Accord de traitement des données

1. Avenant au traitement des données

ULTEH s'engage à garantir la confidentialité, la sécurité et la conformité des données clients. Le présent Avenant relatif au traitement des données (DPA) décrit les conditions régissant la manière dont nous traitons, stockons et protégeons les données personnelles conformément aux lois et réglementations applicables en matière de protection des données. Ce DPA est une extension de notre accord principal avec les Clients et s'applique lorsque ULTEH traite des données personnelles pour le compte du Client en tant que sous-traitant. Il établit des responsabilités claires pour les deux parties en matière de traitement des données, garantissant la conformité avec les lois applicables en matière de vie privée. En utilisant ULTEH, les Clients reconnaissent et acceptent les termes énoncés dans ce DPA. Si vous avez besoin d'une copie signée de cet accord à des fins de conformité, veuillez nous contacter.

2. Définitions

Affilié désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec une partie. « Contrôle » signifie la détention directe ou indirecte d'au moins 50 % des actions avec droit de vote, des intérêts en capital ou de droits similaires dans l'entité, donnant la capacité d'influencer sa gestion et ses politiques. Les affiliés sont considérés comme liés par les obligations et responsabilités définies dans ce DPA, dans la mesure où ils participent au traitement des Données Personnelles.

Sous-traitant autorisé désigne tout prestataire, fournisseur de services ou sous-traitant tiers engagé par le Prestataire de services pour traiter les Données personnelles du Client strictement pour le compte et selon les instructions du Prestataire de services. Les Sous-traitants autorisés assistent dans l’exécution des obligations prévues par ce DPA et le Contrat principal. Tous les Sous-traitants doivent respecter les mêmes obligations en matière de protection des données, en assurant la sécurité, la confidentialité et la conformité réglementaire.

Données de compte désigne toutes les informations liées à l’activité collectées, stockées et traitées par le Prestataire de services dans le cadre de sa relation contractuelle avec le Client. Cela inclut, sans s’y limiter, les noms, adresses e-mail, numéros de téléphone, informations de paiement et identifiants d’accès des personnes autorisées par le Client à gérer et exploiter leur compte sur la plateforme du Prestataire de services. Les Données de compte sont utilisées exclusivement à des fins administratives, de facturation et de support.

Les lois sur la protection des données englobent l’ensemble des lois, réglementations et cadres applicables régissant la collecte, le traitement, le stockage, le transfert et la protection des Données Personnelles. Cela inclut notamment le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, le UK GDPR applicable au Royaume-Uni, le California Consumer Privacy Act (CCPA), ainsi que toute autre loi nationale ou internationale sur la vie privée pertinente pour les activités de traitement de données dans le cadre du présent Accord. Le respect de ces lois garantit que les Données Personnelles sont traitées de manière légale, transparente et sécurisée.

Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée »). Une personne identifiable est celle qui peut être identifiée directement ou indirectement, notamment par des identifiants tels qu’un nom, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (comme une adresse IP ou des cookies) ou d’autres éléments uniques définissant son identité. Les données personnelles n’incluent pas les données anonymisées ou agrégées qui ne permettent pas d’identifier un individu.

Traitement désigne toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, que ce soit par des moyens automatisés ou manuellement. Cela inclut, sans s’y limiter, la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation, la transmission, la limitation, l’effacement ou la destruction des Données Personnelles. Le traitement est effectué conformément aux instructions du Client et aux lois applicables sur la protection des données.

Mesures de sécurité désigne les dispositifs techniques et organisationnels mis en place pour garantir la confidentialité, l'intégrité et la disponibilité des Données Personnelles. Ces mesures incluent le chiffrement, les contrôles d'accès, les pare-feux, la mascarade des données, la pseudonymisation, les audits de sécurité réguliers et les mécanismes de notification des violations. Les mesures de sécurité sont conçues pour prévenir tout accès non autorisé, perte accidentelle ou traitement illicite des Données Personnelles.

