Conformément aux Conditions d'utilisation (les « Conditions »), Smartsupp vous fournit le Service tel que stipulé dans les Conditions en tant qu'utilisateur du Service. La relation entre Smartsupp et l'utilisateur est donc basée sur un processus d'inscription en ligne de l'utilisateur ou via un contrat écrit ou électronique auquel sont jointes des Conditions qui forment collectivement un accord entre vous et Smartsupp (le « Contrat »). Le présent addenda relatif au traitement des données (ci-après dénommé le « DPA ») fait partie intégrante du Contrat.
Les mots commençant par des majuscules auront la même signification que celle indiquée dans les Conditions ou toute autre annexe mentionnée dans les Conditions, sauf indication contraire dans le présent DPA.
Smartsupp conclut ce DPA conformément aux lois applicables en matière de protection des données, telles que le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») , la loi sur la protection des données de 2018 ou CCPA/CPRA et également conformément aux autres lois sur la confidentialité qui sont applicables pendant la fourniture du service en vertu du contrat (« lois applicables sur la confidentialité »).
Lorsque le présent DPA stipule que Smartsupp agit en tant que sous-traitant de données personnelles, il aura la même signification que celle attribuée à « sous-traitant » dans le RGPD et d'autres termes équivalents dans d'autres lois applicables en matière de confidentialité (par exemple, « prestataire de services » tel que défini dans le CCPA). Lorsque le présent DPA stipule que vous agissez en tant que responsable du traitement des données personnelles, il aura la même signification que celle attribuée à « responsable du traitement » dans le RGPD et d'autres termes équivalents dans les lois applicables en matière de confidentialité (par exemple, « entreprise » telle que définie dans le CCPA).
1. DISPOSITIONS INTRODUCTIVES
1.1 Traitement des données personnelles en tant que sous-traitant de données personnelles. Smartsupp peut traiter des données personnelles au nom de l'utilisateur lorsque le Service est fourni à l'utilisateur et Smartsupp agit alors en tant que sous-traitant de données personnelles (ou sous-traitant) par rapport à l'utilisateur.
Les activités de traitement effectuées par Smartsupp découlent de l'inscription, de l'Accord ou des demandes documentées effectuées par l'utilisateur lors de la fourniture du Service via la plateforme disponible sur https://www.smartsupp.com (la « Plateforme »).
1.2 Autorisation de traitement des données personnelles. L'utilisateur autorise par la présente Smartsupp à traiter les données personnelles des personnes concernées fournies par l'utilisateur conformément au Service, comme indiqué dans le présent DPA. Smartsupp traitera les données personnelles de l'utilisateur conformément aux instructions documentées de l'utilisateur et uniquement si cela est nécessaire à la bonne exécution des obligations de Smartsupp en vertu de l'Accord.
1.3 Responsabilité de l'utilisateur . Smartsupp agissant en tant que responsable du traitement des données personnelles, l'utilisateur agit en tant que responsable du traitement et est donc responsable du respect de toutes les obligations liées au traitement des données personnelles. Parmi ces obligations figurent l'information appropriée des personnes concernées sur le traitement des données personnelles, l'obtention du consentement au traitement des données personnelles, si nécessaire, et le traitement des demandes des personnes concernées concernant l'exercice de leurs droits (tels que le droit à l'information, l'accès, la rectification, l'effacement, la restriction du traitement, l'opposition, etc.). Smartsupp aidera l'utilisateur à remplir ces obligations via la Plateforme ou via des demandes documentées de l'utilisateur. Cependant, Smartsupp n'est en aucun cas responsable de l'exactitude et de la légalité des activités de l'utilisateur, y compris toute activité susceptible de violer toute confidentialité ou toute autre législation stipulée dans le pays à partir duquel l'utilisateur utilise le Service.
2. OBJET DU TRAITEMENT, CATÉGORIE DE PERSONNES CONCERNÉES ET TYPE DE DONNÉES PERSONNELLES
2.1 Objet du traitement . L'objet du traitement des données personnelles, défini ci-dessous, par Smartsupp est la fourniture du Service tel que défini dans le Contrat, en particulier le traitement des données personnelles lorsque vous utilisez les fonctionnalités de notre Service telles que décrites sur le Site Web.
