GDocs Lien vers Storeport G2
GDocs Lien vers Storeport G2

Addendum sur le traitement des données (DPA)

Le présent avenant au traitement des données (" DPA ") fait partie du contrat entre la partie identifiée dans le contrat (" client ") et FaceFirst et s'applique si FaceFirst traite des données personnelles pour le compte du client dans le cadre de la fourniture de services. Ce DPA ne s'applique pas lorsque FaceFirst est le contrôleur. Tous les termes en majuscules utilisés mais non définis dans le présent DPA auront la signification qui leur est donnée dans le Contrat.

1. TRAITEMENT

1.1 Rôle des parties. FaceFirst traitera les données personnelles dans le cadre de l'accord uniquement en tant que sous-traitant agissant pour le compte du client. Le client peut agir soit en tant que contrôleur, soit en tant que sous-traitant des données personnelles.

1.2 Traitement des données personnelles par le client. L'utilisation du logiciel par le client et les instructions de traitement doivent être conformes aux lois sur la protection des données, et le client doit obtenir tous les droits et autorisations nécessaires pour que FaceFirst puisse traiter les données personnelles dans le cadre du contrat.

1.3 Traitement des données personnelles par FaceFirst. FaceFirst doit se conformer aux lois sur la protection des données applicables à sa prestation de services et traitera les données personnelles conformément aux instructions documentées du client. Le client accepte que le contrat constitue ses instructions complètes et finales à FaceFirst concernant le traitement des données personnelles. Le traitement des données personnelles en dehors du champ d'application du contrat nécessite un accord écrit préalable entre FaceFirst et le client et peut entraîner des frais supplémentaires. Le client peut résilier le contrat par notification écrite si FaceFirst refuse ou n'est pas en mesure d'accepter toute modification raisonnable des instructions de traitement qui (a) sont nécessaires pour permettre au client de se conformer aux lois sur la protection des données, et (b) les parties n'ont pas été en mesure de se mettre d'accord après des discussions de bonne foi.

1.4 Traitement des données personnelles.

1.4.1 Objet. L'objet du traitement au titre du Contrat est constitué par les Données Personnelles, notamment les images contenant des clients mais également toute autre Donnée Personnelle fournie à FaceFirst par le Client.

1.4.2 Durée. La durée du traitement dans le cadre de l'accord est déterminée par le client et est indiquée dans l'accord.

1.4.3 Objectif. L'objectif du traitement en vertu du contrat est la fourniture des services par FaceFirst au client, tel que spécifié dans le contrat.

1.4.4 Nature du traitement. FaceFirst et ses sous-traitants fournissent des services et remplissent des obligations contractuelles envers le client, comme décrit dans le contrat. Ces services peuvent inclure le traitement de données personnelles par FaceFirst et ses sous-traitants.

1.4.5 Catégories de personnes concernées. Le client détermine les personnes concernées, qui peuvent comprendre ses consommateurs, ses employés, ses sous-traitants, ses fournisseurs et d'autres tiers.

1.4.6 Catégories de données. Le client contrôle les catégories de données à caractère personnel qu'il soumet aux services.

2. SOUS-TRAITEMENT.

2.1 Utilisation de sous-traitants. Le client autorise FaceFirst à engager des sous-traitants pour traiter les données personnelles afin de fournir les services. FaceFirst est responsable des actes, erreurs ou omissions de ses Sous-Traitants dans la même mesure que FaceFirst serait responsable si elle exécutait les Services directement selon les termes du Contrat.

2.2 Obligations. FaceFirst conclura un accord exigeant de chaque sous-traitant qu'il traite les données personnelles d'une manière substantiellement similaire aux normes du RGPD et, au minimum, au niveau requis par la loi sur la protection des données.

2.3 Avis. La liste des sous-traitants de FaceFirst est disponible sur demande écrite.

2.4 Modifications des sous-traitants. FaceFirst informera préalablement le client de tout nouveau sous-traitant. Si le client s'oppose à un nouveau sous-traitant secondaire pour des raisons raisonnables de protection des données dans les 10 jours suivant la réception de l'avis, FaceFirst discutera de ces préoccupations avec le client en toute bonne foi en vue de parvenir à une résolution.

3. LES MESURES DE SÉCURITÉ.

3.1 Mesures de sécurité prises par FaceFirst. FaceFirst mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées conçues pour protéger contre les violations de données personnelles conformément à l'accord.

3.2 Mesures de sécurité prises par le client. Le Client doit mettre en œuvre les mesures techniques et organisationnelles appropriées dans son utilisation et sa configuration du Logiciel.

3.3 Personnel. FaceFirst interdit à son personnel de traiter les données personnelles sans autorisation (sauf si la loi applicable l'exige). Toute personne autorisée par FaceFirst à traiter des données personnelles est soumise à des obligations de confidentialité.

4. RÉPONSE AUX VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL.

Dès qu'elle aura connaissance d'une violation de données personnelles, FaceFirst en informera le client dans les plus brefs délais et lui fournira les informations relatives à la violation de données personnelles qu'il aura raisonnablement demandées. FaceFirst s'efforcera raisonnablement d'aider le client à atténuer, dans la mesure du possible, les effets négatifs de toute violation de données personnelles.

5. SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL.

Suite à l'expiration ou à la résiliation du contrat, FaceFirst supprimera ou retournera au client toutes les données personnelles dans la mesure du possible, comme indiqué dans le contrat. Si FaceFirst est tenue par la loi applicable de conserver les données personnelles, FaceFirst mettra en œuvre des mesures raisonnables pour empêcher tout traitement ultérieur. Les conditions de ce DPA continueront à s'appliquer à ces données personnelles conservées.

