Dernière mise à jour : 15 septembre 2023.
Cet avenant relatif au traitement des données ("DPA") est un accord entre vous et l'entité que vous représentez ("Customer", "you" ou "your") et Mapsly LLC ("MAPSLY"). Cet avenant complète les Conditions d'utilisation de MAPSLY disponibles à https://mapsly.com/terms, tel que mis à jour de temps à autre entre Customer et MAPSLY, ou en vertu d'autres accords entre Customer et MAPSLY régissant l'utilisation des Services MAPSLY par le Customer ("l'Accord").
Définitions. Tous les termes en majuscules utilisés dans ce DPA auront les significations qui leur sont attribuées ci-dessous, sauf indication contraire dans l'Accord:
,API” signifie une interface de programmation d'application.
,Loi sur la protection des données applicable” signifie toutes les lois et réglementations applicables et contraignantes relatives au traitement des données client par une partie, y compris, le cas échéant, le GDPR.
,Règles d'entreprise contraignantes” a le sens qui lui est attribué par le RGPD.
,Contrôleur” a le sens qui lui est attribué par le RGPD.
,Clauses entre le responsable du traitement et le sous-traitant” signifie les clauses contractuelles types entre responsables du traitement et sous-traitants pour les transferts de données, telles qu'approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
,Données clients” signifie les données personnelles qui sont téléversées sur les Services dans le cadre des comptes MAPSLY du Client.
,Documentation” signifie la documentation alors en vigueur des Services situés à, https://help.mapsly.com et tous les emplacements successeurs désignés par MAPSLY).
,Espace économique européen” désigne l'Espace économique européen.
,Utilisateurs finaux” signifie les utilisateurs du compte Mapsly du Client, y compris les employés et contractuels du Client qui ont été désignés par le Client pour utiliser Mapsly.
,RGPD” désigne le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
,Réseau MAPSLY” signifie les serveurs, équipements réseau et systèmes logiciels hôtes (par exemple, les pare-feux virtuels) qui relèvent du contrôle de MAPSLY et sont utilisés pour fournir les Services.
,Console de configuration MAPSLY” signifie la section Setup du service Mapsly accessible sous « Setup » dans le menu principal.
,Données personnelles” signifie données personnelles, informations personnelles, informations permettant d'identifier une personne ou tout autre terme équivalent (chacun tel que défini par la loi applicable sur la protection des données).
,Traitement en cours” a la signification qui lui est attribuée dans le RGPD et « process », « processes » et « processed » seront interprétés en conséquence.
,Processeur” a le sens qui lui est attribué par le RGPD.
Clauses de sous-traitant à sous-traitant signifie les clauses contractuelles types entre les sous-traitants pour les transferts de données, telles qu'approuvées par la Décision d'exécution (UE) 2021/914 de la Commission européenne en date du 4 juin 2021..
Incident de sécurité Signifie une violation de la sécurité de MAPSLY entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données clients.
Contrôles de service signifie les contrôles, y compris les fonctions de sécurité et les capacités, que les Services fournissent, tels que décrits dans la Documentation.
Clauses contractuelles types” signifie (i) les clauses établissant la relation entre le Responsable du traitement et le Sous-traitant, ou (ii) les clauses établissant la relation entre les Sous-traitants, telles qu'applicables conformément aux sections 9.2.1 et 9.2.2.
Troisième pays signifie un pays situé en dehors de l'EEE qui n'est pas reconnu par la Commission européenne comme assurant un niveau de protection adéquat pour les données personnelles (tel que décrit dans le RGPD).
1. Traitement des données.
1.1 Portée et rôles. Le présent DPA s'applique lorsque MAPSLY traite les données du client. Dans ce contexte, MAPSLY agira en tant que sous-traitant pour le client, qui peut être soit le responsable du traitement, soit le sous-traitant des données du client.
