Addendum sur le traitement des données

Les termes et conditions ci-dessous (« DPA ») complètent et modifient les Conditions d'utilisation (« CdU »), dans la mesure où Ideanote traite des données personnelles originaires de l'Espace économique européen, du Royaume-Uni et de la Suisse pour Vous en tant que Client.

Les expressions capitalisées non définies dans le DPA ont la signification indiquée dans les CdU. Les mots et expressions utilisés dans ce DPA mais non définis dans le DPA ou dans les CdU ont la signification donnée à ces mots et expressions dans la Directive UE 95/46/CE ou, à partir du 25 mai 2018, le Règlement général sur la protection des données (2016/679) (« RGPD »), y compris toute législation subordonnée ou d'application, et, pour les transferts de Données vers Nous (« Loi applicable sur la protection des données »).

Les parties concluent par la présente ce DPA afin de se conformer aux obligations en vertu des Lois applicables sur la protection des données. Les « Lois applicables sur la protection des données » désignent toutes les lois, statuts ou réglementations applicables, tels qu'ils peuvent être modifiés, étendus, remis en vigueur de temps à autre, ou toute loi successorale qui se rapporte aux données personnelles, y compris : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (le « RGPD de l'UE ») ; (ii) le RGPD tel qu'intégré dans le droit du Royaume-Uni en vertu de l'article 3 de la loi de 2018 du Royaume-Uni sur le retrait de l'Union européenne et de la loi de 2018 sur la protection des données du Royaume-Uni (collectivement, le « RGPD du Royaume-Uni ») ; (iii) la Directive UE e-Privacy (Directive 2002/58/CE) ; et (iv) toutes les lois nationales applicables en matière de protection des données établies en vertu, en application ou en conjonction avec l'une des dispositions (i), (ii) ou (iii) ; dans chaque cas tel qu'il peut être modifié ou remplacé de temps à autre ;

1. Sous-traitant des données

Ideanote doit être considéré uniquement comme un Sous-traitant agissant au nom de ses Clients et Utilisateurs pour toute Donnée Client contenant des Données Personnelles soumises aux exigences du RGPD. Sauf disposition contraire dans le présent DPA, Ideanote ne transfère pas indépendamment les Données Client contenant des Données Personnelles stockées dans le cadre des Services ni ne les met à disposition de tiers, à l'exception des Sous-traitants tiers qui peuvent traiter ces données au nom d'Ideanote dans le cadre de la fourniture du Service d'Ideanote aux Clients.

Ces actions sont effectuées ou autorisées uniquement par le Client applicable. Le Client est le responsable du traitement des données en vertu du Règlement pour toute Donnée Client contenant des Données Personnelles, ce qui signifie que cette partie contrôle la manière dont ces Données Personnelles sont collectées et utilisées, ainsi que la détermination des finalités et des moyens du traitement de ces Données Personnelles.

Ideanote n'est pas responsable du contenu des Données Personnelles contenues dans les Données Client ou d'autres informations stockées sur ses serveurs (ou ceux de ses Sous-traitants) à la discrétion du Client, et Ideanote n'est pas responsable de la manière dont le Client ou l'Utilisateur collecte, gère la divulgation, distribue ou traite autrement ces informations.

Dans le cadre de la fourniture des Services au Client conformément aux CdU, Ideanote peut traiter des Données Personnelles au nom du Client. Ideanote s'engage à se conformer aux dispositions suivantes en ce qui concerne toute Donnée Personnelle soumise par ou pour le Client au Service ou collectée et traitée par ou pour le Client via le Service.

2. Généralités

1. Vous confirmez que Vous acceptez ce DPA en Votre qualité de Client personnel ou de Client professionnel.
2. Si Vous acceptez ce DPA en tant que Client professionnel, Vous confirmez que Vous avez l'autorité nécessaire pour lier l'entité que vous représentez en tant que Client à ce DPA.
3. Le présent Accord de traitement des données définit les droits et obligations qui s'appliquent au traitement des données personnelles par Ideanote au nom du Client.
4. Le traitement des données personnelles par Ideanote aura lieu aux fins de l'exécution des CdU, à compter de la date à laquelle Vous, en tant que Client, acceptez électroniquement ou autrement Nos CdU.
5. La durée de cette Commande ou de ce Contrat correspond à la durée des CdU. Cela ne préjuge pas du droit de résiliation du contrat pour motif sans préavis. Une telle cause existe notamment si une obligation en vertu du présent accord ou des dispositions du RGPD est violée intentionnellement ou par négligence grave.
6. Le présent Accord de traitement des données prévaut sur toute disposition similaire contenue dans d'autres accords entre les Parties, y compris les CdU. Les clauses contractuelles types de l'UE, si applicables, doivent prévaloir.
7. Trois annexes sont jointes au présent Accord de traitement des données. Les annexes font partie intégrante du présent Accord de traitement des données.
8. L'Annexe A de l'Accord de traitement des données contient des détails sur le traitement ainsi que sur la finalité et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.
9. L'Annexe B de l'Accord de traitement des données contient les termes et conditions qui s'appliquent à l'utilisation par Ideanote de sous-traitants et une liste des sous-traitants approuvés.
10. L'Annexe C de l'Accord de traitement des données contient des instructions sur le traitement qu'Ideanote doit effectuer au nom du Client (l'objet du traitement), les mesures de sécurité minimales et la manière dont l'inspection avec Ideanote et tout sous-traitant doit être effectuée.
11. Le présent Accord de traitement des données n'exonère pas Ideanote des obligations auxquelles Ideanote est soumise en vertu du Règlement général sur la protection des données ou d'autres législations.
12. L'ANNEXE A, les CST de l'UE sont considérées comme faisant partie du présent Accord de traitement des données. Si Vous êtes situé dans un pays en dehors de l'Union européenne (UE) et de l'Espace économique européen (EEE) et que Votre traitement de Données Personnelles n'est pas soumis au RGPD, les Clauses contractuelles types (CST) s'appliquent.
13. L'ANNEXE B, l'Addendum du Royaume-Uni est considéré comme faisant partie du présent Accord de traitement des données si Vous êtes un Client professionnel basé au Royaume-Uni.

3. Droits et Obligations du Client en tant que Responsable du traitement des données

1. Le Client sera responsable vis-à-vis du monde extérieur (y compris la personne concernée) de s'assurer que le traitement des données personnelles a lieu dans le cadre du Règlement général sur la protection des données et, en outre, de la Loi applicable sur la protection des données.
2. Le Client aura donc à la fois le droit et l'obligation de prendre des décisions concernant les finalités et les moyens du traitement des données personnelles.
3. Le Client sera responsable de s'assurer que le traitement qu'Ideanote est chargée d'effectuer est licite.

4. Ideanote agit selon les instructions

1. Ideanote ne sera autorisée à traiter des données personnelles que sur la base d'instructions documentées du Client, à moins que le traitement ne soit requis par le droit de l'UE ou d'un État membre auquel Ideanote est soumise ; dans ce cas, Ideanote informera le Client de cette exigence légale avant le traitement, à moins que cette loi n'interdise une telle information pour des motifs importants d'intérêt public, cf. Article 28, sous-section 3, para a.
2. Ideanote informera immédiatement le Client si les instructions, selon l'avis d'Ideanote, contreviennent au Règlement général sur la protection des données ou aux dispositions relatives à la protection des données contenues dans d'autres lois de l'UE ou des États membres. 
3. Ideanote mettra à la disposition du Client toutes les informations nécessaires pour démontrer la conformité aux obligations énoncées dans le présent Addendum et à l'Art. 28 du RGPD et permettra et contribuera aux audits, y compris les inspections, menés par le Client ou un autre auditeur mandaté par le Client, conformément à l'Annexe C, Section « Rapports d'inspection et d'audit ».

5. Confidentialité

1. Ideanote veillera à ce que seules les personnes qui sont actuellement autorisées à le faire puissent accéder aux données personnelles étant traitées au nom du Client. L'accès aux données sera donc sans délai refusé si une telle autorisation est retirée ou expire.   
2. Seules les personnes qui requièrent l'accès aux données personnelles pour remplir les obligations d'Ideanote envers le Client recevront une autorisation. Pour éviter tout doute, l'accès sera basé sur les principes du « besoin d'en connaître » et du « moindre privilège », et ces personnes auront reçu une formation et des instructions appropriées concernant le traitement des données personnelles. Ideanote fournira au Client, sur demande, la preuve de l'exécution des accords de confidentialité avec le personnel susceptible d'avoir accès aux Données Personnelles du Client, ainsi que la preuve de formations périodiques dans le domaine de la protection des données personnelles.
3. Ideanote veillera à ce que les personnes autorisées à traiter des données personnelles au nom du Client se soient engagées à observer la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée. 

