnel adapté au risque du traitement, y compris la protection des données à caractère personnel contre la perte accidentelle ou illicite, l'utilisation abusive, l'accès non autorisé, la divulgation, l'altération, la destruction et toute autre forme de traitement illicite, y compris les mesures visant à assurer la confidentialité des données à caractère personnel.
(G ) "Personne concernée": une personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
(H) "Lois européennes sur la protection des données": les lois sur la protection des données applicables en Europe, y compris : (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ("GDPR") ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables de (i) et (ii) ; ou (iii) le GDPR tel qu'il fait partie du droit interne du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) ("GDPR britannique") ; et (iv) la loi suisse sur la protection des données ; dans chaque cas, tel qu'il peut être modifié, annulé ou remplacé.
(I) "EEE": l'Espace économique européen.
(J) "Instructions": l'accord-cadre, le présent addenda et tout autre accord ou document écrit par lequel le responsable du traitement des données donne au sous-traitant des données l'instruction d'effectuer un traitement spécifique des données à caractère personnel.
(K) "Données personnelles de l'entreprise": les données personnelles traitées par Dash Hudson conformément aux instructions de l'entreprise en vertu du présent addendum.
(L) "Données à caractère personnel": toute information concernant une personne physique identifiée ou identifiable.
(M) "Violation de données à caractère personnel" une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée des données à caractère personnel de l'entreprise transmises, stockées ou traitées d'une autre manière, ou l'accès à celles-ci, de manière accidentelle ou illicite.
(N) "Traitement", "traité" ou "traitement": toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
(O) "Incident de sécurité": une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé (y compris l'accès interne non autorisé) aux données à caractère personnel de l'entreprise, de manière accidentelle ou illicite.
(P) "Services": les services offerts par Dash Hudson et souscrits par la société dans le cadre du contrat-cadre.
(Q) "Sous-traitant": tout sous-traitant tiers engagé par Dash Hudson pour l'aider à remplir les obligations de Dash Hudsonau titre de l'accord Maser. Le sous-processeur exclut tout employé de Dash Hudson .
(R) "Clauses contractuelles types" ou "CCN de l'UE": les clauses contractuelles types annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, actuellement disponibles à l'adresse https://ec.europa.eu/info/system/files/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf %20, telles qu'elles peuvent être modifiées, annulées ou remplacées.
(S) "Loi suisse sur la protection des données": la loi fédérale suisse sur la protection des données du 19 juin 1992 et, lorsqu'elle sera en vigueur, la loi fédérale suisse sur la protection des données du 25 septembre 2020 et ses ordonnances correspondantes, telles que modifiées, annulées ou remplacées de temps à autre.
(T) "UK" signifie Royaume-Uni.
(A) Les parties reconnaissent et conviennent que la Société agit en tant que contrôleur et qu'elle a le pouvoir exclusif de déterminer les finalités et les moyens du traitement des données à caractère personnel de la Société traitées dans le cadre du présent addendum, et que Dash Hudson agit en tant que sous-traitant pour le compte et selon les instructions de la Société.
(B) Toutes les données personnelles de l'entreprise seront et resteront à tout moment la propriété exclusive de l'entreprise et Dash Hudson n'aura ni n'obtiendra aucun droit sur ces données.
Dash Hudson accepte et garantit que :
(A) Traiter les données à caractère personnel de la Société uniquement pour le compte et conformément aux instructions du contrôleur et à l'annexe 1 du présent addendum, sauf si Dash Hudson est autrement tenu par le droit applicable du Royaume-Uni ou d'un État membre de l'UE, auquel cas Dash Hudson informera la Société de cette obligation légale avant de traiter les données à caractère personnel de la Société, sauf si cette information est interdite par ledit droit. Dash Hudson informera immédiatement la Société si, de l'avis de Dash Hudson, une instruction fournie enfreint le droit applicable du Royaume-Uni ou d'un État membre de l'UE.
(B) S'assurer que toute personne autorisée par Dash Hudson à traiter les données personnelles de l'entreprise dans le cadre des services n'a accès aux données personnelles de l'entreprise que sur la base du besoin de savoir, qu'elle est soumise à une obligation de confidentialité contractuelle ou légale dûment applicable et qu'elle ne traite les données personnelles de l'entreprise que conformément aux instructions du responsable du traitement.
