(1) MEFERI Technologies Co., Ltd., une société constituée en vertu des lois chinoises, dont le siège social est situé au 5F, A5, Tianfu Software Park, n° 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, République populaire de Chine (« MEFERI », « Sous-traitant », « Nous », « Notre » ou « Nos ») ; et

(2) Le Client (« Client », « Responsable du traitement » ou « Vous »), l'entité juridique qui a souscrit ou utilise les Services de MEFERI tels que définis ci-dessous et a accepté les principales conditions de service de MEFERI ou un autre accord-cadre (« Accord principal »).

Le présent DPA fait partie intégrante de l'Accord principal et reflète l'accord des parties concernant le traitement des données personnelles par MEFERI pour le compte du Client dans le cadre des Services.

En acceptant l'Accord principal, ou en accédant ou en utilisant les Services après la mise à disposition du présent DPA, le Client conclut le présent DPA en son nom et, dans la mesure requise par la loi applicable sur la protection des données, au nom et pour le compte de ses utilisateurs autorisés.

En cas de conflit entre le présent DPA et l'Accord principal, le présent DPA prévaudra dans la mesure de ce conflit en ce qui concerne le traitement des données personnelles.

1. DÉFINITIONS

1.1. « Contrat principal » désigne le contrat écrit principal (pouvant être intitulé « Conditions générales de service », « Contrat-cadre de services », « Contrat de service », « Contrat d'abonnement » ou autre) conclu entre le Client et MEFERI (ou une filiale contractante de MEFERI conformément à l'article 18.4) pour la fourniture des Services, y compris les conditions spécifiques d'un forfait de services (telles que « MeCare (Nom du forfait) : Conditions générales de service ») et tout bon de commande ou cahier des charges exécuté en vertu de celui-ci. Le présent ATD fait partie intégrante du Contrat principal.

1.2. « Loi applicable en matière de protection des données » désigne toutes les lois et réglementations applicables au traitement des données personnelles en vertu du présent DPA, y compris, mais sans s'y limiter, le RGPD et toutes les lois, réglementations et législations secondaires nationales de mise en œuvre, telles que modifiées ou mises à jour de temps à autre.

1.3. « Responsable du traitement » a le sens défini à l'article 4(7) du RGPD. Aux fins du présent ATD, le Client est le Responsable du traitement.

1.4. « Personne concernée » a le sens défini à l’article 4(1) du RGPD.

1.5. « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

1.6. « Données personnelles » a le sens défini à l'article 4(1) du RGPD et se limite aux données personnelles traitées par MEFERI pour le compte du client dans le cadre de la fourniture des services, comme décrit plus en détail à l'annexe 1.

1.7. « Violation de données personnelles » a le sens défini à l'article 4(12) du RGPD, en particulier une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données personnelles du client transmises, stockées ou autrement traitées par MEFERI.

1.8. « Traitement » a le sens défini à l'article 4(2) du RGPD. Les termes « traiter » et « traitées » doivent être interprétés en conséquence.

1.9. « Sous-traitant » désigne MEFERI Technologies Co., Ltd., (MEFERI) ou, le cas échéant conformément à l'article 18.4 du présent DPA, la partie contractante affiliée de MEFERI au Contrat principal avec le Client.

1.10. « Services » désigne les produits et services fournis par MEFERI au Client dans le cadre du Contrat principal, notamment la solution cloud Shadowalk MDM/EMM de MEFERI, les composants hébergés dans le cloud de la solution CIAO Intelligent Shopper Assistant (ISA) pour laquelle MEFERI agit en tant que sous-traitant, ainsi que tous les services d'assistance associés (y compris, mais sans s'y limiter, les services fournis dans le cadre d'un contrat de service MEFERI MeCare) pour lesquels MEFERI traite les données personnelles du Client. Par souci de clarté, les Services n'incluent pas les déploiements sur site des logiciels MEFERI où le traitement continu des données personnelles est effectué uniquement dans l'environnement du Client, sauf si MEFERI accède à ces systèmes pour obtenir de l'assistance sur instruction du Client.

1.11. « Sous-traitant » désigne tout tiers engagé par MEFERI pour traiter les données personnelles au nom du client dans le cadre des services.

1.12. « Mesures techniques et organisationnelles » ou « TOM » désigne les mesures de sécurité mises en œuvre par MEFERI pour protéger les données personnelles, telles que décrites plus en détail à l'annexe 2.

1.13. « Solutions de partenaires tiers » désigne les logiciels ou services fournis par des tiers qui peuvent être intégrés ou utilisés conjointement avec le matériel ou les services de MEFERI, tels que les solutions de paiement (par exemple, WorldLine « Tap on Mobile ») ou les logiciels de numérisation en libre-service (par exemple, 4MAX « Scan & Go »), lorsque le client peut avoir une relation contractuelle directe avec ce tiers.

2. RÔLES ET RESPONSABILITÉS

2.1. Rôles des parties : Le client est le responsable du traitement et MEFERI est le sous-traitant des données personnelles du client. Chaque partie se conformera à ses obligations respectives en vertu de la législation applicable en matière de protection des données.

2.2. Obligations du client en tant que responsable du traitement : Le client déclare et garantit que :

a. Elle s'est conformée et continuera de se conformer à toutes les dispositions applicables de la loi applicable en matière de protection des données concernant son traitement des données personnelles et à toutes les instructions de traitement qu'elle donne à MEFERI ;

b. Elle est seule responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles et des moyens par lesquels elle a acquis les Données Personnelles, y compris l'obtention de tous les consentements nécessaires, la fourniture de tous les avis nécessaires et la possession d'une base juridique valide pour le Traitement des Données Personnelles par MEFERI conformément au présent DPA et à l'Accord Principal ; et

c. Ses instructions à MEFERI pour le traitement des données personnelles doivent être conformes à la loi applicable en matière de protection des données.

2.3. Obligations de MEFERI en tant que sous-traitant : MEFERI doit :

a. Traiter les Données Personnelles uniquement sur instruction documentée du Client, y compris en cas de transfert de Données Personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou d'un État membre auquel MEFERI est soumise l'exige ; dans ce cas, MEFERI informera le Client de cette obligation légale avant le Traitement, sauf si cette loi interdit ces informations pour des motifs importants d'intérêt public (article 28(3)(a) du RGPD). Le Contrat principal et le présent DPA constituent les instructions documentées du Client à MEFERI pour le Traitement des Données Personnelles.

b. Informer immédiatement le Client si, de l'avis de MEFERI, une instruction enfreint la loi applicable en matière de protection des données (article 28(3) du RGPD).

