DPA

Dernière modification : 07 décembre 2022

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

Cet addendum relatif à la protection des données ("Addenda") fait partie de la CONDITIONS D'UTILISATION et/ou, le cas échéant, le tel qu'il peut être modifié ou remplacé de temps à autre et est intégré à tous les accords actuels et futurs avec le Fournisseur ("Accord principal") entre : (i) Yereq Geo, LLC, LLC, une société constituée en vertu des lois du Delaware dont le siège social est situé : 830 NE Holladay St, Portland, OR 97232 ("Le fournisseur") agissant en son propre nom et en tant qu'agent pour chaque fournisseur affilié ; et (ii) vous ("Envoyer") agissant en son propre nom et en tant qu'agent pour chaque société affiliée.

 

Les termes utilisés dans cet addendum auront les significations énoncées dans cet addenda. Les termes en majuscules non définis par ailleurs dans les présentes auront la signification qui leur est donnée dans le Contrat Principal. Sauf modification ci-dessous, les termes de l'accord principal resteront en vigueur et de plein effet.

 

La Société est un Contrôleur et le Fournisseur est un Sous-traitant en vertu du présent Addendum.

 

Compte tenu des obligations mutuelles énoncées dans les présentes, les parties conviennent par la présente que les conditions générales énoncées ci-dessous seront ajoutées sous forme d'addendum à l'accord principal. Sauf si le contexte l'exige autrement, les références dans le présent Addendum à l'Accord Principal se réfèrent à l'Accord Principal tel que modifié par, et y compris, cet Addendum.

 

  1. Définitions
    • Dans cet addendum, les termes suivants auront la signification indiquée ci-dessous et les termes apparentés seront interprétés en conséquence :

 

  • "Lois applicables" toute loi internationale, européenne, nationale, provinciale ou locale, réglementation, ordonnance, statut, ordonnance administrative ou traité, jugement, ordonnance d'un tribunal ou toute autre exigence de tout gouvernement ou organisme gouvernemental compétent ou autorité de réglementation concernant le traitement des données à caractère personnel, telles qu'elles s'appliquent de temps à autre, y compris, mais sans s'y limiter, le règlement (UE) 2016/679 (règlement général sur la protection des données) du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données naturelles à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

la loi brésilienne générale sur la protection des données, Lei Geral de Proteção de Dados ("LGPD") lors de son entrée en vigueur. Si la LGPD s'applique au traitement des données personnelles du contrôleur, chaque partie est responsable de remplir ses obligations respectives énoncées dans la LGPD, et le contrôleur émettra des instructions supplémentaires au sous-traitant qui peuvent être requises en vertu de la LGPD, sinon les clauses du présent addendum seront utilisées.

  • "Société affiliée" désigne une entité qui possède ou contrôle, est détenue ou contrôlée par ou est ou sous contrôle commun ou propriété avec la Société, où le contrôle est défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la direction et les politiques d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement ;
  • "Membre du groupe d'entreprises" désigne la Société ou tout Affilié de la Société.
  • "Données personnelles de l'entreprise" désigne toute donnée personnelle traitée par un sous-traitant sous contrat pour le compte d'un membre du groupe de l'entreprise conformément à ou en relation avec l'accord principal.
  • "Sous-traitant" désigne le fournisseur ou un sous-traitant secondaire.
  • "Lois sur la protection des données" désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la confidentialité de tout autre pays.
  • "EEE" désigne l'Espace économique européen.
  • "Lois européennes sur la protection des données" désigne les lois de l'UE sur la protection des données et, dans la mesure applicable, les lois sur la protection des données ou la confidentialité de tout autre pays.
  • "GDPR" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 /CE (règlement général sur la protection des données).
  • "Transfert restreint" moyens:
    • un transfert de données personnelles de la société de tout membre du groupe de la société à un sous-traitant ; ou
    • un transfert ultérieur de données personnelles de l'entreprise d'un sous-traitant à un sous-traitant, ou entre deux établissements d'un sous-traitant,

dans chaque cas, lorsqu'un tel transfert serait interdit par les lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des lois sur la protection des données) en l'absence des clauses contractuelles types à établir en vertu de la section 6.4.3 ou 12 ci-dessous ; Pour éviter tout doute: (a) sans limiter la généralité de ce qui précède, les parties au présent avenant prévoient que les transferts de données personnelles du Royaume-Uni vers l'EEE ou de l'EEE vers le Royaume-Uni, à la suite de toute sortie du Royaume-Uni de l'Union européenne, seront restreints Transferts pendant une durée et dans une mesure telles que ces transferts seraient interdits par les lois sur la protection des données du Royaume-Uni ou les lois de l'UE sur la protection des données (selon le cas) en l'absence des clauses contractuelles types à établir en vertu de la section 6.4.3 ou 12; et (b) lorsqu'un transfert de données personnelles est d'un type autorisé par les lois sur la protection des données dans le pays exportateur, par exemple dans le cas de transferts depuis l'Union européenne vers un pays (tel que la Suisse) ou un système (tel que le Bouclier de protection des données des États-Unis) qui est approuvé par la Commission comme garantissant un niveau de protection adéquat ou tout transfert relevant d'une dérogation autorisée, ce transfert ne sera pas un transfert restreint ;

  • "Services" désigne les services et autres activités devant être fournis ou exécutés par ou au nom du Fournisseur pour les Membres du Groupe de l'Entreprise conformément à l'Accord principal.
  • "Clauses contractuelles types " désigne les clauses contractuelles figurant à l'annexe 3.
  • "Sous-traitant" désigne toute personne (y compris tout tiers et tout affilié du fournisseur, mais à l'exclusion d'un employé du fournisseur ou de l'un de ses sous-traitants) nommée par ou au nom du fournisseur ou de tout affilié du fournisseur pour traiter les données personnelles au nom de tout membre du groupe de l'entreprise dans le cadre de l'accord principal ; et
  • "Fournisseur affilié" désigne une entité qui possède ou contrôle, est détenue ou contrôlée par ou est ou sous contrôle commun ou propriété avec le Fournisseur, où le contrôle est défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la direction et politiques d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement.
  • Les termes, "Commission""Contrôleur""Personne concernée""Etat membre""Les données Personnelles""Violation des données personnelles""Coupe""Processeur" et "Autorité de surveillance" aura la même signification que dans le RGPD, et leurs termes apparentés seront interprétés en conséquence.
  • Le mot "comprendre" doit être interprété comme signifiant inclure sans s'y limiter, et les termes apparentés doivent être interprétés en conséquence.

