Sommaire
Sommaire
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
For the previous version of the Customer Data Processing Addendum click here.
Date d’entrée en vigueur : 17 septembre 2024
Le présent addendum relatif au traitement des données de la clientèle (le « DPA ») est conclu entre RealtimeBoard, Inc., dba Miro (« Miro » ou l’« importateur de données ») et l’entité identifiée comme le client ou la cliente (« le Client/la Cliente » ou l’« exportateur de données »). Il constitue une annexe (i) à l’Accord-cadre sur le service cloud de Miro ou aux Conditions d’utilisation (selon le cas) ; ou (ii) à un autre accord électronique ou écrit intégrant le présent DPA, qui régit l’accès du Client/de la Cliente à la plateforme Miro et aux services connexes (l’« Accord ») et leur utilisation. Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est attribuée dans l’Accord.
Les parties conviennent que le présent DPA est incorporé à l’Accord et en fait partie intégrante, et qu’il est soumis aux dispositions qui y figurent.
Si le Client/la Cliente supprime ou révise le présent DPA, ces suppressions ou révisions sont par les présentes rejetées et invalides, sauf accord de Miro. La personne signataire déclare et garantit qu’elle est habilitée à lier le Client/la Cliente au présent DPA.
Le terme « Législation applicable sur la protection de la vie privée » désigne l’ensemble des lois et réglementations relatives à la protection des données et à la vie privée (y compris la Loi sur la protection des données) qui s’appliquent au traitement par Miro des Données personnelles de la clientèle.
Le terme « Données personnelles de la clientèle » désigne le contenu de la clientèle qui constitue des Données personnelles et/ou des informations personnelles telles que définies et protégées par les lois applicables en matière de protection de la vie privée.
Le terme « Cadre de protection des données » ou « CPD » désigne le Cadre de protection des données UE-États-Unis, le Swiss-U.S. Data Privacy Framework et les programmes d’autocertification de l’extension britannique du Cadre de protection des données UE-États-Unis (le cas échéant) mis en œuvre par le département du Commerce des États-Unis, tel qu’il peut être modifié, annulé ou remplacé de temps à autre.
Le terme « Principes du Cadre de protection des données » ou « Principes du CPD » désigne les principes du Cadre de protection des données et les principes supplémentaires contenus dans le Cadre de protection des données pertinent, tels qu'ils peuvent être modifiés, annulés ou remplacés de temps à autre.
Le terme « Loi sur la protection des données » désigne (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données ou « RGPD de l’UE ») ; (ii) le RGPD tel que sauvegardé dans le droit britannique en vertu de l’article 3 du United Kingdom’s European Union (Withdrawal) Act 2018 et du UK Data Protection Act 2018 (collectivement le « RGPDbritannique ») ; (iii) la directive de l’UE sur la vie privée et les communications électroniques (directive 2002/58/CE) ; (iv) la Loi fédérale suisse sur la protection des données (la « LPD suisse ») ; et (v) toutes les lois nationales sur la protection des données applicables en vertu de, conformément à ou conjointement avec (i), (ii) (iii) ou (iv), et dans tous les cas telles qu’elles peuvent être modifiées ou remplacées de temps à autre.
Le terme « Filiale de Miro » désigne les entités directement ou indirectement contrôlées par Miro, qui contrôlent Miro ou qui sont sous contrôle commun avec Miro.
Le terme « Transfert restreint » signifie : (i) dans les cas où le RGPD de l’UE s’applique, un transfert de Données personnelles de l’Espace économique européen (EEE) vers un pays en dehors de l’EEE qui n’est pas soumis à une détermination d’adéquation par la Commission européenne ; (ii) dans les cas où le RGPD britannique s’applique, un transfert de Données personnelles du Royaume-Uni vers tout autre pays qui n’est pas soumis à des règlements d’adéquation en vertu de la section 17A du United Kingdom Data Protection Act 2018 ; (iii) dans les cas où le RGPD suisse s’applique, un transfert de Données personnelles de la Suisse vers tout autre pays dont le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou le Conseil fédéral (selon le cas) n’a pas déterminé qu’il assurait une protection adéquate des données personnelles.
