Sojern Inc.Addenda relatif au traitement des données

Dernière mise à jour le 14 septembre 2022

Le présent Addenda relatif au traitement des données, y compris les Annexes 1 et 2 (« DPA »), énonce les conditions essentielles requises par Sojern, Inc., une société du Delaware dont le principal lieu d'activité est situé au 575 Market Street, 4th Floor, San Francisco, CA 94105 États-Unis (« Sojern »). Aux fins du présent DPA, la société qui est partie au Contrat (tel que défini ci-dessous) dans lequel ce DPA est incorporé est appelée « Société ».

1. Définitions

« Contrat » désigne tout contrat entre les parties en vertu duquel Sojern reçoit, collecte, accède ou traite de toute autre manière des Données personnelles aux fins prévues par le contrat de fournisseur de données ou de service applicable. Le présent DPA incorpore les conditions générales du Contrat telles que prévues dans les présentes. En cas de conflit entre le DPA et le Contrat, les conditions du présent DPA prévalent. Tous les termes commençant par une majuscule, utilisés mais non définis dans les présentes, ont leur signification respective, telle que définie dans le Contrat.

« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable, qui peut être identifiée directement ou indirectement.

« Service » désigne les services fournis par Sojern ou la Société, selon le cas, en vertu du Contrat.

2. Application du DPA

Aux fins du traitement effectué par Sojern conformément au Contrat, le rôle de Sojern en tant que sous-traitant ou contrôleur de données pour les Données personnelles traitées par Sojern sera défini dans le Contrat applicable.

3. Utilisation des Données personnelles

Sauf autorisation expresse dans les présentes ou par écrit de la Société, Sojern (a) ne divulguera, ne vendra, ne distribuera ou ne transmettra pas de Données personnelles directement ou indirectement à un tiers, ou (b) n'utilisera pas des Données personnelles, directement ou indirectement, à des fins autres que de fournir le Service à la Société en vertu du Contrat, et conformément à toutes les lois applicables en matière de protection des données et de la vie privée.

4. Respect de la législation ; autres instructions

Chaque partie certifie qu'elle comprend ses obligations en vertu des lois applicables en matière de protection des données et de la vie privée et traite les Données personnelles conformément à toutes les lois applicables en matière de protection des données et de la vie privée. Lorsque Sojern agit en tant que sous-traitant des données, Sojern traitera les données conformément aux indications et instructions de la Société mentionnées dans le Contrat, sauf notification contraire d'une autorité de réglementation indiquant que ce traitement ne respecte pas les lois applicables en matière de protection des données et de la vie privée. Dans ce cas, Sojern fournira rapidement à la Société une note écrite stipulant cet avis réglementaire et pourra cesser de traiter les Données personnelles jusqu'à ce que le problème réglementaire soit résolu.

5. Registres ; coopération pour la conformité

Chaque partie tiendra un registre écrit ou électronique concernant le traitement des Données personnelles. Chaque partie coopérera raisonnablement avec l'autre partie pour se conformer aux lois applicables en matière de protection des données et de la vie privée en ce qui concerne les évaluations d'impact des données, les registres sur le traitement, les demandes ou consultations connexes avec les autorités chargées de la protection des données et les audits conformément au Contrat applicable afin de permettre à la Société de confirmer que Sojern a respecté ses obligations en vertu des lois applicables en matière de protection des données et de la vie privée et du Contrat.

