Mews Addendum sur le traitement des données

Version : 1.1, Date d'entrée en vigueur : 9 octobre 2019

Version 2.1, Date d'entrée en vigueur : 1er avril 2021

Cette version 2.2. de traitement des données ("Addendum") s'applique à tous les accords conclus à partir du 27 septembre 2021.

Le présent addendum fait partie intégrante de l'accord de coopération, des conditions générales disponibles à l'adresse https://www.mews.com/en/terms-conditions/master ("conditions générales") ou de tout autre accord (conditions générales ou tout autre accord ci-après également dénommé "accord") conclu entre Mews' Affilié tel que défini dans l'accord respectif ("".Mews") et vous ("Partenaire"). Le présent addendum complète les durées de l'accord conclu entre Mews et le partenaire ; en cas de divergence entre les durées de l'accord et du présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.

Aux fins du présent addenda, les durées en majuscules ont la signification suivante.  Les durées en majuscules qui ne sont pas définies dans le présent document ont la signification qui leur est donnée dans l'accord ou dans les conditions générales de vente.

" Affilié(s)" : s'agissant d'une entité, l'" affilié " est toute autre entité contrôlant directement ou indirectement, contrôlée par, ou sous contrôle commun direct ou indirect de l'entité initiale. Une entité contrôle une autre entité si cette dernière détient, directement ou indirectement, soit (i) 20 % ou plus des actions assorties de droits de vote ordinaires pour l'élection des administrateurs de cette entité, soit (ii) le pouvoir de diriger ou de faire diriger la gestion ou les politiques de l'autre entité, que ce soit par la détention de titres assortis de droits de vote, par contrat ou de toute autre manière ;

"Utilisateur autorisé" désigne une personne autorisée par le Partenaire à avoir accès à Mews Plateforme et/ou Mews Compte et à fournir des instructions à Mewset à recevoir des communications de , nonobstant le fait que ce soit via Mews Plateforme, Mews Compte, par e-mail ou de toute autre manière ;

"Responsable du traitement" désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel ;

"Législation sur la protection des données" désigne les lois européennes sur la protection des données, les lois britanniques sur la protection des données, la CCPA et/ou toute autre législation sur la confidentialité des données applicable dans le pays d'enregistrement de l'affilié Mews tel que défini dans l'Accord ;

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;

"Lois de l'UE sur la protection des données" : le RGPD et la directive de l'UE sur la vie privée et les communications électroniques (directive 2002/58/CE) ;

"RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

"Données personnelles" signifie toute information concernant (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; ce qui, aux fins du présent addenda, comprend les données personnelles des clients, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients, les détails des services du Partenaire et les données limitées de connexion et de localisation (ville). Les données à caractère personnel ne contiennent pas de catégories particulières de données.

"Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction, l'effacement ou la destruction ; afin d'éviter tout doute, le traitement d'autres informations que les données à caractère personnel (par exemple, des données anonymisées) dans le but d'améliorer les services Mews ne relève pas du champ d'application du présent addendum ;

" Processeur " ou " Sous-traitant " désigne une personne ou une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement et/ou d'un sous-traitant, selon le cas ;

" Services " , aux fins du présent addenda, désigne les services fournis par Mews au partenaire en vertu de l'accord ;

" Clauses contractuelles types " : les clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021.

"Autorité de contrôle" : une autorité publique indépendante qui est établie par un État membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi correspondante ;

"Lois britanniques sur la protection des données" désigne toutes les lois associées à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi sur la protection des données de 2018.

"RGPD britannique" : le RGPD tel que sauvegardé dans le droit du Royaume-Uni en vertu de la section 3 de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni.