3. DÉTAILS DU TRAITEMENT

3.1. L'objet du traitement, la durée du traitement, la nature et la finalité du traitement, les types de données personnelles et les catégories de personnes concernées sont définis à l'annexe 1 (Détails du traitement) du présent DPA.

4. CONFIDENTIALITÉ

4.1. MEFERI doit s'assurer que son personnel autorisé à traiter les données personnelles s'est engagé à la confidentialité ou est soumis à une obligation légale de confidentialité appropriée (article 28(3)(b) du RGPD).

5. SÉCURITÉ DU TRAITEMENT

5.1. Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, MEFERI doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, comme décrit à l'annexe 2 (Mesures techniques et organisationnelles) (article 28(3)(c) et article 32 du RGPD).

5.2. MEFERI peut mettre à jour ou modifier les TOM de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas de dégradation matérielle de la sécurité globale des Services.

6. SOUS-TRAITEMENT

6.1. Autorisation générale : Le Client accorde à MEFERI une autorisation écrite générale pour engager des sous-traitants pour traiter des données personnelles au nom du Client dans le cadre de la fourniture des Services (article 28(2) du RGPD).

6.2. Sous-traitants actuels et notification des nouveaux sous-traitants : MEFERI doit tenir à jour une liste de ses sous-traitants actuels, laquelle doit être mise à la disposition du Client sur demande ou via une page web dédiée (voir Annexe 3). MEFERI doit informer le Client de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants au moins trente (30) jours calendaires à l'avance, lui donnant ainsi la possibilité de s'y opposer.

6.3. Opposition aux nouveaux sous-traitants : Si le Client a des motifs raisonnables de s'opposer au recours à un nouveau sous-traitant par MEFERI, il devra en informer MEFERI dans les meilleurs délais par écrit, dans les dix (10) jours ouvrables suivant la réception de la notification. En cas d'opposition du Client, MEFERI déploiera tous les efforts raisonnables pour lui proposer une modification des Services ou lui recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services afin d'éviter le traitement de données personnelles par le nouveau sous-traitant auquel il s'oppose, sans imposer de charge excessive au Client. Si MEFERI n'est pas en mesure de mettre à disposition cette modification dans un délai raisonnable, ne dépassant pas trente (30) jours calendaires, le Client pourra résilier la partie des Services concernée qui ne peut être fournie par MEFERI sans le recours au nouveau sous-traitant auquel il s'oppose, en adressant une notification écrite à MEFERI.

6.4. Obligations du sous-traitant : MEFERI doit s'assurer que tout sous-traitant qu'il engage est soumis à un contrat écrit ou à un autre acte juridique en vertu du droit de l'Union ou du droit des États membres imposant des obligations en matière de protection des données qui sont au moins équivalentes à celles imposées à MEFERI en vertu du présent DPA, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la législation applicable en matière de protection des données (article 28(4) du RGPD).

6.5. Responsabilité : MEFERI restera entièrement responsable envers le Client de l'exécution des obligations de protection des données de ses Sous-traitants.

7. DROITS DES PERSONNES CONCERNÉES

7.1. Compte tenu de la nature du traitement, MEFERI assistera le Client en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre aux demandes d'exercice des droits de la personne concernée énoncés au chapitre III du RGPD (par exemple, droit d'accès, de rectification, d'effacement, etc.) (article 28(3)(e) RGPD).

7.2. Si MEFERI reçoit une demande directe d'une personne concernée concernant les données personnelles du client, elle en informera immédiatement le client et ne répondra pas à la personne concernée, sauf pour confirmer que la demande le concerne. Le client est tenu de répondre à toutes ces demandes.

8. ASSISTANCE AU RESPONSABLE DU TRAITEMENT

8.1. Compte tenu de la nature du traitement et des informations dont dispose MEFERI, MEFERI fournira une assistance raisonnable au client pour garantir le respect de ses obligations en vertu des articles 32 à 36 du RGPD (sécurité du traitement, notification de violation de données personnelles à l'autorité de contrôle, communication d'une violation de données personnelles à la personne concernée, analyse d'impact relative à la protection des données et consultation préalable de l'autorité de contrôle) (article 28(3)(f) du RGPD).

9. NOTIFICATION DE VIOLATION DE DONNÉES PERSONNELLES

9.1. Notification au client :

MEFERI doit informer le Client sans retard injustifié, et en tout état de cause dans les quarante-huit (48) heures, après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles du Client (article 28(3)(f) et article 33(2) du RGPD).

9.2. Cette notification doit, dans la mesure du possible, décrire :

a. La nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;

b. Le nom et les coordonnées du délégué à la protection des données de MEFERI ou d’un autre point de contact où des informations supplémentaires peuvent être obtenues ;

c. Les conséquences probables de la violation des données personnelles ; et

d. Les mesures prises ou proposées par MEFERI pour remédier à la violation des données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs.

9.3. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, celles-ci peuvent être fournies par étapes sans retard supplémentaire injustifié.

9.4. Le Client est seul responsable du respect de ses propres obligations de notification de violation de données en vertu de la législation applicable en matière de protection des données. La notification ou la réponse de MEFERI à une violation de données personnelles en vertu du présent article 9 ne sera pas interprétée comme une reconnaissance par MEFERI d'une quelconque faute ou responsabilité concernant la violation de données personnelles.

10. SUPPRESSION OU RESTITUTION DES DONNÉES

10.1. Au choix du Client, MEFERI supprimera ou restituera toutes les Données personnelles au Client après la fin de la prestation des Services relatifs au Traitement, et supprimera les copies existantes, sauf si le droit de l'Union ou des États membres exige la conservation des Données personnelles (article 28(3)(g) du RGPD). Les délais spécifiques de conservation et de suppression seront ceux définis dans le Contrat principal ou convenus autrement.

11. AUDITS ET INSPECTIONS

11.1. MEFERI doit mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, menés par le Client ou un autre auditeur mandaté par le Client (article 28(3)(h) du RGPD).

11.2. Ces audits seront réalisés pendant les heures normales d'ouverture de MEFERI, moyennant un préavis écrit raisonnable d'au moins trente (30) jours calendaires, et ne devront pas perturber de manière déraisonnable les activités commerciales de MEFERI. Le Client et MEFERI conviendront mutuellement de la portée, du calendrier et de la durée de l'audit.

