Mews Addendum sur le traitement des données

Version 2.2, Date d'entrée en vigueur : 27 septembre 2021

Version 2.1, Date d'entrée en vigueur : 1er avril 2021

Version : 1.1, Date d'entrée en vigueur : 9 octobre 2019

Le présent addendum fait partie intégrante de l'accord de coopération, des conditions générales disponibles à l'adresse https://www.mews.com/en/terms-conditions/master ("conditions générales") ou de tout autre accord (conditions générales ou tout autre accord ci-après également dénommé "accord") conclu entre Mews' Affilié tel que défini dans l'accord respectif ("".Mews") et vous ("Partenaire"). Le présent addendum complète les durées de l'accord conclu entre Mews et le partenaire ; en cas de divergence entre les durées de l'accord et du présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.

Aux fins du présent addenda, les durées en majuscules ont la signification suivante.  Les durées en majuscules qui ne sont pas définies dans le présent document ont la signification qui leur est donnée dans l'accord ou dans les conditions générales de vente.

" Affilié(s)" : s'agissant d'une entité, l'" affilié " est toute autre entité contrôlant directement ou indirectement, contrôlée par, ou sous contrôle commun direct ou indirect de l'entité initiale. Une entité contrôle une autre entité si cette dernière détient, directement ou indirectement, soit (i) 20 % ou plus des actions assorties de droits de vote ordinaires pour l'élection des administrateurs de cette entité, soit (ii) le pouvoir de diriger ou de faire diriger la gestion ou les politiques de l'autre entité, que ce soit par la détention de titres assortis de droits de vote, par contrat ou de toute autre manière.

"Utilisateur autorisé" désigne une personne autorisée par le Partenaire à avoir accès à la Plateforme Mews et/ou au Compte Mews et à fournir des instructions à Mewset à recevoir des communications de , que ce soit via la Plateforme Mews , le Compte Mews , par e-mail ou de toute autre manière.

"Responsable du traitement" désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel.

"Législation sur la protection des données" désigne les lois européennes sur la protection des données, les lois britanniques sur la protection des données, la CCPA et/ou toute autre législation sur la confidentialité des données applicable dans le pays d'enregistrement de l'affilié Mews tel que défini dans l'Accord.

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.

"Lois de l'UE sur la protection des données" : le RGPD et la directive de l'UE sur la vie privée et les communications électroniques (directive 2002/58/CE).

"RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

"Données personnelles" signifie toute information concernant (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; ce qui, aux fins du présent addenda, comprend les données personnelles des clients, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients, les détails des services du Partenaire et les données limitées de connexion et de localisation (ville). Les données à caractère personnel ne contiennent pas de catégories particulières de données.

"Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction, l'effacement ou la destruction ; afin d'éviter tout doute, le traitement d'autres informations que les données à caractère personnel (par exemple, des données anonymisées) dans le but d'améliorer les services Mews ne relève pas du champ d'application du présent addendum.

" Processeur " ou " Sous-traitant " désigne une personne ou une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement et/ou d'un sous-traitant, selon le cas.

" Services " , aux fins du présent addenda, désigne les services fournis par Mews au partenaire en vertu de l'accord.

" Clauses contractuelles types " ou " CCS " : les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021.

"Autorité de contrôle" : une autorité publique indépendante qui est établie par un État membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi correspondante.

"Lois britanniques sur la protection des données" désigne toutes les lois associées à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi sur la protection des données de 2018.

"RGPD britannique" : le RGPD tel que sauvegardé dans le droit du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni.

2.1 Traitement des données à caractère personnel Mews et le partenaire reconnaissent que le partenaire est le responsable du traitement ou le processeur principal en ce qui concerne le traitement des données à caractère personnel pertinentes. Mews traite les données à caractère personnel uniquement en tant que Processeur ou Sous-Traitant (selon ce qui est applicable à l'utilisation des Services par le Partenaire) pour le compte du Partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent Addendum, à l'Accord ou selon les autres instructions données par le Partenaire de temps à autre. Lorsque Mews estime raisonnablement qu'une instruction du partenaire est contraire (i) aux lois et règlements applicables ou (ii) aux dispositions de l'accord ou de l'addendum : (i) aux lois et règlements applicables ou (ii) aux dispositions de l'Accord ou de l'Addenda, Mews entreprendra tous les efforts raisonnables pour en informer le Partenaire et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par Mews pour le convaincre que cette instruction est légale, ou qu'elle soit mutuellement acceptée par le Partenaire et Mews comme étant légale.

