Addendum sur le traitement des données

En vigueur : 7 janvier 2025

Vue d'ensemble

Le présent avenant relatif au traitement des données (ci-après " l'avenant ") fait partie intégrante du contrat conclu entre ORGiD et le client ou de tout autre contrat signé entre les parties qui incorpore le présent avenant par référence et qui régit le traitement des données personnelles par ORGiD en sa qualité de sous-traitant dans le cadre de la fourniture du produit par ORGiD. Le présent avenant ne s'applique que si ORGiD et le Client n'ont pas conclu d'accord séparé sur le traitement des données ou d'accord contractuel similaire concernant le traitement des Données Personnelles. Tous les termes en majuscules utilisés mais non définis dans le présent avenant ont la signification qui leur est donnée dans l'Accord. Les termes "données à caractère personnel", "personne concernée", "traitement", "responsable du traitement", "sous-traitant", "représentant" et "autorité de contrôle" ont le sens qui leur est donné dans le GDPR ou le GDPR britannique, selon le cas, indépendamment du fait que la loi sur la protection des données s'applique ou non.

1. Nomination en tant que responsable du traitement des données

Le contrôleur

Le Responsable du traitement désigne ORGiD en tant que sous-traitant pour recevoir et traiter les Données Personnelles au nom du Responsable du traitement uniquement dans la mesure où cela est nécessaire pour fournir le Service Cloud et dans la mesure où les parties peuvent en convenir ultérieurement par écrit. Les instructions du Responsable du traitement concernant le traitement des Données Personnelles dans le cadre de cet Addendum doivent être conformes aux lois sur la protection des données, le cas échéant. Le responsable du traitement est chargé de veiller à ce que le traitement des données à caractère personnel repose sur une base juridique valable. L'entité juridique qui accepte le présent addendum en tant que responsable du traitement déclare qu'elle est autorisée à accepter et à conclure le présent addendum pour le responsable du traitement et qu'elle accepte le présent addendum uniquement en son nom.

Le processeur

Le sous-traitant collecte, reçoit, traite et utilise les données personnelles pour le compte et selon les instructions du client en tant que responsable du traitement, conformément à la législation sur la protection des données, le cas échéant, et n'utilise ni ne traite les données personnelles du client à d'autres fins qu'en sa qualité de sous-traitant désigné par le responsable du traitement. L'objet et les détails du traitement sont décrits à l'"Annexe 1" du présent addendum.

2. Transferts internationaux de données

Transfert international de données

Avant que le responsable du traitement ne transfère des données personnelles au sous-traitant ou n'autorise le sous-traitant à accéder à des données personnelles situées dans une juridiction qui exige un mécanisme international de transfert de données, le responsable du traitement vérifie si les exigences pertinentes sont satisfaites. Si tel n'est pas le cas, les parties collaborent de bonne foi pour satisfaire aux exigences de ce mécanisme international de transfert de données. Les parties mettent en place et respectent tout mécanisme international de transfert de données qui pourrait être exigé par la législation applicable en matière de protection des données.

Mécanisme international de transfert de données

Si le contrôleur est établi dans l'Espace économique européen (" EEE "), en Suisse ou au Royaume-Uni (" RU ") et qu'il transfère des données personnelles au sous-traitant, l'addenda sur le transfert de données s'applique : (i) s'applique à ces transferts ; (ii) prévaut sur toutes les autres conditions, y compris les conditions du présent Accord, en ce qui concerne ces transferts ; (iii) constitue un contrat juridiquement contraignant entre l'exportateur de données et le sous-traitant en tant que ou au nom de l'importateur de données ; et (iv) est incorporé par les présentes dans l'Accord.