6. Politique de confidentialité de Sojern

Les parties reconnaissent que Sojern n'entretient pas de relation directe avec des individus dont les Données personnelles sont fournies à Sojern. Ainsi, lorsque les lois applicables en matière de protection des données et de la vie privée l'exigent, la Société mettra à la disposition des individus dont les Données personnelles sont traitées par Sojern la Politique de confidentialité de Sojern disponible à l'adresse http://www.sojern.com/privacy/privacy-policy/

7. Avis, consentement et refus

La Société doit informer les individus et obtenir leur consentement, conformément aux lois applicables en matière de protection des données et de la vie privée pour collecter, utiliser et divulguer des Données personnelles. Si les lois applicables en matière de protection des données et de la vie privée exigent la mise en place de mécanismes par lesquels les individus peuvent exercer des droits, y compris, mais sans s'y limiter, les droits de refus, la Société (ou toute autre partie responsable de la collecte des Données personnelles pour le compte de la Société) mettra à la disposition des individus concernés de tels mécanismes. La Société sera réputée avoir fourni les avis appropriés et obtenu les autorisations nécessaires, le cas échéant, de tout individu dont les Données personnelles sont fournies à Sojern.

8. Droits au respect de la vie privée

Chaque partie coopérera raisonnablement avec l'autre partie pour répondre à toute demande ou plainte émanant d'individus concernant le traitement des Données personnelles en vertu du Contrat et afférant aux droits à la vie privée conformément aux lois applicables en matière de protection des données et de la vie privée. Si Sojern reçoit une demande d'un individu, Sojern devra rapidement : (A) transmettre la demande à la Société pour la gestion de la demande ; et (b) si Sojern est un sous-traitant de données, mettre en œuvre la décision de la Société quant à la manière de répondre à la demande.

9. Données personnelles dans l'UE

Dans la mesure où les Données personnelles provenant de l'extérieur des États-Unis (y compris l'espace économique européen (EEE), le Royaume-Uni ou la Suisse) sont transférées à Sojern, où le traitement des données nécessite une adéquation en vertu des lois du pays de la Société, et où les conditions requises peuvent être remplies par les dispositions du présent DPA, les parties conviennent que le présent DPA intègre par référence, le cas échéant, les clauses contractuelles types de la Commission européenne (UE) 2021/914 pour le transfert de Données personnelles vers des pays tiers conformément à la Réglementation (UE) 2016-679 par les contrôleurs de l'UE/EEE vers les sous-traitants établis en dehors de l'UE/EEE (« Module 2 ») et/ou par les contrôleurs de l'UE/EEE vers des contrôleurs établis en dehors de l'UE/EEE (« Module 1 »), et telles qu'elles sont modifiées ou remplacées périodiquement par la Commission européenne (collectivement, les « Clauses »). À des fins de commodité, les Clauses en lien hypertexte ci-dessus sont générées en fonction du texte mis à disposition par la Commission européenne dans le seul but d'incorporer les Clauses dans le Contrat, de sélectionner le(s) Module(s) approprié(s) et d'ajouter des informations dans l'Annexe, comme autorisé par les Clauses. Aux fins des transferts de Données personnelles, la Société sera l'« exportateur de données » et Sojern sera l'« importateur de données » (même si la Société est une entité située en dehors de l'UE/EEE, à condition que la Société soit par ailleurs soumise à la Réglementation (UE) 2016-679). Lorsque les Clauses s'appliquent, la Société et Sojern seront réputées avoir conclu celles-ci en leurs noms respectifs et pour leur propre compte, et les noms, adresses, coordonnées, rôles et activités des parties liés aux Données personnelles transférées en vertu des présentes Clauses seront fournis dans le Contrat. La signature du Contrat sera réputée être une signature des Clauses, en particulier la signature de l'Annexe I.A des Clauses. En cas de conflit entre les conditions du présent DPA et les Clauses, les Clauses applicables prévaudront.

