Dernière mise à jour : 15 septembre 2023.
Cet Addendum sur le traitement des données (« DPA ») est un accord entre vous et l'entité que vous représentez (« Client », « vous » ou « votre ») et Mapsly LLC (« MAPSLY »). Ce DPA complète les conditions de service MAPSLY disponibles sur https://mapsly.com/terms, tel que mis à jour de temps à autre entre le Client et MAPSLY, ou d'autres accords entre le Client et MAPSLY qui régissent l'utilisation par le Client des Services MAPSLY (l'« Accord »).
Définitions. Tous les termes en majuscules utilisés dans le présent DPA auront la signification qui leur est donnée ci-dessous, sauf définition contraire dans l'Accord :
"Mapsly» désigne une interface de programmation d'application.
"Loi applicable sur la protection des données» désigne toutes les lois et réglementations applicables et contraignantes sur le traitement des données client par une partie, y compris, le cas échéant, le RGPD.
"Règles d'entreprise contraignantes» a le sens qui lui est donné dans le RGPD.
"Manette» a le sens qui lui est donné dans le RGPD.
"Clauses contrôleur-processeur» désigne les clauses contractuelles types entre les responsables du traitement et les sous-traitants pour les transferts de données, telles qu'approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
"Données client» désigne les Données personnelles téléchargées sur les Services sous les comptes MAPSLY du Client.
"Documentation» désigne la documentation alors en vigueur pour les Services située à l'adresse https://help.mapsly.com (et tout emplacement successeur désigné par MAPSLY).
"EEE» désigne l’Espace économique européen.
"Les utilisateurs finaux» désigne les utilisateurs du compte Mapsly du Client, y compris les employés et sous-traitants du Client qui ont été chargés par le Client d'utiliser Mapsly.
"RGPD» désigne le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (généralités Règlement sur la protection des données).
"Réseau MAPSLY» désigne les serveurs, les équipements réseau et les systèmes logiciels hôtes (par exemple, les pare-feu virtuels) qui sont sous le contrôle de MAPSLY et sont utilisés pour fournir les Services.
"Console de configuration MAPSLY» désigne la section Configuration du service Mapsly disponible sous « Configuration » dans le menu principal.
"Données personnelles» désigne les données personnelles, les informations personnelles, les informations personnellement identifiables ou tout autre terme équivalent (chacun tel que défini dans la loi applicable sur la protection des données).
"Traitement» a le sens qui lui est donné dans le RGPD et « processus », « processus » et « traité » seront interprétés en conséquence.
"Processeur» a le sens qui lui est donné dans le RGPD.
« Clauses entre sous-traitants » désigne les clauses contractuelles types entre sous-traitants pour les transferts de données, telles qu'approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021..
« Incident de sécurité » désigne une violation de la sécurité de MAPSLY entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données Client.
« Contrôles des services » désigne les contrôles, y compris les caractéristiques et fonctionnalités de sécurité, que les Services fournissent, tels que décrits dans la Documentation.
« Clauses contractuelles types» désigne (i) les clauses entre contrôleur et sous-traitant, ou (ii) les clauses entre sous-traitant, selon le cas, conformément aux sections 9.2.1 et 9.2.2.
« Pays tiers » désigne un pays en dehors de l'EEE non reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles (tel que décrit dans le RGPD).
1. Traitement de l'information.
1.1 Portée et rôles. Ce DPA s'applique lorsque MAPSLY traite les données client. Dans ce contexte, MAPSLY agira en tant que sous-traitant auprès du client, qui peut agir soit en tant que contrôleur, soit en tant que sous-traitant des données client.
