1. DÉFINITIONS
Les termes « Client » ou « Société » designent le client de MotionPoint (ou si le client est une agence, son client) à qui MotionPoint fournit des Services.
Les « Données personnelles du client » ou les « Informations personnelles » désignent les Données personnelles obtenues, le cas échéant, par MotionPoint dans le cadre de la fourniture de Services au client
« le Contrôleur de données » (ou contrôleur), « le Gestionnaire des données » (ou gestionnaire), « l'Objet des données », « les Données personnelles », « le Traitement » et « les Données personnelles sensibles » (ou les catégories particulières de données personnelles) ont tous le sens qui est donné à ces termes ou expressions dans les « Lois de protection des données » (les termes associés tels que « Processus » et « Traité(e)(s) » auront des sens correspondants);
Les « Lois sur la protection des données » désignent toutes les lois et réglementations en vigueur associées à la vie privée, la sécurité des données ou la protection des informations relatives à des individus, telles qu'applicables pour le Client, MotionPoint et/ou les Services fournis dans le cadre du présent accord, notamment et sans limitation, le California Consumer Privacy Act de 2018 (CCPA) et, lorsque les Données personnelles du Client concernent des Données personnelles de Objets de données dans l'UE ou en Suisse, le Data Protection Act de 1998, le Règlement sur la confidentialité et les communications électroniques (Directive CE) de 2003 (SI 2426/2003) et toute loi ou réglementations visant à l'application des Directives du Conseil 95/46/EC or 2002/58/EC le RGPD et/ou toute loi ou réglementation nationale équivalente et toute interprétation judiciaire ou administrative des points évoqués ci-avant, ainsi que toute orientation, instructions, codes de pratique, codes de conduite approuvés, mécanismes de certification émis par l'une des autorités de contrôle
« L'Objet des données » prendra le sens donné aux « objets des données » dans les lois de protection des données;
Une « Demande d'objet des données » est une requête réalisée par l'objet des données en vue d'exercer tout droit d'objets des données dans le cadre des lois de protection des données;
Les « Pertes associées à la protection des données » sont les responsabilités et les montants, notamment :
a. coûts (notamment les coûts juridiques), réclamations, demandes, actions, règlements, paiements à titre gracieux, charges, procédures, dépenses, pertes et dommages (incluant les dommages matériels et immatériels, notamment liés à une détresse psychologique);
b. pertes ou dommages affectant la réputation, la marque ou la clientèle;
c. dans les limites définies par les lois et réglementations applicables :
i. amendes administratives, pénalités, sanctions, dettes ou recours imposés par une autorité de supervision;
ii. compensation versée à l'objet des données; et
iii. les coûts de conformité avec des enquêtes menées par une autorité de supervision.
L'« EIPD » est l'étude d'impact relative à la protection des données ou évaluation d'impact de la confidentialité (telle que définie ou utilisée dans le cadre des lois de protection des données, notamment la directive relevant des autorités de supervision);
La « RGPD » est la réglementaiton du Parlement européen et du Conseil de protection des personnes physiques au regard du traitement des données personnelles et de la liberté de circulation de ces données, abrogeant la Directive 95/46/EC (Réglementation générale sur la protection des données);
Les « clauses modèles » sont les clauses contractuelles standard en annexe de la décision de la Commission de l'UE 2010/87/EU du 5 février 2010 pour le transfert des données personnelles à des organes de traitement établis en dehors de l'EEE, dans des États ne disposant pas de lois sur la protection des données;
Les « clauses contractuelles types » font référence aux clauses standard sur la protection des données relatives au transfert des données personnelles à des organes de traitement des données dans des pays tiers, établies dans la décision de la Commission européenne 2010/87/CE du 5 février 2010, telle que modifiée par la décision d'application de la Commission (UE) 2016/2297 du 16 décembre 2016;
Une « Violation de sécurité » désigne une violation de la sécurité ou une autre action/inaction menant à la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles du Client :
Le « Fournisseur de services » désigne une entité légale qui traite des Données personnelles pour le compte du Client et à qui le Client transmet des Informations personnelles dans le cadre de ses activités. L'« Objectif commercial » désigne l'utilisation des Données personnelles aux fins des objectifs commerciaux du Client, notamment l'exécution par MotionPoint des Services pour le compte du Client, dans le cadre du présent Accord. Les parties reconnaissent et acceptent que le traitement des Données personnelles par MotionPoint est raisonnablement nécessaire et proportionné pour l'exécution desdits Services pour le Client, et que lesdits Services sont compatibles avec le contexte dans lequel les Données personnelles sont collectées
« Vendre » fait référence à l'échange de données personnelles contre une contrepartie monétaire ou autre contrepartie de valeur, ou comme autrement défini dans la législation nationale ou fédérale, selon le cas; « Sous-traitant » signifie un autre traiteur des données engagé par MotionPoint pour effectuer des activités de traitement des données personnelles des clients au nom de MotionPoint; et « Autorité de surveillance » signifie toute agence, tout département, fonctionnaire, parlement, toute personne publique ou statutaire locale, nationale ou multinationale ou tout gouvernement ou organisme professionnel, toute autorité de réglementation ou de surveillance, tout conseil ou autre organisme chargé de la législation sur la protection des données.
