Annexe sur le traitement des données
Privacy Policy - DPA - Subprocessors
La présente annexe sur le traitement des données (ci-après dénommée « DPA » pour « Data Processing Agreement ») complète le Contrat entre Meltwater et le Client, et est conclu à la date de conclusion du Contrat. Le présent DPA intègre le Contrat et tous les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans le Contrat. Aux fins du présent DPA, le Client est le Responsable de traitement et Meltwater est le Sous-traitant, ou le Prestataire de Services, selon le cas.
1. Interprétation
Les termes et expressions figurant dans le présent DPA ont la signification suivante:
1.1. « Contrat » signifie le contrat entre les parties pour la souscription à un abonnement Meltwater.
1.2. « Loi sur la protection de la vie privée applicable » désigne l'ensemble des lois, directives, règlements et règles en matière de protection de la vie privée, de sécurité des données et de protection des données dans toute juridiction, et qui sont applicables aux Données personnelles traitées en vertu du DPA, y compris, sans limitation dans la mesure applicable, le Règlement général sur la protection des données, Règlement (UE) 2016/679 (« RGPD »), le RGPD britannique du 31 décembre 2020 et la Loi britannique sur la protection des données de 2018 (ensemble « Loi britannique sur la protection de la vie privée »), la loi fédérale suisse sur la protection des données, les lois sur les données des états fédéraux des États-Unis (telles que définies dans les présentes).
1.3. « Responsable de traitement », « Sous-traitant » et « traitement » ont les significations qui leur sont données dans la Loi sur la protection de la vie privée applicable ;
1.4. « Données personnelles » : toutes les données relatives aux personnes physiques qui sont traitées par le Sous-traitant pour le compte du Responsable de traitement conformément au présent DPA ;
1.5. « Plateforme » a le sens qui lui est donné dans le Contrat ou le sens qui est donné aux Services Meltwater dans le Contrat.
1.6. « Clauses contractuelles types » : les clauses contractuelles types figurant à l'annexe de la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 ; et
1.7. « Sous-traitant ultérieur » désigne tout tiers que le Sous-traitant engage pour Traiter des Données personnelles pour le compte du Responsable de traitement afin de fournir la Plateforme.
Tous les autres termes définis ont la signification qui leur est donnée dans le Contrat.
2. Catégories de Données personnelles couvertes par le DPA
2.1. Si le Responsable de traitement utilise la plateforme Media Intelligence (de Meltwater) : les coordonnées (y compris le nom, adresse mail et éventuellement le numéro de téléphone) et l'adresse IP utilisée pour se connecter à la Plateforme, des employés du Responsable de traitement qui sont ajoutés en tant qu'Utilisateurs Autorisés de la Plateforme.
2.2. Si le Responsable de traitement utilise la plateforme suivante : newsletter, services de relations avec les médias du Sous-traitant, les catégories de Données personnelles traitées comprennent également les suivantes : nom, adresse mail, éventuellement numéro de téléphone, titre, employeur et nom d’utilisateurs des réseaux sociaux (social handle), des personnes concernées dont le Responsable de traitement télécharge les informations sur la Plateforme.
2.3 Si le Responsable du traitement utilise la plateforme de Meltwater Engage, les catégories de données personnelles traitées peuvent également inclure les éléments suivants (i) le nom, l'adresse e-mail, éventuellement le numéro de téléphone et le pseudonyme social des personnes concernées dans l'instance Salesforce du responsable du traitement que le responsable du traitement synchronise avec la Plateforme et (ii) toutes les Données personnelles incluses dans les messages directs gérés via Meltwater Engage.
2.4. Si le Responsable de traitement utilise la plateforme de Influencer Marketing: les coordonnées de contact des employés du Responsable de traitement (y compris, mais sans s'y limiter, le nom ou l'adresse mail) et les informations d'inscription/de connexion, toute autre Donnée personnelle (telle que des notes, des contrats, etc.) liée aux influenceurs ou aux clients du Responsable de traitement que ce dernier ajoute et stocke sur la Plateforme, ainsi que les données de conversion et les informations obtenues via les pixels que le Responsable de traitement place sur son site web.
2.5. Si le Responsable de traitement utilise des plateformes de Consumer Insights ou de Curation de Contenu: les coordonnées (y compris le nom, l'adresse mail et éventuellement le numéro de téléphone), l'adresse IP utilisée pour se connecter à la Plateforme, les informations sur les réseaux sociaux et une éventuelle photo de profil des employés du Responsable de traitement qui sont ajoutés en tant qu'Utilisateurs autorisés à la Plateforme.
