Accord de traitement des données
Ce Contrat de Traitement des Données s'applique à vous si vous vous êtes inscrit aux Services de MessageBird (y compris par l'intermédiaire de l'une de ses Filiales) le 28 février 2022 ou après cette date et avant le 1er janvier 2024. En vigueur à partir du 15 avril 2022, ce Contrat de Traitement des Données s'appliquera également aux clients qui se sont inscrits aux Services de MessageBird avant le 28 février 2022. Notre Contrat de Traitement des Données archivé est disponible ici.
Ce contrat de traitement des données, y compris les annexes (le « DPA »), fait partie de l'Accord entre le Client et l'entité contractante répertoriée dans la Section 15 (Entité contractante) des Conditions générales, sauf indication contraire dans votre bon de commande. Dans ce DPA, les termes « vous», «votre», ou «Client» se réfèrent à vous (sous réserve de la section 1.2 ci-dessous), et les termes « nous», «notre», «nos» ou «MessageBird» se réfèrent à nous.
1. Scope, Customer Affiliates and Term
1.1 Portée. Ce DPA régit le traitement des Données Personnelles du Client par MessageBird en tant que sous-traitant.
1.2 Filiales du Client. Le Client conclut ce DPA en son nom propre et, dans la mesure requise par la Législation sur la Protection des Données, au nom et pour le compte de ses Filiales (telles que définies dans les Conditions Générales), si et dans la mesure où vous fournissez à ces Filiales un accès aux Services et nous traitons les Données Personnelles du Client pour lesquelles ces Filiales se qualifient en tant que responsable du traitement («Filiales du Client»). Aux fins de ce DPA uniquement, et sauf indication contraire, les termes « Client » et « vous » incluent le Client et les Filiales.
1.3 Durée. Ce DPA restera en vigueur tant que MessageBird traite les Données Personnelles du Client soumises à ce DPA, nonobstant l'expiration ou la résiliation du Contrat.
2. Définitions
Les termes en majuscules utilisés mais non définis dans ce DPA auront le sens qui leur est attribué dans l'Accord. Les termes définis suivants sont utilisés dans ce DPA :
2.1 “CCPA” signifie la California Consumer Privacy Act de 2018 et toute réglementation émise en vertu de celle-ci, dans chaque cas, telle qu'amendée de temps à autre.
2.2 “Données Client” signifie toutes les données et autres informations ou contenus soumis par vous ou pour vous (ou par un utilisateur de votre Application Client) en vertu de l'Accord et traités ou stockés par les Services.
2.3 “Données Personnelles du Client” signifie les Données Personnelles contenues dans les Données Client. Les données de compte ne sont pas des Données Personnelles du Client. Les données de compte sont toutes données fournies par ou pour vous à MessageBird dans le cadre de la conclusion et de l'administration de l'Accord et de votre compte, y compris, sans s'y limiter, les informations de contact, les détails de facturation du Client et les correspondances concernant la conclusion et l'administration de l'Accord.
2.4 “Législation sur la Protection des Données” signifie toutes les lois et réglementations de toute juridiction applicables à la confidentialité, à la vie privée, à la sécurité ou au traitement des Données Personnelles en vertu de l'Accord, y compris, le cas échéant, le GDPR, le CCPA et toutes les autres lois et réglementations relatives à la vie privée, au marketing direct ou à la protection des données.
2.5 “EEE” signifie, aux fins de ce DPA, l'Espace Économique Européen et la Suisse.
2.6 “Clauses Contractuelles Types UE Contrôleur-à-Processeur” signifie les modules “Contrôleur à Processeur” (Module 2) des Clauses Contractuelles Types pour le transfert de Données Personnelles vers des pays tiers conformément au GDPR et à la Décision d'exécution de la Commission Européenne (UE) 2021/914 du 4 juin 2021.
2.7 “Clauses Contractuelles Types UE Processeur-à-Sous-processeur” signifie les modules “Processeur à Processeur” (Module 3) des Clauses Contractuelles Types pour le transfert de Données Personnelles vers des pays tiers conformément au GDPR et à la Décision d'exécution de la Commission Européenne (UE) 2021/914 du 4 juin 2021.
2.8 “GDPR” signifie soit (i) le Règlement 2016/679 du Parlement Européen et du Conseil sur la protection des personnes physiques à l'égard du traitement des Données Personnelles et à la libre circulation de ces données (Règlement Général sur la Protection des Données) ; ou (ii) uniquement en ce qui concerne le Royaume-Uni, la Data Protection Act 2018.
2.9 “LGPD” signifie la Lei Geral de Proteção de Dados de 2018 et toute réglementation émise en vertu de celle-ci, dans chaque cas, telle qu'amendée de temps à autre.
2.10 “Données Personnelles” signifie toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement.
2.11 “PDPA” signifie la Personal Data Protection Act de 2012 et toute réglementation émise en vertu de celle-ci, dans chaque cas, telle qu'amendée de temps à autre.
2.12 “Déclaration de Confidentialité” signifie la Déclaration de Confidentialité en vigueur pour les Services disponible à https://bird.com/legal/privacy.
2.13 “Violation des Données Personnelles” signifie toute destruction, perte, altération ou divulgation accidentelle, non autorisée ou illégale, ou accès non autorisé aux Données Personnelles du Client.
2.14 “Services” signifie tous les produits et services fournis par nous ou nos Affiliés qui sont (a) commandés par vous en vertu de tout Bon de Commande ; ou (b) utilisés par vous.
2.15 “Clauses Contractuelles Types” signifie soit (i) les Clauses Contractuelles Types UE Contrôleur-à-Processeur ; ou (ii) les Clauses Contractuelles Types UE Processeur-à-Sous-processeur, individuellement ou collectivement, selon le cas.
