ACCORD SUR LE TRAITEMENT DES DONNÉES (“ATD”) – Manager Vidéo

Entre LumApps (ci-après “Sous-Traitant”) et le Client (ci-après “Responsable du Traitement”) pour l’utilisation de la Plateforme Manager Vidéo développée par LumApps.

Comment exécuter cet ATD :

Cet ATD a été pré-signé au nom de LumApps.

Pour exécuter cet ATD, le Client doit :

  • Renseigner ses informations dans l’espace dédié à la signature et signer en page 7 ;
  • Envoyer l’ATD signé à LumApps par email à l’adresse électronique suivante : legal@lumapps.com

Dès réception par LumApps de l’ATD dûment complété, ledit document prendra effet et liera les parties.

Comment cet ATD s’applique :

Si le Client, signataire de cet ATD, est partie à un contrat avec LumApps pour l’utilisation du logiciel Manager Vidéo (la “Plateforme”) développé par LumApps (“Contrat”), cet ATD est une annexe composant le Contrat.

NOTIONS PRINCIPALES

1. Définitions

Les expressions et mots mentionnés ci-dessous doivent être interprétés selon les significations suivantes :

Client” désigne toute entité légale disposant d’un Contrat avec LumApps;

Données Personnelles” désigne toute information à laquelle LumApps a accès du fait de sa relation commerciale avec le Client et relative à une personne physique identifiée ou identifiable;

Incident de sécurité” désigne la destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisé des Données Personnelles transmises, stockées, ou autrement traitées dans le cadre du Service;

Législation sur la Protection des Données” se réfère à toutes les lois et réglementations, y compris les lois et réglementations de l’Union Européenne, de l’Espace économique européen et de ses États membres, notamment les dispositions du Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le “Règlement” ou le « RGPD »);

LumApps” se réfère à LUMAPPS, SAS enregistrée au RCS de Lyon sous le numéro 788 743 474 ayant son siège social au 75 rue François Mermet, 69160 Tassin-la-Demi-Lune.

Mesures de Sécurité physiques, techniques et organisationnelles” concerne les mesures visant à protéger les Données Personnelles contre une destruction accidentelle ou illicite, perte accidentelle, altération, divulgation ou accès non-autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite;

Personnes Concernées” signifie les personnes identifiées ou identifiables auxquelles les Données Personnelles se rapportent;

Services” désigne le droit d’accès et d’utilisation de la Plateforme et des services associés, fourni au Client par LumApps dans le cadre du Contrat.

Sous-traitant Externe” désigne toute tierce partie désignée par LumApps pour traiter les Données Personnelles dans le cadre de la fourniture des Services;

Traitement” signifie toute opération ou ensemble d’opérations réalisées sur les Données Personnelles ou ensemble de Données Personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

2. Description du Traitement des Données Personnelles

Le Traitement des Données Personnelles s’opère comme suit :

Description Détails
Objet Utilisation des Services LumApps
Opérations de Traitement
  • Tracer les actions des utilisateurs pour être en mesure d’identifier l’auteur d’une action
  • Restituer le contexte d’un accès et les droits d’un utilisateur (ex : autorisation pour la suppression d’une vidéo)
  • Fiabiliser et sécuriser la connexion à l’outil en s’assurant de l’identité de l’utilisateur
  • Permettre la diffusion du contenu du client
  • Prévenir des tentatives d’accès frauduleux
  • Assurer le support technique de la solution
Durée de l’opération
  • 1 mois à compter de la fin de la relation contractuelle pour l’ensemble des données importées par le Client (fichiers vidéos, métadonnées liées aux vidéos)
  • 6 mois à compter de la fin de la relation contractuelle pour l’ensemble des fichiers journaux (logs et logs d’accès aux vidéos)
Catégories de données personnelles Nom, adresse mail, adresse IP, nom d’utilisateur, mot de passe, logs d’accès et toute autre donnée personnelle volontairement fournie par les utilisateurs de la Plateforme et/ou par le Client (exemple: photographie, lieu de travail, date de naissance, loisirs, etc).
Catégories de personnes concernées Les salariés du Client ou personnes autorisées par le Client tels que décrit dans le bon de commande ou dans le Contrat.
Liste des sous-traitants et leur localisation
  • Cloud AWS (UE)
  • Zendesk (UE)

3. Obligations du Sous-traitant

Le Sous-Traitant traitera les Données Personnelles comme suit:

(a) Ne pas conserver, utiliser ou divulguer de quelque manière que ce soit les Données Personnelles autrement que dans le cadre des services spécifiés dans le Contrat;

(b) Conserver les Données Personnelles en sécurité et accessibles uniquement aux personnes autorisées, engagées à respecter la confidentialité ou assujetties à une obligation légale de confidentialité;