 

  1. Autorité

Le fournisseur garantit et déclare qu'avant qu'un affilié du fournisseur ne traite des données personnelles de l'entreprise au nom d'un membre du groupe de l'entreprise, l'entrée du fournisseur dans cet addendum en tant qu'agent pour et au nom de cet affilié du fournisseur aura été dûment et effectivement autorisée (ou ultérieurement ratifiée) par ce fournisseur affilié.

 

  1. Traitement des données personnelles de l'entreprise
    • Le Fournisseur et chaque Fournisseur affilié doivent :
      • respecter toutes les lois applicables en matière de protection des données dans le cadre du traitement des données personnelles de l'entreprise ; et
      • ne pas traiter les données personnelles de la société autrement que sur les instructions documentées du membre du groupe de la société concerné, sauf si le traitement est requis par les lois applicables auxquelles le sous-traitant concerné est soumis, auquel cas le fournisseur ou l'affilié du fournisseur concerné doit, dans la mesure permise par les lois applicables, informer le membre du groupe d'entreprises concerné de cette exigence légale avant le traitement pertinent de ces données personnelles.
    • Chaque membre du groupe d'entreprises :
      • ordonne au Fournisseur et à chaque Fournisseur affilié (et autorise le Fournisseur et chaque Fournisseur affilié à demander à chaque Sous-traitant secondaire) :
        • Traiter les données personnelles de l'entreprise ; et
        • en particulier, transférer les Données Personnelles de la Société vers tout pays ou territoire,

comme raisonnablement nécessaire pour la fourniture des Services et conformément à l'Accord principal ; et

  • garantit et déclare qu'il est et restera à tout moment dûment et effectivement autorisé à donner les instructions énoncées à la section 3.2.1 au nom de chaque affilié concerné de la Société.
  • L'annexe 1 du présent avenant contient certaines informations concernant le traitement des données personnelles de l'entreprise par les sous-traitants, comme l'exige l'article 28, paragraphe 3, du RGPD (et, éventuellement, des exigences équivalentes d'autres lois sur la protection des données). La société peut apporter des modifications raisonnables à l'annexe 1 par notification écrite au fournisseur de temps à autre, si la société l'estime raisonnablement nécessaire pour répondre à ces exigences. Rien dans l'Annexe 1 (y compris telle que modifiée conformément à la présente section 3.3) ne confère un droit ou n'impose une obligation à l'une quelconque des parties au présent Avenant.

 

  1. Personnel du vendeur et du vendeur affilié

Le fournisseur et chaque affilié du fournisseur doivent prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant de tout sous-traitant susceptible d'avoir accès aux données personnelles de la société, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de savoir / accéder aux données personnelles pertinentes de la société, dans la mesure strictement nécessaire aux fins de l'accord principal, et pour se conformer aux lois applicables dans le cadre des devoirs de cette personne envers le sous-traitant, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des engagements professionnels ou obligations légales de confidentialité.

 

  1. d'Azure AD
    • Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des finalités des Traitements ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Vendeur et chaque Affilié du Vendeur devront en en relation avec les Données Personnelles de la Société mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.
    • Lors de l'évaluation du niveau de sécurité approprié, le Vendeur et chaque Vendeur Affilié tiendront compte notamment des risques présentés par le Traitement, notamment d'une Violation des Données Personnelles.

 

  1. Sous-traitement
    • Chaque membre du groupe d'entreprises autorise le fournisseur et chaque fournisseur affilié à nommer (et permet à chaque sous-traitant nommé conformément à la présente section 6 de nommer) des sous-traitants secondaires conformément à la présente section 6 et à toute restriction de l'accord principal.
    • Le Fournisseur et chaque Fournisseur affilié peuvent continuer à utiliser les Sous-traitants déjà engagés par le Fournisseur ou tout Fournisseur affilié à la date du présent Addendum, sous réserve que le Fournisseur et chaque Fournisseur affilié respectent dans chaque cas dès que possible les obligations énoncées à la section 6.4. .
    • En ce qui concerne chaque sous-traitant secondaire, le fournisseur ou le fournisseur affilié concerné doit :
      • avant que le sous-traitant secondaire ne traite pour la première fois les données personnelles de la société (ou, le cas échéant, conformément à la section 6.2), effectuer une diligence raisonnable adéquate pour s'assurer que le sous-traitant secondaire peut fournir le niveau de protection des données personnelles de la société requis par l'accord principal.
      • s'assurer que l'arrangement entre d'une part (a) le Fournisseur, ou (b) le Fournisseur Affilié concerné, ou (c) le Sous-traitant intermédiaire concerné ; et d'autre part le sous-traitant ultérieur, est régi par un contrat écrit dont les conditions offrent au moins le même niveau de protection des données personnelles de l'entreprise que celles énoncées dans le présent avenant et répondent aux exigences de l'article 28(3) du RGPD ;
      • si cet accord implique un Transfert Restreint, s'assurer que les Clauses Contractuelles Types sont à tout moment pertinentes incorporées dans l'accord entre d'une part (a) le Fournisseur, ou (b) le Fournisseur Affilié concerné, ou (c) le Sous-traitant intermédiaire concerné processeur; et d'autre part, le sous-traitant secondaire, ou avant que le sous-traitant secondaire ne traite pour la première fois les données personnelles de la société, s'assure qu'il conclut un accord incorporant les clauses contractuelles types avec le ou les membres du groupe de la société concernés (et la société doit s'assurer que chaque partie affiliée de la société à ces clauses contractuelles types coopère avec leur remplissage et leur exécution) ; et
    • Le Fournisseur et chaque Affilié du Fournisseur doivent s'assurer que chaque Sous-traitant ultérieur s'acquitte des obligations prévues aux articles 3.1, 4, 5, 7.1, 8.2, 9 et 11.1, telles qu'elles s'appliquent au Traitement des données personnelles de la Société effectué par ce Sous-traitant ultérieur, comme s'il s'agissait partie à cet addendum à la place du vendeur.

