Solutions
visitor Gestion des visiteurs Automatisez l'enregistrement des invités avec des notifications instantanées, l'impression de badges et le suivi des visiteurs en temps réel.
desk Réservation de bureau et de réunion Donnez à votre équipe les outils pour trouver et réserver rapidement les espaces dont elle a besoin, quand elle en a besoin.
time Planification de rendez-vous Outils sécurisés et évolutifs pour réserver facilement des rendez-vous, entretiens et réunions.
employee Enregistrement des employés Facilitez la connexion du personnel et des prestataires sur site, à distance ou en déplacement.
time Suivi du temps et des présences Suivi du temps flexible qui s'adapte au planning et au style de travail de votre équipe.
Group 1410120575 Sécurité et conformité Maintenez des dossiers centralisés et fiables avec des contrôles simplifiés, un suivi de conformité et des outils de gestion des risques.
Caractéristiques
Sign In App Tap
Sites multiples
Badges d'identité
Confidentialité des données
Scan ID et contrôle de sécurité
Companion App
Évacuation
Pré-enregistrer
Événements
Intégrations
Explorez toutes les caractéristiques
Prix
Plans & prix
Comparer les stands
Réserver une démo
Acheter maintenant
Industries
Éducation
Soins infirmiers et résidentiels
Transport et logistique
Entreprise
Ressources
Blog
Études de cas clients
Sécurité des données
L'équipe
Nous contacter
Se connecter
Essai gratuit

Accord sur le Traitement des Données ("DPA")

Ce DPA fait partie de l’Accord conclu entre Sign In Solutions (« Sign In Solutions » ou « SIS ») et vous (le « Client ») à la Date d’entrée en vigueur (telle que définie dans l’Accord). « Sign In Solutions » désigne l’entité avec laquelle vous avez conclu l’Accord et « nous » ou « notre » désigne Sign In Solutions, et toutes les références à l’Accord incluront ce DPA (y compris les Clauses Contractuelles Types, telles que définies ci-dessous).

Tous les termes en majuscules non définis dans ce DPA auront les significations indiquées dans l’Accord. Ce DPA s’applique uniquement lorsque, et dans la mesure où, SIS traite vos Données Personnelles protégées par les Lois et réglementations sur la protection de la vie privée applicables au traitement des Données Personnelles en vertu de ce DPA. Les signatures d’assentiment de SIS et du Client à l’Accord seront réputées constituer la signature, l’acceptation et l’accord de ce DPA ainsi que des Clauses Contractuelles Types qui y sont incorporées.

Définitions
“ Accord ” désigne l’accord écrit ou électronique conclu entre le Client et SIS pour la fourniture des Produits par SIS au Client.
“ Filiales  désigne, en ce qui concerne SIS, les entités qui possèdent ou contrôlent SIS, qui sont possédées ou contrôlées par SIS, ou qui sont sous propriété ou contrôle commun avec SIS, comme précisé plus en détail dans l’Annexe D.
Lois sur la protection de la vie privée applicables inclut toutes les lois, réglementations et autres obligations légales applicables au Client ou à SIS. Cela peut inclure, par exemple : le Règlement général sur la protection des données (Règlement (UE) 2016/679) (« RGPD ») ; les exigences équivalentes au Royaume-Uni, y compris le UK General Data Protection Regulation et le Data Protection Act 2018 (« UK GDPR ») ; le California Consumer Privacy Act et ses réglementations associées (« CCPA »), ainsi que le California Privacy Rights Act et ses règlements d’application lorsqu’ils entrent en vigueur (« CPRA ») ; la Loi sur la protection des renseignements personnels et les documents électroniques, SC 2000, c.5 (« PIPEDA ») ; la Privacy Act 1988 de l’Australie et les Australian Privacy Principles (« Privacy Act ») ; le Virginia Consumer Data Protection Act lorsqu’il entre en vigueur (« VCDPA ») ; le Utah Consumer Privacy Act lorsqu’il entre en vigueur (« UCPA ») ; et le Colorado Privacy Act et les réglementations connexes lorsqu’ils entrent en vigueur (« CPA »).
Personnel autorisé désigne une personne physique (y compris, sans limitation, un employé, un travailleur temporaire ou un travailleur d’agence) qui est autorisée à traiter des Données Personnelles sous l’autorité de SIS.
Données Personnelles du Client désigne toutes les données personnelles que SIS traite pour le compte du Client en tant que sous-traitant conformément à l’Accord, et telles que décrites plus en détail dans ce DPA.
Demande de la personne concernée désigne une demande d’une personne concernée visant à exercer ses droits relatifs aux données personnelles conformément aux Lois sur la protection de la vie privée applicables.
Instructions désigne les instructions écrites du Client à SIS lui ordonnant de traiter les Données Personnelles comme prévu dans l’Accord, ce DPA, par le biais de l’utilisation par le Client des fonctionnalités et options des Produits fournis par SIS conformément à l’Accord, ou tel qu’autrement convenu par écrit entre les signataires autorisés des deux parties.
Violation de Données Personnelles  désigne toute violation de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des Données Personnelles en possession ou sous le contrôle de SIS (y compris lorsqu’elles sont transmises ou stockées par SIS).
Produits désigne les produits achetés par le Client dans le cadre de l’Accord.
Données Sensibles ” désigne : (a) numéro de sécurité sociale, numéro de passeport, permis de conduire ou identifiant similaire ; (b) numéro de carte de paiement ; (c) informations d’emploi, financières, génétiques, biométriques ou de santé ; (d) informations sur la race, l’origine ethnique, les affiliations, l’adhésion syndicale ou la sexualité ; (e) mots de passe de compte ; ou (f) toute autre information relevant de la définition de « catégories particulières de données » selon les Lois sur la protection de la vie privée applicables.
"Clauses Contractuelles Types » ou (« CCT » ou « Clauses »" désigne : (i) les clauses contractuelles types pour les transferts internationaux publiées par la Commission européenne le 4 juin 2021 régissant le transfert de Données Personnelles de l’Espace Européen vers des Pays Tiers, telles qu’adoptées par la Commission européenne et le Commissariat fédéral suisse à la protection des données et à l’information (« Swiss FDPIC ») pour les transferts vers des Pays Tiers (collectivement « CCT UE ») ; (ii) l’avenant aux transferts internationaux (« UK Transfer Addendum ») adopté par le Bureau du Commissaire à l’information du Royaume-Uni (« UK ICO ») pour les transferts de données depuis le Royaume-Uni vers des Pays Tiers ; ou (iii) toute clause similaire émise par un régulateur en matière de protection des données concernant les transferts vers des Pays Tiers ; ou (iv) tout successeur des clauses (i) à (iii).
Sous-traitant ” désigne toute personne ou entité, y compris les Filiales de SIS, nommée par ou pour le compte de SIS dans le cadre du traitement des Données Personnelles en lien avec l’Accord.
"Pays Tiers" désigne les pays qui, lorsqu’ils sont régulés par les Lois sur la protection de la vie privée applicables, n’ont pas reçu de décision d’adéquation d’une autorité compétente concernant les transferts de données, incluant des régulateurs tels que la Commission européenne, le UK ICO ou le Swiss FDPIC.

