Accord sur le traitement des données

    Contenu

    1. Définitions et interprétation

    Outre les mots et expressions en majuscules figurant dans le tableau des définitions (disponible à l'adresse https://xtm.ai/legal/definitions-schedule) qui continuent de s'appliquer, les définitions et règles d'interprétation suivantes s'appliquent au présent accord de traitement des données de XTM ("DPA") :

    Finalités commerciales: les services qui vous sont fournis ou toute autre finalité spécifiquement identifiée dans l'annexe A.

    Contrôleur, sous-traitant, processus, personne concernée, données personnelles, violation des données personnelles et autorité de contrôle ont le sens qui leur est donné dans le GDPR.

    Clauses de contrôleur à sous-traitant désigne les clauses contractuelles types entre les contrôleurs et les sous-traitants, telles qu'approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, et disponibles à l'adresse suivante : https://xtm.cloud/legal/standard-contractual-clauses-controller-to-processor-clauses.

    Autorité de contrôle de la protection des données: toute agence locale, nationale ou multinationale, tout département, tout fonctionnaire, tout parlement, toute personne publique ou statutaire ou tout organisme gouvernemental ou professionnel, toute autorité de réglementation ou de contrôle, tout conseil ou tout autre organisme chargé d'administrer les lois sur la protection des données.

    EEE: Espace économique européen.

    Pays tiers de l'EEE: un pays situé en dehors de l'EEE et offrant un niveau de protection adéquat qui n'est pas reconnu par la Commission européenne (tel que décrit dans le GDPR).

    Addendum au transfert international de données désigne l'addendum au transfert international de données aux clauses contractuelles types publié par l'Information Commissioner's Office en vertu de la section 119A du Data Protection Act 2018 le 2 février 2022, et situé à l'adresse https://xtm.cloud/legal/uk-gdpr-addendum.

    Clauses entre sous-traitants désigne les clauses contractuelles types entre sous-traitants, telles qu'approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, et disponibles à l'adresse https://go.xtm.cloud/legal/standard-contractual-clauses-processor-to-processor-clauses.

    Données protégées désigne les données personnelles que nous traitons en votre nom dans le cadre de la fourniture des services.

    Clauses contractuelles standard: (1) les Clauses entre le contrôleur et le sous-traitant ; et (2) les Clauses entre le sous-traitant et le sous-traitant, le cas échéant, conformément à la clause 8 du présent DPA.

    Royaume-Uni: le Royaume-Uni.

    Clauses du contrôleur au sous-traitant du Royaume-Uni: les clauses du contrôleur au sous-traitant, telles que modifiées par l'addendum sur le transfert international de données.

    Clausesde sous-traitant à sous-traitant du Royaume-Uni: les Clauses de sous-traitant à sous-traitant, telles que modifiées par l'addendum international relatif au transfert de données.

    Données protégées au Royaume-Uni signifie toute donnée personnelle (telle que définie dans le GDPR du Royaume-Uni) qui est traitée par Nous en Votre nom dans le cadre de la fourniture des Services.

    Clauses contractuelles standard du Royaume-Uni signifie (i) les Clauses contrôleur-traitement du Royaume-Uni, ou (ii) les Clauses sous-traitant-traitement du Royaume-Uni, selon le cas, conformément à la clause 8 du présent DPA.

    Pays tiers britannique désigne un pays situé en dehors du Royaume-Uni qui n'est pas reconnu par le Secrétaire d'État ou par le Data Protection Act 2018 comme offrant un niveau de protection adéquat pour les données à caractère personnel (tel que décrit dans le GDPR britannique).

    1.1 Le présent DPA est soumis et intégré aux conditions du contrat d'abonnement XTM.

    1.2 Les annexes du présent DPA font partie intégrante du présent DPA et ont le même effet que si elles étaient énoncées dans leur intégralité dans le corps du présent DPA. Toute référence au présent DPA inclut les annexes.