6. Sécurité du traitement

1. Ideanote prendra toutes les mesures requises conformément à l'Article 32 du Règlement général sur la protection des données qui stipule qu'en tenant compte de l'état actuel des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement et des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Client et le Sous-traitant mettront en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
2. En fonction de leur pertinence, les mesures peuvent inclure les suivantes :
3. Pseudonymisation et chiffrement des données personnelles
4. La capacité de garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement.
5. La capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique.
6. Un processus de test, d'évaluation et d'appréciation réguliers de l'efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

Ideanote, en assurant ce qui précède – dans tous les cas – mettra au minimum en œuvre le niveau de sécurité et les mesures spécifiées dans l'Annexe C au présent Accord de traitement des données.

7. Assistance au Client

1. Ideanote, compte tenu de la nature du traitement, aidera raisonnablement le Client avec des mesures techniques et organisationnelles appropriées, dans l'accomplissement des obligations du Client de répondre aux demandes d'exercice des droits des personnes concernées conformément au Chapitre 3 du Règlement général sur la protection des données.   

Cela implique qu'Ideanote devrait raisonnablement aider le Client à se conformer à :

1. obligation d'information lors de la collecte de données personnelles auprès de la personne concernée
2. obligation d'information si les données personnelles n'ont pas été obtenues de la personne concernée
3. droit d'accès de la personne concernée
4. le droit de rectification
5. le droit à l'effacement (« droit à l'oubli »)
6. le droit à la limitation du traitement
7. obligation de notification concernant la rectification ou l'effacement de données personnelles ou la limitation du traitement
8. le droit à la portabilité des données
9. le droit d'opposition 
10. le droit de s'opposer au résultat de la prise de décision individuelle automatisée, y compris le profilage

Pour éviter tout doute, Ideanote informera rapidement le Client et lui fournira ensuite toutes les informations pertinentes, en cas de : (i) toute demande ou plainte de tiers (y compris des organisations ou associations) concernant le traitement de données personnelles par Ideanote au nom du Client ; ou (ii) toute demande d'accès, d'information, d'audit ou toute autre action réglementaire (y compris une simple notification d'intention) d'une autorité de contrôle ou gouvernementale concernant le traitement de données personnelles effectué par Ideanote dans le cadre de l'Accord de Services. Dans le cas où Ideanote reçoit directement une telle demande ou plainte, Ideanote informera immédiatement le Client et ne répondra en aucun cas directement, sauf sur instruction écrite préalable du Client.

2. Ideanote aidera le Client à assurer la conformité aux obligations du Client conformément aux Articles 32 à 36 du Règlement général sur la protection des données en tenant compte de la nature du traitement et des données mises à la disposition d'Ideanote, cf. Article 28, sous-section 3, para f.

Cela implique qu'Ideanote devrait, compte tenu de la nature du traitement, aider raisonnablement le Client à se conformer à :

1. l'obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque associé au traitement
2. l'obligation de notifier les violations de données personnelles à l'autorité de contrôle  sans délai indu et, si possible, dans les 72 heures suivant la découverte de cette violation par le Client, à moins que la violation de données personnelles ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques
3. l'obligation – sans délai indu - de communiquer la violation de données personnelles à la personne concernée lorsque cette violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques
4. l'obligation de réaliser une évaluation d'impact sur la protection des données si un type de traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques
5. l'obligation de consulter l'autorité de contrôle  avant le traitement si une évaluation d'impact sur la protection des données montre que le traitement entraînera un risque élevé en l'absence de mesures prises par le Client pour limiter le risque 

8. Notification d'une violation de données personnelles

Dès la découverte d'une violation de données personnelles dans les installations d'Ideanote ou celles d'un sous-traitant, Ideanote en informera le Client sans délai indu.  La notification d'Ideanote au Client aura lieu, si possible, dans les 48 heures après qu'Ideanote ait découvert la violation pour permettre au Client de se conformer à son obligation, si applicable, de signaler la violation à l'autorité de contrôle dans les 72 heures immédiatement et en tout état de cause.

Cela peut signifier qu'Ideanote est tenue d'aider à obtenir les informations énumérées ci-dessous qui, conformément à l'Article 33, sous-section 3, du Règlement général sur la protection des données, doivent être indiquées dans le rapport du Client à l'autorité de contrôle :

1. La nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées affectées et les catégories et le nombre approximatif d'enregistrements de données personnelles affectés
2. Conséquences probables d'une violation de données personnelles
3. Mesures qui ont été prises ou sont proposées pour gérer la violation de données personnelles, y compris, le cas échéant, des mesures pour limiter ses éventuels dommages

9. Effacement et restitution des données

À la cessation des services de traitement, Ideanote sera tenue, à la discrétion du Client, d'effacer ou de restituer toutes les données personnelles au Client et d'effacer les copies existantes à moins que le droit de l'UE ou le droit d'un État membre n'exige la conservation des données personnelles.

10. Entrée en vigueur et résiliation

1. Le présent Accord de traitement des données prendra effet à la date à laquelle le Client accepte électroniquement ou autrement Nos CdU. 
2. Le présent Accord de traitement des données peut être résilié conformément aux termes et conditions de résiliation, y compris le préavis de résiliation, spécifiés dans les CdU sous réserve de la Section 2.6 (voir ci-dessus).
3. Le présent Accord de traitement des données s'appliquera tant que le traitement est effectué. Indépendamment de la résiliation des CdU et/ou du présent Accord de traitement des données, l'Accord de traitement des données restera en vigueur jusqu'à la cessation du traitement et l'effacement des données par Ideanote et tout sous-traitant.
4. Les violations du présent Addendum seront traitées comme des violations de l'Accord de services. Chaque Partie sera responsable de ses propres violations de la loi applicable sur la protection des données et indemnisera l'autre en conséquence si l'autre partie subit un dommage suite à une telle violation. 

11. Contact du Responsable du traitement des données et du Sous-traitant des données

1. Le Client peut contacter Ideanote à l'adresse legal@ideanote.io 
2. Ideanote peut contacter le Client en utilisant les informations de contact stockées sur leur Compte.

Annexe A

L'Annexe A de l'Accord de traitement des données contient des détails sur le traitement ainsi que sur la finalité et la nature du traitement, le type de données personnelles, les catégories de personnes concernées et la durée du traitement.

1. Responsable du traitement des données

Le responsable du traitement des données est un Client du logiciel, des services, des systèmes et / ou des technologies de communication et de productivité d'Ideanote.

2. Sous-traitant des données

Le sous-traitant des données est Ideanote ApS, en tant que fournisseur de logiciels, services, systèmes et / ou technologies de communication et de productivité.

3. Personnes concernées

Les données personnelles traitées aux fins de l'Accord de Services concernent les catégories suivantes de personnes concernées :

Utilisateurs du Service

4. Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes :

Pour les utilisateurs finaux

Nous pouvons collecter les données personnelles suivantes pour les utilisateurs finaux des Clients

Informations d'inscription et de contact de l'utilisateur final

• Nom de l'utilisateur final
• Email de l'utilisateur final

Données de service de l'utilisateur final

• IP de l'utilisateur final
• URL de l'utilisateur final
• Référent de l'utilisateur final
• Navigateur de l'utilisateur final
• Appareil de l'utilisateur final
• Événements de l'utilisateur final
• Paramètres de l'utilisateur final

Contenu de l'utilisateur final

Toutes les données et informations soumises par les utilisateurs finaux aux Services et incluent le texte des messages, les fichiers, les commentaires et les liens, mais n'incluent pas les produits tiers ni le Service.

Pour les Clients

Nous pouvons collecter les données personnelles suivantes auprès des Clients.

