AVENANT RELATIF AU TRAITEMENT DES DONNÉES

Le présent avenant relatif au traitement des données (le « DPA ») est joint à l'accord (le « Contrat-cadre ») conclu entre le Client (tel qu'identifié sur le Bon de commande), y compris toutes les sociétés affiliées, le cas échéant, et le Prestataire de services qui traite les Données à caractère personnel pour le compte du Client conformément au Contrat-cadre (tel qu'identifié sur le Bon de commande) et en fait partie intégrante.

Sauf indication contraire, les dispositions du présent DPA s'appliquent à tous les traitements de données à caractère personnel en rapport avec les services fournis dans le cadre de l'accord-cadre.

1. Objet

Le présent avenant au traitement des données (« avenant ») a pour objet de définir les dispositions en vertu desquelles Voxco s'engage à effectuer, pour le compte du Client, les opérations de traitement des données qui sont décrites ci-après. Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation applicable en matière de traitement des données à caractère personnel et notamment le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 qui est applicable à compter du 25 mai 2018 (ci-après « le Règlement général sur la protection des données »).Le présent Avenant modifie et complète l'Accord et tout contrat/termes de service/bordereau d'achat existant ou tout autre document liant les deux parties. Les dispositions du présent addenda sont soumises aux dispositions de l'accord, étant entendu qu'en cas de conflit, les dispositions du présent addenda prévalent. L'addenda est soumis aux limitations de responsabilité, et en particulier au plafond de responsabilité globale, de l'accord.

2. Durée du contrat

L'addenda, à l'exception de toute modification convenue par les deux parties, s'applique pour la durée ou tout laps de temps liant le client et Voxco dans une relation de type contrôleur à sous-traitant, ou sous-traitant à sous-traitant, ou telle que décrite à la section 11 (« Transferts internationaux de données à caractère personnel »).

3. Description du traitement sous-traité

Voxco est autorisé à fournir au Client les produits et services suivants, selon les besoins/applications décrits dans l'Accord ou tout autre contrat entre les parties, dont certains font l'objet d'un contrat de maintenance applicable externe au présent Addendum :

• Une licence d'utilisation pour le logiciel et tout autre composant du système (le « logiciel ») développé et maintenu par Voxco en vertu de l'accord ou d'autres conditions entre les parties.
  
• Accès aux serveurs fournis par Voxco, sur lesquels Voxco héberge le logiciel ; et accès au logiciel qui est utilisé pour la collecte et le traitement des données selon les instructions de programmation et d'exécution fournies par le client à travers sa configuration du logiciel.
  
• L'assistance en ligne aux employés du client, ainsi que l'assistance fournie directement par le personnel de Voxco, y compris la formation, et tout autre service.
  
• Les services de maintenance et les opérations menées par Voxco.
  
• Pour les besoins de cette maintenance et des projets de collecte de données du client, l'analyse des journaux d'événements informatiques et des données collectées, le cas échéant, par le personnel de Voxco, qui est soumis à des accords contractuels écrits de confidentialité avec Voxco. L'accès du client aux données collectées et stockées sur les serveurs fournis par Voxco, le cas échéant, afin de télécharger ces données vers et depuis l'équipement informatique du client à des fins d'analyse ou autres.
  
• Si le client fournit les serveurs hébergeant le logiciel de Voxco, que ces serveurs soient situés dans les locaux du client ou dans les locaux d'un tiers lié contractuellement au client, et/ou un logiciel tiers en relation avec le logiciel de Voxco, l'accès aux serveurs et/ou au logiciel tiers et leur traitement relèvent de la responsabilité du client. Voxco s'engage, sur demande, à installer le logiciel et à s'assurer qu'il fonctionne conformément aux spécifications, ledit logiciel étant utilisé par le client pour la collecte et le traitement des données conformément aux instructions de programmation et d'exécution fournies par le client dans le cadre de sa configuration du logiciel.
  
• Pour les clients sur site, sur demande, la configuration, par Voxco, du logiciel afin que les données soient collectées et stockées conformément aux instructions du client sur des serveurs auxquels le client a accès.
  

