Accord de traitement des données

Ce Contrat de Traitement des Données (« DPA ») est incorporé et fait partie des Conditions Générales de Service d’Adapty (comme défini ci-dessous) conclues entre le Client et Adapty qui régissent l’utilisation par le Client et la fourniture des Services par Adapty.

Le Client et Adapty sont ci-après désignés collectivement comme les « Parties » et individuellement comme la « Partie ». Les détails des Parties sont énoncés dans le Annexe 1.

En cas de conflit ou d’incohérence avec les termes des Conditions Générales de Service d’Adapty, ce DPA prévaudra sur d’autres termes des Conditions Générales de Service d’Adapty dans la mesure de ce conflit ou de cette incohérence.

Les termes en majuscules n’ayant pas été autrement définis dans les présentes auront la signification qui leur est donnée dans les Conditions Générales de Service d’Adapty.

CONTEXTE
Le DPA, y compris toutes les Annexes, spécifie les obligations de protection des données des Parties concernant les Données Personnelles Traitée par Adapty pour le compte du Client, comme décrit dans l’Annexe 1 de ce DPA conformément à la Loi Applicable sur la Confidentialité.

1.1. Conditions Générales d’Adapty désigne les conditions de service disponibles à https://adapty.io/terms/ ou tout autre accord écrit ou électronique entre le Client et Adapty.

1.2. Loi sur la Protection de la Vie Privée Applicable désigne toutes les lois, statuts, règlements, ordonnances, codes, règles, directives, ordres ou tout autre droit légal émis par un organisme gouvernemental régissant la collecte, l’utilisation, le transfert et la divulgation des Données Personnelles.

1.3. Responsable du Traitement des Données désigne la personne physique ou morale qui détermine les finalités et les moyens du Traitement des Données Personnelles ou qui est autrement responsable de la prise de décisions concernant le traitement des Données Personnelles.

1.4. Sous-traitant des Données désigne une personne physique ou morale, ou autre organisme qui traite des Données Personnelles pour le compte du Responsable.

1.5. Demande de Personne Concernée aura le sens donné à la clause 3.2 de ce DPA.

1.6. Personne Concernée désigne la personne directement ou indirectement identifiée ou identifiable à laquelle les Données Personnelles se rapportent.

1.7. RGPD désigne le règlement du Parlement Européen et du Conseil de l’UE n° 2016/679 sur la protection des personnes physiques à l’égard du traitement des Données Personnelles et sur la libre circulation de ces données, et abrogeant la directive 95/46/CE.

1.8. RGPD Britannique désigne la version de la loi de l’UE retenue du Règlement Général sur la Protection des Données ((UE) 2016/679) (RGPD de l’UE) dans la mesure où il fait partie de la législation de l’Angleterre, du Pays de Galles, de l’Écosse et de l’Irlande du Nord au titre de l’article 3 de la loi sur le retrait de l’Union Européenne de 2018 et tel qu’amendé par l’annexe 1 de la loi sur la protection des données, la vie privée et les communications électroniques (Modifications, etc.) (Règlementations de sortie de l’UE) de 2019 (SI 2019/419).

1.9. Données Personnelles désigne toute information relative à une personne physique identifiée ou identifiable et régie par la Loi sur la Protection de la Vie Privée Applicable fournie par le Client pour Traitement, y compris des informations concernant un individu identifié ou identifiable.

1.10 Violation de Données Personnelles aura le sens donné à la clause 6.1 de ce DPA.

1.11. Traitement, traitements, et traiter désignent toute activité impliquant l’utilisation de Données Personnelles ou tel que la Loi sur la Protection de la Vie Privée Applicable peut autrement définir traitement, traitements, ou traiter. Cela inclut toute opération ou série d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autrement mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction. Le traitement inclut également le transfert de Données Personnelles à des tiers.

1.12. Clauses Contractuelles Types (CCT) désigne les clauses contractuelles types approuvées par la Commission Européenne (tel que mis à jour, amendé, remplacé ou annulé de temps à autre par la Commission Européenne.). Si la Commission Européenne remplace les Clauses Contractuelles Types par des clauses contractuelles types modifiées ou nouvelles, alors, dans la mesure où l’autorité de contrôle pertinente approuve l’utilisation de telles clauses contractuelles types modifiées ou nouvelles, les références contenues dans le présent document aux “Clauses Contractuelles Types” seront considérées comme se référant à ces clauses contractuelles types modifiées ou nouvelles.