Informations personnelles du Client

• Nom du contact Client
• Email du contact Client

Informations de paiement du Client :

• Détails de la carte de crédit
• IP du contact Client
• Adresse du Client

5. Catégories spéciales de données

Les données personnelles transférées concernent les catégories spéciales de données suivantes :

• aucune

L'Exportateur de données peut soumettre des données personnelles à l'Importateur de données via les Services, dont l'étendue est déterminée et contrôlée par l'Exportateur de données conformément à la Loi applicable sur la protection des données et qui peut concerner les catégories spéciales de données suivantes, le cas échéant :

• origine raciale ou ethnique ;
• opinions politiques ;
• convictions religieuses ou philosophiques ;
• appartenance syndicale ;
• données génétiques ou biométriques ;
• santé ; et
• vie sexuelle

6. Opérations de traitement

Les données personnelles transférées seront soumises aux activités de traitement de base suivantes :

• Selon les besoins pour exécuter un contrat de Service

7. Nature et finalité du traitement

Plus en détail, Ideanote met son Service à la disposition du Client et, par la présente, stocke et traite les Données Personnelles concernant le Client sur Notre infrastructure de Service afin de faciliter une authentification rapide, la communication et une mesure de sécurité pour les Utilisateurs du Service.

Ideanote enverra des mails aux personnes invitées sur la plateforme, permettra aux personnes de devenir Membres de l'Espace à la discrétion du Client et permettra aux Membres de partager du Contenu sur l'Espace dans le but de promouvoir l'innovation et le partage d'idées pour le Client.

Le Client est en mesure d'utiliser Notre Service, détenu, développé et géré par Ideanote pour faciliter le partage, la collecte, le commentaire, l'évaluation, la priorisation, l'affectation et le suivi des idées. Dans ce cadre, le Client et toutes les données personnelles et Contenus soumis par le Client sont traités par Ideanote au nom du Client. 

Les Données Personnelles transférées seront traitées conformément aux CdU et pourront faire l'objet des activités de traitement suivantes :

• stockage, chiffrement, déchiffrement, sauvegarde, restauration et mise en cache nécessaires pour fournir, améliorer et maintenir et mettre à jour les Services fournis à l'Exportateur de données ;
• fournir un support client et technique à l'Exportateur de données ; et
• divulgations conformément à l'Accord, telles que requises par la loi
• le traitement des données se poursuivra jusqu'à ce que le Client demande la suppression

Le Client consent à ce que les employés d'Ideanote utilisent des constatations agrégées sur les activités et le Contenu du Service pour optimiser en permanence la performance et la présentation du Service. Nous nous réservons le droit de publier Nos constatations à un niveau agrégé anonymisé. Un exemple de constatation anonymisée serait une étude sur le nombre de personnes qui, en général, commentent une idée qu'elles ont également aimée. Nous conservons également le droit, mais non l'obligation, d'accéder directement aux données du compte Client ou à un Espace de travail sur invitation par un Membre d'un Espace de travail à des fins de maintenance technique, de supervision du contenu ou d'enquête ainsi que de support Client général. Tout feedback ou preuve analytique circonstancielle donnée sciemment ou résultant involontairement de l'utilisation de Notre Service peut être librement exploité et partagé par Nous pour améliorer Notre Service ou technologie sans que cela ne confère au Client des droits ou la propriété de ceux-ci.

Annexe B

1. Conditions d'utilisation des Sous-traitants par Ideanote

Ideanote a le consentement général du Client pour l'engagement des sous-traitants déjà engagés, à la date du présent Addendum et tels qu'énumérés dans la présente Annexe B. 

2. Sous-traitants

En tant que Sous-traitant des données, Ideanote s'assure que les sous-traitants sont soumis à des obligations de protection des données non moins protectrices que celles spécifiées dans le présent Accord de traitement des données sur la base d'un contrat ou d'un autre document juridique en vertu du droit de l'UE ou du droit national des États membres, fournissant en particulier les garanties nécessaires que le sous-traitant mettra en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du Règlement général sur la protection des données. 

Le Client reconnaît et accepte que (i) les Affiliés d'Ideanote peuvent être retenus comme Sous­-traitants ; et (ii) Ideanote et les Affiliés d'Ideanote peuvent respectivement engager des Sous­-traitants tiers dans le cadre de la fourniture des Services. Ideanote ou un Affilié d'Ideanote a conclu un accord écrit avec chaque Sous­-traitant contenant des obligations de protection des données non moins protectrices que celles du présent Accord et de la loi applicable en ce qui concerne la protection des Données Client dans la mesure où cela s'applique à la nature des Services fournis par ce Sous­-traitant. Si, dans l'exécution du présent DPA, Ideanote transfère des Données Personnelles à un sous-traitant situé en dehors de l'EEE, Ideanote s'assurera, avant tout transfert, qu'un mécanisme juridique permettant d'atteindre l'adéquation de ce traitement est en place.

3. Liste des Sous-traitants

Ideanote mettra à la disposition du Client la liste actuelle des Sous-traitants pour les Services. Ces listes de Sous-traitants incluront une spécification de l'entité juridique de ces Sous-traitants et l'emplacement des Données Client. Cette liste est disponible en ligne à l'adresse https://ideanote.io/legal/sub-processors.

4. Changements de Sous-traitants

Ideanote informera le Client par écrit de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants au moins 30 jours à l'avance. 

5. Droit d'opposition

Ideanote donnera au Client la possibilité de s'opposer à l'engagement de nouveaux sous-traitants dans les 30 jours suivant la notification. L'opposition doit être fondée sur des motifs raisonnables. Si Ideanote et le Client ne parviennent pas à résoudre ces objections, l'une ou l'autre partie peut résilier l'Accord en donnant un préavis écrit à l'autre partie. Le Client recevra un crédit pour tous les frais prépayés mais non utilisés pour la période suivant la date effective de résiliation. 

Lorsque Ideanote engage un sous-traitant pour l'exécution d'activités de traitement  spécifiques  au  nom  du  Client, Ideanote veillera à ce que les mêmes obligations de protection des données que celles énoncées dans le présent Addendum soient imposées à ce sous-traitant, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent Addendum et de la Loi applicable sur la protection des données. 

Sur demande, une copie d'un tel accord de sous-traitance et des modifications ultérieures sera mise à la disposition du Client, à l'exception des clauses sur les questions commerciales qui  n'affectent  pas  le  contenu  juridique  de  la  protection  des  données  de  l'accord  de  sous-traitance. 

Ideanote tiendra à tout moment une liste à jour de tous les sous-traitants utilisés, y compris dans chaque cas les détails requis en vertu de la présente Annexe B, et mettra cette liste à la disposition du Client sur demande. 

Ideanote sera responsable des actes et omissions de tout sous-traitant dans la même mesure que si les actes ou omissions étaient effectués par Ideanote. Cela n'affecte pas les droits des personnes concernées en vertu de la Loi applicable sur la protection des données. 

6. Transferts internationaux

Ideanote peut transférer et traiter les Données Client partout dans le monde où Ideanote, ses Affiliés ou ses Sous-traitants maintiennent des opérations de traitement de données, après avoir préalablement informé et obtenu le consentement du Client. Ideanote fournira à tout moment un niveau de protection adéquat pour les Données Client traitées, conformément aux exigences des Lois sur la protection des données. Plus précisément, Ideanote assurera une base légale valide pour tout transfert, comme indiqué au Chapitre 5 du RGPD et à ses Articles 45 à 49.

Sans préjudice du processus de notification et d'approbation susmentionné, Ideanote peut introduire le transfert des données vers des pays tiers qui sont situés en dehors de l'Espace économique européen (« EEE »), si Ideanote a mis en œuvre une solution de transfert conforme à la Loi applicable sur la protection des données.

Lorsque cette  solution de transfert est basée sur les Clauses Modèles de la Commission européenne, Ideanote fournira au Client une évaluation d'impact du transfert, y compris des détails sur les lieux de traitement, les activités de traitement qui seront effectuées, les types de données, toutes les garanties et mesures supplémentaires (techniques, organisationnelles et contractuelles) à mettre en œuvre, ainsi que l'évaluation des risques d'Ideanote concernant le sous-traitant et/ou le transfert envisagé.

Cette notification sera effectuée avant la mise en œuvre du transfert, et le Client disposera d'au moins 30 jours pour l'examiner. Le Client peut rejeter le transfert, partiellement ou entièrement, auquel cas Ideanote n'engagera ni n'effectuera le transfert envisagé. Si les services contractuels ne peuvent être exécutés sans ledit transfert, le Client aura la possibilité de résilier l'Accord de services et l'Addendum, entièrement ou partiellement selon les besoins, sans aucune pénalité. 

Les Parties conviennent que les termes des CST, tels qu'énoncés dans l'Annexe 2 du présent DPA, sont par la présente incorporés et s'appliquent à tout transfert de Données Personnelles vers un Pays Tiers, directement ou via un transfert ultérieur, non autrement couvert par un cadre approprié reconnu en vertu de la Loi applicable sur la protection des données comme fournissant un niveau de protection adéquat pour les Données Personnelles, y compris les règles d'entreprise contraignantes pour les sous-traitants.

