NOTA: Pour s'assurer qu'aucun terme incohérent ou supplémentaire ne nous est imposé au-delà de ce qui est reflété dans notre DPA standard et nos clauses modèles, nous ne pouvons pas accepter de signer les DPA des clients. En tant que petite équipe, nous ne pouvons également pas apporter de modifications individuelles à notre DPA car nous n'avons pas d'équipe juridique en interne. Toute modification du DPA standard nécessiterait une consultation juridique et beaucoup d'échanges qui seraient coûteux pour notre équipe.

Cet Accord de Traitement des Données ("Accord") pour l'UE et le Royaume-Uni complète les Conditions de Service (l'"Accord") conclu entre le client signant cet Accord ("Client") et Logike ("Société"). En exécutant l'Accord conformément à l'Article 11 des présentes, le Client conclut cet Accord en son nom et, dans la mesure où cela est requis en vertu des Lois de Protection des Données applicables (définies ci-dessous), au nom et pour le compte de ses Affiliés (définis ci-dessous), le cas échéant. Cet Accord intègre les termes de l'Accord, et tout terme non défini dans cet Accord aura le sens qui lui est attribué dans l'Accord.

1\. Définitions

1.1 "Affilié" désigne (i) une entité dont une partie possède directement ou indirectement cinquante pour cent (50 %) ou plus des actions ou d'autres intérêts en capitaux, (ii) une entité qui possède au moins cinquante pour cent (50 %) ou plus des actions ou d'autres intérêts en capitaux d'une partie, ou (iii) une entité qui est sous un contrôle commun avec une partie en ayant au moins cinquante pour cent (50 %) ou plus des actions ou d'autres intérêts en capitaux de cette entité et une partie détenue par la même personne, mais cette entité ne sera considérée comme un Affilié tant que cette propriété existe.

1.2 "Sous-traitant Autorisé" désigne un tiers qui a besoin de connaître ou d'accéder autrement aux Données Personnelles du Client pour permettre à la Société de remplir ses obligations en vertu de cet Accord ou de l'Accord, et qui est soit (1) mentionné dans l'Annexe B ou (2) ultérieurement autorisé en vertu de l'Article 4.2 de cet Accord.

1.3 "Données de Compte du Client" signifie les données personnelles qui se rapportent à la relation du Client avec la Société, y compris les noms ou les coordonnées des personnes autorisées par le Client à accéder au compte et aux informations de facturation du Client. Les Données de Compte du Client incluent également toute donnée que la Société pourrait avoir besoin de collecter dans le but de gérer sa relation avec le Client, de vérifier l'identité, ou comme autrement requis par les lois et règlements applicables.

1.4 "Données d'Utilisation du Client" désigne les données d'utilisation du Service collectées et traitées par la Société en relation avec la fourniture des Services, y compris sans limitation les données utilisées pour identifier la source et la destination d'une communication, les journaux d'activité, et les données utilisées pour optimiser et maintenir la performance des Services, et pour enquêter et prévenir les abus du système.

1.5 "Exportateur de Données" désigne le Client.

1.6 "Importateur de Données" désigne la Société.

1.7 "Lois de Protection des Données" désigne toutes les lois et réglementations applicables dans toute juridiction pertinente concernant l'utilisation ou le traitement de Données Personnelles, y compris : (i) la Loi californienne sur la protection de la vie privée des consommateurs ("CCPA"), (ii) le Règlement général sur la protection des données (Règlement (UE) 2016/679) ("RGPD UE" ou "RGPD"), (iii) la Loi fédérale suisse sur la protection des données, (iv) le RGPD UE tel qu'il constitue une partie de la loi de l'Angleterre et du Pays de Galles en vertu de l'article 3 de la Loi européenne (Retrait) de 2018 (le "RGPD UK"); (v) la Loi britannique sur la protection des données de 2018; et (vi) les Règlements de 2003 sur la vie privée et les communications électroniques (Directive CE); dans chaque cas, tels que mis à jour, modifiés ou remplacés de temps à autre. Les termes "Sous-jacent de Données", "Données Personnelles", "Violation de Données Personnelles", "traitement", "processeur", "responsable du traitement", et "autorité de surveillance" auront les significations établies dans le RGPD.

1.8 "SCC de l'UE" désignent les clauses contractuelles types approuvées par la Commission Européenne dans la Décision de la Commission 2021/914 datée du 4 juin 2021, pour les transferts de données personnelles vers des pays non reconnus comme offrant un niveau de protection adéquat pour les données personnelles par la Commission Européenne (tel que modifié et mis à jour de temps à autre).

1.9 "Transfert ex-EEE" désigne le transfert de Données Personnelles, qui est traité conformément au RGPD, de l'Exportateur de Données à l'Importateur de Données (ou à ses locaux) en dehors de l'Espace économique européen (l'"EEE"), et ce transfert n'est pas régi par une décision d'adéquation prise par la Commission Européenne conformément aux dispositions pertinentes du RGPD.

1.10 "Transfert ex-RU" désigne le transfert de Données Personnelles, qui est traité conformément au RGPD UK et à la Loi sur la protection des données de 2018, de l'Exportateur de Données à l'Importateur de Données (ou à ses locaux) en dehors du Royaume-Uni (le "RU"), et ce transfert n'est pas régi par une décision d'adéquation prise par le Secrétaire d'État conformément aux dispositions pertinentes du RGPD UK et à la Loi sur la protection des données de 2018.

1.11 "Services" a le sens qui lui est attribué dans l'Accord.

1.12 "Clauses contractuelles types" désigne les SCC de l'UE et les SCC du RU.