Autorité de contrôle désigne une autorité publique indépendante chargée de surveiller et de faire respecter la conformité aux lois sur la protection des données. Par exemple, le Comité européen de la protection des données (EDPB) pour les questions liées au RGPD, l’Information Commissioner's Office (ICO) du Royaume-Uni pour le RGPD britannique, et la California Privacy Protection Agency (CPPA) pour l’application du CCPA. L’Autorité de contrôle dispose du pouvoir légal d’enquêter sur les plaintes, d’émettre des recommandations et d’imposer des sanctions en cas de non-conformité.

Droits des personnes concernées désigne les droits accordés aux individus en vertu des lois applicables sur la protection des données. Ces droits peuvent inclure le droit d'accéder, de rectifier, de supprimer, de restreindre ou de transférer leurs Données Personnelles, ainsi que le droit de s'opposer au traitement et de déposer une plainte auprès d'une Autorité de contrôle. Le Prestataire de services aide les Clients à exercer ces droits lorsque cela s'applique.

3. Traitement des données

Le Client peut agir en tant que Responsable du traitement ou Sous-traitant, selon sa relation avec la personne concernée et les finalités du traitement des données personnelles. Dans tous les cas, ULTEH agit en tant que Sous-traitant, traitant les données personnelles pour le compte du Client et conformément à ses instructions.

Le Client est responsable de s’assurer que toutes les activités de traitement de données réalisées via nos Services respectent les Législations applicables en matière de protection des données, y compris, sans s’y limiter, le Règlement général sur la protection des données (RGPD), le RGPD britannique, le California Consumer Privacy Act (CCPA) et toute autre réglementation applicable en matière de confidentialité. Le Client reconnaît disposer de la base légale pour traiter les Données Personnelles et nous indemnise contre toute réclamation, responsabilité ou dommage résultant du non-respect de ces exigences légales.

Nous traiterons les Données Personnelles uniquement conformément aux instructions écrites du Client et uniquement dans la mesure nécessaire à la fourniture des Services, sauf obligation légale contraire. Nous n’utiliserons, ne divulguerons ni ne partagerons les Données Personnelles à aucune autre fin que celles autorisées par le Client ou expressément prévues dans le présent Accord.

À la résiliation du Contrat ou sur demande du Client, nous procéderons, au choix du Client, soit à : (a) Supprimer de manière sécurisée toutes les Données Personnelles traitées dans le cadre de ce Contrat, en veillant à ce qu’aucune copie ne subsiste sauf obligation légale, soit (b) Restituer les Données Personnelles au Client dans un format structuré, couramment utilisé et lisible par machine avant suppression. Le Client doit formuler ces demandes dans un délai raisonnable avant la résiliation.

Si nous sommes légalement tenus de conserver des Données Personnelles après la résiliation, nous en informerons le Client (sauf interdiction légale) et veillerons à ce que ces données restent protégées conformément aux lois sur la protection des données.

4. Sécurité et confidentialité

ULTEH s’engage à protéger la sécurité et la confidentialité des Données Personnelles traitées pour le compte du Client. Afin de garantir l’intégrité et la sécurité des données, nous mettons en œuvre et maintenons des mesures de sécurité de pointe conçues pour prévenir tout accès, divulgation, modification ou destruction non autorisés des Données Personnelles.

Ces mesures de sécurité comprennent notamment :

• Chiffrement des données : Les données personnelles sont chiffrées lors du transfert et du stockage à l'aide de protocoles de chiffrement reconnus afin de prévenir tout accès non autorisé.
• Contrôles d'accès : Des politiques strictes de gestion des accès garantissent que seules les personnes autorisées ont accès aux données personnelles, selon le principe du moindre privilège.
• Sécurité réseau et système : Les pare-feu, les systèmes de détection d'intrusion et la surveillance continue contribuent à prévenir les accès non autorisés et les menaces informatiques.
• Anonymisation et pseudonymisation des données : Lorsque cela s'applique, les données personnelles peuvent être anonymisées ou pseudonymisées afin de réduire les risques liés à l'exposition des données.
• Audits de sécurité réguliers : Nous réalisons des évaluations de sécurité, des tests de vulnérabilité et des contrôles de conformité périodiques afin d’identifier et de réduire les risques.
• Plan de réponse aux incidents : Un protocole structuré de gestion des incidents garantit que toute violation de sécurité est rapidement identifiée, atténuée et signalée conformément aux lois applicables sur la protection des données.