11.3. Le Client s'assurera que tout auditeur agit dans le cadre d'un accord de confidentialité écrit. Le Client prendra en charge ses propres frais et ceux de son auditeur mandaté. Si l'audit révèle une violation substantielle du présent DPA par MEFERI, MEFERI prendra en charge les frais raisonnables de l'audit, dans la limite d'un plafond convenu d'un commun accord.

11.4. Dans la mesure permise par la loi, MEFERI peut satisfaire à ses obligations d'audit en fournissant au Client les certifications pertinentes d'un auditeur tiers indépendant (par exemple, ISO 27001, SOC 2 Type II), ou des résumés de celles-ci, sous réserve des obligations de confidentialité appropriées.

12. TRANSFERTS INTERNATIONAUX DE DONNÉES

12.1. MEFERI ne transférera pas de données personnelles vers un pays situé en dehors de l'Espace économique européen (EEE) ou vers un pays jugé adéquat par la Commission européenne en vertu de l'article 45 du RGPD sans s'assurer que des garanties appropriées sont en place comme l'exige le chapitre V du RGPD (par exemple, en concluant des clauses contractuelles types approuvées par la Commission européenne).

12.2. Les principaux lieux de traitement des données pour les Services, notamment l'hébergement des Données Personnelles des Clients par MEFERI sur son infrastructure cloud principale, se situeront dans l'Espace économique européen (EEE), dans la région Amazon Web Services (AWS) eu-ouest-3 (Paris, France). De plus amples informations sur les sous-traitants, notamment les fournisseurs d'infrastructure cloud et leurs localisations, sont fournies à l'annexe 3.

12.3. Si MEFERI transfère des données personnelles à un sous-traitant dans un pays tiers (hors EEE ou non jugé adéquat par la Commission européenne) n'assurant pas un niveau de protection adéquat, MEFERI s'assurera que ce transfert est couvert par un mécanisme de transfert approprié en vertu du chapitre V du RGPD, tel que les clauses contractuelles types. Cela inclut les transferts susceptibles d'avoir lieu si MEFERI utilise les services d'un sous-traitant dont l'infrastructure ou le personnel de support sont situés dans ces pays tiers, même si le lieu de traitement principal spécifié à l'article 12.2 se trouve dans l'EEE.

13. UTILISATION PAR MEFERI DE SOLUTIONS DE PARTENAIRES TIERS

13.1. Le client reconnaît que le matériel ou les services de MEFERI peuvent être utilisés conjointement avec des solutions de partenaires tiers (par exemple, des solutions de traitement des paiements sur des appareils CIAO, des logiciels de gestion de vente au détail spécifiques).

13.2. Si le Client choisit d'utiliser les Solutions de Partenaires Tiers, il peut conclure une relation contractuelle directe avec les fournisseurs de ces solutions. Dans ce cas, le fournisseur tiers peut agir en qualité de Responsable du traitement ou de Sous-traitant des Données personnelles qu'il traite dans le cadre de ses services, conformément à l'accord conclu entre le Client et ce tiers.

13.3. Le présent ATD régit uniquement le traitement des données personnelles par MEFERI en tant que sous-traitant pour le compte du Client. Il ne s'applique pas aux activités de traitement effectuées par des fournisseurs de solutions partenaires tiers avec lesquels le Client entretient une relation directe, sauf si ces fournisseurs agissent en tant que sous-traitant ultérieur de MEFERI conformément à l'article 6 du présent ATD.

14. RESPONSABILITÉ ET INDEMNITÉ

14.1. La responsabilité de chaque partie en vertu du présent DPA sera soumise aux limitations et exclusions de responsabilité énoncées dans l'Accord principal.

14.2. Le Client doit indemniser et dégager MEFERI de toute responsabilité contre toutes réclamations, actions, réclamations de tiers, pertes, dommages et dépenses (y compris les honoraires juridiques raisonnables) encourus par MEFERI découlant de toute violation par le Client de ses obligations en vertu du présent DPA ou de la loi applicable sur la protection des données.

15. DURÉE ET RÉSILIATION

15.1. Le présent DPA entrera en vigueur à la date d'entrée en vigueur du Contrat principal et restera en vigueur jusqu'à la résiliation ou l'expiration du Contrat principal, ou jusqu'à ce que MEFERI cesse de traiter les données personnelles pour le compte du Client, selon la dernière éventualité.

15.2. Les obligations de confidentialité, de suppression/restitution des données et toutes les dispositions qui, de par leur nature, devraient survivre à la résiliation, survivront à la résiliation ou à l'expiration du présent DPA.

16. MODIFICATIONS DE CE DPA

16.1. MEFERI peut modifier le présent DPA de temps à autre en publiant la version modifiée sur son site Web ou en informant autrement le Client.

16.2. Si MEFERI apporte une modification substantielle au présent ATD, elle en informera le Client dans un délai raisonnable (par exemple, par courriel adressé au contact désigné du Client ou par notification dans les Services). L'utilisation continue des Services par le Client après ce délai de préavis constituera une acceptation du ATD modifié. Si le Client s'oppose à une modification substantielle, il pourra résilier le Contrat principal conformément à ses conditions.

17. LOI APPLICABLE ET RÉSOLUTION DES LITIGES

17.1. Loi applicable : Le présent DPA sera régi et interprété conformément aux lois stipulées comme loi applicable dans l'Accord principal conclu entre le Client et l'entité MEFERI partie à cet Accord principal (« Entité contractante MEFERI »).