Le terme « Clauses contractuelles types » signifie : (i) dans les cas où le RGPD de l’UE ou la Loi suisse sur la protection des données s’applique, les clauses contractuelles annexées à la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 (les « CCT de l’UE ») ; (ii) dans les cas où le RGPD britannique s’applique, les clauses types de protection des données pour les sous-traitants adoptées conformément à l’article 46(2)(c) ou (d) du RGPD britannique (plus précisément, l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne) (les « CCT britanniques »), selon ce qui est applicable conformément à la section 8 (Transferts internationaux de données).
Le terme « Incident de sécurité » désigne toute violation non autorisée ou illégale de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles du Client/de la Cliente. Un Incident de sécurité n’inclut pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des Données personnelles du Client/de la Cliente : tentatives de connexion, commandes ping, balayages de ports, attaques par déni de service et autres attaques de réseau sur les pare-feux ou les systèmes en réseau qui ont échoué.
Le terme « Sous-traitant ultérieur » désigne les sous-traitants engagés par Miro pour traiter les Données personnelles de la clientèle.
Les termes « Entreprise », « Responsable du traitement », « Personne concernée », « Données personnelles », « Informations personnelles », « Sous-traitant », « Traitement », « Vente », « Vendre », « Fournisseur de services » et « Partage » ont la signification qui leur est donnée dans la législation applicable en matière de protection de la vie privée. Si et dans la mesure où la législation applicable en matière de protection de la vie privée ne définit pas ces termes, les définitions données dans la Loi sur la protection des données s’appliquent.
2.1 Les parties reconnaissent qu’en ce qui concerne le traitement des Données personnelles de la clientèle, le Client/la Cliente est le/la Responsable du traitement, et Miro traite les Données personnelles de la clientèle en tant que Sous-traitant pour le compte du Client/de la Cliente.
2.2 Miro ne traite les Données personnelles de la clientèle que conformément aux instructions documentées du Client/de la Cliente et non à ses propres fins, sauf dans les cas prévus dans l’Accord et le présent DPA, ou dans les cas requis par la législation applicable. L’Accord, incluant le présent DPA, ainsi que la configuration par la clientèle de paramètres ou d’options dans les Services (que la clientèle peut être en mesure de modifier de temps à autre), constituent les instructions complètes et finales de la clientèle à Miro concernant le traitement de ses données personnelles, y compris aux fins des Clauses contractuelles types, le cas échéant. Les éventuelles instructions de traitement supplémentaires doivent faire l’objet d’un accord écrit préalable entre les parties.
2.3 Chaque partie doit se conformer à ses obligations en vertu de la législation applicable en matière de protection de la vie privée concernant les Données personnelles de la clientèle. Sans préjudice de ce qui précède, il incombe au Client/à la Cliente de déterminer si les Services sont appropriés pour le stockage et le traitement des Données personnelles de la clientèle en vertu de la législation applicable en matière de protection de la vie privée, et de s’assurer de l’exactitude, de la qualité et de la légalité des Données personnelles de la clientèle et des moyens employés pour leur acquisition. Le Client/la Cliente convient en outre avoir indiqué à Miro et à ses Sous-traitants ultérieurs qu’ils peuvent légalement traiter les Données personnelles de la clientèle aux fins envisagées par l’Accord (incluant le présent DPA), et avoir obtenu les consentements, autorisations et droits nécessaires à cette fin.
2.4 Si Miro détermine que les instructions du Client/de la Cliente enfreignent la législation applicable en matière de protection de la vie privée, Miro en informera promptement le Client/la Cliente. Cependant, Miro n’a aucune obligation de surveiller activement la conformité des clients avec la législation applicable en matière de protection de la vie privée. Dans ce cas, Miro ne sera pas tenu d’entreprendre ce traitement tant que le Client/la Cliente n’aura pas mis à jour ses instructions de traitement et que Miro n’aura pas déterminé que la non-conformité a été résolue.
