Dernière mise à jour le Octobre 30, 2023
Cet Accord de Traitement des Données est incorporé par les présentes dans l’accord des Conditions d’Utilisation de Vacation Tracker. Tous les termes en majuscules non définis ici auront la signification énoncée dans les Conditions d’Utilisation. À moins que le Client n’ait un accord écrit prépondérant avec Vacation Tracker, Vacation Tracker peut modifier cet ADP de temps à autre, à mesure que son entreprise évolue. Toute révision entrera en vigueur à la date où Vacation Tracker publie les changements. Le Client peut consulter la version la plus récente de l’ADP à tout moment en visitant cette page. Si le Client utilise les Services après la date d’entrée en vigueur de tout changement, cette utilisation constituera l’acceptation de l’Accord de Traitement des Données révisé.
Cet Accord de Traitement des Données est conclu entre Vacation Tracker Technologies (le “Sous-traitant”) et le Client (la “Société”) et il est incorporé dans et régi par l’accord des Conditions d’Utilisation de Vacation Tracker (ensemble les “Parties”).
(ensemble les “Parties”)
ATTENDU QUE
(A) La Société agit en tant que Responsable du Traitement.
(B) La Société souhaite sous-traiter certains Services, qui impliquent le traitement de données personnelles, au Sous-traitant.
(C) Les Parties cherchent à mettre en œuvre un accord de traitement des données qui se conforme aux exigences du cadre juridique actuel en relation avec le traitement des données et avec le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
(D) Les Parties souhaitent définir leurs droits et obligations concernant l’objet du présent Accord.
IL EST CONVENU CE QUI SUIT :
1. Définitions et Interprétation
1.1 Sauf définition contraire ici, les termes et expressions en majuscules utilisés dans le présent Accord auront la signification suivante :
1.1.1 “Accord” désigne le présent Accord de Traitement des Données et tous les Annexes ;
1.1.2 “Données Personnelles de la Société” désigne toute Donnée Personnelle traitée par un Processeur Contractuel pour le compte de la Société conformément ou en relation avec l’Accord Principal ;
1.1.3 “Processeur Contractuel” désigne un Sous-processeur ;
1.1.4 “Lois de Protection des Données” désigne les Lois de Protection des Données de l’UE et, dans la mesure applicable, les lois de protection des données ou de confidentialité de tout autre pays ;
1.1.5 “EEE” désigne l’Espace Économique Européen ;
1.1.6 “Lois de Protection des Données de l’UE” désigne la Directive UE 95/46/CE, telle que transposée dans la législation nationale de chaque État Membre et telle qu’amendée, remplacée ou supplantée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;
1.1.7 “RGPD” désigne le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données) ;
1.1.8 “Transfert de Données” désigne :
1.1.8.1 un transfert de Données Personnelles de la Société de la Société vers un Processeur Contractuel ; ou
1.1.8.2 un transfert ultérieur de Données Personnelles de la Société d’un Processeur Contractuel vers un Processeur Sous-traité, ou entre deux établissements d’un Processeur Contractuel, dans chaque cas, où un tel transfert serait interdit par les Lois de Protection des Données (ou par les termes d’accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des Lois de Protection des Données) ;
1.1.9 “Services” désigne les services logiciels de suivi des congés que la Société fournit.
1.1.10 “Sous-processeur” désigne toute personne nommée par ou pour le compte du Processeur pour traiter les Données Personnelles pour le compte de la Société en relation avec l’Accord.
1.2 Les termes “Commission”, “Responsable du Traitement”, “Personne Concernée”, “État Membre”, “Données Personnelles”, “Violation de Données Personnelles”, “Traitement” et “Autorité de Contrôle” auront la même signification que dans le RGPD, et leurs termes apparentés seront interprétés en conséquence.
2. Traitement des Données Personnelles de la Société
2.1 Le Processeur doit :
2.1.1 se conformer entièrement à toutes les Lois de Protection des Données applicables dans le Traitement des Données Personnelles de la Société ; et
2.1.2 ne pas traiter les Données Personnelles de la Société autrement que selon les instructions documentées pertinentes de la Société, conformément aux Lois de Protection des Données applicables.
2.2 La Société instruit le Processeur de traiter les Données Personnelles de la Société. Dans le cas où l’une des instructions de la Société pour le traitement des Données Personnelles de la Société semble ne pas être conforme aux Lois de Protection des Données applicables, le Processeur informera immédiatement la Société. Dans un tel cas, la Société et le Processeur coopéreront pour s’assurer que les Données Personnelles de la Société sont traitées entièrement conformément aux Lois de Protection des Données applicables.