1.13 "SCC du RU" désigne les clauses contractuelles types approuvées par la Commission Européenne pour les transferts de données personnelles vers des pays non reconnus comme offrant un niveau de protection adéquat pour les données personnelles par la Commission Européenne, soit (i) les clauses de responsable du traitement à processeur approuvées par la Commission Européenne dans la Décision 2010/87/UE, datée du 5 février 2010 (tel que modifié et mis à jour de temps à autre) ("SCC du Responsable au Processeur du RU"); soit (ii) les clauses de responsable à responsable approuvées par la Commission Européenne dans la Décision 2004/915/CE, datée du 27 décembre 2004 (tel que modifié et mis à jour de temps à autre) ("SCC du Responsable au Responsable du RU").

2.Relationship des Parties; Traitement des Données

2.1 Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des Données Personnelles, le Client peut agir soit en tant que responsable du traitement, soit en tant que processeur et, sauf disposition expresse contraire dans cet Accord ou l'Accord, la Société est un processeur. Le Client doit, dans son utilisation des Services, à tout moment traiter les Données Personnelles et donner des instructions pour le traitement des Données Personnelles, en conformité avec les Lois de Protection des Données. Le Client doit s'assurer que le traitement des Données Personnelles conformément aux instructions du Client ne provoquera pas de violation des Lois de Protection des Données par la Société. Le Client est seul responsable de l'exactitude, de la qualité et de la légalité de (i) les Données Personnelles fournies à la Société par ou au nom du Client, (ii) les moyens par lesquels le Client a acquis ces Données Personnelles, et (iii) les instructions qu'il fournit à la Société concernant le traitement de ces Données Personnelles. Le Client ne doit pas fournir ou mettre à disposition de la Société des Données Personnelles en violation de l'Accord ou autrement inappropriées pour la nature des Services, et doit indemniser la Société contre toutes les réclamations et pertes y afférentes.

2.2 La Société ne doit pas traiter les Données Personnelles (i) à des fins autres que celles énoncées dans l'Accord et/ou l'Annexe A, (ii) d'une manière incompatible avec les termes et conditions établis dans cet Accord ou toute autre instruction documentée fournie par le Client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si cela est requis par une Autorité de Surveillance à laquelle la Société est soumise ; dans ce cas, la Société doit informer le Client de cette exigence légale avant le traitement, sauf si cette loi interdit une telle information pour des raisons impérieuses d'intérêt public, ou (iii) en violation des Lois de Protection des Données. Le Client donne par les présentes instruction à la Société de traiter les Données Personnelles conformément aux dispositions ci-dessus et dans le cadre de tout traitement initié par le Client dans son utilisation des Services. Ces instructions doivent toujours être documentées.

2.3 Le sujet, la nature, l'objectif et la durée de ce traitement, ainsi que les types de Données Personnelles collectées et les catégories de Sujets de Données, sont décrits dans l'Annexe A de cet Accord.

2.3 À l'issue de la réalisation des Services, au choix du Client, la Société doit retourner ou supprimer les Données Personnelles du Client, sauf si un stockage ultérieur de ces Données Personnelles est requis ou autorisé par la loi applicable. Si le retour ou la destruction s'avère peu pratique ou interdit par la loi, la règle ou le règlement, la Société doit prendre des mesures pour bloquer ces Données Personnelles de tout traitement ultérieur (sauf dans la mesure nécessaire à son hébergement ou traitement continu requis par la loi, la règle ou le règlement) et doit continuer à protéger de manière appropriée les Données Personnelles restantes en sa possession, garde ou contrôle. Si le Client et la Société ont conclu des Clauses contractuelles types telles que décrites à l'Article 6 (Transferts de Données Personnelles), les parties conviennent que la certification de suppression de Données Personnelles décrite dans la Clause 12(1) des SCC du RU et la Clause 8.1(d) et la Clause 8.5 des SCC de l'UE (selon le cas) doit être fournie par la Société au Client seulement sur demande du Client.

2.4 CCPA. Sauf en ce qui concerne les Données de Compte du Client et les Données d'Utilisation du Client, les parties reconnaissent et conviennent que la Société est un fournisseur de services aux fins du CCPA (dans la mesure où il s'applique) et reçoit des informations personnelles du Client afin de fournir les Services conformément à l'Accord, ce qui constitue un objectif commercial. La Société ne doit pas vendre ces informations personnelles. La Société ne doit pas conserver, utiliser ou divulguer des informations personnelles fournies par le Client conformément à l'Accord, sauf dans la mesure nécessaire pour le but spécifique de fournir les Services au Client conformément à l'Accord, ou autrement tel que prévu dans l'Accord ou autorisé par le CCPA. Les termes "informations personnelles", "fournisseur de services", "vente", et "vendre" sont comme définis dans la Section 1798.140 du CCPA. La Société certifie qu'elle comprend les restrictions de cette Section 2.4.

Confidentialité

La Société doit s'assurer que toute personne qu'elle autorise à traiter les Données Personnelles a accepté de protéger les Données Personnelles conformément aux obligations de confidentialité de la Société dans l'Accord. Le Client convient que la Société peut divulguer les Données Personnelles à ses conseillers, auditeurs ou autres tiers comme raisonnablement requis en rapport avec l'exécution de ses obligations en vertu de cet Accord, de l'Accord, ou de la fourniture de Services au Client.

Sous-traitants Autorisés

4.1 Le Client reconnaît et convient que la Société peut (1) engager ses affiliés et les Sous-traitants Autorisés sur la Liste (définie ci-dessous) pour accéder et traiter les Données Personnelles en rapport avec les Services et (2) de temps à autre engager des tiers supplémentaires dans le but de fournir les Services, y compris sans limitation le traitement des Données Personnelles. Par la présente, le Client donne une autorisation écrite générale à la Société d'engager des sous-traitants comme nécessaire pour exécuter les Services.

4.2. Une liste des Sous-traitants Autorisés actuels de la Société (la "Liste") sera mise à disposition du Client (Annexe D). Cette Liste peut être mise à jour par la Société de temps à autre. Le Client reconnaît que certains sous-traitants sont essentiels à la fourniture des Services et qu'une objection à l'utilisation d'un sous-traitant peut empêcher la Société d'offrir les Services au Client.

