1. Traitement des données.

1.1 Portée et Rôles. Cette DPA s'applique lorsque MAPSLY traite les Données Client. Dans ce contexte, MAPSLY agira en tant que Sous-traitant pour le Client, qui peut agir soit en tant que Responsable du traitement, soit en tant que Sous-traitant des Données Client.

1.2 Contrôles client Le Client peut utiliser les Contrôles de Service pour l’aider à respecter ses obligations en vertu de la Loi applicable sur la protection des données, y compris ses obligations de répondre aux demandes des personnes concernées. En tenant compte de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY prenne connaissance du fait que les Données Client transférées dans le cadre des Clauses contractuelles types sont inexactes ou obsolètes. Néanmoins, si MAPSLY prend connaissance que les Données Client transférées dans le cadre des Clauses contractuelles types sont inexactes ou obsolètes, elle informera le Client sans délai indu. MAPSLY coopérera avec le Client pour effacer ou rectifier les Données Client inexactes ou obsolètes transférées dans le cadre des Clauses contractuelles types en fournissant les Contrôles de Service que le Client peut utiliser pour effacer ou rectifier les Données Client.

1.3 Détails du traitement des données.

1.3.1 Sujet. L'objet du traitement des données dans le cadre de ce DPA est les Données Client.

1.3.2 Durée. Entre MAPSLY et le Client, la durée du traitement des données en vertu du présent DPA est déterminée par le Client.

1.3.3 Objectif. La finalité du traitement des données en vertu de ce DPA est la fourniture des Services initiés par le Client de temps à autre.

1.3.4 Nature du traitement. Services de calcul, de stockage et autres Services tels que décrits dans la Documentation et initiés par le Client de temps à autre.

1.3.5 Type de données client. Données client téléchargées sur les Services sous les comptes MAPSLY du Client.

1.3.6 Catégories de personnes concernées. Les personnes concernées peuvent inclure les clients du Client, les employés, les fournisseurs et les utilisateurs finaux.

1.4 Conformité aux lois. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et obligatoires dans l'exécution de ce DPA, y compris la loi applicable en matière de protection des données.

1.5 Mapsly en tant que Contrôleur. Le Client reconnaît que Mapsly peut collecter des informations spécifiques sur les Utilisateurs finaux du Client décrites dans le Politique de confidentialité MAPSLY (publiée actuellement sur https://mapsly.com/privacy-policy)Dans la mesure où ces données sont considérées comme des Informations Personnelles au sens des lois sur la protection des données, Mapsly est le Responsable du traitement de ces données et les traitera en tant que Données Client conformément à cette DPA. Le Client accorde également à MAPSLY le droit de divulguer ces données en interne et à ses Sous-traitants pour ses besoins commerciaux légitimes liés à l’exploitation, au support et à l’utilisation des Services, tels que la facturation, la gestion des comptes, le support technique, le développement produit, les ventes et le marketing.

2. Instructions client. Les parties conviennent que cette DPA et l'Accord (y compris les instructions du Client fournies via les outils de configuration tels que la console MAPSLY Setup et les API mises à disposition par MAPSLY pour les Services) constituent les instructions documentées du Client concernant le traitement des Données Client par MAPSLYInstructions documentéesMAPSLY traitera les Données Clients uniquement conformément aux Instructions Documentées (qui, si le Client agit en tant que Processeur, pourraient être basées sur les instructions de ses Contrôleurs). Toute instruction supplémentaire en dehors du cadre des Instructions Documentées (le cas échéant) nécessite un accord écrit préalable entre MAPSLY et le Client, y compris un accord sur les frais supplémentaires éventuels que le Client devra payer à MAPSLY pour l'exécution de telles instructions. Le Client a le droit de résilier ce DPA et le Contrat si MAPSLY refuse de suivre les instructions demandées par le Client qui sont en dehors du cadre ou modifiées par rapport à celles données ou convenues dans ce DPA. En tenant compte de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY puisse former une opinion sur le fait que les Instructions Documentées enfreignent la Loi Applicable sur la Protection des Données. Si MAPSLY forme une telle opinion, il en informera immédiatement le Client, auquel cas le Client a le droit de retirer ou modifier ses Instructions Documentées.

