Addendum sur le traitement des données

COMMENT EXÉCUTER CE DPA :

Pour remplir ce DPA, veuillez envoyer un e-mail légal @digital.ai. Dès réception d'un DPA dûment complété par Digital.ai, cet ATD deviendra juridiquement contraignant.

Une version pdf du DPA peut être téléchargée ici pour l'avis client.

 

Addendum sur le traitement des données

Cet addendum sur la protection des données ("DPA") fait partie de l'accord (défini ci-dessous) entre Digital.ai et Client pour Digital.ai pour fournir des Services au Client. Sauf définition contraire dans les présentes, tous les termes en majuscules ont le sens qui leur est donné dans l'Accord applicable.

Digital.ai peut, dans le cadre de la fourniture des Services au Client conformément au Contrat, Traiter les Données personnelles du Client soumises au Règlement général sur la protection des données de l'Union européenne, Règlement (UE) 2016/679 ("RGPD UE”) et le RGPD de l'UE, car il fait partie du droit britannique en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) (“RGPD britannique”) (collectivement, le “RGPD”) ou d'autres lois sur la protection des données. Le présent DPA définit les obligations des parties en ce qui concerne le traitement des données personnelles conformément à l'accord.

En considération des obligations mutuelles énoncées aux présentes, les parties conviennent de se conformer aux dispositions suivantes, chacune agissant raisonnablement et de bonne foi.

 

1. DÉFINITIONS

 

"Affiliés" désigne toute personne ou entité qui détient, contrôle ou est contrôlée directement ou indirectement par une partie, ou est sous contrôle commun avec une partie, où le contrôle est défini comme détenant ou dirigeant plus de 50 % des titres de participation avec droit de vote ou une participation similaire dans l'entité contrôlée.

 

"contrat» désigne tous les accords actuels et futurs entre Digital.ai et Client en relation avec laquelle Digital.ai fournit des services impliquant le traitement de données personnelles pour le compte du client, tels qu'un contrat-cadre d'abonnement ("mondiale”) et toutes les Commandes applicables aux Services. Le présent ATD est intégré à ce(s) Contrat(s) par cette référence.

 

" » désigne l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données Personnelles.

 

"Lois sur la protection des données" désigne toutes les lois sur la protection des données applicables à la protection des droits et libertés fondamentaux des personnes et de leur droit à la vie privée en ce qui concerne le traitement des données personnelles en vertu de l'accord, y compris les lois et réglementations locales, étatiques, nationales et/ou étrangères, le RGPD et mises en œuvre du RGPD dans la législation nationale, telles que modifiées, remplacées ou remplacées de temps à autre.

 

"Les données Personnelles" désigne toute donnée client (telle que définie dans le contrat) qui se rapporte à une personne physique identifiée ou identifiable ("Personne concernée”), qui est protégé par la loi sur la protection des données.

 

"Violation des données personnelles" désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles transmises, stockées ou autrement traitées, et pour laquelle un responsable du traitement est tenu, en vertu de la loi sur la protection des données, de fournir un avis à les autorités compétentes en matière de protection des données ou les personnes concernées.

 

"En cours» désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

 

"Processeur" désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement.

 

"Services" désigne la fourniture de services de maintenance et d'assistance et/ou la fourniture de logiciels en tant que service ("SaaS") et/ou tout autre service, hébergé, géré ou autre, qui sont fournis dans le cadre du Contrat et aux fins desquels Digital.ai Traite les données personnelles au nom du client.

 

"Clauses contractuelles types » signifie (i) lorsque le RGPD de l'UE s'applique, les clauses annexées à la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 pour le transfert de données personnelles vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, tel que publié officiellement à https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ( "CSC 2021”); et (ii) lorsque le RGPD du Royaume-Uni s'applique, les clauses standard de protection des données adoptées ou autorisées en vertu de l'article 46 du RGPD du Royaume-Uni, telles que publiées officiellement sur https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ( "CSC 2010»).

 

"Sous-processeur»Désigne un Digital.ai Affilié ou tiers engagé par Digital.ai en relation avec les Services et qui traite les données personnelles conformément au présent ATD.