4.3. Si le Client s'oppose raisonnablement à un engagement conformément à l'Article 4.2, et que la Société ne peut fournir une alternative commercialement raisonnable dans un délai raisonnable, le Client peut cesser d'utiliser le Service concerné en fournissant un avis écrit à la Société. La cessation ne doit pas dégager le Client d'aucun frais dus à la Société en vertu de l'Accord.

4.4. Si le Client ne s'oppose pas à l'engagement d'un tiers conformément à l'Article 4.2 dans les dix (10) jours suivant un changement par la Société, ce tiers sera réputé être un Sous-traitant Autorisé aux fins de cet Accord.

4.5 La Société conclura un accord écrit avec le Sous-traitant Autorisé imposant au Sous-traitant Autorisé des obligations de protection des données comparables à celles imposées à la Société en vertu de cet Accord concernant la protection des Données Personnelles. Dans le cas où un Sous-traitant Autorisé ne remplit pas ses obligations de protection des données en vertu de cet accord écrit avec la Société, la Société demeurera responsable vis-à-vis du Client de l'exécution des obligations du Sous-traitant Autorisé en vertu de cet accord.

4.6 Si le Client et la Société ont conclu des Clauses contractuelles types telles que décrites à l'Article 6 (Transferts de Données Personnelles), (i) les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par la Société du traitement des Données Personnelles si un tel consentement est requis en vertu des Clauses contractuelles types, et (ii) les parties conviennent que les copies des accords avec les Sous-traitants Autorisés qui doivent être fournies par la Société au Client conformément à la Clause 5(j) des SCC du RU ou à la Clause 9(c) des SCC de l'UE peuvent avoir des informations commerciales, ou des informations non liées aux Clauses contractuelles types ou leur équivalent, supprimées par la Société au préalable, et que de telles copies ne seront fournies par la Société qu'à la demande du Client.

4.7 La Société doit convenir d'une clause de bénéficiaire tiers avec le Sous-traitant Autorisé selon laquelle - dans l'éventualité où la Société aurait en fait disparu, cessé d'exister légalement ou serait devenue insolvable - le Client aura le droit de résilier le contrat du Sous-traitant Autorisé et d'instruire le Sous-traitant Autorisé d'effacer ou de retourner les données personnelles.

5. Sécurité des Données Personnelles.

En tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, la Société doit maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité approprié au risque de traitement des Données Personnelles. Cela inclut la protection des données contre une violation de la sécurité conduisant à la destruction accidentelle ou illégale, à la perte, à l'altération, à la divulgation ou à l'accès non autorisé aux données (violation de Données Personnelles). Lors de l'évaluation du niveau de sécurité approprié, les Parties doivent tenir compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du traitement et des risques encourus pour les personnes concernées. L'Annexe B énonce des informations supplémentaires sur les mesures de sécurité techniques et organisationnelles de la Société.

Transferts de Données Personnelles

 6.1 Les parties conviennent que la Société peut transférer des Données Personnelles traitées en vertu de cet Accord en dehors de l'EEE, du RU ou de la Suisse dans la mesure nécessaire pour fournir les Services. Le Client reconnaît que les opérations de traitement principales de la Société ont lieu aux États-Unis, et que le transfert des Données Personnelles du Client vers les États-Unis est nécessaire pour la fourniture des Services au Client. Si la Société transfère des Données Personnelles protégées en vertu de cet Accord vers une juridiction pour laquelle la Commission Européenne n'a pas émis de décision d'adéquation, la Société veillera à ce que des garanties appropriées aient été mises en œuvre pour le transfert des Données Personnelles conformément aux Lois de Protection des Données.

6.2 Transferts ex-EEE. Les parties conviennent que les Transferts ex-EEE sont effectués conformément aux SCC de l'UE, qui sont considérés comme conclus (et incorporés dans cet Accord par référence) et complétés comme suit :

6.2.1 Le Module Un (Responsable à Responsable) des SCC de l'UE s'applique lorsque la Société traite des Données Personnelles en tant que responsable du traitement conformément à l'Article 9 de cet Accord.

6.2.2 Le Module Deux (Responsable à Processeur) des SCC de l'UE s'applique lorsque le Client est un responsable du traitement et que la Société traite des Données Personnelles pour le Client en tant que processeur conformément à l'Article 2 de cet Accord.

6.2.3 Le Module Trois (Processeur à Sous-traitant) des SCC de l'UE s'applique lorsque le Client est un processeur et que la Société traite des Données Personnelles pour le compte du Client en tant que sous-traitant.

6.3 Pour chaque module, le cas échéant, les dispositions suivantes s'appliquent :

6.3.1 La clause de dock facultative de la Clause 7 ne s'applique pas.

6.3.2 Dans la Clause 9, l'Option 2 (autorisation écrite générale) s'applique, et la période minimale de préavis pour les changements de sous-traitant sera celle énoncée dans l'Article 4.2 de cet Accord ;

6.3.3 Dans la Clause 11, le texte facultatif ne s'applique pas ;

6.3.4 Tous les crochets dans la Clause 13 sont par les présentes supprimés. Les dispositions applicables seront celles correspondant à la situation de l'exportateur de données décrite entre crochets ;

6.3.5 Dans la Clause 17 (Option 1), les SCC de l'UE seront régis par le droit français ;

6.3.6 Dans la Clause 18(b), les litiges seront résolus devant les tribunaux de France ;

6.3.7 L'Annexe B de cet Accord contient les informations requises dans l'Annexe I des SCC de l'UE ;

6.3.8 L'Annexe C de cet Accord contient les informations requises dans l'Annexe II des SCC de l'UE ; et

6.3.9 En concluant cet Accord, les parties sont réputées avoir signé les SCC de l'UE incorporés aux présentes, y compris leurs Annexes.

