Annexe de Traitement des Données 2019

Cette Annexe de Traitement des Données (DPA) s'applique à tout traitement de données personnelles sur les utilisateurs finaux que vous (Client) fournissez à MessageBird B.V. (MessageBird) à travers les services de MessageBird comme défini séparément dans un accord distinct (Services). Cette DPA s’applique en plus des Conditions Générales de MessageBird ou de l'Accord de Service Principal, selon ce qui est applicable (Accord) au Client et à MessageBird (ensemble : les Parties). En cas de conflit ou d'incohérence entre les dispositions de l’Accord et cette DPA, la DPA prévaudra.

Les termes tels que « données personnelles », « traitement », « responsable du traitement », « sous-traitant », « violation de données personnelles » etc. auront le sens qui leur est attribué en vertu de la législation de protection des données applicable (Législation sur la Protection des Données), à l'exception de la définition de (sous-)traitant qui exclut explicitement les opérateurs télécoms et autres fournisseurs de services télécoms jugés nécessaires au fonctionnement des Services, mais qui, en raison du fait que ces parties agissent comme simple conduit ou comme responsable de traitement indépendant, ne relèvent pas de la définition de sous-traitant telle que définie dans la Législation sur la Protection des Données.

Le Client et MessageBird reconnaissent et comprennent tous deux que, en ce qui concerne le traitement des données personnelles des utilisateurs finals (« personne concernée ») que le Client fournit à MessageBird sur la base des Services, MessageBird est le sous-traitant.

1. Le Client autorise par la présente MessageBird à traiter les données personnelles des personnes concernées dans la mesure nécessaire à l'exécution des Services en vertu de l'Accord.

1. MessageBird doit, en ce qui concerne les données personnelles traitées dans le cadre des Services :

   1. traiter les données personnelles uniquement sur les instructions documentées du Client, sauf si les lois de tout membre de l'Union Européenne ou les lois de l'Union Européenne applicables à MessageBird exigent de traiter les données personnelles autrement ;

   2. ne fournir l'accès aux données personnelles qu'au personnel avec une « nécessité de savoir » et s'assurer que tout ce personnel ayant accès aux données personnelles ou les traitant est soumis à une obligation légale de garder les données personnelles confidentielles ;

   3. prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l'altération ou la divulgation accidentels. Ces mesures doivent être appropriées au niveau de risque présenté par le traitement (et compte tenu de la nature des données personnelles) et aux préjudices pouvant résulter d'une violation des données personnelles affectant les données personnelles ;

   4. fournir une assistance raisonnable au Client pour permettre au Client de se conformer aux obligations du Client en vertu de la Législation sur la Protection des Données, y compris la notification des violations de données personnelles, la sécurité du traitement, et assister le Client lors de la réalisation de toute évaluation d'impact de la protection des données pertinente ;

   5. fournir une assistance raisonnable au Client afin de permettre au Client de se conformer à ses obligations envers les personnes concernées qui exercent leurs droits en vertu de la Législation sur la Protection des Données. MessageBird mettra à disposition des mesures techniques et organisationnelles pour permettre au Client de remplir ces obligations via le compte du Client ou l'API dédiée. Le Client reconnaît et accepte par la présente que les demandes envoyées par le Client par e-mail ne sont pas considérées comme un moyen valide d'exercer ses droits et que de telles demandes ne seront pas traitées par MessageBird. Pour éviter tout doute, le Client en tant que responsable du traitement est responsable de traiter toute demande ou plainte des personnes concernées concernant les données personnelles des personnes concernées ;

   6. selon le choix du Client, supprimer ou retourner les données personnelles et leurs copies au Client à la résiliation de l'accord du Client avec MessageBird, sauf si la loi applicable obligatoire l'exige autrement ;

   7. maintenir des enregistrements requis en vertu de la Législation sur la Protection des Données des activités de traitement effectuées en vertu de l'Accord et cette DPA ;

   8. au moins tous les deux ans, auditer la sécurité et les activités de traitement des données personnelles de MessageBird, et fournir au Client (sur une base confidentielle), sur sa demande écrite, un résumé ou une description des résultats de cet audit. Un résumé d'un rapport d'audit ISO 27001:2013 sera considéré comme répondant à la demande du Client. Pour éviter toute ambiguïté, l'audit peut être soit un audit interne, soit un audit effectué par un tiers, décision qui sera toutefois à la seule discrétion de MessageBird ;

   9. si le résumé ou la description des résultats de l'audit fournis par MessageBird au Client conformément au paragraphe 2(h) de cette DPA donne au Client des raisons fondées de croire que MessageBird viole ses obligations en vertu de cette DPA liée aux données personnelles fournies par le Client, permettre à un tiers indépendant et qualifié nommé par le Client et approuvé par MessageBird, d'auditer les activités de traitement des données personnelles applicables de MessageBird, à condition que les termes de la Clause 3 de cette Annexe soient respectés ; et,

   10. notifier le Client dès que raisonnablement possible si MessageBird reçoit un avis ou une communication d'un organe gouvernemental ou réglementaire qui se rapporte directement au traitement de données personnelles, comme instruit et fourni par le Client, par MessageBird ou ses (sous-)traitants, sauf si un tel avis ou une communication est interdit par la loi.

