{"id":3865,"date":"2025-08-14T14:23:55","date_gmt":"2025-08-14T11:23:55","guid":{"rendered":"https:\/\/meferi.pontima.ru\/?page_id=3865"},"modified":"2025-11-01T11:49:20","modified_gmt":"2025-11-01T10:49:20","slug":"data-processing-agreement","status":"publish","type":"page","link":"https:\/\/meferi.com\/fr\/support-services\/legal-center\/data-processing-agreement\/","title":{"rendered":"Accord de traitement des donn\u00e9es"},"content":{"rendered":"
<\/div><\/div><\/div>
\r\n\t
\r\n\t\t
\r\n\t\t\t

Accord de traitement des donn\u00e9es<\/span><\/h1>\n
Le pr\u00e9sent accord de traitement des donn\u00e9es (\u00ab DPA \u00bb) est conclu entre :<\/div>\n
\n
\n


(1) MEFERI Technologies Co., Ltd., une soci\u00e9t\u00e9 constitu\u00e9e en vertu des lois chinoises, dont le si\u00e8ge social est situ\u00e9 au 5F, A5, Tianfu Software Park, n\u00b0 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, R\u00e9publique populaire de Chine (\u00ab MEFERI \u00bb, \u00ab Sous-traitant \u00bb, \u00ab Nous \u00bb, \u00ab Notre \u00bb ou \u00ab Nos \u00bb)\u00a0; et

(2) Le Client (\u00ab Client \u00bb, \u00ab Responsable du traitement \u00bb ou \u00ab Vous \u00bb), l'entit\u00e9 juridique qui a souscrit ou utilise les Services de MEFERI tels que d\u00e9finis ci-dessous et a accept\u00e9 les principales conditions de service de MEFERI ou un autre accord-cadre (\u00ab Accord principal \u00bb).

Le pr\u00e9sent DPA fait partie int\u00e9grante de l'Accord principal et refl\u00e8te l'accord des parties concernant le traitement des donn\u00e9es personnelles par MEFERI pour le compte du Client dans le cadre des Services.

En acceptant l'Accord principal, ou en acc\u00e9dant ou en utilisant les Services apr\u00e8s la mise \u00e0 disposition du pr\u00e9sent DPA, le Client conclut le pr\u00e9sent DPA en son nom et, dans la mesure requise par la loi applicable sur la protection des donn\u00e9es, au nom et pour le compte de ses utilisateurs autoris\u00e9s.

En cas de conflit entre le pr\u00e9sent DPA et l'Accord principal, le pr\u00e9sent DPA pr\u00e9vaudra dans la mesure de ce conflit en ce qui concerne le traitement des donn\u00e9es personnelles.

1. D\u00c9FINITIONS

1.1. \u00ab\u00a0Contrat principal\u00a0\u00bb d\u00e9signe le contrat \u00e9crit principal (pouvant \u00eatre intitul\u00e9 \u00ab\u00a0Conditions g\u00e9n\u00e9rales de service\u00a0\u00bb, \u00ab\u00a0Contrat-cadre de services\u00a0\u00bb, \u00ab\u00a0Contrat de service\u00a0\u00bb, \u00ab\u00a0Contrat d'abonnement\u00a0\u00bb ou autre) conclu entre le Client et MEFERI (ou une filiale contractante de MEFERI conform\u00e9ment \u00e0 l'article\u00a018.4) pour la fourniture des Services, y compris les conditions sp\u00e9cifiques d'un forfait de services (telles que \u00ab\u00a0MeCare (Nom du forfait)\u00a0: Conditions g\u00e9n\u00e9rales de service\u00a0\u00bb) et tout bon de commande ou cahier des charges ex\u00e9cut\u00e9 en vertu de celui-ci. Le pr\u00e9sent ATD fait partie int\u00e9grante du Contrat principal.

1.2. \u00ab Loi applicable en mati\u00e8re de protection des donn\u00e9es \u00bb d\u00e9signe toutes les lois et r\u00e9glementations applicables au traitement des donn\u00e9es personnelles en vertu du pr\u00e9sent DPA, y compris, mais sans s'y limiter, le RGPD et toutes les lois, r\u00e9glementations et l\u00e9gislations secondaires nationales de mise en \u0153uvre, telles que modifi\u00e9es ou mises \u00e0 jour de temps \u00e0 autre.

1.3. \u00ab Responsable du traitement \u00bb a le sens d\u00e9fini \u00e0 l'article 4(7) du RGPD. Aux fins du pr\u00e9sent ATD, le Client est le Responsable du traitement.

1.4. \u00ab Personne concern\u00e9e \u00bb a le sens d\u00e9fini \u00e0 l\u2019article 4(1) du RGPD.

1.5. \u00ab RGPD \u00bb d\u00e9signe le R\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil du 27 avril 2016 relatif \u00e0 la protection des personnes physiques \u00e0 l'\u00e9gard du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel et \u00e0 la libre circulation de ces donn\u00e9es, et abrogeant la directive 95\/46\/CE (r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es).