4. Obligations du sous-traitant

En tant que sous-traitant, Voxco s'engage à l'égard du Client à :

• traiter les données uniquement pour la ou les finalité(s) faisant l'objet des conditions de sous-traitance établies avec le responsable du traitement ;
  
• ne traiter les données que conformément aux instructions documentées du Client. Lorsque Voxco considère qu'une instruction enfreint le Règlement général sur la protection des données ou toute autre disposition légale de l'Union ou des États membres relative à la protection des données, elle en informe immédiatement le responsable du traitement ;
  
• prendre des mesures pour assurer la confidentialité des données à caractère personnel traitées dans le cadre des présentes ; et
  
• s'assurer que les personnes autorisées à traiter les données à caractère personnel dans le cadre de la présente instruction se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité, et reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
  

5. Sous-traitance par Voxco

Voxco peut faire appel à des sous-traitants tiers (ci-après dénommés « sous-traitant(s) ») pour des activités et des objectifs de traitement spécifiques. Voxco n'engagera des sous-traitants que si (i) elle détermine qu'ils sont capables de fournir le niveau de protection requis par les lois applicables en matière de protection des données ; (ii) l'accord est régi par un contrat écrit offrant un niveau de protection substantiellement similaire à celui du présent addendum ; et (iii) lorsque le sous-traitant ne remplit pas ses obligations en vertu du GDPR, Voxco reste responsable envers le client de l'exécution de ces obligations, comme l'exige le GDPR. Voxco informera ses clients de tout changement prévu concernant les sous-traitants utilisés par Voxco, en donnant aux clients la possibilité d'examiner et de s'opposer à un tel changement.

Si le client s'oppose à tout nouveau sous-traitant dans le délai applicable, les deux parties discuteront de résolutions raisonnables (telles que des mesures de protection des données plus strictes) ou d'alternatives de bonne foi (y compris des sous-traitants alternatifs ou non).

Au 25 janvier 2021, les sous-traitants potentiels suivants, utilisés par Voxco, sont susceptibles de traiter les données personnelles des clients :

SendGrid - Livraison de courrier électronique en Amérique du Nord

Mailjet - Livraison de courrier électronique en Europe

Twilio - Livraison de messages texte Amérique du Nord

Salesforce-Suivi des tickets d'assistance au niveau mondial

Dimension Data - Fournisseur d'applications et d'hébergement de données Australie

Rapidscale - Fournisseur d'applications et d'hébergement de données aux États-Unis

Microsoft Azure - Fournisseur d'applications et d'hébergement de données Europe

IBM - Fournisseur d'applications et d'hébergement de données Canada

6. Droits à l'information des personnes concernées

Il incombe au Client de fournir les informations pertinentes aux personnes qui font l'objet de l'activité de traitement (c'est-à-dire appelées personnes concernées en vertu du GDPR) au moment où leurs données sont collectées.

7. exercice des droits des personnes concernées

Dans la mesure du possible, Voxco aidera le client à remplir son obligation de répondre lorsque les personnes concernées souhaitent exercer leurs droits en vertu du GDPR : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).Dans la plupart des cas, Voxco fournit une plateforme en libre-service qui permet au client d'obtenir et/ou de modifier de manière indépendante les informations dont il a besoin pour honorer les droits des répondants. Lorsque les personnes concernées soumettent des demandes directement à Voxco pour exercer leurs droits, nous les transmettrons sans retard injustifié au Client concerné ou demanderons au répondant de contacter directement le Client (si nous ne pouvons pas déterminer à quelle enquête le répondant a participé).Dans la mesure du possible, Voxco transmettra ces demandes par e-mail à la personne responsable du traitement chez le Client ou à son délégué à la protection des données, le cas échéant

8. Notification des violations de données à caractère personnel

Voxco notifiera au client, s'il est concerné, toute violation de données à caractère personnel au plus tard 48 heures après avoir pris connaissance d'une violation de données à caractère personnel. La notification sera envoyée par courrier électronique au contact du client, à la personne responsable du traitement des données chez le client ou à son délégué à la protection des données, le cas échéant.

9. évaluation d'impact et consultation

En tant que sous-traitant, Voxco fournira une assistance, dans la mesure du possible, au client dans la réalisation d'analyses d'impact sur la protection des données ou à des fins de consultation devant l'autorité de contrôle. Ces services sont fournis aux frais du client.

10. mesures de sécurité de Voxco

Voxco s'engage à mettre en œuvre les mesures de sécurité suivantes :

• la mise en place d'un programme de formation pour ses développeurs destiné à leur fournir les compétences critiques nécessaires pour développer des applications sécurisées, identifier et traiter les vulnérabilités potentielles ;
  
• des mesures destinées à protéger la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement, y compris la confidentialité et la sécurité des données à caractère personnel ;
  
• la conception du système permettant à Voxco de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique de Voxco ; et
  
• la mise en œuvre d'un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir raisonnablement la sécurité du traitement.