 

  1. Droits des personnes concernées
    • Compte tenu de la nature du Traitement, le Vendeur et chaque Vendeur Affilié assisteront chaque Membre du Groupe d'Entreprises en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où
    • cela est possible, pour l'accomplissement des obligations des membres du groupe de la société, dans la mesure raisonnable

compris par la Société, pour répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données.

  • Le vendeur doit :
    • informer rapidement la société si un sous-traitant sous contrat reçoit une demande d'une personne concernée en vertu de toute loi sur la protection des données concernant les données personnelles de la société ; et
    • s'assurer que le sous-traitant ne répond pas à cette demande, sauf sur les instructions documentées de la société ou de l'affilié concerné de la société ou tel que requis par les lois applicables auxquelles le sous-traitant est soumis, auquel cas le fournisseur doit, dans la mesure permise par les lois applicables, informer Société de cette exigence légale avant que le sous-traitant ne réponde à la demande.

 

  1. Violation des données personnelles
    • Le fournisseur doit informer la société sans retard injustifié dès que le fournisseur ou tout sous-traitant prend connaissance d'une violation des données personnelles affectant les données personnelles de la société, en fournissant à la société des informations suffisantes pour permettre à chaque membre du groupe de la société de respecter toute obligation de signaler ou d'informer les personnes concernées des données personnelles. Violation des lois sur la protection des données.

Cette notification doit au minimum :

  • décrire la nature de la Violation des Données Personnelles, les catégories et nombres de Personnes Concernées concernées, ainsi que les catégories et nombres d'enregistrements de Données Personnelles concernés.
  • communiquer le nom et les coordonnées du responsable de la protection des données du Vendeur ou de tout autre contact pertinent auprès duquel de plus amples informations peuvent être obtenues.

8.2 Le fournisseur doit coopérer avec la société et chaque membre du groupe de la société et prendre les mesures commerciales raisonnables prescrites par la société pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces violations de données personnelles.

 

  1. Analyse d'impact sur la protection des données et consultation préalable

Le Fournisseur et chaque Fournisseur affilié doivent fournir une assistance raisonnable à chaque Membre du groupe de la Société pour toute évaluation de l'impact sur la protection des données et les consultations préalables avec les autorités de surveillance ou d'autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement comme requises de tout Membre du groupe de la Société par l'article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le traitement des données personnelles de l'entreprise par, et en tenant compte de la nature du traitement et des informations à la disposition des sous-traitants.

 

  1. Suppression ou retour des données personnelles de la société
    • Sous réserve des articles 10.2 et 10.3, le Fournisseur et chaque Affilié du Fournisseur doivent, dans les meilleurs délais et dans tous les cas, dans les trente (30) jours ouvrables suivant la date de cessation de tout Service impliquant le Traitement des Données personnelles de la Société (le "Date de cessation"), supprimer (pour éviter tout doute, "effacer» signifie ici supprimer ou effacer les données personnelles de sorte qu'elles ne puissent pas être récupérées ou reconstruites) et obtenir la suppression de toutes les copies de ces données personnelles de la société.
    • Sous réserve de l'article 10.3, la Société peut, à son entière discrétion, par notification écrite au Fournisseur dans les cinq (5) jours ouvrables suivant la Date de cessation, exiger que le Fournisseur et chaque Affilié du Fournisseur (a) renvoient une copie complète de toutes les Données personnelles de la Société à la Société par voie sécurisée transfert de fichiers dans un format raisonnablement notifié par la Société au Fournisseur ; et (b) supprimer et obtenir la suppression de toutes les autres copies des données personnelles de la société traitées par tout sous-traitant sous contrat. Le Fournisseur et chaque Fournisseur affilié doivent se conformer à une telle demande écrite dans les trente (30) jours ouvrables suivant la Date de cessation.
    • Chaque sous-traitant peut conserver les données personnelles de la société dans la mesure requise par les lois applicables et uniquement dans la mesure et pour la période requises par les lois applicables et toujours à condition que le fournisseur et chaque affilié du fournisseur garantissent la confidentialité de toutes ces données personnelles de la société et doivent veiller à ce que ces données personnelles de la société ne soient traitées que dans la mesure nécessaire aux fins spécifiées dans les lois applicables nécessitant leur stockage et à aucune autre fin.
    • Le fournisseur peut fournir une attestation écrite à la société attestant que lui-même et chaque affilié du fournisseur ont entièrement

s'est conformé au présent article 10 dans les trente (30) jours ouvrables suivant la date de cessation.

 

  1. Droits d'audit
    • Sous réserve des articles 11.2 à 11.3, le Fournisseur et chaque Affilié du Fournisseur mettront à la disposition de chaque Membre du Groupe d'Entreprises, sur demande, toutes les informations nécessaires pour démontrer la conformité au présent Avenant, et permettront et contribueront aux audits, y compris les inspections, par tout Membre du Groupe d'Entreprise ou un auditeur mandaté par tout membre du groupe de la société en relation avec le traitement des données personnelles de la société par les sous-traitants sous contrat.
    • Les droits d'information et d'audit des membres du groupe de la société ne découlent de la section 11.1 que dans la mesure où l'accord principal ne leur donne pas autrement des droits d'information et d'audit répondant aux exigences pertinentes de la loi sur la protection des données (y compris, le cas échéant, l'article 28(3)( h) du RGPD).
    • La Société ou l'Affilié concerné de la Société qui entreprend un audit doit donner au Vendeur ou à l'Affilié concerné du Vendeur un préavis raisonnable de tout audit ou inspection à effectuer en vertu de l'article 11.1 et doit faire (et s'assurer que chacun de ses auditeurs mandatés fait) tout son possible pour éviter de causer tout des dommages, des blessures ou des perturbations aux locaux, à l'équipement, au personnel et aux activités des sous-traitants pendant que son personnel se trouve dans ces locaux au cours d'un tel audit ou d'une telle inspection. Un sous-traitant sous-traitant n'est pas tenu de donner accès à ses locaux aux fins d'un tel audit ou d'une telle inspection :
      • à toute personne à moins qu'elle ne produise une preuve raisonnable de son identité et de son autorité.
      • en dehors des heures normales d'ouverture de ces locaux ; ou
      • aux fins de plusieurs audits ou inspections, à l'égard de chaque sous-traitant sous contrat, au cours d'une année civile, à l'exception de tout audit ou inspection supplémentaire qui :
        • Un membre du groupe de la société est tenu ou invité à effectuer par la loi sur la protection des données, une autorité de surveillance ou toute autorité de réglementation similaire responsable de l'application des lois sur la protection des données dans tout pays ou territoire,