1.13. Sous-traitant désigne un processeur de données tiers engagé par Adapty, qui a ou pourrait avoir accès à, ou traite des Données Personnelles.

1.14. Avis de Changement de Sous-traitant aura le sens donné à la clause 4.1 de ce DPA.

2.1. Rôles des parties. Les parties reconnaissent et acceptent qu’en ce qui concerne le traitement des données personnelles, le client est le contrôleur et Adapty est le processeur.

2.2. Détails du traitement des données. L’objet, la durée, la nature et les finalités du traitement des données personnelles, ainsi que le type de données personnelles et les catégories de sujets de données sont spécifiés dans l’annexe 1.

2.3. Champ d’application du traitement. Adapty s’abstient de traiter des données personnelles qui dépassent le cadre établi dans les instructions raisonnables et habituelles documentées du client, comme spécifié dans les Conditions de service d’Adapty ou ce DPA, à moins qu’un tel traitement ne soit requis par les lois applicables auxquelles Adapty est soumis.

2.4. Instructions du client. Les instructions du client pour le traitement des données personnelles doivent respecter la législation sur la confidentialité applicable. Le client est seul responsable de l’exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le client a acquis les données personnelles. Sans limitation, le client doit être seul responsable d’assurer qu’il dispose d’une base légale appropriée et d’un droit permettant le traitement des données personnelles conformément aux conditions des Conditions de service d’Adapty et de ce DPA. Le client reconnaît et accepte expressément que son utilisation des services ne violera pas les droits de tout sujet de données.

2.5. Base légale du traitement. Le client reconnaît et accepte que les services d’Adapty dépendent et reposent sur une base légale démontrée, qui doit être obtenue par le client et sur laquelle Adapty se fonde. Le client déclare qu’une telle base légale existe.

2.6. Confidentialité des enfants. Lors du traitement des données personnelles d’enfants (tel que décrit dans la législation sur la confidentialité applicable), le client est obligé de se conformer aux exigences supplémentaires fixées par les politiques de la plateforme, les règlements et la législation sur la confidentialité applicable conçus pour protéger les enfants. Certaines de ces lois sont spécifiquement axées sur les enfants (comme le COPPA), tandis que d’autres sont plus larges mais incluent des protections spécifiques pour les enfants (comme le RGPD et d’autres lois régionales similaires).

3.1. Répond aux demandes des personnes concernées. Le Client sera seul responsable du respect des obligations légales concernant les demandes d’exercice des droits des personnes concernées en vertu de la Loi sur la protection de la vie privée applicable. Les Parties conviennent et reconnaissent qu’Adapty n’a pas la capacité de répondre aux demandes des personnes concernées.

3.2. Demandes des personnes concernées. Adapty informera rapidement le Client, dans la mesure où cela est légalement permis, s’il reçoit des demandes d’une personne concernée pour exercer les droits des personnes concernées en vertu de la Loi sur la protection de la vie privée applicable (chacune, une “demande de personne concernée”).
La coopération dans la mise en œuvre des droits des personnes concernées. Adapty fournira une assistance raisonnable et rapide (y compris par des mesures techniques et organisationnelles appropriées) au Client pour permettre au Client de répondre aux données.

3.3. Demande de sujet. Si le Client demande à Adapty d’aider à répondre à une demande, alors Adapty s’efforcera, dans la mesure du possible, de fournir des efforts commercialement raisonnables pour aider le Client à répondre à cette demande, dans la mesure où Adapty est légalement autorisé à le faire et que la réponse à cette demande est requise en vertu de la Loi sur la protection de la vie privée applicable.

3.4. Coûts. Dans la mesure où cela est légalement permis, le Client sera responsable de tous les coûts résultant de la fourniture de cette assistance par Adapty, y compris les frais associés à la fourniture de fonctionnalités supplémentaires. Dans de tels cas, Adapty vous informera de ces coûts à l’avance.

4.1. Nommer le Sous-Traitant. Le Client autorise Adapty à nommer des Sous-Traitants conformément à cette section et à toute restriction dans le DPA. Le Client reconnaît et accepte qu’Adapty puisse engager des Sous-Traitants sans le consentement préalable du Client. Comme condition pour permettre à un Sous-Traitant tiers de traiter des Données Personnelles, Adapty conclura un accord écrit avec chaque Sous-Traitant contenant des obligations de protection des données qui offrent au moins le même niveau de protection pour les Données Personnelles que celles contenues dans ce DPA. Adapty informera le Client par écrit de tout changement prévu concernant l’ajout ou le remplacement de Sous-Traitants avant de tels changements de Sous-Traitants (le “Avis de Changement de Sous-Traitant”). Le Client peut s’opposer à ces changements de Sous-Traitant conformément à la clause 4.2 de ce DPA.

