Accord sur la transformation numérique

OneTake AI utilise un système de "conteneurs" pour permettre à l'IA de OneTake Chat de connaître le contexte de votre activité et de fournir des réponses entièrement personnalisées, tandis que votre propriété intellectuelle est protégée et n'est pas accessible à partir d'autres comptes OneTake Chat.

Accord sur la transformation numérique

  1. Relations entre processeurs et sous-processeurs
    1. Le fournisseur en tant que sous-traitant. Dans les cas où le client est le contrôleur des données à caractère personnel du client, le fournisseur sera considéré comme un sous-traitant qui traite les données à caractère personnel pour le compte du client.
    2. Le fournisseur en tant que sous-traitant. Dans les cas où le client est un sous-traitant des données à caractère personnel du client, le prestataire sera considéré comme un sous-traitant secondaire des données à caractère personnel du client.
  2. Traitement
    1. Détails du traitement. L'annexe I(B) de la page de couverture décrit l'objet, la nature, la finalité et la durée de ce traitement, ainsi que les catégories de données à caractère personnel collectées et les catégories de personnes concernées.
    2. Instructions de traitement. Le client donne instruction au prestataire de traiter les données à caractère personnel du client : (a) pour fournir et maintenir le service ; (b) comme cela peut être précisé par l'utilisation du service par le client ; (c) comme documenté dans l'accord ; et (d) comme documenté dans toute autre instruction écrite donnée par le client et reconnue par le prestataire concernant le traitement des données à caractère personnel du client en vertu du présent DPA. Le fournisseur se conformera à ces instructions, sauf si les lois applicables l'en empêchent. Le fournisseur informera immédiatement le client s'il n'est pas en mesure de suivre les instructions relatives au traitement. Le client a donné et donnera uniquement des instructions conformes aux lois applicables.
    3. Traitement par le prestataire. Le fournisseur ne traitera les données à caractère personnel du client que conformément à la présente DPA, y compris les détails figurant sur la page de couverture. Si le Fournisseur met à jour le Service pour actualiser les produits, caractéristiques ou fonctionnalités existants ou en inclure de nouveaux, il peut modifier les catégories de personnes concernées, les catégories de données à caractère personnel, les données de catégorie spéciale, les restrictions ou garanties relatives aux données de catégorie spéciale, la fréquence de transfert, la nature et la finalité du traitement, ainsi que la durée du traitement, selon les besoins, pour refléter les mises à jour, en notifiant au Client les mises à jour et les modifications.
    4. Traitement par le client. Lorsque le client est un sous-traitant et que le fournisseur est un soustraitant, le client se conforme à toutes les lois applicables au traitement par le client des données à caractère personnel du client. L'accord du client avec son contrôleur exigera également que le client se conforme à toutes les lois applicables qui s'appliquent au client en tant que sous-traitant. En outre, le Client se conformera aux exigences relatives au Sous-Traitant dans l'accord du Client avec son Contrôleur.
    5. Consentement au traitement. Le client s'est conformé et continuera de se conformer à toutes les lois applicables en matière de protection des données concernant la fourniture de ses données à caractère personnel au fournisseur et/ou au service, y compris la divulgation, l'obtention de tous les consentements, la fourniture d'un choix adéquat et la mise en œuvre des garanties pertinentes requises en vertu des lois applicables en matière de protection des données.
    6. Sous-processeurs.
      1. Le fournisseur ne fournira, ne transférera ni ne remettra aucune donnée à caractère personnel du client à un sous-traitant ultérieur, à moins que le client n'ait approuvé le sous-traitant ultérieur. La liste actuelle des sous-traitants agréés comprend l'identité des sous-traitants, leur pays d'implantation et les tâches de traitement prévues. Le fournisseur informera le client au moins 10 jours ouvrables à l'avance et par écrit de toute modification envisagée des sous-traitants secondaires approuvés, que ce soit par l'ajout ou le remplacement d'un sous-traitant secondaire, ce qui laisse au client suffisamment de temps pour s'opposer aux modifications avant que le fournisseur ne commence à utiliser le(s) nouveau(x) sous-traitant(s). Le prestataire fournira au client les informations nécessaires pour lui permettre d'exercer son droit d'opposition à la modification des sous-traitants agréés. Le client dispose d'un délai de 30 jours à compter de la notification d'une modification des sous-traitants agréés pour s'y opposer, faute de quoi il sera réputé accepter les modifications. Si le client s'oppose à la modification dans les 30 jours suivant la notification, le client et le fournisseur coopéreront de bonne foi pour résoudre l'objection ou la préoccupation du client.