2.16 “Sous-processeur” signifie l'entité qui traite les Données Personnelles du Client pour le compte d'une entité agissant en tant que processeur de données ou Sous-processeur.
2.17 “Clauses Contractuelles Types UK Contrôleur-à-Processeur” signifie les clauses contractuelles types pour le transfert de Données Personnelles vers des processeurs établis dans des pays tiers sous la forme définie par la Décision de la Commission Européenne 2010/87/UE, telle qu'elle peut être amendée, modifiée ou remplacée par la Commission Européenne.
Les termes tels que “traitement”, “responsable du traitement”, “processeur de données”, “personne concernée”, etc. auront le sens qui leur est attribué en vertu du GDPR. La définition de “responsable du traitement” inclut “entreprise”, “contrôleur” et “organisation” ; "processeur de données" inclut “fournisseur de services”, “processeur” et “intermédiaire de données” ; “personne concernée” inclut “consommateur” et “individu” ; et “Données Personnelles” inclut “informations personnelles”, dans chaque cas telles que définies en vertu du CCPA, LGPD ou PDPA.
3. Traitement des données personnelles du client
3.1 Objectifs. Nous traiterons les Données personnelles des clients uniquement dans la mesure nécessaire (i) pour fournir les Services, y compris la transmission de communications, assurer la sécurité des services, fournir des rapports techniques et de livraison, offrir un support et développer et mettre en œuvre des améliorations et mises à jour conformément à vos instructions documentées à notre égard en tant que sous-traitant des données, comme spécifié dans la Section 3.2 de ce DPA, et (ii) pour nos objectifs commerciaux légitimes comme spécifié dans la Section 3.4 de ce DPA en tant que responsable du traitement. Nous ne vendons aucune Donnée personnelle, y compris les Données personnelles des clients, et ne partageons pas les Données personnelles avec des tiers contre rémunération ou pour les intérêts commerciaux propres de ces tiers.
3.2 Instructions. L'Accord et ce DPA constituent vos instructions complètes à notre égard en tant que sous-traitant des données au moment de la signature de ce DPA. Nous nous conformerons à d'autres instructions raisonnablement documentées à condition que ces instructions soient conformes aux termes de l'Accord.
3.3 Détails du traitement. Annexe I, Partie B. (Description du transfert) de ce DPA précise davantage la nature et l'objectif du traitement, les activités de traitement, la durée du traitement, les types de Données personnelles et les catégories de sujets des données par nous en tant que sous-traitant ou sous-traitant.
3.4 Objectifs commerciaux légitimes. Vous reconnaissez que nous traitons les Données personnelles des clients en tant que responsable du traitement des données indépendants dans la mesure nécessaire aux objectifs commerciaux légitimes suivants : facturation, gestion de compte, reporting financier et interne, lutte contre et prévention des menaces à la sécurité, cyberattaques et cybercriminalité pouvant nous affecter ou affecter nos services, modélisation commerciale (par exemple, prévisions, planification de la capacité et des revenus, stratégie produit), prévention et détection de la fraude, spam, et abus, amélioration des produits, et pour nous conformer à nos obligations légales.
4. Customer Obligations
4.1 Légalité. Lorsque vous agissez en tant que responsable du traitement des Données Personnelles des Clients, vous garantissez que toutes les activités de traitement sont légales, ont un but spécifique, et que tous les avis, consentements ou autres fondements juridiques appropriés nécessaires sont en place pour permettre le transfert légal des Données Personnelles des Clients. Si vous êtes un sous-traitant de données (auquel cas nous agirons en tant que Sous-traitant), vous vous assurerez que le responsable du traitement des données concerné garantit que les conditions énumérées dans cette Section 4.1 sont remplies.
4.2 Conformité. Vous êtes seul responsable de (a) veiller à ce que vous respectiez la Législation sur la Protection des Données applicable à votre utilisation des Services et à votre propre traitement des Données Personnelles des Clients, (b) faire une évaluation indépendante pour déterminer si les mesures techniques et organisationnelles des Services répondent à vos exigences, et (c) mettre en œuvre et maintenir des mesures de confidentialité et de sécurité pour les composants que vous fournissez ou contrôlez (y compris mais sans s'y limiter les mots de passe, les dispositifs utilisés avec les Services et les Applications Clients).
5. Sécurité
5.1 Mesures de sécurité. Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité variable et de gravité pour les droits et libertés des personnes physiques, nous mettrons en œuvre et maintiendrons des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données personnelles du Client contre les violations de données personnelles et pour préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données client que nos systèmes utilisent pour traiter les Données client. Les mesures de sécurité appliquées par nous sont décrites dans l'Annexe II.
5.2 Mises à jour des mesures de sécurité. Vous êtes responsable de l'examen des informations mises à disposition par nous concernant la sécurité des Données personnelles du Client et de déterminer de manière indépendante si ces informations répondent à vos exigences et obligations légales en vertu de la législation sur la protection des données. Vous reconnaissez que les mesures de sécurité sont sujettes à des progrès et développements techniques, et que nous pouvons mettre à jour ou modifier nos mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas la sécurité globale des Données personnelles du Client.
5.3 Contrôles d'accès. Nous appliquons les principes de « besoin de savoir » et de moindre privilège.
5.4 Confidentialité du traitement. Nous veillerons à ce que toute personne ou partie autorisée par nous à traiter les Données personnelles du Client (y compris notre personnel, nos agents et Sous-traitants) soit informée de la nature confidentielle de ces Données personnelles du Client et soit soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale) qui survit à la résiliation de leur engagement.
5.5 Réponse et notification en cas de violation de données personnelles. Dès que nous prendrons connaissance d'une violation de données personnelles, nous vous informerons sans retard indu (i) vous notifierons, (ii) enquêterons sur la violation de données personnelles, (iii) fournirons des informations en temps opportun relatives à la violation de données personnelles au fur et à mesure qu'elle sera connue ou raisonnablement demandée par vous, et (iv) prendrons des mesures commercialement raisonnables pour atténuer les effets et prévenir la récurrence de la violation de données personnelles.