3.1 Mews' Traitement des données personnelles Mews traite les données personnelles comme des informations confidentielles et ne traite les données personnelles que pour le compte et conformément aux instructions documentées du partenaire aux fins suivantes : (i) traitement conformément à l'accord ; (ii) traitement initié par les utilisateurs autorisés dans le cadre de leur utilisation des services ; et (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le partenaire (par exemple, par courrier électronique) lorsque ces instructions sont compatibles avec les durées de l'accord. Le Partenaire charge par la présente Mews d'informer les Personnes concernées du Traitement de leurs Données personnelles au nom du Partenaire par courrier électronique et de la possibilité d'utiliser les services de Mews pour gérer les données, les réservations et les services associés des Personnes concernées. Mews tient un journal des opérations de traitement effectivement réalisées.

3.2 Mesures techniques et organisationnelles Mews doit maintenir et implémenter des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données personnelles contre la destruction accidentelle ou illégale ou la perte accidentelle, l'altération, la divulgation non autorisée ou l'accès, et en relation avec la sécurité des données personnelles et des plateformes utilisées pour fournir les services tels que décrits dans la Législation sur la protection des données. Lors de l'implémentation de ces mesures, Mews est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel pour les personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir.

3.3 Personnel Mews veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de ses obligations et responsabilités en vertu des présentes, qu'il ait reçu une formation appropriée et qu'il soit informé de la nature confidentielle des données à caractère personnel. Le "personnel" désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin qu'il puisse remplir ses obligations envers le partenaire en vertu de l'accord ou de l'addendum, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle énoncée dans l'accord et l'addendum. Mews veille à ce que l'accès du personnel aux données à caractère personnel soit limité à ceux qui exécutent les services conformément à l'accord, et les obligations de confidentialité du personnel subsistent après la fin de l'engagement du personnel.

3.4 Notifications. Mews en informe par écrit le partenaire dans les meilleurs délais commercialement raisonnables :

3.4.1 de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses données personnelles ; (ii) les droits d'une personne physique de rectifier, de restreindre ou d'effacer ses données personnelles, de bénéficier de la portabilité des données, de s'opposer au traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute plainte concernant le traitement des données personnelles par le partenaire ; dans la mesure où la loi ne l'interdit pas, de toute assignation à comparaître ou de tout autre classement ou procédure judiciaire ou administrative visant à obtenir l'accès aux données personnelles ou leur divulgation ;

3.4.2 dans la mesure où la loi ne l'interdit pas, de toute plainte, avis ou autre communication associée à la conformité du partenaire avec la législation sur la protection des données et de la vie privée et le traitement des données à caractère personnel. Mews fournit au partenaire une coopération et une assistance commercialement raisonnables (aux frais du partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et

3.4.3 d'une violation matérielle de la sécurité des Services entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel dont nous avons connaissance, conformément au droit applicable ("violation de la sécurité"). Mews s'efforce raisonnablement d'identifier la cause de cette violation de la sécurité et prend les mesures nécessaires et raisonnables, et qui sont acceptées par le partenaire, afin de remédier à la cause de cette violation de la sécurité dans la mesure où la remédiation est sous le contrôle raisonnable de Mews. Les obligations des présentes ne s'appliquent pas aux incidents causés par le partenaire.

3.5 Pas de reconnaissance Le partenaire convient que l'obligation de Mewsde notifier la violation de sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette violation de sécurité.

3.6 Restitution et suppression des données Sous réserve des limitations prévues par les lois applicables, Mews restitue au partenaire toutes les données personnelles persistantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures normalisées et dans des délais commercialement raisonnables.