3. Personnel du Processeur
Le Processeur doit prendre des mesures raisonnables pour s’assurer de la fiabilité de tout employé, agent ou entrepreneur de tout Processeur Contractuel qui pourrait avoir accès aux Données Personnelles de la Société, s’assurant dans chaque cas que l’accès est strictement limité aux individus qui ont besoin de connaître/accéder aux Données Personnelles pertinentes de la Société, comme strictement nécessaire aux fins de l’Accord Principal, et de se conformer aux Lois de Protection des Données applicables dans le contexte des devoirs de cet individu envers le Processeur Contractuel, s’assurant que tous ces individus sont soumis à des engagements de confidentialité ou des obligations professionnelles ou statutaires de confidentialité.
4. Sécurité
4.1 Tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Processeur doit, en relation avec les Données Personnelles de la Société, mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures visées à l’article 32(1) du RGPD.
4.2 Dans l’évaluation du niveau de sécurité approprié, le Processeur doit tenir compte en particulier des risques présentés par le Traitement, en particulier d’une Violation de Données Personnelles.
5. Sous-processeurs
5.1 Le Processeur est autorisé à externaliser la mise en œuvre du Traitement selon les instructions du Responsable du Traitement vers des Sous-processeurs, soit entièrement soit en partie. Le Processeur informera le Responsable du Traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres processeurs.
5.2 Le Responsable du Traitement se réserve le droit de s’opposer à tout Sous-processeur, à condition que, selon son avis raisonnable, les données du Sous-processeur ne fournissent objectivement pas de garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de protection des données.
5.3 Le Processeur doit s’assurer que chaque Sous-processeur engagé se conforme contractuellement aux obligations de confidentialité, obligations de notification et mesures de sécurité relatives au Traitement des Données Personnelles, lesquelles obligations et mesures doivent au moins se conformer aux dispositions du présent Accord.
5.4 La sous-traitance au sens du présent accord n’inclut pas les services accessoires, tels que les services de télécommunication, services postaux/transport, services de maintenance et support utilisateur ou l’élimination des supports de données, ainsi que d’autres mesures pour assurer la confidentialité, disponibilité, intégrité et résilience du matériel et logiciel de l’équipement de traitement des données.
5.5 Lorsque le Responsable du Traitement, basé sur les obligations en vertu du RGPD, est obligé de fournir des informations à une Personne Concernée sur le Traitement de ses Données Personnelles, le Processeur doit assister le Responsable du Traitement en rendant ces informations disponibles. Le Processeur doit, dès que possible et de la manière la plus détaillée possible, référer les demandes (ou plaintes) de la Personne Concernée au Responsable du Traitement et doit assister le Responsable du Traitement avec toute demande d’une Personne Concernée concernant ses droits en vertu des Lois de Protection des Données applicables et en particulier – mais pas seulement – son droit d’accès, de rectification, de correction, d’opposition, de restriction du traitement et le droit à l’oubli, le droit à la portabilité des données. Le Processeur doit rectifier, effacer ou traiter les Données Personnelles de toute autre manière lorsque le Responsable du Traitement l’instruct ainsi pour permettre à ce dernier de se conformer à la demande de la Personne Concernée.
5.6 Le Responsable du Traitement accepte par les présentes l’externalisation de la mise en œuvre du Traitement selon les instructions du Responsable du Traitement vers les Sous-processeurs suivants, à condition qu’un accord pertinent entre le Processeur et chaque Sous-processeur respectif soit conclu conformément aux Lois de Protection des Données applicables :
| Sous-processeur | Catégorie | Finalité | Localisation de l'Entreprise | Localisation des Données |
| Amazon Web Services | Ingénierie | Fournisseur d'hébergement | États-Unis | Francfort, Allemagne |
| Amplitude | Produit | Plateforme d'analyse produit | États-Unis | États-Unis |
| Atlassian | Ingénierie | Plateforme de gestion de projet | Australie | Australie |
| Cookieyes | Juridique | Plateforme de gestion du consentement des cookies | Royaume-Uni | Royaume-Uni |
| Crisp | Succès client | Système de chat web | France | Amsterdam, Pays-Bas |
| Customer.io | Succès client | Campagnes e-mail en goutte-à-goutte | États-Unis | États-Unis |
| Drata | Administratif | Conformité avec SOC2 et RGPD | États-Unis | États-Unis |
| Github | Ingénierie | Contrôle de version | États-Unis | États-Unis |
| Microsoft | Administratif | Services e-mail et chat | États-Unis | États-Unis et UE (France) |
| Mixpanel | Produit | Plateforme d'analyse produit | États-Unis | États-Unis |
| Quickbooks | Finance | Comptabilité | États-Unis | États-Unis |
| Sentry | Ingénierie | Journaux d'erreurs | États-Unis | États-Unis |
| Stripe | Finance | Processeur de paiement | États-Unis | États-Unis |
| Zoho | Succès client | CRM | Inde | États-Unis |
6. Droits de la Personne Concernée
6.1 Tenant compte de la nature du Traitement, le Processeur doit assister la Société en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l’accomplissement des obligations de la Société, comme raisonnablement compris par la Société, pour répondre aux demandes d’exercice des droits garantis de la Personne Concernée en vertu des Lois de Protection des Données.