6. Assistance
6.1 Assistance à la protection des données. Nous vous fournirons l'assistance raisonnablement demandée pour vous permettre de vous conformer à vos obligations en vertu de la législation sur la protection des données, y compris la notification d'une violation de données personnelles, l'évaluation du niveau de sécurité approprié du traitement et vous assister pour la réalisation d'une évaluation d'impact de la protection des données pertinente.
6.2 Assistance aux demandes des personnes concernées. Nous vous fournirons une assistance raisonnable afin de vous permettre de vous conformer à vos obligations envers les personnes concernées qui exercent leurs droits en vertu de la législation sur la protection des données en mettant à disposition des mesures techniques et organisationnelles via votre compte. Pour éviter tout doute, vous, en tant que responsable du traitement, êtes responsable du traitement de toute demande ou réclamation des personnes concernées concernant les données personnelles du client d'un sujet de données.
7. Divulgation et demandes de divulgation
7.1 Limitations sur la divulgation et l'accès. Nous ne fournirons pas l'accès à ni ne divulguerons les Données Personnelles du Client sauf (i) selon vos instructions, (ii) comme indiqué dans l'Accord et ce DPA, ou (iii) si requis par la loi.
7.2 Demandes de divulgation. Nous vous informerons dès que raisonnablement possible si nous recevons une demande d'un organisme gouvernemental ou réglementaire de divulguer des Données Personnelles du Client, à moins que cet avis ne soit interdit par la loi. Nous traiterons les demandes de divulgation conformément à la politique de demande de divulgation disponible sur https://bird.com/legal/disclosure-requests.
8. Subprocessors
8.1 Enregistreurs actuels. Vous acceptez l'engagement des sous-traitants listés sur https://www.bird.com/en/legal/privacy#processorList sous la rubrique « Données personnelles de l'utilisateur final », qui contient une procédure pour vous abonner aux notifications de changements concernant notre utilisation des sous-traitants. Si vous vous abonnez à ces notifications, et compte tenu de la Section 8.3 de ce DPA, nous partagerons les détails de tout changement de sous-traitants dès que raisonnablement possible.
8.2 Utilisation des sous-traitants. Par le biais de ce DPA, vous nous accordez une autorisation générale écrite pour engager des sous-traitants pour le traitement des Données Personnelles des Clients, sous réserve de la Section 8.3 de ce DPA et des exigences suivantes :
a. Nous limiterons l'accès aux Données Personnelles des Clients par les sous-traitants à ce qui est strictement nécessaire pour fournir les services spécifiés dans l'accord de sous-traitance ;
b. Nous conviendrons des obligations de protection des données avec le sous-traitant qui sont substantiellement les mêmes que les obligations en vertu de ce DPA ; et
c. Nous demeurons responsables envers vous en vertu de ce DPA de l'exécution des obligations de protection des données par le sous-traitant.
8.3 Notification des changements de sous-traitants et droit d'objection. Avant de remplacer ou d'engager de nouveaux sous-traitants (« Changement de Sous-traitant »), nous vous donnerons la possibilité de vous opposer au Changement de Sous-traitant.
Vous pouvez vous opposer à un Changement de Sous-traitant à condition que (i) l'opposition soit faite par écrit dans les dix (10) jours ouvrables suivant notre notification du Changement de Sous-traitant et (ii) l'opposition soit fondée sur et explique clairement les motifs raisonnables se rapportant à la protection des Données Personnelles des Clients. Si vous vous opposez à un Changement de Sous-traitant proposé, nous travaillerons avec vous de bonne foi pour apporter un changement commercialement raisonnable dans la prestation des Services qui évite l'utilisation du sous-traitant concerné. Si ce changement ne peut raisonnablement être effectué dans les trente (30) jours ouvrables suivant la réception de votre avis d'opposition, ou si le changement est commercialement déraisonnable pour nous, chaque partie peut résilier les fonctionnalités applicables des Services qui ne peuvent être fournies sans l'utilisation du sous-traitant concerné. Ce droit de résiliation est votre seul et unique recours si vous vous opposez à un Changement de Sous-traitant.
9. Transferts transfrontaliers des données personnelles des clients
9.1 Transferts de données personnelles des clients. Nous pouvons transférer les données personnelles des clients à condition que toutes les garanties appropriées requises par la législation sur la protection des données soient en place. Cela peut inclure une évaluation préalable de l'impact du transfert de données, l'adoption, le suivi et l'évaluation de mesures techniques, organisationnelles et juridiques supplémentaires, des droits exécutoires pour les personnes concernées et la disponibilité de recours juridiques efficaces pour les personnes concernées.
9.2 Clauses contractuelles types de sous-traitants. Sauf si une décision d'adéquation ou un autre mécanisme de transfert alternatif s'applique, nous avons conclu et maintiendrons des clauses contractuelles types avec des sous-traitants (y compris nos filiales) situés en dehors de l'EEE, sous réserve des termes énoncés à la section 9.1 de ce DPA.
