Accord de traitement des données de Roomchecking
CET ACCORD DE TRAITEMENT DE DONNÉES, y compris les modules sélectionnés des clauses types et annexes (« DPA »), fait partie et est soumis aux conditions de service de Roomchecking ou à tout autre accord écrit ou électronique (« Accord principal ») entre le client et Roomchecking, Inc. . (Roomchecking, "nous", "notre", "notre"). Le client et Roomchecking peuvent être désignés dans les présentes comme une « partie » et ensemble comme les « parties ».
Dans le cadre de la fourniture des services au client dans le cadre du contrat principal, Roomchecking peut traiter les données personnelles du client (définies ci-dessous) au nom du client et les parties acceptent de se conformer aux dispositions suivantes en ce qui concerne tout traitement des données personnelles du client par Roomchecking. Le présent DPA ne remplace aucun droit comparable ou supplémentaire relatif au traitement des données personnelles du client contenu dans l'accord principal.
Annexe 1 - Détails du traitement
Annexe 2 - Mesures de sécurité
Annexe 3 - Liste des sous-traitants
Annexe 4 - Addendum au Royaume-Uni
Les
Les
Définitions
« Société affiliée » désigne une entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec une entité.
« Objet Professionnel » a le sens attribué à la loi française.
« Données personnelles client » désigne tout contenu client qui : (i) concerne une personne physique identifiée ou identifiable ; ou (ii) qui sont autrement protégés en tant que « données personnelles » ou « informations personnelles » (tels que ces termes sont définis dans les lois applicables sur la protection des données), que Roomchecking traite au nom du Client dans le cadre de la fourniture du Service.
« Contrôle » désigne une participation, un droit de vote ou une participation similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts (tels que mesurés sur une base entièrement diluée) alors en circulation de l'entité en question. Le terme « Contrôlé » sera interprété en conséquence.
« Lois sur la protection des données » désigne toutes les réglementations relatives à la protection des données et à la vie privée applicables à une partie et à son traitement des données personnelles en vertu de l'accord principal, y compris, le cas échéant, le RGPD (ou, en ce qui concerne le Royaume-Uni, toute législation nationale applicable qui remplace ou convertit en droit national le RGPD ou toute autre loi relative à la protection des données et à la vie privée à la suite de la sortie du Royaume-Uni de l'Union européenne), la mise en œuvre du RGPD dans le droit national et le CCPA ; dans chaque cas, tel qu'il peut être modifié, remplacé ou remplacé.
« EEE » désigne aux fins du présent DPA l'Espace économique européen, le Royaume-Uni et la Suisse.
« RGPD » désigne le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (Règlement Général sur la Protection des Données).
« Clauses types » désigne les modules sélectionnés et applicables, joints en pièce jointe 1 au présent DPA, issus des clauses contractuelles types (décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données personnelles à des tiers). pays conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil C/2021/3972).
« Incident de sécurité » désigne toute violation non autorisée ou illégale de la sécurité qui entraîne la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, accidentels ou illégaux, des données personnelles du client, stockées ou autrement traitées par Roomchecking dans le cadre de la fourniture du Service. « Incident de sécurité » n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles du client, y compris les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de services et autres attaques réseau sur les pare-feu ou les systèmes en réseau.
« Sous-traitant » désigne tout sous-traitant ayant accès aux données personnelles du client et engagé par Roomchecking pour l'aider à remplir ses obligations en ce qui concerne la fourniture du service conformément à l'accord principal ou au présent DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés de Roomchecking, mais doivent exclure tout employé, consultant ou entrepreneur indépendant de Roomchecking à condition que cette personne exécute des services dans une capacité équivalente à celles effectuées par les employés.
« Responsable du traitement », « sous-traitant », « traitement » et « données personnelles » auront les significations qui leur sont données dans les lois sur la protection des données ou, si elles n'y sont pas définies, dans le RGPD.
Les
Rôles et étendue du traitement
Description du traitement. Le type de données personnelles traitées en vertu du présent DPA et l'objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de personnes concernées, sont tels que décrits à l'annexe 1 des clauses types, dans l'annexe 1 du présent DPA.
Rôles de traitement des données. En ce qui concerne les droits et obligations des parties en vertu du présent DPA concernant les données personnelles du client, les parties reconnaissent et conviennent que le client est le responsable du traitement (lorsque les lois applicables sur la protection des données reconnaissent ce concept) et, en ce qui concerne le CCPA, une « entreprise ». tel que défini dans les présentes, et Roomchecking est le sous-traitant (lorsque les lois applicables sur la protection des données reconnaissent ce concept) et, en ce qui concerne le CCPA, un « fournisseur de services » tel que défini dans les présentes.