17.2. Résolution des litiges :

a. Les Parties s'efforceront de résoudre tout litige, controverse ou réclamation découlant du présent ATD, de son interprétation, de sa validité, de sa violation ou de sa résiliation (le « Litige ») ou s'y rapportant à l'amiable, par des négociations de bonne foi entre leurs représentants autorisés. b. Si un Litige ne peut être résolu par voie de négociation dans les trente (30) jours calendaires suivant la notification écrite d'une Partie engageant les négociations, ce Litige sera résolu conformément au mécanisme de règlement des litiges (par exemple, arbitrage ou procédure judiciaire) et au lieu spécifiés dans l'Accord principal. c. Si l'Accord principal prévoit un arbitrage :

i. Un tel arbitrage sera le principal mécanisme de résolution des litiges dans le cadre du présent DPA. ii. Sauf indication contraire dans l'Accord principal, ou si l'Accord principal ne précise pas les détails de l'arbitrage pour les questions liées au présent DPA, les Parties conviennent que tout litige de ce type peut être soumis à un arbitrage administré par une institution d'arbitrage reconnue au niveau international et convenue d'un commun accord (telle que la Cour d'arbitrage international de Shenzhen (SCIA), le Centre d'arbitrage international de Singapour (SIAC) ou le Centre d'arbitrage international de Hong Kong (HKIAC), ou une institution appropriée au sein de l'Union européenne si l'Entité MEFERI contractante est une filiale basée dans l'UE). iii. L'arbitrage sera mené en anglais. Le siège ou le lieu légal de l'arbitrage sera celui spécifié dans l'Accord principal ou, s'il n'est pas spécifié ou si un lieu différent est convenu d'un commun accord pour un litige spécifique, un lieu choisi d'un commun accord par les Parties, ou à défaut d'un tel accord dans un délai raisonnable, par l'Entité MEFERI contractante. iv. La sentence arbitrale sera définitive et contraignante pour les deux Parties, sous réserve de tout droit d'appel autorisé par les lois du siège de l'arbitrage pour injustice procédurale ou manque de compétence.

d. Si l'Accord principal prévoit un litige judiciaire, les tribunaux qui y sont spécifiés seront compétents, sous réserve de l'article 17.3 ci-dessous.

17.3. Considérations obligatoires relatives à la loi sur la protection des données : a. Nonobstant toute autre disposition du présent DPA ou de l'Accord principal, lorsque la loi applicable en matière de protection des données (y compris, mais sans s'y limiter, le RGPD) accorde à une personne concernée des droits obligatoires d'intenter une action devant les tribunaux de sa résidence habituelle ou de son lieu de travail, ou du lieu où une violation présumée a été commise, ou de déposer une plainte auprès d'une autorité de contrôle, ces droits ne seront pas affectés par les termes du présent DPA. b. Lorsque le RGPD s'applique, MEFERI et le Client veilleront à ce que tout choix de loi applicable ou de juridiction n'empêche pas les personnes concernées de bénéficier des dispositions obligatoires de la loi de l'État membre de l'Union européenne dans lequel elles résident.

17.4. Poursuite de l'exécution : En attendant la résolution d'un litige, les parties continueront d'exécuter leurs obligations respectives en vertu du présent DPA dans la mesure du possible, à moins que le DPA ou l'accord principal ne soit résilié.

18. COORDONNÉES / PROTECTION DES DONNÉES

18.1. Sous-traitant : MEFERI Technologies Co., Ltd. Adresse : 5F, A5, Tianfu Software Park, n° 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, République populaire de Chine

– E-mail pour les demandes relatives à la protection des données : legal@meferi.com

18.2. Demandes de protection des données et DPO (pour MEFERI Technologies Co., Ltd.) : Toutes les demandes relatives à la protection des données en vertu du présent DPA doivent être adressées à l'adresse e-mail indiquée pour MEFERI Technologies Co., Ltd. dans la section 18.1 ci-dessus.

18.3. Représentant de MEFERI Technologies Co., Ltd. dans l'UE (conformément à l'article 27 du RGPD) : Nom du représentant de MEFERI Poland Sp. z oo Adresse : Ul. Modelarska 18/2, 40-142 Katowice, Pologne Adresse e-mail pour les demandes de renseignements sur la protection des données dans l'UE (pour les personnes concernées et les autorités de contrôle dans l'UE concernant le traitement par MEFERI Technologies Co., Ltd.) : pologne@meferi.com

18.4. Traitement par les filiales de MEFERI : Lorsque le Client conclut un Contrat principal avec une filiale de MEFERI Technologies Co., Ltd. (par exemple, MEFERI Poland Sp. z oo) (« Filtre MEFERI contractant »), et que ce dernier agit en qualité de sous-traitant des données personnelles en vertu de ce Contrat principal :

a) Le présent DPA s'applique aux activités de traitement effectuées par la filiale contractante de MEFERI, et toutes les références à « MEFERI » ou au « Sous-traitant » dans le présent document seront réputées faire référence à cette filiale contractante de MEFERI.

b) Les coordonnées pour toute demande de protection des données relative au traitement par la filiale contractante de MEFERI sont celles précisées dans le Contrat principal ou communiquées au Client par la filiale contractante de MEFERI. Pour MEFERI Poland Sp. z oo, les coordonnées sont les suivantes : Adresse : Ul. Modelarska 18/2, 40-142 Katowice, Pologne

E-mail: pologne@meferi.com

Téléphone : +48 734-143-579

c) La loi applicable et le règlement des litiges pour le présent DPA dans de tels cas seront déterminés par l'accord principal avec la filiale contractante de MEFERI.

19. ACCORD COMPLET

19.1. Le présent DPA, y compris ses annexes, constitue l'intégralité de l'accord entre les parties concernant l'objet des présentes et remplace tous les accords, propositions ou représentations antérieurs et contemporains, écrits ou oraux, concernant son objet.

EN FOI DE QUOI, les parties reconnaissent leur accord sur le présent Contrat de traitement des données à compter de la date d'entrée en vigueur du Contrat principal ou de l'utilisation des Services par le Client.

—

ANNEXE 1

DÉTAILS DU TRAITEMENT

Cette annexe 1 fait partie du DPA et décrit le traitement des données personnelles par MEFERI pour le compte du client.

A. LISTE DES PARTIES

Responsable(s) du traitement / Client(s) :

L'entité juridique ayant conclu le Contrat principal avec MEFERI pour la fourniture des Services. Le Client détermine les finalités et les moyens du Traitement des Données Personnelles.

Processeur(s) / MEFERI :

MEFERI Technologies Co., Ltd., ou, le cas échéant conformément à l'article 18.4 du présent DPA, la partie contractante affiliée MEFERI à l'accord principal avec le client, fournissant les services au client.

B. DESCRIPTION DU TRAITEMENT

1. Objet du traitement :

Le traitement des données personnelles dans le cadre de la fourniture, de la maintenance, du support et de l'amélioration des services MEFERI souscrits par le client en vertu du contrat principal, y compris, mais sans s'y limiter, la solution cloud MEFERI Shadowalk MDM/EMM et les composants hébergés dans le cloud de la solution CIAO Intelligent Shopper Assistant (ISA).