1.2 Contrôles client. Le Client peut utiliser les Contrôles de Service pour l'aider à remplir ses obligations en vertu de la Loi Applicable sur la Protection des Données, y compris ses obligations de répondre aux demandes des personnes concernées. Compte tenu de la nature du traitement, le Client reconnaît qu'il est peu probable que MAPSLY se rende compte que les Données Client transférées dans le cadre des Clauses Contractuelles Types sont inexactes ou obsolètes. Néanmoins, si MAPSLY se rend compte que les Données Client transférées au titre des Clauses Contractuelles Types sont inexactes ou obsolètes, elle en informera le Client sans délai injustifié. MAPSLY coopérera avec le Client pour effacer ou rectifier les Données Client inexactes ou obsolètes transférées en vertu des Clauses Contractuelles Types en fournissant les Contrôles de Service que le Client peut utiliser pour effacer ou rectifier les Données Client.
1.3 Détails du traitement des données.
1.3.1 Sujet. L'objet du traitement des données dans le cadre du présent DPA est les données client.
1.3.2 Durée. Entre MAPSLY et le Client, la durée du traitement des données dans le cadre du présent DPA est déterminée par le Client.
1.3.3 But. Le but du traitement des données dans le cadre du présent DPA est la fourniture des services initiés par le client de temps à autre.
1.3.4 Nature du traitement. Calcul, stockage et autres services décrits dans la documentation et initiés par le client de temps à autre.
1.3.5 Type de données client. Données client téléchargées sur les services sous les comptes MAPSLY du client.
1.3.6 Catégories de personnes concernées. Les personnes concernées peuvent inclure les clients, les employés, les fournisseurs et les utilisateurs finaux du Client.
1.4 En accord avec les lois. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et qui la lient dans l'exécution du présent DPA, y compris la loi applicable sur la protection des données.
1.5 Mapsly en tant que contrôleur. Le client reconnaît que Mapsly peut collecter des informations spécifiques sur les utilisateurs finaux du client décrits dans les Politique de confidentialité de MAPSLY (actuellement publiée sur https://mapsly.com/privacy-policy). Dans la mesure où ces données sont considérées comme des informations personnelles en vertu des lois sur la protection des données, Mapsly est le contrôleur de ces données et les traitera dans le cadre des données client conformément au présent DPA. Le Client accorde également à MAPSLY le droit de divulguer ces données en interne et à ses Sous-traitants à des fins commerciales légitimes liées au fonctionnement, au support et à l'utilisation des Services, telles que la facturation, la gestion de compte, le support technique, le développement de produits, les ventes et commercialisation.
2. Instructions client. Les parties conviennent que le présent DPA et l'Accord (y compris le fait que le Client fournisse des instructions via des outils de configuration tels que la console de configuration MAPSLY et les API mises à disposition par MAPSLY pour les Services) constituent les instructions documentées du Client concernant le traitement des Données Client par MAPSLY («Instructions documentées»). MAPSLY traitera les données du client uniquement conformément aux instructions documentées (qui, si le client agit en tant que sous-traitant, pourraient être basées sur les instructions de ses contrôleurs). Les instructions supplémentaires en dehors de la portée des instructions documentées (le cas échéant) nécessitent un accord écrit préalable entre MAPSLY et le client, y compris un accord sur les frais supplémentaires payables par le client à MAPSLY pour l'exécution de ces instructions. Le Client a le droit de résilier le présent DPA et le Contrat si MAPSLY refuse de suivre les instructions demandées par le Client qui sont en dehors du champ d'application ou qui sont modifiées par rapport à celles données ou convenues d'être données dans le présent DPA. Compte tenu de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY puisse se faire une opinion sur la question de savoir si les instructions documentées enfreignent la loi applicable en matière de protection des données. Si MAPSLY se forme une telle opinion, elle en informera immédiatement le Client, auquel cas le Client aura le droit de retirer ou de modifier ses Instructions Documentées.