Annexe C

L'Annexe C de l'Accord de traitement des données contient des instructions sur le traitement qu'Ideanote doit effectuer au nom du Client (l'objet du traitement), les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux Clauses 4(d) et 5(c) et la manière dont l'inspection avec Ideanote et tout sous-traitant doit être effectuée.

Ideanote a mis en œuvre un Programme interne de sécurité de l'information qui couvre la sécurité des Données et des Réseaux, les Contrôles d'Accès et de Site, la Sécurité du Personnel et des sous-traitants.

1. Contrôles de sécurité d'Ideanote

• Sécurité Physique - Ideanote utilise des centres de données physiquement sécurisés. Tous les centres de données sont conformes ou dépassent les exigences de sécurité de SOC2. Tous les centres de données sont équipés de vidéosurveillance, de personnel de sécurité sur site 24h/24 et 7j/7 et d'un système d'accès par carte clé. Ideanote utilise des centres de données géographiquement distribués pour les sauvegardes.
• Redondance - L'infrastructure d'Ideanote permet la maintenance et les améliorations avec un temps d'arrêt minimal.
• Alimentation Électrique - Les centres de données d'Ideanote sont équipés d'une alimentation de secours et de systèmes d'alimentation ininterrompue pouvant durer plusieurs jours.
• Correctifs - Ideanote a établi une politique pour maintenir les systèmes à jour avec les mises à jour de sécurité nécessaires.
• Continuité des Activités - les données sont répliquées et sauvegardées sur plusieurs systèmes pour aider à protéger contre la destruction ou la perte de données indésirables. Les procédures de restauration des sauvegardes et les plans de continuité des activités sont testés annuellement.
• Données en Transit - Ideanote utilise des schémas et protocoles de chiffrement standard de l'industrie pour chiffrer les transmissions de données entre les centres de données.
• Détection d'Intrusion - Ideanote emploie un système de détection d'intrusion pour fournir des informations sur les activités d'attaque en cours et pour aider à y remédier plus rapidement.
• Réponse aux Incidents - Ideanote a établi des protocoles pour la gestion des incidents et des violations de sécurité et informera les parties impliquées.
• Chiffrement - Ideanote utilise des méthodes de chiffrement standard de l'industrie pour chiffrer les données en transit et au repos.
• Contrôle d'Accès - Le personnel d'Ideanote doit s'authentifier via un système d'authentification central ou via un système d'authentification unique pour administrer les Services.
• Sécurité des Mots de Passe - Ideanote exige l'utilisation d'identifiants uniques, de mots de passe forts et d'une authentification à deux facteurs. 
• Examen d'Accès - L'accès est guidé par une politique interne de moindre privilège et de révisions d'accès.
• Piste d'Audit - Ideanote enregistre l'accès à ses systèmes via une piste d'audit immuable.
• Séparation des Données - Ideanote sépare les données des clients dans un environnement multi-locataire via des clés de chiffrement distinctes.
• Effacement de Disque - Les disques hors service sont effacés de manière sécurisée après leur utilisation prévue ou détruits de manière sécurisée en cas de dysfonctionnement.
• Personnel - Le personnel d'Ideanote adhère aux politiques de l'entreprise concernant la confidentialité, la sécurité, l'éthique et un code de conduite professionnel. 
• Vérifications d'Antécédents - Ideanote effectue des vérifications d'antécédents pour les nouvelles embauches.
• Accès aux Données - Le personnel d'Ideanote n'accédera ni ne traitera le Contenu Client sans autorisation explicite du Client, sauf si la loi l'exige.
• Sécurité des Sous-traitants - Ideanote effectue des examens des pratiques de sécurité et de confidentialité des Sous-traitants avant de les intégrer afin de garantir un niveau adéquat de sécurité et de confidentialité des données et l'étendue des services qu'ils sont engagés à fournir. Une fois l'examen du Sous-traitant effectué et le risque associé évalué, le Sous-traitant conclut des conditions contractuelles appropriées en matière de confidentialité et de sécurité.

2. Limites de stockage et effacement

Le traitement ne sera pas limité dans le temps et sera effectué jusqu'à ce que le présent Accord de traitement des données soit résilié ou annulé par l'une des Parties.

Les données personnelles sont stockées avec Ideanote jusqu'à ce que le Client ou un Membre demande que leurs données soient effacées ou restituées. Ideanote permet aux Clients d'exporter leurs données brutes à tout moment au format JSON standard de l'industrie. De plus, les données client  peuvent  être  supprimées  sur  demande  lors  de  la  résiliation  ou  seront  supprimées  conformément  aux  politiques  internes  de  conservation  des  données  d'Ideanote.

3. Rapports d'inspection et d'audit

Les Clients disposant d'un abonnement annuel Enterprise actif ont le droit de demander un audit de conformité une fois par an pour confirmer la conformité d'Ideanote aux obligations de protection des données dans le cadre du présent DPA. En réponse à la demande d'audit du Client, Ideanote s'engage à fournir les informations nécessaires, y compris les questionnaires de sécurité et d'audit, sur une base confidentielle.

Les demandes d'audit doivent inclure un plan détaillé et doivent être soumises deux mois à l'avance, sauf en cas d'incident de sécurité où un audit peut être initié sans délai. Ideanote a le droit de s'opposer aux auditeurs tiers qui sont des concurrents ou autrement inaptes.

Les rapports d'audit existants peuvent remplacer la nécessité d'un nouvel audit si les contrôles d'Ideanote restent inchangés de manière significative.

Les Clients disposant d'un abonnement annuel Enterprise actif sont autorisés à effectuer des audits à distance ou sur site des activités de traitement d'Ideanote liées aux Données Personnelles du Client une fois par an. Les coûts pour l'audit, y compris toute assistance d'Ideanote, sont à la charge du Client aux tarifs de service standard d'Ideanote.

Avant tout audit sur site, les deux parties conviendront de la portée, du calendrier et de la durée. Chaque audit est limité à une fois annuellement avec un préavis de 2 mois à Ideanote, à moins qu'un incident de sécurité ne nécessite un audit plus rapide. Les constatations de non-conformité sont à rapporter rapidement à Ideanote.

4. Chiffrement du Contenu Client

Lorsqu'un Utilisateur utilise le Service Ideanote, les détails de ses interactions sont capturés et envoyés à Ideanote via des appels API sur HTTPS.  Toutes  Nos  autres  API  et  sites  web  utilisent  également  exclusivement  HTTPS.  Tout ce que le Client et l'Utilisateur envoient à Ideanote, et tout ce qu'Ideanote envoie au Client et à l'Utilisateur est envoyé via des canaux entièrement chiffrés. Ideanote emploie le protocole Transport Layer Security (TLS 1.2) avec un chiffrement RSA-2048 pour maintenir Notre communication privée.

Google Cloud Platform chiffre par défaut les données client stockées au repos. Les données dans Google Cloud Platform sont divisées en blocs de sous-fichiers pour le stockage, et chaque bloc est chiffré au niveau du stockage avec une clé de chiffrement individuelle. La clé utilisée pour chiffrer les données dans un bloc est appelée clé de chiffrement de données (DEK). En raison du volume élevé de clés chez Google, et du besoin d'une faible latence et d'une haute disponibilité, ces clés sont stockées près des données qu'elles chiffrent. Les DEK  sont  chiffrées  avec  (ou  « enveloppées » par)  une  clé  de  chiffrement  de  clé  (KEK).  Pour  plus  d'informations, veuillez  consulter https://cloud.google.com/security/#dataencryption.

5. Séparation des Données Client

L'accès est accordé en envoyant un jeton d'authentification dans les requêtes. Ce jeton contient alors un ensemble d'autorisations basées sur le rang de l'Utilisateur et l'Espace(s), les Missions, et tout autre Contenu auquel l'Utilisateur a accès.

Cela  fournit  une séparation  logique  entre  les  données  appartenant  à  plusieurs  Utilisateurs.  Ideanote  est  le  seul  locataire  sur  Notre infrastructure. Les données d'un Client peuvent résider sur des systèmes de base de données qui hébergent des données appartenant à d'autres clients, mais Nos contrôles logiques (jeton, clé et secret) séparent un Utilisateur des données d'un autre Utilisateur. 