2.5 Détails du traitement des données
2.5.1 Objet : l'objet du traitement des données en vertu du présent DPA sont les Données personnelles de la clientèle.
2.5.2 Durée : entre les clients et Miro, la durée du traitement correspond à la durée de l’Accord, plus toute période postérieure à la résiliation ou à l’expiration de l’Accord pendant laquelle Miro traitera les Données personnelles de la clientèle conformément à l’Accord.
2.5.3 Finalité : Miro traitera les Données personnelles de la clientèle dans la mesure nécessaire à l’exécution des Services conformément à l’Accord, selon les instructions supplémentaires du Client/de la Cliente dans le cadre de son utilisation des Services.
2.5.4 Nature du traitement : la fourniture des Services tels que décrits dans l’Accord et initiés par le Client/la Cliente de temps à autre.
2.5.5 Types de Données personnelles de la clientèle : les Données personnelles du Client/de la Cliente soumises aux Services sous le compte Miro du Client/de la Cliente.
2.5.6 Catégories de personnes concernées : les Personnes concernées peuvent inclure les employés, les consultants, les agents et les tiers du Client/de la Cliente autorisés à accéder aux Services et à les utiliser en tant qu’Utilisateurs dans le cadre du compte Miro du Client/de la Cliente, ainsi que toute autre Personne concernée dont les Données personnelles sont soumises à Miro par le Client/la Cliente et/ou ses Utilisateurs par l’intermédiaire des Services.
3.1 Le Client/la Cliente accorde à Miro une autorisation générale de sous-traiter le traitement des Données personnelles de la clientèle à des Sous-traitants ultérieurs, y compris ceux énumérés à l’adresse suivante : https://m.turbidity.top/static/legal/Miro-Current-Subprocessors-List.pdf (ou tout autre URL qui lui succédera) (la « Liste des Sous-traitants ultérieurs »).
3.2 Si Miro engage un nouveau Sous-traitant ultérieur ou remplace un Sous-traitant ultérieur :
3.2.1 Miro mettra à jour la Liste des Sous-traitants ultérieurs.
3.2.2 Miro imposera aux Sous-traitants ultérieurs qu’il engage des conditions de protection des données substantiellement identiques à celles contenues dans le présent DPA (y compris les dispositions relatives au transfert de données, le cas échéant).
3.2.3 Miro restera responsable envers le Client/la Cliente de toute violation du présent DPA causée par un acte, une erreur ou une omission d’un tel Sous-traitant ultérieur.
3.3 Si le Client/la Cliente souhaite recevoir une notification au moins dix (10) jours avant que Miro n’engage un nouveau Sous-traitant ultérieur ou remplace un Sous-traitant ultérieur, il/elle doit s’abonner dans le portail de notification ici.
3.4 Le Client/la Cliente peut s’opposer à la désignation par Miro d’un nouveau Sous-traitant ultérieur ou d’un Sous-traitant ultérieur de remplacement. Cette opposition doit être formulée promptement par écrit dans les trente (30) jours suivant la réception de la notification conformément au point (3.2.1), et doit concerner des motifs raisonnables liés à la capacité du Sous-traitant ultérieur à se conformer à la législation applicable en matière de protection de la vie privée. Dans ce cas, les parties doivent discuter de bonne foi des préoccupations du Client/de la Cliente en vue de parvenir à une solution commercialement raisonnable. Si les parties ne parviennent pas à une telle solution, Miro a le droit, à sa seule discrétion, soit de ne pas nommer le Sous-traitant ultérieur contesté, soit de permettre au Client/à la Cliente de suspendre ou de résilier la commande et/ou l’Accord applicable. Ces procédures constituent le recours exclusif du Client/de la Cliente, et l’entière responsabilité de Miro concernant la résolution des objections à sa désignation de Sous-traitants ultérieurs en vertu du présent DPA.