      2. Lorsqu'il fait appel à un sous-traitant, le fournisseur conclut avec lui un accord écrit garantissant que le sous-traitant n'accède aux données à caractère personnel du client et ne les utilise que (i) dans la mesure nécessaire à l'exécution des obligations qui lui sont confiées en sous-traitance et (ii) dans le respect des conditions de l'accord.
      3. Si le GDPR s'applique au Traitement des Données à caractère personnel du Client, (i) les obligations en matière de protection des données décrites dans le présent DPA (telles que visées à l'article 28, paragraphe 3, du GDPR, le cas échéant) sont également imposées au Sous-traitant, et (ii) l'accord du Fournisseur avec le Sous-traitant intégrera ces obligations, y compris des détails sur la manière dont le Fournisseur et son Sous-traitant se coordonneront pour répondre aux demandes de renseignements ou aux requêtes concernant le Traitement des Données à caractère personnel du Client. En outre, le Fournisseur partagera, à la demande du Client, une copie de ses accords (y compris tout amendement) avec ses Sous-traitants. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, le fournisseur peut expurger le texte de son accord avec son sous-traitant ultérieur avant d'en partager une copie.
      4. Le fournisseur demeure pleinement responsable de toutes les obligations sous-traitées à ses sous-traitants, y compris les actes et omissions de ses sous-traitants dans le cadre du traitement des données à caractère personnel du client. Le fournisseur informera le client de tout manquement de ses sous-traitants à une obligation importante concernant les données à caractère personnel du client en vertu de l'accord conclu entre le fournisseur et le sous-traitant.
  3. Transferts affectés
    1. Autorisation. Le Client accepte que le Fournisseur transfère les Données à caractère personnel du Client en dehors de l'EEE, du Royaume-Uni ou de tout autre territoire géographique pertinent, si cela est nécessaire pour fournir le Service. Si le Fournisseur transfère les Données à caractère personnel du Client vers un territoire pour lequel la Commission européenne ou toute autre autorité de contrôle compétente n'a pas émis de décision d'adéquation, le Fournisseur mettra en œuvre des garanties appropriées pour le transfert des Données à caractère personnel du Client vers ce territoire, conformément aux Lois applicables en matière de protection des données.
    2. Transferts hors de l'EEE. Le client et le prestataire conviennent que si le GDPR protège le transfert des données à caractère personnel du client, que le transfert s'effectue du client depuis l'EEE vers le prestataire en dehors de l'EEE et que le transfert n'est pas régi par une décision d'adéquation prise par la Commission européenne, en concluant le présent DPA, le client et le prestataire sont réputés avoir signé les CCN de l'EEE et leurs annexes, qui sont incorporées par référence. Tout transfert de ce type est effectué conformément aux CCAP de l'EEE, qui sont complétées comme suit :
      1. Le module deux (du contrôleur au sous-traitant) des CCAP de l'EEE s'applique lorsque le client est un contrôleur et que le fournisseur traite les données à caractère personnel du client pour le compte de ce dernier en tant que sous-traitant.
      2. Le module trois (sous-traitant à sous-traitant secondaire) des CCAP de l'EEE s'applique lorsque le client est un sous-traitant et que le fournisseur traite les données à caractère personnel du client pour le compte de ce dernier en tant que sous-traitant secondaire.
      3. Pour chaque module, les dispositions suivantes s'appliquent (le cas échéant) :
        1. La clause d'amarrage optionnel de la clause 7 ne s'applique pas ;
        2. Dans la clause 9, l'option 2 (autorisation écrite générale) s'applique et le délai minimum de notification préalable des changements de sous-traitant est de 10 jours ouvrables ;
        3. Dans la clause 11, la langue optionnelle ne s'applique pas ;
        4. Tous les crochets de l'article 13 sont supprimés ;
        5. Dans la clause 17 (option 1), les CCN de l'EEE seront régies par les lois de l'État membre gouvernant ;
        6. Dans la clause 18(b), les litiges seront résolus par les tribunaux de l'État membre gouvernant ; et
        7. La page de couverture de la présente DPA contient les informations requises aux annexes I, II et III du CCAP de l'EEE.