2.6. Si le Responsable de traitement utilise la plateforme D'intelligence Commerciale: l'adresse mail, la fonction et le nom de l'employeur.
3. Traitement et utilisation des Données personnelles
3.1. Le Sous-traitant doit traiter les Données personnelles reçues du Responsable de traitement (a) conformément aux instructions fournies par le Responsable de traitement tel qu’indiqué dans le présent DPA (b) exclusivement dans le but de fournir la Plateforme établie dans le Contrat ou (c) comme autrement notifié par écrit conformément aux dispositions relatives à la notification du Contrat par le Responsable de traitement au Sous-traitant pendant la durée du Contrat.
3.2. Le Sous-traitant se conforme à tout moment à la Loi sur la protection de la vie privée applicable et ne doit pas manquer à ses obligations en vertu du présent DPA, ou du Contrat, d’une manière qui viendrait entrainer une violation du Responsable de traitement des obligations applicables en vertu de la Loi sur la protection de la vie privée applicable.
3.3. Le Sous-traitant accepte de se conformer à toutes les mesures raisonnables requises par le Responsable de traitement pour s'assurer que ses obligations en vertu du présent DPA sont exécutées de manière satisfaisante conformément à la Loi sur la protection de la vie privée applicable en vigueur de temps à autre.
4. Sécurité des Données personnelles
4.1. Le Sous-traitant accepte de mettre en œuvre et de maintenir un programme de sécurité de l'information approprié avec des mesures techniques et organisationnelles pour protéger la sécurité des Données personnelles à un niveau de sécurité approprié au risque ; en particulier, contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l'altération ou la divulgation accidentels.
4.2. Le Sous-traitant, si le Responsable de traitement le demande, fournit des détails sur les systèmes techniques et organisationnels en place pour préserver la sécurité des Données personnelles détenues et empêcher tout accès non autorisé.
4.3. Toutes les Données personnelles fournies au Sous-traitant par le Responsable de traitement ou obtenues par le Sous-traitant dans le cadre de son travail avec le Responsable de traitement sont confidentielles et ne peuvent être copiées, divulguées ou traitées de quelque manière que ce soit sans l'autorisation expresse du Responsable de traitement.
5. Sous-traitants ultérieurs et employés
5.1. Lorsque le Sous-traitant traite des Données personnelles (qu'elles soient stockées sous forme d'enregistrements physiques ou électroniques) pour le compte du Responsable de traitement, il prend des mesures raisonnables pour s'assurer de la fiabilité de tous les employés et Sous-traitants ultérieurs.
5.2. Le Sous-traitant prendra des mesures raisonnables pour informer et former ses employés sur la législation pertinente en matière de protection de la vie privée et de sécurité des données et s'assurera que les personnes autorisées à traiter les Données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité, et s'assurera que tous les employés et Sous-traitants ultérieurs sont informés de la nature confidentielle des Données personnelles et sont conscients des devoirs du Sous-traitant en vertu du présent DPA et de leurs devoirs et obligations personnels en vertu de la Loi sur la protection de la vie privée applicable ;
5.3. Le Responsable de traitement approuve le recours à des Sous-traitants ultérieurs énumérés à l'adresse https://www.meltwater.com/en/privacy/subprocessors. Le Sous- traitant notifie par écrit au Responsable de traitement tout nouveau Sous-traitant ultérieur avant que celui-ci n'ait accès aux Données personnelles, sous réserve que le Responsable de traitement souscrive à ces notifications à l'adresse https://www.meltwater.com/en/privacy/subprocessors.
5.4. Le Sous-traitant ne divulgue pas, ne transfère pas et/ou n'accorde pas l'accès aux Données personnelles à un Sous-traitant ultérieur, à moins que le Sous-traitant : (i) n'exécute un accord écrit avec ce Sous-traitant ultérieur qui contient des obligations de protection des données substantiellement similaires à celles imposées Sous- traitant par le présent DPA, y compris la mise en œuvre de mesures techniques et organisationnelles appropriées ; et (ii) reste responsable du manquement du Sous-traitant ultérieur à ses obligations en matière de traitement des Données personnelles comme si le Sous-traitant avait manqué à ces obligations.