4.1 Miro doit coopérer raisonnablement avec le Client/la Cliente pour lui permettre de répondre aux demandes, plaintes ou autres communications émanant de Personnes concernées et d’organismes réglementaires ou judiciaires en rapport avec le traitement des Données personnelles de la clientèle. Cela inclut les demandes émanant de Personnes concernées cherchant à exercer leurs droits en vertu de la législation applicable sur la protection de la vie privée. Si une telle demande, plainte ou communication est adressée directement à Miro, Miro, après avoir déterminé que la demande émane d’une Personne concernée dont le Client/la Cliente est responsable, ou se rapporte à une telle Personne concernée, doit la transmettre au Client/à la Cliente et ne doit pas y répondre sans l’autorisation expresse du Client/de la Cliente (sauf si Miro est tenu de le faire afin de se conformer à la législation applicable).
4.2 Dans la mesure où Miro est tenu de répondre à une telle demande en vertu de la législation applicable en matière de protection de la vie privée, il aidera le Client/la Cliente à procéder à une évaluation de l’impact sur la protection des données et, si la loi l’exige, à consulter les autorités compétentes en matière de protection des données concernant les éventuelles activités de traitement proposées qui présentent un risque élevé pour les Personnes concernées.
4.3 En tenant compte de la nature du traitement, le Client/la Cliente convient que Miro ne saura probablement pas que les Données personnelles de la clientèle transférées en vertu du CPD et/ou des Clauses contractuelles types, selon le cas, sont inexactes ou obsolètes. Néanmoins, si Miro se rend compte que les Données personnelles de la clientèle transférées en vertu du CPD et/ou des Clauses contractuelles types, selon le cas, sont inexactes ou obsolètes, il en informera le Client/la Cliente sans délai excessif. Miro coopérera raisonnablement avec le Client/la Cliente pour effacer ou rectifier les données inexactes ou obsolètes transférées en vertu des présentes.
5.1 Miro veillera à ce que le personnel chargé du traitement des Données personnelles de la clientèle soit soumis à une obligation de confidentialité appropriée (contractuelle ou légale) et à ce qu’il traite ces données uniquement dans le but de fournir les Services.
5.2 Miro mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles raisonnables et appropriées dans le but de protéger les Données personnelles de la clientèle contre les Incidents de sécurité, conformément aux mesures énumérées dans la pièce 2 (« Mesures techniques et organisationnelles pour assurer la sécurité des données »). Le Client/la Cliente reconnaît que les mesures de sécurité sont soumises au progrès et au développement techniques, et que Miro peut les mettre à jour ou les modifier de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas ou ne diminuent pas la sécurité globale des Services.
En cas d’Incident de sécurité, Miro en informera le Client/la Cliente dans les meilleurs délais et fournira par écrit les détails de l’incident, y compris le type de données affectées et l’identité des personnes affectées, dès qu’il aura connaissance de ces informations ou qu’elles seront disponibles. Dans la mesure du possible et au plus vite, Miro fournira des informations au Client/à la Cliente et coopérera pour lui permettre de remplir ses obligations de signalement des violations de données en vertu de la législation applicable sur la protection de la vie privée, et prendra des mesures raisonnables pour remédier à l’incident ou en atténuer les effets. Les obligations prévues dans les présentes ne s’appliquent pas aux Incidents de sécurité causés par le Client/la Cliente ou ses Utilisateurs.
7.1 Sur demande, Miro fournira une copie des certifications, des résumés de rapports d’audit et/ou de toute autre documentation pertinente en sa possession, lorsque le Client/la Cliente l’exigera raisonnablement pour vérifier la conformité de Miro au présent DPA.
