Addendum relatif au traitement des données

Ces conditions et calendriers de traitement des informations personnelles constituent l'addendum relatif au traitement des données de Recollective (« DPA ») et sont inclus par référence au Contrat d'abonnement au Logiciel en tant que service entre Recollective et le Client (le « Contrat »). En cas de conflit ou d'incohérence avec les termes du Contrat, le présent DPA prévaudra sur les termes du Contrat dans la mesure de ce conflit ou de cette incohérence.

Recollective se réserve le droit de mettre à jour le contenu de cette DPA de temps à autre après en avoir informé le Client en publiant un avis sur son site Web.

La durée de cette DPA suivra la durée du Contrat. Les mots en majuscules qui ne sont pas autrement définis dans le présent DPA auront le sens indiqué dans le Contrat.

L'article premier. Interprétation

Section 1.01 Définitions

(a) Les « informations personnelles californiennes » désignent les informations personnelles soumises à la protection de la CCPA.

(b) « CCPA » désigne les sections 1798.100 et suivantes du Code civil de Californie. (également connue sous le nom de California Consumer Privacy Act de 2018).

(c) Les termes « Consommateur », « Entreprise », « Vente » et « Fournisseur de services » auront la signification qui leur est donnée dans le CCPA.

(d) Le terme « responsable du traitement » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des informations personnelles.

(e) Les « lois sur la protection des données » désignent toutes les lois mondiales applicables en matière de protection des données et de confidentialité qui s'appliquent à la partie concernée chargée du traitement des informations personnelles en question dans le cadre de l'Accord, y compris, mais sans s'y limiter, les lois européennes sur la protection des données, le CCPA et les lois sur la protection des données et la confidentialité du Canada ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.

(f) La « personne concernée » désigne la personne à laquelle les informations personnelles se rapportent.

(g) « Date de suppression » désigne la date 180 jours à compter de la date de fin de l'accès administratif au Service ou toute période plus longue convenue par les parties.

(h) Le terme « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

(i) Les « données européennes » désignent les informations personnelles soumises à la protection des lois européennes sur la protection des données.

(j) Les « Lois européennes sur la protection des données » désignent les lois sur la protection des données applicables en Europe, notamment : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des informations personnelles et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la Directive 2002/58/CE concernant le traitement des informations personnelles et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) ; ou (iii) du RGPD en tant que il fait partie du droit interne du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur le retrait de l'Union européenne (« RGPD britannique ») ; et (iv) de la loi fédérale suisse sur la protection des données du 19 juin 1992 et de son ordonnance (« DPA suisse ») ; dans chaque cas, telle qu'elle peut être modifiée, remplacée ou remplacée.

(k) Les « instructions » désignent les instructions écrites et documentées émises par un responsable du traitement à un processeur, et lui demandant d'effectuer une action spécifique ou générale concernant les informations personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).

(l) Les « informations personnelles » désignent toutes les informations relatives à une personne identifiée ou identifiable lorsque ces informations sont contenues dans les données du client et sont protégées de la même manière que les informations personnelles, les informations personnelles ou les informations personnellement identifiables en vertu des lois applicables en matière de protection des données.

(m) « Violation des informations personnelles » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des informations personnelles transmises, stockées ou traitées de toute autre manière par Recollective et/ou les sous-traitants de Recollective dans le cadre de la fourniture des Services. La « violation des informations personnelles » n'inclura pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des informations personnelles, y compris les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service et autres attaques réseau contre des pare-feux ou des systèmes en réseau.

(n) Le terme « Consentement relatif aux informations personnelles » désigne le projet de libellé du consentement relatif aux informations personnelles tel qu'il apparaît dans la zone « Contrats » des paramètres d'administration du site Web du Service.

(o) Le « traitement » désigne toute opération ou ensemble d'opérations effectué sur des informations personnelles, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, l'alignement ou la combinaison, la restriction ou l'effacement des informations personnelles. Les termes « Processus », « Processus » et « Transformé » seront interprétés en conséquence.

(p) Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des informations personnelles pour le compte du responsable du traitement.

(q) Les « clauses contractuelles types » désignent les clauses contractuelles types pour les sous-traitants annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, sous la forme figurant à l'annexe D ; telles qu'elles peuvent être modifiées, remplacées ou remplacées.

(r) Le terme « Sous-traitant » désigne tout sous-traitant engagé par Recollective pour l'aider à remplir ses obligations en ce qui concerne la fourniture des Services en vertu du Contrat. Les sous-traitants peuvent inclure des tiers mais excluront tout employé ou consultant de Recollective.

L'article 2. Responsabilités du client

Section 2.01 Conformité aux lois.

Dans le cadre du Contrat et dans le cadre de son utilisation des services, le Client sera tenu de se conformer à toutes les exigences qui lui sont applicables en vertu des lois de protection des données applicables en ce qui concerne son traitement des informations personnelles et les instructions qu'il transmet à Recollective.

En particulier, mais sans préjudice de la généralité de ce qui précède, le Client reconnaît et accepte qu'il sera seul responsable : (i) de l'exactitude, de la qualité et de la légalité des Données du client et des moyens par lesquels le Client a acquis les Informations personnelles ; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des lois de protection des données applicables pour la collecte et l'utilisation des Informations personnelles, y compris l'obtention des consentements et autorisations nécessaires (en particulier pour une utilisation par le Client à des fins de marketing) ; (iii) s'assurer Le client a le droit de transférer ou de donner accès à ses informations personnelles à Recollective aux fins de traitement conformément aux termes du Contrat (y compris le présent DPA) ; (iv) de s'assurer que les instructions du client à Recollective concernant le traitement des informations personnelles sont conformes aux lois applicables, y compris les lois sur la protection des données ; et (v) de se conformer à toutes les lois (y compris les lois sur la protection des données) applicables à tout e-mail ou autre contenu créé, envoyé ou géré via les Services, y compris concernant l'obtention des consentements (le cas échéant) pour envoyer des e-mails, le contenu des e-mails et ses pratiques de déploiement des e-mails. Le Client informera Recollective dans les meilleurs délais s'il n'est pas en mesure de s'acquitter de ses responsabilités en vertu de cette section « Conformité avec les lois » ou des lois applicables en matière de protection des données.

Section 2.02 Consentement relatif aux informations personnelles.

Le client remplira avec précision, avec ses propres informations, le consentement relatif aux informations personnelles. Le client demandera à chaque utilisateur autorisé de consentir au consentement relatif aux informations personnelles avant et comme condition préalable à l'accès aux services (et en tout état de cause avant que le client ne collecte des informations personnelles auprès de cet utilisateur autorisé). Pour sa part, le client ne collectera, n'utilisera, ne divulguera et ne conservera les informations personnelles que conformément aux termes du consentement relatif aux informations personnelles et en aucun cas de manière déraisonnable.

