Accord de traitement des données
Termes généraux
Le Souscripteur et MR SHERLOCK ont conclu un Accord concernant l'utilisation par le Souscripteur des Services de mrsherlock.ai. Les Parties concluent ce DPA pour s'assurer que le Traitement des Données Personnelles par MR SHERLOCK dans le cadre du Service, au nom du Souscripteur, soit conforme à la Loi Applicable sur la Protection des Données. En conséquence, en accédant aux Services ou en les utilisant, le Souscripteur accepte ce DPA, qui fait partie intégrante de l'Accord.
1. Définitions
"Accord"
désigne un tout indivisible constitué du Bon de Commande (le cas échéant), des CGV, de la Politique de Confidentialité, et de ce DPA, accepté par le Souscripteur avant d'utiliser les Services de mrsherlock.ai.
"Loi Applicable sur la Protection des Données"
désigne l'ensemble des lois, règlements et autres normes nationales et européennes applicables au traitement des données personnelles mises en œuvre en vertu de l'Accord, y compris en particulier le Règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (ci-après "RGPD") et toutes les lois nationales des États membres de l'Union Européenne adoptées en complément ou en application des dispositions du RGPD telles que, et sans s'y limiter, la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que, le cas échéant, les lois, règlements et autres normes nationales, européennes et internationales applicables au traitement des données de communications électroniques, à l'utilisation des technologies de traçage telles que les cookies et le marketing direct (communément appelées règles "e-Privacy").
"Responsable du Traitement"
désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou de l'État membre, le responsable du traitement ou les critères spécifiques de sa nomination peuvent être prévus par le droit de l'Union ou de l'État membre. Aux fins de ce DPA, le Souscripteur agit en tant que Responsable du Traitement.
"Sous-traitant"
désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement. Aux fins de ce DPA, MR SHERLOCK agit en tant que Sous-traitant.
"Données Personnelles" ou "Données Personnelles du Souscripteur"
désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "Personne Concernée") ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.
"Traitement"
désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou des ensembles de Données Personnelles, que ce soit par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
"Services" ou "Services mrsherlock.ai"
désigne tous les services fournis par MR SHERLOCK aux Souscripteurs en vertu des termes de l'Accord.
"Sous-traitant secondaire"
désigne tout autre Sous-traitant engagé par MR SHERLOCK pour traiter les Données Personnelles du Souscripteur.
2. Objet du DPA
2.1. Objectif général. L'objectif de ce DPA est de définir les termes et conditions applicables au Traitement par MR SHERLOCK des Données Personnelles dans le cadre de l'utilisation des Services mrsherlock.ai par le Souscripteur conformément à la Loi Applicable sur la Protection des Données (articles 28(3) et (4) du RGPD).
2.3. Détails des opérations de traitement. Les détails des opérations de traitement, y compris les catégories de Données Personnelles et les finalités du Traitement pour lesquelles les Données Personnelles sont traitées au nom du Souscripteur, sont détaillés dans l'Annexe I.
3. Obligations du Souscripteur en tant que Responsable du Traitement
3.1. Engagements du Souscripteur. Le Souscripteur s'engage à : (i) enregistrer par écrit toute instruction concernant le Traitement des Données Personnelles par MR SHERLOCK dans le cadre des Services ; (ii) superviser le Traitement, y compris en effectuant des audits et des inspections de MR SHERLOCK si nécessaire.
3.2. Responsabilité du Souscripteur. Le Souscripteur reste seul responsable de la légalité du Traitement confié à MR SHERLOCK, notamment en ce qui concerne les principes et obligations prévus par la Loi Applicable sur la Protection des Données.
4. Obligations de MR SHERLOCK en tant que Sous-traitant
4.1. Instructions du Souscripteur. MR SHERLOCK s'engage à traiter les Données Personnelles uniquement sur les instructions documentées du Souscripteur, telles qu'énoncées dans l'Accord et ce DPA, sauf si le droit de l'Union ou des États membres auquel MR SHERLOCK est soumis l'exige. Dans ce cas, MR SHERLOCK informe le Souscripteur de cette obligation légale avant le Traitement, sauf si le droit l'interdit pour des raisons importantes d'intérêt public. Des instructions ultérieures peuvent également être données par le Souscripteur pendant toute la durée du Traitement des Données Personnelles. Ces instructions doivent toujours être documentées. MR SHERLOCK informe immédiatement le Souscripteur si, à son avis, les instructions données par ce dernier enfreignent la Loi Applicable sur la Protection des Données.