9.3 Mécanismes de transfert pour les transferts de données personnelles des clients. Dans la mesure où votre utilisation des services nécessite un mécanisme de transfert de données transfrontière pour exporter légalement des données personnelles des clients d'une juridiction (par exemple, l'EEE, la Californie, Singapour, la Suisse, ou le Royaume-Uni) vers nous situés en dehors de cette juridiction, cette section s'appliquera. Si, dans le cadre de la prestation des services, les données personnelles des clients qui sont soumises au RGPD ou à toute autre loi relative à la protection ou à la confidentialité des individus applicable à ce DPA sont transférées à MessageBird situé dans des pays qui n'assurent pas un niveau adéquat de protection des données au sens de la législation sur la protection des données, les mécanismes de transfert énumérés ci-dessous s'appliqueront à ces transferts et peuvent être directement appliqués par les parties dans la mesure où ces transferts sont soumis à la législation sur la protection des données:
9.3.1 Les parties conviennent que les Clauses contractuelles types s'appliqueront aux données personnelles des clients transférées via les services depuis l'EEE ou la Suisse, soit directement, soit via un transfert ultérieur, à une entité MessageBird située dans un pays en dehors de l'EEE ou de la Suisse qui n'est pas reconnu par la Commission européenne (ou, dans le cas de transferts depuis la Suisse, l'autorité compétente pour la Suisse) comme offrant un niveau adéquat de protection des données personnelles.
9.3.1.1 Lorsque vous agissez en tant que responsable du traitement des données et que MessageBird est un sous-traitant, les Clauses contractuelles types EU Controller-to-Processor s'appliqueront à tout transfert de données personnelles des clients depuis l'EEE. Lorsque vous agissez en tant que sous-traitant et que MessageBird est un sous-traitant ultérieur, les Clauses contractuelles types Processor-to-Subprocessor s'appliqueront à tout transfert de données personnelles des clients depuis l'EEE.
9.3.1.2 MessageBird sera considéré comme l'importateur de données et vous serez considéré comme l'exportateur de données en vertu des Clauses contractuelles types. La signature de ce DPA par chaque partie sera considérée comme la signature des Clauses contractuelles types applicables, qui seront réputées intégrées dans ce DPA. Les détails requis en vertu des Annexes 1 et 2 des Clauses contractuelles types sont disponibles dans l'annexe I et l'annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles types, les Clauses contractuelles types prévaudront uniquement en ce qui concerne un transfert de données personnelles des clients depuis l'EEE.
9.3.1.3 Lorsque les Clauses contractuelles types requièrent que les parties choisissent entre des clauses optionnelles et renseignent des informations, les parties l'ont fait comme indiqué ci-dessous:
La clause optionnelle 7 «Clause d'arrimage» ne sera pas adoptée.
Pour la clause 9 «Utilisation de sous-traitants», les parties choisissent l'option suivante : «Option 2 Autorisation écrite générale : l'importateur de données dispose de l'autorisation générale du responsable du traitement pour l'engagement de sous-traitants à partir d'une liste convenue. L'importateur de données doit informer spécifiquement le responsable du traitement par écrit de tout changement prévu à cette liste par l'ajout ou le remplacement de sous-traitants au moins 10 jours ouvrables à l'avance, donnant ainsi au responsable du traitement suffisamment de temps pour être en mesure de s'opposer à ces changements avant l'engagement du (des) sous-traitant(s). L'importateur de données doit fournir à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'objection. L'importateur de données doit informer l'exportateur de données de l'engagement du (des) sous-traitant(s).»
Pour la clause 11 (a) «Recours», les parties n'adoptent pas l'option.
Pour la clause 17 «Loi applicable», les parties choisissent l'option suivante : «Option 1. Ces clauses seront régies par la loi de l'un des États membres de l'UE, à condition que cette loi permette des droits de bénéficiaires tiers. Les parties conviennent qu'il s'agira de la loi des Pays-Bas.»
Pour la clause 18 (b) «Choix de forum et de juridiction» : «Les parties conviennent que ce sera les tribunaux des Pays-Bas.»
9.3.2 Les parties conviennent que les Clauses contractuelles types UK Controller-to-Processor s'appliqueront aux données personnelles des clients transférées via les services depuis le Royaume-Uni, soit directement, soit via un transfert ultérieur, à une entité MessageBird située dans un pays en dehors du Royaume-Uni qui n'est pas reconnu par l'autorité réglementaire compétente du Royaume-Uni ou par un organisme gouvernemental pour le Royaume-Uni comme offrant un niveau adéquat de protection des données personnelles.
9.3.2.1 MessageBird sera considéré comme l'importateur de données et vous serez considéré comme l'exportateur de données en vertu des Clauses contractuelles types UK Controller-to-Processor. La signature de ce DPA par chaque partie sera traitée comme la signature des Clauses contractuelles types UK Controller-to-Processor, qui seront réputées incorporées dans ce DPA. Les détails requis en vertu des Annexes 1 et 2 des Clauses contractuelles types UK Controller-to-Processor sont disponibles dans l'annexe I et l'annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles types UK Controller-to-Processor, les Clauses contractuelles types UK Controller-to-Processor prévaudront uniquement en ce qui concerne le transfert de données personnelles des clients depuis le Royaume-Uni.
10. Audit
10.1 Rapport d'audit. Notre plateforme de communication sera régulièrement auditée selon la norme ISO 27001:2013 (ou équivalent). L'audit peut, à notre seule discrétion, être un audit interne ou un audit réalisé par un tiers. Sur demande écrite, nous vous fournirons un résumé du ou des rapports d'audit («Rapport d'audit»), afin que vous puissiez vérifier notre conformité avec les normes d'audit et ce DPA. Ces Rapports d'audit, ainsi que toutes conclusions ou constatations qui y sont spécifiées, sont nos Informations Confidentielles.
10.2 Demandes d'information du client. Nous mettrons à votre disposition toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations énoncées dans ce DPA. Nous fournirons des réponses écrites aux demandes raisonnables d'information formulées par vous, y compris les réponses aux questionnaires de sécurité de l'information et d'audit qui sont raisonnables en termes de portée et nécessaires pour confirmer la conformité avec ce DPA, à condition que vous (i) ayez d'abord fait un effort raisonnable pour obtenir les informations demandées à partir de la Documentation, des Rapports d'audit et autres informations fournies ou rendues publiques par nous, et (ii) n'exerciez pas ce droit plus d'une fois par an, sauf si une Violation des Données Personnelles ou un changement significatif dans nos activités de traitement en rapport avec les Services nécessitent qu'un questionnaire supplémentaire soit exécuté. Toutes les réponses fournies sont nos Informations Confidentielles.