3.7 Conformité deMews Mews doit se conformer à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services en vertu de l'accord et à ses obligations en vertu du présent addendum.

3.8 Partage de données En activant ou en acceptant le partage de données au sein du compte Mews avec tout tiers, le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD de donner accès à toutes les données à caractère personnel et à toutes les autres données traitées au sein du compte Mews du partenaire à ce tiers. Le partenaire est responsable de l'obtention de tous les consentements nécessaires des personnes concernées ou de tout autre tiers dans le cadre du partage de données, conformément à la législation applicable en matière de protection des données. Le partenaire indemnisera, défendra et dégagera Mews et ses sociétés affiliées de toute responsabilité en cas de réclamation de la personne concernée ou d'un tiers résultant de la violation de la présente clause, y compris pour toute responsabilité, tout dommage, toute perte, tout coût et toute dépense.

3.9 Intégrations La plateforme Mews propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le compte Mews , le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD pour donner accès aux données à caractère personnel traitées dans le compte Mews du partenaire au partenaire d'intégration respectif, comme l'exige l'interopérabilité des services ou du produit du partenaire d'intégration avec les Services Mews.

3.10 Audit Le partenaire a le droit de procéder à un audit pour vérifier la conformité de Mewsavec ses obligations énoncées à l'article. 28 RGPD et dans le présent addendum. Mews autorise le partenaire à effectuer l'audit dans les conditions suivantes :

• le partenaire demande à Mews d'effectuer l'audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;
• le partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (i) ;
• l'audit n'a pas lieu plus d'une fois par an ;
• tous les coûts et dépenses associés sont supportés par le partenaire et remboursés à Mews sur demande ; et
• l'audit ne doit pas durer plus d'une journée de travail (8 heures) du représentant de Mews.

Dans le cas où le partenaire demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l'audit si l'auditeur est, de l'avis raisonnable de Mews, insuffisamment qualifié ou indépendant, un concurrent de Mews, ou manifestement inadapté de toute autre manière. Toute objection de ce type obligera le partenaire à nommer un autre auditeur. Si le partenaire exige plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts associés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du partenaire, Mews fournira au partenaire le coût estimatif qu'il s'attend à encourir au cours de cet audit selon l'étendue spécifiée dans l'agenda fourni par le partenaire.

4.1 Traitement des données personnelles par le partenaire Dans le cadre de son utilisation des services, le partenaire traite les données personnelles conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le partenaire garantit que ses instructions relatives au traitement des données à caractère personnel sont conformes à la législation sur la protection des données et qu'il ne donne aucune instruction ou aucun classement qui ordonne à Mews d'entreprendre une action ou un plan d'action illégal ou non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du Partenaire En plus des obligations du Partenaire énoncées dans l'Accord, le Partenaire est responsable (i) de l'intégration, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications Le partenaire accepte de faire toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des personnes en relation avec le provisionnement des services au partenaire par Mews. Lorsque Mews reçoit une communication décrite à la section 3.4.1 ou 3.4.3 et en informe le partenaire, il incombe à ce dernier de répondre à cette communication et de prendre toute autre mesure appropriée à son égard. Le partenaire accepte de notifier immédiatement à Mews toute utilisation non autorisée des services ou du compte du partenaire ou toute autre violation de la sécurité impliquant les services.

4.4 Mesures techniques et organisationnelles Le partenaire est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données personnelles que le partenaire stocke ou traite d'une autre manière à l'aide des services. Le partenaire est également responsable de l'utilisation des services par l'un de ses employés, par toute personne que le partenaire autorise à accéder aux services ou à les utiliser, et par toute personne qui obtient l'accès à ses données personnelles ou aux services du fait qu'il n'a pas pris des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le partenaire.

4.5 Partage de données avec d'autres partenaires

Au sein de la Plateforme Mews , le Partenaire peut configurer le(s) Compte(s) Mews dans le cadre d'un cluster de partage de données avec d'autre(s) compte(s) ("Cluster"), ce qui signifie en fait que le Partenaire et le(s) Responsable(s) de ces autres comptes partagent entre eux et traitent conjointement les Données Personnelles de leurs Clients (Clients existants et futurs, y compris les Clients importés dans le(s) Compte(s) Mews). Le partenaire est seul responsable de s'assurer que le traitement des données à caractère personnel dans le cadre du cluster est conforme à toute la législation applicable en matière de protection des données et que le partenaire a mis en place des accords appropriés pour couvrir le partage des données.