4.2. Limitation des finalités. MR SHERLOCK ne traite les Données Personnelles que pour la ou les finalités spécifiques du Traitement, telles qu'énoncées dans l'Annexe I, sauf s'il reçoit d'autres instructions du Souscripteur.
4.3. Durée du Traitement des Données Personnelles. Le Traitement par MR SHERLOCK ne doit avoir lieu que pendant la durée détaillée dans l'Annexe I.
4.4. Sécurité du Traitement. MR SHERLOCK met en œuvre les mesures techniques et organisationnelles énumérées dans l'Annexe II pour garantir la sécurité des Données Personnelles. Cela inclut la protection des Données Personnelles contre une violation de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Personnelles ("Violation des Données Personnelles"). En évaluant le niveau de sécurité approprié, les Parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement et des risques pour les Personnes Concernées.
4.5. Accès aux Données Personnelles. MR SHERLOCK accorde l'accès aux Données Personnelles en cours de traitement aux membres de son personnel uniquement dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et à la surveillance de l'Accord. MR SHERLOCK s'assure que les personnes autorisées à traiter les Données Personnelles reçues se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
4.6. Documentation et conformité. Les Parties doivent pouvoir démontrer la conformité à ce DPA. MR SHERLOCK doit :
- traiter rapidement et de manière adéquate les demandes du Souscripteur concernant le Traitement des Données Personnelles conformément à ce DPA,
- mettre à la disposition du Souscripteur toutes les informations nécessaires pour démontrer la conformité aux obligations énoncées dans ce DPA et découlant directement de la Loi Applicable sur la Protection des Données.
4.7. Assistance au Souscripteur.
- MR SHERLOCK doit notifier rapidement au Souscripteur toute demande qu'il a reçue de la part de la Personne Concernée. Il ne doit pas répondre à la demande lui-même, sauf si le Souscripteur l'autorise à le faire.
- MR SHERLOCK doit assister le Souscripteur dans l'accomplissement de ses obligations de répondre aux demandes des Personnes Concernées d'exercer leurs droits, en tenant compte de la nature du Traitement. En remplissant ses obligations conformément aux sections 4.7.1 et 4.7.2, MR SHERLOCK doit se conformer aux instructions du Souscripteur.
- En plus de l'obligation de MR SHERLOCK d'assister le Souscripteur conformément à la section 4.7.2, MR SHERLOCK doit en outre assister le Souscripteur pour garantir la conformité avec les obligations suivantes, en tenant compte de la nature du Traitement des Données et des informations disponibles à MR SHERLOCK :
- l'obligation de réaliser une évaluation de l'impact des opérations de Traitement envisagées sur la protection des Données Personnelles (une "évaluation de l'impact sur la protection des données") lorsqu'un type de Traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des Personnes Concernées;
- l'obligation de consulter l'autorité de contrôle compétente avant le Traitement lorsque l'évaluation de l'impact sur la protection des données indique que le Traitement entraînerait un risque élevé en l'absence de mesures prises par le Souscripteur pour atténuer le risque;
- l'obligation de garantir que les Données Personnelles sont exactes et à jour, en informant le Souscripteur sans délai si MR SHERLOCK prend conscience que les Données Personnelles qu'il traite sont inexactes ou obsolètes.
Les Parties doivent définir dans l'Annexe II les mesures techniques et organisationnelles appropriées par lesquelles MR SHERLOCK est tenu d'assister le Souscripteur dans l'application de cette clause ainsi que la portée et l'étendue de l'assistance requise.
