🚀 Get exclusive news and insights from Airpelago delivered straight to your inbox. Subscribe here!
Cet addendum relatif au traitement des données (« DPA ») fait partie du contrat de licence utilisateur final de chaque client (le « Contrat ») avec Airpelago AB (ci-après « Airpelago »). Il entre en vigueur à la date d'entrée en vigueur de la DPA (définie ci-dessous).
Le client conclut cette DPA en son nom et, dans la mesure requise par les lois applicables en matière de protection des données, au nom et pour le compte de ses affiliés responsables du traitement (définis ci-dessous). Aux fins du présent DPA uniquement, et sauf indication contraire, le terme « Client » inclut le Client et les Filiales du Contrôleur. Tous les termes en majuscules qui ne sont pas définis dans les présentes auront la signification indiquée dans le Contrat.
Dans le cadre de la fourniture des Services dans le cadre du Contrat, Airpelago peut traiter certaines données personnelles pour le compte de ses clients. Si le stockage et/ou le traitement des données personnelles impliquent des transferts de données personnelles hors de l'EEE et que la législation européenne sur la protection des données s'applique aux transferts de ces données (collectivement, les « données personnelles transférées »), les parties conviennent de se conformer aux termes et conditions du présent DPA en ce qui concerne ces données personnelles.
Le terme « Affilié » désigne toute entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec l'entité concernée. Aux fins de cette définition, le terme « contrôle » désigne la détention ou le contrôle direct ou indirect de plus de 50 % des actions avec droit de vote de l'entité visée.
Le terme « responsable du traitement » désigne l'entité qui détermine les finalités et les moyens du traitement des données personnelles.
« Affilié responsable du traitement » désigne toutes les filiales du client (a) (1) soumises aux lois applicables en matière de protection des données de l'Union européenne, de l'Espace économique européen et/ou de leurs États membres, de la Suisse et/ou du Royaume-Uni, et (2) autorisées à utiliser les Services conformément au contrat entre le client et Airpelago, mais qui n'ont pas signé leur propre contrat de licence utilisateur final et ne sont pas un « client » au sens du Contrat, (b) si et dans la mesure Airpelago traite les données personnelles pour lesquelles ces affiliés sont considérés comme les responsables du traitement.
Les « lois sur la protection des données » désignent toutes les lois et réglementations, y compris les lois et réglementations contraignantes de l'Union européenne, de l'Espace économique européen et de leurs États membres, de la Suisse et du Royaume-Uni, applicables au traitement des données personnelles dans le cadre de l'Accord.
« Personne concernée » désigne la personne identifiée ou identifiable à laquelle les données personnelles se rapportent.
La « Date d'entrée en vigueur de la DPA » désigne soit (i) le 10 mai 2022, si la date à laquelle vous acceptez électroniquement ou que vous acceptez ou adhérez au présent DPA est antérieure à cette date ; soit (ii) la date à laquelle vous acceptez électroniquement ou autrement vous engagez ou adhérez à cette DPA, si cette date est postérieure au 10 mai 2022.
« Airpelago » désigne Airpelago AB, l'entité qui est partie à ce DPA.
« RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
Les « données personnelles » désignent toutes les données du client relatives à une personne physique identifiée ou identifiable, dans la mesure où ces informations sont protégées en tant que données personnelles en vertu des lois applicables en matière de protection des données.
Le « traitement » désigne toute opération ou ensemble d'opérations effectué sur des données personnelles, que ce soit par des moyens automatiques ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou mise à disposition de toute autre manière, alignement ou combinaison, restriction, effacement ou destruction.
« Sous-traitant » désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement.
Le terme « sous-traitant » désigne toute entité engagée par Airpelago pour traiter des données personnelles dans le cadre des Services.
« Autorité de surveillance » désigne une autorité publique indépendante créée par un État membre de l'UE conformément au RGPD.
Si la législation européenne sur la protection des données s'applique au traitement des données personnelles du client, les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données personnelles, le client est le contrôleur, Airpelago est le sous-traitant, qu'Airpelago engagera des sous-traitants conformément aux exigences énoncées dans la section 4 « Sous-processeurs » ci-dessous et que l'objet et les détails du traitement sont décrits plus en détail dans cette section 2.