Le Partenaire reconnaît que la mise en place de son (ses) compte(s) Mews dans le cadre d'un Cluster n'est pas réversible. En paramétrant son (ses) compte(s) Mews comme faisant partie d'un Cluster, le Partenaire charge Mews en tant que Processeur de traiter les Données à caractère personnel au sein de ce Cluster. Si le partenaire souhaite se retirer de la grappe, il ne peut le faire qu'en créant un nouveau compte Mews. La mise en place d'un cluster n'étant pas réversible, le partenaire continue à traiter conjointement des données à caractère personnel dans son (ses) ancien(s) compte(s) Mews , à moins que ces données à caractère personnel ne soient supprimées du cluster (cette suppression est objet d'une coopération en bonne et due forme fournie par d'autres partenaires au sein du cluster et les coûts doivent être remboursés à Mews sur demande).

5.1 Coopération entre le Partenaire et Mews Le Partenaire et Mews conviennent de coopérer d'une manière commercialement raisonnable dans la mesure où cela est raisonnablement nécessaire pour protéger les données personnelles en vertu des lois applicables, de l'article 35 et 36 du RGPD pour effectuer une évaluation de l'impact sur la protection des données associée à l'utilisation des Services par le Partenaire, dans la mesure où le Partenaire n'a pas accès autrement aux informations pertinentes, et dans la mesure où ces informations sont disponibles à Mews. Le partenaire doit coopérer avec Mews' enquête raisonnable sur les pannes de service, les problèmes de sécurité, et toute violation de la sécurité soupçonnée. Le partenaire fournit une assistance raisonnable à Mews dans le cadre de la coopération ou de la consultation préalable avec l'autorité de contrôle dans l'exécution de ses tâches associées à la présente section, dans la mesure requise par le RGPD ou le droit applicable.

5.2Mews' Assistance aux exigences de conformité du Partenaire Pendant la durée du Contrat du Partenaire avec Mews, le Partenaire peut demander que Mews assiste les efforts du Partenaire pour se conformer aux obligations du Partenaire en vertu d'une loi et de réglementations applicables en matière de protection des données ou de la vie privée, à condition que (i) cette assistance demandée soit pertinente pour les Services qui soutiennent le Traitement des Données à caractère personnel, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de Mews est demandée, et (iii) si MEWS Systems accepte d'apporter son assistance, tous les coûts et dépenses associés (y compris le coût du temps de travail de son personnel) soient supportés par le Partenaire et remboursés à Mews sur demande.

6.1 En ce qui concerne les tiers ou la sous-traitance du traitement des données à caractère personnel, Mews ne peut autoriser un tiers (Sous-traitant) à traiter les données à caractère personnel qu'avec le consentement préalable du Partenaire et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du Sous-traitant concernant les données à caractère personnel soient dans des durées qui sont essentiellement les mêmes que celles énoncées dans le présent addendum, à condition que le contrat du Sous-traitant concernant les données à caractère personnel prenne fin automatiquement en cas de résiliation de l'Accord pour quelque raison que ce soit. Aux fins des présentes, les personnes suivantes sont approuvées par le Partenaire en signant le présent Addendum : (i) les Sous-Traitants listés à l'Annexe III des présentes, (ii) Mews' Affiliés et (iii) tout Sous-Traitant autorisé par le Partenaire via son Utilisateur Autorisé en autorisant une intégration avec les Services Mews via le Compte MEWS ou autrement. Mews peut, pendant la durée de l'accord, faire intervenir de nouveaux Sous-traitants dans le Traitement, à condition que ces Sous-traitants n'accèdent aux Données à caractère personnel et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui lui ont été sous-traitées.