7.2 Bien que l’intention des parties soit normalement de se fier aux obligations de Miro énoncées à l’article 7.1 pour vérifier sa conformité au présent DPA, le Client/la Cliente pourra, à la suite d’un Incident de sécurité confirmé ou lorsqu’une autorité de protection des données l’exige, fournir à Miro un préavis écrit de trente (30) jours demandant qu’un tiers effectue un audit des opérations et installations de Miro (un « Audit »), à condition que : (i) l’audit soit effectué aux frais du Client/de la Cliente ; (ii) les parties conviennent mutuellement de la portée, du calendrier et de la durée de l’audit ; (iii) l’audit n’ait pas d’incidence déraisonnable sur les opérations régulières de Miro.
7.3 Les réponses écrites ou les Audits tels que décrits dans la présente section 7 sont soumis aux dispositions de confidentialité de l’Accord. Les parties conviennent que les dispositions en matière d’audit décrites dans la clause 8.9 des CCT de l’UE, le cas échéant, sont mises en œuvre conformément à la présente section 7 (Rapports et instructions de sécurité).
8.1 Les Données personnelles de la clientèle que Miro traite en vertu de l’Accord peuvent être traitées dans les pays dans lesquels Miro, ses Filiales et ses Sous-traitants ultérieurs disposent d'installations pour exécuter les Services, comme indiqué plus en détail dans la Liste des Sous-traitants ultérieurs. Miro ne traitera ni ne transférera les Données personnelles de la clientèle (ni ne permettra que ces données soient traitées ou transférées) en dehors de l'EEE, de la Suisse ou du Royaume-Uni, à moins d’avoir pris d’abord les mesures nécessaires pour s’assurer que le transfert est conforme à la Loi sur la protection des données.
8.2 Les parties conviennent que le CPD s’applique aux Transferts restreints de Données personnelles de la clientèle vers les États-Unis à partir de l’EEE et/ou de la Suisse, étant donné que Miro est certifié dans le cadre du programme du CPD et se conforme aux principes du CPD lors du traitement de ces données. Si la certification de Miro en vertu du CPD est révoquée ou invalidée de toute autre façon, Miro en informera le client/la cliente le cas échéant et, sur demande, prendra des mesures raisonnables et appropriées pour remédier à tout traitement non autorisé en fournissant un Autre mécanisme de transfert (par exemple, des Clauses contractuelles types), comme indiqué dans la présente section.
8.3 Les parties conviennent que, lorsque le CPD ne s’applique pas à un Transfert restreint, les Clauses contractuelles types sont incorporées aux présentes et s’appliquent, complétées par les modifications suivantes, le cas échéant :
8.3.1 Lorsque le Client/la Cliente est Responsable du traitement des Données personnelles de la clientèle protégées par le RGPD de l’UE : le module 2 des CCT de l’UE s’applique entre le Client/la Cliente en tant qu’« exportateur de données » (indépendamment du fait que le Client/la Cliente puisse être une entité située en dehors de l’EEE) et Miro en tant qu’« importateur de données » sur la base suivante : (i) dans la clause 7, la clause facultative d’amarrage s’applique ; (ii) dans la clause 9, l’option 2 s’applique, et le délai de notification préalable d’un changement de Sous-traitant ultérieur est celui prévu dans le présent DPA ; (iii) dans la clause 11, la langue facultative ne s’applique pas ; (iv) dans la clause 17, l’option 1 s’applique, et les CCT de l’UE sont régies par le droit néerlandais ; (v) dans la clause 18(b), les litiges doivent être réglés devant les tribunaux des Pays-Bas ; (vi) l’annexe 1 des CCT de l’UE est réputée incorporer la pièce 1 du présent DPA ; (vii) l’annexe 2 du CCT de l’UE est réputée incorporer la pièce 2 du présent DPA.