 

"Autorité de surveillance» désigne une autorité publique indépendante établie en vertu des lois applicables sur la protection des données.

 

2. TRAITEMENT DES DONNÉES PERSONNELLES

 

2.1. Rôle des Parties. Cet ATD s'applique au traitement des données personnelles par Digital.ai et ses Sous-traitants ultérieurs dans le cadre de sa fourniture des Services. Aux fins du présent DPA, Digital.ai est le sous-traitant et le client est le contrôleur.

 

2.2. Portée du traitement. L'objet et la durée du traitement des données personnelles sont définis dans le contrat, qui décrit la fourniture des services au client. La nature et les finalités du Traitement pour lequel les Données personnelles sont traitées pour le compte du Client, les types de Données personnelles et les catégories de Personnes concernées sont définis dans Annexe 1 à ce DPA.

 

2.3. Instructions. Digital.ai ne traitera les données personnelles qu'au nom et conformément aux instructions documentées du client. L'Accord (y compris le présent DPA) constitue ces instructions initiales documentées pour traiter les données personnelles du client et chaque utilisation des services constitue alors des instructions supplémentaires. Digital.ai déploiera des efforts raisonnables pour se conformer aux autres instructions raisonnables du Client, à condition qu'elles soient conformes aux conditions des Contrats, requises par la Loi sur la protection des données et techniquement réalisables. Digital.ai informera le Client s'il ne peut pas se conformer à une instruction ou dans Digital.aiDe l'avis de , toute instruction du client enfreint les lois applicables en matière de protection des données.

 

2.4. En accord avec les lois. Les parties conviennent de se conformer à toutes les lois applicables en matière de protection des données, comme détaillé ci-dessous :

 

2.4.1. Digital.ai doit se conformer à toutes les lois sur la protection des données applicables à Digital.ai dans son rôle de sous-traitant en ce qui concerne les données personnelles. Lors de la fourniture des Services, Digital.ai traitera les données personnelles conformément aux instructions documentées du client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale (comme décrit à la section 7). Digital.ai peut également traiter les données personnelles lorsque cela est requis par les lois applicables sur la protection des données, auquel cas Digital.ai informera le Client de cette exigence légale avant le Traitement, à moins que la loi n'interdise une telle notification pour des motifs d'intérêt public importants.

 

2.4.2. Le client doit se conformer à toutes les lois sur la protection des données applicables au client dans son rôle de contrôleur et doit obtenir tous les consentements nécessaires et fournir toutes les notifications nécessaires aux personnes concernées pour permettre Digital.ai pour effectuer légalement le traitement prévu par le présent DPA. Le Client est responsable de l'exactitude et de la qualité des Données personnelles, et des moyens par lesquels le Client a acquis les Données personnelles.

 

3. DROITS DES PERSONNES CONCERNÉES

 

3.1. Demandes des personnes concernées. Digital.ai sera, d'une manière compatible avec la fonctionnalité des Services et Digital.aien tant que sous-traitant, fournir une assistance raisonnable au client pour permettre au client de répondre aux demandes de la personne concernée d'exercer ses droits en vertu des lois applicables sur la protection des données ("Demandes de la personne concernée»).

 

3.2. Répondre aux demandes des personnes concernées. Le client est responsable de répondre aux demandes des personnes concernées. Si Digital.ai reçoit une demande de personne concernée ou une autre plainte d'une personne concernée concernant le traitement des données personnelles, Digital.ai dans la mesure autorisée par la loi, informera rapidement le Client, à condition que la Personne concernée ait fourni suffisamment d'informations pour identifier le Client. Sauf si requis par la loi applicable, Digital.ai ne répondra pas à une telle demande de personne concernée sans l'autorisation ou les instructions écrites préalables du client, sauf pour confirmer que cette demande concerne le client.

 

4. CONSERVATION ET SUPPRESSION DES DONNEES PERSONNELLES

 

4.1. Conservation des données personnelles. À la résiliation de l'Accord des parties et/ou après la fin de la fourniture des Services auxquels s'applique le présent ATD, Digital.ai supprimera ou restituera toutes les données personnelles du client conformément aux lois sur la protection des données et/ou conformément aux termes de l'accord dès que raisonnablement possible, à moins que la loi applicable n'exige un stockage supplémentaire.