4.8. Cookies. Si les Services fournis par MR SHERLOCK incluent le dépôt de cookies sur l'appareil des clients du Souscripteur, MR SHERLOCK s'engage à informer le Souscripteur à l'avance concernant :
- la liste exhaustive des cookies mis en œuvre sur l'appareil de l'utilisateur Internet,
- la finalité de ces cookies,
- la durée de validité de ces cookies, étant entendu que cette durée ne peut excéder la durée recommandée par la CNIL, à compter de leur première date de mise en œuvre sur le terminal de l'utilisateur Internet. De la même manière, MR SHERLOCK communiquera au responsable du traitement les informations susmentionnées en cas de modification ou de suppression de l'un des cookies mis en œuvre.
5. Audit
5.1. Demande du Souscripteur. À la demande du Souscripteur, MR SHERLOCK permet et contribue à des audits des activités de Traitement couvertes par ce DPA ou s'il y a des indications de non-conformité. En décidant d'une revue ou d'un audit, le Souscripteur peut tenir compte des certifications pertinentes détenues par MR SHERLOCK. Le Souscripteur ne peut effectuer qu'un maximum d'un (1) audit par année contractuelle.
5.2. Engagements de MR SHERLOCK. MR SHERLOCK s'engage à permettre et à faciliter la réalisation de ces audits, en fournissant l'accès à toute information strictement nécessaire pour effectuer les vérifications, et en mettant à disposition le personnel et toute documentation nécessaire et utile à la bonne mise en œuvre des opérations d'audit.
5.3. Organisation de l'audit. L'audit sera mis en œuvre pendant les heures ouvrables, et sous réserve d'un préavis écrit de soixante (60) jours à MR SHERLOCK incluant la désignation des personnes ou entités chargées de réaliser l'audit. Le Souscripteur peut choisir de réaliser l'audit lui-même ou mandater un auditeur indépendant à ses frais exclusifs. Dans ce dernier cas, le Souscripteur doit s'assurer que l'auditeur :
- s'est engagé à respecter la confidentialité ou est soumis à une obligation légale appropriée de confidentialité ;
- n'est pas un concurrent de MR SHERLOCK.
6. Utilisation de sous-traitants secondaires
6.1. Autorisation générale. MR SHERLOCK a l'autorisation générale du Souscripteur pour l'engagement de Sous-traitants secondaires à partir d'une liste convenue, disponible via le lien suivant https://mrsherlock.ai/sous-traitants/ (ci-après dénommée la "Liste des Sous-traitants secondaires"). Toute modification de cette liste par l'ajout ou le remplacement de Sous-traitants secondaires donnera lieu à un avis écrit électronique envoyé au Souscripteur et avertissant de la mise à jour de la Liste des Sous-traitants secondaires au moins deux (2) semaines à l'avance, donnant ainsi au Souscripteur suffisamment de temps pour pouvoir raisonnablement s'opposer à ces modifications avant l'engagement des Sous-traitants concernés. Si le Souscripteur s'oppose à la mise à jour de la Liste des Sous-traitants secondaires, il peut résilier l'utilisation des Services mrsherlock.ai en fournissant un avis écrit, sans préjudice des frais engagés avant la résiliation en vertu de l'Accord.
6.2. Détails. Lorsque MR SHERLOCK engage un Sous-traitant secondaire pour effectuer des activités de traitement spécifiques, il le fait par le biais d'un contrat qui impose au Sous-traitant secondaire, en substance et dans la mesure du possible, les mêmes obligations en matière de protection des données que celles imposées à MR SHERLOCK conformément à ce DPA. MR SHERLOCK doit s'assurer que le Sous-traitant secondaire respecte les obligations auxquelles MR SHERLOCK est soumis en vertu de ce DPA et de la Loi Applicable sur la Protection des Données.
6.3. Responsabilité. MR SHERLOCK reste pleinement responsable envers le Souscripteur de l'exécution des obligations du Sous-traitant secondaire conformément à son contrat avec MR SHERLOCK. MR SHERLOCK doit informer le Souscripteur de tout manquement du Sous-traitant secondaire à remplir ses obligations contractuelles.
7. Sécurité
MR SHERLOCK s'engage à traiter les Données Personnelles en conformité avec les mesures de sécurité énoncées dans l'Annexe II.
8. Transfert de Données Personnelles
8.1. Information. Le Souscripteur reconnaît que MR SHERLOCK et/ou ses Sous-traitants secondaires peuvent transférer et/ou maintenir des opérations de traitement de données dans des pays en dehors de l'Espace Économique Européen ("EEE").