2.2 Types de données personnelles . Dans le cadre de l'exécution des obligations prévues par le Contrat et de la fourniture du Service, les types de données personnelles suivants peuvent être traités conformément au présent DPA :
a) des informations de contact, telles que le nom, le prénom, l'adresse e-mail, le numéro de téléphone ou le contact du compte de réseau social,
b) des détails sur la visite du site Web de l'utilisateur, tels que l'URL du site Web visité, la date et l'heure de la visite du site Web, les informations techniques (résolution de l'écran, type d'appareil, type de navigateur, système d'exploitation, etc.), l'adresse IP, les données de géolocalisation (pays et ville à partir desquels l'utilisateur a consulté votre site Web),
c) les informations contenues dans les conversations entre les utilisateurs et les clients ou d'autres utilisateurs lors de l'utilisation des fonctionnalités du Service,
d) les journaux techniques et autres informations sur les utilisateurs utilisant le Service (Smartsupp utilise des outils tiers pour capturer ces informations),
e) d'autres données personnelles téléchargées ou utilisées de toute autre manière par l'utilisateur, ou
f) les données personnelles dont le type, l'étendue et les détails sont déterminés et contrôlés par l'utilisateur à sa seule discrétion lors de la fourniture du Service.
La portée des données personnelles dépend du type de fonctionnalités du Service utilisées par l'utilisateur. Le Service n'est pas destiné à stocker des catégories particulières de données personnelles. L'utilisateur ne doit pas utiliser le Service pour stocker ou traiter des catégories particulières de données personnelles. Si l'utilisateur les traite via le Service, Smartsupp n'assume aucune responsabilité pour ce traitement.
2.3 Catégories de personnes concernées . Smartsupp traitera des données personnelles concernant ces catégories de personnes concernées :
a) les employés (et autres travailleurs et personnes agissant au nom de l’utilisateur) de l’utilisateur ;
b) les personnes pour lesquelles l'utilisateur a créé un compte au sein du Service ;
c) les clients et autres utilisateurs de l’utilisateur auquel le Service est fourni ;
d) les visiteurs du site Web de l’utilisateur ;
e) d'autres personnes dont les données personnelles ont été fournies à Smartsupp par l'utilisateur lors de la fourniture du Service et dont les données personnelles ont été enregistrées ou ont été autrement traitées conformément à la fourniture du Service à l'utilisateur.
3. NATURE ET FINALITÉ DU TRAITEMENT
3.1 Nature du traitement des données personnelles . Smartsupp traitera les données personnelles de manière automatisée et électronique et le traitement consistera à accéder aux données personnelles dans le cadre de la fourniture du Service, à consulter les données personnelles, à stocker les données personnelles et à d'autres activités pouvant correspondre à la fourniture du Service à l'utilisateur. La nature du traitement des données personnelles résulte de :
a) l’Accord conclu par les Parties ;
b) les demandes de l'utilisateur ou d'autres utilisateurs autorisés utilisant la Plateforme au nom de l'utilisateur ;
c) la nature du Service et de la Plateforme ;
d) toute autre instruction documentée fournie par l’utilisateur.
3.2 Finalité du traitement . La finalité du traitement est de fournir le Service à l'utilisateur, tel que défini dans les Conditions, et à d'autres fins pouvant découler de la fourniture du Service.
4. DURÉE DU TRAITEMENT
4.1 Durée du traitement des données personnelles . Le traitement des données personnelles sera effectué pendant toute la durée du Contrat ou aussi longtemps que Smartsupp recevra des instructions de l'utilisateur dans le cadre de l'exécution du Contrat. Smartsupp s'engage à respecter les obligations énoncées dans les lois sur la protection des données pendant toute la durée du Contrat, à moins qu'il ne ressorte clairement du Contrat qu'elles doivent se poursuivre après sa résiliation.
4.2 Restitution et suppression des données personnelles . En cas de résiliation du Contrat, dans la mesure permise par les lois applicables en matière de confidentialité, Smartsupp supprimera toutes les données personnelles stockées aux fins de la fourniture du Service dans les 3 mois suivant la résiliation. Si l'Utilisateur demande à Smartsupp dans le délai mentionné ci-dessus qu'il préfère restituer les données, Smartsupp est en droit de facturer des frais raisonnables dont le montant sera notifié à l'avance.