6.2 Le Processeur doit :
6.2.1 notifier promptement la Société s’il reçoit une demande d’une Personne Concernée en vertu de toute Loi de Protection des Données concernant les Données Personnelles de la Société ; et
6.2.2 s’assurer qu’il répond à cette demande en temps opportun, suivant les Lois de Protection des Données applicables, avec consultation préalable de la Société ou selon les exigences des Lois de Protection des Données applicables auxquelles le Processeur est soumis, auquel cas le Processeur doit, dans la mesure permise par les Lois de Protection des Données applicables, informer la Société de cette exigence légale avant que le Processeur Contractuel réponde à la demande.
7. Violation de Données Personnelles
7.1 Le Processeur doit notifier la Société sans retard injustifié dès que le Processeur prend connaissance d’une Violation de Données Personnelles affectant les Données Personnelles de la Société, fournissant à la Société des informations suffisantes pour permettre à la Société de satisfaire à toute obligation de signaler ou informer les Personnes Concernées de la Violation de Données Personnelles en vertu des Lois de Protection des Données.
7.2 Le Processeur doit coopérer avec la Société et prendre des mesures commerciales raisonnables selon les directives de la Société pour assister dans l’enquête, l’atténuation et la remédiation de chaque telle Violation de Données Personnelles.
8. Évaluation d’Impact sur la Protection des Données
8.1 Évaluation d’Impact sur la Protection des Données et Consultation Préalable. Le Processeur doit fournir une assistance raisonnable à la Société avec toute évaluation d’impact sur la protection des données, et consultations préalables avec les Autorités de Contrôle ou autres autorités compétentes en matière de confidentialité des données, que la Société considère raisonnablement être requises par l’article 35 ou 36 du RGPD ou dispositions équivalentes de toute autre Loi de Protection des Données, dans chaque cas uniquement en relation avec le Traitement des Données Personnelles de la Société par, et tenant compte de la nature du Traitement et des informations disponibles pour, les Processeurs Contractuels.
9. Suppression ou retour des Données Personnelles de la Société
9.1 Sous réserve de la présente section 9, le Processeur doit promptement et en tout état de cause dans les 10 jours ouvrables de la date de cessation de tout Service impliquant le Traitement des Données Personnelles de la Société (la “Date de Cessation”), supprimer et assurer la suppression de toutes les copies de ces Données Personnelles de la Société.
10. Droits d’Audit
10.1 Sous réserve de la présente section 10, le Processeur doit mettre à la disposition de la Société sur demande toutes les informations nécessaires pour démontrer la conformité avec le présent Accord, et doit permettre et contribuer aux audits, y compris les inspections, par la Société ou un auditeur mandaté par la Société en relation avec le Traitement des Données Personnelles de la Société par les Processeurs Contractuels.
10.2 Les droits d’information et d’audit de la Société ne naissent en vertu de la section 10.1 que dans la mesure où l’Accord ne leur donne pas autrement des droits d’information et d’audit satisfaisant aux exigences pertinentes de la Loi de Protection des Données.
11. Transfert de Données
11.1 Le Processeur ne peut pas transférer ou autoriser le transfert de Données vers des pays en dehors de l’UE et/ou de l’Espace Économique Européen (EEE) sans le consentement écrit préalable de la Société. Si des données personnelles traitées en vertu du présent Accord sont transférées d’un pays dans l’Espace Économique Européen vers un pays en dehors de l’Espace Économique Européen, les Parties doivent s’assurer que les données personnelles sont adéquatement protégées conformément aux principes pour les transferts stipulés en vertu du RGPD. Pour y parvenir, les Parties doivent, sauf accord contraire, s’appuyer sur les clauses contractuelles types approuvées par l’UE pour le transfert de données personnelles.
12. Conditions Générales
12.1 Confidentialité. Chaque Partie doit garder confidentiel le présent Accord et les informations qu’elle reçoit sur l’autre Partie et son entreprise en relation avec le présent Accord (“Informations Confidentielles”) et ne doit pas utiliser ou divulguer ces Informations Confidentielles sans le consentement écrit préalable de l’autre Partie, sauf dans la mesure où : (a) la divulgation est requise par la loi ; (b) les informations pertinentes sont déjà dans le domaine public.
12.2 Notifications. Tous les avis et communications donnés en vertu du présent Accord doivent être par écrit et seront livrés personnellement, envoyés par poste ou envoyés par e-mail à l’adresse ou adresse e-mail énoncée dans l’en-tête du présent Accord ou à toute autre adresse notifiée de temps à autre par les Parties changeant d’adresse.
Commencez votre essai gratuit