(c) Le Traitement des Données Personnelles se réalisera selon les instructions documentées du Responsable du Traitement. Pour les clients européens, ce Traitement inclut les questions relatives au transfert des Données Personnelles à un pays tiers ou à une organisation internationale, sauf si requis par le droit de l’Union Européenne ou d’un État membre auquel le Sous-Traitant est soumis. Dans ce cas, le Sous-Traitant devra informer le Responsable du Traitement de l’obligation légale en question avant le traitement, à moins que le droit concerné n’interdise une telle information pour des motifs importants d’intérêt public;

(d) À l’échéance ou durant l’exécution du Contrat, le Sous-Traitant s’engage, conformément aux instructions du Responsable du Traitement, à retourner et/ou supprimer les Données Personnelles dans un délai maximal de 180 jours, à moins que LumApps ne soit légalement tenu de conserver les Données Personnelles. Les coûts seront supportés par le Responsable du Traitement;

(e) Mettre à la disposition du Responsable du Traitement, lorsqu’une demande expresse est formulée, les informations nécessaires démontrant le respect des obligations contenues dans le présent ATD par des moyens en conformité avec l’organisation interne du Sous-Traitant;

(f) Notifier sans délai le Responsable du Traitement, après avoir pris connaissance d’une violation de Données Personnelles sujettes au Traitement en vertu du Contrat;

(g) Informer immédiatement le Responsable du Traitement si, selon le Sous-Traitant, une instruction enfreint l’application de la Législation sur la Protection des Données. Une fois informé, le Responsable du Traitement doit évaluer la situation et déterminer si l’instruction viole réellement la Législation sur la Protection des Données. Si le Responsable du Traitement persiste en maintenant une instruction illicite, LumApps sera en droit de résilier le présent ATD ou le Contrat afférent;

(h) Assurer que de telles Données Personnelles ne sont utilisées que pour les fins autorisées par le Responsable du Traitement;

(i) Mettre en œuvre et maintenir des Mesures de Sécurité physiques, techniques et organisationnelles appropriées. Nonobstant toute disposition contraire, le Sous-Traitant pourra modifier ou actualiser les Mesures de Sécurité physiques, techniques et organisationnelles de manière discrétionnaire à condition que le changement effectué n’entraîne pas une altération des Mesures susmentionnées;

(j) Notifier au Responsable des Données sans retard excessif, après en avoir pris connaissance, toutes les informations dont il dispose concernant un incident de sécurité et apporter la coopération nécessaire pour lui permettre de se conformer à toute obligation de signaler les informations concernant un tel incident de sécurité à l’organisme de régulation approprié et/ou aux Personnes Concernées, conformément aux exigences des lois applicables en matière de Protection des Données;

(k) Supprimer les Données Personnelles dans les trois (3) mois à compter de la résiliation ou de l’expiration du Contrat, à moins que LumApps ne soit légalement tenu de conserver les Données Personnelles.

4. Sous-Traitance Externe

Le Responsable du Traitement autorise le Sous-Traitant à faire appel à des Sous-Traitants Externes pour l’assister dans l’exécution des obligations de LumApps dans le cadre de la fourniture des Services.

LumApps a d’ores et déjà désigné, en qualité de Sous-Traitants Externes, des entités tierces listées dans le tableau de l’article 2 de cet ADT.

Le Sous-Traitant doit informer le Responsable du Traitement de tout changement concernant l’ajout ou le remplacement de tout Sous-Traitant Externe ultérieur dans un délai raisonnable. Le Responsable du Traitement doit jouir de la faculté de s’opposer à l’engagement d’un nouveau Sous-Traitant Externe ultérieur en se fondant sur des motifs légitimes liés à la protection des Données Personnelles dans un délai de 10 jours à compter de la notification du changement.

Dans le cas d’une opposition formulée, les parties au présent ATD devront discuter des préoccupations du Responsable du Traitement de bonne foi dans la perspective de trouver une solution commerciale amiable.

Dans le cas où le Sous-Traitant souhaite sous-traiter les Données Personnelles à des Sous-Traitants Externes situés en dehors de l’Espace économique européen, le Responsable du Traitement autorise d’ores et déjà le Sous-Traitant à signer pour le compte du Responsable du Traitement des clauses contractuelles types pour le transfert des données à caractère personnel aux Sous-Traitants établis dans des pays tiers en vertu de la décision 2021/914 de la Commission Européenne ou des clauses équivalentes de protection des données en vertu du droit de l’UE.