8.3.2 Lorsque le Client/la Cliente est Responsable du traitement des Données personnelles de la clientèle protégées par la Loi suisse sur la protection des données : le module 2 des CCT de l’UE s’applique entre le Client/la Cliente en tant qu’« exportateur de données » et Miro en tant qu’« importateur de données » sur la base précédente, en y ajoutant les dispositions suivantes : (i) dans la clause 13, l’autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence ; (ii) le terme « État membre » ne doit pas être interprété de manière à priver les Personnes concernées en Suisse de l’exercice de leurs droits dans leur lieu de résidence habituel conformément à la clause 18(c) ; (iii) toutes les références au RGPD de l’UE dans le présent DPA sont également réputées se référer à la Loi suisse sur la protection des données.
8.3.3 Lorsque le Client/la Cliente est un Sous-traitant pour le compte d’un Responsable du traitement tiers des Données personnelles de la clientèle protégées par le RGPD de l’UE : le module 3 des CCT de l’UE s’applique entre Client/la Cliente en tant qu’« exportateur de données » (indépendamment du fait que le Client/la Cliente ou le Responsable du traitement tiers puisse être une entité située en dehors de l’EEE) et Miro en tant qu’« importateur de données » sur la base suivante : (i) dans la clause 7, la clause facultative d’amarrage s’applique ; (ii) dans la clause 9, l’option 2 s’applique, le délai de notification préalable d’un changement de Sous-traitant ultérieur est celui prévu dans le présent DPA et Miro s’acquittera de ses obligations de notification de Sous-traitants ultérieurs comme prévu dans le présent DPA ; (iii) dans la clause 11, la langue facultative ne s’applique pas ; (iv) dans la clause 17, l’option 1 s’applique, et les CCT de l’UE sont régies par le droit néerlandais ; (v) dans la clause 18(b), les litiges doivent être réglés devant les tribunaux des Pays-Bas ; (vi) l’annexe 1 des CCT de l’UE est réputée incorporer la pièce 1 du présent DPA ; (vii) l’annexe 2 des CCT de l’UE est réputée incorporer la pièce 2 du présent DPA.
8.3.4 Lorsque le Client/la Cliente est un Sous-traitant pour le compte d’un Responsable du traitement tiers des Données personnelles de la clientèle protégées par la Loi suisse sur la protection des données : le module 3 des CCT de l’UE s’applique entre le Client/la Cliente en tant qu’« exportateur de données » et Miro en tant qu’« importateur de données » sur la base précédente, en y ajoutant les dispositions suivantes : (i) dans la clause 13, l’autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence ; (ii) le terme « État membre » ne doit pas être interprété de manière à priver les Personnes concernées en Suisse de l’exercice de leurs droits dans leur lieu de résidence habituel conformément à la clause 18(c) ; (iii) toutes les références au RGPD de l’UE dans le présent DPA sont également réputées se référer à la Loi suisse sur la protection des données.
8.3.5 Lorsque le Client/la Cliente est un Responsable du traitement ou un Sous-traitant des Données personnelles de la clientèle protégées par le RGPD britannique, les CCT de l’UE s’appliquent, complétées par les modifications suivantes, le cas échéant : (i) chaque partie est réputée avoir signé l’addendum britannique aux Clauses contractuelles types de l’UE (l’« Addendum britannique ») publié par le commissaire à l’information du Royaume-Uni (Information Commissioner’s Office, ICO) en vertu de l’article 119A du United Kingdom Data Protection Act 2018 ; (ii) les CCT de l’UE sont réputées modifiées comme spécifié dans l’Addendum britannique en ce qui concerne le transfert des Données personnelles de la clientèle ; (iii) dans le tableau 1 de l’Addendum britannique, les coordonnées des parties figurent dans la pièce 1 du présent addendum ; (iv) dans le tableau 2 de l’Addendum britannique, les informations sur les Clauses contractuelles types, les modules et les clauses sélectionnées figurent dans la section 8.3 ci-dessus ; (v) le tableau 3 de l’Addendum britannique est réputé complété par les informations figurant dans les pièces 1 et 2 du présent addendum ; (vi) dans le tableau 4 de l’Addendum britannique, chaque partie peut mettre fin à l’Addendum britannique conformément à ses dispositions, et la case correspondante est réputée cochée (les « CCT britanniques »).