    1.3 En cas de conflit ou d'ambiguïté entre :

    • 1.3.1 toute disposition contenue dans le corps de ce DPA et toute disposition contenue dans les annexes, la disposition contenue dans le corps de ce DPA prévaudra ;
    • 1.3.2 les termes de toute facture d'accompagnement ou de tout autre document annexé à ce DPA et toute disposition contenue dans les annexes, la disposition contenue dans les annexes prévaudra ;
    • 1.3.3 les dispositions du présent DPA et les dispositions des conditions de l'accord de souscription XTM, les dispositions du présent DPA prévalent ; et
    • 1.3.4 toute disposition (1) du présent DPA et (2) des Clauses contractuelles standard, les dispositions des Clauses contractuelles standard prévaudront.

    2 Types de données à caractère personnel et finalités du traitement

    2.1 Nous agirons en tant que responsable du traitement de toutes les données protégées qui nous sont fournies dans le cadre de la prestation des services.

    2.2 Vous reconnaissez que vous pouvez être soit un contrôleur, soit un sous-traitant des données protégées.

    2.3 Dans la mesure où Vous n'êtes pas le seul Responsable de traitement de toute Donnée Protégée, Vous garantissez que Vous avez toute l'autorité et l'autorisation de tous les Responsables de traitement concernés pour Nous charger de traiter les Données Protégées conformément à l'Accord.

    2.4 L'Annexe A décrit l'objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données à caractère personnel et les types de personnes concernées pour lesquelles nous pouvons traiter les données protégées en votre nom afin de remplir les objectifs commerciaux.

    3 Droits et obligations

    3.1 Nous vous informerons immédiatement si nous considérons que l'une de vos instructions est illégale.

    3.2 Si vous nous envoyez une notification écrite pour modifier, transférer, supprimer ou traiter d'une autre manière les données protégées, ou pour arrêter, atténuer ou remédier à tout traitement non autorisé, nous nous conformerons à cette demande dans un délai raisonnable.

    3.3 Sauf dans la mesure où la loi applicable l'exige, nous nous engageons à :

    • 3.3.1 n'accéderons et ne traiterons les Données protégées que dans la mesure et de la manière nécessaires à la réalisation des Objectifs commerciaux et conformément à vos instructions écrites. Nous ne traiterons pas les données protégées à d'autres fins ou d'une manière incompatible avec le présent DPA ;
    • 3.3.2 ne pas divulguer les Données protégées à des tiers sans votre autorisation, à moins que cela ne soit spécifiquement autorisé par le présent DPA. Sauf si la loi applicable l'interdit, nous vous informerons de la divulgation et, dans la mesure du possible, nous vous donnerons la possibilité de vous opposer à la divulgation ou de la contester ;
    • 3.3.3 et Vous fournir une assistance et un soutien raisonnables pour satisfaire aux obligations de conformité du Contrôleur en vertu du GDPR, en tenant compte de la nature de Notre traitement et des informations dont Nous disposons, y compris en ce qui concerne les droits des Personnes concernées, les évaluations d'impact de la protection des données et les rapports et consultations avec les Autorités de surveillance en vertu du GDPR, conformément à Nos obligations en vertu du GDPR.

    4 Employés de XTM et personnel affilié

    • 4.1 Nous nous assurerons que tous les employés ou personnes autorisées à traiter les données protégées dans le cadre de l'objectif commercial
    • 4.1.1 soient informés de la nature confidentielle des données protégées et soient liés par des obligations de confidentialité afin de préserver la sécurité des informations,
    • 4.1.2 sont conscients de nos devoirs et de leurs devoirs et obligations personnels en vertu de la loi sur la protection des données et du présent DPA,
    • 4.1.3 et nous prendrons des mesures raisonnables pour garantir la fiabilité de tout employé ou personne autorisée qui pourrait avoir accès aux données protégées.