10.3 Audit du client. Si un Rapport d'audit fourni par nous vous donne des raisons fondées de croire que nous violons nos obligations en vertu de ce DPA, liées aux Données Personnelles du Client fournies par vous, nous permettrons à un auditeur tiers indépendant et qualifié nommé par vous et approuvé par nous, d'auditer les activités de traitement des Données Personnelles pertinentes applicables, à condition que les exigences suivantes soient respectées:
a. Vous devrez nous donner un préavis raisonnable d'au moins soixante (60) jours avant d'exercer le droit d'audit;
b. L'auditeur accepte des obligations de confidentialité conformes aux standards du marché avec nous;
c. Vous et l'auditeur prenez des mesures pour minimiser les perturbations de nos opérations commerciales;
d. L'audit sera effectué pendant les heures normales de bureau;
e. Nous ne serons pas tenus de fournir un accès aux données des clients d'autres clients ou aux systèmes non impliqués dans la fourniture des Services; et
f. Vous devrez payer tous les frais de l'audit.
11. Suppression et Retour des Données Personnelles du Client
À la résiliation ou à l'expiration de l'Accord, nous supprimerons ou vous retournerons (selon votre choix) toutes les Données Personnelles du Client (y compris les copies) en notre possession ou sous notre contrôle, sauf dans la mesure où nous sommes légalement tenus de conserver certaines ou toutes les Données Personnelles du Client. Si vous nous demandez de supprimer les Données Personnelles du Client, les Données Personnelles du Client archivées sur nos systèmes de sauvegarde seront protégées contre tout traitement ultérieur et supprimées lorsque la période de conservation requise aura expiré.
12. Communication et droits des affiliés clients
La conclusion de ce DPA au nom et pour le compte d'une Filiale Client telle qu'indiquée à la section 1.2 constitue un DPA distinct entre nous et cette Filiale Client, sous réserve des éléments suivants :
12.1. Communication. Le Client qui est la partie contractante de l'Accord reste responsable de la coordination de toutes les communications avec nous en vertu de ce DPA et est habilité à effectuer et à recevoir toute communication liée à ce DPA au nom de ses Filiales Client.
12.2 Droits des Filiales Client. Lorsqu'une Filiale Client devient partie au DPA avec nous, elle doit, dans la mesure requise par la législation sur la protection des données, être habilitée à exercer les droits et à demander des recours en vertu de ce DPA, sous réserve des éléments suivants :
(i) À moins que la législation sur la protection des données n'exige que la Filiale Client exerce un droit ou demande un recours en vertu de ce DPA contre MessageBird directement par elle-même, les parties conviennent que (i) uniquement le Client qui est la partie contractante à l'Accord exercera un tel droit ou demandera un tel recours au nom de la Filiale Client, et (ii) le Client qui est la partie contractante à l'Accord exercera tous ces droits en vertu de ce DPA non séparément pour chaque Filiale Client individuellement mais de manière combinée pour lui-même et toutes ses Filiales Client ensemble.
(ii) Les parties conviennent que le Client qui est la partie contractante à l'Accord doit, lorsqu'un audit sur site des procédures pertinentes à la protection des Données Personnelles du Client est effectué en son nom comme exposé à la section 10.3 de ce DPA, prendre toutes les mesures raisonnables pour limiter tout impact sur nous en combinant, dans la mesure raisonnablement possible, plusieurs demandes d'audit effectuées en son nom et au nom de toutes ses Filiales Client en un seul audit.
Pour plus de clarté, une Filiale Client ne devient pas une partie contractante de l'Accord.
13. Loi sur la protection de la vie privée des consommateurs de Californie
Nous prenons les engagements supplémentaires suivants envers vous en ce qui concerne le traitement des Données Personnelles des Clients dans le cadre du CCPA.
13.1 Nos Obligations. Nous respecterons le CCPA et traiterons toutes les Données Personnelles des Clients soumises au CCPA (« Données Personnelles CCPA ») conformément aux dispositions du CCPA. En ce qui concerne les Données Personnelles CCPA, nous sommes un prestataire de services en vertu du CCPA. Nous ne (a) vendrons pas les Données Personnelles CCPA ; (b) ne conserverons, n'utiliserons ou ne divulguerons aucune Donnée Personnelle CCPA à d'autres fins que pour le but spécifique de fournir les Services, y compris conserver, utiliser ou divulguer les Données Personnelles CCPA à des fins commerciales autres que la fourniture des Services ; ou (c) ne conserverons, n'utiliserons ou ne divulguerons les Données Personnelles CCPA hors de notre relation commerciale directe avec vous. Le traitement de Données Personnelles CCPA autorisé par vos instructions dans les Conditions et ce DPA est essentiel à notre prestation des Services. Vous reconnaissez et acceptez que notre accès aux Données des Clients ne constitue pas une partie de la contrepartie échangée en vertu de l'Accord. Dans la mesure où toute donnée d'utilisation est considérée comme des Données Personnelles CCPA, nous sommes l’entreprise par rapport à ces données et les traiterons conformément à notre Déclaration de Confidentialité. Les termes « entreprise », « but commercial », « prestataire de services », et « vendre » tels qu'utilisés dans cette Section 13.1 ont les significations qui leur sont données dans le CCPA. Les deux parties certifient qu'elles comprennent et respecteront les obligations et restrictions énoncées dans ce DPA et dans l'Accord comme requis par le CCPA.