En accord avec les lois. Roomchecking traitera les données personnelles du client conformément au présent DPA et aux lois sur la protection des données applicables à son rôle dans le cadre du présent DPA. Pour éviter toute ambiguïté, Roomchecking n'est pas responsable du respect des lois sur la protection des données uniquement applicables au client en raison de son activité ou de son secteur d'activité, telles que celles généralement applicables aux fournisseurs de services en ligne.
Instructions de traitement. Roomchecking traitera les données personnelles du client conformément aux instructions légales écrites du client et uniquement aux fins suivantes : (i) traitement pour fournir les services conformément à l'accord principal ; (ii) le traitement pour effectuer toutes les étapes nécessaires à l'exécution de l'accord principal ; (iii) les traitements initiés par les Utilisateurs Autorisés dans le cadre de leur utilisation du Service ; et (iv) le traitement pour se conformer à d'autres instructions raisonnables fournies par le Client (par exemple par e-mail ou tickets d'assistance) qui sont conformes aux termes de l'Accord principal et du présent DPA (individuellement et collectivement, la « Finalité autorisée »). Les parties conviennent que l'accord principal (y compris le présent DPA) définit les instructions complètes et finales du client à Roomchecking en ce qui concerne le traitement des données personnelles du client et que le traitement en dehors du champ d'application de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre le client et Vérification des chambres.
Responsabilités du client. Le Client, en tant que responsable du traitement ou en tant qu'entreprise, est responsable de : (i) l'exactitude, la qualité et la légalité des Données personnelles du Client, (ii) les moyens par lesquels le Client a acquis ces Données personnelles du Client ; et (iii) les instructions qu'il fournit à Roomchecking concernant le traitement de ces données personnelles du client. Le Client doit s'assurer (i) qu'il a fourni un avis et obtenu (ou obtiendra) tous les consentements et droits nécessaires à Roomchecking pour traiter les Données Personnelles du Client conformément à l'Accord Principal et au présent DPA, (ii) ses instructions sont licites et que le traitement des données personnelles du client conformément à ces instructions ne violeront pas les lois applicables sur la protection des données, et (iii) lorsque le CCPA s'applique, que les données personnelles du client soient fournies à Roomchecking afin d'exécuter le service pour un « objectif commercial » valide (comme défini dans le CCPA) uniquement.
3. Sous-traitement
Notification des nouveaux sous-traitants ultérieurs.
Les sous-traitants autorisés de Roomchecking sont répertoriés dans le présent accord de traitement des données. Roomchecking fournira au client un préavis écrit d'au moins dix (10 jours) avant d'autoriser tout nouveau sous-traitant ultérieur à traiter les données personnelles du client.
Obligations du sous-traitant ultérieur. Roomchecking conclura un accord écrit avec chaque sous-traitant imposant des obligations de protection des données non moins protectrices des données personnelles du client que le présent DPA ou les lois sur la protection des données dans la mesure applicable à la nature des services fournis par ce sous-traitant. Lorsqu'un sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, Roomchecking reste entièrement responsable envers le client de l'exécution des obligations de protection des données de ce sous-traitant ultérieur.
Droit d’opposition du sous-traitant. Si le Client s'oppose, pour des motifs raisonnables liés à la protection des données, à l'utilisation par Roomchecking d'un nouveau sous-traitant ultérieur, le Client devra alors rapidement, et dans les dix (10) jours suivant la notification de Roomchecking conformément à la section 3.1 ci-dessus, fournir un avis écrit de cette objection à Roomchecking. Dans un tel cas, les parties discuteront de ces préoccupations de bonne foi en vue de parvenir à une résolution. Si les parties ne peuvent pas s'entendre sur une résolution mutuellement acceptable, le Client aura, comme seul et unique recours, le droit de mettre fin à la ou aux parties concernées du Service sans engager sa responsabilité envers l'une ou l'autre des parties (mais sans préjudice des frais encourus par le Client avant à la suspension ou au licenciement). En cas de résiliation par le Client conformément au présent article, Roomchecking remboursera au Client tous les frais prépayés pour la ou les parties résiliées du Service qui ont été fournies après la date effective de la résiliation.
Les
Mesures de sécurité et réponse aux incidents de sécurité
Mesures de sécurité. Roomchecking a mis en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées destinées à protéger les données personnelles du client contre les incidents de sécurité et à préserver la sécurité et la confidentialité des données personnelles du client conformément aux mesures de sécurité décrites à l'annexe 2 (« Mesures de sécurité »). . Le Client reconnaît que les Mesures de Sécurité sont soumises au progrès et au développement techniques et que Roomchecking peut mettre à jour ou modifier les Mesures de Sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale du Service fourni au Client. .
Personnel. Roomchecking interdit à son personnel de traiter les données personnelles du client sans l'autorisation de Roomchecking, comme indiqué dans les mesures de sécurité, et doit garantir que toute personne autorisée par Roomchecking à traiter les données personnelles du client est soumise à une obligation de confidentialité appropriée.
Responsabilités du client.
Le Client accepte que, sauf disposition contraire du présent DPA, il est responsable de son utilisation sécurisée du Service, y compris de la sécurisation des informations d'authentification de son compte, de la protection de la sécurité des Données personnelles du Client transmises via les systèmes qu'il administre et maintient (c'est-à-dire le cryptage des e-mails), et prendre toutes les mesures appropriées pour crypter ou sauvegarder en toute sécurité les données personnelles du client téléchargées sur le service.
Réponse aux incidents de sécurité.
Dès qu'il aura connaissance d'un incident de sécurité, Roomchecking en informera le client sans délai injustifié et, en tout état de cause, dans les soixante-douze (72) heures après en avoir pris connaissance. Roomchecking fournira au Client des informations relatives à l'incident de sécurité dès qu'il est connu ou lorsque le Client le demande raisonnablement pour remplir ses obligations en tant que contrôleur. Roomchecking prendra également des mesures appropriées et raisonnables pour contenir, enquêter et atténuer tout incident de sécurité.
Les
Vérification et dossiers.
Droits de vérification. Roomchecking mettra à la disposition du Client toutes les informations en possession ou sous le contrôle de Roomchecking et fournira toute l'assistance en rapport avec les audits des locaux, des systèmes et de la documentation de Roomchecking comme le Client peut raisonnablement demander pour permettre au Client d'évaluer la conformité de Roomchecking avec le présent DPA. Le Client reconnaît et accepte qu'il exercera ses droits d'audit en vertu du présent DPA (y compris la présente Section 5 et, le cas échéant, les Clauses types) en demandant à Roomchecking de se conformer aux mesures d'audit décrites dans les Mesures de sécurité et la Section 5.2 ci-dessous.
Procédures de vérification.
Lorsque cela est requis par les lois applicables sur la protection des données ou lorsqu'une autorité de protection des données l'exige en vertu des lois applicables sur la protection des données, le client peut, moyennant un préavis écrit d'au moins trente (30 jours), demander que le personnel du client ou un tiers (aux frais du client) effectuer un audit des installations, des équipements, des documents et des données électroniques de Roomchecking relatifs au traitement des données personnelles du client en vertu de l'accord principal dans la mesure nécessaire pour inspecter et/ou vérifier la conformité de Roomchecking au présent DPA, à condition que : (i) le client ne doit pas exercer ce droit plus d'une fois par année civile ; (ii) ces demandes d'audit supplémentaires n'auront pas d'impact négatif déraisonnable sur les opérations régulières de Roomchecking et ne s'avéreront pas incompatibles avec les lois applicables sur la protection des données ou avec les instructions de l'autorité de protection des données compétente ; et (iii) avant le début d'un tel audit supplémentaire, les parties conviendront mutuellement de la portée, du calendrier et de la durée de l'audit, et (iv) à tout moment pendant la portée de l'audit, le Client et tout tiers désigné se conformer aux politiques, procédures et instructions raisonnables de Roomchecking régissant l'accès à ses systèmes et installations, y compris limiter ou interdire l'accès aux informations confidentielles. Sans préjudice de ce qui précède, Roomchecking fournira toute l'assistance raisonnablement demandée par le Client pour répondre à la demande du Client.
Les
Transferts de données.
Le client reconnaît et accepte que Roomchecking puisse transférer et traiter les données personnelles du client vers et aux États-Unis et dans d'autres endroits dans lesquels Roomchecking, ses sociétés affiliées ou ses sous-traitants maintiennent des opérations de traitement de données comme plus particulièrement décrit dans le site du sous-traitant (défini ci-dessus). Roomchecking garantira que ces transferts sont effectués conformément à la loi sur la protection des données et au présent DPA.
Les
Retour ou suppression de données.
Rapidement à la demande du Client, ou dans les cent quatre-vingts (180) jours après la résiliation ou l'expiration du Contrat principal, Roomchecking supprimera ou restituera les Données personnelles du Client en sa possession ou sous son contrôle. Cette exigence ne s'applique pas dans la mesure où Roomchecking est tenu par la loi applicable de conserver tout ou partie des données personnelles du client, ou aux données personnelles du client qu'il a archivées sur des systèmes de sauvegarde, dont Roomchecking doit isoler et protéger en toute sécurité. tout traitement ultérieur, sauf dans la mesure requise par ces lois.