    3. Transferts hors du Royaume-Uni. Le client et le prestataire conviennent que si le GDPR britannique protège le transfert des données à caractère personnel du client, que le transfert s'effectue du client depuis le Royaume-Uni vers le prestataire en dehors du Royaume-Uni et que le transfert n'est pas régi par une décision d'adéquation prise par le secrétaire d'État britannique, le client et le prestataire sont réputés avoir signé l'addendum britannique et ses annexes, qui sont incorporés par référence, en concluant le présent DPA. Tout transfert de ce type est effectué conformément à l'addendum britannique, qui est complété comme suit :
      1. La section 3.2 de ce DPA contient les informations requises dans le tableau 2 de l'addendum britannique.
      2. Le tableau 4 de l'addendum britannique est modifié comme suit : Aucune des parties ne peut mettre fin à l'addendum britannique conformément à la section 19 de l'addendum britannique ; dans la mesure où l'ICO publie un addendum approuvé révisé en vertu de la section 18 de l'addendum britannique, les parties travailleront de bonne foi pour réviser le présent DPA en conséquence.
      3. La page de couverture contient les informations requises par les annexes 1A, 1B, II et III de l'addendum britannique.
    4. Autres transferts International . Pour les transferts de données à caractère personnel pour lesquels le droit suisse (et non le droit d'un État membre de l'EEE ou du Royaume-Uni) s'applique à la nature internationale du transfert, les références au GDPR dans la clause 4 des CCAP EEE sont, dans la mesure où cela est légalement requis, modifiées pour faire référence à la loi fédérale suisse sur la protection des données ou à son successeur, et le concept d'autorité de contrôle inclura le Commissaire fédéral suisse à la protection des données et à l'information.
  4. Réponse aux incidents de sécurité
    1. Dès qu'il a connaissance d'un incident de sécurité, le fournisseur : (a) notifier le client dans les meilleurs délais lorsque cela est possible, mais au plus tard 72 heures après avoir pris connaissance de l'incident de sécurité ; (b) fournir en temps utile des informations sur l'incident de sécurité au fur et à mesure qu'il est connu ou que le client le demande raisonnablement ; et (c) prendre rapidement des mesures raisonnables pour contenir l'incident de sécurité et enquêter sur celui-ci. La notification par le fournisseur d'un incident de sécurité ou la réponse à un incident de sécurité conformément au présent DPA ne sera pas interprétée comme une reconnaissance par le fournisseur d'une faute ou d'une responsabilité pour l'incident de sécurité.
  5. Audit et rapports
    1. Droits d'audit. Le fournisseur fournira au client toutes les informations raisonnablement nécessaires pour démontrer qu'il respecte le présent DPA et il autorisera les audits, y compris les inspections par le client, et y contribuera, afin d'évaluer le respect du présent DPA par le fournisseur. Toutefois, le fournisseur peut restreindre l'accès aux données ou aux informations si l'accès du client aux informations a une incidence négative sur les droits de propriété intellectuelle du fournisseur, ses obligations de confidentialité ou d'autres obligations en vertu des lois applicables. Le client reconnaît et accepte qu'il n'exercera ses droits d'audit en vertu du présent DPA et tout droit d'audit accordé par les lois applicables en matière de protection des données qu'en demandant au fournisseur de se conformer aux exigences de déclaration et de diligence raisonnable ci-dessous. Le prestataire conservera les documents attestant de son respect du présent DPA pendant trois ans après la fin du DPA.
    2. Rapports de sécurité. Le client reconnaît que le fournisseur fait régulièrement l'objet d'audits par rapport aux normes définies dans la politique de sécurité par des auditeurs tiers indépendants. Sur demande écrite, le fournisseur remettra au client, à titre confidentiel, un résumé de son rapport le plus récent, afin que le client puisse vérifier que le fournisseur respecte les normes définies dans la politique de sécurité.
    3. Diligence raisonnable en matière de sécurité. Outre le rapport, le fournisseur répondra aux demandes raisonnables d'informations formulées par le client pour confirmer qu'il respecte le présent DPA, y compris les réponses aux questionnaires de sécurité de l'information, de diligence raisonnable et d'audit, ou en fournissant des informations supplémentaires sur son programme de sécurité de l'information. Toutes ces demandes doivent être formulées par écrit et adressées au contact de sécurité du fournisseur et ne peuvent être faites qu'une fois par an.