RECOLLECTIVE NE GARANTIT PAS QUE L'OBTENTION DU CONSENTEMENT POUR LE TRAITEMENT DES INFORMATIONS PERSONNELLES SOUS LA FORME FOURNIE PAR LE CONSENTEMENT RELATIF AUX INFORMATIONS PERSONNELLES SATISFERA AUX LOIS DE PROTECTION DES DONNÉES APPLICABLES AU CLIENT ET/OU À SES UTILISATEURS AUTORISÉS.

Section 2.03 Instructions du contrôleur.

Les parties conviennent que le Contrat (y compris le présent DPA), ainsi que l'utilisation des Services par le Client conformément au Contrat, constituent des Instructions de mémorisation complètes du Client en ce qui concerne le traitement des informations personnelles, dans la mesure où le Client peut fournir des instructions supplémentaires pendant la Période de service qui soient conformes au Contrat, à la nature et à l'utilisation légale des Services.

Section 2.04 Sécurité.

Le client est responsable de déterminer de manière indépendante si la sécurité des données fournie dans le cadre du contrat répond de manière adéquate aux obligations du client en vertu des lois applicables en matière de protection des données.

L'article 3. Obligations mémorielles

Section 3.01 Conformité aux instructions.

Recollective traitera les informations personnelles uniquement aux fins décrites dans le présent DPA ou comme convenu autrement dans le cadre des instructions légales du client, sauf lorsque et dans la mesure où la loi applicable l'exige. Recollective n'est pas responsable du respect des lois sur la protection des données applicables aux clients ou au secteur des clients qui ne sont pas généralement applicables à Recollective.

Section 3.02 Conflit de lois.

Si Recollective apprend qu'elle ne peut pas traiter les informations personnelles conformément aux instructions du client en raison d'une obligation légale en vertu d'une loi applicable, Recollective (i) informera rapidement le client de cette obligation légale dans la mesure permise par la loi applicable ; et (ii) si nécessaire, cessera tout traitement (autre que le simple stockage et le maintien de la sécurité des informations personnelles concernées) jusqu'à ce que le client publie de nouvelles instructions auxquelles Recollective est en mesure de se conformer. Si cette disposition est invoquée, Recollective ne sera pas responsable envers le Client en vertu du Contrat pour tout manquement à l'exécution des Services applicables jusqu'à ce que le Client publie de nouvelles instructions légales concernant le Traitement.

Section 3.03 Sécurité.

Recollective mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les informations personnelles contre les violations d'informations personnelles, comme décrit dans la politique de sécurité de Recollective, telle que modifiée de temps à autre, dont une copie à jour est disponible sur https://recollective.com/resources/recollective-security-privacy-overview (la « Politique de sécurité »). Nonobstant toute disposition contraire, Recollective peut modifier ou mettre à jour la Politique de sécurité à la discrétion de Recollective, à condition que cette modification ou mise à jour n'entraîne pas de dégradation matérielle de la protection offerte par la Politique de sécurité.

Section 3.04 Confidentialité.

Recollective veillera à ce que tout personnel autorisé par Recollective à traiter des informations personnelles pour le compte de Recollective soit soumis à des obligations de confidentialité appropriées (qu'il s'agisse d'une obligation contractuelle ou légale) en ce qui concerne ces informations personnelles.

Section 3.05 Violations d'informations personnelles.

Recollective informera le Client sans retard injustifié dès que Recollective aura pris connaissance d'une violation des informations personnelles et fournira des informations en temps utile concernant la violation des informations personnelles dès qu'elle sera connue ou raisonnablement demandée par le Client. À la demande du client, Recollective fournira rapidement au client l'assistance raisonnable nécessaire pour lui permettre de signaler les violations d'informations personnelles pertinentes aux autorités compétentes et/ou aux personnes concernées, si le client est tenu de le faire en vertu des lois sur la protection des données.

Section 3.06 Suppression des données clients et des informations personnelles.

Recollective supprimera en toute sécurité toutes les données du client avant la date de suppression, y compris les informations confidentielles du client et les informations personnelles traitées conformément au présent DPA, à condition que, pour des raisons de clarté, Recollective puisse conserver les données résultantes.

L'article 4. Demandes des personnes concernées

(a) Les Services fournissent au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Informations personnelles, que le Client peut utiliser pour l'aider à s'acquitter de ses obligations en vertu des lois sur la protection des données, y compris les obligations du Client relatives à la réponse aux demandes des personnes concernées visant à exercer leurs droits en vertu des lois applicables en matière de protection des données (« Demandes des personnes concernées »).

(b) Dans la mesure où le Client n'est pas en mesure de répondre de manière indépendante à une demande de personne concernée par le biais des Services, Recollective fournira une assistance raisonnable au Client pour répondre à toutes les demandes des personnes concernées ou aux demandes des autorités de protection des données relatives au traitement des informations personnelles dans le cadre du Contrat. Le client remboursera à Recollective les coûts commercialement raisonnables résultant de cette assistance.

(c) Si une demande de la personne concernée ou toute autre communication concernant le traitement des informations personnelles dans le cadre du Contrat est adressée directement à Recollective, Recollective en informera rapidement le Client et conseillera à la Personne concernée de soumettre sa demande au Client. Le client sera seul responsable de répondre de manière substantielle à de telles demandes ou communications impliquant des informations personnelles.

L'article 5. Sous-processeurs

(a) Le client accepte que Recollective puisse engager des sous-traitants pour traiter les informations personnelles en son nom. Recollective a actuellement désigné, en tant que sous-traitants, les tiers énumérés dans l'annexe B du présent DPA. Recollective informera le Client si Recollective ajoute ou remplace un sous-traitant répertorié dans l'Annexe B au moins 7 jours avant de tels changements.

(b) Lorsque Recollective engage des sous-traitants, Recollective imposera aux sous-traitants des conditions de protection des données qui offrent au moins le même niveau de protection des informations personnelles que celui prévu dans le présent DPA (y compris, le cas échéant, les clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces sous-traitants. Recollective restera responsable du respect par chaque sous-traitant des obligations du présent DPA et de tout acte ou omission de ce sous-traitant qui entraînerait un manquement de Recollective à l'une de ses obligations en vertu de ce DPA.

