Accord de traitement des données
Accord de traitement des données
Annexe aux Conditions Générales :
Accord de Traitement des Données
Le présent accord de traitement des données (ci-après « ATD ») régit le traitement des données personnelles par Soda en tant que sous-traitant, conformément à l'Accord conclu entre Soda et le Client en relation avec le logiciel de visibilité des données de Soda. Cet ATD est annexé aux Conditions Générales et en constitue une partie intégrante. Tous les termes en majuscules non définis ici ont le sens donné dans les Conditions Générales. Les concepts relatifs à la protection des données utilisés dans cet ATD ont le sens qui leur est attribué dans les lois et réglementations applicables en matière de protection des données (ci-après « Législation sur la Protection des Données »).
Objet
Lorsque le Client fournit des données personnelles à Soda en lien avec son utilisation du Service et demande à Soda de traiter ces données personnelles pour le compte du Client, le Client agit en tant que contrôleur des données et Soda agit en tant que sous-traitant de ces données personnelles.
Soda s'engage à traiter les données personnelles de manière juste et diligente, exclusivement conformément aux instructions documentées du Client. L'Accord, y compris cet ATD, est l'instruction complète du Client envers Soda à cet égard. Toutes instructions supplémentaires ou alternatives doivent être convenues par écrit par Soda et doivent être conformes aux termes de l'Accord, de cet ATD et de la Législation sur la Protection des Données. Les obligations de Soda en vertu de cet ATD s'appliquent également à ceux qui traitent les données personnelles sous l'autorité ou selon les instructions de Soda. À moins que cet ATD ne prévoit autrement, Soda ne doit pas traiter les données personnelles pour ses propres fins ou celles de tiers.
Le Client doit, dans son utilisation du Service, traiter les données personnelles conformément aux exigences de la Législation sur la Protection des Données et garantit que ses instructions à Soda sont conformes à cette législation. Le Client garantit en outre que toutes les données personnelles confiées à Soda sont obtenues légalement et peuvent être traitées légalement par Soda pendant toute la durée de l'Accord.
Si Soda est requis de traiter par une loi à laquelle Soda est soumis ou par une décision contraignante d'une autorité publique ou une décision judiciaire, Soda doit en informer le Client de cette exigence légale avant le traitement, à moins que cette loi ou décision n'interdise une telle information pour des raisons importantes d'intérêt public.
Si Soda estime que les instructions du Client violent la Législation sur la Protection des Données, Soda doit en aviser le Client sans délai et n'est pas tenu de réaliser le traitement. Le manque de notification de Soda n'affecte pas la responsabilité du Client envers Soda en raison de l'instruction illégale.
Description des activités de traitement
Soda fournit des services au Client comme décrit dans l'Accord et/ou convenu de temps à autre entre le Client et Soda. La fourniture de ces services peut inclure le traitement de données personnelles par Soda pour le compte du Client.
L'objet de ce traitement de données personnelles par Soda est l’exécution du Service conformément à l'Accord. Les personnes concernées incluent les individus sur lesquels des données sont fournies à Soda via le Service par ou sur les directives du Client, et peuvent se rapporter aux types suivants de personnes concernées : les propres clients du Client, les employés, agents ou autres tiers, et toute personne concernée dont les données sont incluses dans les ensembles de données du Client auxquels le Service est appliqué. Les données personnelles traitées peuvent inclure des informations d'identification, des coordonnées et tout autre type de données personnelles traitées par le Client ou incluses dans les ensembles de données du Client auxquels le Service est appliqué. Le but du traitement est de permettre à Soda de fournir le Service en vertu de l'Accord. La durée du traitement est la période pendant laquelle Soda fournit le Service en vertu de l'Accord.
Utilisation de tiers
Soda utilise des sous-traitants pour remplir ses obligations contractuelles. Soda doit s'assurer que ses sous-traitants offrent un niveau de protection des données similaire à celui requis par Soda en vertu de cet ATD.