Dans ce DPA, les termes suivants (et tout terme substantiellement similaire tel que défini par les Lois sur la protection de la vie privée applicables) auront les significations indiquées et seront interprétés conformément aux Lois sur la protection de la vie privée applicables : « Entreprise », « Responsable du traitement », « Sous-traitant », « Personne concernée », « Vente », « Fournisseur de services », « Partage », « Autorité de contrôle », « Traiter / Traitement » et « Transfert ».

  1. Traitement des données

    1. Rôles des parties. Entre SIS et le Client, le Client est le responsable du traitement des Données Personnelles du Client, et SIS ne traitera les Données Personnelles du Client qu’en tant que sous-traitant agissant pour le compte du Client, comme décrit dans l’Annexe A (Détails du traitement) de ce DPA. Le Client est responsable de fournir tous les avis et d’obtenir tous les consentements, licences et bases légales nécessaires pour permettre à SIS de traiter les Données Personnelles.
    2. Limitation des finalités. SIS ne traitera les Données Personnelles du Client que dans le cadre des dispositions prévues par ce DPA et conformément aux instructions légales documentées du Client, sauf si la loi applicable en dispose autrement. Le Client donne instruction à SIS et à ses Sous-traitants de traiter les Données Personnelles du Client dans la mesure raisonnablement nécessaire à la fourniture des Produits prévus par l’Accord et à l’exécution de ses obligations en vertu de l’Accord. SIS ne vendra, ne conservera ni n’utilisera aucune Donnée Personnelle à des fins autres que celles autorisées par ce DPA, les Conditions d’utilisation de SIS ou la politique de confidentialité de SIS. SIS utilisera les mesures techniques et organisationnelles décrites dans l’Annexe B lors du traitement des Données Personnelles afin de garantir un niveau de sécurité approprié au risque encouru.
    3. Description du traitement. Une description de la nature et des finalités du traitement, des types de Données Personnelles, des catégories de Personnes Concernées et de la durée du traitement est détaillée dans l’Annexe A de ce DPA.
    4. Données sensibles. En utilisant les services, le Client détermine le type de données pouvant être transmises ou traitées dans les Produits. Le Client est responsable de s’assurer que des mesures de protection appropriées sont en place avant de transmettre ou de traiter, ou avant de permettre à ses Utilisations de transmettre ou de traiter, toute Donnée Sensible via les Produits. Le Client doit prendre toutes les mesures supplémentaires nécessaires (par exemple, en matière de consentement, de sécurité, de protection des données) pour protéger ces Données Sensibles conformément à ses obligations prévues par toutes les Lois sur la protection de la vie privée applicables. Le traitement de toute Donnée Sensible par SIS sera soumis aux limitations, restrictions et mesures de protection convenues mutuellement par les deux parties, telles que reflétées dans ce DPA.
    5. Pays Tiers. Dans la mesure où ces données sont transférées en vertu de ce DPA vers un Pays Tiers, les parties conviennent de respecter les CCT, le cas échéant, pour ces transferts consentis. En particulier, les transferts de Données Personnelles depuis l’Union européenne, l’Espace économique européen, la Suisse ou le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord (« Royaume-Uni ») vers des Pays Tiers sont soumis aux Clauses Contractuelles Types, Module Deux ou, selon le cas, Module Trois. Les informations requises aux fins des CCT sont fournies dans l’Annexe C de ce DPA. Les CCT sont par les présentes incorporées dans l’Accord, et l’acceptation de ce DPA par les parties constitue leur acceptation et signature des Clauses Contractuelles Types. Si les termes de l’Accord sont en conflit avec les CCT, les termes des CCT prévaudront. Nonobstant ce qui précède, dans le cas où des mécanismes de transfert de données sont approuvés en vertu des Lois sur la protection de la vie privée applicables, les parties peuvent convenir d’utiliser ces mécanismes de transfert de données à la place des Clauses Contractuelles Types.
    6. Conformité du Client. Le Client doit, dans son utilisation des Produits, à tout moment traiter les Données Personnelles et fournir les Instructions pour le traitement des Données Personnelles, en conformité avec les Lois sur la protection de la vie privée applicables. Le Client déclare et garantit que le Client a obtenu ou obtiendra tous les consentements, licences et autorisations nécessaires pour le traitement des Données Personnelles en vertu de ce DPA et, le cas échéant, dispose d’une base légale valide en vertu des Lois sur la protection de la vie privée applicables pour le traitement des Données Personnelles en vertu de ce DPA. Si le Client est un Sous-traitant des Données Personnelles, le Client déclare et garantit que ses instructions et le traitement des Données Personnelles, y compris sa nomination de SIS en tant que sous-traitant, ont été autorisés par le Responsable du traitement concerné. Le Client déclare et garantit en outre que le Client (i) se conformera à toutes les Lois sur la protection de la vie privée applicables dans l’exécution de ses obligations découlant de ce DPA; et (ii) a examiné les pratiques de sécurité de SIS et reconnaît que ces pratiques sont conçues de manière appropriée pour garantir un niveau de sécurité adapté au risque de traitement en vertu des présentes.
    7. Obligations de notification concernant les instructions du Client. SIS doit notifier rapidement le Client par écrit, sans aucune obligation de fournir des conseils juridiques, sauf si la loi applicable sur la protection de la vie privée l’en empêche, dès qu’il prend connaissance ou croit que toute instruction de traitement de données émanant du Client viole les Lois sur la protection de la vie privée applicables.
  2. Retour ou suppression des données
    1. Après l’achèvement des Produits, SIS doit retourner et supprimer les Données Personnelles conformément aux dispositions de l’Accord ou de la documentation de service applicable, ou fournir au Client la possibilité de supprimer directement ces Données Personnelles via les outils ou fonctionnalités mis à disposition par le Service. Les obligations ci-dessus ne s’appliquent pas : (a) lorsque la suppression n’est pas autorisée par la loi applicable (y compris les Lois sur la protection de la vie privée applicables) ou par un ordre d’une autorité gouvernementale ou réglementaire ; (b) lorsque SIS conserve ces Données Personnelles pour la tenue de registres internes et le respect de toute obligation légale ; et (c) lorsque le système de conservation de données ou de sauvegarde similaire en vigueur chez SIS stocke les Données Personnelles, à condition que ces données restent protégées conformément aux mesures décrites dans l’Accord et ce DPA.
  3. Personnel autorisé
    1. SIS doit s’assurer que tout le Personnel autorisé est informé de la nature confidentielle des Données Personnelles et a signé des accords de confidentialité ou est autrement soumis à des obligations contraignantes de confidentialité qui leur interdisent de divulguer ou de traiter de quelque manière que ce soit des Données Personnelles, sauf conformément aux Instructions et à leurs obligations liées aux Produits.
    2. SIS doit prendre des mesures commercialement raisonnables pour s’assurer que le Personnel autorisé a reçu une formation en matière de sécurité et de protection des données adaptée à la nature de leur traitement des Données Personnelles et aux exigences des Lois sur la protection de la vie privée applicables.
  4. Sous-traitants de SIS
    1. Le Client fournit par les présentes à SIS une autorisation écrite générale pour faire appel à des Sous-traitants afin de traiter (y compris transférer) des Données Personnelles dans le cadre des Produits, conformément à la présente Section 4.