    5 Sous-traitants

    5.1 Vous reconnaissez et consentez à ce que nous sous-traitions le traitement des données protégées à nos sociétés affiliées et aux sous-traitants décrits à l'annexe A. Nous demeurerons responsables envers vous de l'exécution des obligations de nos sous-traitants qui nous amènent à manquer à l'une de nos obligations en vertu du présent DPA.

    5.2 Si nous souhaitons modifier l'un de nos sous-traitants, nous vous en informerons dans un délai raisonnable, notamment en mettant à jour les informations sur le site Internet de XTM. Si Vous vous opposez à l'utilisation d'un nouveau sous-traitant, Vous pouvez résilier le Contrat en donnant un préavis de quatre-vingt-dix (90) jours, à condition que cette notification nous parvienne dans les trente (30) jours suivant la notification du changement de sous-traitant.

    5.3 Nous conclurons un contrat écrit avec nos sous-traitants sur la base de conditions substantiellement identiques à celles énoncées dans le présent DPA, et nous veillerons à ce qu'ils soient tenus de mettre en place des mesures techniques et organisationnelles appropriées pour sécuriser les données protégées.

    6 Sécurité

    6.1 Vous et nous devons à tout moment maintenir, évaluer et, si nécessaire, adapter et mettre à jour les mesures techniques et organisationnelles appropriées pour se protéger contre toute destruction, perte, altération, divulgation non autorisée ou accès accidentel ou illégal aux données protégées transmises, stockées ou traitées d'une autre manière conformément au présent RGPD, y compris, mais sans s'y limiter, les mesures de sécurité énoncées à l'annexe B.

    7 Violation de données à caractère personnel

    7.1 Nous vous notifierons sans délai injustifié (et en tout état de cause dans les soixante-douze (72) heures après en avoir pris connaissance) une violation de données à caractère personnel affectant des données protégées et vous fournirons des détails sur la violation de données à caractère personnel.

    7.2 Les parties coopéreront raisonnablement l'une avec l'autre dans le cadre de l'enquête sur la violation de données à caractère personnel.

    7.3 Sauf si la loi applicable l'exige, nous n'informerons aucun tiers d'une violation de données à caractère personnel sans votre consentement écrit préalable.

    8 Transferts transfrontaliers de données à caractère personnel

    8.1 Vous consentez à ce que nous transférions et traitions des données protégées en dehors de la juridiction du Royaume-Uni et/ou de l'EEE, le cas échéant, lorsque ce traitement est effectué par notre société affiliée ou un sous-traitant agréé.

    8.2 Lorsque vous agissez en tant que contrôleur et que nous agissons en tant que sous-traitant ;

    • 8.2.1 les Clauses Contrôleur-Traitant s'appliqueront à tout transfert de Données Protégées depuis l'EEE vers un Pays Tiers de l'EEE et ;
    • 8.2.2 les Clauses Contrôleur-Traitant britanniques s'appliqueront à tout transfert de Données protégées britanniques depuis le Royaume-Uni vers un Pays tiers britannique.

    8.3 Lorsque vous agissez en tant que sous-traitant et que nous agissons en tant que sous-traitant secondaire,

    • 8.3.1 les Clauses européennes de sous-traitant à sous-traitant s'appliqueront à tout transfert de données protégées britanniques depuis l'EEE vers un pays tiers de l'EEE et ;
    • 8.3.2 les Clauses de sous-traitant à sous-traitant du Royaume-Uni s'appliqueront à tout transfert de Données protégées du Royaume-Uni vers un Pays tiers du Royaume-Uni.

    Vous acceptez qu'il est possible que Nous ne connaissions pas l'identité du Responsable du traitement parce que Nous n'avons pas de relation directe avec le Responsable du traitement. Dans ces circonstances, Vous vous acquitterez de Nos obligations envers le Responsable du traitement en vertu des Clauses processeur à processeur de l'UE ou des Clauses processeur à processeur du Royaume-Uni, selon le cas.