1.2 Contrôles client. Le Client peut utiliser les Contrôles de service pour l'aider à remplir ses obligations en vertu de la loi sur la protection des données applicable, y compris ses obligations de répondre aux demandes des personnes concernées par les données. Compte tenu de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY prenne connaissance que les Données client transférées en vertu des Clauses contractuelles types sont inexactes ou obsolètes. Néanmoins, si MAPSLY prend connaissance que les Données client transférées en vertu des Clauses contractuelles types sont inexactes ou obsolètes, il en informera le Client sans délai injustifié. MAPSLY coopérera avec le Client pour effacer ou rectifier les Données client inexactes ou obsolètes transférées en vertu des Clauses contractuelles types, en fournissant les Contrôles de service que le Client peut utiliser pour effacer ou rectifier les Données client.
1.3 Détails du traitement des données.
1.3.1 Sujet. L'objet du traitement des données dans le cadre de ce DPA est les données clients.
1.3.2 Durée. Entre MAPSLY et le Client, la durée du traitement des données en vertu de cet accord (DPA) est déterminée par le Client.
1.3.3 But. Le traitement des données dans le cadre de ce DPA a pour objet la fourniture des Services initiés par Customer de temps à autre.
1.3.4 Nature du traitement. Compute, storage et autres services tels que décrits dans la Documentation et initiés par le Client de temps à autre.
1.3.5 Type de données clients. Données client téléversées sur les Services sous les comptes MAPSLY du Client.
1.3.6 Catégories de personnes concernées. Les personnes concernées par les données peuvent inclure les clients de Customer, les employés, les fournisseurs et les utilisateurs finaux.
1.4 Conformité aux lois. Chaque partie s'engage à respecter toutes les lois, règles et réglementations qui lui sont applicables et obligatoires dans l'exécution de ce DPA, y compris la législation applicable en matière de protection des données.
1.5 Mapsly en tant que contrôleur Le Client reconnaît que Mapsly peut collecter des informations spécifiques sur les utilisateurs finaux du Client décrites dans le MAPSLY Politique de confidentialité (actuellement publiée sur https://mapsly.com/privacy-policy)Dans la mesure où ces données sont considérées comme des Informations Personnelles en vertu des lois sur la protection des données, Mapsly est le Responsable de ces données et les traitera dans le cadre des Données Clients conformément à ce DPA. Le Client accorde également à MAPSLY le droit de divulguer ces données en interne et à ses Sous-traitants pour ses besoins commerciaux légitimes liés à l'exploitation, au support et à l'utilisation des Services, tels que la facturation, la gestion de compte, le support technique, le développement de produit, les ventes et le marketing.
2. Instructions aux clients. Les parties conviennent que la présente DPA et l'Accord (y compris la fourniture d'instructions par le Client via des outils de configuration tels que la console de configuration MAPSLY et les API mises à disposition par MAPSLY pour les Services) constituent les instructions documentées du Client concernant le traitement des Données Client par MAPSLY (Instructions documentées”). MAPSLY traitera les Données Client uniquement conformément aux Instructions Documentées (qui, si le Client agit en tant que Sous-traitant, pourraient être basées sur les instructions de ses Responsables). Des instructions supplémentaires dépassant le cadre des Instructions Documentées (le cas échéant) nécessitent un accord écrit préalable entre MAPSLY et le Client, incluant un accord sur d’éventuels frais supplémentaires que le Client devra payer à MAPSLY pour l’exécution de ces instructions. Le Client est en droit de résilier ce DPA et l’Accord si MAPSLY refuse de suivre les instructions demandées par le Client qui se situent en dehors du cadre ou qui diffèrent de celles qui ont été fournies ou convenues dans ce DPA. Compte tenu de la nature du traitement, le Client convient qu’il est peu probable que MAPSLY puisse se forger une opinion quant au caractère éventuel des Instructions Documentées de contrevenir à la Loi sur la Protection des Données Applicable. Si MAPSLY se forge une telle opinion, il en informera immédiatement le Client, auquel cas le Client est en droit de retirer ou de modifier ses Instructions Documentées.