    2. Une liste des Sous-traitants actuels de SIS pour tous les produits (la « Liste des Sous-traitants ») est disponible à l’adresse :https://trust.signinsolutions.com/. Le lien pertinent mentionné ci‑dessus constitue la « Liste des Sous-traitants » applicable aux fins de ce DPA et cette URL peut être mise à jour par SIS de temps à autre avec notification au Client.
    3. Les Sous-traitants applicables seront réputés autorisés par le Client à traiter les Données Personnelles dans le cadre de ce DPA. Au moins trente (30) jours avant de permettre à tout nouveau Sous-traitant d’accéder ou de participer au traitement des Données Personnelles du Client, SIS ajoutera ce Sous-traitant à la Liste des Sous-traitants et en informera le Client. Le Client peut s’opposer à un tel engagement pour des motifs raisonnables liés à la protection des données en adressant un avis à SIS dans les dix (10) jours suivant la réception de l’avis susmentionné de SIS.
    4. Si le Client a formulé une objection raisonnable au nouveau Sous-traitant et que les parties n’ont pas réussi à s’entendre sur une solution dans un délai raisonnable, le Client aura le droit de résilier l’Accord avec un préavis déterminé d’un commun accord entre SIS et le Client, sans préjudice de tout autre recours disponible en vertu de la loi ou du contrat. Dans ce cas, le Client devra immédiatement régler tous les frais et coûts alors dus à SIS jusqu’à la date de résiliation.
    5. Si le Client ne s’oppose pas à l’engagement d’un tiers conformément à la Section 4.2, ce tiers sera réputé être un Sous-traitant aux fins de ce DPA.
    6. SIS doit s’assurer que chaque Sous-traitant est soumis à des obligations concernant le traitement des Données Personnelles qui sont substantiellement similaires à celles auxquelles SIS est soumis en vertu de ce DPA.
    7. SIS sera responsable envers le Client de toute violation de ce DPA résultant des actes ou omissions de son Sous-traitant.
    8. Si le Client et SIS ont conclu les Clauses Contractuelles Types comme décrit à la Section 6 (Transferts de Données Personnelles), les autorisations ci-dessus constitueront le consentement écrit préalable du Client au sous-traitance par SIS du traitement des Données Personnelles, si un tel consentement est requis en vertu des Clauses Contractuelles Types.
  5. Sécurité des Données Personnelles
    1. SIS doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées conçues pour : (i) garantir un niveau de sécurité adapté au risque présenté par le traitement des Données Personnelles ; et (ii) protéger les Données Personnelles contre tout accès, destruction, utilisation, modification ou divulgation non autorisés. Ces mesures techniques et organisationnelles doivent inclure des mesures égales ou supérieures à celles énoncées dans l’Annexe B de ce DPA.
  6. Transferts de Données Personnelles
    1. Dans la mesure où cela est applicable, ou si cela est nécessaire pour que SIS fournisse les Produits, le Client reconnaît et accepte que SIS et ses Sous-traitants puissent traiter (y compris transférer) des Données Personnelles au Royaume-Uni de Grande-Bretagne et d’Irlande du Nord (« Royaume-Uni »), dans l’Espace économique européen, aux États-Unis d’Amérique, au Canada, en Nouvelle-Zélande et dans tout autre lieu où SIS ou ses Sous-traitants maintiennent des opérations de traitement de données, comme indiqué dans la Liste des Sous-traitants. SIS assurera à tout moment un niveau de protection adéquat des Données Personnelles, conformément aux exigences des Lois sur la protection de la vie privée applicables et, dans la mesure du possible, aux exigences ci-dessous.
    2. Dans le cadre de la fourniture des Produits au Client, SIS peut (et peut autoriser ses Sous-traitants à) recevoir de, traiter au sein de, ou transférer des Données Personnelles vers tout Pays Tiers, à condition que SIS et ses Sous-traitants prennent des mesures pour protéger adéquatement ces données, conformément aux Lois sur la protection de la vie privée applicables. Ces mesures peuvent inclure, dans la mesure où elles sont disponibles et applicables en vertu de ces lois :
    3. L’accord des parties de conclure et de se conformer aux Clauses Contractuelles Types, qui sont par les présentes incorporées dans ce DPA et comme indiqué plus en détail dans l’Annexe C. En particulier, les transferts de Données Personnelles depuis l’Union européenne, l’Espace économique européen, la Suisse ou le Royaume-Uni par le Client vers SIS ou par SIS vers le Client vers des Pays Tiers sont soumis aux Clauses Contractuelles Types, Module Deux (« Responsable du traitement vers Sous-traitant ») et Module Trois (« Sous-traitant vers Sous-traitant »). Les informations requises aux fins des CCT sont fournies dans l’Annexe C de ce DPA. Dans la mesure où des garanties ou mécanismes de transfert appropriés supplémentaires ou substitutifs sont exigés par les Lois sur la protection de la vie privée applicables pour transférer des données vers un Pays Tiers, les parties conviennent de les mettre en œuvre dès que possible et de documenter ces exigences pour mise en œuvre dans une annexe à ce DPA.
    4. Les Parties reconnaissent et conviennent qu’elles ont, en tenant compte, sans limitation, des Données Personnelles et des Pays Tiers concernés, des mesures de sécurité pertinentes prévues par ce DPA et des parties concernées participant au traitement de ces Données Personnelles, réalisé une évaluation de l’adéquation du mécanisme de transfert pertinent adopté dans le cadre des présentes et ont déterminé que ce mécanisme de transfert est conçu de manière appropriée pour garantir que les Données Personnelles transférées conformément à ce DPA bénéficient dans le pays de destination d’un niveau de protection essentiellement équivalent à celui garanti par les Lois sur la protection de la vie privée applicables.
  7. Coopération, audits et demandes de documents
    1. SIS doit, dans la mesure permise par la loi, notifier rapidement le Client dès réception et vérification d’une Demande de la Personne Concernée ou, le cas échéant, conseiller à la Personne Concernée de soumettre directement sa Demande au Client. Dans les deux cas, le Client sera responsable de répondre à cette demande.
    2. À la demande du Client et en tenant compte de la nature du traitement applicable à toute Demande de la Personne Concernée, SIS doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour permettre au Client de respecter son obligation de répondre à cette Demande et/ou de démontrer cette conformité, à condition que : (i) le Client soit lui-même dans l’incapacité de répondre ou de satisfaire à la demande sans l’assistance de SIS et (ii) SIS soit en mesure de le faire conformément à toutes les lois, règles et réglementations applicables. Le Client sera responsable, dans la mesure permise par la loi, de tous les coûts et dépenses engagés par SIS pour fournir cette assistance dans le cadre d’une Demande de la Personne Concernée uniquement lorsque ces coûts résultent de demandes déraisonnables ou excessives.
    3. Si SIS reçoit une assignation, une ordonnance judiciaire, un mandat ou toute autre demande légale émanant d’un tiers, des forces de l’ordre, d’un gouvernement étranger ou de toute autre autorité publique ou judiciaire visant à obtenir la divulgation de Données Personnelles, SIS doit, dans la mesure permise par la loi, en informer rapidement le Client par écrit. SIS ne se conformera à ces demandes de tiers que si elle a déterminé qu’elle y est légalement obligée, auquel cas SIS fournira une coopération raisonnable au Client, aux frais du Client lorsque cela est approprié, si le Client souhaite limiter, contester ou se protéger contre cette divulgation, dans la mesure permise par les lois applicables. Le Client assumera tous les risques et responsabilités liés au traitement et à la réponse à ces demandes de tiers dans la mesure où cette responsabilité découle des activités de traitement du Client. Le Client et SIS resteront responsables de toute violation des Lois sur la protection de la vie privée applicables, y compris le RGPD, résultant directement de leurs propres actions, omissions ou manquement à respecter leurs obligations en tant que responsable et sous-traitant de données. Le Client indemnisera SIS pour toutes pertes, coûts, dommages, réclamations, actions, poursuites, demandes et responsabilités subis ou encourus par SIS ou intentés contre SIS découlant ou se rapportant au manquement du Client à respecter ses obligations en tant que responsable du traitement, dans la mesure où cette responsabilité n’est pas imputable à un manquement de SIS à respecter ses obligations en vertu des Lois sur la protection de la vie privée applicables.