1.6. \u00ab Donn\u00e9es personnelles \u00bb a le sens d\u00e9fini \u00e0 l'article 4(1) du RGPD et se limite aux donn\u00e9es personnelles trait\u00e9es par MEFERI pour le compte du client dans le cadre de la fourniture des services, comme d\u00e9crit plus en d\u00e9tail \u00e0 l'annexe 1.

1.7. \u00ab Violation de donn\u00e9es personnelles \u00bb a le sens d\u00e9fini \u00e0 l'article 4(12) du RGPD, en particulier une violation de la s\u00e9curit\u00e9 entra\u00eenant la destruction, la perte, l'alt\u00e9ration, la divulgation non autoris\u00e9e ou l'acc\u00e8s accidentel ou ill\u00e9gal aux donn\u00e9es personnelles du client transmises, stock\u00e9es ou autrement trait\u00e9es par MEFERI.

1.8. \u00ab\u00a0Traitement\u00a0\u00bb a le sens d\u00e9fini \u00e0 l'article 4(2) du RGPD. Les termes \u00ab\u00a0traiter\u00a0\u00bb et \u00ab\u00a0trait\u00e9es\u00a0\u00bb doivent \u00eatre interpr\u00e9t\u00e9s en cons\u00e9quence.

1.9. \u00ab Sous-traitant \u00bb d\u00e9signe MEFERI Technologies Co., Ltd., (MEFERI) ou, le cas \u00e9ch\u00e9ant conform\u00e9ment \u00e0 l'article 18.4 du pr\u00e9sent DPA, la partie contractante affili\u00e9e de MEFERI au Contrat principal avec le Client.

1.10. \u00ab Services \u00bb d\u00e9signe les produits et services fournis par MEFERI au Client dans le cadre du Contrat principal, notamment la solution cloud Shadowalk MDM\/EMM de MEFERI, les composants h\u00e9berg\u00e9s dans le cloud de la solution CIAO Intelligent Shopper Assistant (ISA) pour laquelle MEFERI agit en tant que sous-traitant, ainsi que tous les services d'assistance associ\u00e9s (y compris, mais sans s'y limiter, les services fournis dans le cadre d'un contrat de service MEFERI MeCare) pour lesquels MEFERI traite les donn\u00e9es personnelles du Client. Par souci de clart\u00e9, les Services n'incluent pas les d\u00e9ploiements sur site des logiciels MEFERI o\u00f9 le traitement continu des donn\u00e9es personnelles est effectu\u00e9 uniquement dans l'environnement du Client, sauf si MEFERI acc\u00e8de \u00e0 ces syst\u00e8mes pour obtenir de l'assistance sur instruction du Client.

1.11. \u00ab Sous-traitant \u00bb d\u00e9signe tout tiers engag\u00e9 par MEFERI pour traiter les donn\u00e9es personnelles au nom du client dans le cadre des services.

1.12. \u00ab Mesures techniques et organisationnelles \u00bb ou \u00ab TOM \u00bb d\u00e9signe les mesures de s\u00e9curit\u00e9 mises en \u0153uvre par MEFERI pour prot\u00e9ger les donn\u00e9es personnelles, telles que d\u00e9crites plus en d\u00e9tail \u00e0 l'annexe 2.

1.13. \u00ab Solutions de partenaires tiers \u00bb d\u00e9signe les logiciels ou services fournis par des tiers qui peuvent \u00eatre int\u00e9gr\u00e9s ou utilis\u00e9s conjointement avec le mat\u00e9riel ou les services de MEFERI, tels que les solutions de paiement (par exemple, WorldLine \u00ab Tap on Mobile \u00bb) ou les logiciels de num\u00e9risation en libre-service (par exemple, 4MAX \u00ab Scan & Go \u00bb), lorsque le client peut avoir une relation contractuelle directe avec ce tiers.

2. R\u00d4LES ET RESPONSABILIT\u00c9S

2.1. R\u00f4les des parties\u00a0: Le client est le responsable du traitement et MEFERI est le sous-traitant des donn\u00e9es personnelles du client. Chaque partie se conformera \u00e0 ses obligations respectives en vertu de la l\u00e9gislation applicable en mati\u00e8re de protection des donn\u00e9es.

2.2. Obligations du client en tant que responsable du traitement : Le client d\u00e9clare et garantit que :

a. Elle s'est conform\u00e9e et continuera de se conformer \u00e0 toutes les dispositions applicables de la loi applicable en mati\u00e8re de protection des donn\u00e9es concernant son traitement des donn\u00e9es personnelles et \u00e0 toutes les instructions de traitement qu'elle donne \u00e0 MEFERI\u00a0;

b. Elle est seule responsable de l'exactitude, de la qualit\u00e9 et de la l\u00e9galit\u00e9 des Donn\u00e9es Personnelles et des moyens par lesquels elle a acquis les Donn\u00e9es Personnelles, y compris l'obtention de tous les consentements n\u00e9cessaires, la fourniture de tous les avis n\u00e9cessaires et la possession d'une base juridique valide pour le Traitement des Donn\u00e9es Personnelles par MEFERI conform\u00e9ment au pr\u00e9sent DPA et \u00e0 l'Accord Principal ; et

c. Ses instructions \u00e0 MEFERI pour le traitement des donn\u00e9es personnelles doivent \u00eatre conformes \u00e0 la loi applicable en mati\u00e8re de protection des donn\u00e9es.