2. Durée du traitement :

Pendant la durée de l'accord principal entre MEFERI et le client, et jusqu'à ce que toutes les données personnelles soient supprimées ou restituées conformément à l'article 10 du DPA.

3. Nature et finalité du traitement :

– Pour la solution cloud MEFERI Shadowalk MDM/EMM : permettre au client de gérer, sécuriser, surveiller et prendre en charge à distance sa flotte d'appareils mobiles. Cela comprend le provisionnement des appareils, la gestion de la configuration, la gestion des applications, l'application des politiques de sécurité, le suivi des appareils (si activé par le client), les diagnostics à distance et la génération de rapports sur l'état et l'utilisation des appareils pour le client.

– Pour les composants Cloud ISA MEFERI et CIAO (où MEFERI est le sous-traitant) : faciliter le fonctionnement de la solution d'assistance client intelligente pour le client (détaillant). Cela peut inclure l'authentification des utilisateurs, la gestion des listes de courses, le traitement des informations produit, les données d'interaction client (pour les analyses fournies au détaillant) et l'intégration avec des services tiers selon les directives du client.

– Contrats de service MeCare : Pour les services MeCare MEFERI (où MEFERI agit en tant que sous-traitant) : Fournir des services contractuels d'assistance, de maintenance, de réparation, de surveillance et de gestion des appareils tels que décrits dans les « Conditions générales de service MeCare (nom du plan) » applicables et le Guide des services d'assistance MeCare, ce qui peut impliquer l'accès, la collecte ou le traitement des données personnelles stockées sur ou transmises par les appareils du client, ou fournies par le client dans le cadre de la prestation de services.

– Pour les services d’assistance : fournir une assistance technique, un dépannage, une maintenance et des mises à jour pour les services, ce qui peut impliquer l’accès aux données personnelles traitées dans le cadre des services ou sur les systèmes du client à la demande et selon les instructions du client.

– Se conformer aux instructions documentées du Client telles qu’énoncées dans le présent DPA et dans l’Accord principal.

– Se conformer aux obligations légales applicables.

4. Catégories de personnes concernées :

– Employés, sous-traitants et utilisateurs autorisés du Client : personnes qui administrent ou utilisent les Services au nom du Client (par exemple, les administrateurs informatiques utilisant Shadowalk, le personnel de vente au détail gérant ou utilisant CIAO).

– Utilisateurs finaux des appareils gérés par le Client (pour Shadowalk) : personnes (par exemple, les employés du Client) utilisant des ordinateurs mobiles ou d'autres appareils gérés par le Client via la solution Shadowalk.

– Clients du client (acheteurs) (pour CIAO, si MEFERI traite leurs données personnelles dans un backend cloud pour le compte du client détaillant) : personnes utilisant les appareils ISA CIAO dans le magasin du détaillant.

5. Types de données personnelles traitées :

Les types spécifiques de données personnelles traitées dépendent des services utilisés par le client et de la manière dont il les configure et les utilise. Les données personnelles peuvent inclure :

– Compte utilisateur et informations de contact : nom, adresse e-mail, nom d'utilisateur, mots de passe, numéro de téléphone, intitulé de poste, service, identifiant d'employé, rôle/autorisations au sein des Services (le cas échéant pour l'administration des services par le Client).

– Informations sur l'appareil (pour Shadowalk) : identifiants de l'appareil (par exemple, numéro de série, IMEI, adresse MAC, UDID), modèle de l'appareil, version du système d'exploitation, adresse IP, informations réseau, paramètres de configuration de l'appareil, applications installées, données de localisation de l'appareil (si activées par le client).

– Données d’utilisation et de journal (pour Shadowalk et CIAO cloud) : Journaux système, pistes d’audit, journaux d’activité, données de performance, données de diagnostic liées à l’utilisation des Services.

– Données de l'acheteur (pour CIAO, le cas échéant) : détails du compte de l'acheteur (par exemple, identifiant de fidélité, e-mail s'il est fourni par l'acheteur pour l'inscription via l'application du détaillant sur CIAO), listes de courses, historique de numérisation des produits, données d'interaction avec l'appareil CIAO.

– Données d’assistance : informations fournies par le client lors des interactions d’assistance, y compris les coordonnées, la description des problèmes, les détails de configuration du système et toutes les données personnelles contenues dans les journaux ou les fichiers partagés avec MEFERI à des fins de dépannage.

– Toute autre donnée personnelle que le Client (ou ses utilisateurs autorisés ou personnes concernées) choisit de soumettre aux Services.

6. Catégories particulières de données personnelles (le cas échéant) :

MEFERI n'a pas l'intention de traiter des catégories particulières de données personnelles (telles que définies à l'article 9 du RGPD) pour le compte du Client. Le Client ne doit pas télécharger, fournir ou demander à MEFERI de traiter des catégories particulières de données personnelles, sauf accord écrit explicite avec MEFERI et sous réserve des garanties appropriées. Si le Client fournit ces données sans accord préalable, il est seul responsable de la validité du fondement juridique de ce traitement.

—

ANNEXE 2

SÉCURITÉ TECHNIQUE ET ORGANISATIONNELLE MEASURES (TOMS)

La présente annexe 2 décrit les mesures techniques et organisationnelles mises en œuvre par MEFERI pour garantir un niveau de sécurité approprié au traitement des données personnelles. MEFERI peut mettre à jour ces mesures de temps à autre, à condition que ces mises à jour ne dégradent pas matériellement la sécurité globale des Services.

1. Politiques et gouvernance de la sécurité de l’information :

a. MEFERI maintient des politiques et des procédures internes conçues pour protéger les données personnelles.

b. Les responsabilités en matière de sécurité de l’information sont définies et attribuées.

c. Des évaluations régulières des risques sont effectuées pour identifier et atténuer les menaces pesant sur les données personnelles.

2. Sécurité du personnel :

a. Les employés et les sous-traitants ayant accès aux données personnelles sont soumis à des obligations de confidentialité.

b. Une formation de sensibilisation à la sécurité est dispensée au personnel concerné concernant ses responsabilités en matière de protection et de sécurité des données.

c. Des vérifications des antécédents peuvent être effectuées pour le personnel occupant des postes sensibles, lorsque la loi applicable le permet.

