Politique de traitement et de transfert des données pour les partenaires, avril 2021.

Version : 1.1, Date d'entrée en vigueur : 9 octobre 2019

Le présent addendum relatif au traitement des données ("addendum") fait partie intégrante de l'accord de coopération, des conditions générales disponibles à l'adresse https://www.mews.com/fr/terms-conditions/partners-july-2020 ("conditions générales") ou de tout autre accord (conditions générales ou tout autre accord ci-après également dénommé "accord") conclu entre Mews' Affilié tel que défini dans l'accord respectif ("Mews") et vous ("Partenaire"). Le présent addendum complète les durées de l'accord conclu entre Mews et le partenaire ; en cas de divergence entre les durées de l'accord et du présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.

Aux fins du présent addenda, les durées en majuscules ont la signification suivante.  Les durées en majuscules qui ne sont pas définies dans le présent document ont la signification qui leur est donnée dans l'accord ou dans les conditions générales de vente.

" Affilié(s)" : s'agissant d'une entité, l'" affilié " est toute autre entité contrôlant directement ou indirectement, contrôlée par, ou sous contrôle commun direct ou indirect de l'entité initiale. Une entité contrôle une autre entité si cette dernière détient, directement ou indirectement, soit (i) 20 % ou plus des actions assorties de droits de vote ordinaires pour l'élection des administrateurs de cette entité, soit (ii) le pouvoir de diriger ou de faire diriger la gestion ou les politiques de l'autre entité, que ce soit par la détention de titres assortis de droits de vote, par contrat ou de toute autre manière ;

"Utilisateur autorisé" désigne une personne autorisée par le Partenaire à avoir accès à Mews Plateforme et/ou Mews Compte et à fournir des instructions à Mewset à recevoir des communications de , nonobstant le fait que ce soit via Mews Plateforme, Mews Compte, par e-mail ou de toute autre manière ;

"Responsable du traitement" désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel ;

"Législation sur la protection des données" désigne le RGPD, et/ou toute autre législation applicable en matière de confidentialité des données du pays d'enregistrement de l'Affilié Mews tel que défini dans le Contrat ;

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;

"RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

"Données personnelles" signifie toute information concernant (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; ce qui, aux fins du présent addenda, comprend les données personnelles des clients, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients, les détails des services du Partenaire et les données limitées de connexion et de localisation (ville). Les données à caractère personnel ne contiennent pas de catégories particulières de données.

"Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction, l'effacement ou la destruction ; afin d'éviter tout doute, le traitement d'autres informations que les données à caractère personnel (par exemple, des données anonymisées) dans le but d'améliorer les services Mews ne relève pas du champ d'application du présent addendum ;

" Processeur " ou " Sous-traitant " désigne une personne ou une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement et/ou d'un sous-traitant, selon le cas ;

" Services " , aux fins du présent addenda, désigne les services fournis par Mews au partenaire en vertu de l'accord ;

" Clauses contractuelles types " désigne les clauses contractuelles types (processeurs) pour le transfert de données à caractère personnel énoncées dans la décision de la Commission de l'UE du 5 février 2010 (2010/87/CE), telles qu'elles figurent à l'annexe n° 1 des présentes ou toute autre clause contractuelle type qui sera adoptée par la Commission européenne à l'avenir (le cas échéant) ;

"Autorité de contrôle" : une autorité publique indépendante qui est établie par un État membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi correspondante.

2.1 Traitement des données à caractère personnel

Mews et le Partenaire reconnaissent que le Partenaire est le Responsable du traitement ou le Processeur principal en ce qui concerne le Traitement des données à caractère personnel pertinentes. Mews traite les données à caractère personnel uniquement en tant que Processeur ou Sous-Traitant (selon ce qui est applicable à l'utilisation des Services par le Partenaire) pour le compte du Partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent Addendum, à l'Accord ou selon les autres instructions données par le Partenaire de temps à autre. Lorsque Mews estime raisonnablement qu'une instruction du partenaire est contraire (i) aux lois et règlements applicables ou (ii) aux dispositions de l'accord ou de l'addendum : (i) aux lois et règlements applicables ou (ii) aux dispositions de l'Accord ou de l'Addenda, Mews entreprendra tous les efforts raisonnables pour en informer le Partenaire et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par Mews pour le convaincre que cette instruction est légale, ou qu'elle soit mutuellement acceptée par le Partenaire et Mews comme étant légale.