    4. SIS doit, en tenant compte de la nature du traitement et des informations disponibles pour SIS, fournir au Client une coopération et une assistance raisonnables afin que le Client puisse respecter ses obligations en vertu des Lois sur la protection de la vie privée applicables, y compris toute obligation de réaliser une analyse d’impact sur la protection des données, de répondre à toute demande ou de consulter toute Autorité de contrôle, ou de démontrer la conformité avec les Lois sur la protection de la vie privée applicables. Les obligations prévues aux présentes ne s’appliquent que lorsque la Loi sur la protection de la vie privée applicable l’exige de SIS et à condition que le Client n’ait pas autrement accès aux informations ou fonctionnalités pertinentes demandées. Le Client sera responsable, dans la mesure permise par la loi, de tous les coûts et dépenses découlant de cette assistance fournie par SIS.
    5. À la demande du Client et au maximum une fois par année civile, SIS mettra à la disposition du Client pour examen des copies de tous les rapports d’attestation, certifications et/ou autres documents applicables démontrant la conformité de SIS aux Lois sur la protection de la vie privée applicables en lien avec le traitement par SIS des Données Personnelles du Client en vertu des présentes. Ces documents sont disponibles à https://trust.signinsolutions.com pour examen. Uniquement lorsque et dans la mesure où (i) cela est exigé par les Lois sur la protection de la vie privée applicables et (ii) ces copies des rapports d’attestation ou certifications sont insuffisantes pour démontrer la conformité de SIS aux Lois sur la protection de la vie privée applicables en ce qui concerne le traitement des Données Personnelles aux présentes, SIS mettra à disposition du Client des informations supplémentaires raisonnablement nécessaires pour démontrer la conformité à ces obligations et permettra et contribuera à des audits, y compris des inspections mutuellement convenues et encadrées, de ces installations de traitement de données sous le contrôle de SIS effectuées par le Client ou un autre auditeur convenu d’un commun accord par SIS et le Client.
    6. Tout Audit ou Évaluation autorisé par la Section 7.5 ne pourra avoir lieu qu’après que le Client ait fourni à SIS un préavis écrit d’au moins 30 jours et à une date, heure et lieu convenus d’un commun accord par SIS et le Client. Les audits ne doivent pas interférer de manière déraisonnable avec les activités ou opérations de SIS, et le champ de cet audit sera soumis à l’approbation préalable raisonnable de SIS. Les personnes responsables de la réalisation de cet audit seront soumises à un contrat de confidentialité avec SIS. Le travail requis de SIS pour participer à tout audit peut entraîner des frais supplémentaires (uniquement si les demandes d’audit sont excessives ou déraisonnables et à un tarif horaire convenu d’un commun accord, qui sera formalisé par écrit avant le début de tout audit). Pour s’assurer que SIS respecte les Lois sur la protection de la vie privée applicables et ses obligations contractuelles en matière de confidentialité et de sécurité des données, le Client accepte que SIS ne soit pas tenue de fournir au Client un accès aux systèmes ou informations de SIS d’une manière pouvant compromettre la sécurité, la confidentialité ou la protection des informations confidentielles ou propriétaires d’autres clients de SIS.
    7. Toute information divulguée conformément à la présente Section 7 sera réputée Constituer des Informations Confidentielles de SIS.
  8. Violation de Données Personnelles
    1. Après avoir pris connaissance d’une Violation de Données Personnelles dûment identifiée, SIS doit, sans retard excessif (et au plus tard dans les 72 heures), informer le Client de la Violation de Données Personnelles et prendre les mesures que SIS, à sa seule discrétion, juge nécessaires et raisonnables pour remédier à cette Violation de Données Personnelles (dans la mesure où la remédiation est sous le contrôle raisonnable de SIS).
    2. SIS doit, en tenant compte de la nature du traitement et des informations raisonnablement disponibles pour SIS : (a) fournir au Client une coopération et une assistance raisonnables nécessaires pour permettre au Client de respecter ses obligations en vertu des Lois sur la protection de la vie privée applicables concernant la notification des autorités compétentes et/ou des Personnes Concernées affectées par cette Violation de Données Personnelles ; et (b) fournir au Client les informations sous le contrôle raisonnable de SIS concernant les détails de la Violation de Données Personnelles, y compris, le cas échéant, la nature de la Violation de Données Personnelles, les catégories et le nombre approximatif de Personnes Concernées et d’enregistrements de Données Personnelles concernés, ainsi que les conséquences probables de la Violation de Données Personnelles.
    3. Les obligations décrites dans la présente Section 8 ne s’appliquent pas dans le cas où une Violation de Données Personnelles résulte des actions ou omissions du Client. En aucun cas, la coopération de SIS ou son obligation de signaler ou de répondre à une Violation de Données Personnelles en vertu de cette Section ne pourra être interprétée comme une reconnaissance par SIS de toute faute ou responsabilité concernant la Violation de Données Personnelles.
    4. Sauf interdiction par une loi applicable ou une ordonnance judiciaire, le Client informera SIS de toute procédure légale tierce relative à toute Violation de Données Personnelles, y compris, sans s’y limiter, toute procédure légale engagée par une entité gouvernementale.
  9. Divers
    1. Toutes les notifications au Client en vertu de ce DPA doivent être envoyées par courriel et adressées à l’administrateur système désigné par le Client pour les Produits ainsi qu’au contact « notifications légales et confidentialité » si celui-ci est fourni par le Client dans le cadre de l’Accord. Le Client peut mettre à jour ces contacts à tout moment en envoyant un courriel à : privacy@signinsolutions.com.
    2. La responsabilité de SIS et de ses employés, administrateurs, dirigeants, Affiliés, successeurs et ayants droit respectifs (les « Parties SIS »), découlant de ou liée à ce DPA, que ce soit en vertu d’un contrat, d’un délit ou de toute autre théorie de responsabilité, sera soumise à la section Limitation de Responsabilité et Déclarations de Non-Responsabilité de l’Accord, et toute référence dans cette section à la responsabilité de SIS ou des Parties SIS désigne la responsabilité globale des Parties SIS en vertu de l’Accord et de ce DPA ensemble.
    3. Le présent DPA est sans préjudice des droits et obligations des parties en vertu de l’Accord, lesquels continueront d’avoir pleine force et effet. En cas de conflit entre les termes de ce DPA et ceux de l’Accord, les termes de ce DPA prévaudront. En cas de conflit entre les termes de ce DPA et les Clauses Contractuelles Types, seules les Clauses Contractuelles Types prévaudront, dans la mesure où elles s’appliquent.
    4. Sauf disposition contraire prévue par ce DPA ou par les Lois sur la protection de la vie privée applicables, le Client et SIS conviennent chacun que les dispositions de résolution des litiges de l’Accord (y compris la loi applicable et le lieu de juridiction) s’appliquent à ce DPA.