 

5. SECURITE DU TRAITEMENT

 

5.1. Mesures de sécurité. Digital.ai mettra en œuvre et maintiendra les mesures techniques et organisationnelles appropriées, comme spécifié dans L'annexe II à cet ATD, pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles conformément aux lois applicables sur la protection des données. Le Client est responsable de déterminer de manière indépendante si les mesures techniques et organisationnelles pour les Services répondent aux exigences du Client, y compris l'une de ses obligations de sécurité en vertu des Lois sur la protection des données applicables.

 

5.2. Personnel. Pour traiter les données personnelles, Digital.ai et ses Sous-traitants ultérieurs n'accorderont l'accès qu'au personnel autorisé qui s'est engagé à respecter des exigences de confidentialité au moins aussi protectrices que celles du présent ATD ou de l'Accord. Ce personnel sera tenu de traiter les données personnelles conformément aux instructions du client telles qu'énoncées dans le contrat et uniquement dans la mesure nécessaire à l'exécution des services.

 

6. SOUS-TRAITANTS

 

6.1. Utilisation de sous-traitants ultérieurs. Le client autorise Digital.ai engager des sous-traitants ultérieurs conformément au présent DPA, à condition que Digital.ai doit conclure un accord écrit avec ces sous-traitants ultérieurs qui est conforme aux termes des présentes. Digital.ai sera responsable des actes et omissions de tout sous-traitant ultérieur dans la même mesure que s'ils étaient commis par Digital.ai.

 

6.2. Liste des sous-traitants. La liste des sous-traitants utilisés par Digital.ai pour fournir les Services, à compter de la date d'entrée en vigueur du présent DPA est joint en annexe III et est publié à : https://info.digital.ai/rs/981-LQX-968/images/Digital.ai-Data-Protection-FAQ-2021.pdf  ( "Liste des sous-traitants»). Digital.ai informera le Client de tout ajout ou remplacement prévu à la liste des sous-traitants ultérieurs en mettant à jour la liste publiée des sous-traitants ultérieurs au moins trente (30) jours avant d'autoriser tout nouveau sous-traitant ultérieur à traiter des données personnelles.

 

6.3. Droits d'opposition. La présente section 6.3 s'applique dans la mesure où le client est établi dans l'Espace économique européen ("EEE"), Le Royaume-Uni ("UK”) et/ou la Suisse ou lorsque cela est autrement requis par les lois sur la protection des données applicables au client. Dans ce cas, si le Client s'oppose pour des motifs raisonnables liés à la protection des données à Digital.ail'utilisation d'un nouveau Sous-traitant ultérieur par le Client, le Client devra rapidement, et dans les quinze (15) jours suivant Digital.aide la notification conformément à la section 6.2 ci-dessus, fournir Digital.ai avec notification écrite de cette objection. En cas d'une telle opposition, Digital.ai prendra des mesures commercialement raisonnables pour répondre aux objections soulevées par le Client et fournira au Client une explication écrite raisonnable des mesures prises pour répondre à cette objection.

 

7. TRANSFERTS DE DONNÉES

 

7.1. Transferts. Le client autorise Digital.ai et ses sous-traitants ultérieurs pour traiter les données personnelles dans le but de fournir les services, ce traitement pouvant inclure la réalisation des transferts nécessaires de données personnelles, conformément aux conditions du présent ATD.

 

7.2. Transferts restreints. Tous les transferts de données personnelles en vertu du présent ATD hors de l'EEE, du Royaume-Uni et/ou de la Suisse vers des pays qui n'assurent pas un niveau adéquat de protection des données au sens des lois sur la protection des données des territoires susmentionnés ("Pays restreints”) sont régies par les clauses contractuelles types pertinentes, qui sont incorporées dans le présent DPA. Le transfert safeles gardes, comme indiqué dans la présente section 7, s'appliquent à : (i) lorsque le RGPD de l'UE s'applique, un transfert de données personnelles de l'EEE ou de la Suisse vers un pays restreint ; et (ii) lorsque le RGPD du Royaume-Uni s'applique, un transfert de données personnelles du Royaume-Uni vers un pays restreint ; ("Transferts restreints»).