13.2 Obligations du Client. Vous déclarez et garantissez que vous avez informé l'utilisateur final que les Données Personnelles sont utilisées ou partagées conformément aux termes et conditions envisagés dans la section 1798.140(t)(2)(C)(i) du CCPA. Vous êtes responsable de la conformité aux exigences du CCPA qui vous sont applicables en tant que responsable du traitement des données.
14. Droit applicable et résolution des litiges
Section 13 of the Terms s'appliquera à tout litige découlant de ou lié à ce DPA, sauf si la législation sur la protection des données exige autrement.
ANNEXE I - DÉTAILS DU TRAITEMENT
Là où applicable, ce calendrier 1 servira d'Annexe I aux Clauses Contractuelles Standard de l'EEE.
Annexe I, Partie A. Liste des Parties
Exportateur de données: Client
Détails du contact de l'exportateur de données: L'adresse listée dans le compte du Client, ou l'adresse e-mail du propriétaire du compte du Client, ou l'adresse e-mail pour laquelle le Client choisit de recevoir des notifications en vertu de l'Accord.
Rôle de l'exportateur de données: Le rôle de l'exportateur de données est décrit dans la Section 4 du DPA.
Signature et date: Si et quand applicable, l'exportateur de données est réputé avoir signé les Clauses Contractuelles Standard incorporées dans le présent document à compter de la Date d'effet du DPA.
Importateur de données: MessageBird B.V.
Détails du contact de l'importateur de données: Trompenburgstraat 2-C, 1079TX, Amsterdam, Pays-Bas, Délégué à la protection des données - privacy@bird.com
Rôle de l'importateur de données: L'importateur de données agit en tant que processeur de données.
Signature et date: Si et quand applicable, l'importateur de données est réputé avoir signé les Clauses Contractuelles Standard incorporées dans le présent document à compter de la Date d'effet du DPA.
Annexe I, Partie B. Description du Transfert
1. Catégories de personnes concernées dont les données personnelles sont transférées : Utilisateurs. Les personnes de contact du Client (personnes physiques) ou employés, contractuels ou travailleurs temporaires (actuels, potentiels, anciens) utilisant les Services via le compte du Client (« Utilisateurs »); Utilisateurs finaux. Tout individu (i) dont les coordonnées sont incluses dans la ou les listes de contacts du Client ; (ii) dont les informations sont stockées sur ou recueillies via les Services, ou (ii) à qui le Client envoie des communications ou engage ou communique avec via les Services (collectivement, « Utilisateurs finaux »). Vous, en tant que Client, déterminez uniquement les catégories de personnes concernées incluses dans la communication envoyée via notre plateforme de communication.
2. Catégories de données personnelles transférées : Données personnelles du Client contenues dans le contenu des communications, données de trafic, données des Utilisateurs finaux et données d'utilisation des clients. Contenu des communications, qui peut inclure des données personnelles ou d'autres caractéristiques personnalisées, en fonction du contenu de la communication tel que déterminé par vous en tant que Client. Données de trafic, qui peuvent inclure des données personnelles du Client sur le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'il s'agisse d'un individu ou d'une entreprise. Données des Utilisateurs finaux, telles que numéro de téléphone, adresse e-mail, prénom, nom de famille, nom de profil, pays, identifiant de canal. Données d'utilisation des clients, peuvent contenir des données qui peuvent être liées à vous en tant qu'individu inclus dans les données statistiques et les informations liées à vos activités de compte et de service, des aperçus de service et des rapports analytiques concernant les communications envoyées et le support client.
3. Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui prennent pleinement en compte la nature des données et les risques encourus, telles que par exemple une limitation stricte des finalités, des restrictions d'accès (y compris les accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
(a) Contenu des communications. Les données sensibles peuvent, de temps à autre, être traitées via les Services où vous ou vos Utilisateurs finaux choisissez d'inclure des données sensibles dans les communications transmises utilisant les Services. Vous êtes responsable de garantir que les mesures de protection appropriées sont en place avant de transmettre ou de traiter, ou avant de permettre à vos Utilisateurs finaux de transmettre ou de traiter des données sensibles via les Services, conformément à la Section 3.2 de l'Accord.
(b) Données de trafic, données des Utilisateurs finaux et données d'utilisation des clients. Aucune donnée sensible n'est contenue dans les données de trafic, les données des Utilisateurs finaux ou les données d'utilisation des clients.
4. La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue) : Les données personnelles du Client sont transférées sur une base continue pour la durée de l'Accord.
5. Nature du traitement : Nous traiterons les données personnelles du Client dans la mesure nécessaire pour fournir les Services en vertu de l'Accord. Nous ne vendons pas de données personnelles, y compris les données personnelles du Client, et ne partageons pas de données personnelles avec des tiers contre rémunération ou pour leurs propres intérêts commerciaux.
6. Objectif(s) du transfert de données et traitement ultérieur : Nous traiterons les données personnelles du Client en tant que processeur de données conformément aux instructions du Client telles que définies dans ce DPA, sauf si le traitement est nécessaire pour se conformer à une obligation légale à laquelle nous sommes soumis, auquel cas nous nous classerons en tant que responsable du traitement.
Contenu des communications, données de trafic, données des Utilisateurs finaux et données d'utilisation des clients. Les données personnelles contenues dans le contenu des communications, données de trafic, données des Utilisateurs finaux et données d'utilisation des clients seront soumises aux activités de traitement de base suivantes :
(a) Contenu des communications. La fourniture de produits et services de communication programmables, offerts sous la forme d'interfaces de programmation d'applications (API) ou via le Tableau de bord, au Client, y compris la transmission à ou depuis l'application logicielle du Client depuis ou vers notre plateforme de communication, et d'autres réseaux de communication.
(b) Données de trafic. Les données de trafic sont traitées dans le but de transmettre la communication sur un réseau de communications électroniques ou pour la facturation concernant cette communication. Cela peut inclure des données personnelles du Client sur le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'il s'agisse d'un individu ou d'une entreprise.