lorsque la Société ou la Société affiliée concernée entreprenant un audit a identifié ses préoccupations ou l'exigence ou la demande pertinente dans son avis au Fournisseur ou à la Société affiliée concernée de l'audit ou de l'inspection.

 

  1. Transferts restreints
    • Sous réserve de l'article 12.3, chaque membre du groupe d'entreprises (en tant qu'"exportateur de données") et chaque sous-traitant sous contrat, selon le cas, (en tant qu'"importateur de données") concluent par la présente les clauses contractuelles types concernant tout transfert restreint de ce membre du groupe d'entreprises vers ce sous-traitant.
    • Les clauses contractuelles types entrent en vigueur en vertu de l'article 12.1 à la plus tardive des dates suivantes :
      • l'exportateur de données en devient partie prenante.
      • l'importateur de données en devenant partie ; et
      • début du transfert restreint concerné.
    • La section 12.1 ne s'applique pas à un transfert restreint à moins que son effet, associé à d'autres mesures de conformité raisonnablement réalisables (qui, pour éviter tout doute, n'incluent pas l'obtention du consentement des personnes concernées), soit de permettre au transfert restreint concerné d'avoir lieu sans violation de la loi applicable sur la protection des données.
    • Le Fournisseur garantit et déclare que, avant le début de tout Transfert restreint vers un Sous-traitant ultérieur qui n'est pas un Affilié du Fournisseur, l'entrée du Fournisseur ou de l'Affilié du Fournisseur concerné dans les Clauses contractuelles types en vertu de l'article 12.1, et l'accord sur les variations de ces Clauses contractuelles types faites en vertu de la section 13.4.1, en tant qu'agent pour et au nom de ce Sous-traitant ultérieur aura été dûment et effectivement autorisé (ou ultérieurement ratifié) par ce Sous-traitant ultérieur.

 

  1. Conditions générales

Droit applicable et juridiction

  • Sans préjudice des clauses 7 (Médiation et juridiction) et 9 (Droit applicable) des Clauses contractuelles types :
    • les parties au présent avenant se soumettent par la présente à l'élection de juridiction stipulée dans l'accord principal en ce qui concerne tout litige ou réclamation découlant du présent avenant, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité ; et
    • Le présent Avenant et toutes les obligations non contractuelles ou autres qui en découlent ou qui s'y rapportent sont régis par les lois du pays ou du territoire stipulé à cet effet dans l'Accord principal.

Ordre de préséance

  • Rien dans cet avenant ne réduit les obligations du fournisseur ou de tout fournisseur affilié en vertu de l'accord principal en ce qui concerne la protection des données personnelles ou permet au fournisseur ou à tout fournisseur affilié de traiter (ou d'autoriser le traitement) des données personnelles d'une manière interdite par le principal. Accord. En cas de conflit ou d'incohérence entre le présent avenant et les clauses contractuelles types, les clauses contractuelles types prévaudront.
  • Sous réserve de l'article 13.2, en ce qui concerne l'objet du présent Avenant, en cas d'incohérences entre les dispositions du présent Avenant et tout autre accord entre les parties, y compris l'Accord principal et y compris (sauf convention contraire explicite par écrit, signé au nom des parties) des accords conclus ou censés être conclus après la date du présent avenant, les dispositions du présent avenant prévaudront.

Modifications des lois sur la protection des données, etc.

  • La société peut :
    • moyennant un préavis écrit d'au moins 30 (trente) jours calendaires au Fournisseur, apporter de temps à autre des modifications aux Clauses contractuelles types (y compris les Clauses contractuelles types conclues en vertu de l'article 12.1), telles qu'elles s'appliquent aux Transferts restreints qui sont soumis à un loi sur la protection des données particulière, qui sont tenues, à la suite de toute modification ou décision d'une autorité compétente en vertu de cette loi sur la protection des données, de permettre que ces transferts restreints soient effectués (ou continuent d'être effectués) sans violation de ces données loi sur la protection ; et
    • proposer toute autre modification du présent addendum que la Société considère raisonnablement nécessaire pour répondre aux exigences de toute loi sur la protection des données.
  • Si la Société donne un avis en vertu de la section 13.4.1 :
    • Le Fournisseur et chaque Fournisseur affilié doivent coopérer rapidement (et s'assurer que tous les Sous-traitants concernés coopèrent rapidement) pour s'assurer que des modifications équivalentes sont apportées à tout accord mis en place en vertu de la section 6.4.3 ; et
    • La Société ne doit pas retenir ou retarder de manière déraisonnable l'accord sur les modifications consécutives au présent Addendum proposées par le Fournisseur pour protéger les Sous-traitants contre les risques supplémentaires associés aux modifications apportées en vertu de la section 13.4.1 et/ou 13.5.1.
  • Si la Société donne un avis en vertu de la section 13.4.2, les parties doivent discuter rapidement des modifications proposées et négocier de bonne foi en vue de convenir et de mettre en œuvre ces modifications ou d'autres variantes conçues pour répondre aux exigences identifiées dans l'avis de la Société dès que cela est raisonnablement possible.
  • Ni la Société ni le Fournisseur n'auront besoin du consentement ou de l'approbation d'un Affilié de la Société ou du Fournisseur affilié pour modifier le présent Avenant conformément à la présente section 13.5 ou autrement.