L'article 6. Transferts de données

Le client reconnaît et accepte que Recollective puisse accéder aux informations personnelles et les traiter à l'échelle mondiale si nécessaire pour fournir les services conformément au Contrat, et en particulier que les informations personnelles peuvent être transférées et traitées par Recollective au Canada, aux États-Unis, dans l'Union européenne et dans d'autres juridictions où Recollective et ses sous-traitants exercent des activités. Chaque fois que des informations personnelles sont transférées en dehors de leur pays d'origine, chaque partie veillera à ce que ces transferts soient effectués conformément aux exigences des lois sur la protection des données.

L'article 7. Dispositions supplémentaires pour les données européennes

Section 7.01 Champ d'application.

Le présent article « Dispositions supplémentaires relatives aux données européennes » ne s'applique qu'aux données européennes.

Section 7.02 Rôles des parties.

Lors du traitement des données européennes conformément aux instructions du client, les parties reconnaissent et conviennent que le client est le responsable du traitement des données européennes et que Recollective est le sous-traitant. Le client fournira à Recollective un préavis identifiant les informations personnelles pertinentes avant de transférer les données européennes à Recollective.

Section 7.03 Instructions.

Si Recollective estime qu'une instruction destinée au client enfreint les lois européennes sur la protection des données (le cas échéant), Recollective en informera le client sans délai.

Section 7.04 Objection aux nouveaux sous-traitants.

Recollective donnera au client la possibilité de s'opposer à l'engagement de nouveaux sous-traitants pour des motifs raisonnables liés à la protection des informations personnelles dans les 7 jours suivant la notification au client conformément à la section « Sous-processeurs ». Si le client informe Recollective d'une telle objection, les parties discuteront de bonne foi des préoccupations du client en vue de parvenir à une solution commercialement raisonnable. Si aucune solution de ce type ne peut être trouvée, Recollective, à sa seule discrétion, soit ne nommera pas le nouveau sous-traitant, soit autorisera le Client à suspendre ou à résilier les Services concernés conformément aux dispositions de résiliation du Contrat sans engager sa responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant la suspension ou la résiliation). Les parties conviennent qu'en se conformant à la présente section 7.04, Recollective remplit ses obligations en vertu de la clause 9 des clauses contractuelles types.

Section 7.05 Contrats de sous-traitance.

Aux fins de la Clause 9 (c) des Clauses contractuelles types, le Client reconnaît que Recollective peut être empêchée de divulguer les contrats de sous-traitant, mais que Recollective déploiera des efforts raisonnables pour exiger que tout sous-traitant désigné par Recollective l'autorise à divulguer le contrat de sous-traitant au Client et fournira (sur une base confidentielle) toutes les informations raisonnablement en mesure de le faire.

Section 7.06 Analyses d'impact relatives à la protection des données et consultation des autorités de surveillance.

Dans la mesure où les informations requises sont raisonnablement accessibles à Recollective et que le Client n'y a pas autrement accès, Recollective fournira une assistance raisonnable au Client pour toute analyse d'impact sur la protection des données et consultera préalablement les autorités de surveillance ou d'autres autorités compétentes en matière de confidentialité des données dans la mesure requise par les lois européennes sur la protection des données.

Section 7.07 Mécanismes de transfert pour les transferts de données.

(a) Recollective ne transfèrera pas de données européennes vers un pays ou un destinataire non reconnu comme fournissant un niveau de protection adéquat des informations personnelles (au sens des lois européennes applicables sur la protection des données), à moins qu'elle ne prenne au préalable toutes les mesures nécessaires pour garantir que le transfert est conforme aux lois européennes applicables en matière de protection des données. Ces mesures peuvent inclure (sans s'y limiter) le transfert de ces données à un destinataire couvert par un cadre approprié ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les tribunaux concernés comme offrant un niveau de protection adéquat des informations personnelles, à un destinataire qui a obtenu une autorisation de règles d'entreprise contraignantes conformément aux lois européennes sur la protection des données, ou à un destinataire qui a exécuté les clauses contractuelles types appropriées dans chaque cas, telles qu'adoptées ou approuvées conformément aux données européennes applicables. Lois de protection.

(b) Le client reconnaît que dans le cadre de l'exécution des Services, Recollective est destinataire de données européennes au Canada. Les parties reconnaissent que le Canada a été reconnu comme fournissant une protection adéquate par les autorités compétentes pour permettre le transfert de données européennes sans autre mécanisme de transfert.

(c) Les parties conviennent qu'aux fins des Clauses contractuelles types, (i) Recollective sera « l'importateur de données » et le Client sera l' « exportateur de données » ; (ii) les annexes des clauses contractuelles types seront remplies avec les informations pertinentes énoncées dans les annexes A et B du présent DPA ; et (iii) si et dans la mesure où les clauses contractuelles types entrent en conflit avec une disposition de cette DPA, les Clauses contractuelles types prévaudra dans la mesure de ce conflit.

(d) Dans la mesure où et tant que les clauses contractuelles types mises en œuvre conformément au présent DPA ne peuvent pas être invoquées par les parties pour transférer légalement des informations personnelles conformément au RGPD britannique, les clauses standard de protection des données applicables publiées, adoptées ou autorisées en vertu du RGPD britannique seront incorporées par référence, et les annexes, annexes ou tableaux de ces clauses seront réputés remplis avec les informations pertinentes énoncées dans les annexes A et B du présent DPA PA.

(e) Si, pour une raison quelconque, Recollective ne peut pas respecter ses obligations en vertu des Clauses contractuelles types ou viole les garanties prévues par les Clauses contractuelles types, et que le Client a l'intention de suspendre le transfert de données européennes à Recollective ou de résilier les Clauses contractuelles types, le Client accepte de fournir à Recollective un préavis raisonnable pour permettre à Recollective de remédier à cette non-conformité et de coopérer raisonnablement avec Recollective pour identifier les garanties supplémentaires, le cas échéant, qui peuvent être mises en œuvre pour remédier à cette non-conformité. Si Recollective n'a pas remédié ou ne peut pas remédier à la non-conformité, le Client peut suspendre ou résilier la partie concernée des Services conformément au Contrat sans engager sa responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais que le Client a engagés avant cette suspension ou résiliation).

Section 7.08 Démonstration de conformité.