6. Authentification unique et authentification multi-facteurs

Ideanote prend en charge l'authentification unique SAML. Selon le fournisseur d'authentification unique du Client, l'authentification multi-facteurs est une option que le Client peut activer avec son fournisseur d'authentification unique.  Des  détails  sur  la  manière  d'activer  l'authentification  unique  peuvent être trouvés dans les paramètres d'accès.

7. Localisation et stockage des Données Client

Le RGPD n'exige pas que les Données Personnelles doivent rester dans l'UE tant qu'il existe un cadre juridique pour valider le transfert de données ; le RGPD reconnaît plusieurs cadres y compris les Clauses Contractuelles Types de l'UE.  

Les serveurs d'application et de base de données d'Ideanote sont situés au sein de l'Union européenne. Cela signifie qu'au repos, le Contenu Client ne quittera jamais l'UE.

Le Service lui-même peut être fourni à l'aide d'équipements ou d'installations situés dans l'Union européenne ou aux États-Unis. Les sous-traitants américains ont exécuté des Clauses Contractuelles Types (telles qu'approuvées par la Commission européenne) qui fournissent des bases légales pour assurer que, lorsqu'elles sont traitées aux États-Unis, les données personnelles des citoyens de l'UE qui sont traitées lors de l'utilisation du Service recevront un niveau de protection adéquat au sens de l'Article 46 du Règlement (UE) 2016/679 (Règlement général sur la protection des données). Les Données Personnelles sont en partie stockées et traitées par ces sous-traitants.

Google est Notre fournisseur d'hébergement de production. Les disques durs de Google exploitent des technologies comme le FDE (chiffrement complet du disque) et le verrouillage de disque, pour protéger les données au repos. Lorsqu'un disque dur est mis hors service, des personnes autorisées vérifient que le disque est effacé en écrivant des zéros sur le disque et en effectuant un processus de vérification en plusieurs étapes pour s'assurer que le disque ne contient aucune donnée. Si le disque ne peut être effacé pour une raison quelconque, il est stocké en toute sécurité jusqu'à ce qu'il puisse être physiquement détruit. La destruction physique des disques est un processus en plusieurs étapes commençant par un broyeur qui déforme le disque, suivi d'un déchiqueteur qui réduit le disque en petits morceaux, qui sont ensuite recyclés dans une installation sécurisée. Chaque centre de données adhère à une politique de destruction stricte et toute variance est immédiatement traitée.

8. Vérifications et analyses de sécurité

Ideanote effectue des analyses de sécurité régulières via un service tiers, et Notre code source est automatiquement vérifié lors de sa soumission. Chaque fois qu'Ideanote met à jour l'une des dépendances de code externes, Ideanote effectue un audit de sécurité complet pour vérifier qu'aucune vulnérabilité n'a été introduite dans la base de code d'Ideanote. Ideanote s'abonne également à diverses listes de diffusion de sécurité pour les logiciels qu'elle utilise. Cela garantit qu'Ideanote est toujours au courant des vulnérabilités récemment découvertes et peut mettre en place des solutions de contournement ou des correctifs disponibles.

9. Gestion des Données Client par le personnel

L'accès au datastore est restreint à un très petit nombre de personnes, et il n'y a aucun moyen pour Ideanote d'« usurper l'identité » ou de visualiser le Contenu via une interface de changement de compte ou de le voir via l'interface utilisateur d'administration. 

Dans les cas où Ideanote doit résoudre des erreurs, Ideanote testera soit dans un environnement de développement soit obtiendra l'autorisation explicite du Client pour l'accès au compte (généralement en ayant le Client inviter manuellement Notre compte de support en tant qu'utilisateur de l'Espace de travail Client, qui peut être retiré à tout moment) ou en demandant un partage d'écran. L'accès et les demandes d'accès aux bases de données et à l'infrastructure des serveurs d'Ideanote et tous les commits de changement de code sont enregistrés à des fins de sécurité.

Comme indiqué dans Nos Conditions d'utilisation, le personnel de support a accès à certaines informations de contact et journaux d'activité par défaut pour pouvoir servir le Client au mieux. L'accès à ce type de données est restreint avec une authentification à deux facteurs à tout moment et les Données Personnelles ne sont pas vendues à des tiers.

10. Réplication des Données Client

Ideanote crée des sauvegardes des Données Client trois fois par jour et les conserve pendant un mois maximum. En cas d'incident de sécurité, technique, physique ou de perte de données, des restaurations des Données Client peuvent être initiées en temps opportun.

ANNEXE 2 - Clauses Contractuelles Types (CCT)

Clause 1

Objet et portée

(a) L'objet des présentes clauses contractuelles types est d'assurer le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les Parties :

i. la ou les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après « entité(s) ») transférant les données à caractère personnel, telles qu'énumérées à l'Annexe I.A. (ci-après chaque « exportateur de données »), et

ii. la ou les entité(s) dans un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement via une autre entité également Partie aux présentes Clauses, telles qu'énumérées à l'Annexe I.A. (ci-après chaque « importateur de données »).

ont convenu des présentes clauses contractuelles types (ci-après : « Clauses »).

(c) Les présentes Clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'Annexe I.B.

(d) L'Annexe aux présentes Clauses contenant les Annexes qui y sont mentionnées fait partie intégrante des présentes Clauses.

Clause 2

Effet et invariabilité des Clauses

(a) Les présentes Clauses énoncent des garanties appropriées, y compris des droits exécutoires pour les personnes concernées et des voies de recours effectives, conformément à l'Article 46, paragraphe 1, et à l'Article 46, paragraphe 2, point c), du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l'Article 28, paragraphe 7, du Règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'Annexe. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large, et/ou d'ajouter d'autres clauses ou des garanties supplémentaires à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou ne portent pas atteinte aux droits et libertés fondamentaux des personnes concernées.

(b) Les présentes Clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du Règlement (UE) 2016/679.

Clause 3

Bénéficiaires tiers

(a) Les personnes concernées peuvent invoquer et faire valoir les présentes Clauses, en tant que bénéficiaires tiers, à l'encontre de l'exportateur de données et / ou de l'importateur de données, à l'exception des points suivants :

i. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

ii. Clause 8.1(b), 8.9(a), (c), (d) et (e) ;

iii. Clause 9(a), (c), (d) et (e)

iv. Clause 12(a), (d) et (f) ;

v. Clause 13 ;

vi. Clause 15.1(c), (d) et (e) ;

vii. Clause 16(e) ; et

viii. Clause 18(a) et (b).

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ce Règlement.

(b) Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.

(c) Les présentes Clauses ne doivent pas être interprétées d'une manière qui entre en conflit avec les droits et obligations prévus par le Règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévalent.

Clause 6

Description du ou des transfert(s)

Les détails du ou des transfert(s), et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalité(s) pour laquelle/lesquelles elles sont transférées, sont spécifiés à l'Annexe I.B.

Clause 7

Clause de raccordement

(a) Une entité qui n'est pas partie aux présentes Clauses peut, avec l'accord des Parties, adhérer aux présentes Clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'Annexe et en signant l'Annexe I.A.

(b) Une fois qu'elle a rempli l'Annexe et signé l'Annexe I.A, l'entité adhérente devient Partie aux présentes Clauses et a les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation dans l'Annexe I.A.

(c) L'entité adhérente n'a aucun droit ni obligation découlant des présentes Clauses pour la période antérieure à son adhésion.

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.

8.1 Instructions

(a) L'importateur de données ne traite les données à caractère personnel que sur les instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions

8.2 Limitation de la finalité

L'importateur de données ne traite les données à caractère personnel que pour la ou les finalité(s) spécifique(s) du transfert, telle(s) qu'énoncée(s) à l'Annexe I.B, sauf sur instructions ultérieures de l'exportateur de données.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l'Annexe telle que complétée par les Parties, disponible. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations confidentielles, y compris les mesures décrites à l'Annexe II et les données à caractère personnel, l'exportateur de données peut masquer une partie du texte de l'Annexe aux présentes Clauses avant de partager une copie, mais doit fournir un résumé significatif si la personne concernée ne serait autrement pas en mesure de comprendre le contenu ou d'exercer ses droits. Sur demande, les Parties fournissent à la personne concernée les raisons des masquages, dans la mesure du possible sans révéler les informations masquées. La présente Clause est sans préjudice des obligations de l'exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.