2.1 Traitement des données à caractère personnel

Mews et le Partenaire reconnaissent que le Partenaire est le Responsable du traitement ou le Processeur principal en ce qui concerne le Traitement des données à caractère personnel pertinentes. Mews traite les données à caractère personnel uniquement en tant que Processeur ou Sous-Traitant (selon ce qui est applicable à l'utilisation des Services par le Partenaire) pour le compte du Partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent Addendum, à l'Accord ou selon les autres instructions données par le Partenaire de temps à autre. Lorsque Mews estime raisonnablement qu'une instruction du partenaire est contraire (i) aux lois et règlements applicables ou (ii) aux dispositions de l'accord ou de l'addendum : (i) aux lois et règlements applicables ou (ii) aux dispositions de l'Accord ou de l'Addenda, Mews entreprendra tous les efforts raisonnables pour en informer le Partenaire et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par Mews pour le convaincre que cette instruction est légale, ou qu'elle soit mutuellement acceptée par le Partenaire et Mews comme étant légale.

3.1 Mews' Traitement des données à caractère personnel

Mews traitera les données personnelles comme des informations confidentielles et ne traitera les données personnelles que pour le compte et conformément aux instructions documentées du Partenaire aux fins suivantes : (i) traitement conformément à l'Accord ; (ii) traitement initié par les Utilisateurs autorisés dans le cadre de leur utilisation des Services ; et (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par courrier électronique) lorsque ces instructions sont compatibles avec les durées de l'Accord. Le Partenaire charge par la présente Mews d'informer les Personnes concernées du Traitement de leurs Données personnelles au nom du Partenaire par courrier électronique et de la possibilité d'utiliser les services de Mews pour gérer les données, les réservations et les services associés des Personnes concernées. Mews tient un journal des opérations de traitement effectivement réalisées.

3.2 Mesures techniques et organisationnelles

Mews doit maintenir et implémenter des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des données à caractère personnel et des plateformes utilisées pour fournir les services, comme décrit dans la Législation sur la protection des données. Lors de l'implémentation de ces mesures, Mews est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel pour les personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir.

3.3 Personnel

Mews veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des données à caractère personnel.  Le "personnel" désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin qu'il puisse remplir ses obligations envers le partenaire en vertu de l'accord ou de l'addendum, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle énoncée dans l'accord et l'addendum. Mews veille à ce que l'accès du personnel aux données à caractère personnel soit limité à ceux qui exécutent les services conformément à l'accord, et les obligations de confidentialité du personnel subsistent après la fin de l'engagement du personnel.

3.4 Notifications.

Mews en informe par écrit le partenaire dans les meilleurs délais commercialement raisonnables :

3.4.1 de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses données à caractère personnel ; (ii) les droits d'une personne physique de rectifier, de restreindre ou d'effacer ses données à caractère personnel, de bénéficier de la portabilité des données, de s'opposer au traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute plainte concernant le traitement des données à caractère personnel par le partenaire ; dans la mesure où la loi ne l'interdit pas, de toute assignation à comparaître ou autre ordonnance ou procédure judiciaire ou administrative visant à obtenir l'accès aux données à caractère personnel ou leur divulgation ; 3.4.2 dans la mesure où la loi ne l'interdit pas, de toute plainte, avis ou autre communication associée à la conformité du Partenaire avec la législation sur la protection des données et la vie privée et au Traitement des Données Personnelles. Mews fournira au partenaire une coopération et une assistance commercialement raisonnables (aux frais du partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et 3.4.3 d'une violation matérielle de la sécurité des services entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel dont nous avons connaissance, conformément à la loi applicable ("violation de la sécurité"). Mews s'efforce raisonnablement d'identifier la cause de cette violation de la sécurité et prend les mesures nécessaires et raisonnables, et qui sont acceptées par le partenaire, afin de remédier à la cause de cette violation de la sécurité dans la mesure où la remédiation est sous le contrôle raisonnable de Mews. Les obligations des présentes ne s'appliquent pas aux incidents causés par le partenaire.

3.5 Pas d'accusé de réception

Le partenaire convient que l'obligation de Mewsde notifier la violation de sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette violation de sécurité.

3.6 Retour et suppression des données

Sous réserve des limitations prévues par les lois applicables, Mews restitue au Partenaire toutes les données à caractère personnel persistantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures normalisées et dans des délais commercialement raisonnables.

3.7 Mews Conformité

Mews se conforme à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services dans le cadre de l'Application et de ses obligations au titre du présent addendum.

