Annexe de Traitement des Données 2019

Cette Annexe sur le Traitement des Données (DPA) s'applique à tout traitement de données personnelles sur les utilisateurs finaux que vous (Client) fournissez à MessageBird B.V. (MessageBird) via les services de MessageBird tels que définis séparément dans un accord séparé (Services). Ce DPA s'applique en plus des Conditions Générales de MessageBird ou de l'Accord de Service Principal, selon celui qui est applicable (Accord) au Client et à MessageBird (ensemble : les Parties). En cas de conflit ou d'incohérence entre les dispositions de l'Accord et ce DPA, le DPA prévaudra.

Les termes tels que « données personnelles », « traitement », « responsable du traitement », « sous-traitant », « violation de données personnelles », etc., auront le sens qui leur est attribué par la législation applicable en matière de protection des données (Législation sur la Protection des Données), sauf pour la définition de (sous-)traitant qui exclut explicitement les opérateurs de télécommunications et autres fournisseurs de services télécom qui sont jugés nécessaires pour le fonctionnement des Services, mais, en raison du fait que ces parties agissent comme un simple relais ou en tant que responsable de traitement indépendant, ne relèvent pas de la définition de sous-traitant telle que définie dans la Législation sur la Protection des Données.

Le Client et MessageBird reconnaissent et comprennent tous deux qu'en ce qui concerne le traitement des données personnelles des utilisateurs finaux (« personne concernée ») que le Client fournit à MessageBird sur la base des Services, MessageBird est le sous-traitant.

1. Le Client instruit par les présentes MessageBird de traiter les données personnelles des personnes concernées dans la mesure nécessaire à l'exécution des Services en vertu de l'Accord.

1. MessageBird doit, en ce qui concerne toute donnée personnelle traitée en relation avec les Services :

   1. traiter les données personnelles uniquement sur instructions documentées du Client, sauf si la législation de tout membre de l'Union européenne ou les lois de l'Union européenne applicables à MessageBird exigent autrement de traiter les données personnelles ;

   2. ne fournir du personnel avec un accès « besoin de savoir » aux données personnelles et s'assurer que tout ce personnel ayant accès ou traitant des données personnelles est soumis à une obligation légale de garder les données personnelles confidentielles ;

   3. prendre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l'altération ou la divulgation accidentels. Ces mesures doivent être appropriées au niveau de risque présenté par le traitement (en tenant compte de la nature des données personnelles) et du dommage qui pourrait résulter d'une violation de données personnelles affectant les données personnelles ;

   4. fournir au Client toute l'assistance raisonnablement demandée par le Client afin de permettre au Client de se conformer aux obligations du Client en vertu de la Législation sur la Protection des Données, y compris la notification des violations de données personnelles, la sécurité du traitement et assister le Client dans l'exécution de toute évaluation d'impact sur la protection des données pertinente ;

   5. fournir une assistance raisonnable au Client afin de permettre au Client de se conformer à ses obligations envers les personnes concernées qui exercent leurs droits en vertu de la Législation sur la Protection des Données. MessageBird mettra à disposition des mesures techniques et organisationnelles pour permettre au Client de remplir ces obligations via le compte du Client ou l'API dédiée. Le Client reconnaît et accepte par les présentes que les demandes envoyées par le Client par e-mail ne sont pas considérées comme un moyen valide pour exercer ses droits et que ces demandes ne seront pas traitées par MessageBird. Pour éviter tout doute, le Client en tant que responsable du traitement est responsable du traitement de toute demande ou plainte des personnes concernées concernant les données personnelles des personnes concernées ;

   6. à la discrétion du Client, supprimer ou renvoyer les données personnelles et leurs copies au Client à la résiliation de l'accord du Client avec MessageBird, sauf si des lois impératives applicables l'exigent autrement ;

   7. maintenir les registres requis en vertu de la Législation sur la Protection des Données des activités de traitement effectuées en vertu de l'Accord et de ce DPA ;

   8. au moins tous les deux ans, auditer la sécurité et les activités de traitement des données personnelles de MessageBird, et fournir au Client (sur une base confidentielle), sur sa demande écrite, un résumé ou une description des résultats de cet audit. Un résumé d'un rapport d'audit ISO 27001:2013 sera considéré comme satisfaisant la demande du Client. Pour éviter tout doute, l'audit peut être soit un audit interne, soit un audit effectué par un tiers, cette décision étant cependant à la seule discrétion de MessageBird ;

   9. si le résumé ou la description des résultats de l'audit fourni par MessageBird au Client conformément au paragraphe 2(h) de ce DPA donne au Client des raisons sérieuses de croire que MessageBird ne respecte pas ses obligations en vertu de ce DPA concernant les données personnelles fournies par le Client, permettre à un tiers indépendant et qualifié nommé par le Client et approuvé par MessageBird, d'auditer les activités de traitement des données personnelles applicables de MessageBird, à condition que les termes de la Clause 3 de cette Annexe soient respectés ; et,

   10. notifier le Client dès que raisonnablement possible si MessageBird reçoit un avis ou une communication d'un organisme gouvernemental ou réglementaire qui se rapporte directement au traitement des données personnelles, comme instruit et fourni par le Client, par MessageBird ou ses (sous-)traitants, sauf si cet avis ou cette communication est interdit par la loi.