1. Le Client doit :

   1. notifier MessageBird au moins deux (2) mois avant d'exercer le droit d'audit du Client en vertu du paragraphe 2(i) de cette DPA ;

   2. s'assurer que tout audit ne perturbe pas de manière déraisonnable les opérations commerciales de MessageBird ; et,

   3. assumer et payer tous les coûts d'un tel audit.

1. Si le Client agit en tant que responsable du traitement des données, le Client garantit que toutes les activités de traitement sont légales, ont un but spécifique, et que tout avis et consentement requis ou autre base légale appropriée sont en place pour permettre le transfert légal de données personnelles. Si le Client est un sous-traitant (auquel cas MessageBird sera un sous-traitant), le Client s'assure que le responsable du traitement des données concerné garantit que les conditions énumérées dans cette clause sont respectées.

1. Étant donné la nature des Services, l'utilisation des Services par le Client et les utilisateurs finaux du Client peut nécessiter le transfert de données personnelles en dehors de l'EEE ; lorsque l'exécution des Services implique un transfert de données personnelles vers des (sous-)traitants en dehors de l'EEE, le Client donne par la présente à MessageBird un mandat pour la durée de tous les accords en place entre le Client et MessageBird d'entrer dans des Clauses Contractuelles Types de l'UE avec des (sous-)traitants en dehors de l'EEE au nom du Client, si aucun autre mécanisme de transfert approprié en vertu de la Législation sur la Protection des Données ne s'applique.

1. Par cette Clause, le Client donne à MessageBird une autorisation écrite générale pour l'engagement de tout autre tiers en tant que nouveaux (sous-)traitants pour le traitement de données personnelles, sous réserve des termes de cette Annexe. MessageBird n'engagera aucun (sous-)traitant dans le traitement de données personnelles en vertu de cet Accord sans en informer préalablement le Client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi au Client l'opportunité de s'opposer à de tels changements. 

1. Le Client peut s'opposer à tout nouveau (sous-)traitant uniquement sur la base de motifs raisonnables liés à la protection des données en résiliant l'Accord et cette Annexe. Ce droit de résiliation est le seul et unique recours du Client s'il s'oppose à tout nouveau (sous-)traitant.

1. Le Client accepte spécifiquement l'engagement des entités listées sur https://www.messagebird.com/en-gb/legal/privacy#processorList en tant que (sous-)traitants de MessageBird pour le traitement de données personnelles. MessageBird mettra à jour la liste des (sous-)traitants lorsqu'un nouveau (sous-)traitant pour le traitement des données personnelles sera engagé.

1. MessageBird prendra toutes les mesures contractuelles disponibles et appropriées pour s'assurer que lorsqu'un (sous-)traitant est engagé :

   1. le (sous-)traitant ne traitera les données personnelles que si un tel traitement est nécessaire à l'exécution des Services ou d'une partie de ceux-ci ;

   2. des obligations de protection des données offrant une protection similaire à celles de cette DPA devront être imposées au (sous-)traitant par voie de contrat ou autre acte juridique en vertu du droit de l'UE ou de l'État Membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Législation sur la Protection des Données ; et,

   3. MessageBird reste responsable envers le Client en vertu de cette DPA de la performance des obligations de son (sous-)traitant.

1. Détails du traitement :

   1. Objet et finalité du traitement : fourniture des Services de MessageBird au Client.

   2. Catégories de données personnelles : informations sur les utilisateurs finaux que le Client fournit à MessageBird à travers les Services.

   3. Catégories de personnes concernées : les personnes concernées incluent les clients du Client, les employés, les fournisseurs et toute autre personne physique qui est l'utilisateur final des services de communication, dont le Client fournit des données personnelles via les Services.

   4. Durée du traitement : les données personnelles seront traitées aussi longtemps que nécessaire pour l'exécution des Services, ou tel que requis par la loi applicable.

1. Cette Annexe de Traitement des Données est régie par les lois des Pays-Bas, et les Parties se soumettent à la juridiction exclusive des tribunaux d'Amsterdam pour toutes les fins liées à cette DPA, y compris l'exécution de toute décision ou jugement rendu en vertu ou en relation avec elle.