Toute personne, y compris les employés, sous-traitants et prestataires de services autorisés, qui traite des Données Personnelles pour notre compte est soumise à de strictes obligations de confidentialité. Cela inclut la signature d'accords de non-divulgation (NDA) juridiquement contraignants et le respect des politiques internes de gestion des données afin d'assurer la conformité aux normes de confidentialité et de sécurité des données.

Nous informerons rapidement le Client de toute violation de sécurité confirmée susceptible d'entraîner la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illicite à des Données Personnelles. Ces notifications comprendront les détails de l'incident, l'impact potentiel et les mesures correctives prises pour atténuer les risques.

Nous révisons et mettons à jour en permanence nos mesures de sécurité conformément aux normes du secteur et exigences réglementaires en constante évolution afin d’assurer la protection continue des données des clients.

5. Sous-traitants

ULTEH peut faire appel à des sous-traitants tiers pour aider à fournir et maintenir les Services. Ces sous-traitants effectuent des fonctions spécifiques telles que le stockage de données, l’hébergement d’infrastructures, l’analyse ou le support client. Nous veillons à ce que tous les sous-traitants respectent des obligations strictes en matière de protection des données équivalentes à celles définies dans ce DPA.

Nous tenons à jour une liste des sous-traitants, incluant leurs rôles et lieux de traitement. Les clients peuvent à tout moment demander des informations sur les sous-traitants actuels en nous contactant.

Droits et objections du client :

• Nous informerons les clients de tout nouvel sous-traitant au moins 10 jours à l'avance.
• Les clients peuvent soumettre une objection écrite à l'utilisation d'un nouveau sous-traitant dans ce délai de 10 jours s'ils ont des préoccupations légitimes en matière de protection des données.
• Dès réception d'une objection, nous engagerons des discussions de bonne foi afin de répondre aux préoccupations, ce qui peut inclure la recherche de solutions alternatives.
• Si aucune solution mutuellement acceptable n'est trouvée, le Client peut avoir le droit de résilier les Services concernés conformément à l'Accord.

Nous restons entièrement responsables et redevables des actions de nos Sous-traitants et veillons à ce qu'ils respectent :

• Législations sur la protection des données, y compris le RGPD, le CCPA et d'autres réglementations applicables.
• Accords de confidentialité pour protéger les données personnelles.
• Mesures de sécurité conformes aux normes du secteur pour prévenir tout accès non autorisé ou usage abusif des données.

Nous nous réservons le droit de mettre à jour ou de remplacer nos sous-traitants si nécessaire, en tenant compte des préoccupations des clients et des obligations de conformité en cours.

6. Transferts de données personnelles

ULTEH peut transférer des données personnelles en dehors de l’Espace économique européen (EEE), du Royaume-Uni (UK) ou de la Suisse afin de faciliter la fourniture des Services. Lors de tels transferts, nous veillons à ce que des garanties juridiques appropriées soient en place pour protéger les données transférées conformément aux lois applicables sur la protection des données.

Nous nous appuyons sur des mécanismes de transfert de données reconnus, y compris, sans s’y limiter :

• Clauses contractuelles types (SCC) : Nous intégrons les SCC approuvées par la Commission européenne ou d'autres autorités compétentes afin de garantir la légalité des transferts de données.
• Mesures supplémentaires : Lorsque cela est nécessaire, nous appliquons des garanties techniques, organisationnelles et contractuelles supplémentaires pour renforcer la protection des données.
• Règles d'entreprise contraignantes (BCR) : Le cas échéant, nos entités affiliées respectent les BCR afin d'assurer un haut niveau de protection des données lors d'opérations internationales.
• Autres mécanismes de transfert approuvés : Nous respectons tout cadre, certification ou instrument juridique supplémentaire reconnu pour les transferts internationaux de données.