Recollective mettra toutes les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA à la disposition du Client et permettra et contribuera à des audits, y compris des inspections menées par l'auditeur du Client afin d'évaluer la conformité à ce DPA. Le Client reconnaît et accepte qu'il exercera ses droits d'audit en vertu du présent DPA et de la Clause 8.9 des Clauses contractuelles types en demandant à Recollective de se conformer aux mesures d'audit décrites dans cette Section 7.08. Le Client reconnaît que les Services sont hébergés par les sous-processeurs d'hébergement de Recollective qui gèrent des programmes de sécurité validés de manière indépendante (y compris SOC 2 et ISO 27001) et que les systèmes de Recollective sont régulièrement testés par des sociétés de tests d'intrusion tierces indépendantes. Sur demande, Recollective fournira (sur une base confidentielle) une copie récapitulative de ses rapports de tests d'intrusion au Client afin que le Client puisse vérifier la conformité de Recollective à cette DPA. En outre, à la demande écrite du Client, Recollective fournira des réponses écrites (sur une base confidentielle) à toutes les demandes raisonnables d'informations du Client nécessaires pour confirmer la conformité de Recollective à la présente DPA, étant entendu que le Client n'exercera pas ce droit plus d'une fois par année civile à moins que le Client n'ait des motifs raisonnables de soupçonner un non-respect de la DPA.

L'article 8. Dispositions supplémentaires relatives aux informations personnelles en Californie

Section 8.01 Champ d'application.

La section « Dispositions supplémentaires relatives aux informations personnelles californiennes » de la DPA s'appliquera uniquement aux informations personnelles californiennes.

Section 8.02 Rôles des parties.

Lors du traitement des informations personnelles californiennes conformément aux instructions du client, les parties reconnaissent et conviennent que le client est une entreprise et que Recollective est un fournisseur de services aux fins de la CCPA. Le client fournira à Recollective un préavis identifiant les informations personnelles pertinentes avant de transférer les informations personnelles californiennes à Recollective.

Section 8.03 Responsabilités.

Les parties conviennent que Recollective traitera les informations personnelles de la Californie en tant que fournisseur de services dans le seul but de fournir les services prévus par le Contrat (l' « Objectif commercial ») ou conformément à la CCPA.

L'article 9. Dispositions générales

Amendements à la section 9.01.

Nonobstant toute disposition contraire du Contrat et sans préjudice des sections « Conformité aux instructions » ou « Sécurité » du présent DPA, Recollective se réserve le droit d'apporter des mises à jour et des modifications à ce DPA.

Section 9.02 Limitation de responsabilité.

La responsabilité de chaque partie, prise dans son ensemble, découlant du présent APD (et de tout autre APD entre les parties) et des clauses contractuelles types (le cas échéant), qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de responsabilité, sera soumise aux limitations et exclusions de responsabilité énoncées dans la section « Limitation de responsabilité » du Contrat et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de cette partie (y compris dans le cadre du présent DPA). La responsabilité de l'une ou l'autre des parties ne sera en aucun cas limitée en ce qui concerne les droits de protection des données d'un individu en vertu du présent DPA (y compris les clauses contractuelles types) ou autrement.

Annexe A
Détails du traitement

Catégories de personnes concernées dont les informations personnelles sont transférées

  • Les utilisateurs finaux de la plateforme de recherche qualitative en ligne de Recollective (la « Communauté ») qui ont été autorisés à accéder à la Communauté par le Client et qui, pour plus de certitude, sont :
  • les administrateurs du client (qui peuvent être des employés ou des agents du client) ; et
  • Sujets de recherche du client.

Catégories d'informations personnelles transférées

Typique :

  • Identifiant (nom, nom d'utilisateur, identifiants uniques, etc.)
  • Authentification (mots de passe, codes PIN, etc.)
  • Préférences/Intérêts (opinions, intérêts, aversions, etc.)
  • Suivi (appareil informatique, coordonnées, localisation, etc.)

En outre, à la discrétion du client :

  • Professionnel (titres de poste, salaires, antécédents professionnels, etc.)
  • Famille (structure familiale, mariages, divorces, relations, etc.)
  • Démographie (tranches d'âge, caractéristiques physiques, tranches de revenus, zone géographique, etc.)
  • Tout autre point de données de recherche qui pourrait intéresser le client et qui ne sont pas sensibles.

Sensible (À NE TRANSFÉRER À RECOLLECTIVE QU'AVEC LE CONSENTEMENT ÉCRIT PRÉALABLE DE RECOLLECTIVE) :

  • Médecine et santé (santé physique et mentale, handicaps, etc.)
  • Sexuelle (vie sexuelle, orientation sexuelle, etc.)
  • Race (race, origine ethnique, etc.)
  • Politique (opinions politiques)

La fréquence du transfert

  • En continu

Nature du traitement

  • Si nécessaire pour faire fonctionner la Communauté et atteindre les objectifs de recherche du client, ce qui, pour plus de certitude, signifie :
  • Migration, configuration et hébergement de données personnelles dans le cadre de la Communauté ;
  • Extraction et transmission aux utilisateurs autorisés, au client et aux sous-traitants ;
  • Chiffrement, anonymisation, pseudonymisation et compilation ;
  • Traitement nécessaire pour faciliter les fonctionnalités spécifiques du produit (telles que l'enregistrement vidéo/audio)

Finalité du transfert de données et du traitement ultérieur

  • Pour remplir l'obligation contractuelle de Recollective envers le Client concernant l'accès et l'utilisation de la Communauté.

La période pendant laquelle les informations personnelles seront conservées

  • Pour remplir l'obligation contractuelle de Recollective envers le Client concernant l'accès et l'utilisation de la Communauté.

Pour les transferts à des sous-traitants, l'objet, la nature et la durée du traitement

  • Les sous-traitants qui hébergent la Communauté sur leurs serveurs stockeront les données personnelles intégrées à la Communauté dans le but de les stocker et de les rendre accessibles à Recollective, au Client et aux utilisateurs finaux. La durée du traitement sera équivalente à l'obligation de Recollective de faire fonctionner la Communauté (sous réserve des dispositions de conservation ci-dessus)
  • Les sous-traitants qui fournissent des fonctionnalités de plug-in (telles que l'enregistrement vidéo/audio) traiteront les données personnelles si nécessaire et uniquement pendant la durée nécessaire au bon fonctionnement de ces fonctionnalités de plug-in.
  • Les sous-traitants qui fournissent une assistance technique n'auront accès aux données personnelles qu'en tant que conséquence accessoire de leur accès à la Communauté dans le but de fournir des services d'assistance technique. Ils n'auront accès aux données personnelles que pendant la durée de la fourniture de services d'assistance technique.

Annexe B
Liste des sous-processeurs

(a) Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, États-Unis, et ses filiales ;

(b) Google LLC, dont les bureaux sont situés au 1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis, et ses filiales ;

(c) Microsoft Corporation, One Microsoft Way, Redmond, Washington 98052, États-Unis, et ses filiales ;

(d) Salesforce.com Canada Corporation, 10 Bay Street, Suite 400, Toronto, ON M5J 2R8, Canada et ses filiales ;

(e) Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, États-Unis, et ses filiales ; et

(f) Zilliz Inc., 330-201 Redwood Shores Parkway, Redwood City, CA, 94065, États-Unis, et ses filiales.