8.2. Instructions. Tout transfert de données vers un pays tiers ou une organisation internationale par MR SHERLOCK et/ou ses Sous-traitants secondaires ne doit être effectué que sur la base des instructions documentées du Souscripteur ou pour répondre à une exigence spécifique en vertu du droit de l'Union ou de l'État membre auquel MR SHERLOCK est soumis et doit être effectué en conformité avec la Loi Applicable sur la Protection des Données.
8.3. Conditions. Le Souscripteur accepte que lorsque MR SHERLOCK engage un Sous-traitant secondaire conformément à la section précédente 6 "Utilisation de Sous-traitants secondaires" pour effectuer des activités de traitement spécifiques et que ces activités de traitement impliquent un transfert de Données Personnelles au sens du Chapitre V du RGPD, MR SHERLOCK et le Sous-traitant secondaire peuvent garantir la conformité avec le Chapitre V du RGPD en utilisant des clauses contractuelles types adoptées par la Commission conformément à l'article 46(2) du RGPD, à condition que les conditions d'utilisation de ces clauses contractuelles types soient respectées.
9. Notification de violation de données personnelles
9.1. Coopération. En cas de Violation des Données Personnelles, MR SHERLOCK doit coopérer avec et assister le Souscripteur pour que ce dernier respecte ses obligations en vertu des articles 33 et 34 du RGPD ou des articles 34 et 35 du RGPD, le cas échéant, en tenant compte de la nature du traitement et des informations disponibles à MR SHERLOCK.
9.2. Violation de Données Personnelles concernant les Données Personnelles traitées par le Souscripteur. En cas de Violation des Données Personnelles concernant les données traitées par le Souscripteur, MR SHERLOCK doit assister le Souscripteur :
à notifier la Violation des Données Personnelles à l'autorité de contrôle compétente, sans retard injustifié après que le Souscripteur en ait pris connaissance, le cas échéant (sauf si la Violation des Données Personnelles est peu susceptible d'entraîner un risque pour les droits et libertés des personnes physiques);
à obtenir les informations suivantes qui, conformément à la Loi Applicable sur la Protection des Données, doivent être indiquées dans la notification du Souscripteur, et doivent au moins inclure :
- la nature des Données Personnelles y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées et les catégories et le nombre approximatif de dossiers de Données Personnelles concernés;
- les conséquences probables de la Violation des Données Personnelles;
- les mesures prises ou proposées par le Souscripteur pour remédier à la Violation des Données Personnelles, y compris, le cas échéant, les mesures pour en atténuer les effets possibles. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale doit contenir les informations disponibles à ce moment et des informations supplémentaires doivent, au fur et à mesure qu'elles deviennent disponibles, être fournies sans retard injustifié; à respecter, conformément à la Loi Applicable sur la Protection des Données, l'obligation de communiquer sans retard injustifié la Violation des Données Personnelles à la Personne Concernée, lorsque la Violation des Données Personnelles est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques.
9.3. Violation de Données Personnelles concernant les Données Personnelles traitées par MR SHERLOCK. En cas de Violation de Données Personnelles concernant les Données Personnelles traitées par MR SHERLOCK, MR SHERLOCK doit notifier le Souscripteur sans retard injustifié après que MR SHERLOCK ait pris connaissance de cette violation. Cette notification doit contenir les informations énoncées à l'article 33 du RGPD et au moins :
une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de Personnes Concernées et de dossiers de données concernés) ;
les coordonnées d'un point de contact où obtenir plus d'informations sur la violation des Données Personnelles;
les conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris pour en atténuer les effets possibles;
Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale doit contenir les informations disponibles à ce moment et des informations supplémentaires doivent, au fur et à mesure qu'elles deviennent disponibles, être fournies sans retard injustifié.
10. Divers
10.1. Résiliation. À la suite de la résiliation de l'Accord, MR SHERLOCK doit, au choix du Souscripteur, supprimer toutes les Données Personnelles traitées au nom du Souscripteur et certifier sur demande à ce dernier qu'il l'a fait ou, retourner toutes les Données Personnelles au responsable du traitement et supprimer les copies existantes, sauf si le droit de l'Union ou de l'État membre exige la conservation des Données Personnelles. Jusqu'à ce que les Données Personnelles soient supprimées ou retournées, MR SHERLOCK doit continuer à garantir la conformité à ce DPA.