Annexe A

Détails du Traitement des Données

  1. Exportateur de Données :

    Nom, adresse et informations de contact :
    Tel que fourni dans le cadre de l’Accord.

    Activités pertinentes concernant les données transférées en vertu des Clauses :
    Réception des Produits dans le cadre de l’Accord.

    Signature et date :
    Tel que fourni dans le cadre de l’Accord.

  2. Importateur de Données :

    Nom :
    Sign In Solutions Inc.

    Adresse:
    150 2nd Ave N, Suite 1540 St. Petersburg FL, USA 33701

    Informations de contact pour la confidentialité et la protection des données :
    Jason Mordeno: Global Privacy Officer
    privacy@signinsolutions.com

    Activités pertinentes concernant les données transférées en vertu des Clauses :
    Fourniture, maintenance et sécurisation des Produits

    Signature et date :
    Tel que fourni dans le cadre de l’Accord.

  3. Détails du Traitement des Données :

    1. Objet : L’objet du traitement des données dans le cadre de ce DPA est constitué par les Données Personnelles du Client.
    2. Durée : Entre SIS et le Client, la durée du traitement des données en vertu de ce DPA est jusqu’à l’expiration ou la résiliation de l’Accord conformément à ses termes.
    3. Finalité : SIS ne traitera les Données Personnelles du Client que pour les finalités suivantes : (i) le traitement nécessaire pour exécuter ses obligations en vertu de l’Accord ; et (ii) le traitement nécessaire pour se conformer à toute autre instruction raisonnable fournie par le Client (par exemple, par courriel ou tickets de support) qui soit conforme aux termes de l’Accord (individuellement et collectivement, la « Finalité »).
    4. Nature du traitement : SIS fournit un support au Client dans le cadre de son utilisation des Produits, comme décrit plus en détail dans l’Accord.
    5. Catégories de personnes concernées : Les employés du Client et les Utilisateurs (tel que ce terme est défini dans l’Accord)
    6. Catégories de Données Personnelles du Client : Le Client peut télécharger, soumettre ou fournir d’une autre manière certaines données personnelles à SIS, dont l’étendue est généralement déterminée et contrôlée par le Client à sa seule discrétion, et peut inclure les types de données personnelles suivants :

      1. Informations d’identification des Personnes Concernées : nom et prénom, informations de contact (qui peuvent inclure une partie ou la totalité de l’adresse e-mail, de l’adresse postale, du numéro de téléphone, ainsi que des informations de localisation et informatiques : adresses IP, données d’utilisation, données de cookies, données de navigation en ligne, données de localisation, données du navigateur) et
      2. Toutes autres données personnelles que vous choisissez d’inclure dans votre instance des Produits pour que les Personnes Concernées les saisissent, notamment les Données Sensibles pour lesquelles vous avez obtenu le consentement explicite d’une Personne Concernée pour le traitement de ces Données Sensibles aux fins prévues et sous réserve de la Clause 1.4 de ce DPA, Données Sensibles.
    7. Opérations de traitement : Les Données Personnelles du Client seront traitées conformément à l’Accord (y compris ce DPA) et peuvent faire l’objet des activités de traitement suivantes : stockage et tout autre traitement nécessaire pour fournir, maintenir et améliorer les Produits et Produits Professionnels fournis au Client en vertu de l’Accord ; et/ou divulgations conformément à ce DPA et/ou lorsqu’elles sont requises par la loi applicable.