2.3. Obligations de MEFERI en tant que sous-traitant : MEFERI doit :

a. Traiter les Donn\u00e9es Personnelles uniquement sur instruction document\u00e9e du Client, y compris en cas de transfert de Donn\u00e9es Personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou d'un \u00c9tat membre auquel MEFERI est soumise l'exige\u00a0; dans ce cas, MEFERI informera le Client de cette obligation l\u00e9gale avant le Traitement, sauf si cette loi interdit ces informations pour des motifs importants d'int\u00e9r\u00eat public (article 28(3)(a) du RGPD). Le Contrat principal et le pr\u00e9sent DPA constituent les instructions document\u00e9es du Client \u00e0 MEFERI pour le Traitement des Donn\u00e9es Personnelles.

b. Informer imm\u00e9diatement le Client si, de l'avis de MEFERI, une instruction enfreint la loi applicable en mati\u00e8re de protection des donn\u00e9es (article 28(3) du RGPD).

3. D\u00c9TAILS DU TRAITEMENT

3.1. L'objet du traitement, la dur\u00e9e du traitement, la nature et la finalit\u00e9 du traitement, les types de donn\u00e9es personnelles et les cat\u00e9gories de personnes concern\u00e9es sont d\u00e9finis \u00e0 l'annexe 1 (D\u00e9tails du traitement) du pr\u00e9sent DPA.

4. CONFIDENTIALIT\u00c9

4.1. MEFERI doit s'assurer que son personnel autoris\u00e9 \u00e0 traiter les donn\u00e9es personnelles s'est engag\u00e9 \u00e0 la confidentialit\u00e9 ou est soumis \u00e0 une obligation l\u00e9gale de confidentialit\u00e9 appropri\u00e9e (article 28(3)(b) du RGPD).

5. S\u00c9CURIT\u00c9 DU TRAITEMENT

5.1. Compte tenu de l'\u00e9tat de la technique, des co\u00fbts de mise en \u0153uvre et de la nature, de la port\u00e9e, du contexte et des finalit\u00e9s du traitement ainsi que du risque de probabilit\u00e9 et de gravit\u00e9 variables pour les droits et libert\u00e9s des personnes physiques, MEFERI doit mettre en \u0153uvre et maintenir des mesures techniques et organisationnelles appropri\u00e9es pour garantir un niveau de s\u00e9curit\u00e9 adapt\u00e9 au risque, comme d\u00e9crit \u00e0 l'annexe 2 (Mesures techniques et organisationnelles) (article 28(3)(c) et article 32 du RGPD).

5.2. MEFERI peut mettre \u00e0 jour ou modifier les TOM de temps \u00e0 autre, \u00e0 condition que ces mises \u00e0 jour et modifications n'entra\u00eenent pas de d\u00e9gradation mat\u00e9rielle de la s\u00e9curit\u00e9 globale des Services.

6. SOUS-TRAITEMENT

6.1. Autorisation g\u00e9n\u00e9rale : Le Client accorde \u00e0 MEFERI une autorisation \u00e9crite g\u00e9n\u00e9rale pour engager des sous-traitants pour traiter des donn\u00e9es personnelles au nom du Client dans le cadre de la fourniture des Services (article 28(2) du RGPD).

6.2. Sous-traitants actuels et notification des nouveaux sous-traitants\u00a0: MEFERI doit tenir \u00e0 jour une liste de ses sous-traitants actuels, laquelle doit \u00eatre mise \u00e0 la disposition du Client sur demande ou via une page web d\u00e9di\u00e9e (voir Annexe\u00a03). MEFERI doit informer le Client de tout changement pr\u00e9vu concernant l'ajout ou le remplacement d'autres sous-traitants au moins trente (30) jours calendaires \u00e0 l'avance, lui donnant ainsi la possibilit\u00e9 de s'y opposer.

6.3. Opposition aux nouveaux sous-traitants\u00a0: Si le Client a des motifs raisonnables de s'opposer au recours \u00e0 un nouveau sous-traitant par MEFERI, il devra en informer MEFERI dans les meilleurs d\u00e9lais par \u00e9crit, dans les dix (10) jours ouvrables suivant la r\u00e9ception de la notification. En cas d'opposition du Client, MEFERI d\u00e9ploiera tous les efforts raisonnables pour lui proposer une modification des Services ou lui recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services afin d'\u00e9viter le traitement de donn\u00e9es personnelles par le nouveau sous-traitant auquel il s'oppose, sans imposer de charge excessive au Client. Si MEFERI n'est pas en mesure de mettre \u00e0 disposition cette modification dans un d\u00e9lai raisonnable, ne d\u00e9passant pas trente (30) jours calendaires, le Client pourra r\u00e9silier la partie des Services concern\u00e9e qui ne peut \u00eatre fournie par MEFERI sans le recours au nouveau sous-traitant auquel il s'oppose, en adressant une notification \u00e9crite \u00e0 MEFERI.

6.4. Obligations du sous-traitant : MEFERI doit s'assurer que tout sous-traitant qu'il engage est soumis \u00e0 un contrat \u00e9crit ou \u00e0 un autre acte juridique en vertu du droit de l'Union ou du droit des \u00c9tats membres imposant des obligations en mati\u00e8re de protection des donn\u00e9es qui sont au moins \u00e9quivalentes \u00e0 celles impos\u00e9es \u00e0 MEFERI en vertu du pr\u00e9sent DPA, en particulier en fournissant des garanties suffisantes pour mettre en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es de mani\u00e8re \u00e0 ce que le traitement r\u00e9ponde aux exigences de la l\u00e9gislation applicable en mati\u00e8re de protection des donn\u00e9es (article 28(4) du RGPD).

6.5. Responsabilit\u00e9 : MEFERI restera enti\u00e8rement responsable envers le Client de l'ex\u00e9cution des obligations de protection des donn\u00e9es de ses Sous-traitants.

7. DROITS DES PERSONNES CONCERN\u00c9ES

7.1. Compte tenu de la nature du traitement, MEFERI assistera le Client en mettant en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es, dans la mesure du possible, pour l'ex\u00e9cution de l'obligation du Client de r\u00e9pondre aux demandes d'exercice des droits de la personne concern\u00e9e \u00e9nonc\u00e9s au chapitre III du RGPD (par exemple, droit d'acc\u00e8s, de rectification, d'effacement, etc.) (article 28(3)(e) RGPD).

7.2. Si MEFERI re\u00e7oit une demande directe d'une personne concern\u00e9e concernant les donn\u00e9es personnelles du client, elle en informera imm\u00e9diatement le client et ne r\u00e9pondra pas \u00e0 la personne concern\u00e9e, sauf pour confirmer que la demande le concerne. Le client est tenu de r\u00e9pondre \u00e0 toutes ces demandes.

8. ASSISTANCE AU RESPONSABLE DU TRAITEMENT

8.1. Compte tenu de la nature du traitement et des informations dont dispose MEFERI, MEFERI fournira une assistance raisonnable au client pour garantir le respect de ses obligations en vertu des articles 32 \u00e0 36 du RGPD (s\u00e9curit\u00e9 du traitement, notification de violation de donn\u00e9es personnelles \u00e0 l'autorit\u00e9 de contr\u00f4le, communication d'une violation de donn\u00e9es personnelles \u00e0 la personne concern\u00e9e, analyse d'impact relative \u00e0 la protection des donn\u00e9es et consultation pr\u00e9alable de l'autorit\u00e9 de contr\u00f4le) (article 28(3)(f) du RGPD).

9. NOTIFICATION DE VIOLATION DE DONN\u00c9ES PERSONNELLES

9.1. Notification au client :

MEFERI doit informer le Client sans retard injustifi\u00e9, et en tout \u00e9tat de cause dans les quarante-huit (48) heures, apr\u00e8s avoir pris connaissance d'une violation de donn\u00e9es personnelles affectant les donn\u00e9es personnelles du Client (article 28(3)(f) et article 33(2) du RGPD).

9.2. Cette notification doit, dans la mesure du possible, d\u00e9crire\u00a0:

a. La nature de la violation de donn\u00e9es personnelles, y compris, si possible, les cat\u00e9gories et le nombre approximatif de personnes concern\u00e9es et les cat\u00e9gories et le nombre approximatif d'enregistrements de donn\u00e9es personnelles concern\u00e9s ;

b. Le nom et les coordonn\u00e9es du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es de MEFERI ou d\u2019un autre point de contact o\u00f9 des informations suppl\u00e9mentaires peuvent \u00eatre obtenues\u00a0;

c. Les cons\u00e9quences probables de la violation des donn\u00e9es personnelles\u00a0; et

d. Les mesures prises ou propos\u00e9es par MEFERI pour rem\u00e9dier \u00e0 la violation des donn\u00e9es personnelles, y compris, le cas \u00e9ch\u00e9ant, les mesures visant \u00e0 att\u00e9nuer ses \u00e9ventuels effets n\u00e9gatifs.

9.3. Lorsque, et dans la mesure o\u00f9, il n'est pas possible de fournir toutes les informations en m\u00eame temps, celles-ci peuvent \u00eatre fournies par \u00e9tapes sans retard suppl\u00e9mentaire injustifi\u00e9.

9.4. Le Client est seul responsable du respect de ses propres obligations de notification de violation de donn\u00e9es en vertu de la l\u00e9gislation applicable en mati\u00e8re de protection des donn\u00e9es. La notification ou la r\u00e9ponse de MEFERI \u00e0 une violation de donn\u00e9es personnelles en vertu du pr\u00e9sent article 9 ne sera pas interpr\u00e9t\u00e9e comme une reconnaissance par MEFERI d'une quelconque faute ou responsabilit\u00e9 concernant la violation de donn\u00e9es personnelles.