6. Audit
Le Sous-traitant accepte, sous réserve d’un préavis raisonnable, d'au moins 30 jours et au maximum une fois par année civile, de permettre aux personnes autorisées par le Responsable de traitement d'accéder à tous les locaux dans lesquels sont traitées les Données personnelles fournies par le Responsable de traitement au Sous-traitant et d'inspecter les systèmes du Sous-traitant pour s'assurer qu'ils sont conformes au DPA. Le Responsable de traitement reconnaît que les obligations du Sous-traitant en vertu de la présente clause peuvent être satisfaites en tout ou en partie par la fourniture au Responsable de traitement d'informations appropriées, de dossiers, de certifications et de rapports d'audit émis par des tiers indépendants de bonne réputation, à condition qu'aucun changement important n'ait été apporté aux mesures garantissant la sécurité des données utilisées par le Sous-traitant depuis l';émission de la certification ou du rapport d'audit.
7. Accès aux Données personnelles et incident de sécurité
7.1. Le Sous-traitant notifie le Responsable de traitement s'il reçoit d'une personne concernée une demande d'accès aux Données personnelles de cette personne ou une plainte ou une demande relative aux obligations du Responsable de traitement en vertu de la Loi applicable sur la protection de la vie privée.
7.2. Le Sous-traitant fournit au Responsable de traitement une coopération et une assistance totales en ce qui concerne toute plainte ou demande formulée, y compris en fournissant au Responsable de traitement tous les détails de la plainte ou de la demande et en se conformant à une demande d'accès aux données dans les délais pertinents prévus par la Loi applicable sur la protection de la vie privée et conformément aux instructions du Responsable de traitement;
7.3. Si le Sous-traitant a connaissance d'un traitement non autorisé ou illégal de toute Donnée personnelle ou que toute Donnée personnelle est perdue ou détruite ou est devenue endommagée, corrompue ou inutilisable ou a connaissance d'une violation de la sécurité, le Sous-traitant doit, à ses propres frais, notifier immédiatement (et en tout état de cause dans les 48 heures) le Responsable de traitement (« Notification ») et coopérer pleinement avec le Responsable de traitement et aider le Responsable de traitement à traiter une violation de sécurité et à assurer le respect de ses obligations en vertu de la Loi applicable sur la protection de la vie privée en ce qui concerne la sécurité, les notifications de violation, les évaluations d'impact et les consultations avec les autorités de contrôle ou les régulateurs dès que cela est raisonnablement possible.
7.4. La Notification comprend, dans la mesure où le Responsable de traitement en dispose à ce moment-là, a) une description de la nature de l'incident, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, b) une description des conséquences probables de l'incident et c) une description des mesures prises ou proposées par le Sous-traitant pour faire face à l'incident.
8. Transfert international de données
8.1. Dans la mesure où des Données personnelles sont accédées par le Sous-traitant, ou transférées au Sous-traitant, le(s) transfert(s) s'effectue(nt) conformément aux exigences de la Loi sur la protection de la vie privée applicable, y compris le chapitre V du RGPD.
8.2. Dans la mesure où les Données personnelles comprennent des données personnelles provenant de l'UE et de l'EEE, en concluant le Contrat et le présent DPA, les Parties sont réputées avoir signé les Clauses contractuelles types, y compris leurs annexes, jointes aux présentes.
8.2.1. Dans la mesure où les Clauses contractuelles types sont conclues, les options suivantes pour le module 2 des Clauses contractuelles types seront utilisées :
8.2.1.1. Clause 7. La clause d’adhésion ne s'applique pas.
8.2.1.2. Clause 9. Recours à des sous-traitants ultérieurs Option 2 : L'autorisation écrite générale est choisie et le délai minimal de notification préalable des changements de sous-traitants ultérieurs est de 30 jours au minimum, sous réserve que le Responsable de traitement souscrive à ces notifications à l'adresse https://www.meltwater.com/en/privacy/subprocessors.
8.2.1.3. Clause 11. La langue facultative ne s'applique pas.
8.2.1.4. Clause 17. L'option 2 est choisie et les Parties conviennent que cette loi sera celle du Contrat.
8.2.1.5. Clause 18 (b). Les Parties conviennent que tout litige découlant de ces clauses sera résolu par les tribunaux du pays convenu dans le Contrat.
8.2.1.6. Clause 13. Tous les crochets dans sont supprimés ;
8.2.1.7. L'annexe I du présent DPA contient les informations requises à l'annexe I des Clauses contractuelles types;
8.2.1.8. L'annexe II du présent DPA contient les informations requises à l'annexe II des Clauses contractuelles types ; et
8.2.1.9. L'annexe III du présent DPA contient les informations requises à l'annexe III des Clauses contractuelles types.
8.3. Dans la mesure où les Données personnelles comprennent des Données personnelles provenant de la Suisse, la clause 8.2 et l'Annexe relative aux transferts depuis la Suisse s'appliquent.
