L’Accord de Traitement des Données de Pocket Risk (DPA) fait partie intégrante des Conditions d’Utilisation de Pocket Risk (l’Accord) et y est soumis. Les termes en majuscules non définis dans ce DPA ont les significations qui leur sont attribuées dans l’Accord.
Veuillez soumettre toutes questions relatives à ce DPA en contactant Pocket Risk ici.
Cet Accord de Traitement des Données (DPA) s’applique uniquement à vous si vous ou vos utilisateurs finaux êtes soumis à la législation européenne sur la protection des données. Vous acceptez que Pocket Risk ne soit pas responsable des données personnelles que vous avez choisies de traiter via des services tiers ou en dehors du Service, y compris les systèmes de tout autre service cloud tiers, stockage hors ligne ou sur site.
Cet Accord de Traitement des Données (DPA) s’applique lorsque les données des clients sont traitées par Pocket Risk. Dans ce contexte, Pocket Risk agira en tant que ‘sous-traitant’ ou ‘sous-sous-traitant’ pour le Client, qui peut agir soit en tant que ‘responsable du traitement’, soit en tant que ‘sous-traitant’ en ce qui concerne les données des clients.
Nous traiterons les données des clients dans le but de vous fournir le Service. Par exemple, en fonction de la manière dont vous utilisez le Service, nous pourrions traiter les données de vos clients afin de : (a) collecter, organiser, rapporter ou analyser des données de vos utilisateurs finaux via des formulaires et des applications propulsés par Pocket Risk qui peuvent être directement intégrés sur votre site web, (b) envoyer des e-mails à vos utilisateurs finaux en votre nom selon vos instructions, ou (c) authentifier vos utilisateurs finaux autorisés afin qu’ils puissent accéder aux données et aux applications que vous contrôlez. Il peut y avoir d’autres activités de traitement entreprises par Pocket Risk en fonction de la manière dont vous concevez ou utilisez le Service.
Nous traiterons vos données clients dans le but et conformément à l’Accord ou aux instructions que vous nous donnez via votre Compte. Vous acceptez que l’Accord et les instructions données via votre Compte constituent vos instructions complètes et finales à notre égard en ce qui concerne vos données clients. Des instructions supplémentaires en dehors du périmètre de ce DPA nécessitent un accord écrit préalable entre vous et nous, y compris un accord sur les frais supplémentaires à payer par vous pour l’exécution de telles instructions.
YVous veillerez à ce que vos instructions soient conformes à toutes les lois, réglementations et règles applicables en ce qui concerne vos données clients, et que vos données clients soient collectées légalement par vous ou en votre nom et fournies à nous par vous conformément à ces lois, règles et réglementations. Vous vous assurerez également que le traitement de vos données clients conformément à vos instructions ne provoque pas et ne résulte pas en une violation de lois, règles ou réglementations (y compris la législation européenne sur la protection des données). Vous êtes responsable de l’examen des informations disponibles de notre part concernant la sécurité des données conformément à l’Accord et de faire une détermination indépendante quant à savoir si le Service répond à vos exigences et obligations légales ainsi qu’à vos obligations en vertu de ce DPA. Pocket Risk n’accédera ni n’utilisera vos données clients, sauf dans les conditions prévues par l’Accord, comme nécessaire pour maintenir ou fournir le Service, ou comme nécessaire pour se conformer à la loi ou à un ordre contraignant d’une autorité gouvernementale, d’une force de l’ordre ou d’un organisme de réglementation.
Vous êtes responsable de toute responsabilité ou des frais découlant de la conformité de Pocket Risk avec vos instructions ou demandes en vertu de l’Accord, qui dépassent les fonctionnalités standard mises à disposition par le Service, y compris le transfert des données clients vers des services tiers en dehors du Service Pocket Risk.