6.4 Transferts ex-RU. Les parties conviennent que les Transferts ex-RU sont effectués conformément aux SCC du RU, qui sont considérés comme conclus et incorporés dans cet Accord par référence, et complétés comme suit :

6.4.1 Les références au RGPD seront considérées comme des références au RGPD UK et à la Loi sur la protection des données du RU de 2018, les références aux "autorités de surveillance" seront considérées comme des références au Commissaire de l'information du Royaume-Uni, et les références aux "États Membres" ou à l'UE seront considérées comme des références au Royaume-Uni.

6.4.2 Les SCC du Responsable au Processeur du RU s'appliquent lorsque la Société traite des Données Personnelles du Client en tant que processeur. La clause d'indemnisation illustrative ne s'applique pas. Dans la Clause 4(f), le texte "protection adéquate au sens de la Directive 95/46/CE" est supprimé et remplacé par "un niveau de protection des données considéré comme adéquat en vertu des lois de protection des données applicables." La Clause 9, Droit applicable, se lira : "Les Clauses seront régies par la loi de l'État Membre dans lequel l'exportateur de données est établi, mais sans préjudice aux droits et libertés dont peuvent jouir les sujets de données en vertu de leurs lois nationales sur la protection des données." Dans la Clause 11(3), le texte ", à savoir..." à la fin de la phrase est par les présentes supprimé. L'Annexe B de cet Accord sert d'Annexe I des SCC du Responsable à Processeur du Royaume-Uni. L'Annexe C de cet Accord sert d'Annexe II des SCC du Responsable à Responsable du Royaume-Uni.

6.4.3 Les SCC du Responsable à Responsable du Royaume-Uni s'appliquent lorsque la Société traite les Données Personnelles du Client en tant que responsable du traitement conformément à l'Article 9 de cet Accord. La Clause II(h) des SCC du Responsable à Responsable du RU sera réputée stipuler que la Société traitera les Données Personnelles conformément aux principes de traitement des données énoncés dans l'Annexe A des SCC du Responsable à Responsable du RU. La clause commerciale illustrative ne s'applique pas. La Clause IV (Droit applicable) se lira : "Les Clauses seront régies par la loi de l'État Membre dans lequel l'exportateur de données est établi, mais sans préjudice aux droits et libertés dont peuvent jouir les sujets de données en vertu de leurs lois nationales sur la protection des données." L'Annexe B de cet Accord sert d'Annexe B des SCC du Responsable à Responsable du RU.

6.4.4 Les parties reconnaissent et conviennent que si l'une des SCC du RU est remplacée ou supersédée par de nouvelles clauses contractuelles types établies et approuvées conformément à l'Article 46 du RGPD UK et aux dispositions connexes de la Loi sur la protection des données du RU de 2018 ("Nouvelles SCC du RU"), l'Importateur de Données peut donner avis à l'Exportateur de Données et, à compter de la date fixée dans cet avis, l'application des SCC du RU établies dans cet Accord sera modifiée pour que les SCC du RU cessent de s'appliquer aux Transferts ex-RU, et les Nouvelles SCC du RU spécifiées dans cet avis s'appliqueront à l'avenir. Dans la mesure où l'utilisation des Nouvelles SCC du RU exige que les parties complètent des informations supplémentaires, les parties s'efforceront raisonnablement et rapidement de remplir ces informations supplémentaires.

6.5 Transferts depuis la Suisse. Les parties conviennent que les transferts depuis la Suisse sont effectués conformément aux SCC de l'UE avec les modifications suivantes :

6.5.1 Les termes "Règlement général sur la protection des données" ou "Règlement (UE) 2016/679" tels qu'utilisés dans les SCC de l'UE seront interprétés comme incluant la Loi fédérale sur la protection des données du 19 juin 1992 (la "LPD," et telle que révisée au 25 septembre 2020, la "LPD révisée") en ce qui concerne les transferts de données soumis à la LPD.

6.5.2 Les termes des SCC de l'UE seront interprétés pour protéger les données des entités juridiques jusqu'à la date d'entrée en vigueur de la LPD révisée.

6.5.3 La Clause 13 des SCC de l'UE est modifiée pour prévoir que le Commissaire fédéral à la protection des données et à l'information ("FDPIC") de Suisse aura autorité sur les transferts de données régis par la LPD et que l'autorité de surveillance appropriée de l'UE aura autorité sur les transferts de données régis par le RGPD. Sous réserve de ce qui précède, toutes les autres exigences de la Section 13 doivent être respectées.

6.5.4 Le terme "État Membre de l'UE" tel qu'utilisé dans les SCC de l'UE ne doit pas être interprété de manière à exclure les Sujets de Données en Suisse de l'exercice de leurs droits dans leur lieu de résidence habituelle conformément à la Clause 18(c) des SCC de l'UE.

6.6 Mesures Supplémentaires. En ce qui concerne tout Transfert ex-EEE ou ex-RU, les mesures supplémentaires suivantes s'appliqueront :

6.6.1 À compter de la date de cet Accord, l'Importateur de Données n'a reçu aucune demande légale officielle d'un service/agence de renseignement ou de sécurité gouvernemental dans le pays vers lequel les Données Personnelles sont exportées, pour accéder à (ou pour obtenir des copies de) les Données Personnelles du Client ("Demandes des Agences Gouvernementales");

6.6.2 Si, après la date de cet Accord, l'Importateur de Données reçoit des Demandes d'Agences Gouvernementales, la Société tentera de rediriger la force de l'ordre ou l'agence gouvernementale pour demander ces données directement auprès du Client. Dans le cadre de cet effort, la Société peut fournir les informations de contact de base du Client à l'agence gouvernementale. Si elle est contrainte de divulguer les Données Personnelles du Client à une force de l'ordre ou à une agence gouvernementale, la Société doit donner au Client un préavis raisonnable de la demande et coopérer pour permettre au Client de demander une ordonnance de protection ou un autre recours approprié, sauf si la Société est légalement interdite de le faire. La Société ne doit pas divulguer volontairement les Données Personnelles à une force de l'ordre ou à une agence gouvernementale. L'Exportateur de Données et l'Importateur de Données doivent (dès que raisonnablement possible) discuter et déterminer si tous ou certains transferts de Données Personnelles en vertu de cet Accord devraient être suspendus à la lumière de telles Demandes d'Agences Gouvernementales ; et

