Le présent accord sur le traitement des données (le “DPA”) fait partie intégrante de tous les accords conclus entre le client et POPHAW LLC, exerçant ses activités sous le nom de “TradeGo AI”.”, société à responsabilité limitée du Delaware, dont le siège est situé à l'adresse suivante 1007 N Orange St., Suite 937, 4th Floor, Wilmington, DE 19801, États-Unis (“Processeur”, “TradeGo AI”, “nous”ou “nous”), et le client identifié dans l'accord applicable (“Client” ou “Contrôleur”).
Le présent DPA complète et fait partie intégrante de l'accord-cadre d'abonnement, des conditions de service ou de tout autre accord de services conclu entre les parties (collectivement, les “DPA").“Accord”) et énonce l'accord des parties concernant le traitement des données à caractère personnel.
Dans le cadre de la fourniture des services prévus par l'accord, le sous-traitant peut traiter des données à caractère personnel pour le compte du client. Les parties conviennent de se conformer aux conditions énoncées dans le présent DPA.
En cas de conflit entre le présent DPA et l'accord, le présent DPA prévaut en ce qui concerne l'objet du présent document.
Le présent DPA entre en vigueur à la date d'entrée en vigueur de l'accord (“Date d'entrée en vigueur”) et remplace tout accord antérieur sur le traitement des données entre les parties.
1. Définitions
Les termes en majuscules qui ne sont pas autrement définis dans le présent document ont la signification qui leur est donnée dans l'accord.
(a) “Affilié” désigne toute entité qui contrôle directement ou indirectement une partie, qui est contrôlée par elle ou qui est sous contrôle commun avec elle.
(b) “Loi applicable en matière de protection des données” désigne toutes les lois et réglementations applicables au traitement des données à caractère personnel, y compris, mais sans s'y limiter :
-
Règlement (UE) 2016/679 (“GDPR”) ;
-
Le GDPR britannique et la loi britannique sur la protection des données 2018 ;
-
Loi fédérale suisse sur la protection des données ;
-
California Consumer Privacy Act et California Privacy Rights Act (“California Privacy Law”) ;
-
toute autre loi applicable en matière de protection de la vie privée ou des données.
(c) “Affilié autorisé” désigne toute société affiliée du client autorisée à utiliser les services en vertu du contrat.
(d) “Contrôleur” désigne le client.
(e) “Données du contrôleur” désigne les données à caractère personnel traitées par le sous-traitant pour le compte du client.
(f) “Violation de données” désigne une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée des données du contrôleur ou l'accès à ces données.
(g) “Instructions” désigne les instructions documentées fournies par le client au sous-traitant, notamment dans le cadre de l'utilisation des services par le client.
(h) “Données à caractère personnel” toute information relative à une personne physique identifiée ou identifiable.
(i) “Traitement” désigne toute opération effectuée sur des données à caractère personnel, telle que définie par la législation applicable en matière de protection des données.
(j) “Processeur” signifie POPHAW LLC (d/b/a TradeGo AI).
(k) “Services” désigne les produits et services fournis dans le cadre de l'accord.
(l) “Sous-processeur” désigne tout tiers engagé par le sous-traitant pour traiter les données du contrôleur.
2. Finalité du traitement
2.1 Le sous-traitant traite les données du contrôleur uniquement dans le but de fournir les services conformément à l'accord et aux instructions du client.
2.2 La portée, la nature, la finalité et la durée du traitement sont décrites plus en détail dans les documents suivants Annexe 1 (détails du traitement).
3. Rôles et responsabilités
3.1 Rôles des parties
-
En vertu du GDPR, du GDPR britannique et du droit suisse, le client agit en tant que Contrôleur et le processeur joue le rôle de Processeur.
-
En vertu de la loi californienne sur la protection de la vie privée, le sous-traitant agit en tant que Prestataire de services.
3.2 Instructions pour les clients
Le client déclare et garantit qu'il a obtenu tous les droits, consentements et bases légales nécessaires pour traiter les données à caractère personnel et pour charger le sous-traitant de traiter ces données.
3.3 Limitation de l'objet
Le sous-traitant ne traite les données du contrôleur que conformément aux instructions du client et à des fins autorisées.
3.4 Demandes des personnes concernées
Il incombe au client de répondre aux demandes des personnes concernées. Le sous-traitant fournit une assistance commercialement raisonnable lorsque la loi l'exige.
4. Obligations du sous-traitant
4.1 Confidentialité
Le sous-traitant veille à ce que le personnel autorisé à traiter les données du contrôleur soit lié par des obligations de confidentialité.
4.2 Divulgation
Le sous-traitant ne divulgue pas les données du contrôleur, sauf si la loi l'exige ou si la présente DPA l'autorise.
4.3 Conservation et suppression
En cas de résiliation de l'accord, le sous-traitant supprime ou restitue les données du contrôleur dans un délai de trente (30) jours, à moins que la loi n'exige la conservation des données.
4.4 Mesures de sécurité
Le sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées, telles que décrites dans le document Annexe 2.
5. Violation de données
5.1 Le sous-traitant notifie le client dans les meilleurs délais et au plus tard 72 heures après avoir pris connaissance d'une violation de données.
5.2 Le sous-traitant aide raisonnablement le client à notifier les violations, le cas échéant.
6. Les audits
Le client peut vérifier la conformité du sous-traitant une fois par an en faisant appel à un auditeur indépendant, sous réserve d'un préavis raisonnable et d'obligations de confidentialité.
7. Sous-traitants
7.1 Le client autorise le sous-traitant à engager des sous-traitants secondaires.
7.2 Une liste actualisée des sous-traitants secondaires est disponible sur demande ou publiée sur le site web du sous-traitant.
7.3 Le sous-traitant reste responsable des actes et omissions des sous-traitants secondaires.
8. Transferts internationaux de données
Le sous-traitant met en place des garanties appropriées pour les transferts restreints, y compris des clauses contractuelles types ou d'autres mécanismes légaux.
9. Limitation de la responsabilité
La responsabilité totale de chaque partie au titre du présent DPA est soumise aux limitations prévues dans l'accord.
10. Divers et variés
10.1 Le présent DPA est régi par le droit applicable spécifié dans l'accord.
10.2 Le présent DPA peut être mis à jour sur notification, l'utilisation continue des services valant acceptation.
Annexe 1 - Détails du traitement
Catégories de personnes concernées :
Les utilisateurs finaux, les clients et les autres personnes dont les données à caractère personnel sont communiquées par le client.
Types de données personnelles :
Informations de contact, données de compte, données d'utilisation et autres données soumises par l'intermédiaire des services.
Objet :
Fourniture des services.
Durée de l'enquête :
Durée de l'accord et période de suppression.
Annexe 2 - Mesures techniques et organisationnelles
Le sous-traitant maintient des garanties appropriées, y compris, mais sans s'y limiter :
-
Chiffrement en transit et au repos
-
Contrôles d'accès et authentification
-
Journalisation et surveillance
-
Procédures de réponse aux incidents
-
Pratiques de minimisation des données
-
Infrastructure sécurisée et sauvegardes