 

7.3. SCC du contrôleur au sous-traitant : les clauses contractuelles types s'appliqueront à tous les transferts restreints de données personnelles du client (en tant qu'"exportateur de données") à Digital.ai (en tant qu'"importateur de données"), comme suit :

 

7.3.1. Données personnelles de l'UE. En ce qui concerne les données personnelles protégées par le RGPD de l'UE, les CCAP 2021 s'appliqueront comme suit : (i) le module deux (du responsable du traitement au sous-traitant) s'appliquera et les modules un, trois et quatre seront supprimés dans leur intégralité ; (ii) La clause 7 sera supprimée dans son intégralité et les parties pourront ajouter des entités supplémentaires au présent ATD en concluant un ATD supplémentaire (tel que mis à disposition ici; (iii) dans la Clause 9, l'Option 2 s'applique, comme détaillé dans la Section 6 du présent ATD ; (v) à la Clause 17, l'Option 1 s'appliquera et les SCC 2021 seront régies par le droit néerlandais ; (vi) dans la Clause 18(b), les litiges seront réglés devant les tribunaux des Pays-Bas ; et (vii) l'annexe I et l'annexe II des CCP 2021 doivent être renseignées avec les informations énoncées dans les annexes I et II jointes au présent DPA.

 

7.3.2. Données personnelles suisses. Aux fins des CPC 2021, le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c). Jusqu'au 31 décembre 2022, et pour toute période plus longue requise par le droit suisse applicable, les CCP 2021 protégeront également les données des personnes morales dans le champ d'application de la loi fédérale sur la protection des données du 19 juin 1992 (RS 235.1 ; "LPD" ).

 

7.3.3. Données personnelles au Royaume-Uni. En ce qui concerne les données personnelles protégées par le RGPD du Royaume-Uni, les SCC de 2010 s'appliqueront en ce qui concerne les transferts ou les données personnelles depuis le Royaume-Uni. Toutes les modifications, mises à jour ou versions modifiées futures des SCC 2010 introduites par l'autorité britannique de protection des données dans le but de se conformer aux dispositions de transfert international de données de la loi britannique sur la protection des données 2018 seront incorporées et feront partie de l'accord. entre le client et Digital.ai. Les appendices 1 et 2 des CCP 2010 doivent contenir les informations énoncées dans les annexes I et II jointes au présent DPA.

 

7.4. Précisions. Il n'est pas dans l'intention de l'une ou l'autre des parties, ni l'effet du présent DPA, de contredire ou de restreindre l'une quelconque des dispositions énoncées dans les clauses contractuelles types. En aucun cas, le présent ATD ne restreint ou ne limite les droits d'une personne concernée ou d'une autorité de contrôle compétente. Rien dans le présent ATD ne doit être interprété comme prévalant sur toute clause contradictoire des CCAP 2010 ou des CCAP 2021. Lorsque le présent DPA spécifie davantage les règles d'audit et de sous-traitant ultérieur, ces spécifications s'appliquent également aux SCC 2010 et aux SCC 2021.

 

7.5. Mécanisme alternatif de transfert de données. Pour éviter tout doute, si le mécanisme de transfert identifié dans la présente section 7 est jugé invalide par une autorité de surveillance ou un tribunal compétent, les parties s'efforceront de bonne foi de négocier un mécanisme alternatif (si disponible et nécessaire) pour permettre la poursuite du transfert de données personnelles.