3. Confidentialité des données clients. MAPSLY n'accédera pas aux Customer Data, ne les utilisera pas et ne les divulgue à aucun tiers, sauf dans les cas où cela est nécessaire pour maintenir ou fournir les Services, ou lorsqu'il est nécessaire de se conformer à la loi ou à une ordonnance valide et contraignante émanant d'une autorité gouvernementale (telle qu'une assignation ou une ordonnance judiciaire). Si une autorité gouvernementale adresse à MAPSLY une demande concernant les Customer Data, MAPSLY tentera de rediriger cette autorité pour qu'elle obtienne ces données directement auprès du Customer. Dans le cadre de cet effort, MAPSLY peut fournir à l'autorité gouvernementale les informations de contact de base du Customer. Si MAPSLY est contraint de divulguer les Customer Data à une autorité gouvernementale, MAPSLY en informera le Customer de manière raisonnable afin de lui permettre de solliciter une ordonnance de protection ou tout autre recours approprié, sauf si MAPSLY est légalement empêché de le faire.
4. Obligations de confidentialité du personnel MAPSLY. MAPSLY interdit à son personnel de traiter les Données Client sans autorisation de MAPSLY. MAPSLY impose à son personnel des obligations contractuelles appropriées, y compris des obligations relatives à la confidentialité, à la protection des données et à la sécurité des données.
5. Sécurité du traitement des données
5.1 MAPSLY a mis en place et continuera de maintenir les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données clients, conformément aux normes de sécurité de Mapsly décrites dans ce PDA et dans la MAPSLY Privacy Policy.
5.2 Responsabilités du client et fonctionnalités de sécurité optionnelles. MAPSLY met à disposition de nombreux Service Controls que le Client peut choisir d’utiliser pour renforcer davantage la sécurité des Données Client. Le Client est responsable de (a) l’utilisation sécurisée des Services, y compris la sécurisation de ses identifiants d'authentification de compte, (b) la protection de la sécurité des Données Client lors de leur transit vers et depuis les Services, (c) la prise de toutes mesures appropriées pour chiffrer ou sauvegarder en toute sécurité les Données Client téléversées sur les Services, (d) la configuration correcte des Services et des Service Controls, et (e) la prise d’autres mesures que le Client juge adéquates pour assurer la sécurité, la protection et la suppression des Données Client.
5.3. Notification d'incident de sécurité.
5.3.1. Incident de sécurité. MAPSLY notifiera (a) le Client d'un Incident de Sécurité sans délai indu dès qu'il en aura connaissance, et (b) prendra les mesures appropriées pour traiter l'Incident de Sécurité, y compris des mesures visant à atténuer toute conséquence défavorable résultant de cet Incident.
5.3.2. Assistance MAPSLY. Pour permettre au Customer de notifier un incident de sécurité aux autorités de surveillance ou aux personnes concernées (le cas échéant), MAPSLY coopérera avec le Customer et l'assistera en incluant dans la notification les informations concernant l'incident de sécurité que MAPSLY est en mesure de divulguer, compte tenu de la nature du traitement, des informations disponibles pour MAPSLY et de toute restriction relative à la divulgation, telle que la confidentialité. Compte tenu de la nature du traitement, le Customer convient qu'il est le mieux placé pour déterminer les conséquences probables d'un incident de sécurité.
5.3.3. Incidents de sécurité non réussis. Le client accepte que :
(i) Un incident de sécurité non réussi ne sera pas soumis à la Section 5.3. Un incident de sécurité non réussi est un incident qui n’entraîne aucun accès non autorisé aux données client ni à aucun équipement ou installation de MAPSLY stockant des données client, et peut inclure, sans s’y limiter, des pings et d’autres attaques de diffusion sur des pare-feux ou des serveurs périphériques, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, de l’écoute de paquets (ou tout autre accès non autorisé aux données de trafic ne conduisant pas à un accès au-delà des en-têtes) ou des incidents similaires;
(ii) L'obligation de MAPSLY de signaler ou de répondre à un incident de sécurité en vertu de la section 5.3 ne constitue pas et ne sera pas interprétée comme une reconnaissance par MAPSLY de toute faute ou responsabilité de sa part concernant l'incident de sécurité.
5.3.4. Communication. Les notifications d'incident(s) de sécurité, le cas échéant, seront envoyées à un ou plusieurs administrateurs du Client par tout moyen choisi par MAPSLY, y compris par courriel. Il incombe exclusivement au Client de s'assurer que ses administrateurs maintiennent des informations de contact précises sur la console de configuration MAPSLY et assurent une transmission sécurisée en tout temps.