Nous vous fournirons un avis sans retard excessif : (a) après avoir pris connaissance et confirmé la survenue d’un incident de sécurité pour lequel une notification à vous est requise en vertu des lois européennes applicables sur la protection des données ; (b) prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de l’incident de sécurité. La notification des incidents de sécurité sera envoyée à un ou plusieurs des administrateurs de compte du Client par les moyens appropriés choisis par Pocket Risk, y compris par e-mail. Nous vous fournirons les informations relatives à l’incident de sécurité que nous sommes raisonnablement en mesure de vous divulguer, en tenant compte de la nature du Service, des informations dont nous disposons et de toute restriction de divulgation de l’information, comme pour des raisons de confidentialité. Le Client accepte qu’un incident de sécurité infructueux ne soit pas soumis aux mêmes obligations énoncées dans ce DPA en vertu des lois européennes applicables sur la protection des données. Notre obligation de signaler ou de répondre à un incident de sécurité en vertu de cette section n’est pas et ne sera pas interprétée comme une reconnaissance par Pocket Risk de toute faute ou responsabilité de Pocket Risk concernant l’incident de sécurité. Malgré ce qui précède, les obligations de Pocket Risk en vertu de cette section ne s’appliquent pas aux incidents causés par vous, toute activité dans votre compte et/ou des services tiers.
Nous vous fournirons, dans la mesure où vous ne pouvez raisonnablement pas le faire par le biais du Service, de votre Compte ou autrement, une assistance raisonnable en cas d’enquête par un régulateur, y compris un régulateur de la protection des données ou une autorité similaire, si et dans la mesure où cette enquête concerne le traitement des données des clients par Pocket Risk en votre nom conformément à ce DPA, en tenant compte de la nature du Service et des informations disponibles pour nous. Vous serez responsable de nos coûts raisonnables résultant de la fourniture de cette assistance. Pocket Risk peut facturer des frais raisonnables pour cette assistance demandée, sauf si cette enquête résulte d’une violation par Pocket Risk de l’Accord ou de ce DPA, dans la mesure permise par la législation applicable.
Pocket Risk mettra en œuvre et maintiendra tout au long de la durée de l’Accord et de ce DPA, conformément aux pratiques actuelles de l’industrie, des mesures techniques et organisationnelles appropriées pour protéger les données des clients conformément à la législation européenne sur la protection des données. À votre demande, Pocket Risk fournira une description écrite des mesures de sécurité prises au moment de la demande. Vous acceptez qu’il vous soit demandé de signer un accord de confidentialité avec Pocket Risk avant que nous ne partagions de telles informations avec vous. Nous pouvons modifier nos mesures de sécurité à tout moment, mais cela ne sera pas fait de manière à affecter négativement la sécurité des données des clients. Nous prenons des mesures pour garantir que toute personne agissant sous notre autorité ayant accès aux données des clients ne les traite que selon nos instructions, sauf si cette personne est obligée de le faire en vertu de la législation applicable, et que le personnel autorisé par nous à traiter les données des clients s’engage à respecter des obligations de confidentialité pertinentes ou est soumis à une obligation légale de confidentialité appropriée.
Vous acceptez que nous puissions partager vos données clients avec des sous-traitants afin de vous fournir le Service. Nous imposerons des obligations contractuelles à nos sous-traitants, et obligerons contractuellement nos sous-traitants à imposer des obligations contractuelles à tout sous-traitant supplémentaire qu’ils engagent pour traiter les données clients, afin de garantir un niveau de protection des données similaire à celui des obligations contractuelles imposées dans ce DPA, dans la mesure où cela est applicable à la nature du Service fourni par ledit sous-traitant. Une liste de nos sous-traitants actuels à la date d’entrée en vigueur de ce DPA est disponible dans l’Annexe A ci-dessous.
Pocket Risk vous informera à l’avance (par e-mail et par notification dans le Service) de tout changement dans la liste des sous-traitants en place à la date d’entrée en vigueur de ce DPA, à l’exception des remplacements d’urgence ou des suppressions de sous-traitants sans remplacement. Si vous vous opposez à un sous-traitant et que votre objection est raisonnable et liée à des préoccupations en matière de protection des données, nous ferons des efforts commercialement raisonnables pour mettre à votre disposition un moyen d’éviter le traitement par le sous-traitant contesté. Si nous ne parvenons pas à mettre en place ce changement proposé dans un délai raisonnable, nous vous en informerons et, si vous vous opposez toujours à notre utilisation de ce sous-traitant, vous pourrez annuler ou résilier votre compte ou, si possible, les parties du Service qui impliquent l’utilisation de ce sous-traitant. Sauf disposition contraire dans cette section, ou sauf autorisation de votre part, nous ne permettrons à aucun sous-traitant d’accéder à vos données clients. Sauf disposition contraire dans cette section, si vous vous opposez à l’un des sous-traitants, vous ne pourrez pas utiliser ou accéder au Service.