En toute circonstance, lorsque le Sous-Traitant engage des Sous-Traitants Externes, il imposera à ces derniers des conditions de protection des Données Personnelles au moins équivalentes au niveau de protection des Données Personnelles que celles du présent ATD (3.) dans la mesure applicable à la nature des Services fournis par ces Sous-Traitants Externes. LumApps restera responsable du respect par chaque Sous-Traitant Externe de ses obligations en matière de protection des données.

5. Audit

Le Sous-Traitant doit autoriser et faciliter la mise en place d’audits, y compris les inspections, menés par le Responsable du Traitement ou tout autre auditeur mandaté par ce dernier conformément aux procédures suivantes :

(a) À la demande du Responsable du Traitement, le Sous-Traitant fournira au Responsable du Traitement ou à son auditeur mandaté les certifications et/ou rapports d’audit les plus récents, que le Sous-Traitant s’est procuré pour tester, évaluer et apprécier de manière régulière et efficace les Mesures de Sécurité physiques, techniques et organisationnelles.

(b) Le Sous-Traitant doit coopérer raisonnablement avec le Responsable du Traitement en fournissant des informations supplémentaires concernant les Mesures susmentionnées pour permettre au Responsable du Traitement d’avoir une meilleure compréhension.

(c) Dans la mesure où il n’est pas possible de satisfaire autrement à un droit d’audit mandaté par la loi applicable ou expressément convenu par les Parties, seules les entités légalement mandatées (telles que l’autorité de contrôle à laquelle est soumise le Responsable du Traitement), le Responsable du Traitement ou son auditeur mandaté peuvent effectuer un audit moyennant le respect d’un préavis de quinze (15) jours ouvrés suivant notification écrite et dans la limite d’un audit maximum par an. Au cours de cet audit, le Sous-Traitant s’engage à mettre à la disposition du Responsable du Traitement les informations nécessaires pour démontrer le respect des obligations convenues dans ce présent ATD. Le Responsable du Traitement ne doit pas avoir accès aux systèmes, données, enregistrements ou autres informations relatives aux autres clients du Sous-Traitant. Tout audit préconisé selon cette présente section par le Responsable du Traitement est réalisé à ses propres frais. Le Responsable du Traitement devra fournir au Sous-Traitant une copie du rapport d’audit.

Tout auditeur mandaté par le Responsable du Traitement ne doit pas être un concurrent direct du Sous-Traitant et doit être tenu à une obligation de confidentialité.

6. Droits des Personnes Concernées

Le Sous-Traitant devra fournir une assistance pour permettre au Responsable du Traitement de répondre à n’importe quelle demande de toute personne exerçant son droit en vertu de l’application de la Législation sur la Protection des Données, y compris le droit d’accéder, de corriger ou de récupérer les Données Personnelles, une demande ou une plainte par toute personne ou autorité de régulation en lien avec le traitement des Données Personnelles.

Le Sous-Traitant prendra en considération la nature du traitement, les informations dont il dispose, les capacités et coûts de mise en œuvre pour l’accomplissement de l’obligation du Responsable du Traitement de répondre aux Personnes Concernées.

Si de telles demandes, correspondances, demandes de renseignements ou plaintes sont adressées directement à LumApps, LumApps informera rapidement le Responsable du Traitement et conseillera les Personnes Concernées de soumettre leurs demandes au Responsable du Traitement, lequel est seul responsable des réponses substantielles apportées à de telles demandes ou communications.

Le Responsable du Traitement doit :

(a) Garantir au Sous-Traitant qu’il a le droit et qu’il a obtenu tous les consentements nécessaires pour utiliser et communiquer de telles Données Personnelles au Sous-Traitant et aux Sous-Traitants Externes agréés pour fournir le Service, en conformité avec la Législation sur la Protection des Données applicable, telles que l’information préalable et/ou le recueil du consentement des Personnes Concernées lorsque ces exigences sont requises par la Législation sur la Protection des Données.

(b) Être seul responsable de l’exactitude, de la qualité et de la légalité des Données Personnelles communiquées au Sous-Traitant et des moyens par lesquels lesdites données ont été recueillies, et pour les fins déterminées et les moyens dont LumApps traite les Données Personnelles.

(c) Rester responsable de l’exhaustivité, de l’approbation et de l’exactitude des instructions documentées.

Tout changement aux instructions données ou aux mesures de sécurité requises par le Responsable du Traitement doivent être supportés par ce dernier.

7. Droit applicable

Cet ATD est régi par les lois désignées comme compétentes dans le Contrat.

8. Durée

Cet ATD restera en vigueur aussi longtemps que le Sous-Traitant traite les Données Personnelles au nom du Responsable du Traitement en vertu du Contrat.

Responsable du Traitement

Nom : _________________

Titre : _____________________

Date : _______________________

Sous-Traitant

Nom : Sébastien RICARD

Titre : CEO

Pages légales LumApps