Annexe B

Mesures Techniques et Organisationnelles

SIS doit :

Fournir un niveau approprié de mesures techniques et organisationnelles, y compris les contrôles de sécurité et de conformité pertinents, adaptés aux catégories ou à la nature des Données du Client, selon ce qui est nécessaire pour se protéger contre les dommages potentiels résultant d’une violation de données, y compris, mais sans s’y limiter :

1. Contrôles de Gouvernance, de Risque et de Conformité

  • Gouvernance  - SIS maintient un programme de gouvernance, de risque et de conformité, qui constitue un ensemble de processus, pratiques, mesures, politiques et procédures afin d’opérer conformément aux lois, règlements et normes sectorielles applicables ;
  • Risque : SIS gère des cadres de gestion des risques qui identifient et maîtrisent les risques liés à la technologie, à l’organisation et aux systèmes de traitement des données ;
  • Conformité  - SIS maintient des processus et pratiques de sécurité, de confidentialité, de protection des données et de conformité, et réalise des évaluations et audits qui examinent nos contrôles avec la direction et la protection des données des clients ;
  • Cadres  - SIS maintient des cadres, contrôles et critères pour la confidentialité mondiale, la protection des données, la sécurité de l’information et les lois et réglementations applicables ;
  • Certifications et Attestations  - SIS détient une certification accréditée ISO 27001 pour son Système de Gestion de la Sécurité de l’Information et possède séparément des Rapports d’Attestation SOC 2 Type II + CCPA + GDPR pour des catégories de produits complexes supplémentaires et applicables, attestant de la conformité à des normes strictes de sécurité et de conformité.

Produits Sign In Solutions :

Enterprise Visitor Management; Compliance; Workspace

 Rapport d’Attestation SOC2 Type II (C.4 : Confidentialité, Sécurité, Disponibilité, Confidentialité)

Rapport d’Attestation SOC2 Type II : US CCPA + EU RGPD

Certification Accréditée ISO27001 ISMS

Produits Sign In App :

App Visitor Management and SwipedOn

 Rapport d’Attestation SOC2 Type II (C.1 : uniquement Sécurité)

Certification Accréditée ISO27001 ISMS

SSous-Produits Sign In App :

Scheduling; Central Record

 Certification Accréditée ISO27001 ISMS

2. Contrôles de Sécurité des Données

  • Politiques Techniques et Organisationnelles  - SIS dispose de politiques et de processus pour la classification, la gestion, l’accès, l’utilisation et la destruction des données ;
  • Chiffrement  - SIS chiffre les données en transit, au repos et en stockage en utilisant des outils et méthodes de chiffrement conformes aux standards de l’industrie ;
  • Clés de Chiffrement  - SIS protège la sécurité et la confidentialité de toutes les clés de chiffrement associées aux Données du Client chiffrées ;
  • Contrôles d’Accès Basés sur les Rôles  - SIS applique la méthode du moindre privilège, qui limite l’accès des utilisateurs aux seules personnes autorisées ;
  • Réponse aux Incidents, Continuité des Activités et Reprise après Sinistre  - SIS dispose d’un plan de réponse aux incidents pour gérer et signaler les incidents de sécurité impliquant des données personnelles. La continuité des activités est assurée grâce à des sauvegardes régulières et sécurisées des données pour garantir leur intégrité. Les plans de reprise après sinistre permettent une restauration opérationnelle rapide après des perturbations, avec des tests périodiques pour maintenir la préparation et la conformité.

3. Contrôles de Cybersécurité

  • Contrôle d’Accès et Vérification d’Identité  - L’accès aux actifs et ressources de SIS est contrôlé par l’application de protocoles de vérification d’identité, des contrôles d’accès à plusieurs niveaux, des mesures d’authentification adaptative et des processus de gestion des sessions.
  • Renforcement des Applications et Référentiels de Sécurité  - SIS applique des techniques de renforcement des applications pour renforcer la sécurité de sa plateforme, y compris la désactivation des services non essentiels, la mise en œuvre de configurations sécurisées et le respect de référentiels de sécurité conformes aux normes de cybersécurité établies dans l’industrie ;
  • Renseignement sur les Menaces et Réponse  - SIS atténue les risques dans les environnements contrôlés grâce à des mécanismes continus de renseignement sur les menaces et de réponse, incluant la détection continue d’indicateurs de compromission, l’exécution de mesures d’isolation et la collaboration avec des réseaux de renseignement sur les menaces, renforçant ainsi une posture de sécurité résiliente et durable ;
  • Évaluation Continue de la Sécurité et Tests de Pénétration  - SIS effectue régulièrement, et selon les besoins, des évaluations de sécurité et des tests de pénétration pour identifier et corriger de manière proactive les vulnérabilités dans les systèmes de contrôle.

4. Contrôles de Sécurité de l’Infrastructure

  • Surveillance - SIS maintient des systèmes de surveillance de la sécurité, incluant, mais sans s’y limiter, la détection et la prévention des intrusions, la surveillance du trafic et la surveillance de l’intégrité des fichiers ;
  • Gestion des Vulnérabilités et des Correctifs - SIS dispose d’une politique et d’un processus définis qui établissent les exigences pour l’évaluation et la gestion des vulnérabilités. Des analyses régulières de vulnérabilités sont effectuées et les correctifs sont déployés en temps opportun en fonction de la criticité des vulnérabilités ;
  • Pratiques d’Intégration Continue/Déploiement Continu (CI/CD) - SIS intègre des contrôles de sécurité dans le pipeline CI/CD pour permettre un déploiement sécurisé du code. Cela inclut l’analyse automatisée du code, la vérification des dépendances et les tests de sécurité à chaque étape du processus CI/CD, favorisant une infrastructure sécurisée et résiliente.

5. Contrôles de Sécurité des Applications

  • Cycle de Vie du Développement Logiciel Sécurisé (S-SDLC) - SIS adhère à un cycle de développement sécurisé (S-SDLC) qui inclut les pratiques de codage sécurisé, les revues de code et les tests de sécurité continus. Les développeurs sont formés aux normes de codage sécurisé et le code des applications est analysé pour détecter les vulnérabilités tout au long du développement afin de traiter de manière proactive les risques potentiels ;
  • Processus Contrôlés de Configuration et de Déploiement - SIS applique des contrôles stricts sur les processus de configuration et de déploiement. Un environnement avec contrôle de version est utilisé pour les modifications traçables, avec approbations requises pour le déploiement en production. Des revues régulières de configuration sont effectuées pour prévenir les erreurs de configuration pouvant affecter la sécurité des applications ;
  • Surveillance Continue des Applications - SIS utilise des outils spécialisés pour la surveillance au niveau des applications, en suivant les interactions système, les schémas d’accès inhabituels et les écarts par rapport aux comportements attendus des applications ;
  • Gestion des Risques des Bibliothèques et Composants - SIS examine régulièrement la sécurité des bibliothèques sécurisées et des composants sources intégrés à l’application. Des évaluations de sécurité des dépendances sont effectuées avant la mise en œuvre, et des mises à jour régulières sont appliquées pour atténuer les risques de vulnérabilités provenant de sources externes.

