Addendum sur le traitement des données

COMMENT EXÉCUTER CET ACCORD DE PROCÉDURE ... (DPA) :

Pour finaliser ce DPA, veuillez envoyer un courriel légal @digital.ai. Dès réception d'un DPA dûment rempli par Digital.ai, un tel accord de protection des données deviendra juridiquement contraignant.

Une version PDF du DPA peut être téléchargée. ici Pour avis client.

Addendum sur le traitement des données

Le présent avenant relatif à la protection des données («DPA« » fait partie de l’Accord (défini ci-dessous) entre Digital.ai et client pour Digital.ai Fournir des Services au Client. Sauf indication contraire dans les présentes, tous les termes en majuscules ont la signification qui leur est attribuée dans le Contrat applicable.

Digital.ai peut, dans le cadre de la fourniture des Services au Client conformément au Contrat, traiter des Données Personnelles du Client soumises au Règlement Général sur la Protection des Données de l'Union européenne, Règlement (UE) 2016/679 («RGPD UE) et le RGPD de l'UE tel qu'il fait partie du droit du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur le retrait de l'Union européenne («UK GDPR”) (collectivement, les «GDPR) ou d'autres lois sur la protection des données. Le présent accord de protection des données (APD) définit les obligations des parties en ce qui concerne le traitement des données personnelles conformément à l'accord.

En considération des obligations réciproques énoncées aux présentes, les parties conviennent de se conformer aux dispositions suivantes, chacune agissant de manière raisonnable et de bonne foi.

1. DÉFINITIONS

"Affiliés« Désigne toute personne ou entité qui, directement ou indirectement, possède, contrôle ou est contrôlée par, ou est sous contrôle commun avec une partie, le contrôle étant défini comme la possession ou la direction de plus de 50 % des titres de participation donnant droit de vote ou d’une participation similaire dans l’entité contrôlée. »

"Accord« désigne tous les accords actuels et futurs entre Digital.ai et le Client en relation avec lequel Digital.ai fournit des Services impliquant le Traitement de Données Personnelles pour le compte du Client, tels qu'un Contrat d'Abonnement Principal («mondiale) et toutes les commandes applicables aux Services. Le présent accord de protection des données est intégré à ces accords par la présente référence.

"Contrôleur« désigne l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel. »

"Lois sur la protection des données« L’expression “Législation relative aux données” désigne l’ensemble des lois sur la protection des données applicables à la protection des droits et libertés fondamentaux des personnes et de leur droit à la vie privée en ce qui concerne le traitement des données personnelles en vertu du présent accord, y compris les lois et réglementations locales, étatiques, nationales et/ou étrangères, le RGPD et les transpositions du RGPD en droit national, telles que modifiées, remplacées ou supplantées de temps à autre. »

"Données personnelles« » désigne toute donnée client (telle que définie dans le contrat) qui se rapporte à une personne physique identifiée ou identifiable (« Personne concernée« », qui est protégée par la loi sur la protection des données.

"Violation des données personnelles« désigne une violation de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles transmises, stockées ou autrement traitées, de manière accidentelle ou illicite, et pour laquelle un responsable du traitement est tenu, en vertu de la loi sur la protection des données, d’en informer les autorités compétentes en matière de protection des données ou les personnes concernées. »

"En cours» désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles ou sur des ensembles de Données Personnelles, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, divulgation par transmission, diffusion ou autre mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

"Processeur" désigne l'entité qui traite les données personnelles pour le compte du responsable du traitement.

"Services« désigne la fourniture de services de maintenance et d’assistance et/ou la fourniture de logiciels en tant que service (« SaaS ») et/ou tout autre service, hébergé, géré ou autre, qui sont fournis en vertu du Contrat et aux fins desquels Digital.ai Traite les données personnelles pour le compte du client.

"Clauses contractuelles types « Désigne (i) lorsque le RGPD de l’UE s’applique, les clauses annexées à la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative au transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, tel que publié officiellement au [date à préciser] https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ( "SCC 2021) ; et (ii) lorsque le RGPD britannique s'applique, les clauses types de protection des données adoptées en application de l'article 46 du RGPD britannique ou autorisées par celui-ci, telles que publiées officiellement à l'adresse suivante : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ( "SCC 2010»).

"Sous-processeur»Désigne un Digital.ai Affilié ou tiers engagé par Digital.ai en lien avec les Services et qui traite les Données Personnelles conformément au présent DPA.