Droits et assistance du client : Nous nous engageons à aider le Client à garantir le respect des droits des personnes concernées conformément aux lois applicables sur la protection des données. Cela inclut notamment :

• Demandes d'accès : Permettre aux personnes concernées d'accéder à leurs données personnelles.
• Demandes de rectification : Permet de corriger des données inexactes ou incomplètes.
• Demandes d’effacement (« droit à l’oubli ») : Aide à la suppression des données personnelles sur demande, lorsque la loi le permet.
• Opposition et limitation du traitement : Accompagnement des personnes concernées dans l’exercice de leur droit d’opposition ou de limitation du traitement des données.
• Portabilité des données : Faciliter le transfert des données personnelles vers un autre responsable du traitement, lorsque cela s'applique.

Nous surveillons en permanence les réglementations mondiales en matière de confidentialité afin de garantir la conformité aux exigences de transfert transfrontalier des données et informerons le Client si des changements dans le cadre juridique impactent nos obligations de traitement des données.

7. Droits des personnes concernées

ULTEH reconnaît et respecte les droits des Personnes Concernées en vertu des Lois applicables sur la Protection des Données. Nous assisterons le Client, en tant que Responsable du Traitement, dans la réponse aux demandes des individus concernant leurs Données Personnelles.

Les Personnes Concernées peuvent exercer les droits suivants :

• Droit d'Accès : La possibilité de demander et d'obtenir la confirmation que leurs données sont traitées, ainsi que l'accès aux données.
• Droit de Rectification : Le droit de corriger ou de mettre à jour des Données Personnelles inexactes ou incomplètes.
• Droit à l'Effacement ("Droit à l'Oubli") : Le droit de demander la suppression des Données Personnelles, sous réserve des obligations légales et contractuelles.
• Droit à la Limitation du Traitement : La possibilité de limiter le traitement des Données Personnelles sous certaines conditions.
• Droit à la Portabilité des Données : La possibilité d'obtenir et de transférer les Données Personnelles à un autre prestataire de services lorsque cela est techniquement réalisable.
• Droit d'Opposition : Le droit de s'opposer au traitement fondé sur des intérêts légitimes, le marketing direct ou la prise de décision automatisée.
• Droit de Retirer le Consentement : Si le traitement est fondé sur le consentement, la Personne Concernée peut retirer son consentement à tout moment.

Responsabilités du Client : Le Client, agissant en tant que Responsable du Traitement, est responsable du traitement des demandes des Personnes Concernées. Nous fournirons une assistance raisonnable sur demande, en veillant à ce que les réponses soient traitées rapidement et dans le respect des lois applicables.

Nous ne répondrons pas directement à une demande d'une Personne Concernée, sauf si la loi l'exige ou si le Client nous y autorise expressément.

8. Notification de violation de données

ULTEH prend la sécurité au sérieux et met en œuvre des mesures préventives pour protéger les Données Personnelles. Toutefois, en cas de Violation de Données Personnelles, nous agirons rapidement et de manière transparente.

Plan de Réponse aux Violations de Données : Si nous avons connaissance d'une Violation de Données Personnelles confirmée susceptible d'entraîner l'accès non autorisé, la perte, l'altération ou la divulgation de Données Personnelles, nous allons :

• Évaluer l'impact de la violation et prendre des mesures immédiates pour atténuer les risques.
• Notifier le Client sans retard injustifié (généralement dans les 48 heures suivant la confirmation).
• Fournir des détails comprenant :
  • La nature et l'étendue de la violation.
  • Le type de données concernées.
  • Les conséquences potentielles.
  • Les mesures prises ou proposées pour remédier à la violation.
• Assister le Client dans l'accomplissement de toute obligation réglementaire, y compris les notifications aux autorités et aux Personnes Concernées affectées, le cas échéant.
• Mettre en œuvre des actions correctives pour prévenir de futures violations.