En ce qui concerne les données personnelles des personnes concernées de l'EEE, de la Suisse et du Royaume-Uni, les Parties conviennent que le Sous-traitant peut traiter les données personnelles en dehors de l'EEE, de la Suisse et du Royaume-Uni uniquement lorsque les exigences de la loi sur la protection des données (y compris, le cas échéant, les articles 44 à 47 du GDPR) sont respectées ou qu'une exception (y compris, le cas échéant, celles énumérées à l'article 49 du GDPR) s'applique. En ce qui concerne les données personnelles des personnes brésiliennes, le Responsable du traitement accepte qu'ORGiD traite les Données Personnelles des Clients en dehors du Brésil, et déclare et garantit qu'un tel transfert de Données Personnelles des Clients est conforme à la loi brésilienne sur la protection des données (LGPD).

3. Protection des données

3.1. Conformité

Les parties se conformeront à leurs obligations respectives en vertu de la loi sur la protection des données et de leurs avis respectifs sur la protection de la vie privée.

3.2. Confidentialité des données

Le sous-traitant limitera l'accès aux données à caractère personnel aux personnes autorisées qui ont besoin de ces informations pour fournir les services. Ces personnes autorisées sont tenues de préserver la confidentialité des données à caractère personnel. Le sous-traitant ne publiera pas, ne divulguera pas ou ne divulguera pas (et s'assurera que son personnel ne publie pas, ne divulgue pas ou ne divulgue pas) les données personnelles à un tiers, à moins que le responsable du traitement n'ait donné son consentement écrit préalable.

3.3. Sécurité

Le sous-traitant mettra en œuvre les mesures techniques, administratives et organisationnelles appropriées, le cas échéant, et telles que décrites à l'"Annexe 2" du présent addendum, nécessaires pour : (i) garantir un niveau de confidentialité et de sécurité adapté aux risques présentés par le traitement et à la nature des données personnelles ; et (ii) empêcher le traitement non autorisé ou illégal des données personnelles, la perte accidentelle, la divulgation ou la destruction des données personnelles fournies par le contrôleur et traitées par le sous-traitant, ou les dommages causés à ces données. Ces mesures de sécurité seront au moins aussi protectrices que les exigences de sécurité énoncées dans l'Accord. Lors du choix des contrôles de sécurité, le sous-traitant tient compte de l'état de l'art, du coût de la mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement des données à caractère personnel, ainsi que du risque pour les personnes concernées d'un incident de sécurité ou d'une violation des données à caractère personnel affectant les données à caractère personnel.

3.4. Rétention

Les données personnelles reçues du client ne seront conservées que pendant la durée raisonnablement nécessaire à l'exécution de l'accord par le sous-traitant ou conformément à la législation sur la protection des données. Les obligations du sous-traitant relatives à la restitution ou à la suppression des données à caractère personnel survivront à la résiliation jusqu'à ce que toutes les données à caractère personnel aient été restituées ou supprimées conformément au présent addendum.

3.5. La coopération

Le sous-traitant coopérera dans la mesure raisonnablement nécessaire en relation avec les demandes du contrôleur relatives à la sécurité des données, aux notifications de violation des données, aux évaluations de l'impact sur la protection des données et à la consultation des autorités de contrôle, ainsi que pour l'exécution de l'obligation du contrôleur de répondre aux demandes d'exercice des droits d'une personne concernée en vertu de la loi sur la protection des données. Le sous-traitant se réserve le droit de facturer au responsable du traitement le temps raisonnable qu'il a consacré à cette coopération et les frais encourus pour tout arrangement spécial demandé.

3.6. Demandes de tiers

Si le sous-traitant reçoit une demande d'une personne concernée ou d'un tiers dans le cadre d'une enquête gouvernementale ou d'une procédure judiciaire qui, selon le sous-traitant, l'obligerait à produire des données personnelles, le sous-traitant informera rapidement le contrôleur par écrit de cette enquête, demande ou plainte et coopérera avec le contrôleur s'il souhaite limiter, contester ou se protéger contre une telle divulgation, dans la mesure permise par la loi applicable. Le sous-traitant aidera le responsable du traitement, dans la mesure où cela est commercialement raisonnable, à remplir l'obligation du responsable du traitement de répondre aux demandes des personnes concernées et des autorités de contrôle, comme l'exige la loi sur la protection des données. Le contrôleur est seul responsable de la réponse aux demandes des personnes concernées et, si une telle demande est adressée directement au sous-traitant, ce dernier en informera rapidement le contrôleur et conseillera aux personnes concernées de soumettre leur demande au contrôleur.