"Autorité de surveillance« » désigne une autorité publique indépendante établie en vertu des lois applicables en matière de protection des données.

2. TRAITEMENT DES DONNÉES PERSONNELLES

2.1. Rôle des parties. Le présent accord de protection des données s'applique au traitement des données personnelles par Digital.ai et ses sous-traitants dans le cadre de la fourniture des Services. Aux fins du présent accord de protection des données, Digital.ai est le processeur et le client est le contrôleur.

2.2. Étendue du traitement. L’objet et la durée du traitement des données personnelles sont définis dans le Contrat, qui décrit la fourniture des Services au Client. La nature et les finalités du traitement des données personnelles effectué pour le compte du Client, ainsi que les types de données personnelles et les catégories de personnes concernées, sont précisés dans le Contrat. Annexe 1 à ce DPA.

2.3. Instructions. Digital.ai Nous ne traiterons les Données Personnelles que pour le compte du Client et conformément à ses instructions écrites. Le présent Contrat (y compris le présent Accord de Protection des Données) constitue ces instructions initiales écrites relatives au Traitement des Données Personnelles du Client, et chaque utilisation des Services constitue ensuite une instruction supplémentaire. Digital.ai s’efforcera raisonnablement de se conformer à toute autre instruction raisonnable du Client, pourvu qu’elle soit conforme aux termes des Accords, exigée par la Loi sur la protection des données et techniquement réalisable. Digital.ai informera le Client s'il ne peut se conformer à une instruction ou dans Digital.aiDe l'avis de [Nom de l'entreprise], toute instruction du client enfreint les lois applicables en matière de protection des données.

2.4. Respect des lois. Les parties conviennent de respecter toutes les lois applicables en matière de protection des données, comme indiqué plus en détail ci-dessous :

2.4.1. Digital.ai se conformer à toutes les lois sur la protection des données applicables Digital.ai dans le cadre de sa fonction de sous-traitant en matière de données personnelles. Lors de la fourniture des Services, Digital.ai traitera les données personnelles conformément aux instructions documentées du client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale (comme décrit dans la section 7). Digital.ai peut également traiter des données personnelles lorsque les lois applicables en matière de protection des données l'exigent, auquel cas Digital.ai informera le Client de cette obligation légale avant le Traitement, sauf si la loi interdit une telle notification pour des raisons importantes d'intérêt public.

2.4.2. Le Client doit se conformer à toutes les lois sur la protection des données qui lui sont applicables en sa qualité de responsable du traitement et obtenir tous les consentements nécessaires, ainsi que fournir toutes les notifications nécessaires, aux personnes concernées afin de leur permettre d'exercer leur droit d'accès, de traitement et d'utilisation des données. Digital.ai Le client est responsable de l'exactitude et de la qualité des données personnelles, ainsi que des moyens par lesquels il les a acquises.

3. DROITS DES PERSONNES CONCERNÉES

3.1. Demandes des personnes concernées. Digital.ai sera, d'une manière compatible avec la fonctionnalité des Services et Digital.aiEn tant que sous-traitant, [Nom de l'entreprise] fournit un soutien raisonnable au Client afin de lui permettre de répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu des lois applicables en matière de protection des données («Demandes de la personne concernée»).

3.2. Réponse aux demandes des personnes concernées. Il incombe au client de répondre aux demandes des personnes concernées. Digital.ai reçoit une demande d'accès aux données ou toute autre réclamation d'une personne concernée concernant le traitement des données personnelles, Digital.ai Dans la mesure permise par la loi, nous informerons sans délai le Client, à condition que la Personne concernée ait fourni des informations suffisantes pour l'identifier. Sauf disposition contraire de la loi applicable, Digital.ai ne répondra à aucune demande d'accès aux données sans l'autorisation ou les instructions écrites préalables du Client, sauf pour confirmer que ladite demande concerne le Client.

4. CONSERVATION ET SUPPRESSION DES DONNÉES PERSONNELLES

4.1. Conservation des données personnelles. À la résiliation du contrat entre les parties et/ou après la fin de la fourniture des services auxquels s'applique le présent accord de protection des données, Digital.ai supprimera ou restituera toutes les données personnelles du client conformément aux lois sur la protection des données et/ou conformément aux termes du contrat dans les meilleurs délais, sauf si la loi applicable exige une conservation ultérieure.

5. SECURITE DU TRAITEMENT

5.1. Mesures de sécurité. Digital.ai mettra en œuvre et maintiendra les mesures techniques et organisationnelles appropriées, telles que spécifiées dans L'annexe II Conformément à la présente convention de protection des données (DPA), le client s'engage à protéger les données personnelles contre toute destruction, perte, altération, divulgation ou accès non autorisé, accidentel ou illicite, conformément à la législation applicable en matière de protection des données. Il lui incombe de vérifier, de manière indépendante, si les mesures techniques et organisationnelles mises en œuvre pour les services répondent à ses exigences, notamment en matière de sécurité, en vertu de la législation applicable en matière de protection des données.

5.2. Personnel. Pour traiter les données personnelles, Digital.ai Ses sous-traitants ne pourront donner accès qu'au personnel autorisé ayant souscrit à des obligations de confidentialité au moins aussi strictes que celles prévues par le présent accord de protection des données ou le contrat. Ce personnel sera tenu de traiter les données personnelles conformément aux instructions du client, telles que définies dans le contrat, et uniquement dans la mesure nécessaire à l'exécution des services.

6. SOUS-PROCESSEURS

6.1. Recours à des sous-traitants. Le client autorise Digital.ai pour faire appel à des sous-traitants conformément au présent accord de protection des données, à condition que Digital.ai conclura avec ces sous-traitants un accord écrit conforme aux termes des présentes. Digital.ai sera responsable des actes et omissions de tout sous-traitant dans la même mesure que s'ils étaient commis par celui-ci Digital.ai.

6.2. Liste des sous-processeurs. La liste des sous-processeurs utilisés par Digital.ai pour fournir les Services, à compter de la date d'entrée en vigueur du présent accord de protection des données, joint en annexe III et publié à l'adresse suivante : https://info.digital.ai/rs/981-LQX-968/images/Data-Protection-FAQ-February-2025.pdf  ( "Liste des sous-traitants»). Digital.ai notifiera au Client tout ajout ou remplacement prévu à la Liste des sous-traitants en mettant à jour la Liste des sous-traitants publiée au moins trente (30) jours avant d'autoriser un nouveau sous-traitant à traiter des données personnelles.

6.3. Droit d’opposition. La présente section 6.3 s’applique dans la mesure où le Client est établi dans l’Espace économique européen («EEE), le Royaume-Uni («UK) et/ou en Suisse ou lorsque les lois sur la protection des données applicables au Client l'exigent. Dans ce cas, si le Client s'y oppose pour des motifs raisonnables liés à la protection des données à Digital.aiSi [nom de l'entreprise] fait appel à un nouveau sous-traitant, le Client devra le faire sans délai, et dans un délai de quinze (15) jours suivant [date à préciser]. Digital.aila notification de conformément à l'article 6.2 ci-dessus, fournir Digital.ai avec notification écrite de cette objection. En cas d'objection, Digital.ai Nous prendrons des mesures commercialement raisonnables pour répondre aux objections soulevées par le Client et lui fournirons une explication écrite raisonnable des mesures prises pour répondre à ces objections.

7. TRANSFERTS DE DONNÉES

7.1. Transferts. Le client autorise Digital.ai et ses sous-traitants pour traiter les données personnelles aux fins de la fourniture des services, ce traitement pouvant inclure les transferts nécessaires de données personnelles, conformément aux termes du présent accord de protection des données.

7.2. Transferts restreints. Tous les transferts de données personnelles effectués en vertu du présent accord de protection des données en dehors de l'EEE, du Royaume-Uni et/ou de la Suisse vers des pays qui n'assurent pas un niveau de protection des données adéquat au sens des lois sur la protection des données des territoires susmentionnés («Pays restreints) sera régie par les clauses contractuelles types pertinentes, qui sont intégrées au présent accord de protection des données. Le transfert safeLes garanties, telles que définies dans la présente section 7, s’appliquent : (i) lorsque le RGPD de l’UE s’applique, à un transfert de données à caractère personnel de l’EEE ou de la Suisse vers un pays soumis à restrictions ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, à un transfert de données à caractère personnel du Royaume-Uni vers un pays soumis à restrictions ; (« Transferts restreints»).

7.3. Clauses contractuelles types (CCT) entre le responsable du traitement et le sous-traitant : Les clauses contractuelles types s’appliqueront à tout transfert restreint de données personnelles du client (en tant qu’« exportateur de données ») vers Digital.ai (en tant qu’« importateur de données »), comme suit :

7.3.1. Données personnelles de l'UEConcernant les données personnelles protégées par le RGPD de l'UE, les clauses contractuelles types de 2021 s'appliqueront comme suit : (i) le module 2 (du responsable du traitement au sous-traitant) s'appliquera et les modules 1, 3 et 4 seront supprimés intégralement ; (ii) la clause 7 sera supprimée intégralement et les parties pourront ajouter des entités supplémentaires au présent accord de protection des données en concluant un accord de protection des données supplémentaire (tel que mis à disposition). ici; (iii) à l’article 9, l’option 2 s’applique, comme indiqué à la section 6 du présent accord de protection des données ; (v) à l’article 17, l’option 1 s’applique et les clauses contractuelles types de 2021 sont régies par le droit néerlandais ; (vi) à l’article 18(b), les litiges sont soumis à la compétence des tribunaux néerlandais ; et (vii) les annexes I et II des clauses contractuelles types de 2021 sont complétées avec les informations figurant aux annexes I et II jointes au présent accord de protection des données.

7.3.2. Données personnelles suissesAux fins des clauses contractuelles types de 2021, l’expression « État membre » ne saurait être interprétée de manière à exclure les personnes concernées en Suisse de la possibilité d’exercer leurs droits devant les tribunaux de leur lieu de résidence habituelle (Suisse), conformément à l’article 18, alinéa c). Jusqu’au 31 décembre 2022, et pour toute période plus longue requise par le droit suisse applicable, les clauses contractuelles types de 2021 protègent également les données des personnes morales relevant de la Loi fédérale suisse sur la protection des données du 19 juin 1992 (LS 235.1 ; « LPD »).

7.3.3. Données personnelles au Royaume-UniConcernant les données personnelles protégées par le RGPD britannique, les clauses contractuelles types de 2010 s'appliqueront aux transferts de données personnelles depuis le Royaume-Uni. Toute modification, mise à jour ou version amendée ultérieure des clauses contractuelles types de 2010, introduite par l'Autorité britannique de protection des données afin de se conformer aux dispositions relatives aux transferts internationaux de données de la loi britannique de 2018 sur la protection des données, sera intégrée au contrat conclu entre le Client et le Client. Digital.aiLes annexes 1 et 2 des CCC de 2010 doivent être complétées avec les informations figurant aux annexes I et II jointes au présent accord de protection des données.

7.4. Précisions. Le présent accord de protection des données (APD) n'a ni pour intention ni pour effet de contredire ou de restreindre les dispositions des clauses contractuelles types (CCT). Il ne restreint ni ne limite en aucun cas les droits des personnes concernées ou des autorités de contrôle compétentes. Aucune disposition du présent APD ne saurait prévaloir sur une clause contraire des CCT de 2010 ou de 2021. Lorsque le présent APD précise des règles d'audit et relatives aux sous-traitants, ces dispositions s'appliquent également aux CCT de 2010 et de 2021.

7.5. Mécanisme alternatif de transfert de données. Afin d’éviter toute ambiguïté, si le mécanisme de transfert identifié dans la présente section 7 est jugé invalide par une autorité de surveillance ou un tribunal compétent, les parties s’efforceront de bonne foi de négocier un mécanisme alternatif (s’il existe et s’il est nécessaire) permettant la poursuite du transfert des données personnelles.

8. NOTIFICATION DE VIOLATION DE DONNÉES PERSONNELLES

8.1. Notification de violation de données personnelles. Digital.ai informera le Client sans délai indu dès qu'il aura connaissance d'une violation de données personnelles concernant les données personnelles du Client traitées par Digital.ai et fournir les informations raisonnables en sa possession pour aider le Client à remplir ses obligations de signaler une violation de données personnelles conformément aux lois sur la protection des données. Digital.ai L'entreprise déploiera des efforts raisonnables pour identifier la cause de toute violation de données personnelles et prendra les mesures appropriées pour en atténuer les effets et minimiser tout dommage en résultant, dans la mesure où ces mesures correctives sont possibles. Digital.aisous le contrôle raisonnable de [Nom de l'entreprise]. Une notification sera adressée au Client conformément à l'article 8.2. Cette notification ne saurait être interprétée comme une reconnaissance de faute ou de responsabilité de la part de [Nom de l'entreprise]. Digital.ai.

8.2. Notification. Les notifications de violation de données personnelles, le cas échéant, seront transmises à un ou plusieurs contacts commerciaux, techniques ou administratifs du Client par différents moyens. Digital.ai Le client sélectionne les offres, y compris par courriel. Il lui incombe de fournir et de maintenir à jour ses coordonnées exactes.

9. VÉRIFICATION

9.1. Demandes d'informations. Digital.ai La société mettra à la disposition du Client, sur demande écrite raisonnable, les informations relatives au traitement des données personnelles du Client, dans la mesure nécessaire à sa démonstration. Digital.aile respect par [nom de l'entreprise] des obligations découlant du présent accord de protection des données.

9.2. Audit client. Digital.ai permettra aux clients (ou à leur auditeur indépendant) de formuler des demandes d'inspection concernant les données personnelles traitées par Digital.ai afin de vérifier Digital.aila conformité de à ce DPA, si : (a) Digital.ai n'a pas fourni de preuves écrites suffisantes de sa conformité aux mesures techniques et organisationnelles, par exemple une certification de conformité à la norme ISO 27001 ou à d'autres normes ; (b) une violation de données à caractère personnel s'est produite ; (c) un audit est formellement demandé par l'autorité de contrôle du Client ; ou (d) la loi sur la protection des données confère au Client un droit d'inspection sur site obligatoire ; étant entendu que le Client ne pourra exercer ce droit qu'une fois par an, sauf si la loi sur la protection des données exige des inspections plus fréquentes. Toute information fournie par Digital.ai Conformément à l'article 9, les inspections sont soumises aux obligations de confidentialité prévues par l'Accord. Elles seront menées de manière à ne pas compromettre la sécurité, la confidentialité, l'intégrité, la disponibilité et la continuité des installations, réseaux et systèmes inspectés, ni les données confidentielles qui y sont traitées.

9.3. Frais d'audit. Le client prend en charge les frais de tout audit, sauf si celui-ci révèle un manquement substantiel de sa part. Digital.ai de ce DPA, alors Digital.ai prendra en charge ses propres frais d'audit. Si un audit détermine que Digital.ai a manqué à ses obligations en vertu de ce DPA, Digital.ai remédiera rapidement à cette infraction à ses propres frais.

10. ÉVALUATIONS D'IMPACT SUR LA PROTECTION DES DONNÉES

10.1. Si le Client est tenu, en vertu de la législation applicable en matière de protection des données, de réaliser une analyse d'impact relative à la protection des données ou de consulter préalablement une autorité de contrôle concernant l'utilisation des Services par le Client, Digital.ai Sur demande raisonnable du Client, la société fournira les documents généralement disponibles pour les Services ; par exemple, les rapports SOC 2 (Service Organizational Control) en vigueur, les certifications ISO/IEC 27001:2013 et/ou les rapports de conformité aux normes industrielles applicables.

10.2. Toute assistance supplémentaire en matière de coopération ou de consultation préalable avec une autorité de contrôle dans l'exercice de ses fonctions relatives à la présente section 10, dans la mesure requise par la législation sur la protection des données, fera l'objet d'un accord mutuel entre les parties, en tenant compte de la nature du traitement et des informations disponibles. Digital.aiDans la mesure permise par la loi, le Client est responsable de tous les frais découlant de Digital.aila fourniture d'une telle assistance par

11. GÉNÉRALITÉS

11.1. Partenaires du client. Le client est responsable de la coordination de toutes les communications avec Digital.ai Au nom de ses sociétés affiliées, le Client déclare être autorisé à conclure le présent Accord de Protection des Données (APD) et toutes les clauses contractuelles types qui y sont incorporées ou conclues en vertu du présent APD, à donner des instructions et à effectuer et recevoir toute communication ou notification relative au présent APD au nom de ses sociétés affiliées.

11.2. Conflit. Le droit applicable et les tribunaux compétents pour le présent accord de protection des données sont ceux de l'accord principal auquel il se rattache. En cas de conflit ou d'incohérence entre le présent accord et l'accord principal, le présent accord prévaudra pour ce qui concerne les données personnelles.