6.2 Droit d'opposition pour les nouveaux Sous-Traitants Le Partenaire peut s'opposer à l'utilisation par Mewsd'un nouveau Sous-Traitant en le notifiant rapidement par écrit à Mews dans les dix (10) jours ouvrables suivant la réception de la notification de Mewset en spécifiant les déficiences. Dans le cas où le partenaire s'oppose à un nouveau sous-traitant ultérieur, Mews s'efforcera d'ajouter des garanties supplémentaires (couvrant les lacunes spécifiées) ou de changer le sous-traitant ultérieur (par rapport au sous-traitant ultérieur) ; si Mews Systems n'est pas en mesure de le faire, Mews fera des efforts raisonnables pour mettre à la disposition du partenaire une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le partenaire afin d'éviter le traitement des données à caractère personnel par le nouveau sous-traitant ultérieur auquel il s'est opposé, sans imposer une charge déraisonnable au partenaire. Si Mews n'est pas en mesure d'apporter ce changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le partenaire peut mettre fin uniquement à la partie des services qui ne peut être fournie par Mews sans l'utilisation du nouveau sous-processeur contesté, en adressant une notification écrite à Mews. Mews remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui représente le seul et unique recours du partenaire en ce qui concerne l'introduction d'un nouveau sous-processeur.

6.3 Responsabilité Mews est responsable des actes et omissions de ses soustraitants dans la même mesure que Mews serait responsable si elle exécutait les services de chaque soustraitant directement selon les termes du présent addendum, sauf disposition contraire de l'accord.

7.1 Transfert de données Les parties conviennent que les données à caractère personnel peuvent être transférées de l'Union européenne/l'Espace économique européen vers un pays tiers, uniquement si l'une des conditions suivantes s'applique : (a) il existe une décision applicable de la Commission européenne qui stipule que le pays tiers assure un niveau de protection adéquat ; ou (b) le transfert peut avoir lieu parce que Mews a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables et des voies de recours effectives pour les personnes concernées soient disponibles ; ou (c) les dérogations pour situation spécifique en vertu de l'art. 49 du RGPD s'appliquent.

7.2 Clauses contractuelles types Aux fins de l'art. 7.1 (b) du présent addendum, les parties conviennent que les clauses contractuelles types sont considérées comme des garanties appropriées.

Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace économique européen, les Clauses contractuelles types sont incorporées par référence au présent addendum et en font partie intégrante comme suit :

7.2.1. Aux fins des données à caractère personnel qui sont objet des lois de l'UE sur la protection des données ("données de l'UE") :

(i) Lorsque le partenaire est le responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le partenaire est le processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;

(ii) à la clause 9, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de processeurs secondaires sera celle prévue à la clause 6 (Sous-Traitement) du présent addendum ;

(iii) à la clause 11, la langue optionnelle ne s'appliquera pas ;

(iv) dans la clause 17, l'Optionnel 1 s'appliquera, et les CSC de l'UE seront régis par le droit néerlandais ;

(v) à la clause 18(b), les litiges seront résolus devant les tribunaux des Pays-Bas ;

(vi) L'annexe I des CCAP est réputée complétée par les informations figurant à l'annexe I du présent addendum ; l'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II du présent addendum ;

7.2.2. Le transfert de données à caractère personnel qui sont objet des lois britanniques sur la protection des données ("données britanniques") est régi par l'annexe IV - Addendum britannique aux CCN.

8.1 Le partenaire accepte que tout utilisateur autorisé du partenaire puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

9.1Mews reconnaît qu'il agit en tant que prestataire de services en ce qui concerne les informations personnelles des partenaires qu'il traite en vertu des présentes.

9.2 Sauf prescription de la loi applicable ou accord exprès entre les parties, Mews ne doit pas :

• vendre des informations personnelles sur les partenaires ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins autres que l'objectif spécifique de l'exécution des services conformément à l'accord ;
• conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins commerciales autres que celles spécifiées dans l'accord ; ou
• conserver, utiliser ou divulguer les informations personnelles du partenaire en dehors de la relation commerciale directe entre Mews et le partenaire.

9.3Mews certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent addendum, la CCPA et les autres lois et réglementations applicables en matière de protection des données.