8.4 Exactitude

Si l'importateur de données prend connaissance que les données à caractère personnel qu'il a reçues sont inexactes, ou sont devenues obsolètes, il en informe l'exportateur de données sans délai indu. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'Annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées au nom de l'exportateur de données et certifie à l'exportateur de données qu'il l'a fait, ou restitue à l'exportateur de données toutes les données à caractère personnel traitées en son nom et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données continue d'assurer la conformité avec les présentes Clauses. En cas de lois locales applicables à l'importateur de données qui interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera d'assurer la conformité avec les présentes Clauses et ne les traitera que dans la mesure et aussi longtemps que l'exigent ces lois locales. Cela est sans préjudice de la Clause 14, en particulier de l'exigence pour l'importateur de données en vertu de la Clause 14(e) de notifier l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la Clause 14(a).

8.6 Sécurité du traitement

(a) L'importateur de données et, pendant la transmission, également l'exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès à ces données (ci-après « violation de données personnelles »). Lors de l'évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalité(s) du traitement et des risques que le traitement présente pour les personnes concernées. Les Parties envisagent notamment de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, si possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer à ses obligations en vertu du présent paragraphe, l'importateur de données mettra au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'Annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent de fournir un niveau de sécurité approprié.

(b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, à la gestion et à la surveillance du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

(c) En cas de violation de données personnelles concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes Clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets néfastes. L'importateur de données notifie également l'exportateur de données sans délai indu après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où plus d'informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets néfastes. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et des informations supplémentaires sont ensuite fournies sans délai indu dès qu'elles deviennent disponibles.

(d) L'importateur de données coopère avec l'exportateur de données et l'assiste pour permettre à l'exportateur de données de se conformer à ses obligations en vertu du Règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations disponibles à l'importateur de données.

8.7 Données sensibles

Ideanote n'autorise pas le traitement des données sensibles.

8.8 Transferts ultérieurs

L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est ou accepte d'être lié par les présentes Clauses ou si :

i. le transfert ultérieur s'effectue vers un pays bénéficiant d'une décision d'adéquation conformément à l'Article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

ii. le tiers assure autrement des garanties appropriées conformément aux Articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

iii. le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

iv. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité

(a) L'importateur de données traite rapidement et de manière adéquate les demandes de l'exportateur de données qui se rapportent au traitement en vertu des présentes Clauses.

(b) Les Parties doivent être en mesure de démontrer la conformité avec les présentes Clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées au nom de l'exportateur de données.

(c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer la conformité avec les obligations énoncées dans les présentes Clauses et, à la demande de l'exportateur de données, permet et contribue aux audits des activités de traitement couvertes par les présentes Clauses, à des intervalles raisonnables ou s'il y a des indications de non-conformité, comme décrit à l'Annexe C, Section « Rapports d'inspection et d'audit » du DPA. Lors de la décision d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de réaliser l'audit par lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués avec un préavis raisonnable.

(e) Les Parties mettent les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente sur demande.

Clause 9

Utilisation de sous-traitants

(a) L'importateur de données a l'autorisation générale de l'exportateur de données pour l'engagement de sous-traitant(s) à partir d'une liste convenue. L'importateur de données informera spécifiquement l'exportateur de données par écrit de tout changement envisagé à cette liste par l'ajout ou le remplacement de sous-traitants au moins trente (30) jours à l'avance, donnant ainsi à l'exportateur de données un temps suffisant pour pouvoir s'opposer à de tels changements avant l'engagement du ou des sous-traitant(s). L'importateur de données fournira à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant pour l'exécution d'activités de traitement spécifiques (au nom de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations de protection des données que celles liant l'importateur de données en vertu des présentes Clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées.8 Les Parties conviennent que, en se conformant à la présente Clause, l'importateur de données remplit ses obligations en vertu de la Clause 8.8. L'importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes Clauses.

(c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie de cet accord de sous-traitance et de toute modification ultérieure à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut masquer le texte de l'accord avant de partager une copie.

(d) L'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L'importateur de données informe l'exportateur de données de tout manquement du sous-traitant à ses obligations en vertu de ce contrat.

(e) L'importateur de données convient d'une clause de tiers bénéficiaire avec le sous-traitant selon laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat de sous-traitance et de demander au sous-traitant d'effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

(a) L'importateur de données notifie rapidement à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande à moins d'y avoir été autorisé par l'exportateur de données.

(b) L'importateur de données assiste l'exportateur de données pour remplir ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties définissent à l'Annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance est fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) Pour remplir ses obligations en vertu des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Clause 11

Recours

(a) L'importateur de données informe les personnes concernées, de manière transparente et facilement accessible, par avis individuel ou sur son site web, d'un point de contact autorisé à traiter les plaintes. Il traite rapidement toute plainte qu'il reçoit d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des Parties concernant la conformité avec les présentes Clauses, cette Partie déploie ses meilleurs efforts pour résoudre le problème à l'amiable en temps voulu. Les Parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent à leur résolution.

(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la Clause 3, l'importateur de données accepte la décision de la personne concernée de :

i. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou de l'autorité de contrôle compétente conformément à la Clause 13 ;

ii. saisir les tribunaux compétents au sens de la Clause 18.

(d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association sans but lucratif dans les conditions énoncées à l'Article 80, paragraphe 1, du Règlement (UE) 2016/679.

(e) L'importateur de données respecte une décision qui est contraignante en vertu du droit applicable de l'UE ou de l'État membre.

(f) L'importateur de données accepte que le choix fait par la personne concernée ne porte pas préjudice à ses droits substantiels et procéduraux de chercher des recours conformément aux lois applicables.

Clause 12

Responsabilité

(a) Chaque Partie est responsable envers l'autre/les autres Partie(s) de tout dommage qu'elle cause à l'autre/les autres Partie(s) par toute violation des présentes Clauses.

(b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l'importateur de données ou son sous-traitant cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu des présentes Clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu des présentes Clauses. Cela est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant au nom d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.

(d) Les Parties conviennent que si l'exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l'importateur de données (ou son sous-traitant), il a le droit de réclamer à l'importateur de données la part de l'indemnisation correspondant à la responsabilité de l'importateur de données pour le dommage.

(e) Lorsque plus d'une Partie est responsable de tout dommage causé à la personne concernée à la suite d'une violation des présentes Clauses, toutes les Parties responsables sont solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces Parties.

(f) Les Parties conviennent que si une Partie est tenue responsable en vertu du paragraphe (e), elle a le droit de réclamer à l'autre/aux autres Partie(s) la part de l'indemnisation correspondant à sa/leur responsabilité pour le dommage.

(g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant pour éviter sa propre responsabilité.

Clause 13

Surveillance

(a) Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu'indiquée à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3, paragraphe 2, et a désigné un représentant conformément à l'Article 27, paragraphe 1, du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'Article 27, paragraphe 1, du Règlement (UE) 2016/679 est établi, telle qu'indiquée à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'Article 27, paragraphe 2, du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'un des États membres dans lesquels sont situées les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes Clauses dans le cadre de l'offre de biens ou de services à celles-ci, ou dont le comportement est surveillé, telle qu'indiquée à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans toute procédure visant à assurer la conformité avec les présentes Clauses. En particulier, l'importateur de données accepte de répondre aux demandes, de se soumettre aux audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les actions nécessaires ont été prises.

SECTION III – LOIS LOCALES ET OBLIGATIONS EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois locales affectant la conformité avec les Clauses.

(a) Les Parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute exigence de divulgation de données à caractère personnel ou mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes Clauses. Cela se fonde sur l'hypothèse que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'Article 23, paragraphe 1, du Règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.

(b) Les Parties déclarent qu'en fournissant la garantie du paragraphe (a), elles ont dûment tenu compte en particulier des éléments suivants :

i. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs envisagés ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

ii. les lois et pratiques du pays tiers de destination– y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès par ces autorités – pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables ;

iii. toutes garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, lors de l'évaluation en vertu du paragraphe (b), il a déployé ses meilleurs efforts pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer la conformité avec les présentes Clauses.

(d) Les Parties conviennent de documenter l'évaluation en vertu du paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données accepte de notifier rapidement l'exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a).

(f) Suite à une notification conformément au paragraphe (e), ou si l'exportateur de données a par ailleurs des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes Clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données si il considère qu'aucune garantie appropriée pour un tel transfert ne peut être assurée, ou si l'autorité de contrôle compétente lui en donne instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié conformément à la présente Clause, les Clauses 16(d) et (e) s'appliquent.