3. Contrôle d’accès physique :

a. Des mesures sont en place pour empêcher l'accès physique non autorisé aux locaux et installations de MEFERI où les données personnelles peuvent être traitées (par exemple, les bureaux).

b. Cela comprend les périmètres de sécurité, les systèmes de contrôle d’accès, la surveillance et la journalisation des accès physiques, le cas échéant.

c. Pour les centres de données utilisés par MEFERI pour les Services (c'est-à-dire ceux de son principal fournisseur de services cloud, Amazon Web Services – AWS), MEFERI s'appuie sur les mesures de sécurité physique robustes mises en œuvre par AWS.

4. Contrôle d'accès au système (accès logique) :

a. L'accès aux systèmes informatiques Le traitement des données personnelles est limité au personnel autorisé.

b. Des identifiants d’utilisateur uniques et des mécanismes d’authentification forts (par exemple, des mots de passe complexes, une authentification multifactorielle lorsque cela est approprié et faisable) sont utilisés.

c. Les droits d’accès sont accordés selon le principe du moindre privilège (contrôle d’accès basé sur les rôles).

d. Des examens réguliers des droits d’accès sont effectués.

e. Des protocoles sécurisés sont utilisés pour l’accès à distance.

5. Contrôle d’accès aux données :

a. Des mesures sont en place pour garantir que les personnes autorisées à utiliser un système de traitement de données ne peuvent accéder qu’aux Données personnelles auxquelles leur droit d’accès se réfère, conformément aux rôles et responsabilités qui leur sont attribués.

b. Les données personnelles ne sont pas lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage, sauf si cela est nécessaire à la fourniture des services ou selon les instructions du client.

c. La séparation des tâches et des données est mise en œuvre lorsque cela est approprié.

6. Contrôle de la transmission :

a. Les données personnelles sont protégées contre toute lecture, copie, modification ou suppression non autorisée pendant la transmission ou le transport électronique.

b. Les technologies de cryptage (par exemple, Transport Layer Security – TLS/Secure Sockets Layer – SSL pour les données en transit) sont utilisées pour protéger les données personnelles transmises sur les réseaux publics.

c. Des méthodes sécurisées sont utilisées pour le transfert de supports physiques contenant des données personnelles, si de tels transferts ont lieu.

7. Contrôle d'entrée :

a. Des mesures sont mises en œuvre pour garantir qu'il soit possible de vérifier et d'établir ultérieurement si et par qui des données personnelles ont été saisies, modifiées ou supprimées des systèmes de traitement des données (par exemple, au moyen de journaux d'audit).

b. Des capacités de journalisation et d’audit sont mises en œuvre pour les activités critiques du système liées au traitement des données personnelles.

8. Sauvegarde et récupération des données :

a. Des sauvegardes régulières des Données Personnelles Traitées dans le cadre des Services sont effectuées pour garantir la disponibilité et l'intégrité des données.

b. Les procédures de sauvegarde et de récupération sont définies et testées périodiquement.

c. Les sauvegardes sont stockées en toute sécurité.

9. Contrôle de la disponibilité et résilience :

a. Les systèmes sont conçus et configurés pour garantir la disponibilité des données personnelles et la résilience des systèmes et services de traitement.

b. Cela comprend des mesures telles que la redondance, la tolérance aux pannes et les capacités de reprise après sinistre, en exploitant principalement l'infrastructure du principal fournisseur de services cloud de MEFERI (Amazon Web Services – AWS).

10. Ségrégation des données :

a. Les données personnelles du client sont logiquement séparées des données des autres clients MEFERI au sein des Services.

11. Développement de logiciels sécurisés (pour les plateformes cloud de MEFERI) :

a. Les pratiques et principes de codage sécurisé sont intégrés au cycle de vie de développement logiciel de MEFERI pour ses plateformes cloud.

b. Des tests de sécurité (par exemple, analyse de vulnérabilité, tests de pénétration) sont effectués selon les besoins des Services.

c. Des procédures d’identification, d’évaluation et de correction des vulnérabilités dans les logiciels de MEFERI sont en place.

12. Gestion des incidents :

a. MEFERI maintient un plan de réponse aux incidents et des procédures pour détecter, répondre et récupérer des incidents de sécurité, y compris les violations de données personnelles.

b. Les incidents font l’objet d’une enquête, sont documentés et des mesures correctives appropriées sont prises.

c. Des plans de communication sont établis pour les notifications internes et externes comme l'exigent la loi applicable sur la protection des données et le présent DPA.

13. Gestion des sous-traitants :

a. Une diligence raisonnable est effectuée avant d’engager des sous-traitants afin de garantir qu’ils peuvent fournir un niveau adéquat de protection des données.

b. Des accords contractuels sont en place avec les sous-traitants imposant des obligations de protection des données qui sont au moins équivalentes à celles imposées à MEFERI en vertu du présent DPA.

14. Surveillance et journalisation :

a. Les systèmes traitant des données personnelles sont surveillés pour détecter les événements de sécurité et les anomalies, lorsque cela est approprié et possible.

b. Les journaux pertinents sont collectés et examinés si nécessaire pour détecter, enquêter et répondre aux incidents de sécurité.

15. Cryptage :

a. Le cryptage des données personnelles au repos est mis en œuvre lorsque cela est approprié et techniquement possible (par exemple, pour le stockage de bases de données contenant des données personnelles sensibles).

b. Le cryptage des données personnelles en transit sur les réseaux publics est mis en œuvre à l'aide de protocoles standard de l'industrie (par exemple, TLS).

*(Le Client reconnaît que les Mesures de sécurité sont sujettes au progrès et au développement techniques et que MEFERI peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services achetés par le Client.)*

—

ANNEXE 3

SOUS-TRAITANTS

Le Client autorise MEFERI à utiliser les catégories de Sous-traitants énumérées ci-dessous. MEFERI tiendra à jour une liste de ses Sous-traitants, qui sera mise à la disposition du Client sur une page dédiée de son site web. https://meferi.com/en/us/legal/subprocessors ). et fournira cette liste au Client sur demande écrite adressée au contact de protection des données de MEFERI (par exemple, legal@meferi.com ).

Catégories de sous-traitants et finalité :

1. Fournisseurs d'infrastructure cloud : – Sous-traitant et spécificités de l'hébergement principal des services fournis au client dans le cadre du contrat principal :

– Entité : Amazon Web Services EMEA SARL (ou l’entité contractante AWS compétente pour les services fournis dans l’EEE).