11.3. Résiliation. La durée du présent accord de protection des données prendra fin conformément aux termes de l'accord.

11.4. Dispositions diverses. Toute référence à l’Accord de protection des données (APD) dans le présent document désigne cet APD, y compris ses annexes et/ou appendices. Les titres des sections figurant dans le présent APD sont fournis à titre indicatif uniquement et n’affectent en aucun cas son sens ou son interprétation.

EN FOI DE QUOI, le présent accord de protection des données est conclu et devient une partie intégrante des accords conclus entre le Client et Digital.ai, à compter de la date de signature du client ci-dessous. Si ce document a été signé électroniquement par l'une ou l'autre des parties, cette signature aura la même valeur juridique qu'une signature manuscrite.

ANNEXE I

Description du traitement

La présente annexe 1 décrit le traitement des données personnelles du client aux fins des clauses contractuelles types de 2010, des clauses contractuelles types de 2021 et de la législation applicable en matière de protection des données.

A. LISTE DES PARTIES

Exportateur(s) de données :

1. Prénom: Nom du client tel qu'indiqué dans le contrat applicable

Adresse : Adresse du client telle qu'indiquée dans le contrat applicable

Nom, fonction et coordonnées de la personne à contacter : signataire autorisé de l'accord régissant

Activités pertinentes : L'utilisation de Digital.ailes produits et services de [nom de l'entreprise] conformément à l'Accord.

Signature et date : En concluant le DPA, l'exportateur de données est réputé avoir signé les clauses contractuelles types incorporées aux présentes à compter de la date d'entrée en vigueur du DPA.

Rôle (contrôleur/sous-traitant) :   Contrôleur

Importateur(s) de données :

Nom : Digital.ai Logiciel, Inc.

Adresse : 555, rue Fayetteville, bureau n° 210, Raleigh, Caroline du Nord 27601

Nom, fonction et coordonnées de la personne à contacter : légal @digital.ai

Activités pertinentes : Provision de Digital.ailes produits et services de [nom de l'entreprise] conformément à l'Accord.

Signature et date : En concluant le DPA, l'importateur de données est réputé avoir signé les clauses contractuelles types incorporées aux présentes à compter de la date d'entrée en vigueur du DPA.

Rôle (contrôleur/sous-traitant) : Processeur

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données personnelles sont transférées :

Les catégories de personnes concernées incluent les utilisateurs du Client (tels que définis dans le Contrat) de Digital.ai leurs produits et services.

Catégories de données personnelles transférées :

Informations d'identification (nom, titre, adresse électronique) ; informations de connexion (nom d'utilisateur et mot de passe) ; données de connexion (date et heure des enregistrements) ; données relatives aux demandes d'assistance des utilisateurs.

Données sensibles transférées (le cas échéant) et restrictions appliquées ou safedes mesures de protection qui tiennent pleinement compte de la nature des données et des risques encourus, telles que par exemple une limitation stricte de leur finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions sur les transferts ultérieurs ou des mesures de sécurité supplémentaires:

Aucune information sensible n'est traitée par Digital.ai.

Fréquence du transfert (par exemple, si les données sont transférées ponctuellement ou de manière continue) :

Les transferts seront effectués de manière continue pour les produits et services cloud, et de manière ponctuelle pour les demandes d'assistance.

Nature du traitement :

Digital.ai agit en tant que sous-traitant pour les données personnelles soumises par le client dans le cadre de son utilisation Digital.ailes produits et services de ; la nature du traitement comprend le transfert, le stockage et toutes autres activités de traitement spécifiées conformément aux termes de l’Accord.

Finalité(s) du transfert et du traitement ultérieur des données :

Fournir et soutenir Digital.ailes produits et services de [Nom de l'entreprise] au Client, comme convenu dans le Contrat (y compris le présent DPA).

La durée pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée:

Pour toute la durée de l'accord en vigueur avec Digital.ai, sauf indication contraire dans le Contrat, ou si la loi le permet ou l'exige.

Pour les transferts à des (sous-)traitants, veuillez également préciser l'objet, la nature et la durée du traitement :

Digital.ai (L'importateur de données) utilise les sous-processeurs identifiés dans le Liste des sous-traitants énoncé dans Annexe III, soutenir Digital.ai dans la fourniture de ses produits et services au Client (Exportateur de données). L’objet et la durée du traitement sont précisés ci-dessus dans la présente annexe. La nature des services de sous-traitance spécifiques est détaillée dans la liste des sous-traitants. identifié dans l'annexe III.