10. SUPPRESSION OU RESTITUTION DES DONN\u00c9ES

10.1. Au choix du Client, MEFERI supprimera ou restituera toutes les Donn\u00e9es personnelles au Client apr\u00e8s la fin de la prestation des Services relatifs au Traitement, et supprimera les copies existantes, sauf si le droit de l'Union ou des \u00c9tats membres exige la conservation des Donn\u00e9es personnelles (article 28(3)(g) du RGPD). Les d\u00e9lais sp\u00e9cifiques de conservation et de suppression seront ceux d\u00e9finis dans le Contrat principal ou convenus autrement.

11. AUDITS ET INSPECTIONS

11.1. MEFERI doit mettre \u00e0 la disposition du Client toutes les informations n\u00e9cessaires pour d\u00e9montrer le respect des obligations pr\u00e9vues \u00e0 l'article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, men\u00e9s par le Client ou un autre auditeur mandat\u00e9 par le Client (article 28(3)(h) du RGPD).

11.2. Ces audits seront r\u00e9alis\u00e9s pendant les heures normales d'ouverture de MEFERI, moyennant un pr\u00e9avis \u00e9crit raisonnable d'au moins trente (30) jours calendaires, et ne devront pas perturber de mani\u00e8re d\u00e9raisonnable les activit\u00e9s commerciales de MEFERI. Le Client et MEFERI conviendront mutuellement de la port\u00e9e, du calendrier et de la dur\u00e9e de l'audit.

11.3. Le Client s'assurera que tout auditeur agit dans le cadre d'un accord de confidentialit\u00e9 \u00e9crit. Le Client prendra en charge ses propres frais et ceux de son auditeur mandat\u00e9. Si l'audit r\u00e9v\u00e8le une violation substantielle du pr\u00e9sent DPA par MEFERI, MEFERI prendra en charge les frais raisonnables de l'audit, dans la limite d'un plafond convenu d'un commun accord.

11.4. Dans la mesure permise par la loi, MEFERI peut satisfaire \u00e0 ses obligations d'audit en fournissant au Client les certifications pertinentes d'un auditeur tiers ind\u00e9pendant (par exemple, ISO 27001, SOC 2 Type II), ou des r\u00e9sum\u00e9s de celles-ci, sous r\u00e9serve des obligations de confidentialit\u00e9 appropri\u00e9es.

12. TRANSFERTS INTERNATIONAUX DE DONN\u00c9ES

12.1. MEFERI ne transf\u00e9rera pas de donn\u00e9es personnelles vers un pays situ\u00e9 en dehors de l'Espace \u00e9conomique europ\u00e9en (EEE) ou vers un pays jug\u00e9 ad\u00e9quat par la Commission europ\u00e9enne en vertu de l'article 45 du RGPD sans s'assurer que des garanties appropri\u00e9es sont en place comme l'exige le chapitre V du RGPD (par exemple, en concluant des clauses contractuelles types approuv\u00e9es par la Commission europ\u00e9enne).

12.2. Les principaux lieux de traitement des donn\u00e9es pour les Services, notamment l'h\u00e9bergement des Donn\u00e9es Personnelles des Clients par MEFERI sur son infrastructure cloud principale, se situeront dans l'Espace \u00e9conomique europ\u00e9en (EEE), dans la r\u00e9gion Amazon Web Services (AWS) eu-ouest-3 (Paris, France). De plus amples informations sur les sous-traitants, notamment les fournisseurs d'infrastructure cloud et leurs localisations, sont fournies \u00e0 l'annexe 3.

12.3. Si MEFERI transf\u00e8re des donn\u00e9es personnelles \u00e0 un sous-traitant dans un pays tiers (hors EEE ou non jug\u00e9 ad\u00e9quat par la Commission europ\u00e9enne) n'assurant pas un niveau de protection ad\u00e9quat, MEFERI s'assurera que ce transfert est couvert par un m\u00e9canisme de transfert appropri\u00e9 en vertu du chapitre V du RGPD, tel que les clauses contractuelles types. Cela inclut les transferts susceptibles d'avoir lieu si MEFERI utilise les services d'un sous-traitant dont l'infrastructure ou le personnel de support sont situ\u00e9s dans ces pays tiers, m\u00eame si le lieu de traitement principal sp\u00e9cifi\u00e9 \u00e0 l'article 12.2 se trouve dans l'EEE.

13. UTILISATION PAR MEFERI DE SOLUTIONS DE PARTENAIRES TIERS

13.1. Le client reconna\u00eet que le mat\u00e9riel ou les services de MEFERI peuvent \u00eatre utilis\u00e9s conjointement avec des solutions de partenaires tiers (par exemple, des solutions de traitement des paiements sur des appareils CIAO, des logiciels de gestion de vente au d\u00e9tail sp\u00e9cifiques).

13.2. Si le Client choisit d'utiliser les Solutions de Partenaires Tiers, il peut conclure une relation contractuelle directe avec les fournisseurs de ces solutions. Dans ce cas, le fournisseur tiers peut agir en qualit\u00e9 de Responsable du traitement ou de Sous-traitant des Donn\u00e9es personnelles qu'il traite dans le cadre de ses services, conform\u00e9ment \u00e0 l'accord conclu entre le Client et ce tiers.