 

8. NOTIFICATION DE VIOLATION DE DONNÉES PERSONNELLES

 

8.1. Notification de violation de données personnelles. Digital.ai informera le client rapidement et sans retard injustifié après avoir pris connaissance de toute violation de données personnelles impliquant des données personnelles du client traitées par Digital.ai et fournir des informations raisonnables en sa possession pour aider le Client à remplir ses obligations de signaler une Violation de Données Personnelles, comme l'exigent les Lois sur la Protection des Données. Digital.ai déploiera des efforts raisonnables pour identifier la cause de cette Violation de Données Personnelles et prendra les mesures appropriées pour atténuer les effets et minimiser tout dommage résultant de la Violation de Données Personnelles dans la mesure où une telle Digital.aiest un contrôle raisonnable. La notification sera remise au Client conformément à la Section 8.2. Une telle notification ne doit pas être interprétée ou interprétée comme un aveu de faute ou de responsabilité par Digital.ai.

 

8.2. Avis de livraison. Les notifications de violations de données personnelles, le cas échéant, seront transmises à un ou plusieurs contacts commerciaux, techniques ou administratifs du client par le biais Digital.ai sélectionne, y compris par e-mail. Le client est responsable de s'assurer qu'il fournit et maintient des informations de contact exactes à tout moment.

 

9. VÉRIFICATION

 

9.1. Demandes d'informations. Digital.ai mettra à la disposition du client, sur demande écrite raisonnable, les informations relatives au traitement des données personnelles du client nécessaires pour démontrer Digital.airespect des obligations en vertu du présent DPA.

 

9.2. Audit client. Digital.ai autorisera les demandes d'inspection du client (ou de son auditeur indépendant) concernant les données personnelles traitées par Digital.ai afin de vérifier Digital.aila conformité de avec ce DPA, si : (a) Digital.ai n'a pas fourni de preuves écrites suffisantes de sa conformité aux mesures techniques et organisationnelles, par exemple une certification de conformité à la norme ISO 27001 ou à d'autres normes ; (b) une violation des données personnelles s'est produite ; (c) un audit est formellement demandé par l'Autorité de Surveillance du Client ; ou (d) la Loi sur la protection des données accorde au Client un droit d'inspection obligatoire sur place ; et à condition que le Client n'exerce pas ce droit plus d'une fois par an, sauf si la Loi sur la protection des données impérative exige des inspections plus fréquentes. Toute information fournie par Digital.ai conformément à la présente section 9 est soumis aux obligations de confidentialité de l'accord. Ces inspections seront menées d'une manière qui n'affecte pas la sécurité, la confidentialité, l'intégrité, la disponibilité et la continuité des installations, réseaux et systèmes inspectés, ni ne compromette les données confidentielles qui y sont traitées.

 

9.3. Coût de l'audit. Le client est responsable des coûts de tout audit, à moins que cet audit ne révèle une violation substantielle par Digital.ai de ce DPA, alors Digital.ai supporte ses propres frais d'audit. Si un audit détermine que Digital.ai a manqué à ses obligations en vertu du présent ATD, Digital.ai remédiera rapidement à la violation à ses propres frais.

 

 

10. ÉVALUATIONS D'IMPACT SUR LA PROTECTION DES DONNÉES

 

10.1. Si le Client est tenu par la Loi sur la protection des données applicable d'effectuer une évaluation de l'impact sur la protection des données ou une consultation préalable avec une Autorité de surveillance concernant l'utilisation des Services par le Client, Digital.ai fournira, à la demande raisonnable du Client, les documents généralement disponibles pour les Services ; par exemple, tous les rapports SOC 2 de contrôle organisationnel des services (SOC) alors en vigueur, les certifications ISO/IEC 27001:2013 et/ou les rapports successeurs aux normes comparables de l'industrie, qui peuvent s'appliquer aux Services.

 

10.2. Toute assistance supplémentaire dans la coopération ou la consultation préalable avec une autorité de contrôle dans l'exécution de ses tâches relatives à la présente section 10, dans la mesure requise par la loi sur la protection des données, sera convenue d'un commun accord entre les parties en tenant compte de la nature du traitement et informations disponibles pour Digital.ai. Dans la mesure permise par la loi, le Client sera responsable de tous les coûts découlant de Digital.aila fourniture d'une telle assistance par

 

11. DISPOSITIONS GÉNÉRALES

 

11.1. Clients affiliés. Le client est responsable de la coordination de toutes les communications avec Digital.ai au nom de ses Affiliés concernant ce DPA. Le client déclare qu'il est autorisé à conclure le présent DPA et toutes les clauses contractuelles types incorporées aux présentes ou conclues en vertu du présent DPA, à émettre des instructions et à effectuer et recevoir des communications ou des notifications en rapport avec le présent DPA au nom de ses affiliés.

