Connect & Engage - Data Processing Addendum (DPA)

Version : 1er Février 2023

Le présent Addendum relatif au Traitement des Données (« ATD ») fait partie intégrante du Contrat entre le Client et CM.com couvrant l’utilisation des Services par le Client.

1. Définitions et interprétation

Les termes commençant par une majuscule dans les présentes Conditions générales sont des termes définis qui ont la signification qui leur est attribuée dans le présent article.

Mesures techniques et organisationnelles : mesures visant à protéger les Données à caractère personnel contre la destruction accidentelle ou illégale, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé et contre toutes autres formes illégales de Traitement.

Personne concernée : une personne physique identifiée ou identifiable par des Données à caractère personnel.

Responsable du traitement : la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données à caractère personnel.

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement.

Sous-traitant ultérieur : une partie engagée par CM.com pour des activités de traitement pour lesquelles CM.com est un Sous-traitant en vertu du présent ATD, répertoriée sur : www.cm.com/trust-center/privacy/.

Traitement/Traiter : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à caractère personnel ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Violation de Données à caractère personnel : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou la consultation non autorisée des Données à caractère personnel transmises, stockées ou autrement traitées.

L’expression « Analyse d’impact relative à la protection des données » s’entend au sens qui lui est donné dans les Lois applicables sur la protection des données.

1.2. Les références aux Lois applicables sur la protection des données devront être substituées par ou intégrer les lois remplaçant ou modifiant lesdites Lois applicables sur la protection des données, et les termes équivalents définis dans ces lois, une fois en vigueur et applicables.

1.3. Le présent Addendum relatif au Traitement des Données s’applique exclusivement au traitement des Données à caractère personnel par CM.com en tant que Sous-traitant pour le compte du Client. En cas de conflit, les clauses du présent Addendum relatif au Traitement des Données concernant le Traitement des Données à caractère personnel prévaudront sur les clauses du Contrat. Si des clauses individuelles du présent Addendum relatif au Traitement des Données étaient déclarées nulles ou inapplicables, la validité et l’applicabilité des autres clauses n’en seraient pas affectées. Trust Center : www.cm.com/trust-center/.

2. Portée et applicabilité

2.1 Le présent ATD s’applique aux activités de traitement des Données à caractère personnel, pour lesquelles CM.com est un Sous-traitant soumis aux Lois applicables sur la protection des données.

2.2 CM.com est un Sous-traitant pour les activités de traitement visées à l’article 6 du présent ATD.

3. Obligations du Client

3.1 Dans le cadre de son utilisation du Service, le Client devra traiter les Données à caractère personnel conformément aux exigences des Lois applicables sur la protection des données. Les instructions du Client pour le Traitement des Données à caractère personnel devront être conformes aux Lois applicables sur la protection des données. Le Client est responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel et des modalités de leur acquisition. Le Client veille à répondre à toutes les exigences de traitement et de transfert des Données à caractère personnel en vertu des Lois applicables, y compris, mais sans s’y limiter, en s’assurant de l’existence d’un fondement juridique pour le traitement et/ou les transferts transfrontaliers. Si le Client ne peut plus remplir ses obligations en ce qui concerne le traitement des Données à caractère personnel en vertu des Lois applicables et/ou du Contrat, le Client doit en informer CM.com dans les meilleurs délais.

3.2 Sans limiter la portée générale de toute autre disposition du Contrat, avant d’utiliser le Service, le Client devra obtenir le consentement éclairé vérifiable des Utilisateurs finaux ou être en mesure de fournir une confirmation de toute autre base légale applicable pour le Traitement, et devra conserver un dossier sur chaque consentement et/ou base juridique. Sur notification écrite raisonnable, le Client devra fournir les informations demandées et requises par CM.com, tout Opérateur, tout régulateur ou toute autre autorité compétente concernant la base juridique du traitement.

4. Obligations du Sous-traitant

4.1 Instructions

4.1.1 CM.com traitera les Données à caractère personnel conformément au présent ATD et au Contrat, et aux fins et de la manière spécifiées par le Client de temps à autre dans le Contrat, et à d’autres instructions qui relèvent du champ d’application du Contrat.