6.6.3 L'Exportateur de Données et l'Importateur de Données se rencontreront au besoin pour envisager si :

(i) la protection accordée par les lois du pays de l'Importateur de Données aux sujets de données dont les Données Personnelles sont transférées est suffisante pour assurer une protection globalement équivalente à celle accordée dans l'EEE ou le Royaume-Uni, selon le cas ;

(ii) des mesures supplémentaires sont raisonnablement nécessaires pour permettre le transfert afin qu'il soit conforme aux Lois de Protection des Données ; et

(iii) il est toujours approprié que des Données Personnelles soient transférées au pertinent Importateur de Données, compte tenu de toutes les informations pertinentes disponibles pour les parties, ainsi que des orientations fournies par les autorités de surveillance.

6.6.4 Si les Lois de Protection des Données exigent que l'Exportateur de Données exécute les Clauses contractuelles types applicables à un transfert particulier de Données Personnelles à un Importateur de Données en tant qu'accord distinct, l'Importateur de Données doit, sur demande de l'Exportateur de Données, rapidement exécuter de telles Clauses contractuelles types incorporant les modifications qui peuvent raisonnablement être requises par l'Exportateur de Données pour refléter les annexes et addenda applicables, les détails du transfert et les exigences des Lois de Protection des Données pertinentes.

6.6.5 Si (i) l'un des moyens de légaliser les transferts de Données Personnelles en dehors de l'EEE ou du Royaume-Uni énoncés dans cet Accord cesse d'être valide ou (ii) une autorité de surveillance exige que les transferts de Données Personnelles conformément à ces moyens soient suspendus, alors l'Importateur de Données peut par avis à l'Exportateur de Données, à compter de la date indiquée dans cet avis, modifier ou mettre en place des arrangements alternatifs concernant ces transferts, conformément aux Lois de Protection des Données. 

7. Droits des Sujets de Données

7.1 La Société doit, dans la mesure permise par la loi, notifier le Client dès réception d'une demande d'un Sujet de Données d'exercer le droit du Sujet de Données : d'accès, de rectification, d'effacement, de portabilité des données, de restriction ou d'arrêt du traitement, de retrait du consentement au traitement, et/ou d'opposition à être soumis à un traitement qui constitue une prise de décision automatisée (telles demandes individuellement et collectivement appelées "Demande(s) du Sujet de Données"). Si la Société reçoit une Demande du Sujet de Données en rapport avec les données du Client, la Société conseillera au Sujet de Données de soumettre sa demande au Client, et le Client sera responsable de répondre à une telle demande, y compris, si nécessaire, en utilisant la fonctionnalité des Services. Le Client est seul responsable de s'assurer que les Demandes du Sujet de Données pour l'effacement, la restriction ou l'arrêt du traitement, ou le retrait du consentement au traitement de toute Donnée Personnelle sont communiquées à la Société, et, le cas échéant, de s'assurer qu'un enregistrement du consentement au traitement est maintenu à l'égard de chaque Sujet de Données.

7.2 La Société doit, à la demande du Client, et en tenant compte de la nature du traitement applicable à toute Demande du Sujet de Données, appliquer des mesures techniques et organisationnelles appropriées pour aider le Client à se conformer à son obligation de répondre à une telle Demande du Sujet de Données et/ou de démontrer cette conformité, dans la mesure du possible, à condition que (i) le Client soit lui-même incapable de répondre sans l'aide de la Société et (ii) la Société puisse le faire conformément à toutes les lois, règles et règlements applicables. Le Client sera responsable dans la mesure permise par la loi de tout coût et dépense découlant de toute assistance de la Société.

8. Actions et Demandes d'Accès ; Audits

8.1 La Société doit, en tenant compte de la nature du traitement et des informations disponibles auprès de la Société, fournir au Client une coopération et une assistance raisonnables si nécessaire pour que le Client puisse se conformer à ses obligations en vertu du RGPD pour réaliser une évaluation d'impact sur la protection des données et/ou pour démontrer cette conformité. Le Client sera responsable dans la mesure permise par la loi de tout coût et dépense découlant de toute assistance de la Société.

8.2 La Société doit, en tenant compte de la nature du traitement et des informations disponibles auprès de la Société, fournir au Client une coopération et une assistance raisonnables en ce qui concerne la coopération du Client et/ou la consultation préalable avec toute Autorité de Surveillance, si nécessaire et requise en vertu du RGPD. Le Client sera responsable dans la mesure permise par la loi de tout coût et dépense découlant de toute assistance de la Société.

8.3 La Société doit maintenir des dossiers suffisants pour démontrer sa conformité avec ses obligations en vertu de cet Accord et conserver ces dossiers pendant une période de cinq (5) ans après la résiliation de l'Accord. Le Client devra, moyennant un avis raisonnable à la Société, avoir le droit de consulter, d'auditer et de copier ces dossiers dans les bureaux de la Société pendant les heures d'ouverture normales.