Dans le cadre de son utilisation des Services et de la fourniture d'instructions, le Client doit traiter les données personnelles conformément aux exigences de la législation applicable en matière de protection des données. Le client est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le client a acquis les données personnelles.
En tant que sous-traitant du client, Airpelago ne traitera les données personnelles qu'aux fins suivantes :
Vous ne nous soumettrez, ne stockerez ni n'enverrez aucune donnée sensible ou catégorie spéciale de données personnelles (collectivement, les « données sensibles ») à des fins de traitement, et vous n'autoriserez ni n'autoriserez aucun de vos employés, agents, sous-traitants ou personnes concernées à nous soumettre, stocker ou envoyer des données sensibles à des fins de traitement. Vous reconnaissez que nous ne demandons ni n'exigeons de données sensibles dans le cadre de la fourniture du Service, que nous ne souhaitons ni recevoir ni stocker de données sensibles et que nos obligations en vertu du présent DPA ne s'appliqueront pas en ce qui concerne les données sensibles.
Dans la mesure autorisée par la loi, Airpelago informera rapidement le Client si Airpelago reçoit des demandes d'une personne concernée visant à exercer les droits suivants en matière de données personnelles : accès, rectification, restriction du traitement, effacement (« droit à l'oubli »), portabilité des données, opposition au traitement ou interdiction de faire l'objet d'une prise de décision individuelle automatisée (chacune étant une « demande de la personne concernée »). Compte tenu de la nature du traitement, Airpelago assistera le client en prenant des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du client de répondre à une demande de personne concernée en vertu des lois applicables en matière de protection des données. En outre, dans la mesure où le Client, dans son utilisation des Services, n'est pas en mesure de répondre à une demande de personne concernée, Airpelago fournira, à la demande du Client, des efforts commercialement raisonnables pour aider le Client à répondre à cette demande de personne concernée, dans la mesure où Airpelago est légalement autorisée à le faire et dans la mesure où la réponse à cette demande de personne concernée est requise en vertu des lois applicables en matière de protection des données. Dans la mesure permise par la loi, le client est responsable de tous les coûts liés à la fourniture d'une telle assistance par Airpelago, y compris les frais associés à la fourniture de fonctionnalités supplémentaires.
Le client reconnaît et accepte qu'Airpelago puisse engager des sous-traitants tiers dans le cadre de la fourniture des Services. Pour autoriser un sous-traitant tiers à traiter les données personnelles, Airpelago conclura un accord écrit avec chaque sous-traitant contenant des obligations de protection des données qui fournissent au moins le même niveau de protection des données personnelles que ceux du présent DPA, dans la mesure applicable à la nature des services fournis par ce sous-traitant. Le Client reconnaît qu'Airpelago est situé aux États-Unis et participe à la fourniture des Services au Client soit directement, soit par le biais de la fourniture d'une assistance à Airpelago.
Une liste à jour des sous-traitants des services, y compris l'identité de ces sous-traitants et leur pays de localisation, sera disponible sur demande. Le client peut recevoir des notifications concernant les nouveaux sous-traitants en envoyant un e-mail à compliance@Airpelago.com. Airpelago informera l'abonné des nouveaux sous-traitants avant d'autoriser ces nouveaux sous-traitants à traiter les données personnelles dans le cadre de la fourniture des services applicables.