  6. Coordination et coopération
    1. Réponse aux demandes. Si le fournisseur reçoit une demande de renseignements ou une requête de la part d'une autre personne concernant le traitement des données à caractère personnel du client, il en informera le client et ne répondra pas à la requête sans le consentement préalable du client. Parmi les exemples de ce type de demandes, on peut citer une ordonnance judiciaire, administrative ou d'un organisme de réglementation concernant les données à caractère personnel du client, lorsque la notification au client n'est pas interdite par le droit applicable, ou une demande émanant d'une personne concernée par les données. Si le droit applicable l'autorise, le fournisseur suivra les instructions raisonnables du client concernant ces demandes, y compris en fournissant des mises à jour de l'état d'avancement et d'autres informations raisonnablement demandées par le client. Si une personne concernée fait une demande valable en vertu de la législation applicable en matière de protection des données pour supprimer ou refuser que le client communique des données à caractère personnel le concernant au fournisseur, ce dernier l'aidera à satisfaire à cette demande conformément à la législation applicable en matière de protection des données. Le fournisseur coopérera avec le client et lui fournira une assistance raisonnable, aux frais de ce dernier, dans le cadre de toute réponse juridique ou autre action procédurale entreprise par le client en réponse à la demande d'un tiers concernant le traitement par le fournisseur des données à caractère personnel du client en vertu du présent DPA.
    2. DPIA et DTIA. Si les lois applicables en matière de protection des données l'exigent, le fournisseur aidera raisonnablement le client à réaliser les évaluations d'impact sur la protection des données ou les évaluations d'impact sur le transfert de données requises, ainsi que les consultations avec les autorités compétentes en matière de protection des données, en tenant compte de la nature du traitement et des données à caractère personnel du client.
  7. Suppression des données personnelles des clients
    1. Suppression par le client. Le fournisseur permettra au client de supprimer ses données à caractère personnel d'une manière compatible avec la fonctionnalité des services. Le fournisseur se conformera à cette instruction dès que cela sera raisonnablement possible, sauf si la conservation des données à caractère personnel du client est requise par le droit applicable.
    2. Suppression à l'expiration du DPA.
      1. Après l'expiration du DPA, le fournisseur renverra ou supprimera les données à caractère personnel du client à la demande de ce dernier, à moins qu'un stockage ultérieur des données à caractère personnel du client ne soit requis ou autorisé par le droit applicable. Si la restitution ou la destruction est impossible ou interdite par le droit applicable, le fournisseur fera des efforts raisonnables pour empêcher tout traitement supplémentaire des données à caractère personnel du client et continuera à protéger les données à caractère personnel du client qui restent en sa possession, sous sa garde ou sous son contrôle. Par exemple, les Lois applicables peuvent exiger du Fournisseur qu'il continue d'héberger ou de traiter les Données à caractère personnel du Client.
      2. Si le client et le fournisseur ont conclu les CCAP EEE ou l'addendum britannique dans le cadre de ce DPA, le fournisseur ne donnera au client la certification de suppression des données à caractère personnel décrite à la clause 8.1(d) et à la clause 8.5 des CCAP EEE que si le client en fait la demande.
  8. Limitation de la responsabilité
    1. Plafonds de responsabilité et renonciation aux dommages-intérêts. Dans toute la mesure permise par les lois applicables en matière de protection des données, la responsabilité totale cumulée de chaque partie à l'égard de l'autre partie découlant du présent DPA ou s'y rapportant sera soumise aux renonciations, exclusions et limitations de responsabilité énoncées dans l'accord.
    2. Réclamations de parties liées. Toute réclamation à l'encontre du fournisseur ou de ses sociétés affiliées découlant du présent DPA ou s'y rapportant ne peut être introduite que par l'entité du client qui est partie à l'accord.
    3. Exceptions. Le présent DPA ne limite pas la responsabilité à l'égard d'une personne en ce qui concerne ses droits en matière de protection des données en vertu des lois applicables sur la protection des données. En outre, le présent DPA ne limite pas la responsabilité des parties en cas de violation des CCAP de l'EEE ou de l'addendum britannique.
  9. Conflits entre documents
    1. Le présent DPA fait partie de l'accord et le complète. En cas d'incohérence entre le présent DPA, l'accord ou l'une de leurs parties, la partie mentionnée en premier lieu prévaudra sur la partie mentionnée ultérieurement en cas d'incohérence : (1) les CCAP EEE ou l'addendum britannique, (2) le présent DPA, puis (3) l'accord.