8.4. Dans la mesure où les Données personnelles comprennent des Données personnelles provenant du Royaume-Uni, l'Annexe relative aux transferts de données au Royaume-Uni s'applique.
8.5. Lois sur la protection de la vie privée des états fédéraux des Etats-Unis. Si le Responsable de traitement ou ses personnes concernées sont des résidents de la Californie, de la Virginie, du Colorado, du Connecticut ou de l'Utah, veuillez consulter notre Annexe pour les fournisseurs des états fédéraux des États-Unis pour obtenir des informations sur vos droits en matière de vie privée.
9. Restitution ou élimination
Le Sous-traitant détruit ou transfère toutes les Données personnelles du Responsable de traitement à la demande du Responsable de traitement dans les formats, aux dates et conformément aux exigences notifiées par écrit par le Responsable de traitement au Sous-traitant. Les Données personnelles du Responsable de traitement sont détruites au plus tard six (6) mois après l'expiration ou la résiliation du Contrat. Pour la plateforme « Sales Intelligence », l'Utilisateur autorisé a la possibilité de rester un utilisateur freemium après la fin du Contrat.
10. Général
10.1. Conflit. En cas de conflit entre les dispositions du Contrat et du présent DPA, les dispositions du présent DPA prévaudront.
10.2. Loi applicable et règlement des différends. Le présent DPA est régi par la loi applicable du Contrat. Tous les litiges découlant du présent DPA ou en rapport avec celui-ci seront réglés définitivement par l'organe de règlement des différends convenu dans le Contrat.
10.3. Validité. Le présent DPA est valable tant que le Contrat est en vigueur.
ANNEXE I
A. LIST OF PARTIES
Exportateur(s) de données:
Nom: The Customer as defined in the Agreement
Adresse: The address for the Customer as defined in the Agreement
Nom, fonction et coordonnées de la personne de contact: La personne de contact du Client telle que définie dans le Contrat
Activités relatives aux données transférées en vertu des présentes clauses: L'utilisation de la Plateforme telle que définie dans le Contrat
Rôle (responsable de traitement/sous- traitant): Responsable de traitement
Importateur(s) de données:
Nom: L'entité contractante de Meltwater telle que définie dans le Contrat
Adresse: L'adresse de l'entité contractante de Meltwater, telle que définie dans le Contrat
Nom, fonction et coordonnées de la personne de contact: La personne de contact de l'entité contractante de Meltwater, telle que définie dans le Contrat
Activités relatives aux données transférées en vertu des présentes clauses: La fourniture de la Plateforme telle que définie dans le Contrat
Rôle (responsable de traitement/sous- traitant): Sous-traitant
B. DESCRIPTION DU TRANSFERT
Catégories de personnes dont les données personnelles sont transférées: Les employés du Responsable de traitement autorisés à utiliser la Plateforme.
Catégories de données personnelles transférées: Tel que défini à l'article 2 du DPA.
Données sensibles transférées (le cas échéant) et mesures ou garanties appliquées qui prennent compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des mesures d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. : Aucune donnée sensible n'est transférée.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).: Base continue.
Nature du traitement: Transfert, copie, utilisation, suppression, correction, ajustement.
Finalité(s) du transfert et du traitement ultérieur des données: Les Données personnelles seront transférées du Responsable de traitement au Sous-traitant pour que le Sous-traitant fournisse le service SaaS de surveillance des médias.
La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période: La durée du Contrat.
C. AUTORITÉ DE CONTROLE COMPÉTENTE
Identifier l'autorité ou les autorités de contrôle compétentes conformément à l’article 13.
Le principal établissement du Responsable de traitement se trouve aux Pays-Bas. L'autorité de contrôle néerlandaise est l'autorité compétente.
ANNEXE II : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Le Sous-traitant a mis en œuvre les mesures techniques et organisationnelles disponibles ici:
https://www.meltwater.com/en/privacy/dpa-toms
ANNEXE III :
LA LISTE DES SOUS-TRAITANTS ULTERIEURS
Le Responsable de traitement a autorisé le recours aux sous-traitants ultérieurs énumérés à l'adresse suivante : https://www.meltwater.com/en/privacy/subprocessors