4.2. Liste actuelle des Sous-Traitants. La liste actuelle des Sous-Traitants engagés par Adapty dans le traitement est fournie dans l’Annexe 3 de ce DPA. Dans les dix (10) jours suivant tout changement concernant l’ajout ou le remplacement d’un Sous-Traitant, Adapty mettra à jour la liste des Sous-Traitants de ce DPA.

4.3. Responsabilité. En ce qui concerne chaque Sous-Traitant, Adapty devra: (i) prendre des mesures raisonnables pour garantir que le Sous-Traitant s’engage à fournir le niveau de protection des Données Personnelles requis par le DPA et (ii) rester entièrement responsable envers le Client de l’exécution des obligations de protection des données du Sous-Traitant lorsque le Sous-Traitant ne s’acquitte pas de telles obligations.

4.4. Droit d’opposition pour les Sous-Traitants. Le Client peut raisonnablement s’opposer à Adapty de tout changement prévu concernant l’ajout ou le remplacement d’un Sous-Traitant (par exemple, si la mise à disposition de données personnelles au Sous-Traitant peut violer les Lois de Protection des Données Applicables ou affaiblir les protections pour ces données personnelles) en informant Adapty rapidement par écrit dans les dix (10) jours suivant la réception de l’avis de changement de Sous-Traitant. Cet avis du Client doit expliquer les motifs raisonnables de l’opposition.
Si le Client notifie Adapty d’une telle opposition, les Parties discuteront de la question de bonne foi dans le but d’atteindre une résolution commercialement raisonnable. Si de telles oppositions ne peuvent être résolues dans les quinze (15) jours, comme le traitement ne peut se poursuivre correctement sans l’engagement de ce Sous-Traitant, Adapty a le droit de refuser tout traitement ultérieur en vertu de ce DPA et de mettre fin Aux Conditions de Service d’Adapty sans responsabilité pour une telle résiliation.

5.1. Transfert depuis l’UE. Dans la mesure où le traitement des Données Personnelles est protégé par le RGPD, les Parties conviennent par la présente que ce transfert est soumis aux SCC, qui sont intégrés dans ce DPA par référence et représentent une partie intégrante des présentes. Les options et Annexes des SCC sont considérées comme complétées sur la base de l’Annexe 4 de ce DPA.

5.2. Transferts depuis la Suisse. Dans la mesure où le traitement des Données Personnelles est protégé par la Loi fédérale suisse du 19 juin 1992 sur la protection des données (« FADP »), les Parties conviennent par la présente que ce transfert est soumis aux SCC avec les adaptations nécessaires afin que les SCC soient conformes à la législation suisse et soient donc adaptés pour garantir un niveau adéquat de protection des transferts de données de la Suisse vers un pays tiers conformément à l’Article 6 paragraphe 2 lettre a FADP. La liste des adaptations est fournie dans la clause 4.3. du transfert de données personnelles vers un pays avec un niveau de protection des données inadéquat basé sur des clauses contractuelles types reconnues et des contrats modèles datés du 27 août 2021 par le Commissaire fédéral à la protection des données et à la transparence (disponible à https://www.edoeb.admin.ch/edoeb/en/home/data-protection/handel-und-wirtschaft/transborder-data-flows.html). L’Option 2 du Cas 2 s’applique.

5.3. Transferts depuis le Royaume-Uni. Dans la mesure où le traitement des Données Personnelles est protégé par le RGPD britannique, les Parties conviennent par la présente que ce transfert est soumis à l’addendum de transfert international de données aux clauses contractuelles types de la Commission européenne pour les transferts internationaux de données disponibles à https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, tel qu’adopté, modifié ou mis à jour par le Bureau du Commissaire à l’information du Royaume-Uni, le Parlement ou le Secrétaire d’État.

6.1. Mesures techniques et organisationnelles. Adapty mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour garantir un niveau approprié de sécurité, de confidentialité et d’intégrité des Données Personnelles, y compris, le cas échéant, les mesures visées à l’article 32 du RGPD, telles que décrites à l’annexe 2 de ce DPA pour protéger les Données Personnelles contre:

1. destruction accidentelle ou illégale, et
2. perte, altération, divulgation non autorisée ou accès aux Données Personnelles (chacune désignée comme la “Violation de Données Personnelles”).