 

11.2. Conflit. La loi applicable et les tribunaux compétents pour ce DPA sont ceux de l'Accord principal auquel ce DPA se rattache. En cas de conflit ou d'incohérence entre le présent ATD et l'Accord, le présent ATD prévaudra dans la mesure où le conflit ou l'incohérence concerne les Données personnelles.

 

11.3. Résiliation. La durée de ce DPA prendra fin conformément aux termes de l'accord.

 

11.4. Divers. Chaque référence au DPA dans les présentes désigne le présent DPA, y compris ses annexes et/ou appendices. Les titres de section contenus dans ce DPA sont uniquement à des fins de référence et ne doivent en aucun cas affecter la signification ou l'interprétation de ce DPA.

 

EN FOI DE QUOI, le présent ATD est conclu et devient une partie intégrante du ou des Accord(s) entre le Client et Digital.ai, à compter de la date de signature du client ci-dessous. Si ce document a été signé électroniquement par l'une ou l'autre des parties, cette signature aura le même effet juridique qu'une signature manuscrite.

 

 

ANNEXE I

Description du traitement

La présente annexe 1 s'applique à décrire le traitement des données personnelles du client aux fins des clauses contractuelles types 2010, des clauses contractuelles types 2021 et de la loi sur la protection des données applicable.

A. LISTE DES PARTIES

Exportateur(s) de données :

 

1. Prénom: Nom du client tel qu'indiqué sur l'accord en vigueur

 

Adresse : Adresse du client telle qu'indiquée sur l'accord en vigueur

 

Nom, fonction et coordonnées de la personne à contacter : signataire autorisé pour gouverner l'accord

 

Activités concernées : L'utilisation de Digital.ailes produits et services de conformément à l'Accord.

 

Signature et date : En concluant le DPA, l'exportateur de données est réputé avoir signé les clauses contractuelles types incorporées aux présentes à compter de la date d'entrée en vigueur du DPA.

 

Rôle (contrôleur/sous-traitant) :  

 

Importateur(s) de données :

 

Nom : Digital.ai Logiciel, Inc.

 

Adresse : 555 Fayetteville Street, Suite #210, Raleigh, Caroline du Nord 27601

 

Nom, fonction et coordonnées de la personne à contacter : légal @digital.ai

 

Activités concernées : Provision de Digital.ailes produits et services de conformément à l'Accord.

 

Signature et date : En concluant le DPA, l'importateur de données est réputé avoir signé les clauses contractuelles types incorporées aux présentes à compter de la date d'entrée en vigueur du DPA.

 

Rôle (contrôleur/sous-traitant) : Processeur

 

B. DESCRIPTION DU TRANSFERT

 

Catégories de personnes concernées dont les données personnelles sont transférées :

 

Les catégories de personnes concernées comprennent les Utilisateurs du Client (tels que définis dans le Contrat) de Digital.ai leurs produits et services.

 

Catégories de données personnelles transférées :

 

Informations d'identification (nom, titre, adresse e-mail); informations de connexion (nom d'utilisateur et mot de passe); données de connexion (heure et date des journaux) ; données relatives aux demandes d'assistance des utilisateurs.

 

Données sensibles transférées (le cas échéant) et restrictions appliquées ou safedes gardiens qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple la limitation stricte des finalités, les restrictions d'accès (y compris l'accès uniquement au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, les restrictions pour transferts ou mesures de sécurité supplémentaires:

 

Aucune information sensible n'est traitée par Digital.ai.

 

Fréquence du transfert (par exemple si les données sont transférées de manière ponctuelle ou continue) :

 

Les transferts seront effectués de manière continue pour les produits et services cloud, et de manière ponctuelle pour les demandes de support.