4.2 Mesures techniques et organisationnelles

4.2.1 En tenant compte du niveau de sophistication, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, CM.com mettra en œuvre des Mesures techniques et organisationnelles appropriées (y compris la protection contre le Traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, la perte, l’altération ou l’endommagement, la divulgation ou la consultation non autorisées des Données à caractère personnel) pour garantir un niveau de sécurité approprié en fonction du risque. Des informations à jour concernant les Mesures techniques et organisationnelles sont disponibles sur www.cm.com/trust-center/security/.

4.2.2 CM.com examinera, évaluera et testera l’efficacité des Mesures techniques et organisationnelles pour assurer la sécurité permanente du Traitement. CM.com devra continuellement améliorer et renforcer les Mesures techniques et organisationnelles au besoin.

4.3 Exigences relatives au personnel

CM.com s’assure que les personnes autorisées à traiter les Données à caractère personnel s’engagent à en respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. L’accès aux Données à caractère personnel est limité au personnel qui en a besoin pour exécuter les Services en vertu du Contrat.

4.4. Confidentialité

CM.com accepte de préserver la confidentialité des Données à caractère personnel. Plus particulièrement, CM.com convient de ne pas divulguer les Données à caractère personnel qui lui sont fournies de la part, pour le compte ou au nom du Client à un tiers, sans avoir préalablement obtenu le consentement du Client, sauf en fonction de ce qui est prévu et requis pour exécuter le Service en vertu du Contrat ou d’impératifs législatifs.

4.5 Droits des Personnes concernées

4.5.1 Si le Client le demande à CM.com, CM.com doit transférer, corriger, supprimer ou bloquer les Données à caractère personnel si le Client reçoit une demande de la part d’une Personne concernée d’exercer son droit d’accès, son droit de rectification, de limitation du Traitement, d’effacement (« droit à l’oubli »), son droit à la portabilité des données, d’opposition au Traitement, ou son droit de ne pas faire l’objet d’une prise de décision individuelle automatisée (« Demande de personne concernée »).

4.5.2 CM.com doit informer le Client si CM.com reçoit une Demande de personne concernée. Compte tenu de la nature du Traitement, CM.com devra aider le Client à répondre à une Demande de personne concernée en vertu des Lois applicables sur la protection des données. CM.com devra aider le Client, dans la mesure où CM.com est légalement autorisée à le faire et où la réponse à ladite Demande de personne concernée est requise en vertu des Lois sur la protection des données.

4.6 Aide à la conformité du Client

CM.com devra fournir au Client l’aide supplémentaire raisonnablement requise pour assurer que le Client se conforme à ses obligations en vertu des Lois sur la protection des données, y compris en ce qui concerne :

a) l’analyse d’impact relative à la protection des données, en fournissant les informations et la collaboration que le Client peut exiger afin de l’aider à effectuer une analyse d’impact relative à la protection des données et procéder à des examens périodiques permettant d’évaluer si le Traitement des Données à caractère personnel est effectué conformément à l’analyse d’impact relative à la protection des données ;

b) la consultation préalable d’une autorité de contrôle chargée de la protection des données concernant le Traitement à haut risque.

4.7 Conformité, informations et audit

4.7.1 CM.com a obtenu les certifications de tiers spécifiées dans le Trust Center sur le site Web de CM.com à l’adresse www.cm.com/trust-center/, qui fournit des informations sur les mesures techniques et organisationnelles, la confidentialité, la conformité, la gestion des risques et la sécurité des données. Sur demande écrite du Client, et sous réserve des obligations de confidentialité énoncées dans le Contrat, CM.com mettra à la disposition du Client, qui n’est pas un concurrent de CM.com (ou l’auditeur tiers indépendant du Client qui n’est pas un concurrent de CM.com), une copie des informations et certificats tiers les plus récents de CM.com concernant l’architecture et la sécurité informatiques, selon ce qui est applicable et raisonnablement demandé. Il appartient au Client d’évaluer les informations mises à disposition par CM.com et de déterminer si elles satisfont aux exigences et obligations du Client en vertu des Lois applicables sur la protection des données. Le Client convient que les informations fournies en vertu des présentes serviront à satisfaire les droits d’audit du Client en vertu des Lois applicables sur la protection des données.