6. Contrôles de Sécurité du Réseau

  • Points d’Accès - SIS maintient l’authentification et la supervision des droits d’accès au réseau et applique des politiques techniques pour prévenir toute menace interne ou externe liée à l’accès ;
  • Gestion du Réseau des Rôles et Responsabilités - définit les groupes autorisés, les rôles et les responsabilités pour la gestion des composants réseau ;
  • Événements Système, Événements de Sécurité et Pare-feu - SIS enregistre automatiquement les événements système et de sécurité, examine les journaux de façon périodique, et les problèmes identifiés sont investigués et résolus en temps utile.

Annexe C

Clauses Contractuelles Standard

Les parties conviennent que les données personnelles transférées entre elles et par elles vers des pays tiers seront soumises aux Clauses Contractuelles Standard dans la mesure applicable et tel que précisé dans le DPA.

  1. Les parties reconnaissent l’importance de la protection des données personnelles et les restrictions légales concernant les transferts internationaux de ces données vers des Pays tiers.
  2. En conséquence, les parties s’engagent à respecter le RGPD, le UK DPA 2018 et le DPA suisse, ainsi que les autres lois sur la protection de la vie privée applicables reconnaissant les Clauses Contractuelles Standard ou des principes similaires, le cas échéant, et concluent ces clauses contractuelles standard afin de garantir que les transferts de données personnelles vers des pays tiers sont légaux et soumis à des protections adéquates des données. Dans la mesure où un transfert de données personnelles est soumis à l’article 3(2) du RGPD, la présente Annexe C ne s’applique pas.
  1. CLARIFICATION DES DÉFINITIONS ET TERMES
    1. Les termes « responsable du traitement » ou « contrôleur », « exportateur de données », « importateur de données », « processeur de données » et « données personnelles » auront le sens défini par le RGPD, le UK DPA 2018, le DPA suisse ou toute autre loi applicable sur la protection de la vie privée, selon le cas.
    2. Pour les transferts de données personnelles vers des pays tiers provenant de l’extérieur de l’UE, les références au Règlement général sur la protection des données seront remplacées par la loi applicable sur la protection de la vie privée et les références à « UE », « Union » ou « État membre » seront remplacées par la région d’origine applicable.
    3. Section 1 Clause 1 (a) des Clauses Contractuelles Standard (Définition de l’Importateur de Données) : L’« importateur de données » désigne SIS.
    4. Section 1 Clause 1 (a) des Clauses Contractuelles Standard (Définition de l’Exportateur de Données) : L’« exportateur de données » désigne le Client.
    5. En ce qui concerne les objections aux sous-traitants en vertu de la Section 1 Clause 9, le processus énoncé dans la Section 4 de ce DPA s’appliquera.
  2. MODULES APPLICABLES

    En ce qui concerne le traitement des données personnelles applicables :
    1. Lorsque le Client est Exportateur de Données et Responsable du Traitement, et que SIS est Importateur de Données et Responsable du Traitement – le Module 1 s’applique.
    2. Lorsque le Client est Exportateur de Données et Responsable du Traitement, et que SIS est Importateur de Données et Processeur – le Module 2 s’applique.
    3. Lorsque le Client est Exportateur de Données et Processeur, et que SIS est Importateur de Données et Sous-traitant – le Module 3 s’applique.
    4. Les références au Module 4 dans les Clauses Contractuelles Standard ne s’appliquent pas et le texte faisant référence à ce module ne doit pas être considéré comme faisant partie de ce DPA.
  3. MODIFICATIONS OU MISES À JOUR

    Dans la mesure où des garanties supplémentaires appropriées, en vertu des lois applicables sur la protection de la vie privée reconnaissant les Clauses Contractuelles Standard ou des principes similaires, sont nécessaires pour exporter des données vers un pays tiers, ou dans la mesure où les Clauses Contractuelles Standard sont remplacées, substituées ou non reconnues par une telle loi, les parties conviennent soit de les mettre en œuvre rapidement, soit de convenir d’une autre méthode de transfert acceptable pour ces données et de modifier rapidement la présente Annexe C si nécessaire afin de se conformer à ces exigences.

  4. CONFLITS

    Si les termes de l’Accord ou du DPA sont en conflit avec les Clauses Contractuelles Standard, les termes des Clauses Contractuelles Standard prévaudront.

  5. CLAUSES CONTRACTUELLES STANDARD
    1. Les Clauses Contractuelles Standard seront réputées incorporées dans ce DPA et s’appliqueront telles que complétées ci-dessous :
    2. Dans la Clause 7, la « Clause de Raccordement (Optionnelle) » sera réputée incorporée.
    3. Dans la Clause 9, l’Option 2 est sélectionnée, et le délai de préavis pour l’ajout ou le remplacement de sous-traitants sera tel qu’indiqué dans le DPA.
    4. Dans la Clause 11, le texte optionnel ne s’appliquera pas.
    5. Dans la Clause 13, l’autorité de contrôle compétente sera la Commission irlandaise de protection des données lorsque les SCCs de l’UE s’appliquent, le FDPIC lorsque la loi suisse sur la protection des données s’applique, et le Commissaire à l’information du Royaume-Uni lorsque le UK Transfer Addendum s’applique.
    6. Dans la Clause 17, l’Option 2 est sélectionnée, et les Clauses Contractuelles Standard seront régies par le droit irlandais lorsque les SCCs de l’UE s’appliquent, par le droit suisse lorsque la loi suisse sur la protection des données s’applique, et par le droit d’Angleterre et du Pays de Galles lorsque le UK Transfer Addendum s’applique.
    7. Dans la Clause 18(b), les litiges seront résolus devant les tribunaux d’Irlande lorsque les SCCs de l’UE s’appliquent, devant les tribunaux de Suisse lorsque la loi suisse sur la protection des données s’applique, et devant les tribunaux d’Angleterre et du Pays de Galles lorsque le UK Transfer Addendum s’applique.
    8. Les Annexes I et II des SCCs sont telles que présentées dans les Annexes A et B de ce DPA ; et l’Annexe III est telle que définie dans la section Sous-traitant.
    9. Aux fins du UK Transfer Addendum, les Clauses Contractuelles Standard seront interprétées conformément à la Partie 2 du UK Transfer Addendum ; les Sections 9 à 11 du UK Transfer Addendum prévaudront sur la Clause 5 des SCCs de l’UE et à la fois « l’Importateur » et « l’Exportateur » pourront mettre fin au UK Transfer Addendum comme indiqué à la Section 19 du UK Transfer Addendum.