– Objectif : Fournir une infrastructure de cloud computing sous-jacente (serveurs, stockage, réseau, bases de données) pour l'hébergement des services MEFERI (par exemple, Shadowalk Cloud, backend CIAO Cloud) fournis au client dans le cadre du contrat principal.

– Lieu de traitement des données personnelles des clients (hébergement principal) : la principale région AWS pour le traitement des données personnelles des clients dans le cadre du présent DPA est eu-west-3 (Paris, France) au sein de l'Espace économique européen (EEE).

Garanties relatives au transfert de données : AWS fournit un addendum relatif au traitement des données (ATD) comprenant des clauses contractuelles types (CCT) régissant les transferts de données personnelles. Ces clauses s'appliquent si des données sont traitées ou transférées par AWS vers des sites situés hors de l'EEE et non couverts par une décision d'adéquation. Le client peut consulter l'addendum relatif au traitement des données d'AWS à l'adresse suivante :  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf et des informations sur la conformité AWS au RGPD sur  https://aws.amazon.com/compliance/gdpr-center/

– Remarque sur les CDN (le cas échéant) : Si MEFERI utilise AWS CloudFront ou des services de réseau de diffusion de contenu (CDN) similaires pour améliorer les performances des Services, des copies de certaines données (généralement des ressources statiques ou du contenu mis en cache, pouvant inclure ou non des Données personnelles selon la configuration) peuvent être temporairement mises en cache sur des sites AWS périphériques à l'échelle mondiale. Cependant, le stockage officiel et le traitement principal des Données personnelles du Client pour les Services resteront dans la région AWS spécifiée ci-dessus (eu-west-3). MEFERI s'assurera que toutes les Données personnelles du Client diffusées via le CDN sont traitées conformément aux exigences du RGPD.

– Autres fournisseurs d’infrastructure cloud pour les services fournis au client dans le cadre du contrat principal :

– À l’heure actuelle, MEFERI n’utilise pas d’autres fournisseurs d’infrastructure cloud tiers pour l’hébergement principal ou la fourniture directe des Services définis dans l’Accord principal, au-delà de ce qui est décrit ci-dessus.

2. Fournisseurs de services de communication :

– Objectif : Faciliter les communications essentielles au Client ou à ses utilisateurs autorisés dans le cadre de la fourniture et de l’utilisation des Services (par exemple, la livraison par courrier électronique pour les notifications de service, les réinitialisations de mot de passe, les alertes de sécurité et la livraison par SMS pour les alertes critiques ou les codes d’authentification à deux facteurs).

– Sous-traitants spécifiques utilisés :

– Pour les communications par courrier électronique :

– Entité : Amazon Web Services EMEA SARL (utilisant Amazon Simple Email Service – SES).

– Objectif spécifique de MEFERI : Envoyer des notifications par courrier électronique transactionnelles et liées aux services aux utilisateurs autorisés du Client (par exemple, alertes de compte, réinitialisations de mot de passe, mises à jour de service, informations de sécurité critiques) en relation avec les Services.

– Lieu de traitement : L'infrastructure d'envoi des e-mails est principalement située dans les régions AWS utilisées par MEFERI pour ses services (par exemple, configurée pour l'envoi depuis une région de l'EEE comme eu-west-1 Irlande ou eu-west-3 Paris, lorsque cela est possible). Le traitement des données personnelles (telles que les adresses e-mail et leur contenu) via SES est régi par l'addendum relatif au traitement des données AWS.

– Garanties de transfert de données : couvertes par l'addendum relatif au traitement des données d'Amazon Web Services, qui comprend des clauses contractuelles types. Disponible.

à: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Pour les communications SMS :

– Entité : Twilio Inc.

– Objectif spécifique de MEFERI : pour envoyer des notifications par SMS aux utilisateurs autorisés du Client dans le cadre des Services, par exemple pour des alertes critiques ou la livraison de codes d'authentification à deux facteurs (2FA), si ces fonctionnalités sont activées et utilisées par le Client.

– Nature des données traitées : comprend généralement les numéros de téléphone des utilisateurs autorisés du client et le contenu des messages SMS (par exemple, codes d'authentification, texte d'alerte).

– Lieu de traitement : principalement aux États-Unis.

Garanties relatives au transfert de données : Les transferts de données personnelles sont régis par l'addendum relatif au traitement des données de Twilio, qui intègre les clauses contractuelles types (CCT). Le client peut consulter l'accord de transfert de données de Twilio à l'adresse suivante : https://www.twilio.com/legal/data-protection-addendum.

– Autres fournisseurs de services de communication :

À l'heure actuelle, MEFERI ne fait appel à aucun autre prestataire de services de communication tiers pour le traitement des données personnelles des clients en vertu du présent DPA, au-delà de ce qui est décrit ci-dessus pour les e-mails et les SMS. Si des fonctionnalités spécifiques nécessitant d'autres types de services de communication sont introduites et acceptées par le client, MEFERI mettra à jour cette liste et en informera le client conformément à l'article 6.2 du présent DPA.

3. Fournisseurs d'analyses et de surveillance des performances des services :

– Finalité : Surveiller les performances, identifier les erreurs et analyser les habitudes d'utilisation des services MEFERI (par exemple, Shadowalk Cloud, backend CIAO Cloud) afin de maintenir et d'améliorer la stabilité, la fonctionnalité et l'expérience utilisateur. Les données traitées par ces fournisseurs pour les services MEFERI sont généralement pseudonymisées, agrégées ou constituées de données techniques/opérationnelles. MEFERI ne fait pas appel à ces fournisseurs pour analyser le contenu spécifique des données personnelles des clients au sein des services, sauf instruction explicite ou accord avec le client à des fins d'assistance ou de dépannage.

– Sous-traitants spécifiques utilisés :

– Entité : Functional Software, Inc. (faisant affaire sous le nom de Sentry).

– Objectif spécifique pour MEFERI : suivi des erreurs en temps réel, diagnostics et surveillance des performances au sein des services cloud de MEFERI (Shadowalk Cloud, backend CIAO Cloud) pour aider à identifier et à résoudre les problèmes techniques.

– Nature des données traitées : comprend généralement les messages d'erreur, les traces de pile, les informations sur l'appareil/navigateur, les adresses IP (que MEFERI peut configurer pour être anonymisées ou non stockées lorsque cela est possible dans les capacités de Sentry) et d'autres métadonnées opérationnelles liées aux événements de service. MEFERI configure son intégration avec Sentry pour minimiser la capture des données personnelles des clients.