3. Confidentialité des données clients. MAPSLY n'accédera pas, n'utilisera pas, ni ne divulguera à un tiers, aucune donnée client, sauf, dans chaque cas, si cela est nécessaire pour maintenir ou fournir les services, ou si nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un gouvernement. corps (comme une assignation à comparaître ou une ordonnance du tribunal). Si un organisme gouvernemental envoie à MAPSLY une demande de données client, MAPSLY tentera de rediriger l'organisme gouvernemental pour qu'il demande ces données directement au client. Dans le cadre de cet effort, MAPSLY peut fournir les coordonnées de base du client à l'organisme gouvernemental. S'il est obligé de divulguer les données du client à un organisme gouvernemental, MAPSLY informera le client dans un délai raisonnable de la demande pour lui permettre de demander une ordonnance de protection ou tout autre recours approprié, à moins que MAPSLY ne soit légalement interdit de le faire.
4. Obligations de confidentialité du personnel MAPSLY. MAPSLY interdit à son personnel de traiter les données client sans autorisation de MAPSLY. MAPSLY impose à son personnel des obligations contractuelles appropriées, y compris des obligations pertinentes en matière de confidentialité, de protection et de sécurité des données.
5. Sécurité du traitement des données
5.1 MAPSLY a mis en œuvre et maintiendra les mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données client, conformément aux normes de sécurité de Mapsly décrites dans ce PDA et dans la politique de confidentialité de MAPSLY..
5.2 Responsabilités du client et fonctionnalités de sécurité facultatives. MAPSLY met à disposition de nombreux contrôles de service que le client peut choisir d'utiliser pour renforcer davantage la sécurité des données client. Le Client est responsable de (a) son utilisation sécurisée des Services, y compris la sécurisation des informations d'authentification de son compte, (b) la protection de la sécurité des Données du Client lors du transit vers et depuis les Services, (c) de prendre toutes les mesures appropriées pour chiffrer ou sauvegarder les données client téléchargées sur les services, (d) configurer correctement les services et les contrôles de service, et (e) prendre d'autres mesures que le client juge adéquates pour garantir la sécurité, la protection et la suppression des données client.
5.3. Notification d'incident de sécurité.
5.3.1. Incident de sécurité. MAPSLY (a) informera le client d'un incident de sécurité sans délai indu après avoir pris connaissance de l'incident de sécurité, et (b) prendra les mesures appropriées pour résoudre l'incident de sécurité, y compris des mesures pour atténuer tout effet négatif résultant de l'incident de sécurité.
5.3.2. Assistance MAPSLY. Pour permettre au client de notifier un incident de sécurité aux autorités de contrôle ou aux personnes concernées (le cas échéant), MAPSLY coopérera avec le client et l'assistera en incluant dans la notification les informations sur l'incident de sécurité que MAPSLY est en mesure de divulguer au client, en tenant compte du la nature du traitement, les informations dont MAPSLY dispose et les éventuelles restrictions à la divulgation des informations, telles que la confidentialité. Compte tenu de la nature du traitement, le Client reconnaît être le mieux à même de déterminer les conséquences probables d'un Incident de sécurité.
5.3.3. Incidents de sécurité infructueux. Le client accepte que :
(je) un incident de sécurité infructueux ne sera pas soumis à la présente section 5.3. Un incident de sécurité infructueux est un incident qui n'entraîne aucun accès non autorisé aux données client ou à l'un des équipements ou installations de MAPSLY stockant les données client, et peut inclure, sans limitation, des pings et autres attaques diffusées sur les pare-feu ou les serveurs Edge, des analyses de ports, des journaux infructueux. -sur les tentatives, les attaques par déni de service, le reniflage de paquets (ou tout autre accès non autorisé aux données de trafic qui n'entraîne pas d'accès au-delà des en-têtes) ou des incidents similaires ; et
(ii) L'obligation de MAPSLY de signaler ou de répondre à un incident de sécurité en vertu de la présente section 5.3 n'est pas et ne sera pas interprétée comme une reconnaissance par MAPSLY de toute faute ou responsabilité de MAPSLY en ce qui concerne l'incident de sécurité.
5.3.4. Communication. Les notifications d'incidents de sécurité, le cas échéant, seront transmises à un ou plusieurs administrateurs du client par tout moyen choisi par MAPSLY, y compris par courrier électronique. Il est de la seule responsabilité du Client de garantir que les administrateurs du Client conservent des informations de contact exactes sur la console de configuration MAPSLY et une transmission sécurisée à tout moment.