(C) Compte tenu de la nature du Traitement et des informations dont dispose Dash Hudson, Dash Hudson fournira l'assistance que la Société demande raisonnablement en ce qui concerne les obligations de la Société en vertu du Droit applicable en ce qui concerne : (i) les évaluations d'impact de la protection des données ; et (ii) la sécurité du Traitement des Données à caractère personnel de la Société.
(D) Informer rapidement la Société de toute demande formelle émanant de Personnes concernées exerçant leurs droits d'accès, de rectification ou d'effacement de leurs Données à caractère personnel de la Société, leur droit de restreindre le Traitement ou de s'y opposer, ainsi que leur droit à la portabilité des données, et ne pas répondre à ces demandes, sauf si la Société leur en donne l'instruction par écrit. Compte tenu de la nature du traitement des données à caractère personnel de l'Entreprise, Dash Hudson aidera l'Entreprise, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir les obligations de l'Entreprise de répondre à la demande d'une personne concernée d'exercer ses droits en ce qui concerne les données à caractère personnel de l'Entreprise.
(E) Notifier immédiatement par écrit à la Société toute citation à comparaître ou autre ordonnance judiciaire ou administrative émanant d'une autorité ou d'une procédure gouvernementale et demandant l'accès aux données à caractère personnel de la Société ou leur divulgation. La Société a le droit de défendre une telle action à la place et au nom de Dash Hudson. La Société peut, si elle le souhaite, demander une ordonnance de protection.
(F) Tenir un ou plusieurs registres internes des activités de traitement, dont des copies seront fournies à la Société par Dash Hudson ou aux autorités de contrôle sur demande. Ces registres doivent contenir au moins : (i) le nom et les coordonnées de Dash Hudson; (ii) les catégories d'activités de traitement effectuées en vertu du présent addendum ; (iii) des informations sur les transferts de données vers un pays tiers ou un tiers, le cas échéant ; et (iv) une description générale des mesures de sécurité des données mises en œuvre pour protéger les données à caractère personnel de l'Entreprise traitées en vertu du présent addendum.
(A) La Société accorde une autorisation générale à Dash Hudson de désigner ses Sociétés affiliées ou des tiers en tant que Sous-traitants ultérieurs pour soutenir l’exécution des Services. Dash Hudson tiendra à jour une liste des Sous-traitants ultérieurs disponibles à https://www.dashhudson.com/subprocessors et fournira à la Société un préavis écrit de 30 jours dans le cas où : Dash Hudson proposé d’ajouter d’autres sous-traitants ultérieurs. Si la Société a une objection raisonnable à l’égard d’un nouveau Sous-traitant ultérieur, elle doit en informer Dash Hudson par écrit dans les 15 jours suivant la notification et les Parties s’efforceront de résoudre la question de bonne foi. Si la Société n’est pas raisonnablement convaincue que le Sous-traitant ultérieur respecte la sécurité et la protection de la vie privée de la Loi applicable, la Société, à titre de seul recours, peut, dans ce délai de 15 jours, résilier le Contrat-cadre.
(B) Dash Hudson s'assurera que tout Sous-Traitant qu'il engage pour fournir un aspect des Services en son nom dans le cadre du présent Addendum le fait uniquement sur la base d'un contrat écrit qui impose à ce Sous-Traitant des conditions substantiellement non moins protectrices des Données Personnelles que celles imposées à Dash Hudson dans le cadre du présent Addendum (les "Conditions du Sous-Traitant"). Dash Hudson sera responsable envers la Société de toute violation par ce Sous-Traitant des Conditions pertinentes dans la mesure requise par le Droit Applicable.
(A) Chaque partie s'engage envers l'autre à respecter toutes les lois applicables dans l'utilisation des services.
(B) Entre les parties, la Société est responsable de la légalité du traitement des données personnelles de la Société. L'Entreprise n'utilisera pas les Services en conjonction avec les Données Personnelles dans la mesure où cela violerait les Lois de Protection des Données applicables.
(C) Dash Hudson négociera de bonne foi tout autre accord de traitement des données raisonnablement demandé par la Société à des fins de conformité avec le droit applicable. En cas de conflit entre le présent addenda et l'accord-cadre, le présent addenda prévaut en ce qui concerne le traitement des données à caractère personnel qu'il couvre. En cas d'incohérence entre le présent addenda et le CCAP de l'UE et/ou l'addenda du Royaume-Uni, le CCAP de l'UE et/ou l'addenda du Royaume-Uni prévaudront.