Annexe C
Clauses contractuelles types

Section I - GÉNÉRALITÉS

Article 1. Objectif et champ d'application

(a) L'objectif de ces clauses contractuelles types est de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données vers un pays tiers.

(b) Les Parties :

(i) la ou les personnes physiques ou morales, les autorités publiques, les agences ou autres organismes (ci-après « entités ») transférant les données personnelles, comme indiqué dans l'annexe I.A (ci-après chaque « exportateur de données »), et

(ii) la ou les entités d'un pays tiers recevant les données personnelles de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes Clauses, comme indiqué dans l'Annexe I.A (ci-après chaque « importateur de données ») ont accepté ces clauses contractuelles types (ci-après : les « Clauses »).

(c) Les présentes Clauses s'appliquent au transfert de données personnelles tel que spécifié dans l'Annexe I.B.

(d) L'annexe aux présentes clauses contenant les pièces qui y sont mentionnées fait partie intégrante des présentes clauses.

Article 2. Effet et invariabilité des clauses

(a) Ces clauses définissent les garanties appropriées, y compris les droits applicables des personnes concernées et les recours juridiques effectifs, conformément à l'article 46 (1) et à l'article 46 (2) (c) du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du Règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou ajouter ou mettre à jour des informations dans l'annexe. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, ces Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3. Bénéficiaires tiers

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, avec les exceptions suivantes :

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Les clauses 8.1 (b), 8.9 (a), (c), (d) et (e) ;

(iii) Clause 9 (a), (c), (d) et (e) ;

(iv) Clause 12 (a), (d) et (f) ;

v) L'article 13 ;

(vi) Clause 15.1 (c), (d) et (e) ;

(vii) Article 16, alinéa e) ;

(viii) Clause 18 (a) et (b).

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4. Interprétation

(a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ce Règlement.

(b) Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.

(c) Les présentes Clauses ne doivent pas être interprétées d'une manière contraire aux droits et obligations prévus dans le Règlement (UE) 2016/679.

Article 5. Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes Clauses sont convenues ou conclues ultérieurement, les présentes Clauses prévaudront.

Article 6. Description du ou des transferts

Les détails du ou des transferts, et en particulier les catégories de données personnelles transférées et la ou les finalités pour lesquelles ils sont transférés, sont spécifiés dans le Tableau I.B.

Article 7. Clause d'amarrage

(a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, adhérer à ces clauses à tout moment, soit en tant qu'exportatrice de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant la pièce I.A.

(b) Une fois qu'elle aura rempli l'appendice et signé la pièce I.A, l'entité adhérente deviendra partie aux présentes clauses et aura les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation dans l'annexe I.A.

(c) L'entité adhérente n'aura aucun droit ni aucune obligation découlant des présentes Clauses à compter de la période précédant le moment où elle devient Partie.

Section II - OBLIGATIONS DES PARTIES

Article 8. Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.

8.1 Instructions

(a) L'importateur de données ne traitera les données personnelles que sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

(b) L'importateur de données doit immédiatement informer l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation des finalités

L'importateur de données traitera les données personnelles uniquement aux fins spécifiques du transfert, comme indiqué dans l'Annexe I.B, sauf instructions supplémentaires de la part de l'exportateur de données.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris de l'annexe telle que complétée par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou autres informations confidentielles, y compris les mesures décrites dans le Tableau II et les données personnelles, l'exportateur de données peut rédiger une partie du texte de l'Annexe aux présentes Clauses avant d'en partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause ne porte pas atteinte aux obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Précision

Si l'importateur de données se rend compte que les données personnelles qu'il a reçues sont inexactes ou sont devenues obsolètes, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données doit coopérer avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou renvoi des données

Le traitement par l'importateur de données n'a lieu que pendant la durée spécifiée dans l'Annexe I.B. Après la fin de la fourniture des services de traitement, l'importateur de données doit, au choix de l'exportateur de données, supprimer toutes les données personnelles traitées pour le compte de l'exportateur de données et certifier à l'exportateur de données qu'il l'a fait, ou renvoyer à l'exportateur de données toutes les données personnelles traitées pour son compte et supprimer les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à veiller au respect de ces clauses. Dans le cas où les lois locales applicables à l'importateur de données interdisent le retour ou la suppression des données personnelles, l'importateur de données garantit qu'il continuera à garantir le respect des présentes clauses et qu'il ne les traitera que dans la mesure et pendant la durée requises par cette législation locale. Cela est sans préjudice de la clause 14, en particulier de l'obligation pour l'importateur de données en vertu de la clause 14 (e) d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de penser qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14 (a).

8.6 Sécurité du traitement

a) L'importateur de données et, lors de la transmission, également l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à ces données (ci-après « violation de données personnelles »). Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques liés au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris lors de la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer à ses obligations en vertu du présent paragraphe, l'importateur de données doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées dans le Tableau II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.

(b) L'importateur de données n'accordera l'accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

(c) En cas de violation de données personnelles concernant les données personnelles traitées par l'importateur de données en vertu des présentes Clauses, l'importateur de données doit prendre les mesures appropriées pour remédier à la violation, y compris des mesures pour atténuer ses effets négatifs. L'importateur de données doit également informer l'exportateur de données sans retard injustifié après avoir pris connaissance de la violation. Cette notification doit contenir les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale doit contenir les informations alors disponibles et des informations supplémentaires sont fournies ultérieurement, dès qu'elles seront disponibles, sans retard indu.

(d) L'importateur de données coopère avec l'exportateur de données et l'aide pour lui permettre de se conformer à ses obligations en vertu du règlement (UE) 2016/679, notamment en ce qui concerne la notification à l'autorité de contrôle compétente et aux personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert concerne des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance à un syndicat, des données génétiques ou biométriques destinées à identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après « données sensibles »), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites dans l'Annexe I.B.

8.8 Transferts ultérieurs

L'importateur de données ne divulguera les données personnelles à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est lié par les présentes Clauses ou accepte de l'être, dans le cadre du Module approprié, ou si :

i. le transfert ultérieur a lieu vers un pays bénéficiant d'une décision d'adéquation conformément à l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

ii. le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

iii. le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

iv. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité

(a) L'importateur de données traitera rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement en vertu des présentes Clauses.