3.8 Partage de données

En activant ou en acceptant le partage de données au sein du compte Mews avec tout tiers, le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD de donner accès à toutes les données à caractère personnel et à toutes les autres données traitées au sein du compte Mews du partenaire à ce tiers. Le partenaire est responsable de l'obtention de tous les consentements nécessaires des personnes concernées ou de tout autre tiers dans le cadre du partage de données, conformément à la législation applicable en matière de protection des données. Le partenaire indemnisera, défendra et dégagera Mews et ses sociétés affiliées de toute responsabilité en cas de réclamation de la personne concernée ou d'un tiers résultant de la violation de la présente clause, y compris pour toute responsabilité, tout dommage, toute perte, tout coût et toute dépense.

3.9 Intégrations

Mews La plateforme propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le compte Mews , le partenaire donne des instructions à Mews conformément à l'art. 28 (3)a) RGPD pour donner accès aux données à caractère personnel traitées dans le compte Mews du partenaire au partenaire d'intégration respectif, comme l'exige l'interopérabilité des services ou du produit du partenaire d'intégration avec les Services Mews.

3.10 Audit

Le partenaire a le droit de procéder à un audit pour vérifier la conformité de Mewsavec les obligations énoncées à l'article. 28 RGPD et dans le présent addendum. Mews autorise le partenaire à effectuer l'audit dans les conditions suivantes :

1. le partenaire demande à Mews d'effectuer l'audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;
2. le partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (i) ;
3. l'audit n'a pas lieu plus d'une fois par an ;
4. tous les coûts et dépenses associés sont supportés par le partenaire et remboursés à Mews sur demande ; et
5. l'audit ne doit pas durer plus d'une journée de travail (8 heures) du représentant de Mews.

Dans le cas où le partenaire demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l'audit si l'auditeur est, de l'avis raisonnable de Mews, insuffisamment qualifié ou indépendant, un concurrent de Mews, ou manifestement inadapté de toute autre manière. Toute objection de ce type obligera le partenaire à nommer un autre auditeur. Si le partenaire exige plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts associés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du partenaire, Mews fournira au partenaire le coût estimatif qu'il s'attend à encourir au cours de cet audit selon l'étendue spécifiée dans l'agenda fourni par le partenaire.

4.1 Traitement des données à caractère personnel par le partenaire

Dans le cadre de son utilisation des services, le partenaire traite les données à caractère personnel conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le partenaire garantit que ses instructions relatives au traitement des données à caractère personnel sont conformes à la législation sur la protection des données et qu'il ne donne aucune instruction ou aucun classement qui ordonne à Mews d'entreprendre une action ou un plan d'action illégal ou non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du partenaire

Outre les obligations du Partenaire énoncées dans la Convention, le Partenaire est responsable (i) de l'intégration, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications

Le partenaire accepte de procéder à toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des personnes concernées en ce qui concerne le provisionnement de services par Mewsau partenaire. Lorsque Mews reçoit une communication décrite à la section 3.4.1 ou 3.4.3 et en informe le partenaire, il incombe à ce dernier de répondre à cette communication et de prendre toute autre mesure appropriée à son égard. Le partenaire accepte de notifier immédiatement à Mews toute utilisation non autorisée des services ou du compte du partenaire ou toute autre violation de la sécurité impliquant les services.

4.4 Mesures techniques et organisationnelles

Le Partenaire est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données à caractère personnel que le Partenaire stocke ou traite d'une autre manière à l'aide des Services. Le partenaire est également responsable de l'utilisation des services par l'un de ses employés, par toute personne que le partenaire autorise à accéder aux services ou à les utiliser, et par toute personne qui obtient l'accès à ses données personnelles ou aux services du fait qu'il n'a pas pris des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le partenaire.

