Annexe de Traitement des Données 2019

Cette annexe de traitement des données (DPA) s'applique à tout traitement de données personnelles sur les utilisateurs finaux que vous (Customer) fournissez à MessageBird B.V. (MessageBird) par l'intermédiaire des services de MessageBird tels que définis séparément dans un accord séparé (Services). Ce DPA s'applique en plus des conditions générales de MessageBird ou de l'accord de service principal, selon ce qui est applicable (Agreement) à Customer et MessageBird (ensemble : les Parties). En cas de conflit ou d'incohérence entre les dispositions de l'Agreement et de ce DPA, ce dernier prévaudra.

Les termes tels que « données personnelles », « traitement », « responsable du traitement », « sous-traitant », « violation de données personnelles », etc. auront la signification qui leur est attribuée par la législation applicable en matière de protection des données (Législation sur la protection des données), sauf pour la définition de (sous-)traitant qui exclut explicitement les opérateurs télécoms et autres fournisseurs de services télécoms qui sont jugés nécessaires pour l'exploitation des Services, mais, du fait que ces parties agissent comme de simples intermédiaires ou comme des responsables de traitement indépendants, ne relèvent pas de la définition de sous-traitant telle que déclarée dans la législation sur la protection des données.

Customer et MessageBird reconnaissent et comprennent tous deux qu'en ce qui concerne le traitement des données personnelles des utilisateurs finaux (« personne concernée ») que Customer fournit à MessageBird sur la base des Services, MessageBird est le sous-traitant.

1. Customer demande par la présente à MessageBird de traiter les données personnelles des personnes concernées dans la mesure requise pour l'exécution des Services au titre de l'Agreement.

2. MessageBird doit, en ce qui concerne toute donnée personnelle traitée dans le cadre des Services :

   1. traiter les données personnelles uniquement sur les instructions documentées de Customer, sauf si la législation de tout membre de l'Union européenne ou de l'Union européenne applicable à MessageBird exige de traiter les données personnelles autrement ;

   2. fournir uniquement au personnel ayant besoin de connaître l'accès aux données personnelles et s'assurer que tout ce personnel ayant accès ou traitant les données personnelles est soumis à une obligation légale de garder les données personnelles confidentielles ;

   3. prendre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre le traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, la modification ou la divulgation accidentels. Ces mesures doivent être appropriées au niveau de risque présenté par le traitement (et compte tenu de la nature des données personnelles) et du préjudice qui pourrait résulter d'une violation des données personnelles affectant les données personnelles ;

   4. fournir à Customer toute l'assistance raisonnablement demandée par Customer afin de permettre à Customer de se conformer aux obligations de Customer en vertu de la législation sur la protection des données, y compris la notification des violations de données personnelles, la sécurité du traitement et l'assistance à Customer pour la réalisation de toute analyse d'impact sur la protection des données pertinente ;

   5. fournir à Customer une assistance raisonnable afin de permettre à Customer de se conformer à ses obligations envers les personnes concernées qui exercent leurs droits en vertu de la législation sur la protection des données. MessageBird mettra à disposition des mesures techniques et organisationnelles permettant à Customer de remplir ces obligations via le compte de Customer ou l'API dédiée. Customer reconnaît et accepte par la présente que les demandes envoyées par Customer par e-mail ne sont pas considérées comme un moyen valide d'exercer ses droits et que ces demandes ne seront pas traitées par MessageBird. Pour éviter toute ambiguïté, Customer en tant que responsable du traitement est responsable du traitement de toute demande ou plainte des personnes concernées concernant les données personnelles des personnes concernées ;

   6. au choix de Customer, supprimer ou retourner les données personnelles et les copies de celles-ci à Customer à la résiliation de l'accord de Customer avec MessageBird, sauf si la législation applicable obligatoire en dispose autrement ;

   7. maintenir les enregistrements requis par la législation sur la protection des données des activités de traitement effectuées en vertu de l'Agreement et de ce DPA ;

   8. au moins tous les deux ans, auditer la sécurité et les activités de traitement des données personnelles de MessageBird, et fournir à Customer (sur une base confidentielle), sur demande écrite de celui-ci, un résumé ou une description des résultats de cet audit. Un résumé d'un rapport d'audit ISO 27001:2013 sera considéré comme satisfaisant la demande de Customer. Pour éviter toute ambiguïté, l'audit peut être soit un audit interne, soit un audit effectué par un tiers, cette décision étant cependant à la seule discrétion de MessageBird ;

   9. si le résumé ou la description des résultats de l'audit fourni par MessageBird à Customer conformément au paragraphe 2(h) de ce DPA donne à Customer des raisons fondées de croire que MessageBird est en violation de ses obligations en vertu de ce DPA relatives aux données personnelles fournies par Customer, permettre à un tiers indépendant et qualifié nommé par Customer et approuvé par MessageBird d'auditer les activités de traitement des données personnelles applicables de MessageBird, à condition que les termes de la clause 3 de cette annexe soient respectés ; et,

   10. notifier Customer aussitôt que raisonnablement possible si MessageBird reçoit un avis ou une communication d'un organisme gouvernemental ou réglementaire qui se rapporte directement au traitement des données personnelles, comme indiqué et fourni par Customer, par MessageBird ou ses (sous-)traitants, à moins que cet avis ou cette communication ne soit interdit par la loi.