En concluant le DPA, les Parties sont réputées signer les Clauses Contractuelles Standard applicables.

Annexe D

Liste des sociétés affiliées

Sign In App Ltd, une société constituée conformément aux lois de l’Angleterre, ayant son siège social au 4 Waterside Way, Northampton, Angleterre, NN4 7XD, avec le numéro d’enregistrement de la société : 08516772
Sign In App SL, une société constituée conformément aux lois de l’Espagne, ayant son siège social au PS De La Castellana 40, 8, 28046 Madrid, Espagne, avec NIF : B02651354
Sign In App Inc., une société constituée dans le Delaware, ayant son siège social au 16192 Coastal Highway, Lewes, Delaware 19958-9776
Sign In Solutions Inc., une société constituée dans le Delaware, ayant son bureau au 150 2nd Ave N, ste 1540, St. Petersburg, FL 33701
Sign In Enterprise Inc., une société constituée conformément aux lois de la Colombie-Britannique, ayant son bureau au 150 2nd Ave N, ste 1540, St. Petersburg, FL 33701, et sa filiale entièrement détenue, Traction Guest Corp.
Sign In Compliance Inc., une société constituée dans le Delaware, ayant son bureau au 150 2nd Ave N, ste 1540, St. Petersburg, FL 33701
Sign In Workspace ApS, une société constituée conformément aux lois du Danemark, ayant son bureau au Firskovvej 18a, 2800 Lyngby, Danemark
SwipedOn Ltd, une société constituée conformément aux lois de Nouvelle-Zélande, ayant son siège social au 1/115 The Strand, Tauranga 3110, Nouvelle-Zélande, avec le numéro d’enregistrement de la société : 655878

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Annexe UK R au DPA

Cette annexe RGPD et UK RGPD (la « RGPD et Annexe UK ») complète le DPA ou l’Accord entre les Parties régissant le traitement des Données Personnelles. Cette annexe RGPD et UK s’applique lorsque le GDPR ou le UK RGPD s’applique à l’interaction des Logiciels et Services de SIS avec les Données Personnelles concernées. Sauf définition contraire dans cette annexe RGPD et UK, tous les termes en majuscules sont définis dans le DPA ou l’Accord.

  1. Contrôles de traitement. L’adresse e-mail relative à la vie privée de SIS, privacy@signinsolutions.com, peut être utilisée pour aider les Parties à remplir leurs obligations au titre du RGPD, y compris les obligations de répondre aux demandes des personnes concernées. Compte tenu de la nature des interactions impliquant le Logiciel et les Services, les Parties conviennent qu’il est peu probable qu’un Sous-traitant ou un sous-traitant secondaire prenne connaissance du fait que les Données Personnelles transférées dans le cadre d’un Mécanisme de Transfert sont inexactes ou obsolètes. Néanmoins, si un Sous-traitant ou un sous-traitant secondaire constate que des Données Personnelles transférées dans le cadre d’un Mécanisme de Transfert sont inexactes ou obsolètes, il en informera le Responsable du traitement sans délai excessif. Le Sous-traitant coopérera avec le Responsable du traitement pour effacer ou rectifier les Données Personnelles inexactes ou obsolètes transférées via le Mécanisme de Transfert, par exemple en répondant aux demandes appropriées reçues via les formulaires web relatifs à la vie privée.
  2. Finalité spécifiée. Bien que le Logiciel et les Services ne sollicitent ni n’exigent spécifiquement des catégories particulières de Données Personnelles, le Responsable du traitement déclare avoir obtenu le consentement nécessaire et explicite pour le traitement des catégories particulières de Données Personnelles, aux fins spécifiées suivantes : (i) le traitement nécessaire pour remplir ses obligations en vertu du Contrat ; et (ii) le traitement nécessaire pour se conformer à toute autre instruction raisonnable fournie par le Responsable du traitement (par exemple, par e-mail ou via des tickets de support) et compatible avec les termes du Contrat, ainsi que pour tout autre service décrit dans un Contrat conclu entre les Parties de temps à autre.
  3. Instructions du Responsable du traitement. Les Parties conviennent que le DPA et le Contrat constituent les instructions documentées du Responsable du traitement concernant le traitement des Données Personnelles (« Instructions Documentées »). Toute instruction supplémentaire en dehors du cadre des Instructions Documentées (le cas échéant) nécessite un accord écrit préalable entre les Parties, y compris un accord sur les éventuels frais supplémentaires pour l’exécution de ces instructions. Compte tenu de la nature du traitement, les Parties conviennent qu’il est peu probable qu’un Sous-traitant ou un sous-traitant secondaire puisse se prononcer sur le fait que les Instructions Documentées enfreignent le RGPD ou le RGPD britannique. Si le Sous-traitant ou sous-traitant secondaire se forme une telle opinion, il en informera le Responsable du traitement, auquel cas ce dernier est en droit de retirer ou de modifier ses Instructions Documentées.

CCPA Addendum (“Conditions CCPA ”)

Ces Conditions CCPA de SIS (« Conditions CCPA ») complètent le DPA et tout autre Contrat entre les Parties lorsque le California Consumer Privacy Act de 2018 (« CCPA ») ou le California Privacy Rights Act de 2020 (« CPRA ») s’applique à l’accès, à l’utilisation ou à tout autre traitement des Informations Personnelles (telles que définies et appliquées dans le CCPA ou le CPRA) par les Parties. Sauf définition contraire dans les présentes Conditions CCPA, tous les termes en majuscules sont définis par le DPA ou l'Accord.

Les Parties conviennent et certifient chacune, en ce qui concerne toute Information Personnelle qu’elle reçoit de l’autre Partie dans des circonstances où la Partie réceptrice agit en tant que Fournisseur de Services, et qui n’est pas déjà en possession de cette Partie réceptrice, qu’elle agira en tant que Fournisseur de Services et qu’elle ne devra pas : (a) conserver, utiliser ou divulguer des Informations Personnelles sauf dans la mesure permise par un accord entre les Parties et en vertu du CCPA ou du CPRA, ou (b) vendre ou partager des Informations Personnelles.

Les présentes Conditions CCPA ne limitent ni ne réduisent aucun autre engagement en matière de confidentialité des données que l’une ou l’autre des Parties pourrait avoir en vertu d’un accord entre les Parties.

 

Dernière mise à jour : 23 août 2025.
Jason Mordeno, Global Privacy and Data Protection Officer