10.2. Modification. Toute modification de ce DPA doit être notifiée par MR SHERLOCK au Souscripteur.
10.3. Confidentialité. Les termes et conditions de ce DPA sont confidentiels et chaque Partie s'engage et déclare, en son nom, celui de ses employés et agents à qui elle est autorisée à divulguer ces informations, qu'elle ne les divulguera pas à un tiers ; à condition que chaque Partie ait le droit de divulguer ces informations à ses dirigeants, administrateurs, employés, auditeurs, avocats et sous-traitants tiers qui sont tenus de les maintenir confidentielles et peuvent divulguer ces informations si nécessaire pour se conformer à une ordonnance ou une citation à comparaître de toute agence administrative ou d'un tribunal compétent, ou si raisonnablement nécessaire pour se conformer à toute loi ou réglementation applicable.
10.4. Intégralité. Sous réserve des restrictions précédentes, ce DPA liera pleinement, profitera et sera exécutoire par les Parties et leurs successeurs et ayants droit respectifs. Ce DPA constitue l'intégralité de l'accord entre les Parties en ce qui concerne l'objet des présentes, et remplace tout autre arrangement, négociation ou discussion entre les Parties relatifs à cet objet.
10.5. Limitation de responsabilité. La responsabilité de chaque Partie découlant de ou liée à ce DPA est soumise aux limitations de responsabilité énoncées dans l'Accord.
10.6. Droit applicable et juridiction. Ce DPA est régi par les lois de la France et est soumis à la juridiction exclusive des tribunaux de Paris (France).
ANNEXE 1. ACTIVITÉS DE TRAITEMENT DES DONNÉES
1. Nature et Finalités du Traitement
Fourniture des Services mrsherlock.ai
- Fourniture d’un Agent IA de type Assistant
- Réponse aux messages voyageurs automatisés
- Informer les collaborateurs du client d’événements se produisant sur ses logements
- Vente de services additionnels automatisé par IA
- Statistiques sur la performance et l'utilisation de l’IA et des services proposés par mrsherlock.ai
- Optimisation et maintenance des Services mrsherlock.ai
- Sécurité des Services mrsherlock.ai
2. Opérations de Traitement
- Collecte,
- Enregistrement,
- Organisation,
- Structuration,
- Stockage,
- Consultation,
- Utilisation,
- Divulgation par transmission,
- Diffusion ou toute autre forme de mise à disposition,
- Effacement ou destruction.
3. Durée du Traitement
- Pendant la durée de l'Accord
4. Personnes Concernées
- Client de l'abonné
- Administrateur de compte de l'abonné
- Utilisateur de compte de l'abonné
5. Catégories de Données Personnelles
- Client de l'abonné (voyageur)
- Données d’identification(nom, prénom, email, téléphone)
- Administrateur de compte de l'abonné
- Données professionnelles (entreprise)
- Données de géolocalisation (adresse)
- Données d’identification(nom, prénom, email, téléphone)
- Données de trafic/connexion (adresse IP)
- Utilisateur de compte de l'abonné(collaborateur)
- Données professionnelles (entreprise)
- Données de géolocalisation (adresse)
- Données d’identification(nom, prénom, email, téléphone)
- Données de trafic/connexion (adresse IP)
6. Catégories Particulières de Données
N/A
ANNEXE 2. MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
MR SHERLOCK traite les Données Personnelles en respectant les mesures de sécurité suivantes :
- Mesures pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
- Mesures pour assurer la capacité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
- Mesures pour l'identification et l'autorisation des utilisateurs.
- Mesures pour la protection des données lors de la transmission.
- Mesures pour la protection des données lors du stockage.
- Mesures pour assurer la journalisation des événements.
- Mesures pour assurer la configuration des systèmes, y compris la configuration par défaut.
- Mesures pour la gouvernance et la gestion internes des technologies de l'information et de la sécurité informatique.
- Mesures pour assurer la responsabilité.
- Mesures pour permettre la portabilité des données et assurer leur effacement.