4.7.2 Si les informations fournies par CM.com sont insuffisantes pour prouver le respect du présent ATD, le Client est en droit de nommer un expert externe accrédité au plus une fois par an pour vérifier les procédures de Traitement des données pour le Client. CM.com apportera son concours à un tel audit après avoir été notifiée par écrit au minimum dix (10) Jours ouvrables à l’avance. Le Client devra rembourser le temps consacré par CM.com à un tel audit sur la base des tarifs que CM.com applique alors à ses services professionnels et qui seront mis à la disposition du Client sur demande. Avant d’initier un tel audit, les Parties devront convenir mutuellement de la portée, la date et la durée de l’audit, en plus du taux de remboursement dont le Client sera responsable.

4.7.3 CM.com est en droit de demander à l’expert externe de signer une déclaration de confidentialité en faveur de CM.com. La déclaration de confidentialité doit contenir les conditions générales habituellement utilisées pour ce type de déclaration. Tout rapport ou toute déclaration fournis par l’expert externe doit être mis à la disposition de CM.com. Le Client doit s’assurer que l’audit entrave le moins possible les opérations de CM.com.

4.8 Dossiers

CM.com devra conserver des dossiers complets, exacts et à jour des activités de Traitement effectuées pour le compte de ses Clients.

4.9 Sociétés affiliées et sous-traitants ultérieurs

4.9.1 Certaines ou l’ensemble des obligations de CM.com en vertu du Contrat peuvent être assumées par les Sociétés affiliées de CM.com. CM.com est responsable de la conformité de ses Sociétés affiliées au Contrat.

4.9.2 Le Client reconnaît et accepte que a) les Sociétés affiliées de CM.com peuvent être engagées en tant que Sous-traitants ultérieurs ; et b) CM.com et les Sociétés affiliées de CM.com peuvent respectivement engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services. À condition dans tous les cas que CM.com ou une Société affiliée de CM.com ait conclu un accord écrit avec chaque Sous-traitant ultérieur contenant des obligations de protection des données au minimum aussi protectrices que celles du Contrat en ce qui concerne la protection des Données à caractère personnel dans la mesure applicable à la nature du Service fourni par ledit Sous-traitant ultérieur et CM.com tient à jour une liste de Sous-traitants ultérieurs. La liste à jour des Sous-traitants ultérieurs de CM.com est disponible sur : www.cm.com/trust-center/privacy/.CM.com informera le Client trente (30) jours avant toute modification apportée à la liste des Sous-traitants ultérieurs. Dans ce délai, le Client peut s’opposer à la modification de la liste des Sous-traitants ultérieurs, à condition que cette opposition soit formulée par écrit et repose sur des motifs raisonnables en vertu des Lois applicables sur la protection des données. Les Parties s’efforceront de bonne foi de résoudre l’opposition du Client. Si l’opposition n’est pas résolue dans les trente (30) jours, l’une ou l’autre des Parties peut résilier le Contrat.

4.9.3 CM.com sera responsable de chacun de ses Sous-traitants ultérieurs tout autant que CM.com serait responsable si elle fournissait les services de chaque Sous-traitant ultérieur directement en vertu des conditions du Contrat.

4.10 Notification de violation

En cas de Violation de données à caractère personnel, CM.com devra :

a) notifier le Client de la Violation de données à caractère personnel impliquant CM.com ou un sous-contractant, sans retard injustifié (mais, en aucun cas, plus de quarante-huit heures après avoir pris connaissance de la Violation de données à caractère personnel) ;

b) coopérer avec le Client et l’aider de manière raisonnable concernant toute mesure à prendre en réponse à une Violation de données à caractère personnel en vertu des Lois applicables sur la protection des données, telles que l’article 33 paragraphe 3) et l’article 34 paragraphe 3) du RGPD, y compris concernant toute communication de la Violation de Données à caractère personnel à la Personne concernée et aux autorités chargées de la protection des données.