(A) L'Entreprise reconnaît et accepte que la fourniture des Services peut impliquer le transfert de Données Personnelles de l'Entreprise vers, et le traitement des Données Personnelles de l'Entreprise dans, des lieux situés en dehors du Royaume-Uni, de la Suisse et/ou de l'EEE de temps à autre, y compris le Traitement aux États-Unis et dans tout pays dans lequel Dash Hudson, ses Affiliés et les Sous-Traitants autorisés exécutent les Services.
(B) Dans la mesure où les Données à caractère personnel de l'Entreprise sont transférées à Dash Hudson et traitées par Dash Hudson en dehors de l'EEE (sauf si elles se trouvent dans un Pays adéquat) dans des circonstances où ce transfert ou ce traitement serait interdit par le GDPR de l'UE en l'absence d'un mécanisme de transfert, les Parties conviennent que les CCN de l'UE (Module deux), telles qu'elles figurent dans la Pièce 1, s'appliqueront à ce traitement et sont incorporées dans le présent Addendum.
(C) Dans la mesure où les données personnelles de la Société sont transférées à Dash Hudson et traitées par Dash Hudson en dehors du Royaume-Uni (sauf si elles se trouvent dans un pays adéquat) dans des circonstances où ce transfert ou ce traitement serait interdit par le GDPR du Royaume-Uni en l'absence d'un mécanisme de transfert, les parties conviennent que les CCN de l'UE (module deux), telles qu'elles figurent dans la pièce 1, sous réserve de l'addendum britannique approuvé, tel qu'il figure dans la pièce 2, s'appliqueront à ce traitement et sont incorporées dans le présent addendum.
(D) Dans la mesure où les Données Personnelles de l'Entreprise sont transférées à Dash Hudson et traitées par Dash Hudson en dehors de la Suisse (sauf dans un Pays Adéquat) dans des circonstances où un tel transfert ou traitement serait interdit par la Loi Suisse sur la Protection des Données en l'absence d'un mécanisme de transfert, les Parties conviennent que les CCAP de l'UE (Module Deux) telles que définies dans l'Annexe 1, sous réserve des Conditions Spécifiques Suisses définies dans l'Annexe 3, s'appliqueront en ce qui concerne ce Traitement et sont incorporées dans le présent Addendum.
(E) Dans la mesure où l'exécution du présent addenda et/ou de l'accord-cadre implique que Dash Hudson transfère des données personnelles de l'entreprise à un sous-traitant ultérieur (ce qui inclut, sans s'y limiter, toute société affiliée à Dash Hudson) et, sans préjudice de la clause IV, lorsque ce sous-traitant ultérieur traitera des données personnelles de l'entreprise en dehors du Royaume-Uni, Suisse ou de l'EEE (sauf s'il s'agit d'un pays adéquat), Dash Hudson doit, avant un tel transfert, prendre des mesures pour mettre en place un mécanisme juridique permettant d'assurer l'adéquation de ce traitement, comme l'obligation pour Dash Hudson de signer les CCAP de l'UE et/ou l'addendum britannique approuvé avec le sous-traitant ultérieur.
(A) Dash Hudson doit développer, maintenir et mettre en œuvre un programme écrit de sécurité de l'information conforme au droit applicable et aux bonnes pratiques industrielles. Dash HudsonLe programme de sécurité de l'information d'EDC comprend des garanties administratives, techniques, physiques, organisationnelles et opérationnelles appropriées et d'autres mesures de sécurité conçues pour (i) assurer la sécurité et la confidentialité des données à caractère personnel ; (ii) protéger contre toute menace ou tout risque anticipé pour la sécurité et l'intégrité des données à caractère personnel ; et (iii) protéger contre les incidents de sécurité, y compris, le cas échéant :
(B) Dash Hudson supervisera le personnel de Dash Hudson dans la mesure où cela est nécessaire pour assurer le respect de la vie privée, la confidentialité et la sécurité des données à caractère personnel de la Société. Dash Hudson fournira une formation, le cas échéant, concernant les exigences en matière de respect de la vie privée, de confidentialité et de sécurité de l'information énoncées dans le présent addendum à l'ensemble du personnel de Dash Hudson qui a accès aux données à caractère personnel de la Société.