3.7. Instructions du client

Nonobstant toute disposition contraire de l'Accord, le Processeur ne traitera les Données personnelles que dans le but de fournir les Services au Contrôleur, conformément aux instructions écrites du Contrôleur, comme le permet la dernière phrase de l'article 3.8 ci-dessous, ou comme l'exige la Loi applicable. Le sous-traitant informera rapidement le contrôleur si le respect d'une instruction entraîne une violation de la loi sur la protection des données ou si le sous-traitant doit divulguer des données personnelles en réponse à une obligation légale (à moins que l'obligation légale n'interdise au sous-traitant de procéder à une telle divulgation).

3.8. Champ d'application de la transformation

Il est interdit au sous-traitant : (a) de vendre des données personnelles, (b) de conserver, d'utiliser ou de divulguer des données personnelles à des fins autres que l'objectif commercial spécifique d'exécution des instructions documentées du contrôleur aux fins commerciales définies dans le présent avenant, y compris la conservation, l'utilisation ou la divulgation des données personnelles à des fins commerciales autres que l'exécution des instructions du contrôleur, ou (c) de conserver, d'utiliser ou de divulguer les données personnelles en dehors de la relation commerciale directe entre les parties, telle que définie dans le présent accord. Le sous-traitant certifie qu'il comprend ces restrictions. Nonobstant ce qui précède, le Processeur peut traiter les Données Personnelles pour retenir ou employer une autre personne en tant que sous-Processeur conformément au présent Addendum, pour une utilisation interne par le Processeur afin d'améliorer la qualité de ses services (à condition que le Processeur n'utilise pas les Données Personnelles pour fournir des services au nom d'une autre personne), ou pour détecter les incidents de sécurité des données ou se protéger contre les activités malveillantes, trompeuses, frauduleuses ou illégales.

3.9. Informations sensibles

Le contrôleur informera le sous-traitant si les données personnelles sont des données sensibles et le contrôleur obtiendra le consentement explicite des personnes concernées pour le transfert de données sensibles en vue de leur traitement, dans la mesure où ce consentement est requis en vertu de la loi sur la protection des données.

3.10. Sous-processeurs

Le Responsable du traitement accorde au Sous-traitant l'autorisation générale, en tant que sous-traitant, d'engager d'autres sous-traitants ("Sous-traitants") pour l'aider à fournir les Services conformément à l'Accord. Le sous-traitant veillera à ce que chaque sous-traitant secondaire n'accède aux données personnelles et ne les utilise que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées et conformément au présent addendum. Conformément aux lois sur la protection des données, le sous-traitant rendra la liste de ces sous-traitants accessible au contrôleur dans l'annexe 3 avant de transférer des données à caractère personnel à ces sous-traitants. Le Responsable du traitement peut choisir d'être informé par écrit et par courrier électronique par le Sous-traitant de toute modification apportée à la liste des Sous-traitants en mettant à jour cette liste de temps à autre afin de donner au Responsable du traitement la possibilité de s'opposer à ces modifications dans un délai de 30 jours à compter de la notification. Si le contrôleur et le sous-traitant ne parviennent pas à résoudre ces objections, l'une ou l'autre partie peut résilier l'accord en adressant une notification écrite à l'autre partie. Le contrôleur a le droit d'examiner toutes les activités du sous-traitant secondaire conformément à la législation sur la protection des données, y compris le droit d'obtenir du sous-traitant, sur demande écrite, des informations sur la mise en œuvre des obligations en matière de protection des données en vertu de chaque contrat de sous-traitance secondaire.

3.11. Responsabilité des sous-traitants

Lorsque le Processeur engage un Sous-Traitant pour effectuer des activités de traitement spécifiques au nom du Contrôleur, des obligations de protection des données substantiellement similaires à celles énoncées dans le présent Addendum seront imposées à ce Sous-Traitant par le biais d'un contrat, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Loi sur la protection des données. Le sous-traitant sera responsable des actes ou omissions de ses sous-traitants ultérieurs dans la même mesure que le sous-traitant serait responsable s'il fournissait directement les services du sous-traitant ultérieur.