2. CONFORMITÉ
Chacune des parties devra se conformer aux lois sur la protection des données dans le cadre des données personnelles de l'entreprise traitées dans le cadre de cet accord. MotionPoint informera le Client si MotionPoint conclut qu’il ne peut plus respecter ses obligations au titre des lois applicables en matière de protection des données.
3. DÉTAILS DU TRAITEMENT DES DONNÉES.
3.1 En ce qui concerne les Données personnelles du Client traitées dans le cadre du présent Contrat, MotionPoint est un Sous-traitant et le Client est un Responsable du traitement des données. MotionPoint certifie comprendre les restrictions de cette section
3 et s’y conformera.
3.2 Les Données personnelles du Client seront traitées pendant la durée du présent Contrat (sous réserve des obligations légales de MotionPoint de conserver les Données personnelles du Client plus longtemps).
3.3 Les Données Personnelles du Client peuvent consister en :
3.3.1 Les types de données suivants : données personnelles, coordonnées, détails familiaux, mode de vie et circonstances sociales, détails financiers ou de paiement, informations sur l’emploi, informations marketing, analyse de données, images ou vidéos, identifiants d’appareil, profils personnels, détails de commande, détails de connexion, témoignages d’utilisateurs, détails du formulaire de contact, détails des préférences et toutes les autres informations soumises par les utilisateurs finaux (y compris les données de santé physique ou mentale, données génétiques, données biométriques, informations sur les groupes raciaux ou ethniques et informations sur les croyances religieuses ou philosophiques, le cas échéant) par le biais des Propriétés numériques déployées.
3.3.2 Données personnelles traitées en ce qui concerne les personnes qui sont des utilisateurs finaux des Propriétés numériques déployées du Client dont les Données personnelles sont traitées pour fournir des Services en vertu du présent Contrat.
3.3.3 Les Données personnelles du Client sont traitées en vue de fournir des Services au Client dans le cadre du présent accord. MotionPoint convient d'agir uniquement en tant que Fournisseur de services en respectant les Données personnelles et le Client aura l'autorité exclusive en vue de déterminer les objectifs et les moyens de Traitement des Données personnelles.
3.4. MotionPoint ne vendra aucune Donnée personnelle.
3.5. MotionPoint n'a pas le droit de collecter, conserver, utiliser, partager ou traiter de toute autre manière les Données personnelles : 1) à toute fin (dont les fins commerciales) autre que l'exécution spécifique des services, obligations ou mesures au profit du Client, tel qu'établis par le présent accord ; ou 2) en dehors de la relation professionnelle directe qui lie MotionPoint et le Client.
4. INSTRUCTIONS POUR LE TRAITEMENT DES DONNÉES
MotionPoint procédera au traitement des données personnelles pour la seule fourniture des services établis par cet accord. Les parties acceptent que les données personnelles ne constituent en aucun cas une contrepartie pour cet accord.
5. PERSONNEL FOURNISSEUR ET SOUS-PROCESSEURS
5.1 MotionPoint s’assurera que tous les membres du personnel de MotionPoint qui traitent les Données personnelles des clients ont signé des accords leur imposant de préserver la confidentialité des Données personnelles.
5.2 Le Client consent à l’utilisation de tous les Sous-traitants ultérieurs engagés par MotionPoint pour la fourniture de Services aux clients au moment de la conclusion du présent Contrat.
5.3 Lorsque MotionPoint désigne un nouveau Sous-traitant ultérieur pour effectuer le Traitement des Données personnelles du Client, pendant la durée du présent Contrat, le Client recevra un préavis raisonnable de ce Sous-traitant ultérieur et aura le droit de s’opposer à cette nomination pour des motifs raisonnables en matière de protection des données dans les 30 jours suivant la réception de la notification de la nomination.
5.4 MotionPoint veillera à ce que tous les Sous-traitants traitant les Données personnelles des clients concluent des accords écrits imposant au Sous-traitant ultérieur les mêmes obligations que celles imposées à MotionPoint en tant que Sous-traitant en vertu du présent Programme de traitement, en fonction du rôle du Sous-traitant ultérieur.