    9 Réclamations, demandes de la personne concernée, droits des tiers

    9.1 En tenant compte de la nature du traitement, nous vous notifierons sans délai injustifié, une fois que nous aurons identifié que la communication concerne le traitement de données protégées dont vous êtes responsable ;

    • 9.1.1 de toute plainte, notification ou communication et nous vous fournirons une coopération raisonnable pour vous permettre de répondre à cette plainte, notification ou communication, et ;
    • 9.1.2 de toute demande d'une personne concernée d'accéder à ses données personnelles ou d'exercer l'un de ses droits.

    9.2 Nous coopérerons raisonnablement avec vous et vous aiderons à répondre à toute plainte, avis, communication ou demande d'une personne concernée conformément à nos obligations en vertu du GDPR.

    9.3 Vous nous autorisez à répondre à toute personne concernée qui nous demande de confirmer que nous vous avons transmis la communication.

    10 Résiliation

    10.1 Le présent DPA reste pleinement en vigueur tant que ;

    • 10.1.1 l'Accord est en vigueur ou ;
    • 10.1.2 nous conservons les données protégées.

    11 Retour et destruction des données

    11.1 En cas de résiliation de l'Accord, vous aurez accès aux Données Client pendant une période de trente (30) jours pour vous permettre de copier et d'extraire les Données Client (y compris toutes les Données Protégées). Nous nous réservons le droit de facturer des frais raisonnables pour le temps et les ressources que nous consacrons à la copie des Données Client sur un support que vous pouvez transporter et/ou pour le temps et les ressources que nous consacrons à la mise en ligne des Données Client en vue de leur téléchargement.

    11.2 Dans un délai raisonnable suivant la période définie dans la clause 11.1, Nous supprimerons ou détruirons en toute sécurité les Données Client restant en notre possession ou sous notre contrôle, sauf si Nous sommes tenus de conserver une copie en vertu de la loi applicable.

    12 Audit

    12.1 Nous mettrons à votre disposition les informations raisonnablement nécessaires pour démontrer notre conformité avec le présent DPA, à condition que vous veilliez à ce que toutes les informations obtenues ou générées par vous ou votre/vos auditeur(s) dans le cadre de ces demandes d'informations restent strictement confidentielles (sauf en cas de divulgation à une autorité de contrôle de la protection des données ou si la loi applicable l'exige). En outre, Vous pouvez procéder à un audit ou à une inspection annuelle en Nous donnant un préavis écrit d'au moins quatorze (14) jours à tout moment entre 9 heures et 17 heures (GMT) un jour ouvrable pendant la durée de l'Accord. Nous vous faciliterons un accès raisonnable aux dossiers, aux systèmes et à notre personnel et nous vous offrirons une assistance raisonnable pour la réalisation de cet audit, à condition que cela puisse se faire avec un minimum de perturbation de nos activités commerciales quotidiennes.

    12.2 Les coûts de tout audit sont à votre charge, à moins que l'audit ne montre raisonnablement que nous n'avons pas pris les mesures de sécurité appropriées conformément au présent DPA.

    ANNEXE A : FINALITES ET DETAILS DU TRAITEMENT DES DONNEES A CARACTERE PERSONNEL

    1. Durée du traitement :

    Les données protégées sont traitées aussi longtemps que dure l'obligation de traiter les données protégées en vertu de l'accord.

    2. La nature et l'objet du traitement, ainsi que les finalités commerciales :

    La finalité du traitement est de fournir des solutions logicielles exploitées par Nous qui vous permettent de traduire des documents électroniques d'une langue source vers une ou plusieurs langues cibles.

    Nous, ainsi que nos affiliés et sous-traitants, stockons et traitons les informations saisies par les utilisateurs agréés dans la mesure où cela est nécessaire pour les finalités commerciales et pour nos intérêts légitimes de gestion et d'assistance des solutions logicielles sous-jacentes.