3.12. Tenue de registres

À la demande d'une autorité de contrôle qui souhaite obtenir des informations sur les données personnelles, le sous-traitant coopère pour fournir à l'autorité de contrôle des informations sur les activités de traitement effectuées pour le compte du contrôleur, y compris des informations sur les catégories de données personnelles traitées et les finalités du traitement, le recours à des prestataires de services pour ce traitement, toute divulgation ou tout transfert de données à des tiers et une description générale des mesures techniques et organisationnelles visant à protéger la sécurité de ces données.

3.13. Transfert de données à caractère personnel

Le contrôleur autorise le sous-traitant à transférer, stocker ou traiter les données personnelles aux États-Unis ou dans tout autre pays dans lequel le sous-traitant ou ses sous-traitants secondaires disposent d'installations. Le contrôleur nomme le sous-traitant pour effectuer tout transfert de données personnelles vers un tel pays et pour stocker et traiter les données personnelles afin de fournir les services. Le sous-traitant mènera toutes ces activités conformément à l'Accord, au présent addenda, à la loi sur la protection des données, à tout mécanisme international de transfert de données applicable et aux instructions du contrôleur.

3.14. Suppression ou retour

Une fois les obligations du sous-traitant remplies en ce qui concerne le traitement des données personnelles en vertu du présent accord ou sur instruction du contrôleur, le sous-traitant supprimera toutes les données personnelles ou les renverra au contrôleur de manière sécurisée et supprimera toutes les copies restantes des données personnelles après ce renvoi, sauf si le droit applicable l'exige autrement. Le sous-traitant rendra toutes les données personnelles qui ne peuvent être supprimées ou renvoyées anonymes de manière à ce qu'elles ne constituent plus des données personnelles. Le sous-traitant transmettra les instructions du contrôleur à tous les sous-traitants secondaires. Le contrôleur peut, avant la résiliation ou l'expiration et par le biais d'une instruction, stipuler la méthode et le format raisonnablement sûrs pour renvoyer toutes les données personnelles avant qu'elles ne soient supprimées. Le responsable du traitement sera responsable de tout coût supplémentaire lié à la méthode sécurisée prescrite pour le retour des données à caractère personnel.

3.15. Notification de violation

Conformément à l'article 7.8.1 de l'Accord, après avoir pris connaissance d'une violation de données à caractère personnel, le sous-traitant notifie au responsable du traitement dans les meilleurs délais : (a) la nature de la violation de données à caractère personnel ; (b) le nombre et les catégories de personnes concernées et d'enregistrements de données affectés ; et (c) le nom et les coordonnées de la personne de contact concernée au sein du sous-traitant. Le sous-traitant doit immédiatement enquêter sur la violation de données à caractère personnel, afin d'identifier, de prévenir et d'atténuer les effets d'une telle violation de données à caractère personnel, et mener toute action de récupération ou autre action nécessaire pour remédier à la violation de données à caractère personnel. À la demande du contrôleur, nous fournirons rapidement toute l'assistance raisonnable nécessaire pour permettre la notification aux autorités compétentes et/ou aux personnes concernées de l'incident de sécurité en question, si le contrôleur est tenu de le faire en vertu de la législation sur la protection des données.