8.4 Si Miro adopte un mécanisme légal d’exportation pour le transfert de Données personnelles de la clientèle qui n’est pas décrit dans le présent DPA (un « Autre mécanisme de transfert »), cet Autre mécanisme de transfert s’appliquera en lieu et place des mécanismes applicables décrits dans le présent DPA (mais uniquement dans la mesure où cet autre mécanisme est conforme à la Loi sur la protection des données et s’étend aux territoires vers lesquels les Données personnelles de la clientèle concernées sont transférées).
Pendant la durée de l’abonnement visée par l’Accord et/ou à la résiliation ou à l’expiration du présent DPA, Miro, à la demande du Client/de la Cliente, supprimera ou lui renverra toutes les Données personnelles de la clientèle en sa possession conformément à ses calendriers et politiques de suppression des données alors en vigueur, que le Client/la Cliente pourra lui demander à tout moment. Cette exigence ne s’applique pas aux Données personnelles de la clientèle que Miro est tenu par toute loi applicable de conserver en partie ou en totalité. Elle ne s’applique pas non plus aux Données personnelles de la clientèle archivées dans des systèmes de sauvegarde, que Miro isolera et protégera contre tout traitement ultérieur, sauf dans la mesure requise par ladite loi. Les parties conviennent que Miro confirmera la suppression des Données personnelles de la clientèle au Client/à la Cliente sur demande écrite.
Dans la mesure où Miro traite les Données personnelles de la clientèle d’Utilisateurs qui résident en Californie, les parties conviennent des dispositions suivantes :
10.1 Le Client/la Cliente est une Entreprise, et Miro est un prestataire de services. Le transfert des Données personnelles de la clientèle à Miro ne constitue pas une vente, et Miro ne fournit aucune contrepartie monétaire ou de toute autre valeur en échange de ces Données personnelles. Miro traite les Données personnelles de la clientèle uniquement en tant que prestataire de services pour le compte du Client/de la Cliente à une ou plusieurs des fins commerciales décrites dans l’Accord ou autorisées aux prestataires de services en vertu de la législation applicable en matière de protection de la vie privée.
10.2 Miro ne doit pas « vendre » ou « partager » les Données personnelles de la clientèle. Miro s’engage en outre à se conformer aux exigences applicables du CCPA tel que modifié par le CPRA, si et dans la mesure où le Client/la Cliente et Miro en conviennent par écrit, comme indiqué dans le présent DPA.
10.3 Dans la mesure applicable aux Services, Miro doit raisonnablement aider le Client/la Cliente à répondre (aux frais du Client/de la Cliente) aux demandes émanant d’une Personne concernée (y compris les « demandes vérifiables des consommateurs », tel que ce terme est défini dans le CCPA), concernant le traitement des Données personnelles de la clientèle défini dans l’Accord.
11.1 À l’exception des modifications apportées par le présent DPA, l’Accord reste inchangé et pleinement en vigueur. En cas de conflit entre une disposition du présent DPA et une disposition de l’Accord, le DPA prévaut. À compter de la date d’entrée en vigueur, le présent DPA fait partie de l’Accord et y est incorporé.
11.2 En aucun cas le présent DPA ne restreint ou ne limite les droits d’une Personne concernée ou d’une autorité de contrôle compétente.
11.3 Toute réclamation ou tout recours que le Client/la Cliente peut avoir à l’encontre de Miro, de ses employés, de ses agents et de ses Sous-traitants ultérieurs, découlant du présent DPA ou en rapport avec celui-ci, quel que soit le fondement juridique invoqué (contractuel, délictuel, y compris la négligence, ou toute autre théorie de la responsabilité), sera, dans la mesure permise par la loi, soumis aux limitations et exclusions de responsabilité prévues dans l’Accord. Par conséquent, les références dans l’Accord à la responsabilité d’une partie signifient la responsabilité globale de cette partie dans le cadre de l’Accord et du présent DPA.