5.1 Coopération avec les partenaires et Mews

Le Partenaire et Mews conviennent de coopérer d'une manière commercialement raisonnable dans la mesure où cela est raisonnablement nécessaire pour protéger les données à caractère personnel en vertu des lois applicables, de l'article 35 et 36 du RGPD pour effectuer une analyse d'impact sur la protection des données liée à l'utilisation des Services par le Partenaire, dans la mesure où le Partenaire n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces données sont disponibles pour Mews. Le partenaire doit coopérer avec Mews' enquête raisonnable sur les pannes de service, les problèmes de sécurité, et toute violation de la sécurité soupçonnée. Le partenaire fournit une assistance raisonnable à Mews dans le cadre de la coopération ou de la consultation préalable avec l'autorité de contrôle dans l'exécution de ses tâches associées à la présente section, dans la mesure requise par le RGPD ou le droit applicable.

5.2Mews' Assistance pour les exigences de conformité du partenaire

Pendant la durée de l'Accord du Partenaire avec Mews, le Partenaire peut demander que Mews assiste les efforts du Partenaire pour se conformer aux obligations du Partenaire en vertu d'une loi et de règlements applicables en matière de protection des données ou de la vie privée, à condition que (i) cette assistance demandée soit pertinente pour les Services qui soutiennent le Traitement des Données à Caractère Personnel, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de Mews est demandée, et (iii) si MEWS Systems accepte d'apporter son assistance, tous les coûts et dépenses associés (y compris le coût du temps de travail de son personnel) soient supportés par le Partenaire et remboursés à Mews sur demande.

6.1 En ce qui concerne les tiers ou la sous-traitance du traitement des données à caractère personnel, Mews ne peut autoriser un tiers (Sous-traitant) à traiter les données à caractère personnel qu'avec le consentement préalable du Partenaire et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du Sous-traitant concernant les données à caractère personnel soient dans des durées qui sont essentiellement les mêmes que celles énoncées dans le présent addendum, à condition que le contrat du Sous-traitant concernant les données à caractère personnel prenne fin automatiquement en cas de résiliation de l'Accord pour quelque raison que ce soit. Aux fins des présentes, les personnes suivantes sont approuvées par le Partenaire en signant le présent Addendum : (i) les Sous-Traitants listés à l'Annexe III des présentes, (ii) Mews' Affiliés et (iii) tout Sous-Traitant autorisé par le Partenaire via son Utilisateur Autorisé en autorisant une intégration avec les Services Mews via le Compte MEWS ou autrement. Mews peut, pendant la durée de l'accord, faire intervenir de nouveaux Sous-traitants dans le Traitement, à condition que ces Sous-traitants n'accèdent aux Données à caractère personnel et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui lui ont été sous-traitées.

6.2 Droit d'opposition pour les nouveaux processeurs secondaires

Le partenaire peut s'opposer à l'utilisation par Mewsd'un nouveau soustraitant en le notifiant promptement par écrit à Mews dans les dix (10) jours ouvrables suivant la réception de la notification de Mewset en précisant les lacunes. Dans le cas où le partenaire s'oppose à un nouveau sous-traitant ultérieur, Mews s'efforcera d'ajouter des garanties supplémentaires (couvrant les lacunes spécifiées) ou de changer le sous-traitant ultérieur (par rapport au sous-traitant ultérieur) ; si Mews Systems n'est pas en mesure de le faire, Mews fera des efforts raisonnables pour mettre à la disposition du partenaire une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le partenaire afin d'éviter le traitement des données à caractère personnel par le nouveau sous-traitant ultérieur auquel il s'est opposé, sans imposer une charge déraisonnable au partenaire. Si Mews n'est pas en mesure d'apporter ce changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le partenaire peut mettre fin uniquement à la partie des services qui ne peut être fournie par Mews sans l'utilisation du nouveau sous-processeur contesté, en adressant une notification écrite à Mews. Mews remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services résiliée, ce qui représente le seul et unique recours du partenaire en ce qui concerne l'introduction d'un nouveau sous-processeur.

6.3 Responsabilité

Mews est responsable des actes et omissions de ses Sous-Traitants dans la même mesure que Mews le serait si les services de chaque Sous-Traitant étaient exécutés directement selon les termes du présent addendum, sauf disposition contraire de l'Accord.

