Accord de traitement des données (DPA)

1. Introduction

Le présent Accord de traitement des données («Accord») fait partie intégrante des Conditions générales entre Deskhero AB («nous,” “nous,” ou “notre») et le Client («vous” ou “Client») et régit le traitement des données personnelles que nous effectuons pour votre compte dans le cadre de votre utilisation de notre plateforme Software-as-a-Service (SaaS) («Service»).

Le présent Accord reflète l’accord des parties quant aux modalités régissant le traitement des données personnelles conformément aux Lois applicables sur la protection des données, y compris le Règlement général sur la protection des données (RGPD) de l’UE.

2. Définitions

• Lois sur la protection des données : Toutes les lois applicables relatives à la protection des données, à la vie privée et au traitement des données personnelles, y compris le RGPD et toute législation nationale de transposition applicable.
• RGPD : Règlement (UE) 2016/679 sur la protection des données (Règlement général sur la protection des données).
• Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l’article 4 du RGPD.
• Traitement : Toute opération appliquée à des données personnelles, automatisée ou non, telle que définie à l’article 4 du RGPD.
• Responsable de traitement : L’entité qui détermine les finalités et les moyens du traitement des données personnelles.
• Sous-traitant : L’entité qui traite des données personnelles pour le compte du Responsable de traitement.
• Sous-traitant ultérieur : Tout Sous-traitant que nous engageons pour traiter des données personnelles pour le compte du Client.
• Clauses Contractuelles Types (CCT) : Les clauses contractuelles adoptées par la Commission européenne pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers.

3. Rôles et responsabilités

3.1 Relation entre les parties

• Responsable de traitement et Sous-traitant : Aux fins du présent Accord, vous êtes le Responsable de traitement et nous sommes le Sous-traitant s’agissant des données personnelles traitées pour votre compte.

3.2 Finalité du traitement

• Nous traiterons les données personnelles selon ce qui est nécessaire pour fournir le Service, conformément aux Conditions générales et au présent Accord.

4. Instructions

4.1 Instructions de traitement

• Nous ne traiterons les données personnelles que sur instructions documentées de votre part, y compris en ce qui concerne les transferts internationaux de données, sauf obligation légale contraire.

4.2 Limitations

• Si nous estimons qu’une instruction enfreint les Lois sur la protection des données, nous vous en informerons sans délai.

5. Détails du traitement

5.1 Objet

• Le traitement des données personnelles dans le cadre de la fourniture du Service.

5.2 Durée

• Pour la durée du présent Accord jusqu’à la suppression de toutes les données personnelles telle que décrite ci-après.

5.3 Nature et finalité

• Traitement de données personnelles pour fournir le Service, y compris le stockage, la consultation et les autres opérations nécessaires à l’exécution du Service.

5.4 Types de données personnelles

• Les données personnelles peuvent inclure, sans s’y limiter :
• Données d’identification (par ex. noms, adresses e-mail, numéros de téléphone).
• Informations de contact.
• Données de support et de communication.
• Toute autre donnée personnelle soumise par les Utilisateurs ou les clients du Client via le Service.

5.5 Catégories de personnes concernées

• Utilisateurs : Employés ou mandataires du Client autorisés à utiliser le Service.
• Clients finaux du Client : Personnes qui interagissent avec le Client via le Service.

6. Confidentialité

6.1 Confidentialité du personnel

• Nous veillerons à ce que le personnel autorisé à traiter des données personnelles soit soumis à une obligation de confidentialité appropriée ou se soit engagé à la respecter.

7. Mesures de sécurité

7.1 Mesures techniques et organisationnelles

• Nous mettrons en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, comme décrit dans notre Mesures techniques et organisationnelles (TOM).

8. Sous-traitance

8.1 Sous-traitants autorisés

• Vous nous autorisez à faire appel à des Sous-traitants pour traiter des données personnelles pour votre compte, à condition que :
• Nous vous informons de toute modification envisagée concernant l’ajout ou le remplacement de Sous-traitants, en vous laissant la possibilité de vous y opposer dans un délai de dix (10) jours.
• Nous concluons un accord écrit avec les Sous-traitants imposant des obligations de protection des données au moins aussi protectrices que celles du présent Accord.
• Nous demeurons entièrement responsables de l’exécution des Sous-traitants.

8.2 Sous-traitants actuels

• La liste de nos Sous-traitants actuels est disponible dans notre Registre des activités de traitement (RoPA).