(c) Données des Utilisateurs finaux. Les données personnelles des Utilisateurs finaux sont nécessaires pour effectuer les Services et ne seront traitées que pour les besoins de la transmission des communications, du support client et de la garantie du respect des obligations légales de MessageBird.
(d) Données d'utilisation des clients. Les données personnelles contenues dans les données d'utilisation des clients seront soumises aux activités de traitement de la fourniture des Services en vertu de l'Accord, dans le but de fournir au Client des aperçus des Services liés et des rapports analytiques concernant les communications envoyées, le support client et l'amélioration continue des Services.
7. La période pour laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :
(a) Contenu des communications et données de trafic. Pour le contenu client et les données de trafic contenues dans les Services SMS et Voix, une période de conservation de six mois s'applique ;
Pour les Services de 24sessions, le contenu client et les données de trafic sont conservés pour une durée minimale de 30 jours jusqu'à la durée convenue avec vous ;
Pour tous les autres services, le contenu client et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu client ou les données de trafic via les mesures techniques et organisationnelles mises à votre disposition via les Services.
(b) Données des Utilisateurs finaux. Les données des Utilisateurs finaux seront traitées pendant la durée déterminée par le Client, lorsque les données des Utilisateurs finaux sont incluses dans vos profils de contact la période de conservation par défaut est pour la durée des Services, sous réserve de la Section 6(c) de cette Annexe I, Partie B.
(c) Données d'utilisation des clients. À la résiliation de l'Accord, nous pouvons conserver, utiliser et divulguer les données d'utilisation des clients pour les besoins décrits dans la Section 6(d) de cette Annexe I, Partie B, sous réserve des obligations de confidentialité décrites dans l'Accord. Nous anonymiserons ou supprimerons les données d'utilisation des clients lorsque nous n'en aurons plus besoin pour les besoins décrits dans la Section 6(d) de cette Annexe I, Partie B.
8. Pour les transferts à des (sous)processeurs, spécifiez également l'objet, la nature et la durée du traitement : Pour les transferts à des Sous-traitants, l'objet et la nature du traitement sont décrits sur https://www.bird.com/legal/privacy#processorList et la durée est de la durée de l'Accord.
Annexe I, Partie C. Autorité de Contrôle Compétente
L'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) sera l'autorité de contrôle compétente.
APPENDIX II TO THE STANDARD CONTRACTUAL CLAUSES
Lorsque applicable, cette Annexe II servira d'Annexe II aux Clauses Contractuelles Standard. Ce qui suit fournit plus d'informations sur nos mesures techniques et organisationnelles de sécurité énoncées ci-dessous.
Mesures Techniques et Organisationnelles de Sécurité :
Mesures de pseudonymisation et de protection des Données Personnelles en stockage et transit : Toutes les Données Personnelles sont chiffrées en transit et au repos et, dans la mesure pertinente d’un point de vue sécurité, traitées comme si elles étaient classifiées comme données sensibles. L'information est toujours transmise via TLS avec des méthodologies de chiffrement à jour par défaut.
Mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement : nous signons des accords contenant des clauses de confidentialité avec nos employés, contractants, fournisseurs, et Sous-traitants. Notre politique de continuité commerciale prévoit de préparer notre entreprise et nos services en cas de pannes prolongées causées par des facteurs échappant à notre contrôle et de rétablir les services dans la mesure la plus large possible dans un délai minimum. Nous comprenons que les services que nous fournissons sont essentiels pour nos clients et avons donc très peu de tolérance pour les interruptions de service. Nos délais de récupération sont conçus pour nous permettre de respecter nos obligations envers tous nos clients.
Processus pour tester, évaluer et apprécier régulièrement l'efficacité des mesures techniques et organisationnelles pour garantir la sécurité du traitement : L'objectif de la sécurité de l'information et de notre Système de Gestion de la Sécurité de l'Information (ISMS) est de protéger la confidentialité, l'intégrité et la disponibilité des informations pour l'organisation, les employés, partenaires, clients et les systèmes d'information (autorisés), et de minimiser le risque de dommage en prévenant les incidents de sécurité et en gérant les menaces et vulnérabilités de sécurité. Notre équipe juridique, notre Responsable de la Protection des Données, et notre Équipe de Sécurité et Conformité veillent à ce que les réglementations et normes applicables soient intégrées dans nos cadres de sécurité.
Mesures pour l'identification et l'autorisation des utilisateurs : Nous suivons les principes du "besoin de savoir" et du "moindre privilège". Nous promouvons l'utilisation du contrôle d'accès basé sur les rôles. L'approvisionnement et le désapprovisionnement sont supervisés par l'équipe de sécurité, avec la connexion unique (Single-Sign-On) et 2FA par défaut. Des propriétaires ont été définis pour chaque ressource d'information, qui sont responsables de garantir que les accès à leurs systèmes sont appropriés et révisés régulièrement. Chaque fois que nous traitons des informations sensibles ou que nous prenons des actions critiques, nous utilisons le principe des quatre yeux.
Mesures pour assurer la journalisation des événements : Les journaux d'audit sont centralisés et surveillés régulièrement pour les événements de sécurité et sont sécurisés pour éviter tout risque de falsification. La Politique de Gestion des Incidents impose le plan de réponse aux incidents et ses procédures. Ces directives sont suivies en cas de survenue d'incident de sécurité ou technique de quelque nature que ce soit. En cas d'incidents de Sécurité, ils seront examinés régulièrement par le Comité de pilotage de la Sécurité composé de parties prenantes seniors de toute l'entreprise.