3. Confidentialité des données client. MAPSLY n'accédera pas, n'utilisera pas et ne divulguera pas à des tiers les Données Client, sauf, dans chaque cas, dans la mesure nécessaire pour maintenir ou fournir les Services, ou pour se conformer à la loi ou à une ordonnance valide et contraignante d'une autorité gouvernementale (comme une assignation ou une ordonnance judiciaire). Si une autorité gouvernementale adresse à MAPSLY une demande de Données Client, MAPSLY tentera de rediriger l'autorité gouvernementale afin qu'elle demande directement ces données au Client. Dans le cadre de cet effort, MAPSLY pourra fournir à l'autorité gouvernementale les coordonnées de base du Client. Si MAPSLY est contraint de divulguer les Données Client à une autorité gouvernementale, il informera raisonnablement le Client de cette demande afin de lui permettre de demander une ordonnance de protection ou un autre recours approprié, sauf si MAPSLY est légalement interdit de le faire.

4. Obligations de confidentialité du personnel MAPSLY. MAPSLY interdit à son personnel de traiter les données clients sans autorisation de MAPSLY. MAPSLY impose à son personnel des obligations contractuelles appropriées, notamment en matière de confidentialité, de protection des données et de sécurité des données.

5. Sécurité du traitement des données

5.1 MAPSLY a mis en œuvre et maintiendra les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des Données Client, conformément aux normes de sécurité de Mapsly décrites dans ce PDA et dans la Politique de Confidentialité de MAPSLY..

5.2 Responsabilités du client et fonctionnalités de sécurité optionnelles. MAPSLY met à disposition de nombreux Contrôles de Service que le Client peut choisir d'utiliser pour renforcer davantage la sécurité des Données Client. Le Client est responsable de (a) l'utilisation sécurisée des Services, y compris la sécurisation des identifiants d'authentification de son compte, (b) la protection de la sécurité des Données Client lors de leur transit vers et depuis les Services, (c) la prise de toutes les mesures appropriées pour chiffrer ou sauvegarder de manière sécurisée les Données Client téléchargées sur les Services, (d) la configuration correcte des Services et des Contrôles de Service, et (e) la prise d'autres mesures que le Client juge adéquates pour garantir la sécurité, la protection et la suppression des Données Client.

5.3. Notification d'incident de sécurité.

5.3.1. Incident de sécurité. MAPSLY informera (a) le Client d'un Incident de Sécurité sans délai injustifié après avoir pris connaissance de l'Incident de Sécurité, et (b) prendra les mesures appropriées pour gérer l'Incident de Sécurité, y compris les mesures visant à atténuer tout effet négatif résultant de l'Incident de Sécurité.

5.3.2. Assistance MAPSLY. Pour permettre au Client de notifier un Incident de Sécurité aux autorités de surveillance ou aux personnes concernées (le cas échéant), MAPSLY coopérera avec le Client et l'assistera en incluant dans la notification les informations concernant l'Incident de Sécurité que MAPSLY est en mesure de communiquer au Client, en tenant compte de la nature du traitement, des informations disponibles pour MAPSLY, et de toute restriction à la divulgation des informations, telles que la confidentialité. En tenant compte de la nature du traitement, le Client convient qu'il est le mieux placé pour déterminer les conséquences probables d'un Incident de Sécurité.

5.3.3. Incidents de sécurité infructueux. Le client accepte que :

(i) Un incident de sécurité infructueux ne sera pas soumis à la présente section 5.3. Un incident de sécurité infructueux est celui qui ne provoque aucun accès non autorisé aux données du client ou à tout équipement ou installation de MAPSLY stockant les données du client, et peut inclure, sans s'y limiter, des pings et autres attaques par diffusion sur des pare-feux ou serveurs de bordure, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, l'analyse de paquets (ou tout autre accès non autorisé aux données de trafic ne dépassant pas les en-têtes) ou des incidents similaires ;

(ii) L'obligation de MAPSLY de signaler ou de répondre à un incident de sécurité en vertu de cette section 5.3 ne constitue pas et ne sera pas interprétée comme une reconnaissance par MAPSLY d'une quelconque faute ou responsabilité de MAPSLY concernant l'incident de sécurité.