  1. Contrôleur à Contrôleur. Aux fins du Module 1, (i) l'Annexe 1 du présent DPA remplacera l'Annexe 1.B du Module 1 ; (ii) l'Annexe 2 du présent DPA remplacera de l'Annexe II du module 1 ; et (iii) en vertu de la Clause 11(a) du Module 1, le texte facultatif fourni est sélectionné ; (iv) en vertu de la Clause 17 du Module 1, l'OPTION 1 est sélectionnée et l'État membre de l'UE est l'Irlande ; et (v) en vertu de la Clause 18(b) du Module 1, les tribunaux d'Irlande sont sélectionnés.
  2. Contrôleur vers sous-traitant. Aux fins du Module 2, (i) l'Annexe 1 du présent DPA remplacera l'Annexe 1.B du Module 2 ; (ii) l'Annexe 2 du présent DPA remplacera l'Annexe II du Module 2 ; (iii) en vertu de la Clause 9(a) du Module 2, OPTION 2 : L'AUTORISATION ÉCRITE GÉNÉRALE est sélectionnée et le délai de préavis est de trente (30) jours ; (iv) en vertu de la Clause 11(a) du Module 2, le texte facultatif fourni est sélectionné ; (v) en vertu de la Clause 17 du Module 2, l'OPTION 1 est sélectionnée et l'État membre de l'UE est l'Irlande ; et (vi) en vertu de la Clause 18(b) du Module 2, les tribunaux d'Irlande sont sélectionnés.
  3. Section 702 du FISA et Executive Order 12333. Sojern notifiera immédiatement la Société et cessera d'accepter les Données personnelles si Sojern prend connaissance qu'il est soumis à des obligations de partage ou de divulgation des données prévue par la Section 702 du Foreign Intelligence Surveillance Act (FISA) et/ou l'Executive Order 12333 des États-Unis. Si des directives supplémentaires sont publiées par le Contrôleur européen de la protection des données ou toute autre autorité de réglementation qui réglemente la Société concernant les mesures adéquates supplémentaires requises pour l'exportation internationale des Données personnelles, Sojern devra rapidement mettre en œuvre toute autre mesure adéquate.

10. Mesures de sécurité

Chaque partie mettra en œuvre et maintiendra des mesures techniques, physiques et organisationnelles appropriées pour protéger les Données personnelles contre tout traitement non autorisé ou illégal et contre toute perte, toute destruction ou tout dommage accidentel.

  1. Violation des Données personnelles. Dès qu'une des parties prend connaissance de la violation des Données personnelles en vertu des lois applicables en matière de protection de la vie privée et des données, elle en informera l'autre par écrit sans retard excessif et dans les délais requis par les lois applicables en matière de protection de la vie privée et des données. Chaque partie coopérera raisonnablement avec l'autre pour atténuer, dans la mesure du possible, les effets indésirables de toute violation des Données personnelles.
  2. Stockage des données ; suppression des Données personnelles après la résiliation. Sojern met en œuvre des mesures techniques en matière de sécurité pour empêcher tout accès non autorisé aux Données personnelles, notamment en chiffrant des Données personnelles sous forme électronique pendant le transport et au repos sur les réseaux ou systèmes de Sojern. Les obligations de Sojern à l'égard des Données personnelles en cas de résiliation du Contrat sont énoncées dans la section Durée et résiliation du Contrat, sous réserve des conditions de conservation des données du Contrat applicable.

11. Sous-traitants ultérieurs

La Société accorde à Sojern une autorisation générale d'utiliser d'autres sous-traitants de données pour le traitement des Données personnelles (« Sous-traitants ultérieurs »), qui sont liés par des obligations de protection de la vie privée et des données conformément au présent DPA, répertoriés à l'adresse http://sojern.com/legal/partner-list. Si le Contrat l'exige ou si Sojern agit en qualité de sous-traitant de données, Sojern informera la Société de tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs en mettant à jour la liste susmentionnée, donnant ainsi à la Société la possibilité de s'opposer à ces changements. De même, les instructions relatives aux objections sont fournies à la même adresse. Si la Société s'oppose raisonnablement à un changement et que Sojern n'est pas en mesure de résoudre cette objection, la Société peut mettre fin au Contrat et au DPA.

12. Application du DPA

Le présent DPA restera en vigueur tant que le(s) dernier(s) (a) Contrat(s) demeure(nt) en vigueur et (b) Sojern conserve des copies des Données personnelles. L'une ou l'autre des parties peut mettre fin au présent DPA immédiatement en cas de violation substantielle du présent DPA ou si une autorité de réglementation et/ou un tribunal compétent estime que le traitement des Données personnelles par les parties viole de manière significative les lois applicables en matière de protection de la vie privée et des données, sous réserve toutefois que la partie non défaillante notifie la violation présumée et que cette violation n'ait pas été traitée pendant une période de quinze (15) jours suivant la notification.

