Cet accord de protection des données (“Data Processing Agreement” ou “DPA”) est applicable entre la société CYNAPPS, nom commercial Araïko, Société par Action Simplifiée au capital social de 1 189,50 euros, immatriculée au registre du commerce et des sociétés de Bourg-en-Bresse sous le numéro B 890 872 039, dont le siège social est situé 555 Chemin des Arcuires, 01250 Montagnat, et ses Clients tels qu’identifiés dans les commandes, ci-après “Le Client”.
Dans le cadre de l’exécution du ou des Commandes et des Conditions Générales d’Achats Shiroo (CGA) qui y sont annexées, conclus entre ARAIKO et le Client, le Client, en sa qualité de Responsable de Traitement, confie à ARAIKO, en sa qualité de Sous-Traitant, le traitement de Données Personnelles.
Le présent Accord de Protection des Données est annexé au Bon de Commande et aux Conditions Générales d’Achats d’Araïko.
Les parties entendent se conformer à toutes les réglementations applicables en matière de Traitement des Données Personnelles, et en particulier à la loi française n°78-17 du 6 janvier 1978 (dite « Loi Informatique et Libertés ») telle que modifiée, ainsi qu’au Règlement Général de l’Union Européenne sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »).
Les parties ont convenu du présent Contrat afin d’assurer le respect des dispositions de l’Article 28(3) et (4) du RGPD. Ce Contrat s’applique au traitement des données personnelles tel que spécifié à l’Article 1.
Il est expressément convenu que les termes utilisés dans ce Contrat avec une majuscule (par exemple, Responsable de Traitement, Données Personnelles, Service, ...) correspondent aux définitions contenues dans le RGPD et les CGV. Ce Contrat doit être lu et interprété à la lumière des dispositions du RGPD.
Les détails des opérations de traitement, en particulier les catégories de données personnelles et les finalités pour lesquelles les données personnelles sont traitées pour le compte du Client, en sa qualité de Responsable de Traitement, sont :
● Catégories de personnes concernées dont les données personnelles sont traitées : le personnel et les employés du Client utilisant les services fournis par ARAIKO.
● Catégories de données personnelles traitées : données relatives à la connexion (l'identification des personnes concernées (nom, prénom, coordonnées et adresse e-mail), données de chat (Questions / Réponses, documentation client, fiches de Captation), avis clients et statistiques utilisateurs.
● Objet du traitement : la fourniture par ARAIKO du Service, et son utilisation par le Client, conformément aux Commandes et aux CGA annexées, conclus entre ARAIKO et le Client.
● Nature du traitement : la collecte et l'analyse de données, y compris des Données Personnelles, pour le compte du Client.
● Finalités du traitement : la réalisation par ARAIKO, pour le compte du Client, du Service, comprenant principalement la captation, la collecte et la restitution de connaissances, ainsi que l’amélioration du service.
● Durée du traitement : les Données Personnelles sont traitées par ARAIKO pendant la durée de la relation contractuelle avec le Client, prorogés de 3 mois pour permettre la récupération des données par le Client.
ARAIKO ne traitera les données personnelles que sur instructions documentées du Client et conformément aux dispositions ci-dessus, sauf si une obligation lui est imposée par le droit de l'Union ou le droit d'un État membre auquel ARAIKO est soumis. Dans ce cas, ARAIKO informera le Client de cette obligation légale avant d'effectuer le traitement, sauf si la loi l'interdit pour des raisons importantes d'intérêt public. Des instructions supplémentaires peuvent également être données par le Client pendant toute la durée du traitement des données personnelles. Ces instructions devront toujours être documentées.
Si ARAIKO estime que l'une des instructions du Client constitue une violation des réglementations applicables en matière de protection des données personnelles, il en informera immédiatement le Client. ARAIKO ne pourra être tenu responsable en aucune manière des instructions et décisions du Client, ni de leurs éventuelles conséquences.
Les dispositions du présent Contrat, ainsi que l'activation par le Client, ses Administrateurs ou Utilisateurs des fonctionnalités du Service, constituent des instructions documentées du Client à ARAIKO.
ARAIKO ne traitera les Données Personnelles que pour les finalités du traitement définies à l’Article 1, sauf instructions supplémentaires reçues de la part du Client.