5. AUTRES DROITS ET OBLIGATIONS
5.1 Obligations de Smartsupp . Lors du traitement des données personnelles, Smartsupp s'engage à :
a) traiter les données personnelles uniquement sur la base des instructions documentées de l'utilisateur ; afin d'éviter tout doute, le traitement des données personnelles en conformité avec les obligations découlant de l'Accord sera considéré comme étant effectué conformément aux instructions de l'utilisateur ;
b) suivre les instructions de l'utilisateur concernant le transfert de données personnelles vers un pays tiers ou une organisation internationale, à moins qu'un tel traitement ne soit déjà requis par le droit de l'Union européenne ou de l'État membre auquel Smartsupp est soumis ;
c) veiller à ce que les personnes autorisées à traiter des données à caractère personnel soient liées par une obligation de confidentialité ou soumises à une obligation légale de confidentialité ;
d) compte tenu de la nature du traitement, assister l'utilisateur par des mesures techniques et organisationnelles appropriées, lorsque cela est possible, pour se conformer à l'obligation de l'utilisateur de répondre aux demandes d'exercice des droits des personnes concernées ; les règles relatives au traitement des demandes des personnes concernées sont précisées à l'article 5.2 du présent DPA ;
e) aider l'utilisateur à remplir ses obligations visant à (i) garantir le niveau de sécurité du traitement, (ii) signaler les violations de données personnelles à l'autorité de protection des données et, le cas échéant, aux personnes concernées, (iii) évaluer l'impact sur la protection des données personnelles et (iv) procéder à une consultation préalable avec l'autorité de protection des données, le tout en tenant compte de la nature du traitement et de la nature des données personnelles traitées ;
f) permettre à l'utilisateur ou à une personne autorisée par l'utilisateur de vérifier (y compris par audit ou inspection) le respect du présent DPA, en particulier le respect des obligations de traitement des données à caractère personnel qui en découlent, et contribuer à ces contrôles selon les instructions raisonnables de l'utilisateur ou de la personne autorisée ; les règles spécifiques relatives aux audits sont énoncées aux articles 5.3 et 5.4 du présent DPA ;
g) fournir à l'utilisateur toutes les informations que l'on peut raisonnablement attendre de Smartsupp pour attester du respect des obligations prévues par la législation pertinente en matière de protection des données.
5.2 Demandes des personnes concernées . Si une personne concernée contacte directement Smartsupp, Smarstupp doit informer la personne concernée d'adresser directement la demande à l'utilisateur. Smartsupp ne fera que des efforts commercialement raisonnables pour aider l'utilisateur à répondre à cette demande de la personne concernée, dans la mesure où Smartsupp est légalement autorisé à le faire. L'utilisateur sera responsable de tous les coûts découlant de la fourniture de cette assistance par Smartsupp et sera responsable du traitement correct de cette demande.
5.3 Règles d'audit . L'utilisateur doit adresser toute demande d'audit (contrôle) exclusivement à l'adresse e-mail de Smartsupp dpo@smartsupp.com, à des intervalles raisonnables. Dès réception d'une demande d'audit, les parties conviennent au préalable (i) de la date possible de l'audit, (ii) des mesures de sécurité et de la manière de garantir le respect des obligations de confidentialité pendant l'audit, et (iii) du début, de l'étendue et de la durée prévus de l'audit. Si aucun accord n'est trouvé dans les 30 jours suivant la date de la demande, Smartsupp détermine les modalités de l'audit.
5.4 Auditeur >.Smartsupp peut formuler une objection écrite à l'encontre de tout auditeur (personne autorisée) désigné par l'utilisateur si, de l'avis de Smartsupp, l'auditeur n'est pas suffisamment qualifié, n'est pas indépendant, se trouve dans une position concurrentielle par rapport à Smartsupp ou est manifestement inadapté. Suite à l'objection, l'utilisateur sera obligé de nommer un autre auditeur ou d'effectuer lui-même l'audit. L'utilisateur doit informer rapidement Smartsupp de toute non-conformité, soit aux lois applicables en matière de confidentialité, soit au présent DPA, découverte au cours de l'audit.
