Protection des données
Définitions
Législation sur la protection des données : toutes les lois et réglementations relatives à la confidentialité ou à l'utilisation ou au traitement de données relatives à des personnes physiques applicables au Royaume-Uni, comprenant : (a) le Règlement général sur la protection des données ((UE) 2016/679) ; (b) la Loi de 2018 sur la protection des données (la DPA) ; et (c) la Directive 2002/58/CE concernant le respect de la vie privée et les communications électroniques (telle que mise à jour par la Directive 2009/136/CE) et le Règlement sur la vie privée et les communications électroniques de 2003 (SI 2003/2426) tel que modifié.
Autorité de protection des données : tout organisme gouvernemental ou réglementaire ayant la responsabilité de surveiller ou de faire respecter la conformité à la législation sur la protection des données.
Données personnelles pertinentes : Données personnelles autres que les données contrôlées par Causeway (telles que définies au paragraphe 1.4 ci-dessous).
- PROTECTION DES DONNÉES
- Les termes "Responsable du traitement", "Sous-traitant", "Données personnelles", "Personne concernée" et "traitement" auront les significations définies dans la législation sur la protection des données.
- Les deux parties se conformeront à toutes les exigences applicables de la législation sur la protection des données. Le présent paragraphe 1.2 s'ajoute aux obligations des parties en vertu de la législation sur la protection des données et ne les exonère, ne les supprime ni ne les remplace.
1.3 En ce qui concerne les Données personnelles pertinentes, les parties reconnaissent que, aux fins de la législation sur la protection des données, vous êtes le Responsable du traitement et Causeway est le Sous-traitant. Ce traitement concernera les types de Données personnelles pertinentes, les catégories de Personnes concernées, la nature et les finalités, ainsi que la durée, telles qu'énoncées dans l'Annexe 1 de cette Annexe.
1.4 Causeway Technologies Limited (« Causeway ») est le Responsable du traitement uniquement en ce qui concerne :
(a) les informations de connexion (composées d'un nom, d'une adresse e-mail professionnelle et d'un mot de passe) collectées lors de l'attribution d'une licence utilisateur/compte utilisateur au début ou pendant l'Accord ; et
(b) les coordonnées des contacts du support client (composées d'un nom, d'une adresse e-mail professionnelle et d'un numéro de téléphone) ; (ensemble, les « Données contrôlées par Causeway »).
Causeway n'utilisera les Données contrôlées par Causeway que dans le cadre de cet Accord et en conformité avec toutes les exigences applicables de la législation sur la protection des données.
1.5 Sans préjudice de la généralité du paragraphe 1.2, vous devrez :
(a) veiller à ce que toutes les instructions que vous adressez à Causeway soient conformes à la législation sur la protection des données ; et
(b) assumer la responsabilité exclusive de l'exactitude, de la qualité et de la légalité des Données personnelles pertinentes et des moyens par lesquels vous avez acquis les Données personnelles pertinentes. Vous devrez également établir la base légale du traitement conformément à la législation sur la protection des données, y compris fournir tous les avis et obtenir tous les consentements des personnes concernées tels que requis par la législation sur la protection des données afin que Causeway puisse traiter les Données personnelles pertinentes comme autrement envisagé par la présente Annexe.