11. transferts internationaux de données à caractère personnel

Dans la mesure où des données à caractère personnel sont transférées au Client en dehors d'un pays ayant fait l'objet d'une décision d'adéquation dans des circonstances où ce transfert serait interdit par une loi applicable en matière de protection des données en raison de l'absence d'un mécanisme de transfert, les parties conviennent que les dispositions du Module 1 (contrôleur à contrôleur) et du Module 4 (sous-traitant à contrôleur) des Clauses contractuelles types sont incorporées par référence dans le présent Addenda et s'appliquent en cas de transfert (y compris de divulgation) de données à caractère personnel au Client dans de telles circonstances. L'accord des parties au présent avenant sera réputé avoir signé les clauses contractuelles types pour les transferts internationaux de données à caractère personnel vers des pays tiers énoncées dans la décision 2021/914 de la Commission européenne du 4 juin 2021 (à l'adresse http://data.europa.eu/eli/dec_impl/2021/914/oj) et leurs annexes (« Clauses contractuelles types »).Si les Clauses contractuelles types sont applicables, les parties conviennent que :

• dans le cadre des services, lorsque Voxco est un sous-traitant et que le client est un contrôleur, les divulgations de données à caractère personnel de Voxco au client sont soumises aux dispositions du module 4 (sous-traitant au contrôleur) des clauses contractuelles types, ce qui signifie que Voxco agit en tant qu'exportateur de données et que le client agit en tant qu'importateur de données.
  
• dans le cas où Voxco et le client agissent tous deux en tant que contrôleurs distincts et indépendants, les échanges de données personnelles entre les parties sont soumis aux dispositions du module 1 (contrôleur à contrôleur) des clauses contractuelles types, Voxco agissant en tant qu'exportateur de données et le client en tant qu'importateur de données.
  
• Conformément aux clauses 17 (Droit applicable) et 18 (Choix du forum et de la juridiction), tout litige découlant des Clauses contractuelles types sera résolu conformément aux lois françaises à Paris, France.
  
• Les détails requis en vertu des annexes des clauses contractuelles types sont fournis ci-dessous à l'annexe 2.
  

Lorsque les parties s'appuient sur une décision d'adéquation comme garantie de transfert de données, si la décision d'adéquation est modifiée ou retirée entraînant l'impossibilité de s'en prévaloir, le transfert des données à caractère personnel entre les parties sera effectué conformément aux Clauses Contractuelles Types approuvées par la Commission européenne, y compris l'application de toute autre modalité nécessaire.

12. Responsabilités du client

Le Client est responsable de toutes les actions que son personnel effectue en utilisant les applications logicielles et les systèmes de Voxco. En particulier, le client est responsable de ce qui suit, sans toutefois s'y limiter :

• L'information et la communication avec les personnes concernées qui fournissent leurs données personnelles et, par conséquent, la fourniture à ces personnes d'informations sur la manière dont leurs données seront traitées.
  
• Répondre, le cas échéant, aux demandes des personnes concernées qui souhaitent avoir accès aux données stockées les concernant, rectifier ou détruire ces données, ou demander à bénéficier de tout autre droit que leur confère le GDPR. À cet égard, les applications de Voxco contiennent des fonctionnalités qui permettent au client de répondre aux demandes des personnes concernées. À la demande et aux frais du Client, Voxco peut fournir une assistance technique supplémentaire pour permettre au Client de se conformer à ses obligations en vertu du GDPR.
  
• Les droits d'accès accordés aux employés du Client pour utiliser le logiciel fourni par Voxco, et pour l'usage que ces employés peuvent faire des données auxquelles ils ont accès.
  
• L'information de Voxco de toute anomalie ou faille dans tout aspect du logiciel ou des bases de données qu'il pourrait détecter et qui pourrait mettre en danger la confidentialité et la sécurité des données personnelles des personnes concernées.
  
• Limiter le traitement des données personnelles aux stricts besoins des finalités pour lesquelles ces données personnelles ont été collectées, stockées et traitées d'une autre manière.
  
• L'exactitude, la qualité et la légalité des données à caractère personnel.
  
• Les moyens par lesquels les données à caractère personnel ont été acquises.
  
• la garantie que les services sont adaptés au client et à ses données personnelles, et que le traitement est licite au regard des lois applicables en matière de protection des données
  
• s'assurer que tout consentement requis d'une personne concernée est obtenu
  
• mettre en place et maintenir les garanties et politiques applicables en matière de sécurité de l'information pour protéger les données à caractère personnel dans les installations et les centres de données du client.
  