8.4 Sur demande écrite du Client à des intervalles raisonnables, et sous réserve de contrôles raisonnables de confidentialité, la Société doit, soit (i) mettre à disposition pour révision du Client des copies de certifications ou de rapports démontrant la conformité de la Société avec les normes de sécurité des données en vigueur applicables au traitement des Données Personnelles du Client, soit (ii) si la fourniture de rapports ou de certifications conformément à (i) n'est pas raisonnablement suffisante selon les Lois de Protection des Données, permettre à un représentant tiers indépendant du Client de réaliser un audit ou une inspection de l'infrastructure et des procédures de sécurité des données de la Société qui soit suffisant pour démontrer la conformité de la Société avec ses obligations en vertu des Lois de Protection des Données, à condition que (a) le Client fournisse un avis raisonnable préalable de toute demande d'audit et que cette inspection ne soit pas déraisonnablement perturbante pour les affaires de la Société ; (b) un tel audit ne doit être effectué que pendant les heures d'ouverture et ne doit avoir lieu qu'une fois par an calendaire ; et (c) cet audit doit être limité aux données pertinentes pour le Client. Le Client sera responsable des coûts de tels audits ou inspections, y compris, sans limitation, un remboursement à la Société pour tout temps consacré aux audits sur site. Si le Client et la Société ont conclu des Clauses contractuelles types comme décrites à l'Article 6 (Transferts de Données Personnelles), les parties conviennent que les audits décrits dans la Clause 5(f) et la Clause 12(2) des SCC du RU et la Clause 8.9 des SCC de l'UE seront effectués conformément à la présente Section 8.4.

8.5 La Société doit immédiatement informer le Client si une instruction, selon l'avis de la Société, enfreint les Lois de Protection des Données ou l'Autorité de Surveillance. Les parties doivent mettre à la disposition de l'Autorité de Surveillance les informations mentionnées dans l'Article 8, y compris les résultats de tout audit, sur demande.

8.6 En cas de Violation de Données Personnelles, la Société doit, sans délai excessif et au plus tard dans les 72 heures suivant la prise de connaissance de celle-ci, informer le Client de la Violation de Données Personnelles et prendre les mesures que la Société estime nécessaires et raisonnables pour remédier à cette violation (dans la mesure où la remédiation est sous le raisonnable contrôle de la Société). En particulier, la notification doit au moins :

(i) décrire la nature de la violation de données personnelles, y compris où cela est possible, les catégories et le nombre approximatif de sujets de données concernés et les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;

(ii) communiquer le nom et les coordonnées du délégué à la protection des données ou autre point de contact où plus d'informations peuvent être obtenues ;

(iii) décrire les conséquences probables de la violation de données personnelles ; décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs possibles.

Lorsque cela n'est pas possible de fournir ces informations en même temps, les informations peuvent être fournies par phases sans retard excessif supplémentaire.

8.7 En cas de Violation de Données Personnelles, la Société doit, en tenant compte de la nature du traitement et des informations disponibles auprès de la Société, fournir au Client une coopération et une assistance raisonnables nécessaires pour que le Client puisse se conformer à ses obligations en vertu du RGPD concernant la notification (i) de l'Autorité de Surveillance pertinente et (ii) des Sujets de Données concernés par cette Violation de Données Personnelles sans délai excessif.

8.8 Les obligations décrites dans les Sections 8.5 et 8.6 ne s'appliqueront pas dans le cas où une Violation de Données Personnelles résulte des actions ou omissions du Client. L'obligation de la Société de signaler ou de répondre à une Violation de Données Personnelles en vertu des Sections 8.5 et 8.6 ne sera pas interprétée comme la reconnaissance par la Société d'une quelconque faute ou responsabilité concernant la Violation de Données Personnelles.

9\. Rôle de la Société en tant que Responsable du traitement

Les parties reconnaissent et conviennent qu'en ce qui concerne les Données de Compte du Client et les Données d'Utilisation du Client, la Société est un responsable du traitement indépendant, et non un responsable conjoint avec le Client. La Société traitera les Données de Compte du Client et les Données d'Utilisation du Client en tant que responsable du traitement (i) pour gérer la relation avec le Client ; (ii) pour effectuer les opérations commerciales principales de la Société, telles que la comptabilité, les audits, la préparation et le dépôt de déclarations fiscales et la conformité ; (iii) pour surveiller, enquêter, prévenir et détecter la fraude, les incidents de sécurité et autres abus des Services, et prévenir tout dommage au Client ; (iv) à des fins de vérification d'identité ; (v) pour se conformer aux obligations légales ou réglementaires applicables au traitement et à la conservation des Données Personnelles auxquelles la Société est soumise ; et (vi) comme autrement permis en vertu des Lois de Protection des Données et conformément au présent Accord et à l'Accord. La Société peut également traiter les Données d'Utilisation du Client en tant que responsable du traitement pour fournir, optimiser et maintenir les Services, dans la mesure permise par les Lois de Protection des Données. Tout traitement par la Société en tant que responsable du traitement se fera conformément à la politique de confidentialité de la Société énoncée à [ https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).

10. Conflit

En cas de conflit ou d'incohérence entre les documents suivants, l'ordre de priorité sera le suivant : (1) les termes applicables des Clauses Contractuelles Types ; (2) les termes de cet Accord ; (3) l'Accord ; et (4) la politique de confidentialité de la Société. Toute réclamation formulée en lien avec le présent Accord sera soumise aux termes et conditions, y compris, mais sans s'y limiter, aux exclusions et limitations énoncées dans l'Accord.

11. Non-conformité avec l'Accord et résiliation.

(a) Sans préjudice des dispositions du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725, dans l'hypothèse où la Société enfreindrait ses obligations en vertu du présent Accord, le Client pourra demander à la Société de suspendre le traitement des données personnelles jusqu'à ce que cette dernière se conforme à cet Accord ou que le contrat soit résilié. La Société doit informer rapidement le Client si elle est incapable de se conformer à cet Accord, pour quelque raison que ce soit.

(b) Le Client aura le droit de résilier le contrat dans la mesure où il concerne le traitement des données personnelles en vertu du présent Accord si : (1) le traitement des données personnelles par la Société a été suspendu par le Client conformément au point (a) et si la conformité à cet Accord n'a pas été restaurée dans un délai raisonnable et en tout cas dans un délai d'un mois suivant la suspension ; (2) la Société est en violation substantielle ou persistante du présent Accord ou de ses obligations en vertu du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725 ; (3) la Société omet de se conformer à une décision contraignante d'un tribunal compétent ou de l'(des) Autorité(s) de Surveillance compétente(s) concernant ses obligations en vertu du présent Accord ou du Règlement (UE) 2016/679 et/ou du Règlement (UE) 2018/1725.