5.3.5. Obligations de notification. Si MAPSLY notifie au Client un incident de sécurité, ou si le Client prend autrement connaissance d'une destruction, d'une perte, d'une altération, d'une divulgation non autorisée ou d'un accès non autorisé aux Données Client de manière accidentelle ou illégale, le Client sera responsable de (a) déterminer s'il existe une obligation de notification ou toute autre obligation en vertu de la législation applicable sur la protection des données et de (b) prendre les mesures nécessaires pour se conformer à ces obligations. Cela n'exonère pas MAPSLY de ses obligations en vertu de la présente section 5.3.
6. Sous-traitement.
6.1 Sous-traitants autorisés. Le client donne une autorisation générale à MAPSLY pour utiliser des sous-traitants afin d'effectuer des activités de traitement sur les données du client pour le compte du client (Sous-traitants”) conformément à cette section. Le site Web de MAPSLY (actuellement affiché sur, https://mapsly.com/sub-processors/) énumère les sous-traitants actuellement engagés par MAPSLY. Au moins 30 jours avant que MAPSLY ne fasse appel à un sous-traitant, MAPSLY mettra à jour le site web concerné et fournira au Client un mécanisme lui permettant de recevoir une notification de cette mise à jour. Pour s’opposer à un sous-traitant, le Client peut : (i) cesser d’utiliser la fonctionnalité du service MAPSLY pour lequel MAPSLY a fait appel au sous-traitant, ou (ii) résilier le Contrat conformément à ses termes.
6.2 Obligations du sous-traitant. Là où MAPSLY autorise un sous-traitant tel que décrit dans la Section 6.1:
(i) MAPSLY restreindra l'accès du sous-traitant aux données clients uniquement à ce qui est nécessaire pour fournir ou maintenir les Services conformément à la Documentation, et MAPSLY interdira au sous-traitant l'accès aux données clients pour tout autre usage ;
(ii) MAPSLY conclura un accord écrit avec le Sub-processor et, dans la mesure où le Sub-processor fournit les mêmes services de traitement de données que ceux offerts par MAPSLY dans le cadre de ce DPA, MAPSLY imposera au Sub-processor les mêmes obligations contractuelles que celles auxquelles MAPSLY est tenu en vertu de ce DPA;
(iii) MAPSLY restera responsable de sa conformité aux obligations de cette DPA et de tout acte ou omission du Sous-Traitant qui amène MAPSLY à enfreindre l'une de ses obligations en vertu de cette DPA.
7. Assistance MAPSLY pour les demandes des personnes concernées. Compte tenu de la nature du traitement, les Service Controls constituent les mesures techniques et organisationnelles par lesquelles MAPSLY assistera le Client dans l'accomplissement de ses obligations de répondre aux demandes des personnes concernées conformément à la législation sur la protection des données applicable. Si une personne concernée adresse une demande à MAPSLY, MAPSLY transmettra promptement cette demande au Client dès que MAPSLY aura identifié que la demande émane d'une personne concernée dont le Client est responsable. Le Client autorise, en son nom et au nom de ses responsables lorsque le Client agit en tant que Processor, MAPSLY à répondre à toute personne concernée qui adresse une demande à MAPSLY, afin de confirmer que MAPSLY a transmis la demande au Client. Les parties conviennent que l'utilisation par le Client des Service Controls et la transmission par MAPSLY des demandes des personnes concernées au Client, conformément à la présente section, représentent l'étendue et la portée de l'assistance requise du Client.
8. Vérification de la conformité.
8.1 MAPSLY Audits. MAPSLY fait appel à des auditeurs externes pour vérifier la pertinence de ses mesures de sécurité. Cet audit : (a) sera réalisé au moins une fois par an ; (b) sera effectué selon une norme largement reconnue ; (c) sera réalisé par des professionnels de la sécurité indépendants et tiers, choisis et aux frais de MAPSLY ; et (d) aboutira à l'établissement d'un rapport d'audit (Rapport”), qui constituera l’information confidentielle de MAPSLY.