3.16. Audits

Sur demande et aux frais du Contrôleur, le Processeur mettra à la disposition du Contrôleur toutes les informations nécessaires, et autorisera et contribuera à des audits, y compris des inspections raisonnables, menées par le Contrôleur ou un autre auditeur mandaté par le Contrôleur, afin de démontrer le respect de la Loi sur la protection des données. Pour plus de clarté, ces audits ou inspections sont limités au traitement par le sous-traitant des données personnelles pour le client uniquement, et non à tout autre aspect de l'activité ou des systèmes d'information du sous-traitant. Si le contrôleur exige du sous-traitant qu'il contribue aux audits ou aux inspections nécessaires pour démontrer la conformité, le contrôleur fournira au sous-traitant un avis écrit au moins 60 jours avant l'audit ou l'inspection. Cet avis écrit précisera les éléments, les personnes, les lieux ou les documents à mettre à disposition. Cet avis écrit, et tout ce qui est produit en réponse à cet avis, sera considéré comme une information confidentielle et, nonobstant toute disposition contraire de l'accord, restera une information confidentielle à perpétuité ou pendant la période la plus longue autorisée par la loi applicable après la résiliation de l'accord. Ces documents et les travaux dérivés produits en réponse à la demande du Contrôleur ne seront divulgués à personne sans l'autorisation écrite préalable de l'ORGiD, à moins qu'une telle divulgation ne soit requise par le droit applicable. Si la divulgation est requise par le droit applicable, le Responsable du traitement informera rapidement le Processeur par écrit de cette exigence et lui donnera la possibilité d'obtenir une ordonnance de protection afin d'interdire ou de restreindre cette divulgation, sauf dans la mesure où cette notification est interdite par le droit applicable ou par l'ordonnance d'un tribunal ou d'une agence gouvernementale. Le responsable du traitement met tout en œuvre pour coopérer avec le sous-traitant afin de programmer des audits ou des inspections à des moments qui conviennent au sous-traitant. Le sous-traitant peut facturer des frais raisonnables pour ces demandes, sauf si l'enquête découle d'un manquement aux obligations qui lui incombent en vertu des présentes, dans la mesure permise par le droit applicable. Si, après avoir examiné la réponse du sous-traitant à la demande d'audit ou d'inspection du client, le contrôleur exige des audits ou des inspections supplémentaires, le contrôleur reconnaît et accepte qu'il sera seul responsable des honoraires raisonnables et de tous les coûts encourus en relation avec ces audits ou inspections supplémentaires.

3.17. Conflits

En cas de conflit ou d'incohérence entre le présent addenda relatif au traitement des données, l'addenda relatif au transfert des données et l'accord, l'ordre de priorité sera le suivant : l'addenda relatif au transfert des données (mais uniquement dans la mesure où il s'applique en vertu de l'article 3.6.a ci-dessus), le présent addenda relatif au traitement des données, l'accord. Si certaines dispositions du présent addenda sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions du présent addenda n'en seront pas affectées.

3.18. Modifications

ORGiD peut mettre à jour tout ou partie des termes de l'Addendum si nécessaire pour se conformer à la législation sur la protection des données et prendra effet et sera contraignant à la date de renouvellement du prochain Abonnement au Produit du Client ou sur accord écrit du Prestataire de Services, selon la première de ces éventualités. Si le présent addendum est incorporé par référence à l'URL d'une page web, la version mise à jour de l'addendum sera publiée à la même URL et le contrôleur sera informé de son approbation par écrit. Si le présent addendum est incorporé dans le cadre d'un accord commercial exécuté par les parties, la version actualisée de l'addendum sera communiquée au contrôleur pour approbation par écrit. Si le responsable du traitement n'accepte pas une modification par écrit, il en informe le sous-traitant par écrit et les parties collaborent de bonne foi pour élaborer un nouvel addendum sur le traitement des données qui soit mutuellement acceptable.

Annexe 1 : Détails du traitement des données

a1.1. Liste des parties

Exportateur(s) de données

L'exportateur de données est la Partie divulgatrice et doit être un Contrôleur, tel que défini dans le présent Accord, dont le nom, l'adresse et les coordonnées ont été fournis à l'ORGiD. Les activités relatives aux données transférées en vertu des présentes Clauses contractuelles types comprennent l'utilisation des services concernés conformément à l'Accord. L'exportateur de données joue le rôle de contrôleur.