1.6 Sans préjudice de la généralité du paragraphe 1.2, Causeway doit, en ce qui concerne toute Donnée personnelle pertinente traitée dans le cadre de l'exécution par Causeway de ses obligations en vertu du présent Accord :
- traiter cette Donnée personnelle pertinente uniquement dans la mesure et de la manière nécessaire aux fins de fourniture du Logiciel, du Service, des Services de support et autres Services en vertu de cet Accord et selon vos instructions écrites légales ;
- veiller à mettre en place des mesures techniques et organisationnelles appropriées pour protéger contre tout traitement non autorisé ou illégal des Données personnelles pertinentes et contre toute perte accidentelle ou destruction, ou tout dommage, des Données personnelles pertinentes, appropriées au préjudice qui pourrait résulter du traitement non autorisé ou illégal ou de la perte, destruction ou dommage accidentels et à la nature des données à protéger, en tenant compte de l'état de développement technologique et du coût de mise en œuvre de toute mesure (ces mesures peuvent inclure, le cas échéant, la pseudonymisation et le chiffrement des Données personnelles pertinentes, en veillant à la confidentialité, à l'intégrité, à la disponibilité et à la résilience de ses systèmes et services, en veillant à ce que la disponibilité et l'accès aux Données personnelles pertinentes puissent être restaurés en temps utile après un incident, et en évaluant régulièrement et en évaluant l'efficacité des mesures techniques et organisationnelles adoptées par Causeway) ;
- prendre des mesures commercialement raisonnables pour s'assurer que tout le personnel ayant accès aux Données personnelles pertinentes est tenu de garder confidentielles les Données personnelles pertinentes ; et
- ne pas transférer de telles Données personnelles pertinentes en dehors du Royaume-Uni ou de l'Espace économique européen sans votre consentement écrit préalable, sauf que les transferts seront autorisés lorsque le transfert :
- est basé sur une décision d'adéquation (conformément à l'article 45 du RGPD) ;
- est soumis à des garanties appropriées à condition que des droits exécutoires des personnes concernées et des recours juridiques effectifs pour les personnes concernées soient disponibles (conformément à l'article 46 du RGPD) ; ou
- entre dans l'une des dérogations pour des situations spécifiques (conformément à l'article 49 du RGPD) ;
- prendre des mesures raisonnables pour vous aider à garantir le respect de vos obligations conformément aux articles 32 à 36 du RGPD (inclus) ;
- vous informer sans délai indu en cas de violation des Données personnelles pertinentes ;
- sur votre directive écrite, et sauf si la loi l'exige ou afin de défendre des réclamations juridiques réelles ou potentielles, prendre des mesures raisonnables pour supprimer ou restituer les Données personnelles pertinentes et les copies à vous à la résiliation ou à l'expiration de l'Accord. Les Données personnelles pertinentes vous seront retournées dans un format de fichier csv à moins qu'un format différent n'ait été convenu par les parties (auquel cas vous paierez les coûts raisonnables encourus par Causeway) ;
- tenir des registres de toutes les opérations de traitement sous sa responsabilité contenant au moins les informations minimales requises par la législation sur la protection des données et mettre ces informations à votre disposition et/ou à tout régulateur de protection des données sur demande ; et
- permettre des audits par vous ou votre représentant désigné sur préavis raisonnable, sous réserve des exigences suivantes :
- vous pouvez effectuer de tels audits pas plus d'une fois par an ou plus fréquemment si nécessaire selon la législation sur la protection des données ;
- vous pouvez utiliser un tiers pour effectuer l'audit en votre nom, à condition que ce tiers signe un accord de confidentialité acceptable pour Causeway avant l'audit ;
- les audits doivent être effectués pendant les heures ouvrables normales, sous réserve des politiques de Causeway, et ne doivent pas interférer de manière déraisonnable avec les activités commerciales de Causeway ;
- vous devez fournir à Causeway tous les rapports d'audit générés dans le cadre de tout audit sans frais sauf interdiction par la loi applicable. Vous ne pouvez utiliser les rapports d'audit que pour répondre à vos exigences d'audit en vertu de la législation sur la protection des données et/ou confirmer la conformité aux exigences de cette Annexe. Les rapports d'audit seront confidentiels ;
- pour demander un audit, vous devez d'abord soumettre un plan d'audit détaillé à Causeway au moins 4 (quatre) semaines (ou comme convenu autrement entre nous) à l'avance de la date d'audit proposée. L'audit doit décrire la portée proposée, la durée et la date de début de l'audit. Causeway examinera le plan d'audit et vous informera de toute préoccupation ou question (par exemple, toute demande d'information pouvant compromettre les obligations de confidentialité de Causeway ou sa sécurité, sa confidentialité, son emploi ou d'autres politiques pertinentes). Causeway travaillera en coopération avec vous pour convenir d'un plan d'audit final ;
- rien dans le présent paragraphe 1.6 ne doit obliger Causeway à violer les devoirs de confidentialité qu'elle doit à l'un de ses clients, employés ou fournisseurs tiers ; et
- tous les audits sont à vos frais exclusifs ;
- vous informer dès que raisonnablement possible si Causeway reçoit une demande d'un sujet de données pour exercer ses droits en vertu de la législation sur la protection des données concernant les Données personnelles pertinentes de cette personne ; et
- vous fournir une coopération et une assistance raisonnables en relation avec toute demande faite par un sujet de données pour exercer ses droits en vertu de la législation sur la protection des données concernant les Données personnelles pertinentes de cette personne, à condition que vous soyez responsable des coûts et dépenses raisonnables de Causeway découlant d'une telle coopération et assistance.