5.3.5. Obligations de notification. Si MAPSLY informe le client d'un incident de sécurité, ou si le client prend autrement connaissance d'une destruction, d'une perte, d'une altération, d'une divulgation non autorisée ou d'un accès non autorisé aux données du client, le client sera responsable de (a) déterminer s'il en résulte un incident. notification ou autre obligation en vertu de la loi applicable sur la protection des données et (b) prendre les mesures nécessaires pour se conformer à ces obligations. Cela ne limite pas les obligations de MAPSLY en vertu de la présente section 5.3.
6. Sous-traitement.
6.1 Sous-traitants agréés. Le Client donne une autorisation générale à l'utilisation par MAPSLY de sous-traitants pour fournir des activités de traitement sur les Données Client au nom du Client («Sous-traitants») conformément au présent article. Le site Web MAPSLY (actuellement publié à l'adresse https://mapsly.com/sub-processors/) répertorie les sous-traitants actuellement engagés par MAPSLY. Au moins 30 jours avant que MAPSLY engage un sous-traitant ultérieur, MAPSLY mettra à jour le site Web applicable et fournira au client un mécanisme pour obtenir un avis de cette mise à jour. Pour s'opposer à un Sous-traitant ultérieur, le Client peut : (i) cesser d'utiliser la fonctionnalité du Service MAPSLY pour lequel MAPSLY a engagé le Sous-traitant ultérieur, ou (ii) résilier le Contrat conformément à ses conditions.
6.2 Obligations du sous-traitant ultérieur. Lorsque MAPSLY autorise un sous-traitant ultérieur comme décrit à la section 6.1 :
(je) MAPSLY limitera l'accès du sous-traitant aux données client uniquement à ce qui est nécessaire pour fournir ou maintenir les services conformément à la documentation, et MAPSLY interdira au sous-traitant d'accéder aux données client à toute autre fin ;
(ii) MAPSLY conclura un accord écrit avec le Sous-traitant ultérieur et, dans la mesure où le Sous-traitant ultérieur exécute les mêmes services de traitement de données fournis par MAPSLY dans le cadre du présent DPA, MAPSLY imposera au Sous-traitant ultérieur les mêmes obligations contractuelles que MAPSLY a dans le cadre de ce DPA ; et
(iii) MAPSLY restera responsable de son respect des obligations du présent DPA et de tout acte ou omission du sous-traitant ultérieur qui amènerait MAPSLY à manquer à l'une des obligations de MAPSLY en vertu du présent DPA.
7. Assistance MAPSLY pour les demandes des personnes concernées. Compte tenu de la nature du traitement, les contrôles de service sont les mesures techniques et organisationnelles par lesquelles MAPSLY aidera le client à remplir ses obligations de répondre aux demandes des personnes concernées en vertu de la loi applicable sur la protection des données. Si une personne concernée fait une demande à MAPSLY, MAPSLY transmettra rapidement cette demande au Client une fois que MAPSLY aura identifié que la demande émane d'une personne concernée dont le Client est responsable. Le Client autorise en son nom, et au nom de ses responsables du traitement lorsque le Client agit en tant que Sous-traitant, MAPSLY à répondre à toute personne concernée qui fait une demande à MAPSLY, pour confirmer que MAPSLY a transmis la demande au Client. Les parties conviennent que l'utilisation par le client des contrôles de service et la transmission par MAPSLY des demandes des personnes concernées au client conformément à la présente section représentent la portée et l'étendue de l'assistance requise du client.
8. Vérification de la conformité.
8.1 Audits MAPSLY. MAPSLY fait appel à des auditeurs externes pour vérifier l'adéquation de ses mesures de sécurité. Cet audit : (a) sera effectué au moins une fois par an ; (b) sera exécuté conformément à une norme largement reconnue ; (c) sera réalisé par des professionnels de la sécurité tiers indépendants, au choix et aux frais de MAPSLY ; et (d) entraînera la génération d’un rapport d’audit («Rapport»), qui constitueront les Informations Confidentielles de MAPSLY.