8.2 Rapports d'audit. À la demande écrite du Client, et à condition que les parties disposent d’un NDA applicable, MAPSLY fournira au Client une copie du Rapport afin que celui-ci puisse vérifier de manière raisonnable la conformité de MAPSLY à ses obligations en vertu de ce DPA.
8.3 Évaluation d'impact sur la vie privée et consultation préalable. Compte tenu de la nature du traitement et des informations disponibles pour MAPSLY, MAPSLY aidera le Client à respecter ses obligations relatives aux évaluations d'impact sur la protection des données et aux consultations préalables en fournissant les informations que MAPSLY met à disposition conformément à la présente Section 8.
9. Transferts de données personnelles.
9.1 Lieux. MAPSLY peut transférer et traiter les données client au sein du réseau MAPSLY aux États-Unis ou dans l'EEE. MAPSLY ne transférera pas les données client en dehors de l'EEE et des États-Unis, sauf si cela est nécessaire pour fournir les services initiés par le client ou pour se conformer à la loi ou à une décision valide et contraignante d'une autorité gouvernementale.
9.2 Application des clauses contractuelles types. Sous réserve de l'article 9.3, les Clauses Contractuelles Types s'appliqueront uniquement aux Données Clients relevant du RGPD qui sont transférées, soit directement, soit par transfert ultérieur, vers tout Pays tiers (chacun un “Transfert de données”).,
9.2.1 Lorsque le Client agit en tant que Contrôleur, les clauses entre le Contrôleur et le Sous-traitant s’appliqueront à un transfert de données.
9.2.2 Lorsque le Customer agit en tant que Processor, les Processor-to-Processor Clauses s'appliqueront à un Data Transfer. Compte tenu de la nature du traitement, le Customer accepte qu'il est peu probable que MAPSLY connaisse l'identité des Controllers du Customer, car MAPSLY n'a pas de relation directe avec les Controllers du Customer et, par conséquent, le Customer remplira les obligations de MAPSLY envers les Controllers du Customer en vertu des Processor-to-Processor Clauses.
9.3 Mécanisme de transfert alternatif. Les Clauses Contractuelles Types ne s'appliqueront pas à un Transfert de Données si MAPSLY a adopté des Règles d'Entreprise Contraignantes pour les Sous-Traitants ou une norme de conformité alternative reconnue pour les Transferts de Données légaux.
10. Résiliation du DPA. Ce DPA restera en vigueur jusqu’à la résiliation de l’Accord (the “Date de résiliation”).,
11. Suppression des données client. À l'expiration ou à la résiliation de l'Accord, MAPSLY supprimera les Données Clients à la demande du Client, mais pas au-delà d'une période de 90 jours, sauf et dans la mesure où la loi applicable oblige MAPSLY à conserver une partie ou la totalité des Données Clients, que MAPSLY isolera et stockera de manière sécurisée conformément aux périodes de conservation applicables. MAPSLY protégera ces Données de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable.
12. Devoirs d'informer. Lorsque les Données Client deviennent susceptibles d'être confisquées dans le cadre de procédures de faillite ou d'insolvabilité, ou de mesures similaires prises par des tiers pendant leur traitement par MAPSLY, MAPSLY informera le Client sans délai indu. MAPSLY notifiera, sans délai indu, à toutes les parties concernées dans une telle action (par exemple, les créanciers, le syndic de faillite) que toutes les Données Client soumises à ces procédures sont la propriété du Client et relèvent de sa responsabilité, et que les Données Client sont exclusivement à la disposition du Client.
13. Accord intégral; Conflit. Cette DPA incorpore, par référence, les Standard Contractual Clauses. Sauf modification apportée par cette DPA, l'Agreement demeure pleinement en vigueur. En cas de conflit entre l'Agreement et cette DPA, les termes de cette DPA prévaudront, excepté que les Service Terms primeront sur cette DPA. Rien dans ce document ne modifie ou altère les Standard Contractual Clauses.
14. L'utilisation des données utilisateur brutes ou dérivées reçues de, APIs de l'espace de travail se conformera à la Google User Data Policy, y compris, les exigences d'utilisation limitée