11.4 Le présent DPA est régi et interprété conformément aux dispositions de l’Accord relatives au droit applicable et à la juridiction compétente, sauf disposition contraire de la législation applicable en matière de protection de la vie privée.
11.5 Si une partie du présent DPA est jugée inapplicable, la validité des autres parties n’en sera pas affectée.
A. LISTE DES PARTIES
Exportateur de données :
Nom : l’entité identifiée comme le « Client » ou la « Cliente » dans le DPA.
Adresse : l’adresse du client/de la cliente associée à son compte Miro ou spécifiée dans le DPA ou le présent Accord.
Nom, fonction et coordonnées de la personne de contact : les coordonnées associées au compte du client/de la cliente, ou spécifiées dans le présent DPA ou l’Accord.
Activités en rapport avec les données transférées en vertu des présentes clauses : les activités spécifiées à la pièce 1(B) du DPA.
Signature et date : voir le bloc d’exécution du DPA auquel ces clauses sont annexées.
Rôle (responsable du traitement/sous-traitant) : responsable du traitement
Importateur de données :
Nom : RealtimeBoard, Inc. dba Miro (« Miro »)
Adresse : 201 Spear Street, Suite 1100, San Francisco, CA 94105, USA
Nom, fonction et coordonnées de la personne de contact : privacy@m.turbidity.top
Activités en rapport avec les données transférées en vertu des présentes clauses : les activités spécifiées à la pièce 1(B) du DPA.
Signature et date : voir le bloc d’exécution du DPA auquel ces clauses sont annexées.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
В. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données personnelles sont transférées : les catégories de personnes concernées sont décrites à la section 2.5 (Détails du traitement des données) du DPA.
Catégories de données personnelles transférées : Les données personnelles sont décrites à la section 2.5 (Détails du traitement des données) du DPA.
Données sensibles transférées (le cas échéant), et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme une limitation stricte de la finalité, des restrictions d’accès (par exemple, l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : N/A. Il est interdit à l’exportateur de données de soumettre des catégories spéciales de données aux Services.
Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : en continu, selon l’utilisation des Services par l’exportateur de données.
Nature du traitement : la nature du traitement est décrite à la section 2.5 (Détails du traitement des données) du DPA.
Finalités du transfert et du traitement ultérieur des données : les finalités du traitement sont décrites à la section 2.5 (Détails du traitement des données) du DPA.
Durée de conservation des données personnelles ou, si cela n’est pas possible, critères utilisés pour déterminer cette durée : l’exportateur de données détermine la durée du traitement conformément aux dispositions du DPA.
Pour les transferts aux sous-traitants (ou sous-traitants ultérieurs), précisez également l’objet, la nature et la durée du traitement : l’objet, la nature et la durée du traitement sont décrits à la section 2.5 (Détails du traitement des données) du DPA.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
L’autorité de contrôle compétente du client/de la cliente sera déterminée conformément à la Loi sur la protection des données.
MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
Description des mesures techniques et organisationnelles mises en œuvre par les importateurs de données (y compris les certifications pertinentes) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques :
Miro utilise des mesures techniques et organisationnelles raisonnables conçues pour protéger les Services et le contenu du Client/de la Cliente, tel que décrit dans la Politique de sécurité.
Pour les transferts vers des Sous-traitants (ou Sous-traitants ultérieurs), décrivez également les mesures techniques et organisationnelles spécifiques que le Sous-traitant (ou Sous-traitant ultérieur) doit prendre pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d’un Sous-traitant à un Sous-traitant ultérieur, à l’exportateur de données :
Les mesures techniques et organisationnelles prises par l’importateur de données pour aider l’exportateur de données à remplir ses obligations de répondre aux demandes des Personnes concernées en vue de l’exercice de leurs droits en vertu du règlement (UE) 2016/679 sont énoncées à la section 4 (Coopération) du PDA.