3.1 Mews' Traitement des données à caractère personnel

Mews traitera les données personnelles comme des informations confidentielles et ne traitera les données personnelles que pour le compte et conformément aux instructions documentées du Partenaire aux fins suivantes : (i) traitement conformément à l'Accord ; (ii) traitement initié par les Utilisateurs autorisés dans le cadre de leur utilisation des Services ; et (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par courrier électronique) lorsque ces instructions sont compatibles avec les durées de l'Accord. Le Partenaire charge par la présente Mews d'informer les Personnes concernées du Traitement de leurs Données personnelles au nom du Partenaire par courrier électronique et de la possibilité d'utiliser les services de Mews pour gérer les données, les réservations et les services associés des Personnes concernées. Mews tient un journal des opérations de traitement effectivement réalisées.

3.2 Mesures techniques et organisationnelles

Mews doit maintenir et implémenter des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des données à caractère personnel et des plateformes utilisées pour fournir les services, comme décrit dans la Législation sur la protection des données. Lors de l'implémentation de ces mesures, Mews est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel pour les personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir.

3.3 Personnel

Mews veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des données à caractère personnel.  Le "personnel" désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin qu'il puisse remplir ses obligations envers le partenaire en vertu de l'accord ou de l'addendum, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle énoncée dans l'accord et l'addendum. Mews veille à ce que l'accès du personnel aux données à caractère personnel soit limité à ceux qui exécutent les services conformément à l'accord, et les obligations de confidentialité du personnel subsistent après la fin de l'engagement du personnel.

3.4 Notifications.

Mews en informe par écrit le partenaire dans les meilleurs délais commercialement raisonnables :

3.4.1 de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses données à caractère personnel ; (ii) les droits d'une personne physique de rectifier, de restreindre ou d'effacer ses données à caractère personnel, de bénéficier de la portabilité des données, de s'opposer au traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute plainte concernant le traitement des données à caractère personnel par le partenaire ; dans la mesure où la loi ne l'interdit pas, de toute assignation à comparaître ou autre ordonnance ou procédure judiciaire ou administrative visant à obtenir l'accès aux données à caractère personnel ou leur divulgation ; 3.4.2 dans la mesure où la loi ne l'interdit pas, de toute plainte, avis ou autre communication associée à la conformité du Partenaire avec la législation sur la protection des données et la vie privée et au Traitement des Données Personnelles. Mews fournira au partenaire une coopération et une assistance commercialement raisonnables (aux frais du partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et 3.4.3 d'une violation matérielle de la sécurité des services entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel dont nous avons connaissance, conformément à la loi applicable ("violation de la sécurité"). Mews s'efforce raisonnablement d'identifier la cause de cette violation de la sécurité et prend les mesures nécessaires et raisonnables, et qui sont acceptées par le partenaire, afin de remédier à la cause de cette violation de la sécurité dans la mesure où la remédiation est sous le contrôle raisonnable de Mews. Les obligations des présentes ne s'appliquent pas aux incidents causés par le partenaire.

3.5 Pas d'accusé de réception

Le partenaire convient que l'obligation de Mewsde notifier la violation de sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette violation de sécurité.

3.6 Retour et suppression des données

Sous réserve des limitations prévues par les lois applicables, Mews restitue au Partenaire toutes les données à caractère personnel persistantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures normalisées et dans des délais commercialement raisonnables.

3.7 Mews Conformité

Mews se conforme à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services dans le cadre de l'Application et de ses obligations au titre du présent addendum.