(b) Les Parties seront en mesure de démontrer le respect des présentes Clauses. En particulier, l'importateur de données doit conserver une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

(c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses et, à la demande de l'exportateur de données, autoriser et contribuer à des audits des activités de traitement couvertes par les présentes Clauses, à des intervalles raisonnables ou s'il existe des indications de non-conformité. Pour décider de procéder à une révision ou à un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués avec un préavis raisonnable.

e) Les Parties mettent les informations visées aux paragraphes b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de surveillance compétente sur demande.

Article 9. Utilisation de sous-traitants

(a) L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste en ajoutant ou en remplaçant des sous-traitants au moins 7 jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à de telles modifications avant l'engagement du ou des sous-traitants. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il doit le faire au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu'en se conformant à cette clause, l'importateur de données remplit ses obligations en vertu de la clause 8.8. L'importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles il est soumis en vertu des présentes Clauses.

(c) L'importateur de données doit fournir, à la demande de l'exportateur de données, une copie de ce contrat de sous-traitement et de toute modification ultérieure à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les données personnelles, l'importateur de données peut rédiger le texte de l'accord avant d'en partager une copie.

(d) L'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant à ses obligations en vertu de ce contrat.

(e) L'importateur de données doit conclure avec le sous-traitant une clause de tiers bénéficiaire selon laquelle, dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister légalement ou est devenu insolvable, l'exportateur de données a le droit de résilier le contrat de sous-traitant et de demander au sous-traitant d'effacer ou de renvoyer les données personnelles.

Article 10. Droits des personnes concernées

a) L'importateur de données informe rapidement l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répondra pas lui-même à cette demande à moins d'y avoir été autorisé par l'exportateur de données.

(b) L'importateur de données aide l'exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définiront dans l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance sera fournie, ainsi que de la portée et de l'étendue de l'assistance requise.

(c) En remplissant ses obligations en vertu des paragraphes (a) et (b), l'importateur de données doit se conformer aux instructions de l'exportateur de données.

Article 11. Réparer

a) L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d'une notification individuelle ou sur son site Web, de l'existence d'un point de contact autorisé à traiter les plaintes. Il traite rapidement toute plainte qu'il reçoit d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des Parties concernant le respect des présentes Clauses, cette Partie fera de son mieux pour résoudre le problème à l'amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.

(c) Lorsque la personne concernée invoque le droit d'un tiers bénéficiaire conformément à la Clause 3, l'importateur de données accepte la décision de la personne concernée de :

i) déposer une plainte auprès de l'autorité de contrôle de l'État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l'autorité de contrôle compétente conformément à la clause 13 ;

(ii) soumettre le litige aux tribunaux compétents au sens de la Clause 18.

(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association sans but lucratif dans les conditions énoncées à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L'importateur de données doit se conformer à une décision qui est contraignante en vertu de la législation applicable de l'UE ou de l'État membre.

(f) L'importateur de données convient que le choix fait par la personne concernée ne portera pas atteinte à ses droits fondamentaux et procéduraux de demander réparation conformément aux lois applicables.

Article 12. Responsabilité

(a) Chaque Partie est responsable envers l'autre Partie pour tout dommage qu'elle cause à l'autre Partie en raison d'une violation des présentes Clauses.

(b) L'importateur de données est responsable envers la personne concernée, et celle-ci a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes Clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et celle-ci a le droit de recevoir une indemnisation, pour tout dommage matériel ou moral que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits des bénéficiaires tiers en vertu des présentes Clauses. Cela est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que si l'exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l'importateur de données (ou son sous-traitant), il sera en droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données pour le dommage.

(e) Lorsque plusieurs Parties sont responsables de tout dommage causé à la personne concernée à la suite d'une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces Parties.

(f) Les parties conviennent que si l'une des parties est tenue responsable en vertu du paragraphe (e), elle sera en droit de réclamer à l'autre partie de l'indemnisation la partie de l'indemnisation correspondant à sa responsabilité pour le dommage.

(g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant pour se soustraire à sa propre responsabilité.

Article 13. Supervision

(a) Lorsque l'exportateur de données est établi dans un État membre de l'UE, l'autorité de contrôle chargée de veiller à ce que l'exportateur de données se conforme au règlement (UE) 2016/679 en ce qui concerne le transfert de données agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du règlement (UE) 2016/679, l'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 est établi agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois avoir à désigner un représentant conformément à l'article 27, paragraphe 2, du règlement (UE) 2016/679, l'autorité de contrôle de l'un des États membres dans lequel les personnes concernées dont les données personnelles sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services qui leur sont proposées, ou le comportement est surveillé, est localisé, doit agir en tant que superviseur compétent autorité.

(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de surveillance compétente et de coopérer avec celle-ci dans le cadre de toute procédure visant à garantir le respect des présentes Clauses. En particulier, l'importateur de données accepte de répondre aux demandes, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite indiquant que les mesures nécessaires ont été prises.

Section III - LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Article 14. Lois et pratiques locales affectant le respect des Clauses

(a) Les parties garantissent qu'elles n'ont aucune raison de penser que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l'importateur de données, y compris les exigences relatives à la divulgation de données personnelles ou les mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes clauses. Cela repose sur la compréhension que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec ces clauses.

(b) Les parties déclarent qu'en fournissant la garantie visée au paragraphe (a), elles ont dûment tenu compte en particulier des éléments suivants :

(i) les circonstances spécifiques du transfert, notamment la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

(ii) les lois et pratiques du pays tiers de destination, y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès de ces autorités, pertinentes au regard des circonstances spécifiques du transfert, ainsi que les limites et garanties applicables ;

(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées lors de la transmission et du traitement des données personnelles dans le pays de destination.

(c) L'importateur de données garantit que, lors de l'évaluation visée au paragraphe (b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour garantir le respect des présentes clauses.

d) Les Parties conviennent de documenter l'évaluation conformément au paragraphe b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.

(e) L'importateur de données accepte d'informer rapidement l'exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de penser qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'une modification de la législation du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application pratique de ces lois non conforme aux exigences de paragraphe (a).

(f) À la suite d'une notification conformément au paragraphe (e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes Clauses, l'exportateur de données doit rapidement identifier les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour faire face à la situation. L'exportateur de données suspend le transfert de données s'il estime qu'aucune garantie appropriée ne peut être garantie pour ce transfert, ou s'il est chargé par l'autorité de contrôle compétente de le faire. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données personnelles en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données peut exercer ce droit de résiliation uniquement à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque le contrat est résilié conformément à la présente clause, la clause 16 (d) et (e) s'applique.