13. Droit applicable

Le présent DPA sera réputé avoir été conclu et sera interprété conformément aux lois de l'État de Californie, aux États-Unis, sans tenir compte des dispositions relatives aux conflits de lois.

ANNEXE 1

Description du transfert

Catégories de sujets dont les données personnelles sont transférées

Voyageurs et autres clients de la Société.

Catégories de données personnelles transférées

Les Données personnelles transférées par la Société sont fournies conformément au Contrat et peuvent inclure, sans s'y limiter :

  • Des informations relatives à un identifiant en ligne unique, tel qu'un ID de cookie, un identifiant d'appareil mobile, une adresse e-mail hachée, un identifiant publicitaire et des numéros d'identification client attribués par la Société.
  • Des informations relatives au périphérique d'un individu, telles que l'adresse IP, le type de périphérique, le type de navigateur, la date et l'heure des clics et des visites Web, les URL consultées et d'autres informations techniques.
  • Des informations relatives aux voyages d'un individu, telles que le nombre et le type de voyageurs, devise/taux/tarifs/frais, les informations sur les recherches et réservations (telles que les dates de départ et d'arrivée et le pays ou la ville de destination), les informations sur les programmes de fidélité ou de récompense, ainsi que les préférences en matière d'hébergement ou de service (telles que le type de chambre, le choix des sièges dans l'avion ou le type de voiture, et les préférences en matière d'installations et d'équipements).
Des données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que les limitations d'usage strictes, les restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune

La fréquence du transfert (par exemple, si les données sont transférées sur une base ponctuelle ou continue).

Sur une base continue, pour la durée du Contrat applicable.

Nature du traitement

Collecte d'informations de navigation en ligne via l'utilisation de cookies et d'autres technologies de suivi.

Objectif(s) du transfert et du traitement ultérieur de données
À toute fin légale en rapport avec les Services fournis en vertu du Contrat entre l'exportateur de données et l'importateur de données, notamment la publicité ciblée basée sur les informations de navigation en ligne. Aucun traitement ultérieur n'est autorisé.
La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période.

Pendant toute la durée du Contrat applicable, sauf si, au choix de l'exportateur de données, les Données personnelles sont supprimées ou restituées.

Pour les transferts à des (sous-)traitants ultérieurs, précisez également l'objet, la nature et la durée du traitement

Les sous-traitants ultérieurs sont répertoriés à l'adresse http://sojern.com/legal/partner-list/, comme le permet la Clause 9(a) du Modèle 1.

  • Objet du traitement :  Les sous-traitants ultérieurs fournissent une infrastructure et des services d'hébergement, de stockage et de traitement pour permettre à Sojern de fournir des services à ses clients. En outre, les sous-traitants ultérieurs diffusent des publicités numériques sur des sites Web, des applications mobiles et d'autres propriétés connectées à Internet, produisent des rapports sur les performances des campagnes publicitaires et fournissent une plateforme qui facilite la vente d'impressions/d'inventaire en ligne par le biais d'enchères en temps réel.
  • Nature du traitement :  Les fournisseurs d'hébergement dans le cloud stockent et traitent les données fournies par les clients de Sojern, et les plateformes côté demande traitent les données pour les services d'achat média et de publicité programmatiques.
  • Durée du traitement :  Pour la durée du contrat entre Sojern et les sous-traitants ultérieurs, sous réserve des périodes de conservation qui y sont prévues.

Autorité de contrôle compétente

L'autorité de contrôle de l'un des États membres dans lesquels les sujets dont les Données personnelles sont transférées en vertu des présentes Clauses en relation avec l'offre de biens ou de services qui leur ai faite, ou dont le comportement est surveillé, comme indiqué à l'Annexe I.C, agit en tant qu'autorité de contrôle compétente.