Mesures pour assurer la configuration des systèmes, y compris la configuration par défaut : Nous suivons un processus de gestion des changements cohérent pour tous les changements dans l'environnement de production de la Plateforme de Communication en tant que Service. Pour élaborer davantage, toutes les demandes de changements (RFC) doivent être approuvées par une partie désignée et exécutées selon le processus formel de contrôle des changements. Le processus de contrôle garantit que les changements proposés sont examinés, autorisés, testés, mis en œuvre et publiés de manière contrôlée; et que le statut de chaque changement proposé est surveillé. Des lignes de base de configuration sont suivies pour configurer les systèmes de manière sécurisée en suivant les meilleures pratiques. De plus, au sein du département d'ingénierie, un radar technologique est utilisé pour définir quelles technologies (langages, outils de plate-forme, bases de données et outils de gestion de données) peuvent être adoptées ou doivent être évitées lors du développement.
Mesures pour la sécurité physique : Nous promouvons activement une politique de "Travail de N'importe Où" pour que nos employés soient libres de travailler depuis n'importe quel endroit de leur choix. Cependant, nous avons toujours nos bureaux. Nous n'avons pas de zones sécurisées/centre de données dans nos locaux étant donné que nous sommes une entreprise entièrement cloud. Nos étages de bureaux sont protégés par des contrôles d'accès physique, CCTV, et sécurité humaine.
Mesures pour la gouvernance et la gestion interne des TI et de la sécurité informatique : Nous maintenons un programme de sécurité basé sur l'évaluation des risques, qui inclut des garanties administratives, organisationnelles, techniques, et physiques conçues pour protéger les Services et la confidentialité, l'intégrité, et la disponibilité des Données Client. Notre programme de sécurité de l'information est mis en place de manière systématique et bien organisée. De plus, des exigences légales et réglementaires s'appliquent pour assurer la confidentialité, l'intégrité, et la disponibilité de l'information pour l'organisation, les employés, partenaires et clients. Tout cela est traduit dans nos politiques, procédures et directives de sécurité de l'information. Nous avons un Comité de pilotage de la Sécurité qui est responsable du niveau tactique de la sécurité de l'information. Cela implique la coordination des activités de sécurité de l'information et la traduction des activités stratégiques en activités opérationnelles pour notre sécurité, et notre maintenance continue de la conformité réglementaire. Tous les employés sont responsables de la sauvegarde des actifs de l'entreprise. Tous nos employés sont sélectionnés pour leurs compétences, leur expérience, et leur intégrité. Les employés sont informés sur la sécurité et la protection des données lors de l'intégration, ainsi que par le biais de formations spécifiques à l'équipe régulières, et d'autres présentations générales sur l'importance de la protection des données et de la conformité sécuritaire. MessageBird est certifié ISO/IEC 27001:2013, la norme de sécurité de l'information reconnue mondialement pour les Systèmes de Gestion de la Sécurité de l'Information (ISMS).
Tous nos fournisseurs d'hébergement sont conformes à la norme ISO/IEC 27001:2013.
Nous sommes également enregistrés auprès de l'Autorité néerlandaise pour les Consommateurs et les Marchés. Cela signifie que nous sommes toujours responsables et entièrement transparents envers nos clients.
Nous sommes Membre Associé de la Groupe Spécial Mobile Association (GSMA). La GSMA représente les intérêts des opérateurs mobiles à travers le monde. Nous sommes toujours en conformité avec toutes les lois et réglementations applicables, y compris le Règlement Général sur la Protection des Données.
Mesures pour les certifications/assurance des processus et des produits : Nous subissons des audits de surveillance rigoureux ainsi que des audits de certification dans le cadre de notre conformité ISO/IEC 27001:2013, et nous réalisons régulièrement des tests de vulnérabilité des applications et de pénétration. MessageBird adopte une approche unifiée pour la gestion des correctifs et vulnérabilités pour garantir que nos délais standard de SLA sont respectés, qu'il s'agisse de vulnérabilités dans notre infrastructure sous-jacente, nos plateformes d'exploitation, ou notre code source.
Mesures pour la sécurité des applications : Nous garantissons la sécurité de nos applications lors de la phase de conception et de développement en nous basant sur les Directives de Code Sécurisé de MessageBird.
Des corrections appropriées sont mises en œuvre avant la mise sur le marché.
Les modifications de code sont examinées par des individus qualifiés (qui sont familiers avec la révision de code et le développement sécurisé) autres que les développeurs à l'origine des modifications.
Les applications subiront des tests de sécurité rigoureux pour identifier toute nouvelle menace et vulnérabilité au moins une fois par an (conformément aux normes de l'industrie et aux meilleures pratiques).
Toutes les modifications de code pour les applications qui sont poussées dans les environnements de production sont examinées à l'aide de processus manuels et/ou automatisés.
Des tests de pénétration sont effectués annuellement et au cas par cas sur les nouveaux produits/fonctionnalités. Des outils d'analyse de code source automatisés sont utilisés pour détecter les défauts de sécurité dans le code avant le déploiement, en fonction du langage.
Mesures pour la divulgation des vulnérabilités : Nous apprécions les chercheurs en sécurité qui ont trouvé des vulnérabilités sur notre plateforme de nous contacter et d'envoyer leurs découvertes à security@bird.com. Nous avons une équipe dédiée à la sécurité qui assure le suivi et envoie des invitations à notre programme de chasse aux bugs pour enquêter et remédier si nécessaire.
Mesures pour garantir la responsabilité : Nous mettons en œuvre des politiques de sécurité de l'information et de protection des données conformément aux lois applicables et publions un aperçu de notre ISMS informations pertinentes (lien). Nous avons nommé un VP dédié à la Conformité et à la Sécurité de l'Information ainsi qu'un Responsable de la Protection des Données, et nous tenons à jour une documentation de nos activités de traitement, y compris l'enregistrement et le rapport d'incidents de sécurité impliquant des Données Personnelles lorsque applicable.