Le client peut raisonnablement s'opposer à l'utilisation par Airpelago d'un nouveau sous-traitant (par exemple, si la mise à disposition de données personnelles au sous-traitant peut violer la législation applicable en matière de protection des données ou affaiblir la protection de ces données personnelles) en informant Airpelago rapidement par écrit dans les dix (10) jours ouvrables suivant la réception de la notification d'Airpelago conformément au mécanisme décrit dans la section 4.2. Cette notification doit expliquer les motifs raisonnables de l'opposition. Si le client s'oppose à un nouveau sous-traitant, Airpelago déploiera des efforts commercialement raisonnables pour mettre à la disposition du client une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le client afin d'éviter le traitement des données personnelles par le nouveau sous-traitant opposé sans alourdir indûment le client. Si Airpelago n'est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, qui ne doit pas dépasser trente (30) jours, l'une ou l'autre des parties peut résilier sans pénalité le ou les contrats de licence d'utilisateur final applicables en ce qui concerne uniquement les services qui ne peuvent pas être fournis par Airpelago sans l'utilisation du nouveau sous-traitant opposé en adressant une notification écrite à Airpelago. Airpelago remboursera au Client tous les frais prépayés couvrant le reste de la durée de ces Contrats de licence utilisateur final après la date d'entrée en vigueur de la résiliation des Services résiliés, sans imposer de pénalité au Client pour cette résiliation.
Airpelago est responsable des actes et omissions de ses sous-traitants dans la même mesure qu'Airpelago serait responsable si elle fournissait les services de chaque sous-traitant directement selon les termes du présent DPA.
Airpelago appliquera des mesures techniques et organisationnelles appropriées pour protéger la sécurité (y compris la protection contre le traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, la perte, l'altération ou l'endommagement, la divulgation non autorisée des données personnelles ou l'accès à celles-ci), la confidentialité et l'intégrité des données personnelles, comme indiqué dans la Politique de sécurité de l'information d'Airpelago. Airpelago contrôle régulièrement le respect de ces mesures. Airpelago ne diminuera pas de manière significative la sécurité globale des Services pendant la durée de l'abonnement.
Airpelago applique les politiques et procédures de gestion des incidents de sécurité spécifiées dans la Politique de sécurité de l'information. Airpelago informera le Client sans retard injustifié de toute violation relative aux données personnelles (au sens de la Loi sur la protection des données applicable) dont Airpelago aurait connaissance et qui pourrait nécessiter une notification à une autorité de surveillance ou à une personne concernée en vertu de la Loi sur la protection des données applicable ou qu'Airpelago est tenue de notifier au Client en vertu de la Loi sur la protection des données applicable (un « Incident de données personnelles »). Airpelago fournira une coopération et une assistance commercialement raisonnables pour identifier la cause de cet incident de données personnelles et prendra des mesures commercialement raisonnables pour remédier à la cause dans la mesure où la correction est sous le contrôle d'Airpelago. Sauf dans les cas prévus par la législation applicable en matière de protection des données, les obligations énoncées dans les présentes ne s'appliquent pas aux incidents causés par le client, les utilisateurs autorisés et/ou tout produit n'appartenant pas à Airpelago.
En cas de résiliation des Services pour lesquels Airpelago traite des données personnelles, Airpelago doit, à la demande du Client, et sous réserve des limites décrites dans le Contrat et la Politique de sécurité de l'information, renvoyer toutes les données personnelles en possession d'Airpelago au Client ou détruire de manière sécurisée ces données personnelles et démontrer à la satisfaction du Client qu'elle a pris de telles mesures, à moins que la loi applicable ne l'empêche de retourner ou de détruire tout ou partie des données personnelles. À titre de précision, selon le plan de service acheté par le client, l'accès à la fonctionnalité d'exportation peut entraîner des frais supplémentaires et/ou nécessiter l'achat d'une mise à niveau du service.
Les parties reconnaissent et conviennent qu'en exécutant le DPA, le client conclut le DPA en son nom et, le cas échéant, au nom et pour le compte de toutes les filiales du Contrôleur, établissant ainsi un DPA distinct entre Airpelago et chacune de ces Filiales du Contrôleur, sous réserve des dispositions du Contrat et des présentes sections 8 et 9. Chaque Contrôleur Affilié accepte d'être lié par les obligations découlant du présent DPA et, dans la mesure applicable, du Contrat. Pour éviter toute ambiguïté, un Contrôleur Affilié n'est pas et ne devient pas partie au Contrat, et n'est qu'une partie à la DPA. Tout accès aux Services et leur utilisation par les Affiliés responsables du traitement doivent être conformes aux termes et conditions du Contrat et toute violation commise par le Client par un Client-Affilié sera considérée comme une violation commise par le client.