 

Nature du traitement :

 

Digital.ai agit en tant que sous-traitant pour les données personnelles soumises par le client dans le cadre de l'utilisation Digital.ailes produits et services de ; la nature du traitement comprend le transfert, le stockage et toute autre activité de traitement spécifiée conformément aux termes du Contrat.

 

Finalité(s) du transfert de données et traitement ultérieur :

 

Fournir et soutenir Digital.ailes produits et services de au Client comme convenu dans le Contrat (y compris le présent ATD).

 

La durée pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée:

Pendant la durée de l'accord en place avec Digital.ai, sauf indication contraire dans le Contrat, ou autrement autorisé ou requis par la loi.

 

Pour les transferts aux (sous-)traitants, précisez également l'objet, la nature et la durée du traitement :

 

Digital.ai (Importateur de données) utilise les sous-traitants identifiés dans le Liste des sous-traitants énoncé dans Annexe III, soutenir Digital.ai dans la fourniture de ses produits et services au Client (Exportateur de données). L'objet et la durée du traitement sont décrits ci-dessus dans la présente annexe. La nature des services de sous-traitance spécifiques est davantage précisée dans la liste des sous-traitants identifiés à l'annexe III.

 

 

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

 

Identifiez la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13 :

 

L'autorité de contrôle compétente déterminée conformément à la clause 13 des clauses contractuelles types.

• Clauses contractuelles types 2021 : la loi applicable aux CCT 2021 sera la loi des Pays-Bas.

• Clauses contractuelles types 2010 : les CCAP 2010 seront régies par les lois de l'État membre dans lequel l'exportateur de données est établi, à savoir le Royaume-Uni.

 

ANNEXE II

Mesures de sécurité techniques et organisationnelles

La présente annexe II s'applique à décrire les mesures techniques et organisationnelles applicables aux fins des clauses contractuelles types 2010, des clauses contractuelles types 2021 et de la loi applicable sur la protection des données.

Les mesures techniques et organisationnelles énoncées à l'annexe II ont été mises en œuvre par l'importateur de données pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques.

Description des mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles pour assurer la sécurité des données :

Politique, procédures et normes de sécurité de l'information. Digital.ai maintiendra un programme de sécurité des informations (y compris l'adoption et l'application de politiques et procédures internes) conçu pour aider à protéger les données personnelles contre la perte, l'accès ou la divulgation accidentels ou illégaux. Une revue de tous Digital.ai politiques, procédures et normes techniques de sécurité de l'information est réalisée au moins une fois par an. Le cas échéant, des copies de sauvegarde des données personnelles peuvent être mises à disposition et testées périodiquement pour confirmer l'intégrité et démontrer la résilience. Une évaluation de la vulnérabilité est effectuée périodiquement sur les systèmes critiques et des tests d'intrusion sont effectués au moins une fois par an.

Chiffrement. Digital.ai utilise des méthodes de cryptage qui sont considérées comme sûres selon les meilleures pratiques de l'industrie doivent être utilisées pour sécuriser les données à la fois au repos et en transit. Les méthodes de cryptage utilisées respectent ou dépassent la norme Transport Layer Security (TLS) 1.2 ou Advanced Encryption Standard (AES) 256.

Des vérifications. Le cas échéant, Digital.ai fera appel à des auditeurs externes et/ou effectuera des audits internes pour vérifier l'adéquation de ses mesures de sécurité selon les normes ISO 27001, SOC 2 ou ISO 13485.

Contrôles d'accès. Identification et autorisation de l'utilisateur. Digital.ai maintiendra des contrôles d'accès et des politiques pour gérer l'accès autorisé au Digital.ai réseau à partir de chaque connexion réseau et utilisateur, y compris l'utilisation de pare-feu ou de technologies et de contrôles d'authentification fonctionnellement équivalents.