5.3.4. Communication. La ou les notifications d'incidents de sécurité, le cas échéant, seront envoyées à un ou plusieurs administrateurs du Client par tout moyen choisi par MAPSLY, y compris par e-mail. Il incombe uniquement au Client de s'assurer que les administrateurs du Client maintiennent des informations de contact précises dans la console de configuration MAPSLY et garantissent une transmission sécurisée à tout moment.

5.3.5. Obligations de notification. Si MAPSLY informe le Client d'un Incident de Sécurité, ou si le Client prend connaissance d'une destruction, d'une perte, d'une altération, d'une divulgation non autorisée ou d'un accès non autorisé aux Données du Client, le Client sera responsable de (a) déterminer s'il existe une obligation de notification ou autre en vertu de la Loi applicable sur la Protection des Données et (b) prendre les mesures nécessaires pour se conformer à ces obligations. Cela ne limite pas les obligations de MAPSLY en vertu de la présente Section 5.3.

6. Sous-traitance.

6.1 Sous-traitants autorisés. Le Client donne une autorisation générale à MAPSLY pour utiliser des sous-traitants afin d'effectuer des activités de traitement sur les Données du Client pour le compte du ClientSous-traitants») conformément à cette Section. Le site web MAPSLY (actuellement publié à https://mapsly.com/sub-processors/) liste les sous-traitants actuellement engagés par MAPSLY. Au moins 30 jours avant que MAPSLY n'engage un sous-traitant, MAPSLY mettra à jour le site web applicable et fournira au Client un moyen d'obtenir un avis de cette mise à jour. Pour s'opposer à un sous-traitant, le Client peut : (i) cesser d'utiliser la fonctionnalité du Service MAPSLY pour laquelle MAPSLY a engagé le sous-traitant, ou (ii) résilier le Contrat conformément à ses termes.

6.2 Obligations du sous-traitant. Lorsque MAPSLY autorise un Sous-traitant comme décrit dans la Section 6.1 :

(i) MAPSLY limitera l'accès du sous-traitant aux données client uniquement à ce qui est nécessaire pour fournir ou maintenir les Services conformément à la Documentation, et MAPSLY interdira au sous-traitant d'accéder aux données client à toute autre fin;

(ii) MAPSLY conclura un accord écrit avec le sous-traitant et, dans la mesure où le sous-traitant effectue les mêmes services de traitement des données fournis par MAPSLY dans le cadre de cette DPA, MAPSLY imposera au sous-traitant les mêmes obligations contractuelles que celles que MAPSLY a dans le cadre de cette DPA ; et

(iii) MAPSLY restera responsable de son respect des obligations de ce DPA ainsi que de tout acte ou omission du sous-traitant entraînant pour MAPSLY une violation de l'une de ses obligations en vertu de ce DPA.

7. Assistance MAPSLY pour les demandes des personnes concernées. En tenant compte de la nature du traitement, les Contrôles de Service sont les mesures techniques et organisationnelles par lesquelles MAPSLY aidera le Client à remplir ses obligations de répondre aux demandes des personnes concernées en vertu de la Loi sur la Protection des Données applicable. Si une personne concernée fait une demande à MAPSLY, MAPSLY transmettra rapidement cette demande au Client dès qu'elle aura identifié que la demande provient d'une personne concernée dont le Client est responsable. Le Client autorise en son nom, et au nom de ses responsables lorsqu'il agit en tant que Sous-traitant, MAPSLY à répondre à toute personne concernée qui fait une demande à MAPSLY, pour confirmer que MAPSLY a transmis la demande au Client. Les parties conviennent que l'utilisation par le Client des Contrôles de Service et la transmission par MAPSLY des demandes des personnes concernées au Client conformément à cette section représentent l'étendue et la portée de l'assistance requise du Client.

8. Vérification de conformité.

8.1 Audits MAPSLY. MAPSLY utilise des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité. Cet audit : (a) sera réalisé au moins une fois par an ; (b) sera effectué selon une norme largement reconnue ; (c) sera réalisé par des professionnels de la sécurité indépendants tiers choisis et financés par MAPSLY ; et (d) aboutira à la production d'un rapport d'audit.Rapport«), qui seront les Informations Confidentielles de MAPSLY.