Severance

  • Si une disposition de cet addendum est invalide ou inapplicable, le reste de cet addenda restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour assurer sa validité et son applicabilité, tout en préservant le plus possible les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée de manière à ce que la clause invalide ou partie inopposable n'y avait jamais été contenue.

 

 

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

ANNEXE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES DE LA SOCIÉTÉ

 

Cette annexe 1 comprend certains détails sur le traitement des données personnelles de la société conformément à l'article 28, paragraphe 3, du RGPD.

 

L'objet de cet addendum est le traitement des données personnelles en relation avec les services fournis au responsable du traitement. Entre les parties, la durée du traitement des données en vertu du présent avenant s'étend jusqu'à la résiliation de l'accord principal conformément à ses termes, sauf disposition contraire de la loi applicable ou selon les instructions du responsable du traitement plus pendant environ 24 mois pendant lesquels le sous-traitant stocke les données pseudonymisées, sans parler des exigences particulières prévues par le RGPD (fraude, action en justice, etc.). En dehors de cela, toutes les données personnelles sont supprimées une fois la période de 24 mois terminée.

 

  • La société exige que les services suivants soient fournis par le fournisseur :

 

  • Services de serveur publicitaire qui permettent au client de diffuser les publicités d'un client ou d'un tiers à partir des acheteurs du client qu'un client met à disposition pour affichage sur les sites qu'un client désigne, sur la base des critères sélectionnés par le client ou les acheteurs/annonceurs du client via l'annonce TVP serveur.
  • Services de marché TVP qui permettent à un client en tant qu'éditeur de proposer et de vendre l'inventaire publicitaire disponible d'un client à des annonceurs qui sont des acheteurs sur le marché qui souhaitent afficher et diffuser leurs annonces sur les sites (sites Web et applications d'un client) qu'un client désigne, sur la base des critères de vente sélectionnés par le client via les services TVP ;
  • Services de marché privé TVP qui permettent au client de créer un marché privé pour effectuer des transactions directement avec les acheteurs via des accords oRTB.

 

  • La société garantit que toutes les données personnelles qui sont envoyées au vendeur ont été collectées avec le consentement préalable de la personne concernée pour toutes les finalités et opérations de traitement définies dans le présent avenant. La société déclare que les données personnelles doivent être traitées par le fournisseur dans le but de fournir une expérience publicitaire personnalisée à la personne concernée. Les opérations de traitement suivantes pourraient être effectuées par le fournisseur avec des données personnelles afin de remplir les objectifs de la société :

 

  • recevoir et stocker des informations, y compris, mais sans s'y limiter, pour la création de listes de suppression.
  • collecte et traitement d'informations sur l'utilisation des services de la Société par la Personne concernée afin de personnaliser ultérieurement la publicité pour la Personne concernée dans d'autres contextes, tels que sur d'autres sites Web, CTV ou applications mobiles au fil du temps.
  • combiner les données personnelles avec des informations supplémentaires sur la personne concernée reçues des partenaires du fournisseur pour améliorer la pertinence des futures annonces suggérées pour la personne concernée.

 

  • Types de données personnelles. La société peut envoyer les données personnelles suivantes de la personne concernée :

 

  • identifiants publicitaires (Apple IDFA, ou IFA sur OTT, ou Google Advertising ID (GAID), ou Android ID, selon le cas).
  • Adresse IP.
  • données de géolocalisation.
  • données de l'appareil mobile/CTV : version du système d'exploitation, modèle de l'appareil, ID de l'appareil.
  • données d'application mobile / CTV : ID de bundle, ID de magasin d'applications, ID de langue, version du kit de développement logiciel (SDK).
  • données comportementales : réaction de la personne concernée aux publicités (impressions, clics, installations), préférences de la personne concernée concernant le visionnage du contenu OTT et publicité intégrée/incluse applicable.

 

  • Le Fournisseur prendra les mesures appropriées pour garantir le respect des Mesures de sécurité décrites à l'Annexe 2 par son personnel dans la mesure applicable à leur champ d'application, notamment en s'assurant que toutes les personnes autorisées à traiter les Données personnelles en vertu du présent Addendum se sont engagées à respecter la confidentialité ou sont sous une obligation légale de confidentialité appropriée et que ces obligations survivent à la résiliation de l'engagement de cette personne avec le fournisseur.
  • La société accepte que le fournisseur puisse transférer des données personnelles de l'UE vers les États-Unis pour remplir ses obligations en vertu du présent accord, à condition que le fournisseur se conforme à toutes les lois applicables et agisse en vertu des clauses contractuelles types comme indiqué à l'annexe 3.

 

  • La société autorise le fournisseur à utiliser la liste des sous-traitants, spécifiée dans ce lien, pour effectuer des tâches spécifiques de traitement des données personnelles.
  • Le Fournisseur peut nommer des sous-traitants supplémentaires avec le consentement écrit préalable de la Société.

 

Les catégories de personnes concernées auxquelles se rapportent les données personnelles de la société :

 

  • clients, partenaires publicitaires et leurs employés, consultants ou personnes de contact.
  • fin - utilisateurs qui accèdent ou utilisent des sites Web ou des applications CTV et mobiles des éditeurs du Contrôleur/du Contrôleur ou des destinataires des publicités du Contrôleur.
  • Utilisateurs d'Internet - toute personne accédant ou utilisant le Site Web* et/ou interagissant avec Application Marketing Service**.
  • Clients - utilisateurs autorisés d'Application Marketing Service.

 

*Site Web : les données d'enregistrement du client incluent le nom de l'entreprise, le nom de la personne de contact, l'e-mail, le téléphone, l'adresse d'enregistrement de l'entreprise, l'adresse IP.

 

Les données de suivi des événements incluent Publicité / ID de l'appareil, adresse IP, agent utilisateur. Remarque : La publicité/l'identifiant de l'appareil n'est pas inclus dans le cas des événements Web.

Les données de désactivation comprennent Publicité / ID de l'appareil.