Importateur(s) de données

L'importateur de données est la Partie réceptrice et sera ORGiD, tel que défini dans cet Accord, avec le nom, l'adresse et les détails de contact suivants :

  • Vspry Australia Pty Limited T/As ORGiD, dont l'adresse est L38, 71 Eagle St Brisbane Queensland Australia

L'importateur de données joue le rôle de sous-traitant lorsque les activités relatives aux données transférées en vertu des présentes clauses contractuelles types comprennent la fourniture des services concernés au client conformément à l'accord.

L'importateur de données joue le rôle de contrôleur lorsque l'exportateur et l'importateur sont tous deux des responsables indépendants du traitement des données à caractère personnel et déterminent indépendamment l'objectif et les moyens du traitement des données à caractère personnel en vertu de la loi sur la protection des données lorsque les activités relatives aux données transférées en vertu des présentes Clauses contractuelles types comprennent le soutien des services concernés au client conformément à l'accord.

A1.2. Description du transfert

Les activités de traitement des données menées par le destinataire dans le cadre du présent addendum sont les suivantes :

Sujet

la fourniture et le soutien des services par les prestataires de services dans le cadre de l'accord.

Durée du traitement et de la conservation

Pour la durée du présent accord, plus la période allant de l'expiration jusqu'à l'anonymisation, la restitution ou la suppression des données conformément au présent accord.

Nature et objectif

Le destinataire traitera les données à caractère personnel dans le but de fournir les services conformément à l'accord et selon les modalités qui y sont décrites.

Catégories de données

Les données à caractère personnel relatives aux individus fournies à la partie destinataire en tant que sous-traitant dans le cadre de l'exécution et de la fourniture des services au client, par (ou selon les instructions de) la partie divulgatrice, ce qui peut inclure :

  • Les informations de contact sont traitées afin d'authentifier les personnes concernées et de communiquer avec elles. Les informations de contact comprennent l'adresse électronique, le numéro de téléphone et l'adresse postale.

  • Les informations personnelles sont traitées afin de permettre au responsable du traitement et à ses utilisateurs finaux d'utiliser le service. Les informations personnelles sont traitées afin de permettre à la personne concernée d'afficher, de transférer, de prouver ou de partager tout ou partie de ses informations personnelles avec le responsable du traitement ou un tiers lors de l'utilisation de sa carte d'identité. Les informations personnelles comprennent le nom, le sexe, l'âge, la date de naissance, les informations relatives au paiement, la localisation, les informations relatives à l'éducation, les informations relatives à l'adhésion, les informations relatives à l'emploi, les relations familiales, les animaux de compagnie, les certifications, les licences, les titres, les droits, les documents d'identité, les preuves d'identité, les photos de face et les signatures,

  • Les informations relatives à l'utilisation sont traitées afin d'aider les personnes concernées et les responsables du traitement à utiliser le service. Les Informations d'utilisation comprennent les informations relatives à l'appareil, les informations relatives au réseau, les actions et les événements réalisés avec l'application ou le site web, tels que les ouvertures d'applications, les ouvertures de messages, les achats, les recherches, les scans de codes-barres, les événements de check-in/check-out, les vérifications, les paiements, les installations, les désinstallations, les partages et les méthodes d'enregistrement, les informations relatives à l'utilisation du site web et de l'application, les données de courrier électronique, les données relatives à l'utilisation du système, les données relatives à l'intégration des applications, et d'autres données ou communications électroniques soumises, stockées, envoyées ou reçues par les utilisateurs finaux.

Les données à caractère personnel relatives aux individus fournies au destinataire en tant que contrôleur dans le cadre d'un transfert de contrôleur à contrôleur aux fins de la vente de services au client ou de l'assistance des services pour le client, par (ou selon les instructions de) la partie divulgatrice, ce qui peut inclure :

  • les coordonnées des représentants, agents, référents ou partenaires du client, qui sont traitées afin d'authentifier les personnes concernées et de communiquer avec elles dans le but de vendre le service au client ou d'assurer le support du service pour le client. Les coordonnées comprennent l'adresse électronique et le numéro de téléphone.