5.5 Portée de l'audit . La portée de l'audit effectué par l'utilisateur comprend uniquement la documentation et les processus directement associés à l'utilisation du Service par l'utilisateur spécifique.
5.6 Sous-traitants . L'utilisateur accepte l'implication d'autres sous-traitants dans le traitement des données personnelles. Selon le type de Service fourni ou demandé par l'utilisateur, Smartsupp peut utiliser d'autres sous-traitants ou partager des données personnelles avec d'autres destinataires de données personnelles. L'utilisateur accepte que Smartsupp implique des sous-traitants répertoriés à l'adresse suivante :http://help.smartsupp.com/fr_FR/list-of-sub-processorsla (« Liste des sous-traitants »).
5.7 Objections à d'autres sous-traitants . Smartsupp doit informer l'utilisateur par écrit ou via la mise à jour de la liste des sous-traitants de l'implication d'un sous-traitant supplémentaire avant l'implication du sous-traitant supplémentaire, et l'utilisateur peut s'opposer à l'implication du sous-traitant supplémentaire dans les 10 jours ouvrables suivant la notification. Si l'utilisateur ne s'y oppose pas dans le délai imparti, Smartsupp impliquera le sous-traitant supplémentaire. En cas d'objection de l'utilisateur, Smartsupp évaluera l'objection et, si elle la trouve justifiée, elle n'engagera pas le sous-traitant supplémentaire ou n'apportera pas de modification commercialement raisonnable à la configuration ou à l'utilisation du Service par l'utilisateur pour éviter le traitement par ce sous-traitant. Si le changement n'est pas possible, Smartsupp peut résilier le Contrat avec l'utilisateur (ou une partie) ou ne pas fournir la partie du Service à laquelle le sous-traitant supplémentaire est lié, sans être en défaut ou en violation d'aucune obligation. Smartsupp remboursera à l'utilisateur tous les frais prépayés couvrant le reste de la durée de cet accord après la date d'effet de la résiliation concernant ce service résilié, sans imposer de pénalité pour cette résiliation à l'utilisateur.
5.8 Obligations envers d'autres sous-traitants . Si Smartsupp fait appel à un autre sous-traitant, celui-ci devra s'engager contractuellement à respecter les mêmes obligations de protection des données personnelles que celles convenues entre l'utilisateur et Smartsupp et également à mettre en œuvre des mesures techniques et organisationnelles appropriées.
5.9 Responsabilité du sous-traitant . Smartsupp sera responsable des actes et omissions de ses sous-traitants dans la même mesure que Smartsupp serait responsable si la fourniture du Service de chaque sous-traitant était effectuée directement dans le cadre des termes du présent DPA, sauf disposition contraire dans l'Accord.
5.10 Coûts liés à l'exécution du DPA . Sauf accord écrit contraire, l'utilisateur supportera ses propres coûts liés à l'exécution du DPA. Smartsupp est en droit de facturer à l'utilisateur les coûts raisonnables engagés pour traiter toute demande et exécuter toute obligation en vertu du présent DPA.
6. SÉCURITÉ DES DONNÉES PERSONNELLES ET VIOLATIONS DE DONNÉES PERSONNELLES
6.1 Obligation de protéger les données personnelles . Smartsupp a adopté et maintient des mesures techniques et organisationnelles pour empêcher l'accès non autorisé ou accidentel aux données personnelles, la modification, la destruction ou la perte, les transmissions non autorisées, tout autre traitement non autorisé ou toute autre utilisation abusive non autorisée des données personnelles. Smartsupp surveille régulièrement le respect de ces mesures.