Clause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a) L'importateur de données accepte de notifier rapidement l'exportateur de données et, si possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) si il :

i. reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément aux présentes Clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

ii. prend connaissance de tout accès direct par les autorités publiques aux données à caractère personnel transférées conformément aux présentes Clauses en vertu des lois du pays de destination ; cette notification comprend toutes les informations disponibles à l'importateur.

(b) Si l'importateur de données est interdit de notifier l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données s'engage à faire de son mieux pour obtenir une dispense de l'interdiction, en vue de communiquer autant d'informations que possible, dès que possible. L'importateur de données s'engage à documenter ses meilleurs efforts afin de pouvoir les démontrer sur demande de l'exportateur de données.

(c) Lorsque cela est autorisé par les lois du pays de destination, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pour la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité/les autorités requérantes, si les demandes ont été contestées et le résultat de ces contestations, etc.).

(d) L'importateur de données accepte de conserver les informations conformément aux paragraphes (a) à (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données conformément à la Clause 14(e) et à la Clause 16 d'informer rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses.

15.2 Examen de la légalité et minimisation des données

(a) L'importateur de données s'engage à examiner la légalité de la demande de divulgation, en particulier si elle relève des pouvoirs accordés à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données s'engage, dans les mêmes conditions, à poursuivre les possibilités de recours. Lors de la contestation d'une demande, l'importateur de données demandera des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente se soit prononcée sur son fond. Il ne divulguera pas les données à caractère personnel demandées tant qu'il n'y sera pas tenu en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la Clause 14(e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par les lois du pays de destination, de mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données accepte de fournir la quantité minimale d'informations permise lors de la réponse à une demande de divulgation, basée sur une interprétation raisonnable de la demande.

SECTION IV – DISPOSITION FINALE

Clause 16

Non-conformité avec les Clauses et résiliation

(a) L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes Clauses, pour quelque raison que ce soit.

(b) Dans le cas où l'importateur de données enfreint les présentes Clauses ou n'est pas en mesure de s'y conformer, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit rétablie ou que le contrat soit résilié. Cela est sans préjudice de la Clause 14(f).

(c) L'exportateur de données est en droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes Clauses, lorsque :

i. l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe (b) et la conformité avec les présentes Clauses n'est pas rétablie dans un délai raisonnable et en tout état de cause dans un délai d'un mois à compter de la suspension ;

ii. l'importateur de données est en violation substantielle ou persistante des présentes Clauses ; ou

iii. l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations en vertu des présentes Clauses.

Dans ces cas, il informe l'autorité de contrôle compétente de cette non-conformité. Lorsque le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toutes les copies des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continue d'assurer la conformité avec les présentes Clauses. En cas de lois locales applicables à l'importateur de données qui interdisent la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera d'assurer la conformité avec les présentes Clauses et ne traitera les données que dans la mesure et aussi longtemps que l'exigent ces lois locales.

(e) L'une ou l'autre Partie peut révoquer son accord d'être liée par les présentes Clauses lorsque (i) la Commission européenne adopte une décision conformément à l'Article 45, paragraphe 3, du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes Clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cela est sans préjudice des autres obligations s'appliquant au traitement en question en vertu du Règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes Clauses sont régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi. Lorsque ce droit n'autorise pas les droits de tiers bénéficiaires, elles sont régies par le droit d'un autre État membre de l'UE qui autorise les droits de tiers bénéficiaires. Les Parties conviennent que ce sera le droit du Danemark.

Clause 18

Choix du forum et de la juridiction

(a) Tout litige découlant des présentes Clauses est résolu par les tribunaux d'un État membre de l'UE.

(b) Les Parties conviennent que ce seront les tribunaux du Danemark.

(c) Une personne concernée peut également intenter des actions en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les Parties conviennent de se soumettre à la juridiction de ces tribunaux.

ANNEXE I

A. LISTE DES PARTIES

Exportateur de données. L'exportateur de données est le Client, tel que défini dans l'Accord et/ou la ou les Commande(s).

Importateur de données. L'importateur de données est Ideanote, tel que défini dans l'Accord et/ou la ou les Commande(s).

B. DESCRIPTION DU TRANSFERT

1. Catégories de personnes concernées dont les données personnelles sont transférées :

Les personnes concernées comprennent les représentants et les utilisateurs finaux des clients de l'exportateur de données, ce qui peut inclure les employés, les sous-traitants, les fournisseurs et les clients de l'exportateur de données, selon le cas d'utilisation.

2. Catégories de données personnelles transférées :

Les données personnelles transférées comprennent les noms et adresses e-mail sous forme électronique le tout dans le cadre des Services.

3. Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, telles que par exemple la limitation stricte de la finalité, les restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, les restrictions pour les transferts ultérieurs ou les mesures de sécurité supplémentaires :

Aucune.

4. La fréquence du transfert (par exemple, si les données sont transférées une seule fois ou de manière continue) :

Continue.

5. Nature du traitement :

Accès API basé sur le cloud, de serveur à serveur.

6. Finalité(s) du transfert de données et du traitement ultérieur :

Faciliter le partage d'idées et l'innovation.

7. La période pendant laquelle les données personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :

Pour la durée des CdU d'Ideanote.

8. Pour les transferts vers les (sous-) traitants, spécifier également l'objet, la nature et la durée du traitement :

La nature de tout traitement par les sous-traitants est de faciliter les Services. La durée est pour le terme des CdU d'Ideanote entre le Client et Ideanote.

‍

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Autorité danoise de protection de la vie privée (Datatilsynet)

ANNEXE II 

MESURES TECHNIQUES ET ORGANISATIONNELLES Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Les détails des mesures techniques et organisationnelles applicables aux Services logiciels fournis par Ideanote au Client peuvent être trouvés dans l'Annexe C du DPA d'Ideanote

ANNEXE III

LISTE DES SOUS-TRAITANTS

Le Client a autorisé l'utilisation par Ideanote des sous-traitants détaillés à https://ideanote.io/legal/sub-processors qui sont applicables aux Services logiciels fournis par Ideanote  au Client.

ANNEXE 3 - Addendum Royaume-Uni

En cas de transfert de données depuis et vers le Royaume-Uni, les dispositions suivantes, la présente Annexe 3, s'appliquent en complément des Clauses Contractuelles Types de l'Annexe 2 du DPA d'Ideanote.

PARTIE 1 : TABLEAUX

Tableau 1 : Parties

Date de début

Date d'entrée en vigueur (Le présent Accord de traitement des données prendra effet à la date à laquelle le Client accepte électroniquement ou autrement Nos CdU. )

Les Parties

Exportateur (qui envoie le Transfert Restreint)

Importateur (qui reçoit le Transfert Restreint)

Détails des Parties

Le nom légal complet peut être trouvé dans le Formulaire de commande ou le Compte du Propriétaire de l'Espace de travail

Nom commercial (si différent) peut être trouvé dans le Formulaire de commande ou les Paramètres de facturation de l'Espace de travail.

Adresse principale (si une adresse enregistrée de société) peut être trouvée dans le Formulaire de commande ou les Paramètres de facturation de l'Espace de travail.

Numéro d'enregistrement officiel et tout numéro d'entreprise ou identifiant similaire peut être trouvé dans le Formulaire de commande ou le Compte du Propriétaire de l'Espace de travail

Nom légal complet : Ideanote ApS

Nom commercial (si différent) : Ideanote

Adresse principale : Soengen 1, 2840, Holte

Numéro d'enregistrement officiel : TIN:DK37118796

Contact clé

Titre du poste et coordonnées, y compris l'e-mail, peuvent être trouvés dans le Formulaire de commande ou le Compte du Propriétaire de l'Espace de travail

Titre du poste : Responsable du traitement des données

Coordonnées, y compris l'e-mail : DPO@ideanote.io

Tableau 2 : CCT sélectionnées, Modules et Clauses sélectionnées

Addendum CCT UE

La version des CCT UE Approuvées incluse ci-dessus, à laquelle cet Addendum est joint.

Tableau 3 : Informations de l'Annexe

« Informations de l'Annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés, telles qu'énoncées dans l'Annexe des CCT UE Approuvées (autres que les Parties), et qui, pour le présent Addendum, sont énoncées dans l'Accord de traitement des données ci-dessus.