  • Les informations personnelles des représentants, agents, référents ou partenaires du client sont traitées afin de permettre au contrôleur de vendre le service au client ou d'assurer le support du service pour le client. Les informations personnelles comprennent le nom de ces représentants, leurs informations professionnelles, leurs certifications, leurs licences, leurs titres, leurs droits, leurs documents d'identité, leurs preuves d'identité et leurs photos de face.

Les données sensibles qui peuvent être transférées au fournisseur de services de traitement en tant que sous-traitant via les services, par le contrôleur des données ou sur son ordre, peuvent inclure les catégories suivantes :

  • Origine raciale ou ethnique, dans le but de délivrer des cartes de membre au nom d'organisations défendant les droits des membres ou des non-membres de certaines origines raciales ou ethniques. 

  • Opinions politiques, dans le but de délivrer des cartes de membre politique pour différentes organisations politiques ou des organisations de membres défendant certaines politiques.

  • Les convictions religieuses ou philosophiques, dans le but de délivrer des cartes de membres religieux au nom de groupes religieux organisés.

  • L'appartenance à un syndicat, dans le but de délivrer des cartes de membre au nom des syndicats.

  • Les données biométriques, avec le consentement explicite des personnes concernées, ou pour exécuter les obligations liées à l'emploi ou dans un intérêt public important pour prévenir l'usurpation d'identité.

  • l'identité de genre ou l'orientation sexuelle, dans le but de délivrer des cartes de membre au nom d'organisations qui défendent les droits en matière d'identité de genre ou d'orientation sexuelle, ou avec le consentement explicite de la personne concernée afin de lui permettre de partager son identité ou ses pronoms avec d'autres utilisateurs ou institutions.

  • Données relatives à la santé, à des fins de médecine préventive ou professionnelle, en tant que patient, professionnel ou service de santé Carte d'identité permettant d'identifier un handicap, un patient ou un soignant. Les données relatives à la santé peuvent également être traitées pour des raisons d'intérêt public dans le domaine de la santé publique, lorsque des certificats de santé peuvent être exigés dans le cadre d'un emploi ou d'un voyage international.

  • Si la pseudonymisation des données ne peut être appliquée, le sous-traitant ne traitera les données sensibles que si le responsable du traitement reçoit le consentement explicite de la personne concernée et si le traitement fait l'objet d'une dérogation à la loi.

  • Les données sensibles relatives aux personnes physiques fournies au prestataire de services en tant que contrôleur dans le cadre d'un transfert de contrôleur à contrôleur dans le but de vendre le service au client ou d'assurer l'assistance du service au client, par le contrôleur ou selon ses instructions, ne seront pas traitées.

Fréquence du transfert 

En continu

Personnes concernées

Les personnes concernées comprennent les individus de l'EEE, de la Suisse, du Royaume-Uni et du Brésil au sujet desquels des données personnelles sont fournies au sous-traitant par l'intermédiaire des services par le contrôleur (ou selon ses instructions). Les personnes concernées peuvent être toute personne ayant une relation commerciale, personnelle, d'affiliation ou institutionnelle avec le contrôleur ou un client du contrôleur, y compris leurs clients, utilisateurs finaux, membres, fournisseurs, collaborateurs, bénévoles, détenteurs de licences, vendeurs, prospects, employés, sous-traitants, invités, parents, tuteurs, patients, instructeurs, électeurs, amis, représentants.

A1.3. Autorité de surveillance compétente

L'autorité de contrôle compétente est l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP).

Annexe 2 : Mesures de sécurité

  1. Le sous-traitant met en œuvre et respecte un programme écrit de sécurité de l'information conforme aux normes industrielles établies et adapté à la nature des données à caractère personnel. Ce programme doit comprendre des mesures de protection administratives, techniques et physiques destinées à protéger ces informations contre l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés, ainsi que contre toute menace ou tout risque anticipé pour la sécurité ou l'intégrité de ces informations. Le programme comprend également des mesures de protection contre l'accès ou l'utilisation non autorisés qui pourraient entraîner un préjudice ou un désagrément substantiel pour le contrôleur, ses clients ou ses employés.