(c) La Société aura le droit de résilier le contrat dans la mesure où il concerne le traitement des données personnelles en vertu du présent Accord lorsque, après avoir informé le Client que ses instructions enfreignent les obligations légales applicables, le Client insiste pour se conformer aux instructions.

(d) À la suite de la résiliation du contrat, la Société doit, au choix du Client, supprimer toutes les données personnelles traitées pour le compte du Client et certifier au Client qu'elle a fait cela, ou retourner toutes les données personnelles au Client et supprimer les copies existantes, sauf si le droit de l'Union ou d'un État Membre exige le stockage des données personnelles. Jusqu'à ce que les données soient supprimées ou retournées, la Société doit continuer à s'assurer du respect du présent Accord.

Annexe A

---------

Détails du Traitement

Nature et Objectif du Traitement

La Société traitera les Données Personnelles du Client dans la mesure nécessaire pour fournir les Services en vertu de l'Accord, aux fins spécifiées dans l'Accord et le présent Accord, et conformément aux instructions du Client telles qu'énoncées dans le présent Accord.

Durée du Traitement

La Société traitera les Données Personnelles du Client aussi longtemps que requis (i) pour fournir les Services au Client en vertu de l'Accord ; (ii) pour les besoins commerciaux légitimes de la Société ; ou (iii) conformément à la loi ou réglementation applicable. Les Données de Compte du Client et les Données d'Utilisation du Client seront traitées et stockées comme indiqué dans la politique de confidentialité de la Société.

Catégories de Sujets de Données

Les employés, consultants, contractuels et/ou agents du Client.

Catégories de Données Personnelles

La Société traite les Données Personnelles contenues dans les Données de Compte du Client, les Données d'Utilisation du Client, et toute Donnée Personnelle fournie par le Client ou collectée par la Société afin de fournir les Services ou comme autrement énoncé dans l'Accord ou le présent Accord. Les Catégories de Données Personnelles incluent le nom, l'email, le titre professionnel, le nom d'utilisateur, les identifiants d'appareil de la Société (p. ex. numéro de série), l'adresse IP de l'appareil de la société.

Données Sensibles ou Catégories Spéciales de Données

Les Clients sont interdits de fournir des données personnelles sensibles ou des catégories spéciales de données à la Société, y compris toute donnée qui révèle les antécédents criminels de toute personne.

Annexe B

Ce qui suit inclut les informations requises par l'Annexe I et l'Annexe III des SCC de l'UE, et l'Appendice 1 des SCC du RU.

1. Les Parties

Exportateur(s) de Données

Nom : La partie aux Conditions de Service avec Logike ou son Affilié (selon le cas).

Adresse : L'adresse de l'Exportateur de Données.

Nom de la personne de contact, poste et coordonnées : Le nom, le poste et les coordonnées fournis par l'Exportateur de Données.

Activités pertinentes aux données transférées en vertu de ces Clauses : Comme décrit à l'Article 2 de l'Accord.

Signature et date : En utilisant les Services pour transférer des Données Personnelles à l'Importateur de Données, l'Exportateur de Données sera réputé avoir signé cette Annexe B.

Rôle (responsable/processeur) : Responsable

Importateur(s) de Données :

Nom : Logike

Adresse : 128 rue de la Boétie, 75008 Paris, FRANCE

Email : contact@breakcold.com

Activités pertinentes aux données transférées en vertu de ces Clauses : Comme décrit à l'Article 2 de l'Accord.

Signature et date : L'importateur de données sera réputé avoir signé cette Annexe B lors du transfert des Données Personnelles par l'Exportateur de Données en rapport avec les Services.

Rôle (responsable/processeur) : Processeur

2. Description du Transfert

Sujets de Données

L'exportateur de données peut soumettre des données personnelles à l'importateur de données par le biais de ses logiciels, services, systèmes, produits et/ou technologies, l'étendue de ceux-ci étant déterminée et contrôlée par l'exportateur de données en conformité avec les lois et réglementations sur la protection des données applicables, et pouvant inclure, mais sans s'y limiter, des données personnelles concernant les catégories de sujets de données suivantes : Employés, consultants, contractuels et/ou agents de l'Exportateur de Données.

Catégories de Données Personnelles

Les données personnelles transférées concernent les catégories de données suivantes : Toute donnée personnelle comprise dans toutes les données et informations soumises par l'Exportateur de Données aux logiciels, services, systèmes, produits et/ou technologies de l'Importateur de Données, qui peuvent inclure le nom, les informations de contact, et les informations sur les pratiques de sécurité et de conformité.

Données Personnelles de Catégorie Spéciale (le cas échéant)

Les Exportateurs de Données sont interdits de fournir des données sensibles ou des catégories spéciales à l'Importateur de Données.

Nature du Traitement

Les données sont traitées afin que le Client puisse gérer ses programmes de sécurité de l'information et de confidentialité des données et prouver ces programmes pour un audit tiers.

Objets du Traitement

Pour remplir les obligations de chaque partie en vertu de l'Accord.

Durée du Traitement et Conservation (ou les critères pour déterminer cette période)

Durant la durée de l'Accord

Fréquence du transfert | Pendant la durée de l'Accord sur une base périodique tout au long de la journée et/ou à la discrétion du client.

Destinataires des Données Personnelles Transférées à l'Importateur de Données

La Société tiendra une liste de Sous-traitants (Annexe D)

3\. Autorité de Surveillance Compétente

L'autorité de surveillance sera l'autorité de surveillance de l'Exportateur de Données, comme déterminé conformément à la Clause 13.

Annexe C

---------

Description des Mesures Techniques et Organisationnelles de Sécurité mises en œuvre par l'Importateur de Données

Ce qui suit inclut les informations requises par l'Annexe II des SCC de l'UE et l'Appendice 2 des SCC du RU.