Tableau 4 : Résiliation du présent Addendum lorsque l'Addendum Approuvé change

Résiliation du présent Addendum lorsque l'Addendum Approuvé change

Quelles Parties peuvent résilier cet Addendum :

Importateur et Exportateur

PARTIE 2 : CLAUSES OBLIGATOIRES

Conclusion du présent Addendum

(a.) Chaque Partie accepte d'être liée par les termes et conditions énoncés dans le présent Addendum, en échange de l'acceptation par l'autre Partie d'être également liée par le présent Addendum.

(b.) Bien que l'Annexe 1A et la Clause 7 des CCT UE Approuvées exigent la signature des Parties, aux fins des Transferts Restreints, les Parties peuvent conclure le présent Addendum de toute manière qui les rend juridiquement contraignantes pour les Parties et permet aux personnes concernées de faire valoir leurs droits tels qu'énoncés dans le présent Addendum. La conclusion du présent Addendum aura le même effet que la signature des CCT UE Approuvées et de toute partie des CCT UE Approuvées.

Interprétation du présent Addendum

(a.) Lorsque le présent Addendum utilise des termes définis dans les CCT UE Approuvées, ces termes ont la même signification que dans les CCT UE Approuvées. En outre, les termes suivants ont les significations suivantes :

Addendum

Le présent Addendum de transfert de données international qui est composé du présent Addendum incorporant les CCT UE de l'Addendum.

CCT UE de l'Addendum

La ou les version(s) des CCT UE Approuvées auxquelles le présent Addendum est joint, telles qu'énoncées dans le Tableau 2, y compris les Informations de l'Annexe.

Informations de l'Annexe

Telles qu'énoncées dans le Tableau ‎3.

Garanties appropriées

La norme de protection des données personnelles et des droits des personnes concernées, requise par les Lois sur la protection des données du Royaume-Uni lors d'un Transfert Restreint basé sur des clauses types de protection des données en vertu de l'Article 46, paragraphe 2, point d), du RGPD du Royaume-Uni.

Addendum Approuvé

Le modèle d'Addendum émis par l'ICO et déposé devant le Parlement conformément à l'article 119A de la Data Protection Act 2018 le 2 février 2022, tel qu'il est révisé en vertu de la Section 18

CCT UE Approuvées

Les Clauses Contractuelles Types énoncées à l'Annexe de la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.

ICO

Le Commissaire à l'information.

Transfert Restreint

Un transfert couvert par le Chapitre V du RGPD du Royaume-Uni.

Royaume-Uni

Le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.

Lois sur la protection des données du Royaume-Uni

Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD du Royaume-Uni et la Data Protection Act 2018.

RGPD du Royaume-Uni

Tel que défini à la section 3 de la Data Protection Act 2018.

(b.) Le présent Addendum doit toujours être interprété de manière compatible avec les Lois sur la protection des données du Royaume-Uni et de manière à ce qu'il remplisse l'obligation des Parties de fournir les Garanties appropriées.

(c.) Si les dispositions incluses dans les CCT UE de l'Addendum modifient les CCT Approuvées d'une manière non autorisée en vertu des CCT UE Approuvées ou de l'Addendum Approuvé, ces modifications ne seront pas incorporées dans le présent Addendum et la disposition équivalente des CCT UE Approuvées prendra leur place.

(d.) Si il y a une incohérence ou un conflit entre les Lois sur la protection des données du Royaume-Uni et le présent Addendum, les Lois sur la protection des données du Royaume-Uni s'appliquent.

(e.) Si le sens du présent Addendum n'est pas clair ou s'il y a plus d'un sens, le sens qui s'aligne le plus étroitement avec les Lois sur la protection des données du Royaume-Uni s'applique.

(f.) Toute référence à la législation (ou à des dispositions spécifiques de la législation) signifie cette législation (ou disposition spécifique) telle qu'elle peut évoluer dans le temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, promulguée à nouveau et/ou remplacée après la conclusion du présent Addendum.

Hiérarchie

(a.) Bien que la Clause 5 des CCT UE Approuvées stipule que les CCT UE Approuvées prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les Transferts Restreints, la hiérarchie de la Section 10 prévaudra.

(b.) En cas d'incohérence ou de conflit entre l'Addendum Approuvé et les CCT UE de l'Addendum (selon le cas), l'Addendum Approuvé prévaut sur les CCT UE de l'Addendum, sauf si (et dans la mesure où) les termes incohérents ou conflictuels des CCT UE de l'Addendum offrent une protection plus élevée aux personnes concernées, auquel cas ces termes prévaudront sur l'Addendum Approuvé.

(c.) Lorsque le présent Addendum incorpore des CCT UE de l'Addendum qui ont été conclues pour protéger les transferts soumis au Règlement Général sur la Protection des Données (UE) 2016/679, les Parties reconnaissent que rien dans le présent Addendum n'a d'incidence sur ces CCT UE de l'Addendum.

Incorporation et modifications des CCT UE

Le présent Addendum incorpore les CCT UE de l'Addendum qui sont modifiées dans la mesure nécessaire pour que :

(a.) ensemble, elles fonctionnent pour les transferts de données effectués par l'exportateur de données à l'importateur de données, dans la mesure où les Lois sur la protection des données du Royaume-Uni s'appliquent au traitement de l'exportateur de données lors de ce transfert de données, et qu'elles fournissent des Garanties appropriées pour ces transferts de données ;

(b.) les Sections 9 à 11 prévalent sur la Clause 5 (Hiérarchie) des CCT UE de l'Addendum ; et

(c.) le présent Addendum (y compris les CCT UE de l'Addendum qui y sont incorporées) est (1) régi par les lois d'Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux d'Angleterre et du Pays de Galles, dans chaque cas, sauf si les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord ont été expressément choisis par les Parties.

À moins que les Parties n'aient convenu d'amendements alternatifs qui répondent aux exigences de la Section 12, les dispositions de la Section 15 s'appliqueront.

Aucune modification aux CCT UE Approuvées autre que pour répondre aux exigences de la Section 12 ne peut être apportée.

Les modifications suivantes aux CCT UE de l'Addendum (aux fins de la Section 12) sont apportées :

(a.) Les références aux « Clauses » désignent le présent Addendum, incorporant les CCT UE de l'Addendum ;

(b.) Dans la Clause 2, supprimer les mots :

« et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679 » ;

(c.) La Clause 6 (Description du ou des transfert(s)) est remplacée par :

« Les détails du ou des transfert(s) et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalité(s) pour laquelle/lesquelles elles sont transférées) sont ceux spécifiés à l'Annexe I.B lorsque les Lois sur la protection des données du Royaume-Uni s'appliquent au traitement de l'exportateur de données lors de ce transfert. » ;

(d.) La Clause 8.7(i) du Module 1 est remplacée par :

« il s'agit d'un pays bénéficiant de règlements d'adéquation conformément à la Section 17A du RGPD du Royaume-Uni qui couvre le transfert ultérieur » ;

(e.) La Clause 8.8(i) des Modules 2 et 3 est remplacée par :

« le transfert ultérieur s'effectue vers un pays bénéficiant de règlements d'adéquation conformément à la Section 17A du RGPD du Royaume-Uni qui couvre le transfert ultérieur ; »

(f.) Les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) » et à « ce Règlement » sont toutes remplacées par « Lois sur la protection des données du Royaume-Uni ». Les références à des Article(s) spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l'Article ou la Section équivalente des Lois sur la protection des données du Royaume-Uni ;

(g.) Les références au Règlement (UE) 2018/1725 sont supprimées ;

(h.) Les références à l'« Union européenne », à l'« Union », à l'« UE », à l'« État membre de l'UE », à l'« État membre » et à « l'UE ou à un État membre » sont toutes remplacées par « le Royaume-Uni » ;

(i.) La référence à la « Clause 12(c)(i) » à la Clause 10(b)(i) du Module un, est remplacée par la « Clause 11(c)(i) » ;

(j.) La Clause 13(a) et la Partie C de l'Annexe I ne sont pas utilisées ;

(k.) L'« autorité de contrôle compétente » et l'« autorité de contrôle » sont toutes deux remplacées par le « Commissaire à l'information » ;

(l.) Dans la Clause 16(e), la sous-section (i) est remplacée par :

« le Secrétaire d'État prend des règlements conformément à la Section 17A de la Data Protection Act 2018 qui couvrent le transfert de données personnelles auquel ces clauses s'appliquent ; » ;

(m.) La Clause 17 est remplacée par :

« Les présentes Clauses sont régies par les lois d'Angleterre et du Pays de Galles. » ;

(n.) La Clause 18 est remplacée par :

« Tout litige découlant des présentes Clauses est résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter des actions en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux.