Traitement des données Ver 3.3

Version 3.2, Date d'entrée en vigueur : 1er juillet 2022

Version 2.2, Date d'entrée en vigueur : 27 septembre 2021

Version 2.1, Date d'entrée en vigueur : 1er avril 2021

Version : 1.1, Date d'entrée en vigueur : 9 octobre 2019

Le présent addendum, également appelé accord sur le traitement des données, fait partie intégrante de l'accord de coopération, des conditions générales disponibles à l'adresse https://www.mews.com/fr/legal/master ("conditions générales") ou de tout autre accord (les conditions générales ou tout autre accord ci-après également dénommé "accord") conclu entre Mews' Affilié tel que défini dans l'accord respectif ("" Affilié ").Mews") et vous ("Partenaire"). Le présent addendum complète les durées de l'accord conclu entre Mews et le partenaire ; en cas de divergence entre les durées de l'accord et du présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.

Aux fins du présent addenda, les durées en majuscules ont la signification suivante. Les durées en majuscules qui ne sont pas définies dans le présent document ont la signification qui leur est donnée dans l'accord ou dans les conditions générales de vente.

"Utilisateur autorisé" désigne une personne autorisée par le Partenaire à avoir accès à la Plateforme Mews et/ou au Compte Mews et à fournir des instructions à Mewset à recevoir des communications de , que ce soit via la Plateforme Mews , le Compte Mews , par e-mail ou de toute autre manière.

" Responsable du traitement " désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel.

" Législation sur la protection des données " désigne les lois européennes sur la protection des données, les lois britanniques sur la protection des données, la CCPA et/ou toute autre législation sur la confidentialité des données applicable dans le pays d'enregistrement de l'affilié Mews tel que défini dans l'Accord.

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.

" Lois de l'UE sur la protection des données ": le RGPD et la directive de l'UE sur la vie privée et les communications électroniques (directive 2002/58/CE).

" RGPD " désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

"Données personnelles " désigne toute information associée à (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; ce qui, aux fins du présent addendum, inclut les données personnelles des clients, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, l'adresse électronique et l'adresse, les numéros d'identification et/ou de passeport, les détails de paiement, les préférences et les détails des services du partenaire, ainsi que des données limitées sur l'appareil et la localisation (nom, titre, adresse électronique et adresse).e. les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des Clients et les détails des services du Partenaire et les données limitées sur l'appareil et la localisation (ville) et toutes les autres catégories de données personnelles décrites à l'annexe I. Les données personnelles peuvent inclure des catégories spéciales de données, comme décrit plus en détail à l'annexe I.

" Traitement " désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction, l'effacement ou la destruction ; afin d'éviter tout doute, le traitement d'autres informations que les données à caractère personnel (par exemple, des données anonymisées) dans le but d'améliorer les services Mews ne relève pas du champ d'application du présent addendum.

" Processeur " ou " Sous-traitant " désigne une personne ou une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement et/ou d'un sous-traitant, selon le cas.

" Violation de données à caractère personnel " désigne une violation de la sécurité des Services entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données à caractère personnel transmises, stockées ou traitées d'une autre manière par Mews dans le cadre du présent Addendum.

" Services ", aux fins du présent addenda, désigne les services fournis par Mews au partenaire en vertu de l'accord.

" Clauses contractuelles types " ou " CCS " : les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021.

"Autorité de contrôle": une autorité publique indépendante qui est établie par un État membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi correspondante.

" Lois britanniques sur la protection des données " désigne toutes les lois associées à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi sur la protection des données de 2018.

"RGPD britannique": le RGPD tel que sauvegardé dans le droit du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni.

2.1 Traitement des données à caractère personnel

Mews et le Partenaire reconnaissent que le Partenaire est le Responsable du traitement ou le Processeur principal en ce qui concerne le Traitement des données à caractère personnel. Mews traite les données à caractère personnel en tant que Processeur ou Sous-traitant (selon ce qui est applicable à l'utilisation des Services par le Partenaire) pour le compte du Partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent Addendum, à l'Accord ou selon les instructions données par le Partenaire de temps à autre. Lorsque Mews estime raisonnablement qu'une instruction du partenaire est contraire (i) aux lois et règlements applicables ou (ii) aux dispositions de l'accord ou de l'addendum : (i) aux lois et règlements applicables ou (ii) aux dispositions de l'Accord ou de l'Addenda, Mews entreprendra tous les efforts raisonnables pour en informer le Partenaire et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par Mews pour le convaincre que cette instruction est légale, ou qu'elle soit mutuellement acceptée par le Partenaire et Mews comme étant légale.

3.1 Mews' Traitement des données à caractère personnel

Mews traitera les données personnelles comme des informations confidentielles et ne traitera les données personnelles que pour le compte et conformément aux instructions documentées du Partenaire aux fins suivantes : (i) traitement conformément à l'Accord ; (ii) traitement initié par les Utilisateurs autorisés dans le cadre de leur utilisation des Services ; et (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par courrier électronique) lorsque ces instructions sont compatibles avec les durées de l'Accord. Le Partenaire charge par la présente Mews d'informer les Personnes concernées du Traitement de leurs Données personnelles au nom du Partenaire par courrier électronique et de la possibilité d'utiliser les services de Mews pour gérer les données, les réservations et les services associés des Personnes concernées. Mews tient un journal des opérations de traitement effectuées.

3.2 Mesures techniques et organisationnelles

Mews doit maintenir et implémenter des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des données à caractère personnel et des plateformes utilisées pour fournir les services, comme décrit dans la Législation sur la protection des données. Lors de l'implémentation de ces mesures, Mews est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel pour les personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir.

3.3 Personnel

Mews veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des données à caractère personnel. Le "personnel" désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin qu'il puisse remplir ses obligations envers le partenaire en vertu de l'accord ou de l'addendum, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle énoncée dans l'accord et l'addendum. Mews veille à ce que l'accès du personnel aux données à caractère personnel soit limité à ceux qui exécutent les services conformément à l'accord, et les obligations de confidentialité du personnel subsistent après la fin de l'engagement du personnel.

3.4 Notifications.

Mews en informe par écrit le partenaire dans les meilleurs délais commercialement raisonnables :

3.4.1 de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses données personnelles ; (ii) les droits d'une personne physique de rectifier, de restreindre ou d'effacer ses données personnelles, de bénéficier de la portabilité des données, de s'opposer au traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute plainte concernant le traitement des données personnelles par le partenaire ; dans la mesure où la loi ne l'interdit pas, de toute assignation à comparaître ou de toute autre ordonnance ou procédure judiciaire ou administrative demandant l'accès à des données personnelles ou leur divulgation ; et

3.4.2 dans la mesure où la loi ne l'interdit pas, de toute plainte, avis ou autre communication associée à

La conformité du partenaire avec la loi sur la protection des données et la confidentialité des données et le traitement des données à caractère personnel. Mews fournit au partenaire une coopération et une assistance commercialement raisonnables (aux frais du partenaire) en ce qui concerne cette plainte, cet avis ou cette communication.

3.5 Violation de données personnelles

Dès qu'il a connaissance d'une violation de données à caractère personnel, Mews en informe le partenaire sans délai excessif et lui fournit en temps utile les informations et la coopération que le partenaire peut raisonnablement exiger pour s'acquitter de ses obligations en matière de violation de données en vertu de la législation sur la protection des données. Lorsqu'il n'est pas possible de fournir tous les détails en même temps, les informations peuvent être fournies progressivement, sans retard injustifié. Le partenaire convient que l'obligation de Mewsde notifier la violation de données personnelles n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette violation de données personnelles. Mews prend toutes les mesures et actions raisonnables pour remédier à toute violation de données à caractère personnel ou en atténuer les effets. Si une violation de données à caractère personnel est causée par le partenaire ou y contribue matériellement, Mews coopérera à l'enquête sur la violation de données à caractère personnel, sous réserve de l'obligation du partenaire d'indemniser Mews pour ses dépenses et ses coûts.

3.6 Retour et suppression des données

En cas de terminal ou d'expiration de l'Accord, Mews restitue, avant la fin de la durée, les données à caractère personnel en permettant au Partenaire de les télécharger. Après la fin de la Durée, Mews n'est pas tenu de conserver les données d'un Partenaire (y compris les Données à caractère personnel) et les supprimera de ses systèmes, à moins que leur conservation ne soit requise par la loi applicable.

3.7 Mews Conformité

Mews se conforme à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services dans le cadre de l'Application et de ses obligations au titre du présent addendum.

3.8 Partage de données

En activant ou en acceptant le partage de données au sein du compte Mews avec tout tiers, le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD de donner accès à toutes les données à caractère personnel et à toutes les autres données traitées au sein du compte Mews du partenaire à ce tiers. Le partenaire est responsable de l'obtention de tous les consentements nécessaires des personnes concernées ou de tout autre tiers dans le cadre du partage de données, conformément à la législation applicable en matière de protection des données. Le partenaire indemnisera, défendra et dégagera Mews et ses sociétés affiliées de toute responsabilité en cas de réclamation de la personne concernée ou d'un tiers résultant de la violation de la présente clause, y compris pour toute responsabilité, tout dommage, toute perte, tout coût et toute dépense.

3.9 Intégrations

Mews La plateforme propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le compte Mews , le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD pour donner accès aux données à caractère personnel traitées dans le compte Mews du partenaire au partenaire d'intégration respectif, comme l'exige l'interopérabilité des services ou du produit du partenaire d'intégration avec les Services Mews.

3.10 Audit

Le partenaire a le droit de procéder à un audit pour vérifier la conformité de Mewsavec les obligations qui lui incombent en vertu de l'article. 28 RGPD et dans le présent addendum. Mews autorise le partenaire à effectuer l'audit dans les conditions suivantes :

• Le partenaire demande à Mews d'effectuer l'audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;
• Le partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (i) ;
• l'audit n'a pas lieu plus d'une fois par an ;
• tous les coûts et dépenses associés sont supportés par le partenaire et remboursés à Mews sur demande ; et
• l'audit ne doit pas durer plus d'une journée de travail (8 heures) du représentant de Mews.

Dans le cas où le partenaire demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l'audit si l'auditeur n'est, selon l'avis raisonnable de Mews, pas suffisamment qualifié ou indépendant, un concurrent de Mews, ou manifestement inadapté de toute autre manière. Toute objection de ce type obligera le partenaire à nommer un autre auditeur. Si le partenaire exige plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts liés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du partenaire, Mews fournira au partenaire le coût estimatif qu'il s'attend à encourir au cours de cet audit selon l'étendue spécifiée dans l'agenda fourni par le partenaire.

4.1 Traitement des données à caractère personnel par le partenaire

Dans le cadre de son utilisation des services, le partenaire traite les données à caractère personnel conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le partenaire garantit que ses instructions relatives au traitement des données à caractère personnel sont conformes à la législation sur la protection des données et qu'il ne donne aucune instruction ou aucun classement qui ordonne à Mews d'entreprendre une action ou un plan d'action illégal ou non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du partenaire

Outre les obligations du Partenaire énoncées dans la Convention, le Partenaire est responsable (i) de l'intégration, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications

Le partenaire accepte de procéder à toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des personnes concernées en ce qui concerne le provisionnement de services par Mewsau partenaire. Lorsque Mews notifie au partenaire une communication décrite dans la section 3.4.1, 3.4.2 ou 3.5, il incombe au partenaire de répondre à cette communication et de prendre toute autre mesure appropriée à son égard. Le partenaire accepte de notifier immédiatement à Mews toute utilisation non autorisée des services ou du compte du partenaire ou toute autre violation de la sécurité impliquant les services.

4.4 Mesures techniques et organisationnelles

Le Partenaire est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données à caractère personnel que le Partenaire stocke ou traite d'une autre manière à l'aide des Services. Le partenaire est également responsable de l'utilisation des services par l'un de ses employés, par toute personne que le partenaire autorise à accéder aux services ou à les utiliser, et par toute personne qui obtient l'accès à ses données personnelles ou aux services du fait qu'il n'a pas pris des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le partenaire.

4.5 Partage de données avec d'autres partenaires

Au sein de la Plateforme Mews , le Partenaire peut configurer le(s) Compte(s) Mews dans le cadre d'un cluster de partage de données avec d'autre(s) compte(s) ("Cluster"), ce qui signifie en fait que le Partenaire et le(s) Responsable(s) de ces autres comptes partagent entre eux et traitent conjointement les Données Personnelles de leurs Clients (Clients existants et futurs, y compris les Clients importés dans le(s) Compte(s) Mews). Le partenaire est seul responsable de s'assurer que le traitement des données à caractère personnel dans le cadre du cluster est conforme à toute la législation applicable en matière de protection des données et que le partenaire a mis en place des accords appropriés pour couvrir le partage des données.

Le Partenaire reconnaît que la mise en place de son (ses) compte(s) Mews dans le cadre d'un Cluster n'est pas réversible. En paramétrant son (ses) compte(s) Mews comme faisant partie d'un Cluster, le Partenaire charge Mews en tant que Processeur de traiter les Données à caractère personnel au sein de ce Cluster. Si le partenaire souhaite se retirer de la grappe, il ne peut le faire qu'en créant un nouveau compte Mews. La mise en place d'un cluster n'étant pas réversible, le partenaire continue à traiter conjointement des données à caractère personnel dans son (ses) ancien(s) compte(s) Mews , à moins que ces données à caractère personnel ne soient supprimées du cluster (cette suppression est objet d'une coopération en bonne et due forme fournie par d'autres partenaires au sein du cluster et les coûts doivent être remboursés à Mews sur demande).

5.1 Coopération avec les partenaires et Mews

Dans la mesure où la législation sur la protection des données l'exige, Mews fournira une coopération raisonnable concernant les services Mews pour permettre au partenaire d'effectuer des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités chargées de la protection des données, comme l'exige la législation sur la protection des données. Le partenaire doit coopérer avec Mews' enquête raisonnable sur les pannes de service, les problèmes de sécurité, et toute violation de données personnelles soupçonnée. Le partenaire fournit une assistance raisonnable à Mews dans le cadre de la coopération ou de la consultation préalable de l'autorité de contrôle concernant les tâches décrites dans la présente section, dans la mesure où la législation sur la protection des données l'exige.

5.2 Mews' Assistance pour les exigences de conformité du partenaire

Pendant la durée de l'Accord du Partenaire avec Mews, le Partenaire peut demander que Mews assiste les efforts du Partenaire pour se conformer aux obligations du Partenaire en vertu d'une loi et de règlements applicables en matière de protection des données ou de la vie privée, à condition que (i) cette assistance demandée soit pertinente pour les Services qui soutiennent le Traitement des Données à caractère personnel, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de Mews est demandée, et (iii) si Mews accepte d'apporter son assistance, tous les coûts et dépenses associés (y compris le coût du temps de son personnel) soient supportés par le Partenaire et remboursés à Mews sur demande.

6.1 Le Partenaire donne une autorisation générale à Mews d'engager des Sous-Traitants pour traiter les données à caractère personnel au nom du Partenaire. Le Partenaire approuve les éléments suivants en tant que Sous-Traitants : (i) ceux énumérés à l'Annexe III des présentes, (ii) Mews' Affiliés, et (iii) tout Sous-Traitant autorisé par le Partenaire par l'intermédiaire d'un Utilisateur Autorisé en permettant une intégration avec les Services Mews via le Compte MEWS ou de toute autre manière. Mews peut, pendant la durée de l'accord, faire intervenir de nouveaux Sous-traitants dans le Traitement, à condition que ces Sous-traitants n'accèdent aux Données à caractère personnel et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui lui ont été sous-traitées.

6.2 Droit d'opposition pour les nouveaux processeurs secondaires

Mews s'engage à informer préalablement le partenaire avant d'engager tout nouveau sous-traitant. Le partenaire peut s'opposer à l'utilisation par Mewsd'un nouveau soustraitant en le notifiant promptement par écrit à Mews dans les dix (10) jours ouvrables suivant la réception de la notification de Mewset en précisant les lacunes. Dans le cas où le partenaire s'oppose à un nouveau sous-traitant ultérieur, Mews s'efforcera d'ajouter des garanties supplémentaires (couvrant les lacunes spécifiées) ou de changer le sous-traitant ultérieur (par rapport au sous-traitant ultérieur) ; si Mews n'est pas en mesure de le faire, Mews fera des efforts raisonnables pour mettre à la disposition du partenaire une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le partenaire afin d'éviter le traitement des données à caractère personnel par le nouveau sous-traitant ultérieur auquel il s'est opposé, sans imposer une charge déraisonnable au partenaire. Si Mews n'est pas en mesure d'apporter ce changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le partenaire peut mettre fin uniquement à la partie des services qui ne peut être fournie par Mews sans l'utilisation du nouveau sous-processeur contesté, en adressant une notification écrite à Mews. Mews remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui représente le seul et unique recours du partenaire en ce qui concerne l'introduction d'un nouveau sous-processeur. Si Mews ne reçoit aucune objection dans le délai imparti, le partenaire sera réputé avoir consenti au nouveau sous-processeur et avoir renoncé à son droit d'opposition.

6.3 Responsabilité

Mews est responsable des actes et omissions de ses Sous-Traitants dans la même mesure que Mews le serait si les services de chaque Sous-Traitant étaient exécutés directement selon les termes du présent addendum, sauf disposition contraire de l'Accord.

7.1 Transfert de données

Les Parties conviennent que les Données à caractère personnel peuvent être transférées de l'Union européenne/Espace économique européen vers un pays tiers, uniquement si l'une des conditions suivantes s'applique : (a) il existe une décision applicable de la Commission européenne qui stipule que le pays tiers assure un niveau de protection adéquat ; ou (b) le transfert peut avoir lieu parce que Mews a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables et des voies de recours effectives pour les personnes concernées soient disponibles ; ou (c) les dérogations pour situation spécifique en vertu de l'art. 49 du RGPD s'appliquent.

7.2 Clauses contractuelles types

Aux fins de l'art. 7.1 (b) du présent addendum, les parties conviennent que les clauses contractuelles types sont considérées comme des garanties appropriées. Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace économique européen, les Clauses contractuelles types sont incorporées par référence au présent addendum et en font partie intégrante comme suit :

7.2.1 Aux fins des données à caractère personnel qui sont objet des lois de l'UE sur la protection des données ("données de l'UE") :

(i) Lorsque le partenaire est le responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le partenaire est le processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;

(ii) à la clause 9, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de processeurs secondaires sera celle prévue à la clause 6 (Sous-Traitement) du présent addendum ;

(iii) à la clause 11, la langue optionnelle ne s'appliquera pas ;

(iv) dans la clause 17, l'Optionnel 1 s'appliquera, et les CSC de l'UE seront régis par le droit néerlandais ;

(v) à la clause 18(b), les litiges seront résolus devant les tribunaux des Pays-Bas ;

(vi) L'annexe I des CCAP est réputée complétée par les informations figurant à l'annexe I du présent addendum ; l'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II du présent addendum ;

7.2.2 Le transfert de données à caractère personnel qui sont objet des lois britanniques sur la protection des données ("données britanniques") est régi par les dispositions suivantes

Annexe IV - Addendum du Royaume-Uni aux CSC.

7.2.3 Le transfert de données à caractère personnel qui est objet de la loi fédérale suisse sur la protection des données du 1er septembre 2023 et de ses ordonnances correspondantes ("PDC suisse") est régi par l'annexe V - Addendum suisse aux CCAP.

8.1 Le partenaire accepte que tout utilisateur autorisé du partenaire puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

9.1 Mews reconnaît qu'il agit en tant que prestataire de services en ce qui concerne les informations personnelles des partenaires qu'il traite en vertu des présentes.

9.2 Sauf si le droit applicable le prescrit ou si les parties en conviennent expressément, Mews ne doit pas :

• vendre des informations personnelles sur les partenaires ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins autres que l'objectif spécifique de l'exécution des services conformément à l'accord ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins commerciales autres que celles spécifiées dans l'accord ; ou
• conserver, utiliser ou divulguer les informations personnelles du partenaire en dehors de la relation commerciale directe entre Mews et le partenaire.

9.3 Mews certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent addendum, la CCPA et les autres lois et réglementations applicables en matière de protection des données.

9.4 Dans la présente clause 9 :

9.4.1 "CCPA" désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), California Civil Code §§1798.100 et suivants, y compris tout amendement et toute réglementation d'application entrant en vigueur à la date d'entrée en vigueur du présent addendum ou après celle-ci ; et

9.4.2 "Informations personnelles du partenaire" : toutes les données du partenaire qui comprennent des "informations personnelles" telles que définies dans la CCPA ;

9.4.3 "Prestataire de services" a la signification indiquée dans la section 1798.140(v) de l'ACCP.

10.1 La présente clause 10 ne s'applique que si la partie contractante à l'accord est Mews et a son siège social aux États-Unis d'Amérique.

10.2 COPPA

La protection de la vie privée des enfants est particulièrement importante. Le Children's Online Privacy and Protection Act ("COPPA") exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment des informations personnelles identifiables en ligne auprès d'enfants de moins de 13 ans aux États-Unis d'Amérique. Mews respecte la fonction des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Mews limite sa collecte d'informations personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux services et les améliorer à l'avenir. Mews ne collecte pas de données à caractère personnel auprès des enfants, sauf dans les cas prévus par l'accord. Mews se réserve le droit de refuser de traiter les données fournies par le partenaire qui sont en violation de la présente clause 10.2.

10.3 Utilisation par des tiers des données du partenaire

Sauf accord contraire, toutes les données fournies à Mews par le partenaire sont des informations confidentielles et Mews n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre de la fourniture des services. Le partenaire reconnaît qu'afin d'exécuter correctement les services, les informations fournies à Mews par le partenaire seront mises à la disposition de tiers afin de permettre l'exécution des services. Le partenaire reconnaît que ces tiers ne sont pas des représentants de Mews et que Mews n'est pas responsable des actes et omissions de ces tiers. Mews exige des tiers auxquels les données à caractère personnel des partenaires sont mises à disposition qu'ils appliquent le même niveau de protection de la confidentialité que celui énoncé dans le présent addendum et que celui exigé par les lois applicables. La manière dont les données des partenaires peuvent être utilisées est couverte par la politique de confidentialité de Mews , que vous trouverez à l'adresse suivante : https://app.mews.com/Platform/Document/PrivacyPolicy.

11.1 Bénéficiaires tiers

Les personnes concernées sont les seuls tiers bénéficiaires des CSC, et il n'y a pas d'autres tiers bénéficiaires de l'accord et du présent addendum. Nonobstant ce qui précède, l'Accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du partenaire, à un utilisateur final du partenaire ou à une personne concernée tierce.

11.2 Droit applicable

Aucune disposition du présent addenda ne modifie la section de l'accord relative au droit applicable, qui, pour éviter toute ambiguïté, régit toutes les plaintes déposées dans le cadre de l'accord et du présent addenda.

11.3 Limitation de la responsabilité

Dans toute la mesure permise par la loi, la responsabilité globale de Mews et de ses sociétés affiliées découlant du présent addendum ou en rapport avec celui-ci (y compris les clauses contractuelles types, l'addendum suisse et l'addendum britannique), qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de la responsabilité, fait l'objet des limitations et exclusions de responsabilité (y compris tout plafond financier global convenu) énoncées dans l'accord. Pour éviter toute ambiguïté, aucune disposition du présent addendum n'est destinée à limiter les droits qu'une personne concernée peut avoir à l'encontre de l'une ou l'autre partie en raison de la violation par cette partie des Clauses contractuelles types, le cas échéant.

11.4 Durée

Après la résiliation de l'accord, le présent addendum continuera à être en vigueur jusqu'à ce que Mews cesse de traiter les données à caractère personnel pour le compte du partenaire.

11.5 Le terminal

Mews peut résilier le présent addendum si Mews propose au partenaire des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

11.6 Contreparties

Le présent addendum peut être signé en plusieurs exemplaires qui, ensemble, seront considérés comme un seul original.

Liste des parties

• Exportateur de données L'exportateur de données est Partner
• L'importateur de données est L'importateur de données est Mews

Description du transfert

• Catégories de personnes concernées Les données à caractère personnel transférées peuvent concerner des personnes au sujet desquelles des données à caractère personnel sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés sur Mews , qui comprennent généralement des personnes (clients ou prospects) utilisant les services du partenaire. Dans le cas où Partner utilise Mews Events, les données à caractère personnel transférées peuvent concerner des personnes effectuant des réservations pour des événements et des participants à des événements. Dans le cas où Partner utilise le système de gestion de la formation, les données à caractère personnel transférées peuvent concerner les employés du Partner ou d'autres personnes travaillant ou coopérant avec le Partner. Dans le cas où Partner utilise le produit de gestion des revenus Mews ("services RMS"), les données personnelles transférées peuvent également concerner les personnes ayant un compte dans les services RMS (généralement le personnel de Partner).
• Catégories de données Les données personnelles transférées concernent les catégories de données suivantes : Les données des clients contenues dans les formulaires de contact et toute autre donnée personnelle contenue dans les formulaires de contact ou de réservation, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros de pièce d'identité et/ou de passeport, le selfie des clients et une copie de leur pièce d'identité/passeport (uniquement si cela est permis par le partenaire), les détails de paiement, Les préférences des invités, et les détails des services du partenaire et les données limitées de l'appareil et de localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le sous-traitant/importateur concerné), toutes les autres données que le partenaire permet de collecter auprès de l'invité par l'intermédiaire des services. Dans le cas où Partenaire utilise le produit Mews Events, les données personnelles transférées peuvent inclure les détails de contact et d'identification des personnes qui font des réservations pour des événements et qui assistent à des événements, les détails de paiement, les préférences des participants et les détails des services de Partenaire et les données limitées de l'appareil et de localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le sous-traitant/importateur pertinent). Dans le cas où Partner utilise le système de gestion de l'apprentissage, les données à caractère personnel transférées peuvent inclure les coordonnées et l'identification des employés du Partner ou d'autres personnes travaillant ou coopérant avec le Partner, ainsi que des rapports liés à leur formation et des données limitées sur l'appareil et la localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le soustraitant/importateur concerné). Dans le cas où le partenaire utilise les services RMS, les données à caractère personnel transférées peuvent inclure le nom, le prénom, l'adresse e-mail, le poste et l'adresse IP des personnes disposant d'un compte auprès des services RMS (généralement le personnel du partenaire).
• Données sensibles Les données sensibles telles que les handicaps et les restrictions alimentaires, le selfie des clients et une copie de leur pièce d'identité ou de leur passeport (uniquement si le partenaire le permet) peuvent être transférées si les personnes concernées décident de partager des informations de cette nature, ou si ces informations sont soumises par des utilisateurs autorisés. Les mesures techniques et organisationnelles visées à l'annexe II s'appliquent.
• Opérations de traitement Les données à caractère personnel transférées feront l'objet des opérations de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou combinaison, restriction, effacement ou destruction. Le partenaire doit prendre des mesures de sécurité raisonnables dans le cadre de son utilisation des services, notamment en cryptant de manière appropriée toutes les données à caractère personnel stockées sur le système hébergé ou transmises par celui-ci.
• Fréquence de transfert Continu
• Nature et objet du traitement
• • stockage (hôte) et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au partenaire dans le cadre de l'accord,
  • le service client fourni au Partenaire au cas par cas,
  • les divulgations conformément à l'accord, dans la mesure où la loi l'exige, et
  • la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
• Durée du traitement Durée
• Finalité(s) du transfert et du traitement ultérieur des données
• • (i) Traitement pour fournir, maintenir, soutenir et améliorer les services fournis au partenaire conformément à l'accord ;
  • (ii) le traitement initié par les utilisateurs dans le cadre de leur utilisation des services ; et
  • (iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple par courriel) lorsque ces instructions sont compatibles avec les durées de l'Accord (y compris le présent Addendum).
  • (iv) Traitement visant à permettre au Partner de gérer les activités d'apprentissage et de formation dans le système de gestion de l'apprentissage.

Autorité de contrôle compétente

En ce qui concerne les données de l'UE, l'autorité de contrôle compétente est l'autorité néerlandaise de protection des données (la" DPA néerlandaise").

Description des mesures techniques et organisationnelles implémentées par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. L'importateur de données implante des mesures de sécurité équivalentes à celles exigées en vertu de l'accord, de l'addendum et de tout document auxiliaire conclu en application de l'accord. Les mesures de sécurité implémentées sont disponibles ici : https://www.mews.com/fr/platform-documentation#security

La liste des processeurs secondaires approuvés pour Mews est disponible à l'adresse suivante : https://www.mews.com/fr/platform-documentation#subprocessors

Date du présent addendum

• Le présent avenant britannique entre en vigueur à compter de : la même date que l'accord.

Contexte

Interprétation du présent addendum britannique

• Lorsque le présent addendum britannique utilise des durées qui sont définies dans les CCAP, ces durées ont la même signification que dans les CCAP.
• Le présent addendum britannique doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de manière à ce qu'il réponde à l'intention de fournir les garanties appropriées comme l'exige l'article 46 (2) (d) du RGPD britannique.
• Si les dispositions incluses dans le présent addendum britannique modifient les CSC d'une manière qui n'est pas autorisée par les CSC ou le modèle d'addendum publié par le commissaire à l'information (ci-après "addendum britannique approuvé"), ce(s) amendement(s) ne sera(ont) pas incorporé(s) dans le présent addendum britannique et le provisionnement équivalent des CSC s'y substituera.
• En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum britannique, les lois britanniques sur la protection des données s'appliquent.
• Si la signification du présent addendum britannique n'est pas claire ou s'il y a plus d'une signification, la signification qui s'aligne le mieux sur les lois britanniques sur la protection des données s'applique.
• Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou ce provisionnement spécifique) telle qu'elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou un provisionnement spécifique) a été consolidée, réadoptée et/ou remplacée après l'entrée en vigueur du présent addendum britannique.

Hiérarchie

• Bien que la clause 5 des CSC stipule que les CSC prévalent sur tous les accords associés entre les parties, les parties conviennent que, pour le transfert des données britanniques, la hiérarchie de cette clause prévaut. En cas d'incohérence ou de conflit entre l'addendum britannique approuvé et les CSC telles qu'incorporées dans le présent document, l'addendum britannique approuvé prévaut sur les CSC telles qu'incorporées dans le présent document, sauf si (et dans la mesure où) les durées incohérentes ou conflictuelles des CSC telles qu'incorporées dans le présent document assurent une meilleure protection des personnes concernées, auquel cas ces durées prévaudront sur le présent addendum britannique. Lorsque le présent addenda britannique incorpore des CSC tels qu'incorporés dans les présentes qui ont été conclus pour protéger les transferts objets du RGPD, alors les parties reconnaissent que rien dans le présent addenda britannique n'a d'impact sur ces CSC tels qu'incorporés dans les présentes.

Constitution des CCN

• Le présent addendum britannique incorpore les CSC qui sont modifiés dans la mesure nécessaire pour que :
• • Elles s'appliquent conjointement aux transferts de données effectués par l'exportateur de données à l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
  • Ils fournissent des garanties appropriées pour les transferts conformément à l'article 46, paragraphe 2, point d), des lois britanniques sur le RGPD.
  • Lorsque le partenaire est responsable du traitement, le module deux (du responsable du traitement au processeur) des CSC s'applique ; lorsque le partenaire est processeur, le module trois (du processeur au sous-processeur) des CSC s'applique.
  • Dans la clause 9 des CCAP, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de processeurs secondaires sera celle prévue à la clause 6 (Sous-Traitement) de ce DPA.
  • Dans la clause 11 des CSC, la langue optionnelle ne s'appliquera pas.
  • La clause 2 des CCAP s'applique sans le libellé suivant : " et, en ce qui concerne les transferts de données des responsables du traitement vers les processeurs et/ou des processeurs vers les processeurs, les clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679 ".
  • La clause 6 de la description du (des) transfert(s) par le CCN est remplacée par ce qui suit : "Les détails du ou des transferts et, en particulier, les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées sont celles spécifiées à l'annexe I.B de l'addendum lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert."
  • La clause 8.7(i) du module 1 du CSC est remplacée par : "c'est vers un pays bénéficiant de règlements d'adéquation en vertu de la section 17A du RGPD britannique qui couvre le transfert ultérieur".
  • La clause 8.8(i) des modules 2 et 3 des CSC est remplacée par : "le transfert ultérieur se fait vers un pays bénéficiant de règlements d'adéquation conformément à la section 17A du RGPD britannique qui couvre le transfert ultérieur".
  • L'annexe I des CSC est réputée complétée par les informations figurant à l'annexe I du présent addendum ; l'annexe II des CSC par l'annexe II ; et l'annexe III par l'annexe III.
  • Les références au " Règlement (UE) 2016/679 ", au " Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) " et à " ce règlement " sont toutes remplacées par " les lois britanniques sur la protection des données ".
  • Les références à des articles spécifiques du "Règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données.
  • Les références au règlement (UE) 2018/1725 sont supprimées.
  • Les références à l'"Union européenne", à l'"Union", à l'"UE", à l'"État membre de l'UE", à l'"État membre" et à l'"UE ou l'État membre" sont toutes remplacées par le "Royaume-Uni".
  • La référence à la "clause 12(c)(i)" de la clause 10(b)(i) du module un des C&B est remplacée par la "clause 11(c)(i) des C&B".
  • La clause 13(a) des CCN et la partie C de l'annexe II des CCN ne sont pas utilisées.
  • Les termes "autorité de contrôle compétente" et "autorité de contrôle" sont tous deux remplacés par le commissaire à l'information.
  • Clause 16(e), subsection (i) of the SCCs is replaced with : "le secrétaire d'État prend des règlements en vertu de la section 17A du Data Protection Act 2018 qui couvrent le transfert de données à caractère personnel auquel ces clauses s'appliquent".
  • La clause 17 des CSC est remplacée par le texte suivant : "Les présentes CSC sont régies par les lois de l'Angleterre et du Pays de Galles" : "Les présentes CSC sont régies par les lois de l'Angleterre et du Pays de Galles.
  • La clause 18 des CSC est remplacée par ce qui suit : "Tout litige découlant des présentes CSC sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux".
  • Les notes de bas de page des CSC ne font pas partie de l'addendum britannique, à l'exception des notes de bas de page 8, 9, 10 et 11.
• Si le commissaire à l'information publie une version révisée de l'addendum britannique approuvé, le présent addendum britannique est automatiquement modifié comme indiqué dans l'addendum britannique approuvé révisé à compter de la date d'entrée en vigueur qui y est spécifiée, sauf si les parties en conviennent autrement.

Les parties conviennent que le transfert de données à caractère personnel de la Suisse vers des pays tiers (dont il n'a pas été établi qu'ils assurent une protection adéquate des données à caractère personnel) qui est objet de la loi fédérale suisse sur la protection des données de 1992, telle que modifiée ("LPD suisse") est régi par les clauses contractuelles types, telles que spécifiées dans la clause 7.2.1 du présent addendum, avec les modifications suivantes :

a) Lorsque le transfert est exclusivement objet du Swiss FADP :

• Les références au RGPD sont remplacées par des références au RGPD suisse.
• Les références à l'"UE", à l'"État membre de l'UE", à l'"Union européenne" et à l'"Union" sont remplacées par des références à la Suisse.
• Les références à l'autorité de contrôle compétente sont remplacées par des références au Préposé fédéral à la protection des données et à la transparence en Suisse (ou à son remplaçant ou successeur) ("PFPDT").
• Clause 13 (Contrôle) : L'autorité de surveillance compétente est : LE PFPDT.
• Clause 17 (Droit applicable) : Droit suisse.

b) Lorsque le transfert est objet à la fois du RGPD suisse et du RGPD :

• Les références au RGPD sont complétées par des références au RGPD.
• Les références à l'"UE", à l'"État membre de l'UE", à l'"Union européenne" et à l'"Union" sont complétées par des références à la Suisse.
• Les références à l'autorité de surveillance compétente sont complétées par des références au PRDF.
• Les références à l'autorité de contrôle compétente sont complétées par des références au Préposé fédéral à la protection des données et à la transparence en Suisse (ou à son remplaçant ou successeur).
• Clause 13 (Contrôle) : L'autorité de contrôle compétente est :
• 1. 1. 1. le PFPDT, dans la mesure où le transfert est régi par le Swiss FADP ; et
  2. 1. 2. L'autorité néerlandaise de protection des données, dans la mesure où le transfert est régi par le RGPD.
• Clause 17 (Droit applicable) : Droit néerlandais.

La durée "État membre" ne doit pas être interprétée de manière à exclure les personnes concernées en Suisse de la possibilité d'intenter une action pour faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des Clauses contractuelles types.