9. Transferts internationaux de données

9.1 Transferts hors UE/EEE

• Les données personnelles peuvent être transférées vers des pays situés en dehors de l’Union européenne (UE) ou de l’Espace économique européen (EEE) lorsque cela est nécessaire, à condition que :
• Ces transferts sont effectués conformément aux Lois sur la protection des données.
• Des garanties appropriées sont mises en place, telles que les Clauses Contractuelles Types (CCT).

9.2 Clauses Contractuelles Types

• Les parties conviennent que les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne s’appliquent à tout transfert de données personnelles en dehors de l’UE/EEE vers des pays que la Commission européenne ne reconnaît pas comme offrant un niveau de protection adéquat.

10. Assistance à la conformité

10.1 Droits des personnes concernées

• Nous vous assisterons, au moyen de mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de satisfaire à vos obligations de répondre aux demandes d’exercice des droits des Personnes concernées en vertu des Lois sur la protection des données.

10.2 Analyses d’impact relatives à la protection des données

• Nous vous fournirons une assistance raisonnable pour la réalisation d’analyses d’impact relatives à la protection des données et pour les consultations préalables auprès des autorités de contrôle.

11. Notification d’une violation de données

• Nous vous notifierons sans retard injustifié dès que nous aurons connaissance d’une violation de données personnelles affectant des données traitées pour votre compte. Cette notification contiendra les informations suffisantes pour vous permettre de satisfaire à toute obligation de signalement ou d’information des Personnes concernées.

12. Suppression ou restitution des données personnelles

• À la résiliation du présent Accord ou sur votre demande, nous supprimerons ou vous restituerons, selon votre choix, toutes les données personnelles et supprimerons les copies existantes, sauf si la loi exige leur conservation.

13. Audits et inspections

• Nous mettrons à votre disposition toutes les informations nécessaires pour démontrer le respect du présent Accord et permettre ainsi que des audits, y compris des inspections, soient réalisés par vous ou par un auditeur que vous mandatez, ainsi que pour y contribuer.

14. Responsabilité

• La responsabilité de chaque partie au titre du présent Accord est soumise aux exclusions et limitations de responsabilité prévues dans les Conditions générales.

15. Droit applicable et juridiction

• Le présent Accord est régi et interprété conformément au droit suédois. Tout litige découlant du présent Accord ou lié à celui-ci relève de la compétence exclusive des tribunaux suédois.

16. Dispositions diverses

• 16.1 Intégralité de l’Accord : Le présent Accord constitue l’intégralité de l’accord entre les parties concernant le traitement des données personnelles et remplace tout accord antérieur.
• 16.2 Divisibilité : Si une disposition du présent Accord est jugée invalide, les autres dispositions resteront pleinement en vigueur.

Annexes

• Annexe 1 : Mesures techniques et organisationnelles (TOM)
• Annexe 2 : Registre des activités de traitement (RoPA)
• Annexe 3 : Clauses Contractuelles Types (CCT)

Annexe 3 : Clauses Contractuelles Types (CCT)

En raison de restrictions de droits d’auteur, nous ne pouvons pas inclure le texte intégral des Clauses Contractuelles Types (CCT) directement dans ce document. Nous reconnaissons toutefois que les CCT, telles qu’adoptées par la Commission européenne, constituent une partie intégrante du présent Accord aux fins de régir les transferts internationaux de données hors UE/EEE vers des pays non reconnus comme offrant un niveau de protection adéquat.

Action requise :

• Incorporation par référence : En concluant le présent Accord, les deux parties conviennent que les Clauses Contractuelles Types sont incorporées aux présentes par renvoi et s’appliquent à tout transfert international de données.

Conseils :

• Télécharger les CCT : Vous pouvez télécharger les CCT officielles à partir du Site web de la Commission européenne.
• Pièce jointe : Nous vous recommandons d’annexer les CCT au présent Accord lors de la finalisation du document.

Informations de contact du Délégué à la protection des données (DPO) :

Nom : Klas Karlsson

E-mail : adpo@deskhero.com

Téléphone : +46 70 601 13 22

Coordonnées :

• Deskhero AB

KIVRA : 559415-4170

106 31, Stockholm, Suède

E-mail : support@deskhero.com

En utilisant le Service et en acceptant les Conditions générales, vous acceptez les termes du présent Accord de traitement des données.