Le Client autorise par écrit général Soda à engager des sous-traitants pour le traitement des données personnelles. Soda doit mettre la liste actuelle des sous-traitants à la disposition du Client sur demande. Si Soda ajoute ou remplace un sous-traitant, Soda doit informer le Client du changement prévu et le Client est en droit de s'opposer à ce changement pour des motifs raisonnables en notifiant Soda rapidement par écrit dans les trente (30) jours suivant la réception de l'avis de Soda. Dans ce cas, Soda pourrait ne pas être en mesure de continuer à fournir le Service au Client et serait en droit de résilier l'Accord et/ou de proposer des modifications de ses modalités sans avoir à verser des dommages au Client.
Transfert de données personnelles
Pour les Clients contractant avec Soda Data NV: Soda est autorisé à transférer des données personnelles vers un pays situé en dehors de l'Espace Economique Européen qui n'a pas été reconnu comme garantissant un niveau adéquat de protection des données, si Soda a fourni des garanties appropriées conformément à la Législation sur la Protection des Données ou peut se prévaloir d'une dérogation prévue par cette législation permettant un tel transfert.
Pour les Clients contractant avec Soda Data Inc.: Dans la mesure où le transfert de données personnelles du Client avec Soda nécessite l'exécution de clauses contractuelles standard en vertu de la Législation sur la Protection des Données applicable, le Client doit en informer Soda avant de transférer ces données afin que les parties puissent exécuter la documentation nécessaire. Le Client doit indemniser Soda pour toute réclamation, responsabilité, dommages et coûts résultant d'un manque de notification à cet égard.
Sécurité
Soda doit prendre des mesures techniques et organisationnelles appropriées et raisonnables pour sécuriser les données personnelles contre toute perte ou forme de traitement illégal, en tenant compte de l'état de l'art et des coûts de mise en œuvre.
À la demande du Client et en tenant compte de la nature du traitement ainsi que des informations disponibles à Soda, Soda doit, dans la mesure du possible, fournir une assistance raisonnable au Client dans la gestion des violations de données personnelles et dans l'accomplissement de ses obligations concernant les évaluations d'impact de la protection des données, dans la mesure liée à l'utilisation du Service par le Client. Soda se réserve le droit de demander une compensation raisonnable pour cette assistance.
Lorsque Soda prend connaissance d'une violation de données dans le cadre de l'exécution de l'Accord, elle doit informer le Client sans retard indû. Soda doit, dans la mesure de ses capacités, prendre des mesures pour limiter les conséquences de la violation et proposer des mesures pour éviter qu'elle ne se reproduise.
Le Client peut être obligé d'informer l'autorité de contrôle et/ou les personnes concernées de la violation des données. Soda ne doit en aucun cas notifier l'autorité de contrôle et/ou les personnes concernées de toute violation de sa propre initiative.
Confidentialité
Soda et toutes les personnes travaillant sous sa responsabilité ou supervision doivent respecter, dans leurs relations avec les tiers, la confidentialité des données personnelles traitées en vertu de l'Accord. Soda doit s'assurer que l'accès aux données personnelles est limité aux personnes qui ont besoin des données pour accomplir les tâches qui leur ont été assignées par Soda dans le cadre de l'exécution de l'Accord.
Cette obligation de confidentialité ne s'applique pas lorsque le Client a autorisé à communiquer des données personnelles à des tiers, si la communication de données personnelles à des tiers est nécessaire étant donné la nature des instructions du Client et l'exécution de l'Accord, ou si une telle divulgation est requise par la loi ou une décision d'une autorité publique ou une décision judiciaire.
Demandes des personnes concernées
Si une personne concernée adresse une demande d'accès, de rectification, de suppression, de transfert ou de limitation au Client, Soda doit, en tenant compte de la nature du traitement et dans la mesure où le Client n'a pas la possibilité lui-même, à la demande écrite du Client, fournir des efforts raisonnables du point de vue commercial pour aider le Client à remplir son obligation de répondre à la demande de la personne concernée. Soda se réserve le droit de demander une compensation raisonnable pour cette assistance.