  10. Durée de l'accord
    1. Le présent DPA entre en vigueur lorsque le prestataire et le client conviennent d'une page de couverture pour le DPA et signent ou acceptent électroniquement l'accord, et se poursuit jusqu'à l'expiration ou la résiliation de l'accord. Toutefois, le prestataire et le client resteront chacun soumis aux obligations du présent DPA et aux lois applicables en matière de protection des données jusqu'à ce que le client cesse de transférer ses données à caractère personnel au prestataire et que le prestataire cesse de traiter ses données à caractère personnel.
  11. Définitions
    1. "Lois applicables": les lois, règles, règlements, décisions de justice et autres exigences contraignantes d'une autorité gouvernementale compétente qui s'appliquent à une partie ou la régissent.
    2. "Lois applicables en matière de protection des données": les lois applicables qui régissent la manière dont le service peut traiter ou utiliser les informations personnelles d'un individu, les données personnelles, les informations personnellement identifiables ou tout autre terme similaire.
    3. Le "contrôleur" aura la signification donnée dans les lois sur la protection des données applicables à la société qui détermine l'objectif et l'étendue du traitement des données à caractère personnel.
    4. "Page de couverture": un document signé ou accepté électroniquement par les parties, qui intègre les présentes conditions générales DPA et identifie le fournisseur, le client, ainsi que l'objet et les détails du traitement des données.
    5. "Données à caractère personnel du client": les données à caractère personnel que le client télécharge ou fournit au fournisseur dans le cadre du service et qui sont régies par le présent DPA.
    6. "DPA": les présentes conditions standard DPA, la page de couverture entre le fournisseur et le client, ainsi que les politiques et documents auxquels il est fait référence ou qui sont joints à la page de couverture.
    7. " CCAP EEE ": les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil européen.
    8. L'"Espace économique européen" ou "EEE" désigne les États membres de l'Union européenne, la Norvège, l'Islande et le Liechtenstein.
    9. "GDPR" désigne le règlement de l'Union européenne 2016/679 tel que mis en œuvre par le droit local dans le pays membre de l'EEE concerné.
    10. Les "données à caractère personnel" ont la signification que leur donnent les lois applicables en matière de protection des données pour les informations personnelles, les données à caractère personnel ou tout autre terme similaire.
    11. Les termes "traitement" ou "processus" auront la signification donnée dans les lois applicables sur la protection des données pour toute utilisation ou exécution d'une opération informatique sur des données à caractère personnel, y compris par des méthodes automatiques.
    12. Le terme "sous-traitant" a la signification donnée dans les lois sur la protection des données applicables à la société qui traite les données à caractère personnel pour le compte du contrôleur.
    13. "Rapport": les rapports d'audit préparés par une autre société conformément aux normes définies dans la politique de sécurité pour le compte du prestataire.
    14. "Transfert restreint" signifie (a) lorsque le GDPR s'applique, un transfert de données à caractère personnel de l'EEE vers un pays en dehors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne ; et (b) lorsque le GDPR britannique s'applique, un transfert de données à caractère personnel du Royaume-Uni vers tout autre pays qui n'est pas soumis à des règlements d'adéquation adoptés conformément à l'article 17A de la loi britannique sur la protection des données de 2018.
    15. "Incident de sécurité": une violation de données à caractère personnel telle que définie à l'article 4 du GDPR.
    16. "Service": le produit et/ou les services décrits dans l'accord.
    17. Les "données de catégorie spéciale" ont la signification qui leur est donnée à l'article 9 du GDPR.
    18. Le terme "sous-traitant" a le sens qui lui est donné dans les lois sur la protection des données applicables pour une société qui, avec l'approbation et l'acceptation du contrôleur, aide le sous-traitant à traiter les données personnelles pour le compte du contrôleur.
    19. "GDPR UK" désigne le règlement de l'Union européenne 2016/679 tel que mis en œuvre par la section 3 de la loi britannique de 2018 sur l'Union européenne (retrait) au Royaume-Uni.
    20. "Addendum britannique": l'addendum aux CCN de l'EEE relatif aux transferts internationaux de données publié par le commissaire à l'information pour les parties effectuant des transferts restreints en vertu de l'article 119A(1) de la loi sur la protection des données (Data Protection Act) de 2018.