ARAIKO ne traitera les Données Personnelles que pendant la durée du traitement définie à l’Article 1, sauf instructions supplémentaires reçues de la part du Client.
ARAIKO s’engage à mettre en place des mesures de sécurité techniques et organisationnelles appropriées pour garantir la sécurité des Données Personnelles qu’il traite, afin de les protéger contre toute destruction, perte, altération, divulgation non autorisée ou accès non autorisé, ou toute autre forme de traitement non autorisé. Lors de l’évaluation du niveau de sécurité approprié, ARAIKO prend dûment en compte l’état de l’art, les coûts de mise en œuvre, la nature, l’étendue, le contexte et les finalités du traitement, ainsi que les risques encourus pour les personnes concernées.
Une description de ces mesures a été élaborée par ARAIKO conformément à l’Article 32 du RGPD et est disponible sur demande écrite.
ARAIKO limite l’accès aux Données Personnelles traitées aux seuls membres de son personnel pour lesquels cet accès est strictement nécessaire à la mise en œuvre, à la gestion et au suivi du Service. ARAIKO veille à ce que les personnes autorisées à traiter les Données Personnelles soient soumises à une obligation contractuelle de confidentialité appropriée.
ARAIKO mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans ce Contrat et découlant directement du RGPD.
À la demande du Client, ARAIKO permettra et contribuera également à des audits des activités de traitement couvertes par ce Contrat, à des intervalles raisonnables ou en cas d’indications de non-conformité.
Les "intervalles raisonnables" signifient qu’un audit peut être réalisé une (1) fois par année civile, avec un préavis écrit de soixante (60) jours à ARAIKO.
Cet audit doit être conduit de manière à respecter la sécurité et la confidentialité de la documentation et des procédures d’ARAIKO. Il durera au maximum une (1) journée et se tiendra pendant les heures normales de bureau dans les locaux d’ARAIKO.
Le Responsable de traitement peut décider de mener lui-même l’audit ou de nommer un auditeur indépendant, choisi d’un commun accord entre les parties et soumis à une obligation de confidentialité.
Nonobstant toute disposition contraire, le Client sera responsable de tous les coûts et/ou frais encourus à la suite de cette visite.
Les parties s’engagent à fournir aux autorités compétentes de supervision les informations prévues dans cette clause, y compris les résultats de tout audit, sur demande.
ARAIKO dispose de l’autorisation générale du Client pour le recours à des sous-traitants énumérés dans la liste convenue (Annexe 1).
ARAIKO s’engage à fournir une liste à jour de ses sous-traitants et des activités de traitement effectuées sur demande du Client.
ARAIKO informera le Client de tout changement envisagé de cette liste, par ajout ou remplacement de sous-traitants, au moins quinze (15) jours avant la date d’ajout ou de remplacement du sous-traitant concerné.
L’absence d’objection de la part du Client sera considérée comme une acceptation des changements affectant la liste des sous-traitants.
Lorsqu’ARAIKO fait appel à un sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du Client, le sous-traitant d’ARAIKO est tenu de respecter, en substance, les mêmes obligations en matière de protection des données que celles imposées à ARAIKO conformément à ce Contrat. Il revient à ARAIKO de s’assurer que le sous-traitant présente des garanties suffisantes pour la mise en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD.
ARAIKO reste pleinement responsable vis-à-vis du Client de l’exécution par ses sous-traitants de leurs obligations.
Le Client doit informer les Personnes Concernées du traitement de leurs données et de leurs droits en vertu de la “Loi Informatique et Libertés” et du RGPD (droits d’accès, d’information, d’opposition, etc.). En particulier, le Client doit informer ses propres employés, ARAIKO ne peut en aucun cas être tenu responsable de cette obligation.
ARAIKO notifiera rapidement le Client de toute demande reçue d’une Personne Concernée. Le Client s’engage à répondre aux demandes des Personnes Concernées dans un délai d’un (1) mois.
En tant que Sous-traitant, ARAIKO aidera le Client à remplir ses obligations de répondre aux demandes des Personnes Concernées concernant l’exercice de leurs droits, en tenant compte de la nature du traitement et des instructions du Client.