(C) Dès l'expiration ou la résiliation anticipée de l'accord-cadre, Dash Hudson doit, à la demande de la Société, renvoyer ou détruire en toute sécurité ou rendre illisibles ou indéchiffrables tous les originaux et copies sur tous les supports de toutes les données personnelles de la Société en possession, sous la garde ou sous le contrôle de Dash Hudson, de ses sociétés affiliées ou de leurs sous-traitants respectifs. Dans le cas où la loi applicable exige que Dash Hudson continue à stocker les données personnelles du client, Dash Hudson garantit qu'il assurera la confidentialité des données personnelles de l'entreprise.
Dash Hudson informera sans délai la Société par écrit de toute violation de données à caractère personnel dont Dash Hudson aura eu connaissance, mais en aucun cas plus de soixante-douze (72) heures après avoir pris connaissance de la violation de données à caractère personnel. La notification à la Société comprendra toutes les informations raisonnables en possession de Dash Hudson concernant cette violation de données à caractère personnel, y compris des informations sur :
Dash Hudson prendra rapidement toutes les mesures correctives nécessaires et souhaitables et coopérera avec la Société dans le cadre d'efforts raisonnables et légitimes visant à prévenir, atténuer ou rectifier cette violation de données à caractère personnel. Dash Hudson fournira l'assistance raisonnablement requise pour permettre à la Société de satisfaire à l'obligation qui lui incombe en vertu des lois applicables de notifier la violation de données à caractère personnel à l'autorité de surveillance compétente et/ou aux personnes concernées.
Dash Hudson devra, sur demande écrite (mais pas plus d'une fois par an, sauf en cas de violation de données à caractère personnel), mettre à la disposition de la Société toutes les informations en possession de Dash Hudson nécessaires pour démontrer le respect par Dash Hudson des obligations énoncées dans le présent addendum et, aux frais de la Société, permettre les audits, y compris les inspections, effectués par la Société ou par un autre auditeur mandaté par la Société, et y contribuer. Sur demande écrite préalable de la Société (à condition que ce ne soit pas plus d'une fois par an, sauf en cas de violation de données à caractère personnel), Dash Hudson s'engage à coopérer et, dans un délai raisonnable, à fournir à la Société : (a) les rapports d'audit et toutes les informations en possession de Dash Hudson nécessaires pour démontrer le respect par Dash Hudsondes obligations énoncées dans le présent addendum ; et (b) la confirmation que l'audit n'a pas révélé de vulnérabilité importante dans les systèmes de Dash Hudsonou, dans la mesure où une telle vulnérabilité a été détectée, que Dash Hudson a entièrement remédié à cette vulnérabilité. Dash HudsonLe non-respect par la Société de cette obligation l'autorise à suspendre le traitement des données à caractère personnel de la Société traitées par Dash Hudson et à mettre fin à tout traitement ultérieur des données à caractère personnel de la Société en vertu du présent addenda et/ou de l'accord-cadre, si cela est nécessaire pour se conformer à la législation applicable.
Le présent addenda est régi par le droit de la Nouvelle-Écosse, Canada, sauf disposition contraire du droit applicable. Dans tous les autres cas, le présent addenda est régi par les lois de la juridiction spécifiée dans l'accord-cadre.
En foi de quoi, les parties, par leurs représentants autorisés, ont signé le présent accord à la date de l'accord-cadre.
ANNEXE 1 : PORTÉE DU TRAITEMENT DES DONNÉES
PORTÉE DU TRAITEMENT DES DONNÉES
La présente annexe fait partie de l'addendum sur le traitement des données conclu entre la société et Dash Hudson.
Le Traitement des données personnelles concerne les catégories suivantes de personnes concernées :
Le Traitement concerne les catégories suivantes de Données à caractère personnel :
Le Traitement concerne les catégories suivantes de Données sensibles :
Par données sensibles, on entend les données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle.
Bien que cela ne soit pas obligatoire, les utilisateurs de la société peuvent nous fournir une photo de profil pour leur profil d'utilisateur au sein de la plateforme Dash Hudson . Cette photo peut révéler ou non certaines des données sensibles susmentionnées.
Informations sensibles contenues ou associées à des photos ou à d'autres contenus créés par des utilisateurs finaux de médias sociaux ayant un profil public et ayant interagi directement avec la ou les poignées de médias sociaux de l'entreprise (de la marque), accessibles via l'API du canal social concerné.
L'objet du traitement est la fourniture par Dash Hudson de services à l'entreprise.
Le traitement concerne les catégories suivantes d'activités de traitement des données (c'est-à-dire la nature et les finalités du traitement) :
La durée du traitement est celle de l'accord-cadre ou jusqu'à ce que le traitement ne soit plus nécessaire aux fins poursuivies.