ANNEXE 2

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

  1. Généralités. Sojern établira, mettra en œuvre et maintiendra des mesures administratives, techniques et organisationnelles appropriées, qui sont conçues pour protéger contre le traitement non autorisé ou illégal des Données personnelles et contre la perte ou la destruction accidentelle ou l'endommagement des Données personnelles. Ces mesures permettront de se conformer aux lois applicables en matière de protection des données et Sojern se conformera à tout moment à ses politiques de sécurité de l'information et à son programme de sécurité de l'information.
  2. Politiques et normes de sécurité de l'information. Sojern maintiendra des politiques, normes et procédures de sécurité de l'information. Ces politiques, normes et procédures doivent être tenues à jour et révisées chaque fois que des modifications pertinentes sont apportées aux systèmes d'information qui utilisent ou stockent des données personnelles.
  3. Gestion des vulnérabilités. Sojern maintiendra un programme de gestion des vulnérabilités pour tous les systèmes qui traitent des Données personnelles, notamment, une analyse des vulnérabilités internes et externes avec des résultats d'évaluation des risques et des plans de mesures correctives formels pour résoudre les vulnérabilités identifiées.
  4. Évaluation des risques. Sojern effectuera des évaluations périodiques des risques afin d'identifier et d'évaluer les risques raisonnablement prévisibles en matière de sécurité, de confidentialité et d'intégrité des documents contenant des Données personnelles, et évaluera et améliorera, le cas échéant, l'efficacité de ses mesures de protection pour limiter ces risques.
  5. Classification des données. Sojern appliquera des politiques et des procédures pour classifier les informations sensibles, clarifier les responsabilités en matière de sécurité et promouvoir la sensibilisation de tous les employés.
  6. Chiffrement. Sojern mettra en œuvre des mécanismes de chiffrement standard et des suites de chiffrement puissantes (AES 256 bits recommandé) pour le stockage et la transmission. Sojern acceptera les connexions sur des canaux chiffrés (TLS recommandé).
  7. Sécurité du réseau. Sojern sécurisera son réseau en employant une approche de défense en profondeur qui utilise des équipements disponibles dans le commerce et des techniques standard du secteur, notamment, des pare-feu, des systèmes de détection des intrusions, des listes de contrôle d'accès et des protocoles de routage.
  8. Contrôle des virus et des logiciels malveillants. Sojern protégera les Données personnelles contre les codes malveillants et installera et maintiendra un logiciel de protection contre les virus et les programmes malveillants sur tout système qui traite des Données personnelles.
  9. Contrôle des accès. Sojern appliquera le principe du moindre privilège selon lequel l'accès aux Données personnelles n'est accordé qu'aux personnes au sein de l'organisation ayant un besoin commercial pour cet accès et les autorisations seront limitées au minimum requis pour exécuter la fonction spécifique.
  10. Lieu de traitement. Les Données personnelles seront traitées par Sojern aux États-Unis, sous réserve des lois applicables en matière de protection des données qui peuvent en disposer autrement.
  11. Réponse aux incidents. Sojern maintiendra un programme de réponse aux incidents de sécurité des données et documentera tous les incidents de sécurité des données suspectés. Sojern enquêtera sur tout incident de sécurité des données et prendra toutes les mesures nécessaires pour éliminer ou contenir l'incident de sécurité des données.
  12. Personnel. Sojern maintiendra un programme de sensibilisation et de formation à la sécurité de l'information et formera le personnel essentiel de Sojern aux mesures de protection des données et aux protections générales en matière de cybersécurité.
  13. Fournisseur. Sojern maintiendra un programme de gestion des fournisseurs qui évaluera tous les fournisseurs avec lesquels Sojern échange des données personnelles. Ces fournisseurs seront tenus de respecter des normes de sécurité des données aussi restrictives que celles énoncées dans les présentes.