  2. Le sous-traitant adopte et met en œuvre des politiques et des normes raisonnables en matière de sécurité.

  3. Le sous-traitant attribue la responsabilité de la gestion de la sécurité de l'information.

  4. Le sous-traitant consacre des ressources humaines suffisantes à la sécurité de l'information.

  5. Le sous-traitant effectue des contrôles de vérification sur le personnel permanent qui aura accès aux données à caractère personnel.

  6. Le sous-traitant procède à des vérifications appropriées des antécédents et exige des employés, des fournisseurs et des autres personnes ayant accès aux données à caractère personnel qu'ils concluent des accords de confidentialité écrits.

  7. Le sous-traitant organise des formations pour sensibiliser les employés et les autres personnes ayant accès aux données à caractère personnel aux risques liés à la sécurité de l'information et pour renforcer le respect des politiques et des normes du sous-traitant en matière de protection des données.

  8. Le sous-traitant empêche l'accès non autorisé aux données à caractère personnel en utilisant, le cas échéant, des contrôles d'entrée physiques et logiques, des zones sécurisées pour le traitement des données, des procédures de surveillance de l'utilisation des installations de traitement des données, des pistes d'audit intégrées au système, l'utilisation de mots de passe sécurisés, une technologie de détection des intrusions dans le réseau, une technologie de cryptage et d'authentification, des procédures de connexion sécurisées et une protection contre les virus, en surveillant en permanence le respect des politiques et des normes du sous-traitant en matière de protection des données. En particulier, le sous-traitant doit mettre en œuvre et respecter ce qui suit :

    1. Mesures de contrôle d'accès physique pour empêcher l'accès non autorisé aux systèmes de traitement des données

    2. Mesures de contrôle du refus d'utilisation pour empêcher l'utilisation non autorisée des systèmes de protection des données
      Régime d'autorisation et droits d'accès pour garantir que les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'aux données pour lesquelles elles ont un droit d'accès et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation.

    3. Mesures de contrôle de la transmission des données visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur des supports de données, ainsi que le transfert et la réception d'enregistrements.

    4. Cryptage lors du stockage de tout ensemble de données en possession du sous-traitant, y compris les données personnelles sensibles, en utilisant des niveaux de cryptage appropriés basés sur les normes de cryptage les plus avancées de l'industrie.

    5. Veiller à ce que toute donnée personnelle sensible transmise électroniquement (autrement que par télécopie) à une personne extérieure au système informatique du sous-traitant ou transmise sur un réseau public soit cryptée à l'aide des dernières versions prises en charge du protocole TLS 1.2 afin de protéger la sécurité de la transmission.

    6. des mesures de contrôle de l'entrée des données afin de garantir que le sous-traitant puisse vérifier et établir si et par qui les données personnelles du client ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées

    7. des mesures d'essai de sécurité en continu pour garantir que les pratiques de sécurité de l'information restent pertinentes, efficaces et à jour, y compris des essais de pénétration annuels, l'utilisation d'outils de balayage des systèmes, des essais de restauration des sauvegardes, des basculements avant production et la réalisation d'analyses a posteriori de tout incident réel afin de mettre à jour les plans de reprise après sinistre pertinents.

    8. Mesures de supervision des sous-traitants pour garantir que, si le sous-traitant est autorisé à faire appel à des sous-traitants, les données à caractère personnel sont traitées en stricte conformité avec les instructions du responsable du traitement.

  9. Le sous-traitant prend toute autre mesure appropriée aux circonstances.

Annexe 3 : Sous-processeurs

Pour permettre au Prestataire de services de fournir l'Abonnement, des Sous-traitants sont engagés pour l'assister dans certaines activités nécessaires de traitement des données. Une liste des Sous-Traitants utilisés et de la raison pour laquelle ils ont été engagés se trouve sur la page des Sous-Traitants disponible à l'adresse https://www.orgid.app/subprocessors/, qui est incorporée dans le présent addendum et peut être mise à jour de temps à autre sous réserve des conditions énoncées dans le présent document.