6.2. Contrôle de conformité. Adapty surveille régulièrement la conformité avec les mesures prévues à l’annexe 2 de ce DPA.6.3. Assistance à garantir la conformité. Tenant compte de la nature du Traitement et des Données Personnelles disponibles pour Adapty, Adapty assiste le Client dans l’accomplissement des obligations prévues aux articles 32 à 36 du RGPD.

7.1. Notification d’une violation des données personnelles. Si Adapty prend connaissance d’une violation des données personnelles, Adapty doit, dans la mesure permise par la loi, notifier le Client sans délai injustifié par e-mail dès qu’Adapty ou tout Sous-Traitant prend connaissance d’une violation des données personnelles affectant les données personnelles du Client, et fournir des informations raisonnables (dans la mesure où cela est raisonnablement en possession et/ou sous le contrôle d’Adapty).

7.2. Coopération. Adapty doit fournir une coopération en tenant compte de la nature du Traitement et des informations disponibles pour aider le Client à respecter toute obligation d’informer les Sujets de données ou les autorités de protection des données de la violation des données personnelles en vertu de la Loi sur la protection de la vie privée applicable. Adapty doit également prendre toutes les mesures et actions raisonnablement nécessaires pour remédier ou atténuer les effets de la violation des données personnelles et tenir le Client informé de tous les développements matériels liés à la violation des données personnelles.

8.1. Droit du Client de réaliser un audit. Adapty met à disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations énoncées dans ce DPA et permet et contribue aux audits, y compris aux inspections, menées par le Client ou un autre auditeur mandaté par le Client, en ce qui concerne l’exécution des obligations en vertu de ce DPA.

8.2. Coopération d’Adapty pour la réalisation de l’audit. Adapty mettra à disposition du Client toutes les informations, systèmes et personnel raisonnablement nécessaires pour que le Client ou ses auditeurs tiers puissent réaliser cet audit, à condition que le Client:

8.2.1. donne quarante-cinq (45) jours de préavis pour les audits ; et

8.2.2. réalise son audit pendant les heures normales de bureau ; et

8.2.3. prenne toutes les mesures raisonnables pour prévenir toute perturbation inutile des opérations d’Adapty. Cet audit sera strictement dans le cadre des informations liées au traitement des données personnelles.

8.3. Paramètres de l’audit. Les Parties s’accorderont mutuellement sur le périmètre, la temporisation et la durée de l’audit ou de l’inspection.

8.4. Confidentialité. Tous les audits en vertu de ce DPA seront soumis aux obligations de confidentialité. Le Client partagera le rapport d’audit complet avec Adapty et ne le partagera pas avec des tiers, sauf avec ses comptables et conseillers juridiques qui sont tenus à la confidentialité. Le Client ne doit pas utiliser ce rapport d’audit à d’autres fins que celles d’évaluer la conformité d’Adapty avec ce DPA.

8.5. Coûts. Le Client supportera les coûts de cet audit sauf accord contraire entre les Parties.

8.6. Fréquence des audits. Le Client ne doit pas exercer ses droits d’audit plus d’une fois dans une période de douze (12) mois calendaires, sauf:

8.6.1. si et quand cela est requis par l’instruction d’une autorité de protection des données compétente ; ou

8.6.2. si cela est nécessaire en raison d’une violation des données personnelles subie par Adapty et (ou) les Sous-Traitants.

9.1. Adapty prendra toutes les mesures raisonnables pour garantir la fiabilité de tout le personnel autorisé à traiter des données personnelles et veillera à ce que ce personnel soit soumis à des obligations de confidentialité appropriées et agisse à tout moment en conformité avec la loi sur la protection de la vie privée applicable.

10.1. En cas de (i) résiliation de ce DPA, ou (ii) demande écrite du Client, ou (iii) Adapty n’étant plus obligé de traiter des Données Personnelles pour remplir ses obligations en vertu des Conditions de Service d’Adapty et de ce DPA, ou (iv) refus de traitement d’Adapty en vertu de la clause 4.4 de ce DPA, Adapty devra, à la discrétion du Client, soit supprimer, détruire ou renvoyer toutes les Données Personnelles au Client et détruire ou renvoyer toutes les copies existantes sauf dans la mesure où Adapty est tenu en vertu de la Loi sur la Protection de la Vie Privée Applicable de conserver une copie des Données Personnelles pour une période de temps spécifiée. À l’expiration de cette période de conservation, Adapty devra immédiatement supprimer ou détruire toutes les Données Personnelles restantes.