8.2 Rapports d'audit. À la demande écrite du Client, et à condition que les parties aient mis en place un NDA applicable, MAPSLY fournira au Client une copie du rapport afin que le Client puisse raisonnablement vérifier le respect par MAPSLY de ses obligations en vertu du présent DPA.
8.3 Évaluation des facteurs relatifs à la vie privée et consultation préalable. Compte tenu de la nature du traitement et des informations dont MAPSLY dispose, MAPSLY aidera le Client à se conformer à ses obligations en matière d'analyses d'impact sur la protection des données et de consultation préalable en fournissant les informations que MAPSLY met à disposition en vertu de la présente Section 8.
9. Transferts de données personnelles.
9.1 Emplacements. MAPSLY peut transférer et traiter les données client au sein du réseau MAPSLY aux États-Unis ou dans l'EEE. MAPSLY ne transférera pas les données du client en dehors de l'EEE et des États-Unis, sauf si cela est nécessaire pour fournir les services initiés par le client, ou si nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme gouvernemental.
9.2 Application des clauses contractuelles types. Sous réserve de la section 9.3, les clauses contractuelles types s'appliqueront uniquement aux données client soumises au RGPD qui sont transférées, soit directement, soit par transfert ultérieur, vers un pays tiers (chacun étant un «Transfert de données»).
9.2.1 Lorsque le Client agit en tant que Contrôleur, les Clauses Contrôleur-Sous-traitant s'appliqueront à un Transfert de Données.
9.2.2 Lorsque le client agit en tant que sous-traitant, les clauses de sous-traitant à sous-traitant s'appliqueront à un transfert de données. Compte tenu de la nature du traitement, le Client convient qu'il est peu probable que MAPSLY connaisse l'identité des Contrôleurs du Client car MAPSLY n'a aucune relation directe avec les Contrôleurs du Client et, par conséquent, le Client remplira les obligations de MAPSLY envers les Contrôleurs du Client dans le cadre du Processeur-à- Clauses du processeur.
9.3 Mécanisme de transfert alternatif. Les clauses contractuelles types ne s'appliqueront pas à un transfert de données si MAPSLY a adopté des règles d'entreprise contraignantes pour les sous-traitants ou une autre norme de conformité reconnue pour les transferts de données licites.
10. Résiliation du DPA. Le présent DPA restera en vigueur jusqu'à la résiliation du Contrat (le «Date de résiliation»).
11. Suppression des données client. À la résiliation ou à l'expiration du Contrat, MAPSLY supprimera les Données Client à la demande du Client, mais au plus tard dans un délai de 90 jours, sauf et dans la mesure où MAPSLY est tenu par la loi applicable de conserver tout ou partie des Données Client, ce qui MAPSLY isolera et stockera ces Données en toute sécurité conformément aux périodes de conservation applicables. MAPSLY protégera ces Données de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable.
12. Devoirs d'information. Lorsque les données du client font l'objet d'une confiscation au cours d'une procédure de faillite ou d'insolvabilité ou de mesures similaires par des tiers pendant leur traitement par MAPSLY, MAPSLY en informera le client sans délai injustifié. MAPSLY informera, sans retard injustifié, toutes les parties concernées par une telle action (par exemple, les créanciers, le syndic de faillite) que toutes les données client soumises à ces procédures sont la propriété et le domaine de responsabilité du client et que les données client sont à la seule disposition du client.
13. Accord complet; Conflit. Le présent DPA intègre les Clauses Contractuelles Types par référence. Sauf tel qu’amendé par le présent DPA, l’accord restera pleinement en vigueur. En cas de conflit entre l'Accord et le présent DPA, les termes de ce DPA prévaudront, sauf que les Conditions de service prévaudront sur ce DPA. Rien dans ce document ne varie ou ne modifie les clauses contractuelles types.