Responsabilités du Client : Le Client est responsable de déterminer s'il convient de notifier les autorités réglementaires et les Personnes Concernées conformément aux Lois applicables sur la Protection des Données.

Nous documenterons toutes les violations et conserverons des registres de notre enquête, de nos efforts d'atténuation et de nos actions correctives.

9. Conservation et suppression des données

ULTEH conserve les Données Personnelles uniquement pendant la durée nécessaire à l’exécution de ses obligations au titre du présent Accord ou conformément aux lois applicables.

Politique de conservation des données :

• Nous appliquons les principes de minimisation des données, en veillant à ce que les données soient conservées uniquement pour des besoins commerciaux et de conformité légitimes.
• Les données seront supprimées ou anonymisées dès qu'elles ne seront plus nécessaires aux fins de traitement.
• Les durées de conservation peuvent varier en fonction des exigences légales, contractuelles ou réglementaires.

Suppression des données contrôlée par le client :

• Les clients peuvent demander la suppression de leurs données personnelles à tout moment.
• À la fin des services, nous supprimerons ou restituerons les Données Personnelles conformément aux instructions du Client.
• Si aucune demande de suppression n'est faite, nous supprimerons automatiquement les Données Personnelles dans un délai raisonnable, sauf si la loi exige leur conservation.

Exceptions à la suppression des données : Dans certains cas, nous pouvons conserver les Données Personnelles au-delà de la période de conservation convenue, notamment :

• Pour se conformer à des obligations légales (par exemple, exigences fiscales, d’audit ou réglementaires).
• Pour des intérêts légitimes, tels que la prévention de la fraude ou les enquêtes de sécurité.
• Lorsqu’une demande légale contraignante est requise (par exemple, une ordonnance du tribunal).

Nous veillons à ce que des procédures de suppression sécurisées soient respectées, empêchant toute récupération ou utilisation non autorisée des données personnelles.

10. Droit applicable et résolution des litiges

Cet Addendum sur le Traitement des Données (DPA) sera régi et interprété conformément aux mêmes lois et juridictions que celles définies dans le contrat principal entre ULTEH et le Client.

Processus de résolution des litiges : En cas de litige concernant ce DPA, les deux parties conviennent de suivre un processus structuré de résolution, comprenant :

• Négociation de bonne foi : Les parties tenteront d’abord de résoudre les litiges par des discussions et négociations directes.
• Médiation ou arbitrage : Si la négociation échoue, le litige pourra être soumis à une médiation ou à un arbitrage, comme prévu dans l’accord principal.
• Procédures judiciaires : Si aucune solution n’est trouvée, les litiges pourront être réglés par des procédures judiciaires formelles dans la juridiction compétente.

En cas de conflit entre ce DPA et l’accord principal, les dispositions de ce DPA prévaudront uniquement en ce qui concerne la protection des données, afin d’assurer la conformité avec les Législations sur la protection des données applicables.

11. Dispositions finales

Cet Addendum sur le Traitement des Données fait partie intégrante de l’accord global entre ULTEH et le Client. En continuant à utiliser les Services, le Client reconnaît et accepte les termes de ce DPA.

Si une disposition de ce DPA est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur. Les parties conviennent de remplacer toute disposition inapplicable par une disposition reflétant au mieux l’intention initiale, tout en restant conforme à la législation applicable.

Modifications et mises à jour : Nous nous réservons le droit de modifier ou de mettre à jour ce DPA afin de refléter les évolutions des lois applicables sur la protection des données, des pratiques du secteur ou des besoins opérationnels. Les clients seront informés de tout changement important et la poursuite de l’utilisation des Services vaudra acceptation des conditions mises à jour.

Coordonnées : Pour toute question, préoccupation ou pour demander une copie signée de ce DPA, les clients peuvent nous contacter à l’adresse suivante : [email protected].