13. restitution ou suppression des données du client

A l'issue des services liés au traitement des données du Client, Voxco s'engage à fournir au Client l'assistance technique nécessaire pour que le Client puisse, le cas échéant, retransférer les données stockées sur les serveurs de Voxco vers ses propres serveurs. En cas de résiliation du contrat entre les deux parties, les données du Client qui n'ont pas été préalablement supprimées et qui demeurent sur les serveurs de Voxco peuvent être détruites dans un délai de 30 jours à compter de la résiliation du contrat.

14. contact de Voxco pour la protection de la vie privée

Les questions ou avis concernant la protection des données peuvent également être adressés à Voxco par courrier électronique à l'adresse suivante : privacy@voxco.com.

15. CCPA

Lorsque le client est une « entreprise » telle que définie et couverte par la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq, tel qu'amendé (« CCPA»), ou un fournisseur de services à une telle entreprise, la section suivante s'applique : Voxco est un prestataire de services pour le client en vertu de la CCPA. Voxco s'engage à ne pas (ii) conserver, utiliser ou divulguer des données personnelles dans un but autre que celui de fournir les services spécifiés dans l'accord, y compris conserver, utiliser ou divulguer des données personnelles dans un but commercial autre que celui de fournir les services spécifiés dans l'accord ; (iii) conserver, utiliser ou divulguer les données personnelles en dehors de la relation commerciale directe entre Voxco et le client ; ou (iv) combiner les données personnelles du client avec les données personnelles que Voxco reçoit d'un autre client, ou qu'elle recueille à partir de ses propres interactions avec une personne. Voxco reconnaît et accepte de comprendre les exigences de la CCPA pour les fournisseurs de services et s'y conformera le cas échéant. Voxco se conformera à toutes les sections applicables de la CCPA, y compris en fournissant le même niveau de protection de la vie privée que celui exigé des entreprises. Voxco informera le client s'il détermine qu'il ne peut plus se conformer à ses obligations en vertu de la CCPA. Le client ne peut pas demander plus d'une fois par an à Voxco de certifier le respect de ses obligations en matière de protection des données en vertu de la présente section, et si Voxco ne certifie pas le respect, le client peut prendre des mesures raisonnables et appropriées pour remédier à toute utilisation non autorisée de données personnelles et/ou suspendre l'accès de Voxco aux données personnelles.

16.Documentation

Voxco fournit au Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre au Client ou à tout autre auditeur qu'il a autorisé de mener des audits, y compris des inspections, et de contribuer raisonnablement à de tels audits. Ces audits doivent faire l'objet d'un préavis écrit raisonnable, ne doivent pas avoir lieu plus d'une fois par année civile et doivent être effectués aux frais du client.

17.Mises à jour / Modification de la loi

Aucune altération, amendement ou modification du présent addendum ne sera valable à moins d'être faite par écrit et signée par un représentant autorisé des deux parties. Nonobstant ce qui précède, Voxco peut, sous réserve d'un préavis écrit de trente (30) jours au client, apporter toute modification raisonnable au présent addenda nécessaire pour répondre aux exigences de toute loi applicable en matière de protection des données, à condition que le client ait la possibilité de s'opposer à la modification.

18.1 Pas de tiers bénéficiaires.

Rien d'exprimé ou d'implicite dans le présent addendum n'est destiné à conférer, ni ne doit conférer, à toute personne autre que les parties et leurs successeurs ou ayants droit respectifs, des droits, des recours, des obligations ou des responsabilités de quelque nature que ce soit.

‍SCHEDULE1

‍Détails du traitement des données

‍Aux fins de l'addendum et de l'annexe 2, les parties décrivent ci-dessous les données à caractère personnel traitées dans le cadre de l'accord.

‍Objetdu traitement-La fourniture des Services par le Vendeur à Notre société.

‍Natureet finalité du traitement -La collecte et le stockage de données à caractère personnel dans le cadre de la fourniture des services à Notre société.

‍Typesde données à caractère personnel-Les données à caractère personnel que la Société, à sa discrétion, fournit pour les Services ou que le Vendeur est chargé de collecter.

‍Données personnelles sensibles et restrictions appliquées -Données personnelles sensibles que la Société, à sa discrétion, fournit pour les Services ou que le Vendeur est chargé de collecter.

‍Catégoriesde personnes concernées-Les personnes concernées peuvent inclure toutes les personnes (y compris, sans s'y limiter, les employés, les clients ou les fournisseurs) au sujet desquelles des données personnelles sont fournies au Vendeur pour les Services par, ou sur instruction de, la Société.