3.8 Partage de données

En activant ou en acceptant le partage de données au sein du compte Mews avec tout tiers, le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD de donner accès à toutes les données à caractère personnel et à toutes les autres données traitées au sein du compte Mews du partenaire à ce tiers. Le partenaire est responsable de l'obtention de tous les consentements nécessaires des personnes concernées ou de tout autre tiers dans le cadre du partage de données, conformément à la législation applicable en matière de protection des données. Le partenaire indemnisera, défendra et dégagera Mews et ses sociétés affiliées de toute responsabilité en cas de réclamation de la personne concernée ou d'un tiers résultant de la violation de la présente clause, y compris pour toute responsabilité, tout dommage, toute perte, tout coût et toute dépense.

3.9 Intégrations

Mews La plateforme propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le compte Mews , le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD pour donner accès aux données à caractère personnel traitées dans le compte Mews du partenaire au partenaire d'intégration respectif, comme l'exige l'interopérabilité des services ou du produit du partenaire d'intégration avec les Services Mews.

3.10 Audit

Le partenaire a le droit de procéder à un audit pour vérifier la conformité de Mewsavec les obligations énoncées à l'article. 28 RGPD et dans le présent addendum. Mews autorise le partenaire à effectuer l'audit dans les conditions suivantes :

1. le partenaire demande à Mews d'effectuer l'audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;
2. le partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (i) ;
3. l'audit n'a pas lieu plus d'une fois par an ;
4. tous les coûts et dépenses associés sont supportés par le partenaire et remboursés à Mews sur demande ; et
5. l'audit ne doit pas durer plus d'une journée de travail (8 heures) du représentant de Mews.

Dans le cas où le partenaire demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l'audit si l'auditeur est, de l'avis raisonnable de Mews, insuffisamment qualifié ou indépendant, un concurrent de Mews, ou manifestement inadapté de toute autre manière. Toute objection de ce type obligera le partenaire à nommer un autre auditeur. Si le partenaire exige plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts associés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du partenaire, Mews fournira au partenaire le coût estimatif qu'il s'attend à encourir au cours de cet audit selon l'étendue spécifiée dans l'agenda fourni par le partenaire.

4.1 Traitement des données à caractère personnel par le partenaire

Dans le cadre de son utilisation des services, le partenaire traite les données à caractère personnel conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le partenaire garantit que ses instructions relatives au traitement des données à caractère personnel sont conformes à la législation sur la protection des données et qu'il ne donne aucune instruction ou aucun classement qui ordonne à Mewst de prendre une mesure ou une ligne de conduite illégale ou non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du partenaire

Outre les obligations du Partenaire énoncées dans la Convention, le Partenaire est responsable (i) de l'intégration, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications

Le partenaire accepte de procéder à toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des personnes concernées en ce qui concerne le provisionnement de services par Mewsau partenaire. Lorsque Mews reçoit une communication décrite à la section 3.4.1 ou 3.4.3 et en informe le partenaire, il incombe à ce dernier de répondre à cette communication et de prendre toute autre mesure appropriée à son égard. Le partenaire accepte de notifier immédiatement à Mews toute utilisation non autorisée des services ou du compte du partenaire ou toute autre violation de la sécurité impliquant les services.

4.4 Mesures techniques et organisationnelles

Le Partenaire est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données à caractère personnel que le Partenaire stocke ou traite d'une autre manière à l'aide des Services. Le partenaire est également responsable de l'utilisation des services par l'un de ses employés, par toute personne que le partenaire autorise à accéder aux services ou à les utiliser, et par toute personne qui obtient l'accès à ses données personnelles ou aux services du fait qu'il n'a pas pris des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le partenaire.

5.1 Coopération avec les partenaires et Mews

Le Partenaire et Mews conviennent de coopérer d'une manière commercialement raisonnable dans la mesure où cela est raisonnablement nécessaire pour protéger les données à caractère personnel en vertu des lois applicables, de l'article 35 et 36 du RGPD pour effectuer une analyse d'impact sur la protection des données liée à l'utilisation des Services par le Partenaire, dans la mesure où le Partenaire n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces données sont disponibles pour Mews. Le partenaire doit coopérer avec Mews' enquête raisonnable sur les pannes de service, les problèmes de sécurité, et toute violation de la sécurité soupçonnée. Le partenaire fournit une assistance raisonnable à Mews dans le cadre de la coopération ou de la consultation préalable avec l'autorité de contrôle dans l'exécution de ses tâches associées à la présente section, dans la mesure requise par le RGPD ou le droit applicable.

5.2Mews' Assistance pour les exigences de conformité du partenaire

Pendant la durée de l'Accord du Partenaire avec Mews, le Partenaire peut demander que Mews assiste les efforts du Partenaire pour se conformer aux obligations du Partenaire en vertu d'une loi et de règlements applicables en matière de protection des données ou de la vie privée, à condition que (i) cette assistance demandée soit pertinente pour les Services qui soutiennent le Traitement des Données à Caractère Personnel, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de Mews est demandée, et (iii) si MEWS Systems accepte d'apporter son assistance, tous les coûts et dépenses associés (y compris le coût du temps de travail de son personnel) soient supportés par le Partenaire et remboursés à Mews sur demande.

6.1 En ce qui concerne les tiers ou la sous-traitance du traitement des données à caractère personnel, Mews ne peut autoriser un tiers (Sous-traitant) à traiter les données à caractère personnel qu'avec le consentement préalable du Partenaire et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du Sous-traitant concernant les données à caractère personnel soient dans des durées qui sont essentiellement les mêmes que celles énoncées dans le présent addendum, à condition que le contrat du Sous-traitant concernant les données à caractère personnel prenne fin automatiquement en cas de résiliation de l'Accord pour quelque raison que ce soit. Aux fins des présentes, les personnes suivantes sont approuvées par le Partenaire en signant le présent Addendum : (i) les Sous-Traitants listés dans l'Annexe n°2 des présentes, (ii) Mews' Affiliés et (iii) tout Sous-Traitant autorisé par le Partenaire via son Utilisateur Autorisé en autorisant une intégration avec les Services Mews via le Compte MEWS ou autrement. Mews peut, pendant la durée de l'accord, faire intervenir de nouveaux Sous-traitants dans le Traitement, à condition que ces Sous-traitants n'accèdent aux Données à caractère personnel et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui lui ont été sous-traitées.

6.2 Droit d'opposition pour les nouveaux processeurs secondaires

Le partenaire peut s'opposer à l'utilisation par Mewsd'un nouveau soustraitant en le notifiant promptement par écrit à Mews dans les dix (10) jours ouvrables suivant la réception de la notification de Mewset en précisant les lacunes. Dans le cas où le partenaire s'oppose à un nouveau sous-traitant ultérieur, Mews s'efforcera d'ajouter des garanties supplémentaires (couvrant les lacunes spécifiées) ou de changer le sous-traitant ultérieur (par rapport au sous-traitant ultérieur) ; si Mews Systems n'est pas en mesure de le faire, Mews fera des efforts raisonnables pour mettre à la disposition du partenaire une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le partenaire afin d'éviter le traitement des données à caractère personnel par le nouveau sous-traitant ultérieur auquel il s'est opposé, sans imposer une charge déraisonnable au partenaire. Si Mews n'est pas en mesure d'apporter ce changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le partenaire peut mettre fin uniquement à la partie des services qui ne peut être fournie par Mews sans l'utilisation du nouveau sous-processeur contesté, en adressant une notification écrite à Mews. Mews remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui représente le seul et unique recours du partenaire en ce qui concerne l'introduction d'un nouveau sous-processeur.

6.3 Responsabilité

Mews est responsable des actes et omissions de ses Sous-Traitants dans la même mesure que Mews le serait si les services de chaque Sous-Traitant étaient exécutés directement selon les termes du présent addendum, sauf disposition contraire de l'Accord.

7.1 Transfert de données

Les Parties conviennent que les Données à caractère personnel peuvent être transférées de l'Union européenne/Espace économique européen vers un pays tiers, uniquement si l'une des conditions suivantes s'applique : (a) il existe une décision applicable de la Commission européenne qui stipule que le pays tiers assure un niveau de protection adéquat ; ou (b) le transfert peut avoir lieu parce que Mews a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables et des voies de recours effectives pour les personnes concernées soient disponibles ; ou (c) les dérogations pour situation spécifique en vertu de l'art. 49 du RGPD s'appliquent. Aux fins de l'art. 7.1 du présent addendum, les clauses contractuelles types, qui constituent l'annexe n° 1 (clauses contractuelles types) du présent addendum, sont considérées comme des garanties appropriées. Le partenaire autorise par la présente Mews à conclure les Clauses contractuelles types afin de transférer des données à caractère personnel vers des pays tiers.

7.2 Clauses contractuelles types

Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace économique européen, les Clauses contractuelles types (annexe n° 1 du présent addendum) sont incorporées au présent addendum et en constituent une partie indissociable.

8.1 Le partenaire accepte que tout utilisateur autorisé du partenaire puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

9.1 Mews reconnaît qu'il agit en tant que prestataire de services en ce qui concerne les informations personnelles des partenaires qu'il traite en vertu des présentes.

9.2 Sauf prescription de la loi applicable ou accord exprès entre les parties, Mews ne doit pas :

• vendre des informations personnelles sur les partenaires ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins autres que l'objectif spécifique de l'exécution des services conformément à l'accord ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins commerciales autres que celles spécifiées dans l'accord ; ou
• conserver, utiliser ou divulguer les informations personnelles du partenaire en dehors de la relation commerciale directe entre Mews et le partenaire.

9.3 Mews certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent addendum, la CCPA et les autres lois et réglementations applicables en matière de protection des données.

9.4 Dans la présente clause 9 :

9.4.1 "CCPA" désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), California Civil Code §§1798.100 et suivants, y compris tout amendement et toute réglementation d'application entrant en vigueur à la date d'entrée en vigueur du présent addendum ou après celle-ci ; et

9.4.2 "Informations personnelles du partenaire" : toutes les données du partenaire qui comprennent des "informations personnelles" telles que définies dans la CCPA ;

9.4.3 "Prestataire de services" a la signification indiquée dans la section 1798.140(v) de l'ACCP.

10.1 La présente clause 10 ne s'applique que si la partie contractante à l'accord est Mews et a son siège social aux États-Unis d'Amérique.

10.2 COPPA

La protection de la vie privée des enfants est particulièrement importante. Le Children's Online Privacy and Protection Act ("COPPA") exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment des informations personnelles identifiables en ligne auprès d'enfants de moins de 13 ans aux États-Unis d'Amérique. Mews respecte la fonction des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Mews limite sa collecte d'informations personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux services et les améliorer à l'avenir. Mews ne collecte pas de données à caractère personnel auprès des enfants, sauf dans les cas prévus par l'accord. Mews se réserve le droit de refuser de traiter les données fournies par le partenaire qui sont en violation de la présente clause 10.2.

10.3 Utilisation par des tiers des données du partenaire

Sauf accord contraire, toutes les données fournies à Mews par le partenaire sont des informations confidentielles et Mews n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre de la fourniture des services. Le partenaire reconnaît qu'afin d'exécuter correctement les services, les informations fournies à Mews par le partenaire seront mises à la disposition de tiers afin de permettre l'exécution des services. Le partenaire reconnaît que ces tiers ne sont pas des représentants de Mews et que Mews n'est pas responsable des actes et omissions de ces tiers. Mews exige des tiers auxquels les données à caractère personnel des partenaires sont mises à disposition qu'ils appliquent le même niveau de protection de la confidentialité que celui énoncé dans le présent addendum et que celui exigé par les lois applicables. La manière dont les données des partenaires peuvent être utilisées est couverte par la politique de confidentialité de Mews , que vous trouverez à l'adresse suivante : https://Mews Systems.com/privacy-policy/.

11.1 Bénéficiaires tiers

Les personnes concernées sont les seuls tiers bénéficiaires des Clauses contractuelles types, et il n'y a pas d'autres tiers bénéficiaires de l'Accord et du présent addendum. Nonobstant ce qui précède, l'Accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du partenaire, à un utilisateur final du partenaire ou à une personne concernée tierce.

11.2 Droit applicable

Aucune disposition du présent addenda ne modifie la section de l'accord relative au droit applicable, qui, pour éviter toute ambiguïté, régit toutes les plaintes déposées dans le cadre de l'accord et du présent addenda. Dans la mesure où les Clauses contractuelles types sont applicables et dans la mesure où une Personne concernée introduit une réclamation en vertu de la clause 3.2 des Clauses contractuelles types en relation avec le traitement de Données à caractère personnel par Mews , les Clauses contractuelles types doivent être régies et interprétées conformément à la clause 9 (Droit applicable) des Clauses contractuelles types.

11.3 Limitation de la responsabilité

Les recours du partenaire, y compris ceux de ses affiliés, et la responsabilité de Mews, découlant de ou associés au présent addendum et aux clauses contractuelles types seront soumis aux limitations de responsabilité et aux clauses de non-responsabilité prévues dans l'accord ou, si aucune limitation de responsabilité n'est stipulée dans l'accord, les parties conviennent et déclarent que le dommage total pouvant résulter de la violation du présent addendum et/ou des clauses contractuelles types n'excèdera pas dix mille euros.

11.4 Durée

Après la résiliation de l'accord, le présent addendum continuera à être en vigueur jusqu'à ce que Mews cesse de traiter les données à caractère personnel pour le compte du partenaire.

11.5 Le terminal

Mews peut résilier le présent addendum si Mews propose au partenaire des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

11.6 Contreparties

Le présent addendum peut être signé en plusieurs exemplaires qui, ensemble, seront considérés comme un seul original.

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des processeurs établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

L'entité partenaire qui est partie à l'addendum auquel les présentes clauses contractuelles types sont annexées. 

Nom de l'organisation qui exporte les données :

Adresse :

Tél. …; fax …; e-mail : …

Autres informations nécessaires à l'identification de l'organisation

…

(l'exportateur de données)

Et

Nom de l'organisation qui importe les données : …

Adresse : …

Tél. …; fax …; e-mail : …

Autres informations nécessaires à l'identification de l'organisation :

…

(l'importateur de données ou le sous-traitant de données (selon le cas))

chacun étant une "partie" ; ensemble, "les parties",

SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin d'instaurer des garanties adéquates en matière de protection de la confidentialité des données et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'appendice 1.

Définitions

Aux fins des clauses :

1. Les termes "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "processeur", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
2. "l'exportateur de données": le responsable du traitement qui transfère les données à caractère personnel ;
3. "l'importateur de données": le processeur qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux durées des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;
4. "le sous-traitant": tout processeur engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux durées des Clauses et aux durées du contrat de sous-traitance écrit ;
5. la loi applicable en matière de protection des données' désigne la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la confidentialité des données en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement dans l'État membre dans lequel l'exportateur de données est établi ;
6. "mesures de sécurité techniques et organisationnelles": les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite.

Détails du transfert

Les détails du transfert et notamment les catégories particulières de données à caractère personnel le cas échéant sont précisés à l'annexe 1 qui fait partie intégrante des Clauses.

1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l'encontre de l'importateur de données dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou de plein droit, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire appliquer à l'encontre de cette entité.
3. La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi, de sorte qu'elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

1. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;
2. qu'il a donné instruction et que, pendant toute la durée des services de traitement des données à caractère personnel, il donnera instruction à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
3. que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;
4. qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur implémentation ;
5. qu'il veillera à la conformité avec les mesures de sécurité ;
6. que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert, ou dans les meilleurs délais après celui-ci, que ses données pourraient être transmises à un pays tiers n'assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;
7. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de continuer le transfert ou de lever la suspension ;
8. de mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'appendice 2, et une description récapitulative des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales ;
9. que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et j) qu'il veillera à la conformité avec la clause 4, points a) à i).