Article 15. Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

a) L'importateur de données accepte d'informer rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) s'il :

(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu de la législation du pays de destination concernant la divulgation de données personnelles transférées conformément aux présentes Clauses ; cette notification doit inclure des informations sur les données personnelles demandées, l'autorité requérante, le fondement juridique de la demande et la réponse fournie ; ou

(ii) prend connaissance de tout accès direct par les autorités publiques aux données personnelles transférées conformément aux présentes Clauses conformément aux lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l'importateur.

(b) S'il est interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée en vertu de la législation du pays de destination, l'importateur de données accepte de faire de son mieux pour obtenir une dérogation à l'interdiction, afin de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

(c) Lorsque la législation du pays de destination le permet, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité ou les autorités demandeuses, si les demandes ont été contestées et l'issue de ces contestations, etc.).

(d) L'importateur de données accepte de conserver les informations conformément aux paragraphes (a) à (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données conformément à la Clause 14 (e) et à la Clause 16 d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces Clauses.

15.2 Examen de la légalité et minimisation des données

a) L'importateur de données accepte de vérifier la légalité de la demande de divulgation, en particulier pour savoir si elle relève des pouvoirs conférés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, utiliser les possibilités de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur le fond. Il ne divulguera pas les données personnelles demandées tant que les règles de procédure applicables ne l'obligeront pas à le faire. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la clause 14 (e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par la législation du pays de destination, de mettre la documentation à la disposition de l'exportateur de données. Il le met également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données accepte de fournir le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

Section IV - DISPOSITIONS FINALES

Article 16. Non-respect des Clauses et résiliation

(a) L'importateur de données informera rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses, pour quelque raison que ce soit.

(b) Si l'importateur de données enfreint les présentes Clauses ou n'est pas en mesure de les respecter, l'exportateur de données doit suspendre le transfert de données personnelles à l'importateur de données jusqu'à ce que la conformité soit à nouveau garantie ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14 (f).

(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données personnelles en vertu des présentes clauses, lorsque :

(i) l'exportateur de données a suspendu le transfert de données personnelles à l'importateur de données conformément au paragraphe (b) et le respect des présentes Clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans le mois suivant la suspension ;

(ii) l'importateur de données est en violation substantielle ou persistante des présentes Clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de surveillance concernant ses obligations en vertu des présentes Clauses.

Dans ces cas, elle informe l'autorité de contrôle compétente de cette non-conformité. Lorsque le contrat implique plus de deux parties, l'exportateur de données peut exercer ce droit de résiliation uniquement à l'égard de la partie concernée, sauf si les parties en ont convenu autrement.

(d) Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) doivent, au choix de l'exportateur de données, être immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à veiller au respect de ces clauses. Dans le cas où les lois locales applicables à l'importateur de données interdisent le retour ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à garantir le respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pendant la durée requises par cette législation locale.

(e) Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision conformément à l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données personnelles auxquelles ces clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données personnelles sont transférées. Ceci est sans préjudice des autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679.

Article 17. Loi applicable

Les présentes Clauses sont régies par le droit de l'un des États membres de l'UE, à condition que ce droit reconnaisse les droits des tiers bénéficiaires. Les parties conviennent que ce sera la loi de l'Irlande.

Article 18. Choix du forum et de la juridiction

(a) Tout litige découlant des présentes Clauses sera résolu par les tribunaux d'un État membre de l'UE.

(b) Les parties conviennent que ces tribunaux seront compétents en Irlande.

(c) Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les parties conviennent de se soumettre à la juridiction de ces tribunaux.

Annexe à l'annexe C
EXPOSITION I

A. LISTE DES PARTIES

L'exportateur de données est le « Client » tel que défini dans le contrat d'abonnement au logiciel en tant que service entre l'exportateur de données et l'importateur de données (le « Contrat d'abonnement au logiciel en tant que service »). Le client est le responsable du traitement. Les coordonnées et coordonnées du client sont telles qu'énoncées dans le formulaire de commande établi dans le cadre du contrat d'abonnement au logiciel en tant que service.

L'importateur de données est Recollective. Recollective est le processeur. Les coordonnées et coordonnées de Recollective sont telles qu'énoncées dans le contrat d'abonnement au logiciel en tant que service.

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données personnelles sont transférées

  • Les utilisateurs finaux de la plateforme de recherche qualitative en ligne de Recollective (la « Communauté ») qui ont été autorisés à accéder à la Communauté par le Client et qui, pour plus de certitude, sont :
  • les administrateurs du client (qui peuvent être des employés ou des agents du client) ; et
  • Sujets de recherche du client.

Catégories de données personnelles transférées

Typique :

  • Identifiant (nom, nom d'utilisateur, identifiants uniques, etc.)
  • Authentification (mots de passe, codes PIN, etc.)
  • Préférences/Intérêts (opinions, intérêts, aversions, etc.)
  • Suivi (appareil informatique, coordonnées, localisation, etc.)

En outre, à la discrétion du client :

  • Professionnel (titres de poste, salaires, antécédents professionnels, etc.)
  • Famille (structure familiale, mariages, divorces, relations, etc.)
  • Démographie (tranches d'âge, caractéristiques physiques, tranches de revenus, zone géographique, etc.)
  • Tout autre point de données de recherche qui pourrait intéresser le client et qui ne sont pas sensibles.

Sensible (À EXPORTER UNIQUEMENT VERS RECOLLECTIVE AVEC LE CONSENTEMENT ÉCRIT PRÉALABLE DE RECOLLECTIVE) :

  • Médecine et santé (santé physique et mentale, handicaps, etc.)
  • Sexuelle (vie sexuelle, orientation sexuelle, etc.)
  • Race (race, origine ethnique, etc.)
  • Politique (opinions politiques)

La fréquence du transfert

  • En continu

Nature du traitement

  • Si nécessaire pour faire fonctionner la Communauté et atteindre les objectifs de recherche du client, ce qui, pour plus de certitude, signifie :
  • Migration, configuration et hébergement de données personnelles dans le cadre de la Communauté ;
  • Extraction et transmission aux utilisateurs autorisés, au client et aux sous-traitants ;
  • Chiffrement, anonymisation, pseudonymisation et compilation ;
  • Traitement nécessaire pour faciliter les fonctionnalités spécifiques du produit (telles que l'enregistrement vidéo/audio)

Finalité (s) du transfert de données et du traitement ultérieur

  • Pour remplir l'obligation contractuelle de Recollective envers le Client concernant l'accès et l'utilisation de la Communauté.

La période pendant laquelle les données personnelles seront conservées

  • De la date de début de l'accès administrateur à la date de suppression, sauf que Recollective et ses sous-traitants peuvent conserver les données personnelles conformément à la loi applicable ou dans leurs systèmes de sauvegarde, d'archivage et de reprise après sinistre jusqu'à ce que ces données personnelles soient supprimées normalement.