C. AUTORITÉ DE SUPERVISION COMPÉTENTE

Identifier la ou les autorités de surveillance compétentes conformément à la clause 13 :

L’autorité de surveillance compétente déterminée conformément à la clause 13 des clauses contractuelles types.

• Clauses contractuelles types 2021 : le droit applicable aux CCT 2021 est le droit néerlandais.

• Clauses contractuelles types de 2010 : les CCT de 2010 sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi, à savoir le Royaume-Uni.

ANNEXE II

Mesures de sécurité techniques et organisationnelles

La présente annexe II a pour objet de décrire les mesures techniques et organisationnelles applicables aux fins des clauses contractuelles types de 2010, des clauses contractuelles types de 2021 et de la loi applicable en matière de protection des données.

Les mesures techniques et organisationnelles énoncées à l’annexe II ont été mises en œuvre par l’importateur de données afin de garantir un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, de probabilité et de gravité variables, pour les droits et libertés des personnes physiques.

Description des mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir sécurité des données :

Politique, procédures et normes en matière de sécurité de l'information. Digital.ai maintiendra un programme de sécurité de l'information (incluant l'adoption et l'application de politiques et de procédures internes) conçu pour protéger les données personnelles contre toute perte, tout accès ou toute divulgation accidentels ou illégaux. Un examen de tous les Digital.ai Les politiques, procédures et normes techniques de sécurité de l'information sont mises à jour au moins une fois par an. Le cas échéant, des copies de sauvegarde des données personnelles sont disponibles et testées périodiquement afin de garantir leur intégrité et leur résilience. Une évaluation de la vulnérabilité des systèmes critiques est réalisée périodiquement, et des tests d'intrusion sont effectués au moins une fois par an.

Chiffrement. Digital.ai Des méthodes de chiffrement conformes aux meilleures pratiques du secteur sont utilisées pour sécuriser les données, qu'elles soient stockées ou en transit. Ces méthodes respectent ou dépassent les normes TLS 1.2 ou AES 256.

Des vérifications. Le cas échéant, Digital.ai fera appel à des auditeurs externes et/ou effectuera des audits internes pour vérifier l'adéquation de ses mesures de sécurité conformément aux normes ISO 27001, SOC 2 ou ISO 13485.

Contrôles d'accès. Identification et autorisation des utilisateurs. Digital.ai maintiendra des contrôles et des politiques d'accès pour gérer les accès autorisés à Digital.ai réseau de chaque connexion réseau et utilisateur, y compris l'utilisation de pare-feu ou de technologies fonctionnellement équivalentes et de contrôles d'authentification.

Sécurité physique. Des barrières physiques de contrôle sont utilisées pour empêcher l'accès non autorisé aux installations où des données personnelles sont traitées par ou pour le compte de Digital.aiLes contrôles sont mis en place à la fois au périmètre et aux points d'accès des bâtiments. L'entrée requiert généralement une validation électronique (par exemple, un système de contrôle d'accès par carte) ou une validation par un agent de sécurité (par exemple, un agent de sécurité interne ou externe, un réceptionniste, etc.). Les employés et les prestataires sont munis d'un badge d'identification avec photo qu'ils doivent porter lorsqu'ils se trouvent dans l'ensemble des locaux. Les visiteurs doivent s'enregistrer auprès du personnel désigné, présenter une pièce d'identité valide, se voir remettre un badge d'identification visiteur qu'ils doivent porter pendant toute la durée de leur visite et sont accompagnés en permanence par des employés ou des prestataires autorisés.

Journalisation des événements. Digital.aiLe réseau et les systèmes de l'entreprise sont configurés de manière à ce que les erreurs système et les événements de sécurité soient consignés, et que les fichiers journaux soient protégés contre toute modification par les utilisateurs.

Configuration du système. Digital.ai Nous développerons, documenterons et maintiendrons une configuration de référence à jour pour tous les systèmes concernés. Cette configuration devra être revue et mise à jour annuellement, ainsi que plus fréquemment en cas de mises à niveau, de correctifs ou d'autres modifications importantes du système. Les configurations précédentes, permettant la restauration, devront être conservées. Une configuration de référence minimale devra être établie pour les systèmes d'information ou les ordinateurs dotés de contrôles de sécurité renforcés.