6.2 Mesures de sécurité spécifiques . Smartsupp a adopté et maintient les mesures suivantes pour assurer un niveau de sécurité adéquat :
Mesures techniques :
a) Pseudonymisation et cryptage des données personnelles :
la plateforme sur laquelle les données personnelles sont traitées autorise uniquement les canaux ou protocoles sécurisés pour les connexions réseau entrantes ; Smartsupp crypte les données à l'aide de SSL/TLS pour toutes les transmissions de données
les systèmes informatiques traitant des données personnelles n'autorisent que des canaux ou des protocoles sécurisés ;
les clés cryptographiques sont gérées de manière sécurisée.
b) La capacité à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement :
l'accès physique du personnel de Smartsupp est limité aux personnes autorisées ;
Smartsupp a adopté des mécanismes pour restreindre l’accès physique ou en ligne aux serveurs hébergeant des données personnelles ;
empêcher les personnes non autorisées d’accéder aux données personnelles et empêcher que les données personnelles soient utilisées sans autorisation ;
les personnes autorisées à traiter les données personnelles n'ont accès qu'aux données personnelles dont elles ont besoin et auxquelles elles sont autorisées à accéder, et ces données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement ;
l'accès est fortement authentifié (par exemple, en utilisant des mots de passe forts) ;
les droits d’accès sont vérifiés périodiquement ;
les tentatives d’accès (réussies et échouées) sont enregistrées et surveillées ;
Il est interdit au personnel de Smartsupp de télécharger et de traiter des données personnelles localement sur leurs postes de travail ou dans tout autre emplacement réseau ;
toutes les défaillances possibles de la Plateforme et les anomalies sont enregistrées.
c) La capacité de rétablir la disponibilité et l'accès aux données personnelles en temps utile en cas d'incidents physiques ou techniques :
Smartsupp a adopté le processus, le mécanisme et les outils de sauvegarde ;
La procédure de restauration, la lisibilité des données et l'intégrité des sauvegardes sont testées périodiquement.
d) Smartsupp a adopté un processus de test, d'évaluation et d'appréciation régulier de l'efficacité des mesures techniques et organisationnelles mises en place pour garantir la sécurité du traitement.
e) Les données personnelles ne peuvent être modifiées ou supprimées sans autorisation pendant la transmission, le transport ou le stockage électronique, et que les entités destinataires de tout transfert peuvent être établies et vérifiées.
Mesures organisationnelles :
f) Tout le personnel impliqué dans le traitement des données personnelles est informé du caractère confidentiel des données personnelles, a reçu une formation appropriée concernant ses responsabilités et a conclu des accords de confidentialité écrits.
g) Smartsupp a mis en œuvre des directives et des processus internes pour sécuriser le traitement des données personnelles conformément aux lois applicables en matière de confidentialité.
h) Pour toute question concernant le présent DPA, la conformité aux lois sur la protection des données, la confidentialité des données ou tout autre problème de confidentialité, le client peut envoyer un e-mail à privacy@smartsupp.com.
6.3 Incidents de sécurité . Si Smartsupp découvre une violation de données personnelles, elle doit la signaler à l'utilisateur sans retard injustifié, au plus tard 48 heures après avoir pris connaissance de l'incident de sécurité, et doit déployer des efforts raisonnables pour fournir à l'utilisateur toutes les informations connues sur l'incident, limitées à :
- description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
- description des conséquences probables de la violation des données personnelles ;
- proposition de mesures qui peuvent être prises par l’utilisateur pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.
Smartsupp répondra à toute demande d'assistance de l'utilisateur en cas de faille de sécurité dans un délai injustifié.
6.4 Instructions illégales . Si l'utilisateur donne des instructions à Smartsupp de telle manière qu'une violation des obligations en vertu des lois sur la protection des données se produit, et que Smartsupp est sanctionné par une autorité de contrôle ou un autre organisme de réglementation sur la base de ces instructions, ou est tenu d'indemniser les personnes concernées, l'utilisateur s'engage à indemniser Smartsupp et à payer les dommages subis, sur notification écrite de Smartsupp.
6.5 Limitation de responsabilité . La même limitation de responsabilité que celle stipulée dans les Conditions s'applique au présent DPA.
6.6 Modifications . Les mêmes règles de modification que celles stipulées dans les Conditions s'appliquent.
6.7 Efficacité . Le présent DPA deviendra juridiquement contraignant entre l'utilisateur et Smartsupp avec l'Accord.
Versions linguistiques . Le DPA peut être rédigé en plusieurs versions linguistiques. En cas de divergence ou d'incohérence entre les versions linguistiques, la version anglaise prévaut.