Mesures pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement

Les accords de clients de la Société contiennent des obligations strictes de confidentialité. De plus, la Société exige que chaque Sous-traitant en aval signe des dispositions de confidentialité qui sont substantiellement similaires à celles contenues dans les accords clients de Segment.

Mesures pour garantir la capacité de restaurer en temps voulu la disponibilité et l'accès aux données personnelles en cas d'incident physique ou technique

Les bases de données de sauvegarde sont stockées dans une infrastructure séparée.. |

Mesures pour l'identification et l'autorisation des utilisateurs

La société a mis en place des exigences de mot de passe strictes et vérifie qu'aucun des mots de passe utilisés n'a été divulgué. Les utilisateurs se connectent avec Google, ce qui fournit des fonctionnalités de sécurité telles que l'authentification multifactorielle.

Mesures pour la protection des données pendant leur transmission

La Société a déployé des méthodes et protocoles sécurisés pour la transmission d'informations confidentielles ou sensibles sur des réseaux publics. La Société n'utilise que des suites de chiffrement sécurisées recommandées pour chiffrer tout le trafic en transit (c'est-à-dire TLS 1.2)

Mesures pour garantir la sécurité physique des lieux où les données personnelles sont traitées

Les mesures de sécurité physique comprennent des clôtures, des patrouilles de sécurité, des caméras vidéo, des caméras thermographiques, une authentification biométrique, des cartes d'accès, des détecteurs de métaux, et plus encore.

Mesures pour garantir la journalisation des événements

Toutes les requêtes HTTP sont enregistrées. La surveillance des journaux de sécurité est gérée par l'équipe d'ingénierie. Les activités de journal sont examinées lorsque cela est nécessaire et sont signalées de manière appropriée.

Mesures pour garantir la configuration du système, y compris la configuration par défaut

Toutes les modifications de production sont automatisées par le biais d'outils d'intégration et de déploiement continus pour garantir des configurations cohérentes.

Mesures pour garantir la minimisation des données

Les Clients de la Société déterminent unilatéralement quelles informations personnelles identifiables du Client (PII) ils acheminent via les Services. Cela étant, la Société fonctionne sur un modèle de responsabilité partagée. La Société offre aux Clients le contrôle exact de quelles données PII pénètrent sur la plateforme. En outre, la Société a intégré une fonctionnalité libre-service aux Services qui permet aux Clients de supprimer et de supprimer les PII à leur discrétion.

Mesures pour garantir la qualité des données

Tout logiciel utilisé pour traiter les données personnelles des Clients passe par des tests automatisés et une révision manuelle par paires avant d'entrer en production. Les données doivent correspondre à la fois à la structure du schéma de base de données et aux validations de format définies par l'application. Il existe un pipeline QA pour les données les plus critiques, avec des alertes appropriées en cas de modification des données.

Mesures pour garantir la conservation limitée des données

Les Clients de la Société déterminent unilatéralement quelles Données du Client ils acheminent via les Services. Cela étant, la Société fonctionne sur un modèle de responsabilité partagée. Si un Client est incapable de supprimer les Données PII du Client via la fonctionnalité de libre-service des Services, alors la Société supprimera les Données du Client sur demande écrite du Client, dans le délai spécifié dans l'Accord de Protection des Données et conformément à la Loi sur la Protection des Données Applicable.

Mesures pour garantir la responsabilité

La Société a adopté des mesures pour garantir la responsabilité, telles que la mise en œuvre de politiques de protection des données et de sécurité de l'information à travers l'entreprise, l'enregistrement et le rapport des Incidents de Sécurité impliquant des Données Personnelles, et l'attribution formelle de rôles et de responsabilités pour les fonctions de sécurité de l'information et de confidentialité des données. En outre, la Société effectue des audits tiers réguliers pour garantir le respect de nos normes de confidentialité et de sécurité.

Mesures pour permettre la portabilité des données et garantir leur effacement

Toutes les PII dans les Services peuvent être supprimées par le Client ou à la demande du Client.

Mesures techniques et organisationnelles des sous-traitants

La Société conclut des Accords de Traitement des Données avec ses Sous-traitants Autorisés avec des obligations de protection des données substantielles similaires à celles contenues dans le présent Accord.

Annexe D

---------

Sous-traitants

Logike engage des entités tierces pour effectuer des activités limitées en rapport avec les Services de Logike.

Lorsque Logike engage des prestataires de services tiers dans notre capacité de processeur pour les données personnelles des Utilisateurs de Logike, le Règlement général sur la protection des données ("RGPD") appelle ces prestataires des sous-traitants.

Nom / Données / Objectif du traitement / Pays

1°) Stripe Inc. / Emails des usagers de Breakcold, adresse de facturation, informations de paiement, transactions, adresses IP "Fournisseur de services Cloud " / USA

2°) AWS / Données des Usagers de Breakcold / "Fournisseur de services Cloud/ Francfort

3°) Azure / Données des Usagers de Breakcold / "Fournisseur de services Cloud " / Francfort

4°) Fly.io, Inc. / Données des Usagers de Breakcold / "Fournisseur de services Cloud / Francfort

5°) Functional Software, Inc. (Sentry)/ Données des Usagers de Breakcold/ "Surveillance des performances de l'application "/ USA

6°) PostHog, Inc./ Données des Usagers de Breakcold / Surveillance des performances de l'application / Francfort

7°) Elasticsearch B.V. / Données des Usagers de Breakcold / Fournisseur de services Cloud / Francfort

8°) Cloudflare, Inc. / Données des Usagers de Breakcold / Réseau de diffusion de contenu / USA

9°) SplitBee (Vercel Inc. ) / Données des Usagers de Breakcold / Analyse des applications / USA

10°) Vercel Inc / Données des Usagers de Breakcold / Fournisseur de services Cloud / USA

11°) Upstash Inc / Données des Usagers de Breakcold / Fournisseur de services Cloud / USA

12°) Firebase (Google Cloud Platform, Google LLC) / Données des Usagers de Breakcold / Fournisseur de services Cloud / USA