8.2 Rapports d'audit. À la demande écrite du client, et à condition que les parties disposent d'un NDA applicable, MAPSLY fournira au client une copie du Rapport afin que ce dernier puisse vérifier raisonnablement la conformité de MAPSLY à ses obligations en vertu de ce DPA.

8.3 Évaluation de l'impact sur la vie privée et consultation préalable. Tenant compte de la nature du traitement et des informations disponibles pour MAPSLY, MAPSLY assistera le Client dans le respect de ses obligations en matière d'évaluations d'impact sur la protection des données et de consultation préalable en fournissant les informations mises à disposition par MAPSLY en vertu de la présente Section 8.

9. Transferts de données personnelles.

9.1 Emplacements. MAPSLY peut transférer et traiter les Données Clients au sein du réseau MAPSLY aux États-Unis ou dans l'EEE. MAPSLY ne transférera pas les Données Clients en dehors de l'EEE et des États-Unis, sauf si cela est nécessaire pour fournir les Services initiés par le Client, ou si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'une autorité gouvernementale.

9.2 Application des clauses contractuelles types. Sous réserve de l'article 9.3, les Clauses Contractuelles Types s'appliqueront uniquement aux Données Client soumises au RGPD qui sont transférées, soit directement, soit par transfert ultérieur, vers un pays tiers (chacun un «Transfert de données).

9.2.1 Lorsque le Client agit en tant que Responsable du traitement, les Clauses du Responsable au Sous-traitant s'appliqueront à un Transfert de Données.

9.2.2 Lorsque le Client agit en tant que Sous-traitant, les Clauses Sous-traitant à Sous-traitant s'appliqueront à un Transfert de Données. Compte tenu de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY connaisse l'identité des Responsables du Client car MAPSLY n'a pas de relation directe avec les Responsables du Client et, par conséquent, le Client remplira les obligations de MAPSLY envers les Responsables du Client en vertu des Clauses Sous-traitant à Sous-traitant.

9.3 Mécanisme de transfert alternatif. Les Clauses Contractuelles Types ne s'appliqueront pas à un transfert de données si MAPSLY a adopté des règles d'entreprise contraignantes pour les sous-traitants ou une autre norme reconnue de conformité pour les transferts de données légaux.

10. Résiliation du DPA. Cette DPA restera en vigueur jusqu'à la résiliation de l'Accord (le «Date de résiliation).

11. Suppression des données client. À la résiliation ou à l'expiration de l'Accord, MAPSLY supprimera les Données Client à la demande du Client, mais au plus tard dans un délai de 90 jours, sauf si et dans la mesure où la loi applicable impose à MAPSLY de conserver une partie ou la totalité des Données Client, que MAPSLY isolera et stockera de manière sécurisée conformément aux périodes de conservation applicables. MAPSLY protégera ces Données contre toute autre traitement, sauf dans la mesure requise par la loi applicable.

12. Obligations d’informer. Lorsque les Données Client deviennent sujettes à une confiscation lors de procédures de faillite, d'insolvabilité ou de mesures similaires par des tiers pendant leur traitement par MAPSLY, MAPSLY informera le Client sans délai indu. MAPSLY notifiera, sans délai indu, toutes les parties concernées par cette action (par exemple, les créanciers, le syndic de faillite) que toutes les Données Client faisant l'objet de ces procédures sont la propriété du Client et relèvent de sa responsabilité, et que les Données Client sont à la disposition exclusive du Client.

13. Accord complet ; Conflit. Cette DPA intègre les Clauses Contractuelles Types par référence. Sauf amendement par cette DPA, l'Accord restera en vigueur. En cas de conflit entre l'Accord et cette DPA, les termes de cette DPA prévaudront, sauf que les Conditions de Service prévaudront sur cette DPA. Rien dans ce document ne modifie ou ne change les Clauses Contractuelles Types.

14. L'utilisation des données utilisateur brutes ou dérivées reçues de API de l’espace de travail respectera la Politique de données utilisateur de Google, y compris les exigences d'Utilisation Limitée