1.7 En ce qui concerne la nomination de sous-traitants :
- vous acceptez généralement que Causeway puisse engager un tiers, y compris tout conseiller, entrepreneur ou auditeur (tel tiers étant désigné comme un Sous-traitant) pour traiter les Données personnelles pertinentes ;
- vous acceptez que Causeway puisse nommer les Sous-traitants répertoriés à https://www.causeway.com/subprocessors ;
- si Causeway engage un nouveau Sous-traitant (Nouveau Sous-traitant), Causeway vous informera de l'engagement en envoyant une notification par e-mail à vous et vous pouvez vous opposer à l'engagement d'un tel Nouveau Sous-traitant en notifiant Causeway dans les 3 jours ouvrables suivant l'e-mail de Causeway, à condition que cette objection soit sur des motifs raisonnables et substantiels, directement liés à la capacité d'un tel Nouveau Sous-traitant à se conformer à des obligations sensiblement similaires à celles énoncées dans cette Annexe. Si vous n'objectez pas ainsi, l'engagement du Nouveau Sous-traitant sera réputé accepté par vous ;
- Causeway veillera à ce que son contrat avec chaque Nouveau Sous-traitant impose des obligations au Nouveau Sous-traitant qui sont matériellement équivalentes aux obligations auxquelles Causeway est soumise en vertu de cette Annexe ; et
- tout sous-traitement par Causeway à des Sous-traitants en vertu de ce paragraphe 1.7 ne dégagera pas Causeway de l'une de ses responsabilités, obligations et obligations envers vous en vertu de cette Annexe, et Causeway restera responsable des actes et omissions de ses Sous-traitants.
1.8 Si l'une ou l'autre partie reçoit une plainte, un avis ou une communication qui se rapporte directement ou indirectement au traitement de Données personnelles pertinentes par l'autre partie ou au respect par l'une ou l'autre partie de la législation sur la protection des données, elle doit, dès que raisonnablement possible, en informer l'autre partie et fournir à l'autre partie une coopération et une assistance commercialement raisonnables en relation avec toute telle plainte, avis ou communication.
Appendice 1 à l'Annexe (Protection des données)
Les activités de traitement des Données personnelles pertinentes effectuées par Causeway dans le cadre de cet Accord peuvent être décrites comme suit :
- Objet du traitement
Causeway traitera les Données personnelles pertinentes fournies par vous aux fins de la fourniture du Service ou du Logiciel tel que décrit dans le Formulaire de Commande.
- Nature et objectif du traitement
(a) Le Service (hébergé)
Lorsque Causeway fournit un environnement hébergé pour fournir le Service, vous en tant que responsable du traitement des données êtes responsable du déploiement des Données personnelles pertinentes dans le Service. Causeway agira en tant que sous-traitant des données tel que décrit dans cette Annexe lorsque vous fournissez des Données personnelles pertinentes à Causeway dans le cadre de : i. Votre déploiement de Données personnelles pertinentes dans le Service ; et/ou ii. Les Services de Support ou autres Services de Causeway tels que le conseil et la formation.
(b) Le Logiciel (sur site)
Lorsque Causeway octroie une licence de Logiciel que vous êtes responsable d'héberger, vous en tant que responsable du traitement des données êtes responsable du déploiement, de la sécurité et de la confidentialité des Données personnelles pertinentes dans le Logiciel. Causeway n'agira en tant que sous-traitant des données que tel que décrit dans cette Annexe lorsque vous fournirez des Données personnelles pertinentes à Causeway dans le cadre des Services de Support ou autres Services tels que le conseil et la formation.
Dans les deux situations, Causeway peut également utiliser les Données personnelles pertinentes pour générer des données statistiques anonymes à des fins d'utilisation commerciale générale par Causeway.
- Catégories de Données personnelles pertinentes
[Le client doit spécifier les catégories de Données personnelles pertinentes (par exemple nom, numéro de téléphone, adresse e-mail) en fonction des informations que le client a l'intention de fournir.]
- Catégories de personnes concernées par les données
[Le client doit spécifier les catégories de personnes concernées par les données (par exemple, employés du client, fournisseurs du client, clients du client) en fonction des informations que le client a l'intention de fournir.]
- Durée
Les Données personnelles pertinentes seront traitées pour la durée de cet Accord.