 

 

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

ANNEXE 2 : MESURES DE SÉCURITÉ

 

Les mesures de sécurité techniques et organisationnelles mises en place par le Vendeur comprennent :

 

  1. Contrôle d'accès aux locaux et installations (physiques).
    • Le Fournisseur maintiendra des systèmes de sécurité physique commercialement raisonnables sur tous les sites du Fournisseur qui sont utilisés pour fournir des services à la Société.

 

  1. Contrôle d'accès aux systèmes (virtuel).

Le Fournisseur établira et maintiendra des mesures de protection contre l'accès accidentel ou non autorisé, la destruction, la perte ou l'altération des Données personnelles :

  • L'accès sera accordé aux employés, aux sous-traitants et aux consultants par le biais de procédures de demande d'accès documentées. Les employés, gestionnaires ou autres personnes responsables doivent autoriser ou valider l'accès avant qu'il ne soit accordé.
  • Les contrôles d'accès sont activés au niveau du système d'exploitation, de la base de données ou de l'application. Les normes de mot de passe pour les systèmes exigent au moins 8 caractères alphanumériques, ne peuvent pas inclure de mots courants du dictionnaire anglais américain et garantissent que les mots de passe récents ne sont pas réutilisés.
  • Les utilisateurs se verront attribuer un compte unique et il leur sera interdit de partager des comptes.

 

  1. Contrôle d'accès aux données :

Les personnes demanderont l'accès et justifieront le besoin de conserver l'accès dans le cadre d'un processus documenté de demande d'accès. Leurs responsables ou autres personnes responsables doivent autoriser ou approuver l'accès avant qu'il ne soit autorisé.

 

  • L'accès ne sera accordé qu'après avoir traité un « formulaire de contrôle d'accès » approuvé, c'est-à-dire un identifiant de connexion au réseau local, un identifiant d'accès à l'application ou toute autre identification similaire.
  • Des ID utilisateur et des mots de passe uniques seront délivrés aux utilisateurs.
  • Les utilisateurs, une fois authentifiés, seront autorisés pour les niveaux d'accès en fonction de leurs fonctions professionnelles.
  • Le fournisseur agira rapidement pour révoquer l'accès en raison d'une résiliation, d'un changement de fonction ou en cas d'inactivité ou d'absence prolongée de l'utilisateur.

 

  1. Contrôle de la divulgation :

Les fournisseurs fourniront une technologie et des processus conçus pour minimiser l'accès pour le traitement illégitime.

  • Les postes de travail seront configurés avec des économiseurs d'écran protégés par mot de passe.

 

  1. Contrôle d'entrée :
    • Le fournisseur conservera les journaux du système et de la base de données pour accéder à toutes les données sous le contrôle du fournisseur.
    • Tous les systèmes du fournisseur doivent être configurés pour fournir une journalisation des événements afin d'identifier une compromission du système, un accès non autorisé ou toute autre violation de la sécurité. Les journaux doivent être protégés contre tout accès ou modification non autorisés.
    • L'entreprise maintiendra des contrôles d'entrée sur les systèmes de l'entreprise.

 

  1. Contrôle des travaux :

Les mesures techniques et organisationnelles pour séparer les responsabilités entre la Société et le Fournisseur comprendraient :

  • Les activités de traitement des données seront effectuées conformément aux normes de sécurité applicables.
  • Les postes de travail pour le traitement des données seraient renforcés pour s'assurer que, dans la mesure du possible, aucune information client qu'ils contiennent n'est conservée dans l'environnement du fournisseur.

 

  1. Contrôle des disponibilités :
    • Pour les systèmes d'exploitation Microsoft Windows, le fournisseur protégera les données contre la destruction ou la perte accidentelle en s'assurant que les postes de travail seront protégés par un logiciel commercial de prévention des virus et des logiciels malveillants recevant une mise à jour hebdomadaire des définitions.
    • Lors de la détection d'un virus ou d'un logiciel malveillant, le Fournisseur prendra des mesures immédiates pour arrêter la propagation et les dommages causés au virus ou au logiciel malveillant et pour éradiquer le virus ou le logiciel malveillant.

 

  1. Contrôle technique complémentaire :
  • en utilisant le protocole shell sécurisé (SSH).
  • authentification multifactorielle.
  • contrôle d'accès (physique et technique).
  • Cryptage des liens.

 

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

ANNEXE 3 : CLAUSES CONTRACTUELLES TYPES

 

Ces clauses sont réputées être modifiées de temps à autre, dans la mesure où elles se rapportent à un transfert restreint soumis aux lois sur la protection des données d'un pays ou d'un territoire donné, pour refléter (dans la mesure du possible sans incertitude matérielle quant à la résultat) toute modification (y compris tout remplacement) apportée conformément à ces lois sur la protection des données (i) par la Commission aux clauses contractuelles équivalentes approuvées par la Commission en vertu de la directive européenne 95/46/CE ou du règlement général sur la protection des données de l'UE 2016/ 679 (dans le cas des lois sur la protection des données de l'Union européenne ou d'un État membre) ; ou (ii) par une autorité compétente équivalente à ou de toute clause contractuelle équivalente approuvée par elle ou par une autre autorité compétente en vertu d'une autre loi sur la protection des données (autrement).

 

Si les présentes Clauses ne sont pas régies par le droit d'un Etat membre, les termes « Etat membre » et « Etat » sont remplacés, partout, par le mot « juridiction ».

 

ATTENDU QUE Le responsable du traitement et le sous-traitant souhaitent conclure un accord conforme aux obligations en vertu des articles 44 à 50 du règlement général sur la protection des données de l'UE 2016/679 afin de commencer leur (s) relation (s) et de garantir que les personnes concernées dont les données personnelles sont transférées conformément aux données standard les clauses de protection bénéficient d'un niveau de protection essentiellement équivalent à celui garanti au sein de l'Union européenne.

 

DONC MAINTENANT les Parties aux présentes conviennent de ce qui suit.