Les
Coopération
Demandes de droits des personnes concernées. Roomchecking doit, en tenant compte de la nature du traitement, aider raisonnablement le Client à répondre à toute demande émanant de particuliers ou d'autorités de protection des données applicables concernant le traitement des données personnelles du Client en vertu de l'Accord principal. Dans le cas où une telle demande est adressée directement à Roomchecking, Roomchecking ne répondra pas directement à une telle communication (sauf pour demander à la personne concernée de contacter le Client) sans l'autorisation préalable du Client, à moins d'y être légalement obligé. Si Roomchecking est tenu de répondre à une telle demande, Roomchecking en informera rapidement le Client et lui fournira une copie de la demande, sauf interdiction légale de le faire.
Demandes des forces de l’ordre. En règle générale, Roomchecking ne fournit pas volontairement aux agences ou autorités gouvernementales (y compris les forces de l'ordre) un accès aux données personnelles des clients. Si une agence ou une autorité gouvernementale (y compris les forces de l'ordre) envoie à Roomchecking une demande obligatoire de données personnelles du client (par exemple, par le biais d'une assignation à comparaître, d'une ordonnance d'un tribunal, d'un mandat de perquisition ou d'une autre procédure judiciaire valide), Roomchecking : (i) informera le gouvernement que Roomchecking est un sous-traitant ou un fournisseur de services (le cas échéant des données personnelles du client) et (ii) tenter de rediriger l'organisme chargé de l'application de la loi pour qu'il demande ces données personnelles du client directement au client. Dans le cadre de cet effort, Roomchecking peut fournir les coordonnées de base du Client aux forces de l'ordre. S'il est obligé de divulguer les données personnelles du client à un organisme chargé de l'application de la loi, Roomchecking informera le client dans un délai raisonnable de la demande pour lui permettre de demander une ordonnance de protection ou tout autre recours approprié, à moins que Roomchecking ne soit légalement interdit de le faire ou qu'il ait un droit raisonnable et bon. conviction qu'un accès urgent est nécessaire pour prévenir un risque imminent de préjudice grave à toute personne, à la sécurité publique ou aux biens, produits ou services de Roomchecking. Roomchecking ne fournira pas d'accès aux données personnelles du client avant la première des éventualités suivantes : (a) le client donne son autorisation à Roomchecking ; (b) Roomchecking est informé ou apprend de manière positive qu'une ordonnance de protection ou un autre recours approprié est demandé ou a été délivré ; ou (c) trente (30) jours se sont écoulés depuis la notification de la demande obligatoire au Client et le Client n'a pas répondu.
Évaluations d’impact sur la protection des données (DPIA). Dans la mesure requise par les lois sur la protection des données applicables dans l'EEE, Roomchecking fournira les informations demandées concernant le service nécessaires pour permettre au client d'effectuer des évaluations d'impact sur la protection des données et des consultations préalables avec les autorités de protection des données.
Les
Europe
Domaine. Les conditions de la présente section 9 s'appliquent uniquement si et dans la mesure où le client est établi dans l'EEE ou si les données personnelles du client sont par ailleurs soumises aux lois sur la protection des données applicables dans l'EEE.
Instructions de traitement. Sans préjudice de la section 2.4 (Responsabilités du client), Roomchecking informera le client par écrit, sauf interdiction de le faire en vertu des lois sur la protection des données, s'il prend conscience ou estime que les instructions de traitement du client enfreignent les lois applicables sur la protection des données.
Mécanisme de transfert. Dans la mesure où Roomchecking est destinataire et traite des données personnelles du client provenant de l'EEE dans un pays qui n'offre pas un niveau de protection adéquat en vertu des lois applicables sur la protection des données, les parties conviennent que Roomchecking respectera et traitera ces données du client. Données personnelles conformément aux clauses types, qui sont incorporées et font partie intégrante du présent DPA. Aux fins des Clauses types, les parties conviennent que : (i) Roomchecking est un "importateur de données" et le Client est un "exportateur de données" (même si le Client peut être une entité située en dehors de l'EEE) ; et (ii) aucune des parties n'a l'intention de contredire ou de restreindre l'une des dispositions énoncées dans les clauses types et, par conséquent, si et dans la mesure où les clauses modèles entrent en conflit avec une disposition de l'accord principal (y compris le présent DPA ), les clauses types prévaudront dans la mesure de ce conflit.
Clauses types. Aux fins des clauses types, (i) à la clause 7, la clause facultative Roomchecking s'appliquera ; (ii) dans la clause 9 du module deux, l'option 2 s'appliquera et le délai de notification préalable des modifications du sous-traitant ultérieur est identifié dans la section 3.2 du présent DPA ; (iii) à l’Article 11, la langue facultative ne s’appliquera pas ; (iv) à l'article 17, l'option 1 s'appliquera et les clauses du contrôleur au processeur de 2021 seront celles du Lattice DPA 5 régies par le droit irlandais ; (v) à la Clause 18(b), les litiges seront résolus devant les tribunaux irlandais ; (vi) L'Annexe I sera réputée complétée par les informations énoncées à l'Annexe 1 (Détails du traitement) du présent DPA ; et (vii) l'Annexe II sera réputée complétée par les informations énoncées à l'Annexe 2 (Mesures de sécurité) (le cas échéant) du présent DPA ; et l'Annexe 3 (Sous-traitants ultérieurs) sera réputée complétée par les informations énoncées à l'Annexe 3 du présent DPA.
Dispositions alternatives de transfert de données. Dans la mesure où Roomchecking adopte un mécanisme alternatif d'exportation de données (y compris toute nouvelle version ou successeur des clauses types adoptées conformément aux lois sur la protection des données) pour le transfert de données personnelles (« Mécanisme de transfert alternatif »), le mécanisme de transfert alternatif s'appliquera automatiquement. au lieu de tout mécanisme de transfert applicable décrit dans le présent DPA (mais uniquement dans la mesure où ce mécanisme de transfert alternatif est conforme aux lois sur la protection des données applicables dans l'EEE et s'étend aux territoires vers lesquels les données personnelles du client sont transférées).
Transferts de données au Royaume-Uni. Roomchecking traitera les données des clients originaires du Royaume-Uni conformément aux conditions énoncées à l'annexe 4 du présent accord.
Les
Affiliés contrôleurs
Communications des affiliés.
Le Client est responsable de la coordination de toutes les communications avec Roomchecking au nom de ses Affiliés en ce qui concerne ce DPA. Le Client déclare qu'il est autorisé à donner des instructions ainsi qu'à émettre et recevoir toute communication relative à ce DPA au nom de ses Affiliés.
Application des affiliations.
Les Clients Affiliés peuvent faire appliquer les termes de ce DPA directement à l'encontre de Roomchecking, sous réserve des dispositions suivantes :
Le Client intentera toute action en justice, poursuite, réclamation ou procédure que l'Affilié aurait intentée s'il était partie à l'Accord principal (chacune une « Réclamation de l'Affilié ») directement contre Roomchecking au nom de cet Affilié, sauf lorsque les lois sur la protection des données à laquelle l'Affilié concerné est soumis, exiger que l'Affilié présente ou soit partie à une telle Réclamation d'Affilié ; et aux fins de toute réclamation d'affilié intentée directement contre Roomchecking par le client au nom de cet affilié conformément à la présente section, toutes les pertes subies par l'affilié concerné peuvent être considérées comme des pertes subies par le client.
Les
Limitation de responsabilité
En aucun cas, aucune partie ne limitera sa responsabilité en ce qui concerne les droits de protection des données de tout individu en vertu du présent DPA ou autrement.
Toute réclamation ou recours que le Client ou ses Sociétés affiliées peuvent avoir contre Roomchecking et ses employés, agents ou sous-traitants respectifs découlant de ou en relation avec le présent DPA, y compris : (i) pour violation du présent DPA ; (ii) à la suite d'amendes (administratives, réglementaires ou autres) imposées au Client ; (iii) en vertu du RGPD (ou du RGPD du Royaume-Uni), y compris toute réclamation relative aux dommages-intérêts payés à une personne concernée ; et (iv) la violation de ses obligations en vertu des Clauses types, sera soumise à toute disposition de limitation et d'exclusion de responsabilité (y compris tout plafond financier global convenu) qui s'applique en vertu de l'Accord principal.
Pour éviter tout doute, la responsabilité globale totale de Roomchecking et de ses affiliés pour toutes les réclamations du client et de ses affiliés découlant de ou liées à l'accord principal et à chaque DPA s'appliquera globalement à toutes les réclamations en vertu de l'accord principal et du présent DPA ensemble. , y compris par le Client et ses Sociétés Affiliées.
Les
RESTRICTIONS
Le contrôle des chambres est interdit :
vendre les données personnelles des clients ;
conserver, utiliser ou divulguer les données personnelles du client à des fins autres que les fins spécifiques de l'exécution du service ou comme autrement autorisé par l'accord principal et le présent DPA, y compris la conservation, l'utilisation ou la divulgation des données personnelles du client à des fins commerciales autres que la fourniture du Service; ou
conserver, utiliser ou divulguer les données personnelles du client en dehors de la relation commerciale directe entre Roomchecking et le client.
Roomchecking certifie par la présente qu'il comprend les restrictions énoncées à la section 12.1 et qu'il s'y conformera.
Les
Général
Entre le Client et Roomchecking, le présent DPA est intégré et soumis aux termes du Contrat principal et sera en vigueur et restera en vigueur pendant la durée du Contrat principal ou la durée du Service. En cas de conflit entre les termes du présent DPA et les termes du Contrat principal, les termes du présent DPA prévaudront dans la mesure où l'objet concerne le traitement des données personnelles du client.
Chaque partie reconnaît que l'autre partie peut divulguer les clauses types, le présent DPA et toute disposition relative à la confidentialité dans l'accord principal à tout régulateur ou autorité de surveillance sur demande.
Nonobstant toute disposition contraire du Contrat principal et sans préjudice de la section 2.3, Roomchecking peut périodiquement apporter des modifications au présent DPA, dans la mesure nécessaire pour se conformer aux lois sur la protection des données.
Ce DPA ne confère aucun droit de bénéficiaire à des tiers, il est destiné au bénéfice des parties aux présentes, de leurs successeurs et ayants droit respectifs autorisés uniquement, et n'est pas au bénéfice de, et aucune disposition des présentes ne peut être appliquée par, toute autre personne. .
Hormis ce qui est requis par les Clauses types, les mécanismes de règlement des différends, y compris ceux liés au lieu et à la juridiction, énoncés dans l'Accord principal régissent tout différend relatif au présent DPA.
Les
ANNEXE 1
DÉTAILS DU TRAITEMENT
Les
A. LISTE DES PARTIES
Exportateur de données :
Nom : L'entité répertoriée comme « Client » dans le formulaire de commande et/ou l'accord principal applicable.
Adresse : L'adresse indiquée sur tout formulaire de commande applicable.
Nom, fonction et coordonnées de la personne à contacter : le point de contact indiqué sur tout formulaire de commande applicable ou sur l'accord principal.
Activités pertinentes pour les données transférées en vertu des présentes clauses : Recevoir les services de vérification de chambre tels que spécifiés dans l'accord principal et le formulaire de commande.
Signature et date : En signant l'accord principal ou tout formulaire de commande applicable, le client accepte par la présente d'être lié par le présent accord de traitement des données.
Rôle (contrôleur/sous-traitant) : Contrôleur.
Importateur(s) de données :
Nom : Roomchecking SaS
Adresse : 137 rue Dalayrac, 94120 Fontenay sous bois
Nom, fonction et coordonnées de la personne à contacter : Jonathan Weizman, PDG, jweizman@roomchecking.com
Activités pertinentes pour les données transférées en vertu des présentes clauses : Fournir des services de vérification de chambre au client comme spécifié dans l'accord principal et le formulaire de commande applicable.
Signature et date : En signant l'accord principal ou tout formulaire de commande applicable, Roomchecking accepte par la présente d'être lié par le présent accord de traitement des données.
Rôle (contrôleur/sous-traitant) : Sous-traitant
Les
B. DESCRIPTION DU TRANSFERT
Les
Catégories de personnes concernées dont les données personnelles sont transférées
Clients Roomchecking et employés des clients Roomchecking.
Les
Catégories de données personnelles transférées
Les informations spécifiées dans la politique de confidentialité de Roomchecking.
Les
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte de la finalité, des restrictions d'accès (y compris l'accès uniquement au personnel ayant suivi une formation spécialisée), la conservation un enregistrement de l'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
N / A.
Les
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
Continu.
Les
Nature du traitement
Logiciel en tant que service pour les espaces de travail collaboratifs en ligne.
Objectif(s) du transfert de données et du traitement ultérieur
Fournir le logiciel Roomchecking en tant que service aux clients.
La durée pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée
Les
De la Date d’Effet du Contrat Principal jusqu’à sa résiliation.
Pour les transferts aux (sous-)traitants, précisez également l'objet, la nature et la durée du traitement
De la Date d’Effet du Contrat Principal jusqu’à sa résiliation.
Les
C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifier la ou les autorité(s) de surveillance compétente(s) conformément à la Clause 13
L'autorité de contrôle de l'un des États membres dans lequel se trouvent les personnes concernées dont les données personnelles sont transférées en vertu des présentes clauses dans le cadre de l'offre de biens ou de services qui leur sont proposées, ou dont le comportement est surveillé, fera office d'autorité de contrôle compétente.
ANNEXE 2
MESURES DE SÉCURITÉ
Les mesures techniques et organisationnelles mises en œuvre par Roomchecking (y compris les éventuelles certifications pertinentes) pour assurer un niveau de sécurité approprié compte tenu de la nature, de l'étendue, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques, sont les suivantes : suit :
Les
Cryptage des données personnelles
- Données au repos chiffrées à l’aide de l’algorithme AES-256.
- Les ordinateurs portables des employés sont chiffrés à l’aide du chiffrement complet AES-256 du disque.
- Cryptage HTTPS sur chaque interface de connexion Web, à l'aide d'algorithmes et de certificats conformes aux normes de l'industrie.
- Transmission sécurisée des informations d'identification en utilisant par défaut TLS 1.2.
- L'accès aux environnements opérationnels nécessite l'utilisation de protocoles sécurisés tels que HTTPS.
- Données résidant dans Microsoft Azure (Azure) chiffrées au repos, comme indiqué dans la documentation et les livres blancs d'Azure. En particulier, les instances et volumes Azure sont chiffrés à l’aide d’AES-256. Les clés de chiffrement via Azure Key Management Service (KMS) sont protégées par un rôle IAM et protégées par un HSM fourni par Azure et certifié FIPS 140-2.
Les
Mesures visant à garantir la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique
- Contrôles d'accès stricts basés sur l'utilisation du « principe du moindre privilège ».
- Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d'accès.
- L'employé ne bénéficie que de l'accès nécessaire à l'exécution de ses fonctions.
- Comptes uniques et accès basé sur les rôles dans les environnements opérationnels et d'entreprise.
- Accès aux systèmes restreints par des groupes de sécurité et des listes de contrôle d'accès.
- Les demandes d'autorisation sont suivies, enregistrées et auditées régulièrement.
- Suppression de l'accès pour l'employé en cas de cessation d'emploi ou de changement d'emploi.
- Application de l’authentification multifacteur (MFA) pour l’accès aux ressources critiques et de production.
- Mots de passe forts et complexes requis. Les mots de passe initiaux doivent être modifiés après la première connexion.
- Les mots de passe ne sont jamais stockés en texte clair et sont cryptés en transit et au repos.
- Processus de provisionnement et de déprovisionnement de compte.
- Verrouillage automatique du compte.
- Séparation des responsabilités et des devoirs pour réduire les possibilités de modification ou d'utilisation abusive non autorisée ou involontaire.
- Exigences de confidentialité imposées aux salariés.
- Formations de sécurité obligatoires pour les employés, qui couvrent la confidentialité et la gouvernance des données, la protection des données, la confidentialité, l'ingénierie sociale, les politiques de mots de passe et les responsabilités globales en matière de sécurité à l'intérieur et à l'extérieur de Roomchecking.
- Accords de non-divulgation avec des tiers.
- Séparation des réseaux basée sur les niveaux de confiance.
Les
Processus permettant de tester, d'évaluer et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement
Les rapports d'événements sont activés et disponibles pour les clients dans leur instance Roomchecking. Ces rapports peuvent être téléchargés périodiquement.
L'activité des utilisateurs, y compris les connexions, les modifications de configuration, les suppressions et les mises à jour, est automatiquement écrite dans les journaux d'audit des systèmes opérationnels.
Certaines activités sur Roomchecking ne sont pas disponibles directement pour les clients, telles que les horodatages, les adresses IP, les connexions/déconnexions et les erreurs. Ces journaux sont disponibles uniquement pour les employés autorisés, stockés hors système et disponibles pour les enquêtes de sécurité.
Tous les journaux ne sont accessibles que par les employés autorisés de Roomchecking et des contrôles d'accès sont en place pour empêcher tout accès non autorisé.
L'accès en écriture aux données de journalisation est strictement interdit. Les installations de journalisation et les informations des journaux sont protégées contre la falsification et les accès non autorisés grâce à l'utilisation de contrôles d'accès et de mesures de sécurité.
Segmentation du réseau et interconnexions protégées par des pare-feux.
Tests d'intrusion annuels pour tous les composants du SaaS Roomchecking, y compris les applications Web et mobiles.
Les
Mesures d'identification et d'autorisation des utilisateurs
L'accès aux environnements opérationnels et de production est protégé par l'utilisation de comptes d'utilisateurs uniques, de mots de passe forts, l'utilisation de l'authentification multifacteur (MFA), l'accès basé sur les rôles et le principe du moindre privilège.
Les demandes d'autorisation et le provisionnement sont enregistrés, suivis et audités.
Les jetons OAuth générés par le client sont stockés dans un état crypté.
Les clés requises pour le déchiffrement de ces secrets sont stockées dans un référentiel sécurisé et géré qui utilise des modèles de sécurité matérielle de pointe qui respectent ou dépassent les obligations réglementaires et de conformité applicables.
Les clés d'accès utilisées par les applications de production Roomchecking sont accessibles uniquement au personnel autorisé. Ils sont alternés (changés) selon les besoins (par exemple, suite à un avis de sécurité ou à un départ du personnel) et au moins une fois par an.
L'activité des utilisateurs dans les environnements opérationnels, y compris l'accès, la modification ou la suppression des données, est enregistrée.