CM.com enquêtera rapidement sur toute Violation de données à caractère personnel et prendra des mesures raisonnables pour identifier sa ou ses causes profondes et prévenir toute récurrence. Au fur et à mesure que les informations seront recueillies ou deviendront autrement disponibles, à moins que la loi ne l’interdise, CM.com fournira au Client une description de la Violation de données à caractère personnel, du type de données qui a fait l’objet de la Violation de données à caractère personnel, et d’autres informations que le Client pourra raisonnablement demander. Les Parties conviennent de coordonner de bonne foi la formulation du contenu de toute déclaration publique connexe ou de toute notification requise à l’intention des Personnes concernées et/ou des autorités compétentes en matière de protection des données.

  1. Transfert transfrontalier de données

Dans la mesure où l’engagement d’un Sous-traitant ultérieur en vertu de l’article 4.9 nécessite un mécanisme de transfert transfrontalier en vertu des Lois applicables sur la protection des données pour transférer légalement des données à caractère personnel d’un pays (c.-à-d., l’Espace économique européen, le Royaume-Uni ou tout autre pays concerné) vers un tiers situé en dehors de ce pays, les conditions suivantes s’appliqueront. Le Client autorise CM.com à transférer des Données à caractère personnel en dehors du pays dans lequel CM.com est situé et dans lequel les Données à caractère personnel ont été reçues pour la première fois, pour autant que CM.com veille à ce que ces transferts soient réalisés conformément au présent ATD et à un mécanisme de transfert de données légal qui offre un niveau de protection adéquat en vertu des Lois applicables sur la protection des données.

  1. Stockage, conservation et suppression des Données à caractère personnel

CM.com devra traiter et conserver les données, y compris les Données à caractère personnel, conformément au Droit applicable, aux réglementations, et notamment, la législation nationale sur les télécommunications et les Lois applicables sur la protection des données. Les données, y compris les Données à caractère personnel, transmises à la plateforme de CM.com devront être Traitées et stockées conformément à la politique de conservation des données de CM.com. Les Données à caractère personnel ne devront pas être conservées plus longtemps que nécessaire pour fournir les Services en vertu du Contrat, aux fins énoncées dans le Contrat et dans la mesure où cela est requis et/ou autorisé en vertu du Droit applicable. CM.com devra désidentifier ou dépersonnaliser les données pour obtenir des données anonymisées après la période de conservation applicable. Les données résultant de ces opérations ne renfermeront pas de Données à caractère personnel ou d’identifiants uniques qui pourraient ultérieurement être utilisés pour faire référence aux Données à caractère personnel auxquelles elles étaient associées auparavant.

  1. Description du Traitement

7.1 Nature et finalité du Traitement

CM.com Traitera les Données à caractère personnel dans la mesure nécessaire pour exécuter les Services conformément au Contrat, tel que spécifié plus en détail dans le Contrat, et selon les instructions du Client dans le cadre du Contrat.

7.2 Durée du Traitement

CM.com traitera les Données à caractère personnel pendant la durée du Contrat et conformément à l’article 6 du présent ATD.

7.3 Catégories de Personnes concernées

Le Client pourra soumettre des données à CM.com en utilisant le Service, dont le contenu est déterminé et contrôlé par le Client, à son entière discrétion, et qui peuvent inclure, mais sans s’y limiter, les Données à caractère personnel relatives aux catégories de Personnes concernées énumérées en Annexe 1

7.3 Type de Données à caractère personnel

Le Client pourra transmettre des Données à caractère personnel aux Services, dont le type sera déterminé et contrôlé par le Client, à son entière discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories de Données à caractère personnel énumérées en Annexe 1

Annexe 1 : Description des personnes concernées et catégories de données à caractère personnel

Personnes concernées:

Conversational AI Cloud

Canaux conversationnels

Customer Data Platform

Mobile Marketing Cloud

Mobile Service Cloud

Plateforme de paiements

Sign

SMS

• Clients ou clients potentiels (qui sont des personnes physiques) du Client ou de ses clients • Employés, sous-contractants, conseillers, travailleurs indépendants ou personnes embauchées par le Client ou ses clients • Interlocuteurs des prospects, clients et partenaires commerciaux du Client • Utilisateurs du Client autorisés par le Client à utiliser les Services.

Billetterie

Services vocaux

Catégories de données à caractère personnel:

Conversational AI Cloud

Canaux conversationnels

Customer Data Platform

Mobile Marketing Cloud

Mobile Service Cloud

Plateforme de paiements

Sign

SMS

Billetterie

Services vocaux