Aux fins de l'art. 7.1 (b) du présent addendum, les parties conviennent que les clauses contractuelles types sont considérées comme des garanties appropriées.

Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace économique européen, les Clauses contractuelles types ("CCN") sont incorporées par référence au présent addendum et en font partie intégrante comme suit :

7.2.1.Aux fins des données à caractère personnel qui sont objet des lois de l'UE sur la protection des données ("données de l'UE") :

(i) Lorsque le partenaire est le responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le partenaire est le processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;

(ii) à la clause 9, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de processeurs secondaires sera celle prévue à la clause 6 (Sous-Traitement) du présent addendum ;

(iii) à la clause 11, la langue optionnelle ne s'appliquera pas ;

(iv) dans la clause 17, l'Optionnel 1 s'appliquera, et les CSC de l'UE seront régis par le droit néerlandais ;

(v) à la clause 18(b), les litiges seront résolus devant les tribunaux des Pays-Bas ;

L'annexe I des CCAP est réputée complétée par les informations figurant à l'annexe I du présent addendum ; vii) l'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II du présent addendum ;

7.2.2. Le transfert de données à caractère personnel qui sont objet des lois britanniques sur la protection des données ("données britanniques") est régi par l'annexe IV - Addendum britannique aux CCN.

8.1 Le partenaire accepte que tout utilisateur autorisé du partenaire puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

9.1 Mews reconnaît qu'il agit en tant que prestataire de services en ce qui concerne les informations personnelles des partenaires qu'il traite en vertu des présentes.

9.2 Sauf prescription de la loi applicable ou accord exprès entre les parties, Mews ne doit pas :

1. vendre des informations personnelles sur les partenaires ;
2. conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins autres que l'objectif spécifique de l'exécution des services conformément à l'accord ;
3. conserver, utiliser ou divulguer les informations personnelles du partenaire à des fins commerciales autres que celles spécifiées dans l'accord ; ou
4. conserver, utiliser ou divulguer les informations personnelles du partenaire en dehors de la relation commerciale directe entre Mews et le partenaire.

9.3 Mews certifie qu'il comprend et respectera les responsabilités et les restrictions imposées par le présent addendum, la CCPA et les autres lois et réglementations applicables en matière de protection des données.

9.4 Dans la présente clause 9 :

9.4.1 "CCPA" désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), California Civil Code §§1798.100 et suivants, y compris tout amendement et toute réglementation d'application entrant en vigueur à la date d'entrée en vigueur du présent addendum ou après celle-ci ; et

9.4.2 "Informations personnelles du partenaire" : toutes les données du partenaire qui comprennent des "informations personnelles" telles que définies dans la CCPA ;

9.4.3 "Prestataire de services" a la signification indiquée dans la section 1798.140(v) de l'ACCP.

10.1 La présente clause 10 ne s'applique que si la partie contractante à l'accord est Mews et a son siège social aux États-Unis d'Amérique.

10.2 COPPA

La protection de la vie privée des enfants est particulièrement importante. Le Children's Online Privacy and Protection Act ("COPPA") exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment des informations personnelles identifiables en ligne auprès d'enfants de moins de 13 ans aux États-Unis d'Amérique. Mews respecte la fonction des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Mews limite sa collecte d'informations personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux services et les améliorer à l'avenir. Mews ne collecte pas de données à caractère personnel auprès des enfants, sauf dans les cas prévus par l'accord. Mews se réserve le droit de refuser de traiter les données fournies par le partenaire qui sont en violation de la présente clause 10.2.

10.3 Utilisation par des tiers des données du partenaire

Sauf accord contraire, toutes les données fournies à Mews par le partenaire sont des informations confidentielles et Mews n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre de la fourniture des services. Le partenaire reconnaît qu'afin d'exécuter correctement les services, les informations fournies à Mews par le partenaire seront mises à la disposition de tiers afin de permettre l'exécution des services. Le partenaire reconnaît que ces tiers ne sont pas des représentants de Mews et que Mews n'est pas responsable des actes et omissions de ces tiers. Mews exige des tiers auxquels les données à caractère personnel des partenaires sont mises à disposition qu'ils appliquent le même niveau de protection de la confidentialité que celui énoncé dans le présent addendum et que celui exigé par les lois applicables. La manière dont les données des partenaires peuvent être utilisées est couverte par la politique de confidentialité de Mews , que vous trouverez à l'adresse suivante : https://Mews Systems.com/privacy-policy/.

11.1 Bénéficiaires tiers

Les personnes concernées sont les seuls tiers bénéficiaires des CSC, et il n'y a pas d'autres tiers bénéficiaires de l'accord et du présent addendum. Nonobstant ce qui précède, l'Accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du partenaire, à un utilisateur final du partenaire ou à une personne concernée tierce.

11.2 Droit applicable

Aucune disposition du présent addenda ne modifie la section de l'accord relative au droit applicable, qui, pour éviter toute ambiguïté, régit toutes les plaintes déposées dans le cadre de l'accord et du présent addenda.

11.3 Limitation de la responsabilité

Les recours du partenaire, y compris ceux de ses affiliés, et la responsabilité de Mews, découlant de ou associés au présent addendum et aux CCN seront soumis aux limitations de responsabilité et aux clauses de non-responsabilité énoncées dans l'accord ou, si aucune limitation de responsabilité n'est stipulée dans l'accord, les parties conviennent et déclarent que le dommage total pouvant résulter de la violation du présent addendum et/ou des CCN n'excédera pas dix mille euros.

11.4 Durée

Après la résiliation de l'accord, le présent addendum continuera à être en vigueur jusqu'à ce que Mews cesse de traiter les données à caractère personnel pour le compte du partenaire.

11.5 Le terminal

Mews peut résilier le présent addendum si Mews propose au partenaire des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

11.6 Contreparties

Le présent addendum peut être signé en plusieurs exemplaires qui, ensemble, seront considérés comme un seul original.

A.- Liste des parties

Exportation de données

L'exportateur de données est Partner

Importer des données

L'importateur de données est Mews.

B.  - Description du transfert

Catégories de données personnes concernées

Les données à caractère personnel transférées peuvent concerner des personnes au sujet desquelles des données à caractère personnel sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés sur Mews , qui comprennent généralement des personnes (invités ou prospects) utilisant les services du partenaire.

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes : Les données des clients contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients et les détails des services du Partenaire et les données de connexion et de localisation limitées (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de Mews' Services (fournis par le sous-processeur/importateur concerné).

Données sensibles

Les données sensibles telles que les handicaps et les restrictions alimentaires peuvent être transférées si les personnes concernées décident de partager des informations de cette nature. Les mesures techniques et organisationnelles prévues à l'annexe II s'appliquent.

Opérations de transformation

Les données à caractère personnel transférées feront l'objet des activités de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou combinaison, restriction, effacement ou destruction. Le partenaire doit prendre des mesures de sécurité raisonnables dans le cadre de son utilisation des services, notamment en cryptant de manière appropriée toutes les données à caractère personnel stockées sur le système hébergé ou transmises par celui-ci.

Fréquence de transfert

Continuer

Nature et objet du traitement

1. stockage (hôte) et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au partenaire dans le cadre de l'accord,
2. le service client fourni au Partenaire au cas par cas,
3. les divulgations conformément à l'accord, dans la mesure où la loi l'exige, et
4. la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

Durée du traitement

Durée

Finalité(s) du transfert et du traitement ultérieur des données

(i) Traitement pour fournir, maintenir, soutenir et améliorer les services fournis au partenaire conformément à l'accord ;

(ii) le traitement initié par les utilisateurs dans le cadre de leur utilisation des services ; et

(iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple par courriel) lorsque ces instructions sont compatibles avec les durées de l'Accord (y compris le présent Addendum).

C. - Autorité de contrôle compétente

En ce qui concerne les données de l'UE, l'autorité de contrôle compétente est l'autorité néerlandaise de protection des données (la" DPA néerlandaise").