ARAIKO aidera également le Client à assurer sa conformité avec les obligations suivantes, en tenant compte de la nature du traitement des données et des informations dont dispose ARAIKO :
● obligation de réaliser une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement envisagé est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques et, si nécessaire, obligation de consulter l’autorité de contrôle compétente avant le traitement ;
● obligations énoncées à l’article 32 du RGPD.
En cas d’inspection, de contrôle ou d’audit effectué par une autorité publique, y compris une Autorité de Contrôle, chaque Partie s’engage à fournir toute l’assistance nécessaire à l’autre.
Si l’autorité publique considère que le traitement effectué viole les réglementations applicables en matière de protection des données personnelles, les parties s’engagent à communiquer et à prendre immédiatement les mesures nécessaires pour remédier à la violation.
En cas de violation de données personnelles, ARAIKO s’engage à coopérer avec le Client et à l’assister pour qu’il respecte ses obligations conformément aux articles 33 et 34 du RGPD, le cas échéant, en tenant compte de la nature du traitement et des informations disponibles à ARAIKO.
En cas de violation de la sécurité des données non causée par le Client, ARAIKO s’engage à prendre immédiatement des mesures correctives pour remédier à la situation.
ARAIKO notifiera le Client de toute violation sans retard injustifié dès qu’il en aura connaissance, par un e-mail envoyé au Client.
Cette notification contiendra toutes les informations pertinentes sur la violation, afin de permettre au Client, si nécessaire, de notifier l’Autorité de Contrôle concernée et/ou les Personnes Concernées par la violation, conformément à ses obligations en tant que Responsable de Traitement.
Les parties s’engagent à coopérer pleinement afin de mettre fin à la violation dès que possible.
Les données personnelles traitées par ARAIKO pour le compte du Client ainsi que les sites web et bases de données d’ARAIKO sont hébergés par Amazon Web Services sur des serveurs situés dans l’Espace Économique Européen (EEE).
Tout transfert de données vers un pays tiers ou une organisation internationale par ARAIKO sera effectué uniquement sur la base de ce Contrat ou pour répondre à une obligation spécifique imposée par le droit de l’Union ou d’un État membre applicable au sous-traitant, et se fera en conformité avec le Chapitre V du RGPD.
Avant tout transfert autorisé par le Client, ARAIKO s’engage à mettre en place les mesures nécessaires pour s’assurer que le destinataire situé dans le pays en dehors de l’Espace Économique Européen présente un niveau de protection adéquat.
ARAIKO peut transférer des données personnelles aux sous-traitants autorisés identifiés dans l’Annexe 1 « Liste des sous-traitants autorisés ». Ces sous-traitants peuvent être situés en dehors de l’Union européenne. Dans ce cas, ARAIKO veille à ce que le sous-traitant garantisse la conformité au Chapitre V du RGPD en présentant un niveau de protection adéquat, par exemple via l’utilisation de clauses contractuelles types adoptées par la Commission ou des règles d’entreprise contraignantes approuvées.
La liste exhaustive et les informations sur les sous-traitants d’ARAIKO sont fournies dans l’Annexe 1.
ARAIKO se réserve le droit de modifier le présent DPA à tout moment. Le Client est informé de ces modifications par e-mail (envoyé à l’adresse e-mail de l’Administrateur d’ARAIKO) ou sur le site www.shiroo.ai ou sur l’application Shiroo, selon ce qu’ARAIKO décide à sa seule discrétion.
À l’exception de l’utilisation de sous-traitants, comme indiqué à l’Article 7 de ce DPA, les modifications apportées au présent DPA s’appliqueront au Client, même si celui-ci s’est enregistré avant le changement, quinze (15) jours après qu’il en a été informé. Si la mise à jour du DPA cause un préjudice matériel au Client et que la modification n’est pas requise par des lois, réglementations, directives, orientations ou décisions d’une autorité européenne de protection des données ou d’un tribunal, le Client informe ARAIKO de son objection et de sa raison dans un délai de huit (8) jours suivant la notification. Si les Parties ne parviennent pas à un accord dans les trente (30) jours suivant la réception de l’objection du Client, ce dernier peut résilier le Service concerné par la modification sans pénalité, en adressant un avis écrit à ARAIKO. Toute utilisation du Service après l’information transmise au Client sera considérée comme une acceptation du DPA mis à jour.