13.3. Le pr\u00e9sent ATD r\u00e9git uniquement le traitement des donn\u00e9es personnelles par MEFERI en tant que sous-traitant pour le compte du Client. Il ne s'applique pas aux activit\u00e9s de traitement effectu\u00e9es par des fournisseurs de solutions partenaires tiers avec lesquels le Client entretient une relation directe, sauf si ces fournisseurs agissent en tant que sous-traitant ult\u00e9rieur de MEFERI conform\u00e9ment \u00e0 l'article 6 du pr\u00e9sent ATD.

14. RESPONSABILIT\u00c9 ET INDEMNIT\u00c9

14.1. La responsabilit\u00e9 de chaque partie en vertu du pr\u00e9sent DPA sera soumise aux limitations et exclusions de responsabilit\u00e9 \u00e9nonc\u00e9es dans l'Accord principal.

14.2. Le Client doit indemniser et d\u00e9gager MEFERI de toute responsabilit\u00e9 contre toutes r\u00e9clamations, actions, r\u00e9clamations de tiers, pertes, dommages et d\u00e9penses (y compris les honoraires juridiques raisonnables) encourus par MEFERI d\u00e9coulant de toute violation par le Client de ses obligations en vertu du pr\u00e9sent DPA ou de la loi applicable sur la protection des donn\u00e9es.

15. DUR\u00c9E ET R\u00c9SILIATION

15.1. Le pr\u00e9sent DPA entrera en vigueur \u00e0 la date d'entr\u00e9e en vigueur du Contrat principal et restera en vigueur jusqu'\u00e0 la r\u00e9siliation ou l'expiration du Contrat principal, ou jusqu'\u00e0 ce que MEFERI cesse de traiter les donn\u00e9es personnelles pour le compte du Client, selon la derni\u00e8re \u00e9ventualit\u00e9.

15.2. Les obligations de confidentialit\u00e9, de suppression\/restitution des donn\u00e9es et toutes les dispositions qui, de par leur nature, devraient survivre \u00e0 la r\u00e9siliation, survivront \u00e0 la r\u00e9siliation ou \u00e0 l'expiration du pr\u00e9sent DPA.

16. MODIFICATIONS DE CE DPA

16.1. MEFERI peut modifier le pr\u00e9sent DPA de temps \u00e0 autre en publiant la version modifi\u00e9e sur son site Web ou en informant autrement le Client.

16.2. Si MEFERI apporte une modification substantielle au pr\u00e9sent ATD, elle en informera le Client dans un d\u00e9lai raisonnable (par exemple, par courriel adress\u00e9 au contact d\u00e9sign\u00e9 du Client ou par notification dans les Services). L'utilisation continue des Services par le Client apr\u00e8s ce d\u00e9lai de pr\u00e9avis constituera une acceptation du ATD modifi\u00e9. Si le Client s'oppose \u00e0 une modification substantielle, il pourra r\u00e9silier le Contrat principal conform\u00e9ment \u00e0 ses conditions.

17. LOI APPLICABLE ET R\u00c9SOLUTION DES LITIGES

17.1. Loi applicable : Le pr\u00e9sent DPA sera r\u00e9gi et interpr\u00e9t\u00e9 conform\u00e9ment aux lois stipul\u00e9es comme loi applicable dans l'Accord principal conclu entre le Client et l'entit\u00e9 MEFERI partie \u00e0 cet Accord principal (\u00ab Entit\u00e9 contractante MEFERI \u00bb).

17.2. R\u00e9solution des litiges :

a. Les Parties s'efforceront de r\u00e9soudre tout litige, controverse ou r\u00e9clamation d\u00e9coulant du pr\u00e9sent ATD, de son interpr\u00e9tation, de sa validit\u00e9, de sa violation ou de sa r\u00e9siliation (le \u00ab\u00a0Litige\u00a0\u00bb) ou s'y rapportant \u00e0 l'amiable, par des n\u00e9gociations de bonne foi entre leurs repr\u00e9sentants autoris\u00e9s. b. Si un Litige ne peut \u00eatre r\u00e9solu par voie de n\u00e9gociation dans les trente (30) jours calendaires suivant la notification \u00e9crite d'une Partie engageant les n\u00e9gociations, ce Litige sera r\u00e9solu conform\u00e9ment au m\u00e9canisme de r\u00e8glement des litiges (par exemple, arbitrage ou proc\u00e9dure judiciaire) et au lieu sp\u00e9cifi\u00e9s dans l'Accord principal. c. Si l'Accord principal pr\u00e9voit un arbitrage\u00a0:

i. Un tel arbitrage sera le principal m\u00e9canisme de r\u00e9solution des litiges dans le cadre du pr\u00e9sent DPA. ii. Sauf indication contraire dans l'Accord principal, ou si l'Accord principal ne pr\u00e9cise pas les d\u00e9tails de l'arbitrage pour les questions li\u00e9es au pr\u00e9sent DPA, les Parties conviennent que tout litige de ce type peut \u00eatre soumis \u00e0 un arbitrage administr\u00e9 par une institution d'arbitrage reconnue au niveau international et convenue d'un commun accord (telle que la Cour d'arbitrage international de Shenzhen (SCIA), le Centre d'arbitrage international de Singapour (SIAC) ou le Centre d'arbitrage international de Hong Kong (HKIAC), ou une institution appropri\u00e9e au sein de l'Union europ\u00e9enne si l'Entit\u00e9 MEFERI contractante est une filiale bas\u00e9e dans l'UE). iii. L'arbitrage sera men\u00e9 en anglais. Le si\u00e8ge ou le lieu l\u00e9gal de l'arbitrage sera celui sp\u00e9cifi\u00e9 dans l'Accord principal ou, s'il n'est pas sp\u00e9cifi\u00e9 ou si un lieu diff\u00e9rent est convenu d'un commun accord pour un litige sp\u00e9cifique, un lieu choisi d'un commun accord par les Parties, ou \u00e0 d\u00e9faut d'un tel accord dans un d\u00e9lai raisonnable, par l'Entit\u00e9 MEFERI contractante. iv. La sentence arbitrale sera d\u00e9finitive et contraignante pour les deux Parties, sous r\u00e9serve de tout droit d'appel autoris\u00e9 par les lois du si\u00e8ge de l'arbitrage pour injustice proc\u00e9durale ou manque de comp\u00e9tence.

d. Si l'Accord principal pr\u00e9voit un litige judiciaire, les tribunaux qui y sont sp\u00e9cifi\u00e9s seront comp\u00e9tents, sous r\u00e9serve de l'article 17.3 ci-dessous.

17.3. Consid\u00e9rations obligatoires relatives \u00e0 la loi sur la protection des donn\u00e9es : a. Nonobstant toute autre disposition du pr\u00e9sent DPA ou de l'Accord principal, lorsque la loi applicable en mati\u00e8re de protection des donn\u00e9es (y compris, mais sans s'y limiter, le RGPD) accorde \u00e0 une personne concern\u00e9e des droits obligatoires d'intenter une action devant les tribunaux de sa r\u00e9sidence habituelle ou de son lieu de travail, ou du lieu o\u00f9 une violation pr\u00e9sum\u00e9e a \u00e9t\u00e9 commise, ou de d\u00e9poser une plainte aupr\u00e8s d'une autorit\u00e9 de contr\u00f4le, ces droits ne seront pas affect\u00e9s par les termes du pr\u00e9sent DPA. b. Lorsque le RGPD s'applique, MEFERI et le Client veilleront \u00e0 ce que tout choix de loi applicable ou de juridiction n'emp\u00eache pas les personnes concern\u00e9es de b\u00e9n\u00e9ficier des dispositions obligatoires de la loi de l'\u00c9tat membre de l'Union europ\u00e9enne dans lequel elles r\u00e9sident.

17.4. Poursuite de l'ex\u00e9cution : En attendant la r\u00e9solution d'un litige, les parties continueront d'ex\u00e9cuter leurs obligations respectives en vertu du pr\u00e9sent DPA dans la mesure du possible, \u00e0 moins que le DPA ou l'accord principal ne soit r\u00e9sili\u00e9.

18. COORDONN\u00c9ES \/ PROTECTION DES DONN\u00c9ES

18.1. Sous-traitant\u00a0: MEFERI Technologies Co., Ltd. Adresse\u00a0: 5F, A5, Tianfu Software Park, n\u00b0\u00a01129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, R\u00e9publique populaire de Chine

\u2013 E-mail pour les demandes relatives \u00e0 la protection des donn\u00e9es : legal@meferi.com<\/a>

18.2. Demandes de protection des donn\u00e9es et DPO (pour MEFERI Technologies Co., Ltd.) : Toutes les demandes relatives \u00e0 la protection des donn\u00e9es en vertu du pr\u00e9sent DPA doivent \u00eatre adress\u00e9es \u00e0 l'adresse e-mail indiqu\u00e9e pour MEFERI Technologies Co., Ltd. dans la section 18.1 ci-dessus.

18.3. Repr\u00e9sentant de MEFERI Technologies Co., Ltd. dans l'UE (conform\u00e9ment \u00e0 l'article 27 du RGPD) : Nom du repr\u00e9sentant de MEFERI Poland Sp. z oo Adresse : Ul. Modelarska 18\/2, 40-142 Katowice, Pologne Adresse e-mail pour les demandes de renseignements sur la protection des donn\u00e9es dans l'UE (pour les personnes concern\u00e9es et les autorit\u00e9s de contr\u00f4le dans l'UE concernant le traitement par MEFERI Technologies Co., Ltd.) : poland@meferi.com<\/a>

18.4. Traitement par les filiales de MEFERI\u00a0: Lorsque le Client conclut un Contrat principal avec une filiale de MEFERI Technologies Co., Ltd. (par exemple, MEFERI Poland Sp. z oo) (\u00ab\u00a0Filtre MEFERI contractant\u00a0\u00bb), et que ce dernier agit en qualit\u00e9 de sous-traitant des donn\u00e9es personnelles en vertu de ce Contrat principal\u00a0:

a) Le pr\u00e9sent DPA s'applique aux activit\u00e9s de traitement effectu\u00e9es par la filiale contractante de MEFERI, et toutes les r\u00e9f\u00e9rences \u00e0 \u00ab MEFERI \u00bb ou au \u00ab Sous-traitant \u00bb dans le pr\u00e9sent document seront r\u00e9put\u00e9es faire r\u00e9f\u00e9rence \u00e0 cette filiale contractante de MEFERI.