 

Clauses contractuelles types (sous-traitants)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données

 

Nom de l'organisation exportatrice des données : Envoyer

Autres informations nécessaires pour identifier l'organisation : Sans objet


(L'exportateur de données)

et

 

Nom de l'organisation importatrice des données : Yereq Geo, LLC

Adresse : 830 NE Holladay St, Portland, OR 97232

Tél. : Sans objet ; télécopieur : sans objet ; e-mail : support@yereqgeo.com.

Autres informations nécessaires pour identifier l'organisation : Sans objet

 

 (L'importateur de données)

 

chacun une « partie » ; ensemble « les parties »,

 

SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin d'apporter des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées à l'annexe 1 .

Contexte

L'exportateur de données a conclu un avenant relatif au traitement des données ("DPA") avec l'importateur de données. Conformément aux termes du DPA, il est envisagé que les services fournis par l'importateur de données impliquent le transfert de données personnelles à l'importateur de données. L'importateur de données est situé dans un pays n'assurant pas un niveau adéquat de protection des données. Afin de garantir le respect de la directive 95/46/CE et de la législation applicable en matière de protection des données, le responsable du traitement accepte la fourniture de ces services, y compris le traitement des données à caractère personnel y afférent, sous réserve de l'exécution et du respect par l'importateur de données des conditions de ces clauses.

Article 1

Définitions

Aux fins des Clauses :

(une)      'données personnelles', 'catégories particulières de données', 'processus/traitement', 'contrôleur', 'sous-traitant', 'personne concernée' et 'autorité de contrôle' a le même sens que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Si les présentes Clauses sont régies par une loi qui étend la protection des lois sur la protection des données aux personnes morales, les mots "sauf que, si les présentes Clauses régissent un transfert de données relatives à des personnes morales (ainsi que physiques) identifiées ou identifiables, la définition de « données personnelles » est élargi pour inclure ces données » sont ajoutés.

(b) 'l'exportateur de données' désigne le responsable du traitement qui transfère les données personnelles.

(c)      'l'importateur de données' désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des Clauses et qui n'est pas soumis à un système d'un pays tiers assurant une protection adéquate au sens de article 25, paragraphe 1, de la directive 95/46/CE ; Si ces Clauses ne sont pas régies par le droit d'un État membre, les mots "et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE" sont supprimés.

(D)      'le sous-traitant' désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données personnelles exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance écrit ;

(e) 'la loi applicable en matière de protection des données' désigne la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit au respect de la vie privée à l'égard du traitement des données à caractère personnel applicable à un responsable du traitement dans l'État membre dans lequel l'exportateur de données est établi.

(F)       'mesures de sécurité techniques et organisationnelles' désigne les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes les autres formes de traitement illicites.

Article 2

Détails du transfert

Les détails du transfert et notamment les catégories particulières de données personnelles le cas échéant sont précisés à l'Annexe 1 qui fait partie intégrante des Clauses.

Article 3

Clause du tiers bénéficiaire

  1. La personne concernée peut faire valoir à l'encontre de l'exportateur de données la présente clause, la clause 4(b) à (i), la clause 5(a) à (e) et (g) à (j), la clause 6(1) et (2) , Clause 7, Clause 8(2) et Clauses 9 à 12 en tant que tiers bénéficiaire.
  2. La personne concernée peut faire valoir à l'encontre de l'importateur de données la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit à moins qu'une entité remplaçante n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou par l'effet de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, en auquel cas la personne concernée peut les faire valoir contre cette entité.
  3. La personne concernée peut faire valoir à l'encontre du sous-traitant la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où les données l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité remplaçante n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou par effet de la loi en vertu duquel elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
  4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si la législation nationale l'autorise.

Article 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

(b) qu'il a chargé et pendant toute la durée des services de traitement des données personnelles demandera à l'importateur de données de traiter les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses.

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat.

(d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre tout autre traitement illicite, et que ces mesures assurent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger au regard de l'état de la technique et de la coût de leur mise en œuvre ;

e) qu'il veillera au respect des mesures de sécurité.

(f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sein de au sens de la directive 95/46/CE ; [Si ces Clauses ne sont pas régies par le droit d'un État membre, les mots « au sens de la directive 95/46/CE » sont supprimés.]

(g) transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5(b) et à la clause 8(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension.

(h) mettre à la disposition des personnes concernées sur demande une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance qui doit être conformément aux Clauses, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

(i) qu'en cas de sous-traitement, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et des droits de la personne concernée que l'importateur de données en vertu de les Clauses ; et

(j) qu'il assurera le respect de la Clause 4(a) à (i).

Article 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

(a) traiter les données personnelles uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; s'il ne peut pas fournir une telle conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche d'exécuter les instructions reçues de l'exportateur de données et ses obligations contractuelles et qu'en cas de modification de cette législation susceptible d'avoir une effet négatif substantiel sur les garanties et obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées.

(d) qu'il notifiera rapidement à l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données personnelles par une autorité chargée de l'application des lois, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête des forces de l'ordre,

(ii) tout accès accidentel ou non autorisé, et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf si elle a été autrement autorisée à le faire.

(e) traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et se conformer à l'avis de l'autorité de contrôle concernant le traitement des données transférées.

(f) à la demande de l'exportateur de données, de soumettre ses installations de traitement de données à un audit des activités de traitement couvertes par les Clauses qui doit être effectué par l'exportateur de données ou un organisme de contrôle composé de membres indépendants et en possession des compétences professionnelles requises qualifications liées par un devoir de confidentialité, choisies par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

(g) de mettre à la disposition de la personne concernée sur demande une copie des Clauses, ou de tout contrat existant pour le sous-traitement, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'Annexe 2 qui est remplacé par une description succincte des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie de l'exportateur de données ;

(h) qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable.

(i) que les services de traitement par le sous-traitant ultérieur seront exécutés conformément à la Clause 11.

(j) envoyer rapidement une copie de tout accord de sous-traitant ultérieur qu'il conclut en vertu des Clauses à l'exportateur de données.