Après la résiliation du Contrat, le Client disposera d’un délai de (3) mois pour demander par écrit la restitution (ou réversibilité) de ses enregistrements au format définit par ARAIKO et sous sa propre responsabilité ; à défaut d’une telle demande dans ce délai, ARAIKO pourra procéder à la destruction définitive de toutes les données, y compris les journaux et sauvegardes.
La réversibilité des données s’entend de la compilation et la mise à disposition par ARAÏKO au Client, de ses données sous un format exploitable. Dans ce cadre, ARAÏKO s'engage à mettre à la disposition du Client, en téléchargement depuis la Plateforme, dans un délai de trente (30) jours ouvrés à compter de la réception de la demande écrite du Client, une copie de la dernière situation des Données sous un format exploitable.
ARAIKO dispose d’un Délégué à la Protection des Données joignable par e-mail à l’adresse dpo@araiko.ai.
ARAIKO s’engage à tenir à jour un Registre des activités de traitement effectuées en sa qualité de Sous-traitant, incluant les informations suivantes :
● le nom et les coordonnées du Responsable de Traitement, des éventuels sous-traitants et du Référent à la Protection des Données ;
● les catégories de traitement effectuées pour le compte du Responsable de Traitement ;
● tout transfert de Données Personnelles vers des pays hors Union européenne et la preuve de l’existence de garanties appropriées ;
● une description générale des mesures de sécurité techniques et organisationnelles mises en place.
Pendant la durée du Contrat conclu entre ARAIKO et le Client :
● ARAIKO garantit la confidentialité des Données Personnelles traitées en sa qualité de Sous-traitant et veille à ce que les membres de son personnel autorisés à traiter ces données respectent ce principe de confidentialité et reçoivent une formation adéquate à cet égard.
● ARAIKO s’engage à intégrer le principe de protection des Données Personnelles dès la conception et par défaut, en ce qui concerne les outils, produits, applications ou services qu’il utilise.
Le Client s’engage à collecter et traiter les Données Personnelles en conformité avec les réglementations applicables en matière de protection des données et de droit du travail, notamment en ce qui concerne les méthodes, les bases légales et les finalités du traitement, la durée de conservation des Données Personnelles, les droits des Personnes Concernées et les informations qui leur sont fournies.
En particulier, le Client s’engage à respecter toutes les réglementations et obligations applicables au traitement des données des employés et au traitement de catégories particulières de Données Personnelles (telles que les données de santé, les convictions religieuses, l’orientation sexuelle, etc.) et à effectuer, avant leur traitement, les vérifications, études et analyses d’impact nécessaires, à informer les Personnes Concernées conformément aux articles 12, 13 et 14 du RGPD, et à obtenir, le cas échéant, le consentement des Personnes Concernées pour la collecte et le traitement de leurs données personnelles, notamment en ce qui concerne l’enregistrement de leur voix.
Le Client s’engage à fournir à ARAIKO toutes les informations nécessaires pour effectuer les activités de traitement prévues, conformément à toutes les réglementations applicables, et à documenter toute instruction relative au traitement.
Le Client s’engage à fournir à ARAIKO les Données Personnelles identifiées à l’Article 1 du présent Contrat et à garantir la légalité et l’exactitude des données. Le Client s’engage également à assurer l’effectivité des droits des Personnes Concernées.
Le Client s’engage à superviser le traitement, y compris en effectuant à ses propres frais les audits et inspections nécessaires d’ARAIKO ou en garantissant à ses propres frais la conduite ou la défense des intérêts des parties dans le cadre de toute action, procédure ou contrôle.
Afin de protéger notre savoir-faire, notre propriété intellectuelle, et nos relations commerciales, nous ne divulguons pas le nom de nos sous-traitants ultérieurs.
Cependant, nous confirmons que nos sous-traitants ultérieurs respectent pleinement les obligations légales et réglementaires applicables en matière de protection des données (Art.28 du RGPD), y compris les dispositions relatives aux transferts hors de l'Union européenne, et mettent en œuvre les garanties appropriées conformément aux exigences des standards internationaux.