9.4 Dans la présente clause 9 : 9.4.1 "CCPA" désigne le California Consumer Privacy Act, California Civil Code §§1798.100 et seq., y compris tout amendement et toute réglementation d'implémentation entrant en vigueur à la date d'entrée en vigueur du présent addendum ou après cette date ; et

9.4.2 "Informations personnelles du partenaire" : toutes les données du partenaire qui comprennent des "informations personnelles" telles que définies dans la CCPA ;

9.4.3 "Prestataire de services" a la signification indiquée dans la section 1798.140(v) de l'ACCP.

10.1 La présente clause 10 ne s'applique que si la partie contractante à l'accord est Mews et a son siège social aux États-Unis d'Amérique.

10.2 COPPA La protection de la vie privée des enfants est particulièrement importante. Le Children's Online Privacy and Protection Act ("COPPA") exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment des informations personnelles identifiables en ligne auprès d'enfants de moins de 13 ans aux États-Unis d'Amérique. Mews respecte la fonction des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Mews limite sa collecte d'informations personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux services et les améliorer à l'avenir. Mews ne collecte pas de données à caractère personnel auprès des enfants, sauf dans les cas prévus par l'accord. Mews se réserve le droit de refuser de traiter les données fournies par le partenaire qui sont en violation de la présente clause 10.2.

10.3 Utilisation par des tiers des données du partenaire Sauf accord contraire, toutes les données fournies à Mews par le partenaire sont des informations confidentielles et Mews n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre de la conduite des services. Le partenaire reconnaît qu'afin d'exécuter correctement les services, les informations fournies à Mews par le partenaire seront mises à la disposition de tiers afin de permettre l'exécution des services. Le partenaire reconnaît que ces tiers ne sont pas des représentants de Mews et que Mews n'est pas responsable des actes et omissions de ces tiers. Mews exige des tiers auxquels les données à caractère personnel des partenaires sont mises à disposition qu'ils appliquent le même niveau de protection de la confidentialité que celui énoncé dans le présent addendum et que celui exigé par les lois applicables. La manière dont les données des partenaires peuvent être utilisées est couverte par la politique de confidentialité de Mews , que vous trouverez à l'adresse suivante : https://app.mews.com/Platform/Document/PrivacyPolicy.

11.1 Tiers bénéficiaires Les personnes concernées sont les seuls tiers bénéficiaires des CCN, et il n'y a pas d'autres tiers bénéficiaires de l'Accord et du présent addenda. Nonobstant ce qui précède, l'Accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du partenaire, à un utilisateur final du partenaire ou à une personne concernée tierce.

11.2 Droit applicable Aucune disposition du présent addenda ne modifie la section relative au droit applicable de l'accord, qui régit, pour éviter toute ambiguïté, toutes les plaintes déposées dans le cadre de l'accord et du présent addenda.

11.3 Limitation de responsabilité Les recours du partenaire, y compris ceux de ses affiliés, et la responsabilité de Mews, découlant de ou associés au présent addendum et aux CCN seront soumis aux limitations de responsabilité et aux clauses de non-responsabilité définies dans l'accord ou, si aucune limitation de responsabilité n'est stipulée dans l'accord, les parties conviennent et déclarent que le dommage total pouvant résulter de la violation du présent addendum et/ou des CCN n'excèdera pas dix mille euros.

11.4 Durée Après la résiliation de l'Accord, le présent addendum continuera à être en vigueur jusqu'à ce que Mews cesse de traiter des données à caractère personnel pour le compte du Partenaire.

11.5 Terminal Mews peut résilier le présent addendum si Mews propose au partenaire des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

11.6 Exemplaires Le présent addendum peut être signé en plusieurs exemplaires qui, ensemble, seront considérés comme un seul original.

Liste des parties

• Exportateur de données L'exportateur de données est Partner
• L'importateur de données est L'importateur de données est Mews

Description du transfert

• Catégories de personnes concernées Les données à caractère personnel transférées peuvent concerner des personnes au sujet desquelles des données à caractère personnel sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés sur Mews , qui comprennent généralement des personnes (clients ou prospects) utilisant les services du partenaire.
• Catégories de données Les données personnelles transférées concernent les catégories de données suivantes : Les données des clients contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients et les détails des services du Partenaire et les données de connexion et de localisation limitées (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le sous-processeur/importateur concerné).
• Données sensibles Les données sensibles telles que les handicaps et les exigences alimentaires peuvent être transférées si les personnes concernées décident de partager des informations de cette nature. Les mesures techniques et organisationnelles prévues à l'annexe II s'appliquent.
• Opérations de traitement Les données à caractère personnel transférées feront l'objet des opérations de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou combinaison, restriction, effacement ou destruction. Le partenaire doit prendre des mesures de sécurité raisonnables dans le cadre de son utilisation des services, notamment en cryptant de manière appropriée toutes les données à caractère personnel stockées sur le système hébergé ou transmises par celui-ci.
• Fréquence de transfert Continu
• Nature et objet du traitement
• • stockage (hôte) et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au partenaire dans le cadre de l'accord,
  • le service client fourni au Partenaire au cas par cas,
  • les divulgations conformément à l'accord, dans la mesure où la loi l'exige, et
  • la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
• Durée du traitement Durée
• Finalité(s) du transfert et du traitement ultérieur des données
• • (i) Traitement pour fournir, maintenir, soutenir et améliorer les services fournis au partenaire conformément à l'accord ;
  • (ii) le traitement initié par les utilisateurs dans le cadre de leur utilisation des services ; et
  • (iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple par courriel) lorsque ces instructions sont compatibles avec les durées de l'Accord (y compris le présent Addendum).

Autorité de contrôle compétente

En ce qui concerne les données de l'UE, l'autorité de contrôle compétente est l'autorité néerlandaise de protection des données (la" DPA néerlandaise").

Description des mesures techniques et organisationnelles implémentées par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. L'importateur de données implante des mesures de sécurité équivalentes à celles exigées en vertu de l'accord, de l'addendum et de tout document auxiliaire conclu en application de l'accord. Les mesures de sécurité implémentées sont disponibles ici : https://www.mews.com/fr/platform-documentation#security

La liste des processeurs secondaires approuvés pour Mews est disponible à l'adresse suivante : https://www.mews.com/fr/platform-documentation#subprocessors

Date du présent addendum

• Le présent avenant britannique entre en vigueur à compter de : la même date que l'accord.

Contexte

Interprétation du présent addendum britannique

• Lorsque le présent addendum britannique utilise des durées qui sont définies dans les CCAP, ces durées ont la même signification que dans les CCAP.
• Le présent addendum britannique doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de manière à ce qu'il réponde à l'intention de fournir les garanties appropriées comme l'exige l'article 46 (2) (d) du RGPD britannique.
• Si les dispositions incluses dans le présent addendum britannique modifient les CSC d'une manière qui n'est pas autorisée par les CSC ou le modèle d'addendum publié par le commissaire à l'information (ci-après "addendum britannique approuvé"), ce(s) amendement(s) ne sera(ont) pas incorporé(s) dans le présent addendum britannique et le provisionnement équivalent des CSC s'y substituera.
• En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum britannique, les lois britanniques sur la protection des données s'appliquent.
• Si la signification du présent addendum britannique n'est pas claire ou s'il y a plus d'une signification, la signification qui s'aligne le mieux sur les lois britanniques sur la protection des données s'applique.
• Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou ce provisionnement spécifique) telle qu'elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou un provisionnement spécifique) a été consolidée, réadoptée et/ou remplacée après l'entrée en vigueur du présent addendum britannique.