Pour les transferts vers des sous-traitants, précisez également l'objet, la nature et la durée du traitement

  • Les sous-traitants qui hébergent la Communauté sur leurs serveurs stockeront les données personnelles intégrées à la Communauté dans le but de les stocker et de les rendre accessibles à Recollective, au Client et aux utilisateurs finaux. La durée du traitement sera équivalente à l'obligation de Recollective de faire fonctionner la Communauté (sous réserve des dispositions de conservation ci-dessus)
  • Les sous-traitants qui fournissent des fonctionnalités de plug-in (telles que l'enregistrement vidéo/audio) traiteront les données personnelles si nécessaire et uniquement pendant la durée nécessaire au bon fonctionnement de ces fonctionnalités de plug-in.
  • Les sous-traitants qui fournissent une assistance technique n'auront accès aux données personnelles qu'en tant que conséquence accessoire de leur accès à la Communauté dans le but de fournir des services d'assistance technique. Ils n'auront accès aux données personnelles que pendant la durée de la fourniture de services d'assistance technique.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorités de surveillance compétentes conformément à la Clause 13

Sauf disposition contraire de la loi, l'autorité de surveillance compétente sera la Commission de protection des données d'Irlande.

EXPOSITION II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR GARANTIR LA SÉCURITÉ DES DONNÉES

Veuillez consulter la politique de sécurité à l'adresse https://recollective.com/resources/recollective-security-privacy-overview.

Annexe D
Consentement relatif aux informations personnelles

Nous, [nom de votre entreprise], sommes ravis de vous accueillir au sein de notre communauté d'études de marché en ligne (la « communauté »).

Pour accéder à la communauté, il vous sera demandé de fournir des informations de base vous concernant, et une fois admis, vous serez peut-être invité à partager plus d'informations (vos « informations personnelles »). En cliquant sur « J'accepte » ci-dessous, vous acceptez que nous collections et traitions vos informations personnelles de la manière suivante :

Nous pouvons vous demander les informations personnelles suivantes :

  • Une adresse e-mail valide afin que nous puissions créer un compte utilisateur unique pour vous et vous envoyer des notifications concernant la communauté.
  • Des informations d'identification supplémentaires, telles que vos nom et prénom, votre date de naissance, votre localisation, des informations démographiques et l'identifiant de votre appareil, afin de mieux vous identifier, de prévenir les fraudes, de nous aider à comprendre la composition de la communauté et de développer une analyse d'étude de marché.
  • Informations vous concernant que vous fournissez volontairement en réponse à des questionnaires de recherche, à des invites ou à d'autres stimuli de recherche afin de contextualiser vos réponses et d'améliorer la qualité de nos recherches.

Nous partagerons vos informations personnelles avec :

  • Ceux de nos chercheurs, analystes et agents qui ont besoin d'accéder à vos informations personnelles pour faciliter notre projet de recherche et tirer des conclusions sur nos sujets de recherche.
  • Nos prestataires de services et leurs sous-traitants qui exploitent la communauté selon les besoins pour faire fonctionner la communauté et améliorer la qualité de leurs services.

Nous collectons des informations personnelles de la manière suivante :

  • Directement auprès de vous chaque fois que vous remplissez des formulaires ou que vous saisissez des informations dans la communauté.
  • Depuis votre appareil lorsque vous vous connectez et que vous accédez à la communauté.

Nous traiterons vos informations personnelles comme suit :

  • Nous ne vendrons pas vos informations personnelles à qui que ce soit ni ne divulguerons vos informations personnelles, sauf dans les cas prévus dans le présent consentement relatif aux informations personnelles.
  • Nous ne conserverons vos informations personnelles que le temps nécessaire pour mener à bien notre projet de recherche, bien que des copies de vos informations personnelles puissent être conservées plus longtemps si la loi l'exige ou si elles sont automatiquement archivées dans nos sauvegardes informatiques et celles de nos prestataires de services.
  • Vos informations personnelles peuvent être stockées au Canada, [ajoutez les juridictions où vos données seront stockées], où elles seront accessibles à notre personnel mondial selon les besoins de l'exercice de leurs fonctions. Quel que soit l'endroit où elles sont conservées, nous avons veillé à ce que des mesures soient mises en place pour protéger vos informations personnelles à l'aide de mesures physiques, organisationnelles et techniques appropriées. Les informations personnelles dans ces juridictions seront soumises aux lois locales et peuvent être divulguées aux autorités locales.

Vous disposez des droits suivants en ce qui concerne vos informations personnelles :

  • Vous avez le droit de demander des copies des informations personnelles que nous avons collectées. Il se peut que nous vous facturions une somme modique pour ce service.
  • Vous avez le droit de nous demander de corriger toute information personnelle que vous jugez inexacte.
  • Vous avez le droit de demander que nous supprimions vos informations personnelles, sous certaines conditions.
  • Si vous êtes un citoyen de l'UE, vous pouvez avoir le droit de demander que nous limitions le traitement de vos informations personnelles, de vous opposer au traitement et/ou de demander que vos informations personnelles soient transférées à une autre organisation sous certaines conditions.

Biscuits

  • Nous utilisons des cookies de session pour vous permettre de rester connecté à votre compte et de comprendre comment vous utilisez notre site Web.

Si vous avez des demandes, des questions ou des plaintes, vous pouvez contacter notre responsable de la confidentialité/responsable de la protection des données à l'adresse [e-mail de votre responsable de la confidentialité].

©2025 Recollective Inc.
Des solutions
Agences
Marques
Éducation
Partenaires
L'entreprise
À propos
Carrière
Contacter
Tarification
Apprenez
Blogue
Ressources
Politique de confidentialité
Accessibilité
Fermer la fenêtre contextuelle des cookies
Préférences relatives aux cookies
En cliquant sur « Tout accepter », vous acceptez le stockage de cookies sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing, comme indiqué dans notre politique de confidentialité.
Strictement nécessaire (toujours actif)
Cookies nécessaires pour activer les fonctionnalités de base du site Web.
Les cookies nous aident à comprendre comment fonctionne ce site Web, comment les visiteurs interagissent avec le site et s'il peut y avoir des problèmes techniques.
Les cookies sont utilisés pour diffuser des publicités plus pertinentes pour vous et vos intérêts.
Cookies permettant au site Web de mémoriser les choix que vous faites (tels que votre nom d'utilisateur, votre langue ou la région dans laquelle vous vous trouvez).
Personnalisez
Enregistrer
Tout refuser
Tout accepter