6. COOPÉRATION.

6.1 Demandes des personnes concernées. Si FaceFirst reçoit des demandes de personnes souhaitant exercer leurs droits en relation avec les données personnelles traitées dans le cadre de l'accord (une " demande "), FaceFirst redirigera rapidement la demande vers le client dans la mesure où la personne est connue comme étant une personne concernée par les données du client. FaceFirst ne répondra pas directement à la demande, sauf si le client l'autorise ou si la loi l'exige. Le client peut adresser des demandes en utilisant les services. Si le client a besoin d'aide, il demandera la coopération raisonnable de FaceFirst, que FaceFirst fournira, aux frais du client.

6.2 DPIA et consultations préalables. Si la loi sur la protection des données l'exige, FaceFirst fournira, avec un préavis raisonnable et aux frais du client, les informations raisonnablement demandées concernant les services afin de permettre au client d'effectuer des évaluations de l'impact sur la protection des données (" DPIA ") et des consultations préalables avec les autorités chargées de la protection des données.

6.3 Demandes légales de divulgation. Si FaceFirst reçoit une demande valide de divulgation de données personnelles soumises à ce DPA, cette demande sera traitée conformément à l'Accord.

7. GÉNÉRALITÉS.

7.1 Relation avec l'accord. Toute réclamation introduite en vertu du présent DPA sera soumise aux dispositions de l'accord (y compris ses exclusions et limitations).

7.2. Conflits. En cas de conflit entre le présent DPA et toute disposition de l'accord, les termes du présent DPA prévaudront.

7.3 Mises à jour du DPA. FaceFirst peut mettre à jour ce DPA : (a) si une autorité de protection des données ou une autre entité gouvernementale ou réglementaire l'exige ; ou (b) pour se conformer à la loi sur la protection des données. FaceFirst peut également échanger, adopter ou mettre à jour ses mécanismes de transfert de données ou de conformité à condition qu'ils soient reconnus par la loi sur la protection des données. Le DPA modifié entrera en vigueur lorsqu'il sera publié sur le site web de FaceFirst ou comme prévu dans l'accord.

8. DÉFINITIONS.

Accord désigne l'accord écrit ou électronique entre le client et FaceFirst pour la fourniture de services au client.

Contrôleur : entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.

Loi sur la protection des données : toutes les lois sur la protection des données et de la vie privée applicables au traitement des données à caractère personnel dans le cadre des services.

Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable contenue dans les données du client.

On entend par violation des données à caractère personnel une violation de la sécurité des services entraînant la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès à celles-ci, de manière accidentelle ou illicite.

Sous-traitant désigne une entité qui traite les données personnelles pour le compte d'un contrôleur. Services désigne, aux fins du présent DPA, tout service cloud ou services fournis par FaceFirst au client conformément au contrat.

Services : les services d'assistance fournis dans le cadre de l'accord.

Sous-traitant désigne tout sous-traitant engagé par FaceFirst ou tout membre de son groupe de sociétés qui traite les données personnelles conformément à l'accord. Les sous-traitants peuvent inclure des tiers ou tout membre du groupe de sociétés de FaceFirst.

Conditions supplémentaires de l'ACCP

Dans la mesure où la loi californienne de 2018 sur la protection de la vie privée des consommateurs, telle que modifiée, Cal. Civ. Code § 1798.100 et seq. (" CCPA ") s'applique aux données personnelles que le client divulgue à FaceFirst à des " fins commerciales " et lorsque FaceFirst agit en tant que " fournisseur de services " du client conformément au Contrat, tels que ces termes sont définis par le CCPA, les conditions supplémentaires suivantes s'appliquent :

  1. FaceFirst traite les données personnelles dans le but limité et spécifique de fournir les services FaceFirst achetés dans le cadre du contrat, qui peuvent être détaillés dans le programme de support et de maintenance à l'adresse suivante www.gatekeepersystems.com/support-terms/le cas échéant.
  2. FaceFirst se conformera aux exigences de la CCPA qui sont applicables à FaceFirst en tant que fournisseur de services et fournira le niveau de protection de la vie privée tel que décrit plus en détail dans l'accord, y compris en facilitant les réponses du client et le respect des demandes de ses consommateurs comme détaillé dans la section 6 (Coopération), et en mettant en œuvre des mesures de sécurité comme décrit dans la section 3 (Mesures de sécurité).
  3. Pour s'assurer que FaceFirst utilise les données personnelles d'une manière compatible avec les obligations du client en vertu de la CCPA, le client peut prendre les mesures raisonnables et appropriées énoncées dans la section 5 (Rapports d'audit).
  4. FaceFirst informera le client si elle détermine qu'elle ne peut plus respecter ses obligations en vertu de la CCPA.
  5. Si le client croit raisonnablement que FaceFirst utilise les données personnelles d'une manière non autorisée par l'accord ou par le CCPA, le client peut prendre les mesures raisonnables et appropriées suivantes : (i) notifier FaceFirst afin que les parties puissent travailler ensemble de bonne foi pour résoudre le problème, ou (ii) exercer tout autre droit prévu dans l'Accord.
  6. FaceFirst ne " vendra " ni ne " partagera " les données personnelles (telles que ces termes sont définis dans la CCPA).
  7. FaceFirst ne conservera pas, n'utilisera pas et ne divulguera pas les données personnelles en dehors de la relation commerciale directe entre FaceFirst et le client, ni à des fins commerciales ou autres que l'objectif commercial identifié ci-dessus, sauf autorisation contraire de la CCPA.
  8. FaceFirst ne combinera pas les données personnelles avec des données reçues d'une autre source ou avec des données collectées par FaceFirst à partir de ses propres interactions avec les consommateurs du client, sauf si cela est autorisé par la CCPA.