Hiérarchie

• Bien que la clause 5 des CSC stipule que les CSC prévalent sur tous les accords associés entre les parties, les parties conviennent que, pour le transfert des données britanniques, la hiérarchie de cette clause prévaut. En cas d'incohérence ou de conflit entre l'addendum britannique approuvé et les CSC telles qu'incorporées dans le présent document, l'addendum britannique approuvé prévaut sur les CSC telles qu'incorporées dans le présent document, sauf si (et dans la mesure où) les durées incohérentes ou conflictuelles des CSC telles qu'incorporées dans le présent document assurent une meilleure protection des personnes concernées, auquel cas ces durées prévaudront sur le présent addendum britannique. Lorsque le présent addenda britannique incorpore des CSC tels qu'incorporés dans les présentes qui ont été conclus pour protéger les transferts objets du RGPD, alors les parties reconnaissent que rien dans le présent addenda britannique n'a d'impact sur ces CSC tels qu'incorporés dans les présentes.

Constitution des CCN

• Le présent addendum britannique intègre les CSC qui sont modifiés dans la mesure nécessaire pour que :
• • elles s'appliquent conjointement aux transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
  • ils fournissent des garanties appropriées pour les transferts conformément à l'article 46, paragraphe 2, point d), des lois britanniques relatives au RGPD.
  • lorsque le partenaire est responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le partenaire est processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;
  • dans la clause 9 des CCAP, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de sous-traitants sera celle prévue à la clause 6 (Sous-Traitement) du présent DPA ;
  • dans la clause 11 des CCN, la langue optionnelle ne s'appliquera pas ;
  • La clause 2 des CCAP s'applique sans la mention " et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, les clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679 ".
  • La clause 6 de la description du (des) transfert(s) par le CCN est remplacée par ce qui suit : "Les détails du ou des transferts et, en particulier, les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l'annexe I.B de l'addendum lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lorsqu'il effectue ce transfert."
  • La clause 8.7(i) du module 1 du CSC est remplacée par : "c'est vers un pays bénéficiant de règlements d'adéquation en vertu de la section 17A du RGPD britannique qui couvre le transfert ultérieur".
  • La clause 8.8 (i) des modules 2 et 3 des CSC est remplacée par : "le transfert ultérieur se fait vers un pays bénéficiant de règlements d'adéquation conformément à la section 17A du RGPD britannique qui couvre le transfert ultérieur".
  • L'annexe I des CSC est réputée complétée par les informations figurant à l'annexe I du présent addendum ; l'annexe II des CSC est réputée complétée par les informations figurant à l'annexe II de l'addendum ; l'annexe III des CSC est réputée complétée par les informations figurant à l'annexe III du présent addendum ;
  • les références au " Règlement (UE) 2016/679 ", au " Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) " et à " ce règlement " sont toutes remplacées par " les lois britanniques sur la protection des données ". Les références à des articles spécifiques du "Règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ;
  • les références au règlement (UE) 2018/1725 sont supprimées.
  • les références à l'"Union européenne", à l'"Union", à l'"UE", à l'"État membre de l'UE", à l'"État membre" et à l'"UE ou l'État membre" sont toutes remplacées par le "Royaume-Uni" ;
  • la référence à la "clause 12(c)(i)" à la clause 10(b)(i) du module un des C&B est remplacée par la "clause 11(c)(i) des C&B" ;
  • La clause 13(a) des CSC et la partie C de l'annexe II des CSC ne sont pas utilisées ;
  • les termes "autorité de contrôle compétente" et "autorité de contrôle" sont tous deux remplacés par le commissaire à l'information ;
  • Clause 16(e), la section (i) des CSC est remplacée par : "le secrétaire d'État prend des règlements en vertu de la section 17A de la loi sur la protection des données de 2018 qui couvrent le transfert de données à caractère personnel auquel ces clauses s'appliquent ;"
  • La clause 17 des CCN est remplacée par le texte suivant : "Les présentes CCN sont régies par les lois de l'Angleterre et du Pays de Galles".
  • La clause 18 des CSC est remplacée par ce qui suit : "Tout litige découlant des présentes CSC sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux".
  • les notes de bas de page des CSC ne font pas partie de l'addendum britannique, à l'exception des notes de bas de page 8, 9, 10 et 11.
• Si le commissaire à l'information publie une version révisée de l'addendum britannique approuvé, le présent addendum britannique est automatiquement modifié comme indiqué dans l'addendum britannique approuvé révisé à compter de la date d'entrée en vigueur qui y est spécifiée, sauf si les parties en conviennent autrement.