AVIS D'ARBITRAGE : VOUS ÊTES LIÉ PAR LA CLAUSE COMPROMISSOIRE ÉNONCÉE DANS LES CONDITIONS D'UTILISATION DES SERVICES AUX ENTREPRISES. SI VOUS PASSEZ UN CONTRAT AVEC SNAP INC., VOUS ET SNAP INC. RENONCEZ AU DROIT DE PARTICIPER À UN RECOURS COLLECTIF DEVANT LES TRIBUNAUX OU À UN ARBITRAGE COLLECTIF.

Le présent accord de traitement des données ("accord") constitue un accord juridiquement contraignant entre Snap Inc. (Snap) et vous, s'applique dans la mesure où vous traitez les données personnelles du client au nom de Snap lorsqu'il est responsable du traitement des données et est incorporé dans les Conditions d'utilisation des services aux entreprises. Certaines conditions utilisées dans cet Accord sont définies dans les Conditions d'utilisation des services aux entreprises. Pour des raisons de clarté, Snap Inc. agit en tant que responsable du traitement des données en vertu de cet accord, quelle que soit l'entité Snap avec laquelle vous passez un contrat pour les services aux entreprises sous-jacents.

Le terme « Données personnelles du client » désigne les données personnelles des personnes concernées de l'EEE, de la Suisse, du Royaume-Uni et du Brésil qui vous sont fournies par Snap lorsque Snap est le responsable du traitement des données.

Le terme « Responsable du traitement des données » désigne le responsable du traitement tel qu'il est défini dans le RGPD, les lois sur la protection des données du Royaume-Uni ou la LGPD, le cas échéant, qui, seul ou conjointement avec d'autres, détermine les objectifs et les moyens du traitement des données à caractère personnel du client. Dans le cadre de cet accord Snap est le responsable du traitement des données

La « Loi sur la protection des données » désigne les lois sur la protection des données de l'EEE, de la Suisse, du Royaume-Uni et du Brésil applicables au traitement des données personnelles du Client en vertu du présent Accord, y compris le RGPD, les lois sur la protection des données du Royaume-Uni et le LGPD.

"EEA" désigne l'Espace économique européen.

Le « RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE.

La « LGPD » désigne la loi sur la protection des données du Brésil (Lei Geral de Proteção de Dados Pessoais).

La « violation de données personnelles » désigne la destruction, la perte ou l'altération, la divulgation non autorisée des données personnelles du client ou l'accès non autorisé à de telles données de manière accidentelle ou illicite sur les systèmes gérés ou contrôlés par vous.

« Sous-traitants » désigne les tiers autorisés en vertu du présent Accord à accéder aux Données personnelles du Client et à les traiter.

« RU » désigne le Royaume-Uni.

La « loi sur la protection des données au Royaume-Uni » désigne le RGPD tel qu'il fait partie de la loi en Angleterre et au pays de Galles, en Écosse et en Irlande du Nord en vertu de la section 3 de l'accord de retrait de l'Union européenne de 2018 au Royaume-Uni (« RGPD du RU ») et de la loi sur la protection des données de 2018.

Les termes « données personnelles », « personne concernée », « traitement », « responsable du traitement », « sous-traitant », « représentant » et « autorité de contrôle » sont utilisés dans le présent Accord ont la signification donnée dans le RGPD, le RGPD au Royaume-Uni ou la LGPD, le cas échéant, indépendamment de l'application de la loi sur la protection des données en vigueur.

a. Rôles des Parties. Vous traiterez les données personnelles du client en tant que sous-traitant pour le compte du contrôleur de données et selon les instructions de ce dernier, conformément à l'article 28 (1) du RGPD, au RGPD britannique et au LGPD, selon le cas.

b. Rendez-vous. Le responsable du traitement des données es données vous nomme pour traiter les Données personnelles du client au nom du responsable du traitement des données uniquement si cela est nécessaire pour soutenir les annonceurs de Snap et comme cela peut être convenu ultérieurement par les parties par écrit.

c. Légitimité du traitement Le responsable du traitement des données est responsable de l'obtention d'une base légale valide du traitement des données personnelles du client

d. Détails du traitement L'objet et les détails relatifs au traitement sont décrits dans l'annexe 1 de cet Accord.

e. Respect de la loi. Chaque partie accepte de se conformer à ses obligations en vertu de la loi sur la protection des données concernant toute donnée personnelle qu'elle traite en vertu de ou en relation avec cet Accord. Sans préjudice de ce qui précède, vous ne traiterez pas les Données personnelles du client d'une manière qui entraînera, ou est susceptible d'entraîner, la violation par le responsable du traitement des données de ses obligations en vertu de la Loi sur la protection des données Vous informerez rapidement responsable du traitement des données si vous pensez que l'instruction du responsable loi sur la protection des données enfreindra responsable du traitement des données personnelles.

a. Traitement données personnelles du client Vous ne traiterez les données personnelles des clients que conformément aux Conditions des services commerciaux et au présent accord, et vous n'utiliserez ni ne traiterez les données personnelles du client à d'autres fins qu'en votre qualité de sous-traitant désigné par le contrôleur des données.

b. Sécurité des données Conformément à l'article 32 du GDPR, au GDPR britannique et au LGPD, selon le cas, et comme décrit à l'annexe 2 du présent accord, vous mettrez en œuvre et maintiendrez toutes les mesures techniques, administratives et organisationnelles appropriées requises pour : (i) assurer un niveau de confidentialité et de sécurité adapté aux risques représentés par le traitement et à la nature des données personnelles du client ; et (ii) empêcher le traitement non autorisé ou illégal des données personnelles du client, la perte, la divulgation ou la destruction accidentelle des données personnelles du client ou leur endommagement.

c. Non-divulgation Vous ne publierez pas, ne divulguerez pas (et veillerez à ce que votre personnel ne publie pas, ne divulgue pas) les données personnelles du client à un tiers, sauf si le contrôleur des données a donné son accord écrit préalable.

d. Confidentialité. Vous vous assurerez que seul le personnel qui peut être requis pour aider à remplir ses obligations en vertu des Conditions de services commerciaux ou du présent accord aura accès aux données personnelles du client et que ce personnel est lié par des obligations de confidentialité appropriées, et que vous prendrez toutes les mesures raisonnables conformément aux meilleures pratiques de l'industrie pour assurer la confidentialité des données personnelles du client.

e. Coopération. Vous fournirez une coopération et une assistance raisonnables au contrôleur de données, comme le contrôleur de données peut raisonnablement l'exiger pour permettre au contrôleur de données de se conformer à ses obligations en vertu des articles 32 à 36 du RGPD, du RGPD britannique et du LGPD, selon le cas, y compris en ce qui concerne la sécurité des données, la notification des violations de données, les évaluations d'impact sur la protection des données, la consultation préalable des autorités de contrôle, le respect des droits des personnes concernées et toute demande, notification ou enquête d'une autorité de contrôle, comme indiqué plus en détail dans le présent accord.

f. Personne concernée et Demandes de surveillance. Vous informerez rapidement le contrôleur des données, et en tout état de cause dans un délai de deux jours ouvrables, de toute demande ou plainte que vous recevez d'une personne concernée ou d'une autorité de contrôle concernant les données personnelles du client. Vous aiderez le contrôleur de données, dans la mesure où cela est commercialement raisonnable, à remplir l'obligation du contrôleur de données de répondre aux demandes des personnes concernées et des autorités de contrôle, comme l'exige la loi sur la protection des données.

g. Évaluation de l'impact sur la protection des données Sur demande, vous fournirez au contrôleur des données des informations et une assistance commercialement raisonnables, en tenant compte de la nature de l'activité de traitement et des informations dont vous disposez, pour aider le contrôleur des données à réaliser une analyse d'impact sur la protection des données, comme l'exige la loi sur la protection des données.

h. Fournir des preuves. Pendant la durée du présent Contrat et pendant une période d'un an par la suite, vous mettrez à la disposition du contrôleur des données, ou d'un cabinet d'audit internationalement reconnu agissant pour le compte du contrôleur des données, toutes les informations raisonnablement nécessaires pour démontrer votre conformité au présent accord, et vous autoriserez et contribuerez aux audits menés par le contrôleur de données ou ses représentants qui sont liés par des obligations de confidentialité appropriées ; si : (i) le responsable du traitement des données vous adresse un préavis écrit d'au moins dix jours ouvrables ; (ii) cet audit est effectué pendant vos heures de travail normales et d'une manière qui n'interfère pas de manière déraisonnable avec vos opérations commerciales normales ; (iii) cet audit ne dure pas plus de trois jours ouvrables au total ; (iv) en aucun cas, le contrôleur de données (ou, pour éviter tout doute, tout vérificateur tiers autorisé) n'est autorisé à accéder ou à recevoir vos informations exclusives ou confidentielles, sauf dans la mesure strictement nécessaire pour démontrer le respect du présent accord ; et (v) le contrôleur de données est tenu de vous rembourser les coûts raisonnables documentés si cet audit détermine que vous êtes en conformité avec le présent accord. Si l'audit détermine que vous n'êtes pas en conformité avec le présent accord, vous serez tenu de payer tous les coûts raisonnables de cet audit.

i. Renvoyer ou détruire les données personnelles du client. À l'achèvement de vos obligations relatives au traitement des données personnelles du client en vertu du présent Contrat ou à la demande du contrôleur de données à tout moment pendant la durée du présent Contrat (et, si le responsable du traitement des données le demande, à intervalles réguliers fixés par le responsable du traitement des données), vous devrez soit : (i) renvoyer tout ou partie des données personnelles du client en votre possession au contrôleur de données ; (ii) rendre tout ou partie des données personnelles du client anonymes de telle sorte que les données ne constituent plus des données personnelles ; ou (iii) supprimer définitivement ou rendre illisibles tout ou partie des données personnelles du client. À la demande du contrôleur de données, vous devez fournir une confirmation écrite au contrôleur de données de l'anonymisation, du retour et de la suppression des données personnelles du client.

j. données personnelles du client hachées. Si vous recevez des données personnelles du client dans un format haché ou autrement offusqué, vous devez : (i) ne pas tenter de faire de l'ingénierie inverse ou d'essayer de toute autre manière de ré-identifier les données personnelles du client hachées ou offusquées, sauf si le responsable du traitement des données vous donne l'instruction de le faire ; et (ii) ne partager les données personnelles du client que dans le format dans lequel vous les avez reçues du traitement des données

a. Notification. Conformément à l'article 33 du RGPD et du RGPD britannique, ainsi qu'aux obligations de notification dans la LGPD, le cas échéant, vous informerez le responsable du traitement des données sans retard excessif et, dans la mesure du possible, pas plus de 72 heures après avoir pris connaissance d'une violation de données personnelles. Vous fournirez également au responsable du traitement des données une description de la violation de données personnelles, du type de données qui a fait l'objet de la violation de données personnelles (dans la mesure où vous la connaissez), les catégories de personnes concernées affectées et d'autres informations requises par la loi sur la protection des données en vigueur, dès que ces informations peuvent être collectées ou deviennent autrement disponibles, et vous coopérerez avec toute demande raisonnable faite par le responsable du traitement des données concernant la violation de données personnelles.

b. Enquête. Vous accepterez de prendre des mesures immédiates pour mener une enquête sur la violation de données personnelles, pour identifier, prévenir et atténuer les effets de cette violation de données personnelles et, avec l'accord préalable du responsable de traitement des données, de mener à bien toute récupération ou toute autre action nécessaire pour remédier à la violation de données personnelles.

a. Sous-traitants autorisés. Le responsable du traitement des données autorise spécifiquement l'implication de vos sociétés affiliées dans le traitement des données personnelles du client.

b. Obligations du sous-traitant. Conformément à l'article 28 (4) RGPD et RGPD du Royaume-Uni, et aux obligations des sous-traitants du LGPD, le cas échéant, vous imposerez des conditions contractuelles juridiquement contraignantes à chaque sous-traitant ultérieur, lesquelles conditions devront être aussi restrictives que celles contenues dans le présent accord.

c. Accès restreint. Vous veillerez à ce que chaque sous-traitant n'accède aux données personnelles du client et ne les utilise que dans la mesure nécessaire à exécution des obligations consenties et conformément aux termes du présent accord.

d. Mises à jour des sous-traitants ultérieurs. Conformément à l'article 28 (2) RGPD et RGPD du Royaume-Uni (le cas échéant), vous fournirez sur une page accessible au public, une liste actualisée de : (i) tous les sous-traitants impliqués dans le traitement des données personnelles du client ; (ii) les finalités pour lesquelles les sous-traitants ultérieurs exploitent les données personnelles du client ; et (iii) l'emplacement de chacun des sous-traitants. Vous notifierez le responsable du traitement des données au moins 30 jours avant l'ajout d'un nouveau sous-traitant.

e. Droit d'opposition. Le responsable du traitement des données a le droit de s'opposer à l'ajout d'un nouveau sous-traitant, conformément aux termes de la présente section. Au cas où le responsable du traitement des données s'opposerait à l'exploitation des données personnelles du client par un sous-traitant nouvellement ajouté, vous serez immédiatement informé, après quoi vous pourrez soit, (i) demander au sous-traitant de cesser toute exploitation des données personnelles du client, auquel cas le présent accord continue sans être affecté ; ou (ii) permettre au responsable du traitement des données de résilier immédiatement le présent accord.

a. Indemnité. Vous acceptez d'indemniser le responsable du traitement des données contre toutes les plaintes, frais, réclamations, dommages-intérêts, pertes, coûts, responsabilités et dépenses dus ou découlant de quelque manière de votre violation du présent accord.

b. Processus d'indemnité. Le responsable du traitement des données vous informera rapidement par écrit de toute indemnisation d'une réclamation, mais tout manquement à vous notifier ne vous dégagera pas de la responsabilité ou de l'obligation d'indemnisation qu'il peut y avoir, sauf dans la mesure où vous êtes gravement lésé par ce manquement. Le responsable du traitement des données coopérera raisonnablement avec vous, à vos frais, dans le cadre de la défense, du compromis ou du règlement de demande d'indemnisation. Vous ne compromettrez pas, ni ne règlerez de demande de quelconque manière, ni n'effectuerez d'admission de responsabilité, sans le consentement écrit préalable du responsable du traitement des données, que le responsable du traitement des données peut fournir à sa seule discrétion. Le responsable du traitement des données peut participer (à ses frais) à la défense, au compromis et au règlement de la demande avec le défenseur du choix du responsable du traitement des données.

c. Responsabilité du sous-traitant. Vous reconnaissez et acceptez que vous resterez responsable envers le responsable du traitement des données d'une violation des conditions du présent accord par un sous-traitant et de tout autre sous-traitant tiers que vous nommez.

a. Résiliation. Cet Accord prendra automatiquement fin lors de la résiliation des Conditions d'utilisation des services aux entreprises.

b. Survie. Vos obligations relatives au retour et à la suppression des données personnelles du client survivront à la résiliation des Condition d'utilisation des services aux entreprises et du présent accord jusqu'à ce que vous ayez retourné ou supprimé les données personnelles du client conformément au présent accord.

S'il y a un conflit ou une incohérence entre le présent accord, les Conditions des services commerciaux tout Termes et politiques supplémentaires applicables, ou les Conditions de service de Snap Conditions de service l'ordre de priorité sera le suivant : le présent accord, les Conditions et politiques supplémentaires, les Conditions des services aux enterprises et les Conditions de service de Snap

Votre disposition de certains services aux annonceurs de Snap qui ont demandé à Snap de collecter certaines données de génération de prospects en relation avec les publicités de ces annonceurs sur la ou les plateforme(s) de Snapchat, et de vous transférer ces données en tant qu'intermédiaire du traitement.

Pour la durée du présent accord, plus la période d'expiration du présent accord jusqu'à l'anonymisation, le retour ou la suppression des données conformément au présent accord.

Vous traiterez les données personnelles du client au profit et à l'utilisation des annonceurs de Snap dans le but de fournir les services aux entreprises aux annonceurs de Snap qui ont demandé à Snap de collecter certaines données de génération de prospects en relation avec les publicités des annonceurs sur la ou les plateforme(s) de Snapchat, et de vous transférer ces données en tant qu'intermédiaire du traitement conformément et comme décrit dans les Conditions d'utilisation des services aux entreprises et dans le présent accord.

Les données personnelles du client relatives aux personnes qui complètent le formulaire de génération de prospect de l'annonceur sur la plateforme de Snapchat, qui peuvent inclure :

• le nom

• l'adresse e-mail

• le numéro de téléphone

• l'adresse du domicile

• la date de naissance

• l'identifiant de la publicité mobile (IDFA/AAID)

• l'identifiant du tiers

• la dénomination du poste

• le nom de la société

non applicable

Les personnes concernées comprennent toutes les personnes qui complètent le formulaire de génération de prospects de l'annonceur sur une plateforme de Snapchat.

1. Assurer la mise en œuvre et le respect d'un programme écrit de sécurité des informations conformément aux normes de l'industrie établies comprenant des dispositifs de protection administrative, technique et physique appropriés à la nature des données personnelles du client et conçu pour protéger ces informations de : l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés ; l'accès non autorisé ou l'utilisation qui pourrait entraîner un préjudice ou des désagréments substantiels au responsable du traitement des données ou aux clients du responsable du traitement des données ou aux employés du responsable du traitement des données ; et toute menace ou risque prévu à la sécurité ou à l'intégrité de ces informations.

2. Adopter et mettre en œuvre des politiques et normes raisonnables relatives à la sécurité.

3. Attribuer la responsabilité concernant la gestion de la sécurité des informations.

4. Consacrer des ressources du personnel adéquates à la sécurité des informations.

5. Effectuer des vérifications auprès du personnel permanent qui a accès aux données personnelles du client.

6. Procéder à des vérifications d'antécédents et exiger que les employés, les fournisseurs et d'autres personnes ayant accès aux données personnelles du client concluent des accords de confidentialité écrits.

7. Former les employés et d'autres personnes ayant accès aux données personnelles du client pour qu'ils prennent conscience des risques de sécurité des informations et pour améliorer le respect de vos politiques et normes relatives à la protection des

8. Prévenir l'accès non autorisé aux données personnelles du client par l'utilisation, le cas échéant, des contrôles de saisie physiques et logiques (mots de passe), des zones sécurisées pour le traitement des données et des procédures pour le contrôle de l'utilisation des installations de traitement des données, des pistes de vérification intégrées, l'utilisation des mots de passe sécurisés, de la technologie de détection d'intrusion du réseau, de la technologie d'authentification, des procédures de connexion sécurisées et de la protection contre les virus, de la surveillance du respect des politiques et normes de Snap relatives données de façon continue. En particulier, vous mettrez en œuvre et vous respecterez, le cas échéant et sans s'y limiter :

• Des mesures de contrôle de l'accès physique pour empêcher l'accès non autorisé aux systèmes de traitement des données (par exemple, les badges d'accès, les lecteurs de carte, agents de sécurité, systèmes d'alarme, détecteurs de mouvement, alarmes anti-intrusion, surveillance vidéo et sécurité extérieure) ;

• Des mesures de contrôle du refus d'utilisation pour empêcher l'utilisation non autorisée des systèmes de protection des données (par exemple, la complexité du mot de passe automatiquement appliqués et les exigences de modification et les pare-feux) ;

• Un régime d'autorisation et des droits d'accès fondé sur des exigences, ainsi que la surveillance et l'enregistrement de l'accès au système pour s'assurer que les personnes habilitées à utiliser le système de traitement des données n'ont l'accès qu'aux données auxquelles elles ont le droit d'accéder et que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation ;

• Des mesures de contrôle de la transmission des données pour s'assurer que les données personnelles du client ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, le transport ou le stockage des supports de données, ainsi que le transfert et la réception des enregistrements. En particulier, votre programme de sécurité des informations sera conçu pour :

  • Chiffrer dans le stockage toutes les données en votre possession, y compris les données personnelles sensibles, à l'aide des niveaux de chiffrage appropriés basés sur des normes du chiffrement à la pointe de l'industrie, telles que l'AES -256, et le stockage de l'identité de l'utilisateur sur le système à l'aide d'une paire clé-valeur telle que ghost_id pour empêcher le stockage de l'identifiant de l'utilisateur ; et

  • S'assurer que toutes les données personnelles sensibles qui ont été transmises électroniquement (autre que par fax) à une personne en dehors de votre système informatique ou transmises via un réseau public sont chiffrées à l'aide des versions les plus récentes de protocole TLS 1.2 pris en charge pour protéger la sécurité de la transmission ;

• Des mesures de contrôle de saisie pour vous assurer que vous pouvez vérifier et établir si et par qui les données personnelles du client ont été saisies, modifiées ou supprimées du système de traitement des données ;

• Des mesures d'évaluation en continu de la sécurité pour s'assurer que les pratiques de sécurité des informations restent pertinentes, efficaces et à jour, y compris les essais de pénétration annuels, les programmes de prime de bogue, l'utilisation des outils d'analyse du système, des exercices de simulation, des tests de restauration de la sauvegarde, des basculements de la préproduction, et la conduite d'analyses rétrospectives de tout incident réel pour mettre à jour les plans de récupération d'urgence pertinents ;

• Des mesures de contrôle des sous-traitants ultérieurs pour vous assurer que les données personnelles du client sont strictement traitées conformément aux instructions du responsable du traitement des données y compris, le cas échéant :

  • Des mesures pour s'assurer les données personnelles du client sont protégées contre la destruction ou la perte accidentelles y compris, le cas échéant et sans s'y limiter, la sauvegarde des données, les politiques de conservation et de destruction sécurisées ; le stockage sécurisé en dehors du site des données suffisantes pour la récupération d'urgence ; l'alimentation électrique sans interruption et des programmes de récupération d'urgence ; et

  • Des mesures pour s'assurer que les données collectées à des fins différentes peuvent être traitées séparément, y compris, le cas échéant, la séparation physique ou logique adéquate des données personnelles du client. 

9. Prendre d'autres mesures qui peuvent être appropriées aux circonstances.