Si une personne concernée adresse une demande d'accès, de rectification, de suppression, de transfert ou de limitation directement à Soda, Soda doit informer promptement le Client et ne doit pas répondre à une telle demande de sa propre initiative.
Surveillance par le Client
Le Client est en droit de surveiller la conformité de Soda avec cet ATD en (i) demandant des informations à Soda qui montrent que Soda respecte les obligations contenues dans cet ATD, et (ii) après obtention de l'autorisation de Soda, de réaliser ou de faire réaliser par un auditeur certifié un audit dans les locaux de Soda.
Un audit dans les locaux de Soda sera limité aux aspects de la vie privée des données, ne doit pas perturber inutilement les activités de Soda et sera limité à une inspection par an. Le Client doit notifier l'audit à Soda par écrit au moins 30 jours ouvrables à l'avance. Avant le début de l'audit, Soda et le Client doivent s'accorder sur le processus de l'audit. Le Client doit supporter les coûts de l'audit, y compris une compensation raisonnable pour les efforts du personnel accompagnant de Soda, sauf si l'audit a révélé que Soda n'est manifestement pas conforme à la Législation sur la Protection des Données et/ou aux dispositions de cet ATD.
Si un audit révèle une non-conformité aux dispositions de cet ATD et/ou à la Législation sur la Protection des Données, le remède exclusif du Client et l'obligation exclusive de Soda seront que : (i) Soda et le Client discuteront de cette constatation, et (ii) Soda prendra, à ses propres frais, toutes les mesures correctives, y compris tout contournement temporaire, qu'elle juge nécessaires pour se conformer aux dispositions de cet ATD et/ou à la Législation sur la Protection des Données.
Responsabilité
La clause de responsabilité incluse dans les Conditions Générales s'applique.
Destruction des données
Soda ne doit pas conserver les données personnelles plus longtemps que nécessaire pour exécuter les instructions du Client. À l'expiration de cette période, à la fin de l'Accord ou à l'expiration d'une autre période déterminée par le Client, Soda doit détruire entièrement et irrévocablement les données personnelles qu'elle pourrait avoir en sa possession. À la demande du Client, Soda doit retourner les données personnelles au Client après quoi Soda doit supprimer toutes les copies de manière entièrement et irrévocable, ou donner au Client la possibilité d'extraire les données personnelles. Soda se réserve le droit de demander une compensation raisonnable pour ce service.
L'obligation de Soda de détruire les données personnelles ne s'applique pas dans la mesure nécessaire pour démontrer sa conformité à ses obligations en vertu de l'ATD ou de la Législation sur la Protection des Données, ou si une obligation légale, une décision contraignante d'une autorité publique ou une décision judiciaire interdit la destruction.
Divers
Cet ATD remplace tous les autres accords entre Soda et le Client concernant le traitement des données personnelles par Soda en tant que sous-traitant.
Cet ATD doit se terminer en même temps que la fin de l'Accord, pour quelque raison que ce soit. Les dispositions de cet ATD restent valides dans la mesure nécessaire à l'exécution de cet ATD et dans la mesure où elles sont destinées à survivre à la fin de cet ATD. Entre autres, les dispositions relatives à la confidentialité et aux différends appartiennent à cette catégorie.
Pour les Clients contractant avec Soda Data NV, cet ATD sera régi par, interprété et construit en conformité avec les lois de la Belgique. Tous les différends relatifs à l'ATD, y compris son interprétation, relèvent de la compétence exclusive des tribunaux du district de Bruxelles.
Pour les Clients contractant avec Soda Data Inc., cet ATD sera régi par, interprété et construit en conformité avec les lois de l'État du Delaware. Tous les différends relatifs à l'ATD, y compris son interprétation, relèvent de la compétence exclusive des tribunaux du comté de New Castle, Delaware, USA. Avant de porter une réclamation légale devant le tribunal, toutes les parties concernées prendront toutes les mesures possibles pour résoudre leur différend à l'amiable.