Sécurité physique. Les barrières physiques sont utilisées pour empêcher l'entrée non autorisée dans les installations où les données personnelles sont traitées par ou au nom de Digital.ai. Les contrôles existent à la fois au périmètre et aux points d'accès des bâtiments. L'entrée nécessite généralement soit une validation du contrôle d'accès électronique (par exemple, des systèmes d'accès par carte, etc.) soit une validation par le personnel de sécurité humaine (par exemple, un contrat ou un service de garde de sécurité interne, une réceptionniste, etc.). Les employés et les sous-traitants se voient attribuer des badges d'identité avec photo qui doivent être portés pendant que les employés et les sous-traitants se trouvent dans l'une des installations. Les visiteurs sont tenus de s'inscrire auprès du personnel désigné, doivent présenter une pièce d'identité appropriée, se voient attribuer un badge d'identification de visiteur qui doit être porté pendant que le visiteur se trouve dans l'une des installations et sont continuellement escortés par des employés ou des sous-traitants autorisés lors de la visite des installations.

Journalisation des événements. Digital.aiLe réseau et les systèmes de sont configurés de sorte que les erreurs système et les événements de sécurité soient consignés, et que les fichiers journaux soient protégés contre toute alternance par les utilisateurs.

Configuration du système. Digital.ai développera, documentera et maintiendra une configuration de base actuelle pour tous les systèmes concernés. La ligne de base doit être révisée et mise à jour chaque année et au besoin en raison de mises à niveau du système, de correctifs ou d'autres modifications importantes. Les configurations précédentes pour prendre en charge la restauration doivent être conservées. Une configuration de base minimale doit être établie pour les systèmes d'information ou l'ordinateur avec des contrôles de sécurité élevés.

 

Informations supplémentaires sur Digital.aiLes certifications et pratiques de sécurité de se trouvent ici .ANNEXE III

Liste des sous-traitants ultérieurs

  • Amazon Web Services (« AWS »)
    • Description : fournisseur de services cloud
  • Technologie Rackspace
    • Description : fournisseur de services cloud

Autres sous-traitants ultérieurs

  • ServiceRocket, Inc.
    • Description : Services de support client et de mise en œuvre basés sur le cloud
  • Pendo.io, Inc.
    • Description : support et analyse de logiciels basés sur le cloud
  • Flocon de neige, Inc.
    • Description : Base de données en tant que fournisseur de services
  • Zendesk
    • Description : Logiciel de service client
  • Sumo Logique, Inc.
    • Description : Sécurité logicielle basée sur le cloud et analyse des journaux

 

 

 

Avenant CCPA du fournisseur de services

Cet addendum supplémentaire CCPA ("Addenda”) fait partie du DPA entre Digital.ai (aux fins du présent addendum, dénommé « Prestataire de services") et Témoignages tel qu'indiqué dans l'Accord régissant.

 

Dans le cadre de la fourniture des Services au Client conformément au Contrat, Digital.ai peut traiter les informations personnelles de la société qui sont soumises à la California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. ("CCPA”). Les conditions suivantes sont incorporées dans l'Accord dans le but d'assurer la conformité avec le CCPA.

Aux fins du présent addenda, les définitions suivantes s'appliquent en plus des définitions contenues dans le DPA et l'accord, y compris tous les addenda qui peuvent les compléter.

 

1. Définitions

1.1 Dans cet addendum, les termes suivants auront les significations indiquées ci-dessous :

1.1.1Informations personnelles de l'entreprise» désigne toute information personnelle, telle que définie dans le CCPA, traitée par le fournisseur de services au nom de la société ou de ses sociétés affiliées conformément à ou en relation avec l'accord ;

1.1.2TraitéouEn cours» désigne toute opération ou ensemble d'opérations effectuées sur les informations personnelles de la société ;

2. Traitement des informations personnelles de la société. Dans la mesure où l'exécution par le fournisseur de services de ses obligations en vertu du contrat implique le traitement des informations personnelles de la société, le fournisseur de services accepte qu'il ne sera pas conserver, utiliser ou divulguer les informations personnelles de la société à toutes fins, y compris à des fins commerciales, autres que dans le but spécifique d'exécuter les services spécifiés dans l'accord pour la société, ou tel qu'autrement autorisé par le CCPA ou par les réglementations promulguées par le Procureur général de Californie conformément à Cal. Civ. Code § 1798.185.