– Lieu de traitement : principalement aux États-Unis.

Garanties relatives au transfert de données : Les transferts sont régis par l'addenda relatif au traitement des données de Sentry, qui intègre les clauses contractuelles types. Disponible à l'adresse : https://sentry.io/legal/dpa/

– Analyse du site Web et du portail (MEFERI en tant que responsable) :

Pour les analyses liées au site web d'entreprise de MEFERI (par exemple, meferi.com) et aux autres portails publics appartenant à MEFERI où MEFERI agit en tant que responsable du traitement des données, les détails des fournisseurs d'analyses (tels que Google Analytics) et du traitement des données sont décrits dans la Politique de confidentialité générale de MEFERI. Ces fournisseurs ne sont pas mentionnés ici comme sous-traitants au sens du présent ATD, sauf s'ils traitent également les données personnelles des clients pour le compte de MEFERI dans le cadre des services fournis au client.

4. Outils d'assistance et de service client :

– Objectif : Gérer les demandes d’assistance client, fournir des services d’assistance et faciliter la communication liée à l’assistance pour les services de MEFERI.

– Outils spécifiques utilisés :

– MEFERI utilise son portail d'assistance client et son système de tickets propriétaires, accessibles à l'adresse support.meferi.com. Ce système est développé et maintenu par MEFERI et hébergé sur son infrastructure cloud fournie par Amazon Web Services (AWS), comme détaillé à la section 1 (« Fournisseurs d'infrastructure cloud ») de la présente annexe.

– Les données personnelles soumises par les utilisateurs autorisés du client via ce portail d'assistance (par exemple, les coordonnées, le contenu de la demande) sont traitées dans ce système exploité par MEFERI.

– MEFERI ne fait actuellement appel à aucun fournisseur tiers de logiciels en tant que service (SaaS) pour sa plateforme de support client où sont traitées les données personnelles des clients en vertu du présent DPA. – Traitement des données et consentement de l'utilisateur sur le portail d'assistance :

– Les utilisateurs accédant à support.meferi.com sont soumis aux termes de la politique de confidentialité de MEFERI et de tout accord d'utilisateur applicable pour le portail d'assistance, qui régissent la collecte et l'utilisation par MEFERI des données personnelles soumises directement par les utilisateurs au portail.

– Engagement futur de prestataires tiers :

– Si MEFERI choisit de faire appel à des fournisseurs d’outils d’assistance ou de service client tiers à l’avenir pour le traitement des données personnelles du client, cette liste sera mise à jour et le client sera informé conformément à la section 6.2 du présent DPA.

5. Sous-traitants techniques (par exemple, pour le développement spécialisé, la maintenance ou les tests de sécurité) :

– À l’heure actuelle, MEFERI effectue des services techniques spécialisés, le développement de logiciels, la maintenance du système et les tests de sécurité pour ses services (tels que la solution cloud MEFERI Shadowalk MDM/EMM et les composants hébergés dans le cloud de la solution CIAO Intelligent Shopper Assistant (ISA)) principalement en utilisant son personnel interne.

– MEFERI n'engage actuellement pas de sous-traitants techniques tiers dans une capacité qui les obligerait à traiter les données personnelles des clients au nom de MEFERI en vertu du présent DPA.

– Si MEFERI décide à l’avenir d’engager de tels sous-traitants techniques qui traiteront les données personnelles du client, MEFERI mettra à jour cette liste de sous-traitants et en informera le client conformément à la section 6.2 du présent DPA, en s’assurant que tout engagement de ce type est conforme aux exigences de sous-traitance énoncées dans le présent DPA, y compris la mise en œuvre de garanties de transfert de données appropriées si nécessaire.

6. Centres de réparation et prestataires logistiques agréés :

– Objectif : Fournir des services de réparation, de diagnostic, de remise à neuf et de logistique associés aux produits MEFERI dans le cadre de contrats de service applicables (tels que les plans de service MeCare) ou de conditions de garantie.

– Entité/Catégorie : Centres de service tiers agréés ou partenaires logistiques sous contrat avec MEFERI ou ses filiales pour effectuer la réparation et la manutention des appareils MEFERI. (MEFERI maintient un réseau de ces fournisseurs agréés ; les détails spécifiques du fournisseur pour une réparation donnée peuvent dépendre de l'emplacement du client et de la nature de la demande de service).

– Nature des données traitées : peuvent inclure :

– Coordonnées des représentants du Client coordonnant la réparation (nom, email, numéro de téléphone, adresse de livraison).

– Identifiants de l’appareil (numéro de série, modèle).

– Description du problème fournie par le Client.

Potentiellement, toutes les données personnelles restantes sur les appareils envoyés en réparation, si elles ne sont pas supprimées ou sécurisées par le Client avant l'expédition, peuvent être perdues. MEFERI demande aux Clients de sauvegarder et/ou de supprimer les données personnelles des appareils avant de les envoyer en réparation. Sa responsabilité en cas de perte de ces données est limitée par le Contrat principal ou les conditions de service applicables. Toutefois, si le centre de réparation accède à ces données dans le cadre d'un diagnostic ou d'une réparation, elles sont traitées comme des données personnelles du Client.

– Localisation du personnel de traitement : Les centres de réparation peuvent être situés dans différentes régions du monde, notamment au sein de l'EEE, de la RP de Chine ou d'autres pays, en fonction de la localisation du client et du réseau de service de MEFERI. MEFERI fournira des informations sur la localisation du centre de réparation spécifique sur demande ou dans le cadre du processus RMA, lorsque cela est possible.

– Garanties de protection des données : Tous les centres de réparation et prestataires logistiques agréés susceptibles d'accéder aux données personnelles des clients sont soumis à des accords écrits avec MEFERI (ou la filiale contractante de MEFERI) qui incluent des obligations de confidentialité et des conditions de traitement des données imposant des exigences de protection des données au moins équivalentes à celles énoncées dans le présent DPA. Pour tout transfert de données personnelles des clients vers des prestataires situés en dehors de l'Espace économique européen (EEE) dans un pays non jugé adéquat par la Commission européenne, MEFERI s'assure que des mécanismes de transfert appropriés au titre du chapitre V du RGPD, tels que les clauses contractuelles types (CCT), sont en place. L'accès aux données personnelles sur les appareils est limité à ce qui est nécessaire au diagnostic et à la réparation.