    Nous n'obtiendrons et n'utiliserons les Données Protégées qu'aux fins suivantes :

    1. traduction de documents électroniques (dans la mesure où ces documents contiennent des Données Protégées) ;
    2. et gérer les comptes d'utilisateurs pour permettre aux Utilisateurs agréés d'accéder aux Services souscrits et de les utiliser.

    3. Catégories de données :

    Données protégées téléchargées sur les Services.

    Les catégories de données traitées en relation avec vos utilisateurs approuvés peuvent inclure :

    1. titre ;
    2. le prénom ;
    3. nom de famille ;
    4. l'adresse électronique ;
    5. devise par défaut ;
    6. l'adresse postale ;
    7. numéro de téléphone ;
    8. numéro de téléphone portable ;
    9. les langues source et cible ;
    10. la spécialisation dans un domaine donné ;
    11. droits d'accès au fournisseur (par exemple, quelles données protégées peuvent être consultées, etc ;)
    12. l'évaluation (carte de pointage pour la qualité, etc.) ;
    13. et les tâches attribuées.

    4. Catégories de personnes concernées :

    Utilisateurs autorisés.

    Tout tiers dont les données personnelles sont contenues dans un document traduit à l'aide des services.

    5. Sous-traitants agréés :

    Nom : OVH Limited
    Personne de contact : Grégory Gitsels - Délégué à la protection des données
    Numéro de téléphone : +44 333 370 0425
    Adresse : Roubaix, France Roubaix, France

    Nom : Amazon Web Services EMEA SARL et Amazon Web Services Inc : Amazon Web Services EMEA SARL et Amazon Web Services, Inc.
    Contact : https://aws.amazon.com
    Adresse : 38 Avenue John F. Kennedy, L-1855, Luxembourg : 38 Avenue John F. Kennedy, L-1855, Luxembourg

    Nos sociétés affiliées et le personnel engagé par nous en tant que sous-traitants pour fournir les services, qui sont soumis à des restrictions de confidentialité au moins aussi restrictives que celles prévues par la présente DPA et l'accord.

    7. Notifications :

    Les notifications signifiées en vertu du présent DPA doivent l'être conformément à l'Accord.

    ANNEXE B : MESURES DE SÉCURITÉ

    Les mesures techniques et organisationnelles de sécurité des données mises en place sont les suivantes :
    1. Le fournisseur n'a pas de serveurs sur place. Toutes les informations personnelles sont stockées sur des plateformes hébergées sécurisées.
    2. Le personnel du fournisseur n'a accès aux systèmes d'archivage électronique et aux dossiers que dans la mesure où cela est nécessaire pour permettre à chaque membre du personnel de remplir ses fonctions. L'
    3. accès aux systèmes de données hébergés est protégé par un mot de passe et seul le personnel autorisé y a accès.
    4. Le personnel n'utilise que les ordinateurs portables fournis par le fournisseur.
    5. Le personnel utilise ses propres téléphones portables pour les affaires du fournisseur. Les membres du personnel qui traitent des données protégées sont tenus de protéger leur téléphone portable par un mot de passe, de le crypter et de permettre son accès à distance et son effacement en cas de perte ou de vol.
    6. Le personnel est tenu de se déconnecter des systèmes et des ordinateurs portables lorsqu'il ne les utilise pas.
    7. Le personnel reçoit une formation et des conseils sur l'utilisation sécurisée des appareils électroniques en public et sur les risques qui y sont associés.
    8. Le fournisseur ne conserve aucun document papier contenant des données protégées.
    9. Le fournisseur veille à ce que ses locaux soient protégés contre le vol et les autres intrusions.
    10. La gestion des systèmes informatiques du fournisseur est confiée à un fournisseur tiers. Le directeur général du fournisseur est chargé de veiller à ce que ces services offrent un niveau de sécurité approprié. Les systèmes informatiques du fournisseur sont examinés à des fins de conformité à la sécurité des données à des intervalles ne dépassant pas douze (12) mois.
    11. Le programme complet de sécurité et le document de politique du fournisseur sont disponibles sur demande.