1. Le Client doit :

   1. notifier MessageBird au moins deux (2) mois avant d'exercer le droit d'audit du Client en vertu du paragraphe 2(i) de ce DPA ;

   2. s'assurer que tout audit ne perturbe pas de manière déraisonnable les opérations commerciales de MessageBird ; et,

   3. supporter et payer tous les coûts de cet audit.

1. Si le Client agit en tant que responsable du traitement, le Client garantit que toutes les activités de traitement sont légales, ont un but spécifique et que tous les avis et consentements requis ou autrement une base légale appropriée sont en place pour permettre le transfert légal de données personnelles. Si le Client est un sous-traitant (auquel cas MessageBird sera un sous-sous-traitant), le Client s'assure que le responsable du traitement pertinent garantit que les conditions énumérées dans cette clause sont respectées.

1. Étant donné la nature des Services, l'utilisation des Services par le Client et les utilisateurs finaux du Client peuvent nécessiter le transfert de données personnelles en dehors de l'EEE ; lorsque l'exécution des Services implique un transfert de données personnelles vers des (sous-)traitants en dehors de l'EEE, le Client donne par les présentes un mandat à MessageBird pour la durée de tous les accords en place entre le Client et MessageBird pour conclure des Clauses Contractuelles Types de l'UE avec des (sous-)traitants en dehors de l'EEE pour le compte du Client, si aucun autre mécanisme de transfert approprié en vertu de la Législation sur la Protection des Données ne s'applique.

1. Par la présente Clause, le Client donne à MessageBird une autorisation écrite générale pour l'engagement de tout autre tiers en tant que nouveaux (sous-)traitants pour le traitement des données personnelles, sous réserve des termes de cette Annexe. MessageBird ne s'engagera avec aucun (sous-)traiteur dans le traitement des données personnelles en vertu de cet Accord sans informer au préalable le Client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au Client la possibilité de s'opposer à ces changements. 

1. Le Client peut s'opposer à tout nouveau (sous-)traitant uniquement sur la base de motifs raisonnables liés à la protection des données en résiliant l'Accord et cette Annexe. Ce droit de résiliation est le seul et unique recours du Client si le Client s'oppose à un tel nouveau (sous-)traitant.

1. Le Client accepte spécifiquement l'engagement des entités listées sur https://www.messagebird.com/en-gb/legal/privacy#processorList en tant que (sous-)traitants de MessageBird pour le traitement des données personnelles. MessageBird mettra à jour la liste des (sous-)traitants lorsqu'un nouveau (sous-)traitant sera engagé pour le traitement des données personnelles.

1. MessageBird prendra toutes les mesures contractuelles appropriées pour s'assurer que lorsqu'un (sous-)traitant est engagé :

   1. le (sous-)traitant ne traitera les données personnelles que si ce traitement est nécessaire à l'exécution des Services ou d'une partie de ceux-ci ;

   2. les obligations de protection des données offrant une protection similaire à celles de ce DPA doivent être imposées au (sous-)traitant par le biais d'un contrat ou d'un autre acte juridique en vertu de la législation de l'UE ou de l'État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Législation sur la Protection des Données ; et,

   3. MessageBird reste responsable envers le Client en vertu de ce DPA pour l'exécution des obligations de son (sous-)traitant.

1. Détails du traitement :

   1. Objet et finalité du traitement : fourniture des Services de MessageBird au Client.

   2. Catégories de données personnelles : informations sur les utilisateurs finaux que le Client fournit à MessageBird par le biais des Services.

   3. Catégories de personnes concernées : les personnes concernées incluent les clients du Client, les employés, les fournisseurs et toute autre personne physique qui est utilisateur final des services de communication, dont le Client fournit les données personnelles par le biais des Services.

   4. Durée du traitement : les données personnelles seront traitées aussi longtemps que nécessaire pour l'exécution des Services, ou tel que requis par la loi applicable.

1. Cette Annexe sur le Traitement des Données est régie par les lois des Pays-Bas, et les Parties se soumettent à la juridiction exclusive des tribunaux d'Amsterdam pour toutes les fins liées à ce DPA, y compris l'exécution de toute décision ou jugement rendu en vertu ou en rapport avec celui-ci.