Le Client qui est la partie contractante du Contrat reste responsable de la coordination de toutes les communications avec Airpelago dans le cadre du présent DPA et a le droit d'établir et de recevoir toute communication en relation avec ce DPA au nom de ses affiliés contrôleurs.
Si un responsable du traitement des données devient partie au DPA avec Airpelago, il sera également habilité, dans la mesure requise par les lois applicables en matière de protection des données, à exercer ses droits et à exercer des recours en vertu du présent DPA, sous réserve des conditions suivantes :
8.3.1 Sauf lorsque les lois applicables en matière de protection des données obligent l'affilié responsable du traitement à exercer un droit ou à demander un recours en vertu du présent DPA contre Airpelago elle-même, les parties conviennent que (i) seul le client qui est la partie contractante au contrat exercera un tel droit ou cherchera un tel recours au nom de l'affilié responsable du traitement, et (ii) le client qui est la partie contractante au contrat exercera ces droits en vertu du présent DPA non pas séparément pour chaque affilié responsable du traitement individuellement mais dans une manière combinée pour l'ensemble de son Contrôleur Affiliés ensemble (comme indiqué, par exemple, dans la section 8.3.2 ci-dessous).
8.3.2 Les parties conviennent que le Client qui est la partie contractante au Contrat doit, s'il effectue un audit sur site des procédures d'Airpelago relatives à la protection des données personnelles, prendre toutes les mesures raisonnables pour limiter tout impact sur Airpelago en combinant, dans la mesure du possible, plusieurs demandes d'audit effectuées pour le compte de différentes filiales du contrôleur en un seul audit.
La responsabilité de chaque partie et de toutes ses filiales, prise dans leur ensemble, découlant du présent DPA ou y étant liée, et de tous les APD entre les affiliés du contrôleur et Airpelago, qu'il s'agisse d'un contrat, d'un délit ou de toute autre théorie de responsabilité, est soumise à la section « Limitations de responsabilité » du Contrat, et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de la partie et de toutes ses filiales en vertu du contrat et tous les DPA ensemble.
Pour éviter toute ambiguïté, la responsabilité totale d'Airpelago pour toutes les réclamations du Client et de toutes ses filiales responsables du traitement découlant de ou liées à l'Accord et à chaque DPA s'appliquera globalement à toutes les réclamations au titre du Contrat et de toutes les DPA établies en vertu du Contrat, y compris par le Client et toutes les Filiales responsables du traitement, et en particulier, ne doit pas être interprétée comme s'appliquant individuellement et séparément au Client et/ou à toute Affiliée responsable qui est partie contractuelle à une telle DPA PA.
À compter du 25 mai 2018, Airpelago traitera les données personnelles conformément aux exigences du RGPD directement applicables à la fourniture des services par Airpelago.
10.1.1 Analyse d'impact sur la protection des données
À la demande du Client, Airpelago fournira au Client la coopération et l'assistance raisonnables nécessaires pour remplir ses obligations en vertu du RGPD, à savoir réaliser une analyse d'impact sur la protection des données liée à l'utilisation des services par le Client, dans la mesure où le Client n'a pas autrement accès aux informations pertinentes et dans la mesure où ces informations sont disponibles pour Airpelago. Airpelago fournira une assistance raisonnable au client dans le cadre de la coopération ou de la consultation préalable avec l'autorité de surveillance, dans la mesure requise par le RGPD.
À compter de l'entrée en vigueur de cette DPA, Airpelago s'autocertifie et se conforme aux cadres du Privacy Shield UE-États-Unis et Suisse-États-Unis, tels qu'administrés par le ministère américain du Commerce.
Le présent DPA et tout litige ou réclamation découlant de ou en relation avec celui-ci, son objet ou sa formation (y compris les litiges ou réclamations non contractuels) seront régis et interprétés conformément aux lois de la Suède.
For any issues, clarifications, or data subject requests, Customer can contact Airpelago at support@airpelago.com.
This DPA may be reviewed and updated annually, or as required to comply with changes in data protection laws.