Pocket Risk peut changer de sous-traitant lorsque la raison du changement est indépendante du contrôle raisonnable de Pocket Risk. Dans ce cas, Pocket Risk informera le Client du sous-traitant de remplacement dès que possible. Le Client conserve son droit de s’opposer au sous-traitant de remplacement comme indiqué dans cette section.
Pocket Risk restera responsable de sa conformité avec les obligations de ce DPA et de tout acte ou omission de tout sous-traitant ou de leurs sous-sous-traitants qui traitent vos données clients et causent une violation par Pocket Risk de l’une de ses obligations en vertu de ce DPA, uniquement dans la mesure où Pocket Risk serait responsable en vertu de l’Accord si l’acte ou l’omission était celui de Pocket Risk.
Pocket Risk s’assurera que toute personne qu’elle autorise à traiter les données des clients protège ces données conformément aux obligations de confidentialité de Pocket Risk en vertu de l’Accord et de ce DPA. Pocket Risk ne divulguera pas les données des clients à un gouvernement ou à un autre tiers, sauf si cela est nécessaire pour se conformer à la loi ou à un ordre valide et contraignant d’une agence de forces de l’ordre (tel qu’une citation à comparaître ou une ordonnance du tribunal).
Pocket Risk mettra à votre disposition toutes les informations nécessaires pour démontrer la conformité avec les obligations de ce DPA et permettra ainsi que contribuera aux audits, réalisés par vous ou un auditeur mandaté par vous. Pocket Risk vous informera si, à son avis, une instruction enfreint les lois européennes sur la protection des données. Pocket Risk vous assistera également pour réaliser toute évaluation d’impact sur la protection des données légalement requise (y compris la consultation ultérieure avec une autorité de contrôle), si cela est requis par la législation européenne sur la protection des données, en tenant compte de la nature du traitement et des informations disponibles pour Pocket Risk. Pocket Risk peut facturer des frais raisonnables pour cette assistance concernant les demandes d’informations, les audits ou les évaluations d’impact, comme le permet la législation applicable.
Vous êtes responsable de la gestion de toutes les demandes ou plaintes des personnes concernées concernant leurs données personnelles traitées par Pocket Risk en tant que données clients dans le cadre de ce DPA. Pocket Risk fournira une réponse raisonnable et en temps opportun en vous informant si nous recevons de telles demandes ou plaintes, sauf si la loi applicable l’interdit.
Vous nous autorisez à transférer les données des clients en dehors du pays où ces données ont été initialement collectées. En particulier, vous nous autorisez à transférer les données des clients vers les États-Unis. Nous transférerons les données des clients en dehors de l’EEE en utilisant les principes des cadres EU-U.S. et Swiss-U.S. Privacy Shield ou un autre mécanisme de transfert de données légalement reconnu en vertu de la législation européenne sur la protection des données comme fournissant un niveau de protection adéquat pour ces transferts de données.
Le Service propose des fonctionnalités permettant au Client, le responsable du traitement, de télécharger et de supprimer les données des clients. Lors de la résiliation de votre Compte pour toute raison, Pocket Risk supprimera les données des clients conformément à nos politiques de conservation des données et à nos obligations légales, ou sur votre demande en contactant Pocket Risk ici. Vos demandes de retour ou de suppression des données des clients peuvent ne pas être satisfaites dans la mesure où Pocket Risk est tenu par des obligations légales ou par la législation européenne sur la protection des données.
La responsabilité de chaque partie dans le cadre de ce DPA est soumise aux exclusions et limitations de responsabilité définies dans l’Accord. Vous acceptez que toute pénalité réglementaire ou toute réclamation par des personnes concernées ou d’autres parties encourues par Pocket Risk en relation avec les données des clients qui résulte de, ou en connexion avec, votre manquement à respecter vos obligations en vertu de ce DPA ou de la législation européenne sur la protection des données soit prise en compte et réduise la responsabilité de Pocket Risk dans le cadre de l’Accord comme si elle était une responsabilité envers le Client en vertu de l’Accord.
En cas de conflit entre ce DPA et l’Accord, ce DPA prévaudra. Ce DPA restera en vigueur jusqu’à la résiliation de l’Accord.
Sous-traitants de Pocket Risk :