5.5 MotionPoint reste entièrement responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur en matière de protection des données en vertu de l’accord écrit figurant à l’article 5.4 du présent Programme de traitement, en cas de manquement du Sous-traitant ultérieur à ces obligations.
5.6 Lorsque le Client exerce son droit d’opposition tel que défini à l’article 5.3 du présent Programme de traitement, MotionPoint se réserve le droit de résilier le présent Contrat moyennant un préavis raisonnable de cette résiliation.
5.7 MotionPoint ne doit pas associer les informations personnelles que son fournisseur reçoit du Client ou en son nom avec les informations personnelles qu’il reçoit de, ou au nom d’une ou de plusieurs autres personnes, ou qu’il collecte dans le cadre de sa propre interaction avec le consommateur, sauf autorisation expresse des lois applicables en matière de protection des données.
6. TRANSFERTS DES DONNÉES
6.1 Dans le cadre de la fourniture des Services au Client, MotionPoint est susceptible de transférer les Données personnelles du Client vers des pays extérieurs à l’EEE.
6.2 Le transfert des Données personnelles du Client en dehors de l’EEE est soumis à la mise en place par MotionPoint de protections adéquates conformément à la Loi sur la protection des données pour ces transferts et à la notification au Client des mesures de protection en place avant tout transfert. Ces mesures de protection comprennent les clauses contractuelles standard.
7. SÉCURITÉ ET AVIS DE VIOLATION DES DONNÉES
7.1 MotionPoint mettra en œuvre et maintiendra les mesures techniques et organisationnelles appropriées concernant le traitement des Données personnelles du Client afin de garantir un niveau de sécurité adapté au risque d’accès, de divulgation, d’altération, de perte ou de destruction accidentels, non autorisés ou illégaux des Données personnelles du Client.
7.2 MotionPoint informera le Client sans retard injustifié après avoir eu connaissance d’une Faille de sécurité et lui fournira une assistance raisonnable pour lui permettre de se conformer à ses obligations de notification des Violations de sécurité prévues par les Lois sur la protection des données.
7.3 Le Client peut, sur avis, prendre des mesures raisonnables et appropriées pour mettre fin à l’utilisation non autorisée des renseignements personnels et y remédier.
8. ASSISTANCE
Dans le cadre défini par les obligations de traitement des Données personnelles du Client, MotionPoint devra, le cas échéant :
8.1 Transmettre au Client toute demande reçue par les titulaires des données exerçant leur droit d'accès conformément aux lois sur la Protection des données;
8.2 Fournir une assistance raisonnable au Client (aux frais du Client) concernant toute demande envoyée par un Objet de données des Données personnelles du Client exerçant un Droit des objets des données dans le cadre des lois sur la protection des données
8.3 Fournir au Client une assistance raisonnable (aux frais du Client) pour lui permettre d’effectuer toute AIPD et consultations avec (ou notifications aux) autorités réglementaires compétentes qu’il est tenu d’entreprendre en vertu des Lois sur la protection des données ;
8.4 Fournir au Client une assistance raisonnable (aux frais du Client) pour se conformer à son obligation de mettre en œuvre et de maintenir des mesures de sécurité techniques et organisationnelles appropriées en ce qui concerne le traitement des Données personnelles du Client.
9. SUPPRESSION OU RESTITUTION DES DONNÉES
En cas de résiliation ou d'expiration de cet accord, MotionPoint devra (à la demande du Client) détruire ou restituer toutes les Données personnelles au Client et supprimer les copies existantes (conformément aux obligations légales de MotionPoint de conserver plus longtemps les données du Client).
10. DEMANDES D'INFORMATIONS ET AUDITS
10.1 MotionPoint doit permettre la réalisation d’audits par le Client ou un représentant mandaté par le Client afin de démontrer que MotionPoint respecte ses obligations au titre du présent Programme de traitement. Cette demande d'audit planifié devra être effectuée par écrit auprès de MotionPoint, dans un délai raisonnable, par le Client, qui devra s'assurer que le(s) auditeur(s) est/sont soumis aux obligations de confidentialité et que l'audit ou l'inspection aura un effet minimum sur l'activité normale de MotionPoint. Le droit d'audit, conformément à la présente section 10.1, est limité à un par an, aux frais du Client.
10.2 MotionPoint fournira (à la demande du Client) au Client les informations nécessaires pour démontrer que MotionPoint respecte les obligations découlant du présent Programme de traitement.
10.3 Le Client peut, à ses propres frais, prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des Données personnelles du Client.