3. Customer doit :

   1. notifier MessageBird au moins deux (2) mois avant d'exercer le droit d'audit de Customer en vertu du paragraphe 2(i) de ce DPA ;

   2. s'assurer que tout audit ne perturbe pas déraisonnablement les opérations commerciales de MessageBird ; et,

   3. supporter et payer tous les coûts de cet audit.

4. Si Customer agit en tant que responsable du traitement, Customer garantit que toutes les activités de traitement sont légales, ont un but spécifique et que tous les avis et consentements requis ou autrement une base légale appropriée sont en place pour permettre le transfert légal de données personnelles. Si Customer est un sous-traitant (auquel cas MessageBird sera un sous-traitant), Customer s'assure que le responsable du traitement pertinent garantit que les conditions énumérées dans cette clause sont remplies.

5. Étant donné la nature des Services, l'utilisation des Services par Customer et les utilisateurs finaux de Customer peut nécessiter le transfert de données personnelles en dehors de l'EEE ; lorsque la performance des Services implique un transfert de données personnelles à des (sous-)traitants en dehors de l'EEE, Customer donne par la présente un mandat à MessageBird pour la durée de tous les accords en vigueur entre Customer et MessageBird pour entrer dans des clauses contractuelles types de l'UE avec des (sous-)traitants en dehors de l'EEE au nom de Customer, si aucun autre mécanisme de transfert approprié établi par la législation sur la protection des données ne s'applique.

6. Par la présente clause, Customer donne à MessageBird une autorisation écrite générale pour l'engagement de tout autre tiers en tant que nouveaux (sous-)traitants pour le traitement des données personnelles, sous réserve des termes de cette annexe. MessageBird ne s'engagera avec aucun (sous-)traitant pour le traitement des données personnelles en vertu de cette Agreement sans informer préalablement Customer de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, donnant ainsi l'occasion à Customer de s'opposer à ces changements. 

7. Customer peut s'opposer à tout nouveau (sous-)traitant uniquement sur la base de motifs raisonnables liés à la protection des données en résiliant l'Agreement et cette annexe. Ce droit de résiliation est le seul et exclusif recours de Customer si celui-ci s'oppose à un tel nouveau (sous-)traitant.

8. Customer accepte spécifiquement l'engagement des entités répertoriées sur https://www.messagebird.com/en-gb/legal/privacy#processorList en tant que (sous-)traitants de MessageBird pour le traitement des données personnelles. MessageBird mettra à jour la liste des (sous-)traitants lorsqu'un nouveau (sous-)traitant pour le traitement des données personnelles sera engagé.

9. MessageBird prendra toutes les mesures contractuelles disponibles et appropriées pour garantir qu'un (sous-)traitant est engagé :

   1. le (sous-)traitant ne traitera les données personnelles que si un tel traitement est nécessaire pour l'exécution des Services ou d'une partie de ceux-ci ;

   2. des obligations de protection des données offrant une protection similaire à celles de ce DPA seront imposées au (sous-)traitant par le biais d'un contrat ou d'un autre acte juridique en vertu de la législation de l'UE ou de l'État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement respecte les exigences de la législation sur la protection des données, et ;

   3. MessageBird demeure responsable envers Customer en vertu de ce DPA de l'exécution des obligations de ses (sous-)traitants.

10. Détails du traitement :

    1. Objet et finalité du traitement : fourniture des Services de MessageBird à Customer.

    2. Catégories de données personnelles : informations sur les utilisateurs finaux que Customer fournit à MessageBird par le biais des Services.

    3. Catégories de personnes concernées : les personnes concernées incluent les clients de Customer, les employés, les fournisseurs et toute autre personne physique qui est l'utilisateur final des services de communication, dont Customer fournit les données personnelles par le biais des Services.

    4. Durée du traitement : les données personnelles seront traitées aussi longtemps que nécessaire pour l'exécution des Services, ou comme l'exige la législation applicable.

11. Cette annexe de traitement des données est régie par les lois des Pays-Bas, et les Parties se soumettent à la juridiction exclusive des tribunaux d'Amsterdam pour tous les motifs liés à ce DPA, y compris l'application de toute sentence ou jugement rendu en vertu de ou en lien avec celui-ci.