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

1. à ne traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
2. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les Clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
3. qu'il a implémenté les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ; d) qu'il notifiera rapidement à l'exportateur de données :
4. 1. toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi,
   2. tout accès accidentel ou non autorisé, et
   3. toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;
5. de traiter rapidement et correctement toutes les demandes de l'exportateur de données associées à son traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
6. à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité, sélectionné par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
7. de mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'appendice 2, qui est remplacé par une description récapitulative des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;
8. qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit ;
9. que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;
10. d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des Clauses.

Responsabilité

1. Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'une violation des obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.
2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'une violation par l'importateur de données ou son sous-traitant ultérieur de l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse introduire une demande à l'encontre de l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité succédant à l'importateur de données n'ait assumé l'intégralité des obligations légales par contrat ou par effet de la loi, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. L'importateur de données ne peut se prévaloir d'une violation de ses obligations par un sous-traitant ultérieur pour se soustraire à ses propres responsabilités.
3. Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'une violation par le sous-traitant ultérieur de l'une quelconque de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité succédant à l'exportateur ou à l'importateur de données n'ait assumé l'intégralité des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Médiation et compétence

1. L'importateur de données accepte que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :
2. 1. de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
   2. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
3. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Coopération avec les autorités de contrôle

1. L'exportateur de données s'engage à acompagner une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé en vertu de la loi applicable en matière de protection des données.
2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
3. L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5 (b).

Droit applicable

Les Clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions associées à l'entreprise, pour autant qu'elles ne contredisent pas la clause.

Sous-traitement

1. L'importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui importe les mêmes obligations au sous-traitant ultérieur que celles imposées à l'importateur de données en vertu des Clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont effectivement disparu, qu'ils ont cessé d'exister en droit ou qu'ils sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
3. Les provisionnements relatifs aux aspects de la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régis par le droit de l'État membre dans lequel l'exportateur de données est établi.
4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5 (j), qui est mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Obligation après la cessation des services de traitement des données à caractère personnel

• Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, renvoyer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de renvoyer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.
• L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Au nom de l'exportateur de données :

Nom (en toutes lettres) :

Fonction : Adresse :

Autres informations nécessaires au classement du contrat (le cas échéant) :

Signature……………………………………….

(cachet de l'organisation)

Au nom de l'importateur de données :

Nom (en toutes lettres) :

Fonction : Adresse :

Autres informations nécessaires au classement du contrat (le cas échéant) :

Signature……………………………………….

(cachet de l'organisation)

Exportation de données

L'exportateur de données est Mews, un fournisseur de services tel que spécifié dans l'accord (le cas échéant).

Importer des données

L'importateur de données est l'entité (un sous-traitant) qui reçoit les données à caractère personnel en dehors de l'EEE et fournit certains services à Mews dans le cadre des services au partenaire.

Personnes concernées

Les données à caractère personnel transférées peuvent concerner des personnes au sujet desquelles des données à caractère personnel sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés sur Mews , qui comprennent généralement des personnes (invités ou prospects) utilisant les services du partenaire.

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes : Les données des clients contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients et les détails des services du Partenaire et les données de connexion et de localisation limitées (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le sous-processeur/importateur concerné).

Opérations de transformation

Les données personnelles transférées feront l'objet des activités de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.Le partenaire doit utiliser des précautions de sécurité raisonnables dans le cadre de son utilisation des services, y compris en cryptant de manière appropriée toutes les données personnelles stockées sur le système hébergé ou transmises par celui-ci.

Cette annexe fait partie des clauses et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles implémentées par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) :

L'importateur de données implante des mesures de sécurité équivalentes à celles exigées en vertu de l'accord, de l'addendum et de tout document auxiliaire conclu en application de l'accord.

La liste des processeurs secondaires approuvés pour Mews est disponible à l'adresse suivante : https://www.mews.com/fr/platform-documentation#subprocessors