Article 6

Responsabilité

  1. Les parties conviennent que toute personne concernée qui a subi un dommage à la suite d'un manquement aux obligations visées à l'article 3 ou à l'article 11 par une partie ou un sous-traitant ultérieur a le droit de recevoir une indemnisation de l'exportateur de données pour le dommage subi.
  2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 contre l'exportateur de données, résultant d'une violation par l'importateur de données ou son sous-traitant ultérieur de l'une de leurs obligations visées à l'article 3 ou à l'article 11 , parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse déposer une réclamation contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité remplaçante n'ait assumé la l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité.

L'importateur de données ne peut pas se prévaloir d'une violation par un sous-traitant ultérieur de ses obligations pour éviter ses propres responsabilités.

  1. Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur de données ou l'importateur de données visé aux paragraphes 1 et 2, résultant d'un manquement par le sous-traitant ultérieur à l'une de ses obligations visées à l'article 3 ou à l'article 11 parce que l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse émettre une réclamation contre le sous-traitant ultérieur de données en ce qui concerne ses propres opérations de traitement en vertu des Clauses comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité remplaçante n'ait assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité . La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Article 7

Médiation et juridiction

  1. L'importateur de données convient que si la personne concernée invoque à l'encontre de ses droits de tiers bénéficiaire et/ou demande une indemnisation pour des dommages en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :

a) soumettre le différend à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle.

b) de porter le litige devant les juridictions de l'État membre dans lequel l'exportateur de données est établi.

  1. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux d'exercer un recours conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de contrôle

  1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis par la législation applicable en matière de protection des données.
  2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a le même champ d'application et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la loi applicable. loi sur la protection des données.
  3. L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation applicable à lui ou à tout sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l'exportateur de données être autorisé à prendre les mesures prévues à l'article 5 (b).

Article 9

Lois applicables

Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Article 10

Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les Clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées aux affaires, le cas échéant, tant qu'elles ne contredisent pas la clause.

Article 11

Sous-traitement

  1. L'importateur de données ne doit sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il ne le fera que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose les mêmes obligations au sous-traitant ultérieur que celles imposées à l'importateur de données. en vertu des Clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
  2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur doit également prévoir une clause de tiers bénéficiaire telle que prévue à l'article 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de l'article 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par effet de la loi. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
  3. Les dispositions relatives aux aspects de protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
  4. L'exportateur de données doit conserver une liste des accords de sous-traitance conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5 (j), qui doit être mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Article 12

Obligation après la résiliation des services de traitement des données personnelles

  1. Les parties conviennent qu'à la fin de la prestation de services de traitement de données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, restituer toutes les données personnelles transférées et leurs copies à l'exportateur de données ou détruire toutes les données personnelles et certifie à l'exportateur de données qu'il l'a fait, sauf si la législation imposée à l'importateur de données l'empêche de restituer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.
  2. L'importateur de données et le sous-traitant ultérieur garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement de données à un audit des mesures visées au paragraphe 1.

 

Au nom de l'exportateur de données : Envoyer

Au nom de l'importateur de données : Yereq Geo, LLC

 

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

ANNEXE 1 AUX CLAUSES CONTRACTUELLES TYPES

 

Cette Annexe fait partie des Clauses et doit être complétée et signée par les parties

Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans le présent appendice

 

Exportateur de données

L'exportateur de données est spécifié dans l'Addendum en tant que Société.

 

Importateur de données

L'importateur de données est l'entité juridique spécifiée dans l'Addendum en tant que Vendeur.

 

Personnes concernées

Les données personnelles transférées concernent les catégories de personnes concernées suivantes :

  • clients, partenaires publicitaires et leurs employés, consultants ou personnes de contact.
  • fin - les utilisateurs qui accèdent ou utilisent les sites Web, les applications mobiles des éditeurs du Contrôleur/du Contrôleur ou les destinataires des publicités du Contrôleur.
  • Utilisateurs Internet - toute personne accédant ou utilisant le site Web*.
  • Clients - utilisateurs autorisés du site Web.

 

*Site Web : les données d'enregistrement du client incluent le nom de l'entreprise, le nom de la personne de contact, l'e-mail, le téléphone, l'adresse d'enregistrement de l'entreprise, l'adresse IP.

Les données de suivi des événements incluent Publicité / ID de l'appareil, adresse IP, agent utilisateur. Remarque : La publicité/l'identifiant de l'appareil n'est pas inclus dans le cas des événements Web.

 

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes :

(i) identifiants publicitaires (Apple IDFA, ou IFA sur OTT, ou Google Advertising ID (GAID), ou Android ID, ou identifiant de cookie de navigateur, selon le cas).

(ii) Adresse IP.

(iii) les données de géolocalisation.

(iv) données de l'appareil de bureau/mobile/CTV : version du système d'exploitation, modèle de l'appareil, ID de l'appareil.

(v) données d'application de bureau / mobile / CTV : ID de bundle, ID de magasin d'applications, ID de langue, version du kit de développement logiciel (SDK).

(vi) données comportementales : réaction de la personne concernée aux publicités (impressions, clics, installations), préférences de la personne concernée concernant le visionnage du contenu OTT et publicité intégrée/incluse applicable.

 

Catégories spéciales de données (le cas échéant)

Les données personnelles transférées concernent les catégories particulières de données suivantes : Aucune

 

Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes, telles que décrites à l'Annexe 1 - Détails du traitement des données personnelles de l'entreprise de l'addendum sur le traitement des données, de l'accord principal et des présentes clauses.

L'importateur de données est autorisé par l'exportateur de données à utiliser la liste des sous-traitants pour effectuer des tâches spécifiques de traitement des données personnelles de l'entreprise, comme décrit dans l'annexe 1 - Détails du traitement des données personnelles de l'entreprise de l'addendum sur le traitement des données.

 

ADDENDUM SUR LE TRAITEMENT DES DONNÉES

 

ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES

Cette Annexe fait partie des Clauses et doit être complétée et signée par les parties.

 

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) :

 

L'importateur de données respecte actuellement les normes de sécurité de l'annexe 2 - Mesures de sécurité de l'addendum sur le traitement des données. L'importateur de données peut mettre à jour ou modifier ces normes de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale des Services pendant une durée d'abonnement.