Pare-feu d'application Web (WAF), en plus des pare-feu basés sur le réseau.
Les
Mesures de protection des Données lors de la transmission
Cryptage HTTPS pour les données en transit (en utilisant TLS 1.2 ou supérieur).
Les
Mesures de protection des Données pendant le stockage
Les instances client Roomchecking sont logiquement séparées et les tentatives d'accès aux données en dehors des limites de domaine autorisées sont empêchées et enregistrées. Des mesures sont en place pour garantir que les téléchargements exécutables, le code ou les acteurs non autorisés ne sont pas autorisés à accéder aux données non autorisées - y compris un client accédant aux fichiers d'un autre client.
Logiciel de sécurité des points finaux
Entrées système enregistrées via des fichiers journaux
Listes de contrôle d'accès (ACL)
Authentification multi-facteurs (MFA)
Mesures pour assurer la journalisation des événements
Journalisation à distance
Un système central de gestion des informations et des événements de sécurité (SIEM) et d'autres outils produits surveillent la sécurité ou les activités.
Mesures pour garantir la configuration du système, y compris la configuration par défaut
Roomchecking a mis en place une politique de gestion du changement.
Roomchecking surveille les modifications apportées aux systèmes concernés pour garantir que les modifications suivent le processus et pour atténuer le risque de modifications non détectées dans la production. Les modifications sont suivies dans notre plateforme de changement.
Politique et procédures de contrôle d'accès
Mesures pour assurer la minimisation des données
Des évaluations détaillées de la confidentialité sont effectuées concernant la mise en œuvre de nouveaux produits/services et le traitement des données personnelles par des tiers.
La collecte de données est limitée aux finalités du traitement (ou aux données que le client choisit de fournir).
Des mesures de sécurité sont en place pour fournir uniquement le minimum d'accès nécessaire pour exécuter les fonctions requises.
Les délais de conservation des données sont restreints et
Une suppression automatique a été mise en œuvre pour faire respecter les délais de conservation des données (voir ci-dessous les mesures visant à garantir une conservation limitée des données).
Toutes les données client supprimées suivent un calendrier de conservation similaire : une suppression récupérable entre 0 et 90 jours et une suppression permanente dans un délai de 91 à 180 jours.
Restreindre l'accès aux données personnelles aux parties impliquées dans le traitement conformément au principe du « besoin de connaître » et selon la fonction derrière la création de profils d'accès différenciés.
Mesures pour garantir la qualité des données
Roomchecking dispose d'un processus qui permet aux individus d'exercer leurs droits en matière de confidentialité (y compris le droit de modifier et de mettre à jour les informations), comme décrit dans la politique de confidentialité de Roomchecking.
Les applications sont conçues pour réduire/empêcher la duplication. De nombreuses vérifications au niveau des applications sont en place pour garantir l’intégrité des données.
Équipe d'assurance qualité qui veille à ce que ces articles fonctionnent comme conçu et mis en œuvre avant d'atteindre notre environnement de production.
Mesures visant à garantir une conservation limitée des données
Après la résiliation de tous les abonnements associés à un environnement, les données client soumises aux Services sont conservées dans un état inactif au sein des Services pendant 60 jours, après quoi elles sont écrasées en toute sécurité ou supprimées de la production dans un délai de 90 jours (jusqu'à un maximum de 180 jours) et à partir des sauvegardes dans les 180 jours.
Toutes les données client supprimées suivent un calendrier de conservation similaire : une suppression récupérable entre 0 et 90 jours et une suppression permanente dans un délai de 91 à 180 jours.
Mesures pour garantir la responsabilité
Des évaluations de la confidentialité des clients sont requises lors de l’introduction de tout nouveau produit/service impliquant le traitement de données personnelles.
Les analyses d’impact sur la protection des données font partie de toute nouvelle initiative de traitement.
Mesures permettant la portabilité des données et garantissant leur effacement
Possibilité d'exporter des données au format JSON
Roomchecking dispose d'un processus qui permet aux individus d'exercer leurs droits en matière de confidentialité (par exemple, droit à l'effacement ou droit à la portabilité des données), comme décrit dans la politique de confidentialité de Roomchecking.
Les
ANNEXE 3
Les
SOUS-TRAITANTS SOUS-TRAITANTS
Les
Pendo
Analyse des produits
https://clarity.microsoft.com//
Hébergement cloud et stockage de données
https://azure.Microsoft.com/
EU
Cachet de la poste
Livraison d'email
https://postmarkapp.com/
GitHub
Gestion des problèmes
https://github.com/
Essentiel
Service client
https://www.getgist.com/
Métier à tisser
Partage de vidéo
https://www.loom.com/
Slack
Communication interne
slack.com