Description des mesures techniques et organisationnelles implémentées par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. L'importateur de données implante des mesures de sécurité équivalentes à celles exigées en vertu de l'accord, de l'addendum et de tout document auxiliaire conclu en application de l'accord. Les mesures de sécurité implémentées sont disponibles ici : https://www.mews.com/fr/platform-documentation#security

La liste des processeurs secondaires approuvés pour Mews est disponible à l'adresse suivante : https://www.mews.com/fr/platform-documentation#subprocessors

Date du présent addendum

1. Le présent avenant britannique entre en vigueur à compter de : la même date que l'accord.

Contexte

2. Le commissaire à l'information estime que le présent addendum britannique offre des garanties appropriées aux fins des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale en se fondant sur les articles 46 du RGPD britannique et, en ce qui concerne les transferts de données des responsables du traitement vers les processeurs et/ou des processeurs vers les processeurs.

Interprétation du présent addendum britannique

3. Lorsque le présent addendum britannique utilise des durées qui sont définies dans les CCAP, ces durées ont la même signification que dans les CCAP.

4. Le présent addendum britannique doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de manière à ce qu'il réponde à l'intention de fournir les garanties appropriées comme l'exige l'article 46 du RGPD.

5. Le présent addendum britannique ne doit pas être interprété de manière à entrer en conflit avec les droits et obligations prévus par les lois britanniques sur la protection des données.

6. Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou ce provisionnement spécifique) telle qu'elle peut être modifiée au fil du temps. Il en va de même lorsque cette législation (ou un provisionnement spécifique) a été consolidée, réadoptée et/ou remplacée après l'entrée en vigueur du présent addendum britannique.

Hiérarchie

7. En cas de conflit ou d'incohérence entre le présent addendum britannique et les dispositions des CSC ou d'autres accords associés entre les parties, existant au moment où le présent addendum britannique est convenu ou conclu par la suite, les dispositions qui assurent la plus grande protection aux personnes concernées prévaudront.

Constitution des CCN

8. Le présent addendum britannique intègre les CCN qui sont réputés être modifiés dans la mesure nécessaire à leur fonctionnement :

1. pour les transferts effectués par l'exportateur de données à l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et
2. de fournir des garanties appropriées pour les transferts conformément aux articles 46 des lois britanniques sur le RGPD.
3. lorsque le partenaire est responsable du traitement, le module deux (du responsable au processeur) des CSC s'applique, lorsque le partenaire est processeur, le module trois (du processeur au sous-processeur) des CSC s'applique ;
4. dans la clause 9 des CCAP, l'Optionnel 2 s'appliquera, et la période de notification préalable des changements de sous-traitants sera celle prévue à la clause 6 (Sous-Traitement) du présent DPA ;
5. dans la clause 11 des CCN, la langue optionnelle ne s'appliquera pas ;

9. Les exigences de la section 7 ci-dessus comprennent (sans s'y limiter) :

1. Les références aux "CCAP" désignent le présent addendum britannique tel qu'il intègre les CCAP.
2. La clause 6 Description du (des) transfert(s) est remplacée par le texte suivant "Les détails du ou des transferts et, en particulier, les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l'annexe I.B de l'addendum lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de la réalisation de ce transfert."
3. L'annexe II des CCAP est réputée complétée par les informations figurant à l'annexe II de l'addendum ;
4. Les références au "règlement (UE) 2016/679" ou à "ce règlement" sont remplacées par "les lois britanniques sur la protection des données" et les références à un ou des articles spécifiques du "règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données.
5. Les références au règlement (UE) 2018/1725 sont supprimées.
6. Les références à l'"Union", à l'"UE" et à l'"État membre de l'UE" sont toutes remplacées par le "Royaume-Uni"
7. La clause 13(a) et la partie C de l'annexe II ne sont pas utilisées ; l'"autorité de contrôle compétente" est le commissaire à l'information ;
8. La clause 17 est remplacée par la phrase suivante : "Les présentes CCN sont régies par les lois de l'Angleterre et du Pays de Galles".
9. La clause 18 est remplacée par le texte suivant "Tout litige découlant des présentes CCN sera réglé par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux".
10. Les notes de bas de page des CCN ne font pas partie de l'addendum.