10.2. Dans le cas où des Données Personnelles ont été traitées par des Sous-Traitants, Adapty devra s’assurer que dans des cas spécifiés, ces Sous-Traitants retourneront également, supprimeront ou détruiront toutes les Données Personnelles qu’ils détiennent, conformément aux termes établis dans cette section.

11.1. Les termes «Informations Personnelles», «Consommateur» et autres termes en majuscules dans cette section 11 auront les significations stipulées dans la Loi sur la Protection de la Vie Privée des Consommateurs de Californie de 2018, Cal. Civ. Code §§ 1798.100 et seq., telle que modifiée de temps à autre (« CCPA »).

11.2. Il est convenu que tout partage de Données Personnelles entre les Parties est effectué uniquement afin de remplir un Objectif Commercial et qu’Adapty ne reçoit ni ne traite de Données Personnelles en contrepartie des Services.

11.3. Le Client est donc seul responsable de sa conformité avec le CCPA en ce qui concerne son utilisation des Services. Il incombe au Client de déterminer si le partage ou le transfert de Données Personnelles des Sujets de Données au cours des Services constitue une Vente de Données Personnelles.

11.4. Adapty ne conservera pas, n’utilisera pas et ne divulguera pas de Données Personnelles à des fins commerciales autres que celles fournies dans les Conditions de Service d’Adapty.

12.1. Ce DPA entrera en vigueur à la date d’entrée en vigueur des Conditions de service Adapty. Ce DPA restera en vigueur tant que les Conditions de service Adapty resteront en vigueur.

13.1. Si une disposition de ce DPA est ou devient, en tout ou en partie, nulle, inefficace ou inapplicable, alors la validité, l’efficacité et l’applicabilité des autres dispositions de ce DPA demeureront inchangées.

13.2. Toute disposition invalide, inefficace ou inapplicable sera, dans la mesure permise par la loi, remplacée par une disposition valide, efficace et applicable qui reflète le mieux l’intention économique et le but de la disposition invalide, inefficace ou inapplicable concernant son objet, son échelle, son temps, son lieu et son champ d’application.

13.3. La règle susmentionnée s’appliquera mutatis mutandis pour combler toute lacune qui pourrait exister dans ce DPA.

14.1. Les Parties déclarent expressément que ce DPA (y compris les Annexes mentionnées dans les présentes) et les documents mentionnés dans les présentes constituent l’intégralité de l’accord entre les Parties et remplacent tout projet, accord, engagement, compréhension, condition et arrangement préalables, nonobstant tout ordre de priorité contradictoire, de toute nature entre les Parties, que ce soit par écrit ou non, en relation avec l’objet du présent DPA.

15.1. Le DPA sera régi par les lois stipulées dans les Conditions de Service Adapty.

15.2. Les Parties se soumettent par la présente au choix de la juridiction stipulé dans le Contrat en ce qui concerne les disputes ou réclamations quel que soit leur survenance en vertu de ce DPA, y compris les disputes concernant son existence, sa validité, ou sa résiliation ou les conséquences de sa nullité.

16.1. En cas de conflit ou d’ambiguïté entre:

16.1.1. toute disposition du DPA et toute disposition des Conditions de service d’Adapty, les dispositions du DPA prévaudront ;

16.1.2. toute disposition de cet Accord et tout SCC exécuté, les dispositions du SCC exécuté prévaudront.

3. L’annexe IA des SCC sera considérée comme complétée comme suit:

• l’Exportateur de données est le Client et les détails de l’Exportateur sont les mêmes que ceux indiqués dans l’Annexe 1 (Partie A) au DPA.
  Activités pertinentes pour les données transférées sous les SCC: transfert de Données Personnelles à l’Importateur de Données afin de permettre à l’Importateur de Données de fournir des Services conformément aux Conditions de Service d’Adapty.
• l’Importateur de Données est Adapty et les détails d’Adapty sont les mêmes que ceux indiqués dans l’Annexe 1 (Partie A) au DPA.
  Activités pertinentes pour les données transférées sous les SCC: réception de Données Personnelles de l’Exportateur de Données afin de fournir des Services conformément aux Conditions de Service d’Adapty.

4. L’annexe IB des SCC sera la même que l’Annexe 1 au DPA et de plus, les détails suivants sont inclus pour compléter l’annexe IB: la fréquence du transfert est continue.

5. L’annexe IC est complétée comme suit: L’Autorité de Contrôle de la République d’Irlande.

6. L’annexe II des SCC sera la même que l’Annexe 2 au DPA.

7. L’annexe III des SCC sera la même que l’Annexe 3 au DPA.