‍Duréedu traitement -Pendant la durée de l'Accord ou jusqu'à ce que le traitement ne soit plus nécessaire aux fins poursuivies.

‍Listedes sous-traitants secondaires -Voir la section 5 de l'addendum.

‍SCHEDULE2

‍Clauses contractuelles types

1. Aux fins de la présente annexe 2, les clauses contractuelles types (module I et module IV, selon le cas), disponibles à l'adresse https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN, sont incorporées par référence à la présente annexe et au présent addendum et sont considérées comme en faisant partie intégrante, et les signatures des parties dans l'addendum sont considérées comme la signature des parties aux clauses contractuelles types. En cas de contradiction entre l'addenda et les clauses contractuelles types, ces dernières prévaudront.
   

1. Aux fins des clauses contractuelles types, les dispositions suivantes s'appliquent :
   

• Voxco est l'exportateur de données et le client est l'importateur de données. Chaque partie accepte d'être liée par les obligations qui lui incombent en tant qu'exportateur et importateur respectivement, telles qu'elles sont énoncées dans les clauses contractuelles types, et de s'y conformer.
  
• La clause 7 (clause de déstockage) est réputée incluse.
  
• Clause 11 (recours) : la clause facultative (mécanisme de recours facultatif devant un organisme indépendant de règlement des litiges) est réputée ne pas être incluse.
  
• Clause 13 (a) (Supervision) :
  
• [Lorsque Voxco est établi dans un État membre de l'UE:] L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
  
• Clause 17 (Droit applicable) :
  

Les présentes Clauses sont régies par le droit de l'un des États membres de l'UE, à condition que ce droit autorise les droits des tiers bénéficiaires. Les parties conviennent que le droit français sera applicable.

• Clause 18 (b) (Choix du for et de la juridiction) : Les parties conviennent que tout litige entre elles découlant des clauses contractuelles types sera réglé par les tribunaux de Paris, France.
  

ANNEXE I de l'annexe 2

1. LISTE DES PARTIES
   

Exportateur(s) de données : Nom : Voxco, tel que spécifié dans l'AccordAdresse : Nom, fonction et coordonnées de la personne de contact : Comme spécifié dans l'Accord ou disponible dans la Politique de confidentialitéActivités pertinentes pour les données transférées en vertu de ces Clauses : l'exportateur de données transférera les données personnelles à l'importateur de données comme requis pour la fourniture de services par l'importateur de données en vertu de l'Accord et comme indiqué dans le RGPD.Signature et date : veuillez vous référer à la signature et à la date dans l'Accord.Rôle (responsable du traitement/traitement) : Responsable du traitement ou sous-traitant, selon le casImportateur(s) de données:Nom : Client tel que spécifié dans l'accordAdresse : Nom, fonction et coordonnées de la personne de contact : Activités pertinentes pour les données transférées en vertu des présentes clauses : l'importateur de données traitera les données à caractère personnel comme requis pour la fourniture de services en vertu de l'accord et comme indiqué dans l'accord.Signature et date : signature et date dans l'accordRôle (responsable du traitement/traitement) : Responsable du traitement ou sous-traitant, selon le cas

1. DESCRIPTION DU TRANSFERT
   

Catégories de personnes concernées dont les données à caractère personnel sont transférées
Voir l'annexe 1 de l'avenant

‍Catégories dedonnées à caractère personnel transférées
Voir l'annexe 1 de l'addendum

‍Données sensiblestransférées (le cas échéant) et restrictions ou garanties appliquées
Voir l'annexe 1 de l'addendum

‍Fréquencedu transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
Les transferts auront lieu de temps à autre, selon les besoins, au cours de l'exécution des services prévus par l'accord.

‍Naturedu traitement
Voir l'annexe 1 de l'avenant

‍Finalité(s) du transfert et du traitement ultérieur des données
Voir l'annexe 1 de l'addendum

‍Ladurée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée
Voir l'annexe 1 de l'addendum

‍Pour lestransferts aux (sous-)traitants, préciser également l'objet, la nature et la durée du traitement.
Voir l'annexe 1 de l'addendum

1. AUTORITÉ DE CONTRÔLE COMPÉTENTE
   Identifier la ou les autorités de contrôle compétentes conformément à la clause 13.
   

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES
Mesures équivalentes à celles prévues à la clause 10 de l'addendum

‍ANNEXIII - LISTE DES SOUS-TRAITANTS ULTÉRIEURS
Voir l'annexe 1 de l'addendum