b) Les coordonn\u00e9es pour toute demande de protection des donn\u00e9es relative au traitement par la filiale contractante de MEFERI sont celles pr\u00e9cis\u00e9es dans le Contrat principal ou communiqu\u00e9es au Client par la filiale contractante de MEFERI. Pour MEFERI Poland Sp. z oo, les coordonn\u00e9es sont les suivantes\u00a0: Adresse\u00a0: Ul. Modelarska 18\/2, 40-142 Katowice, Pologne

E-mail: poland@meferi.com<\/a>

T\u00e9l\u00e9phone : +48 734-143-579

c) La loi applicable et le r\u00e8glement des litiges pour le pr\u00e9sent DPA dans de tels cas seront d\u00e9termin\u00e9s par l'accord principal avec la filiale contractante de MEFERI.

19. ACCORD COMPLET

19.1. Le pr\u00e9sent DPA, y compris ses annexes, constitue l'int\u00e9gralit\u00e9 de l'accord entre les parties concernant l'objet des pr\u00e9sentes et remplace tous les accords, propositions ou repr\u00e9sentations ant\u00e9rieurs et contemporains, \u00e9crits ou oraux, concernant son objet.

EN FOI DE QUOI, les parties reconnaissent leur accord sur le pr\u00e9sent Contrat de traitement des donn\u00e9es \u00e0 compter de la date d'entr\u00e9e en vigueur du Contrat principal ou de l'utilisation des Services par le Client.

\u2014

ANNEXE 1<\/strong>

D\u00c9TAILS DU TRAITEMENT

Cette annexe 1 fait partie du DPA et d\u00e9crit le traitement des donn\u00e9es personnelles par MEFERI pour le compte du client.

A. LISTE DES PARTIES

Responsable(s) du traitement \/ Client(s) :

L'entit\u00e9 juridique ayant conclu le Contrat principal avec MEFERI pour la fourniture des Services. Le Client d\u00e9termine les finalit\u00e9s et les moyens du Traitement des Donn\u00e9es Personnelles.

Processeur(s) \/ MEFERI :

MEFERI Technologies Co., Ltd., ou, le cas \u00e9ch\u00e9ant conform\u00e9ment \u00e0 l'article 18.4 du pr\u00e9sent DPA, la partie contractante affili\u00e9e MEFERI \u00e0 l'accord principal avec le client, fournissant les services au client.

B. DESCRIPTION DU TRAITEMENT

1. Objet du traitement :

Le traitement des donn\u00e9es personnelles dans le cadre de la fourniture, de la maintenance, du support et de l'am\u00e9lioration des services MEFERI souscrits par le client en vertu du contrat principal, y compris, mais sans s'y limiter, la solution cloud MEFERI Shadowalk MDM\/EMM et les composants h\u00e9berg\u00e9s dans le cloud de la solution CIAO Intelligent Shopper Assistant (ISA).

2. Dur\u00e9e du traitement :

Pendant la dur\u00e9e de l'accord principal entre MEFERI et le client, et jusqu'\u00e0 ce que toutes les donn\u00e9es personnelles soient supprim\u00e9es ou restitu\u00e9es conform\u00e9ment \u00e0 l'article 10 du DPA.

3. Nature et finalit\u00e9 du traitement :

\u2013 Pour la solution cloud MEFERI Shadowalk MDM\/EMM\u00a0: permettre au client de g\u00e9rer, s\u00e9curiser, surveiller et prendre en charge \u00e0 distance sa flotte d'appareils mobiles. Cela comprend le provisionnement des appareils, la gestion de la configuration, la gestion des applications, l'application des politiques de s\u00e9curit\u00e9, le suivi des appareils (si activ\u00e9 par le client), les diagnostics \u00e0 distance et la g\u00e9n\u00e9ration de rapports sur l'\u00e9tat et l'utilisation des appareils pour le client.

\u2013 Pour les composants Cloud ISA MEFERI et CIAO (o\u00f9 MEFERI est le sous-traitant)\u00a0: faciliter le fonctionnement de la solution d'assistance client intelligente pour le client (d\u00e9taillant). Cela peut inclure l'authentification des utilisateurs, la gestion des listes de courses, le traitement des informations produit, les donn\u00e9es d'interaction client (pour les analyses fournies au d\u00e9taillant) et l'int\u00e9gration avec des services tiers selon les directives du client.

\u2013 Contrats de service MeCare : Pour les services MeCare MEFERI (o\u00f9 MEFERI agit en tant que sous-traitant) : Fournir des services contractuels d'assistance, de maintenance, de r\u00e9paration, de surveillance et de gestion des appareils tels que d\u00e9crits dans les \u00ab Conditions g\u00e9n\u00e9rales de service MeCare (nom du plan) \u00bb applicables et le Guide des services d'assistance MeCare, ce qui peut impliquer l'acc\u00e8s, la collecte ou le traitement des donn\u00e9es personnelles stock\u00e9es sur ou transmises par les appareils du client, ou fournies par le client dans le cadre de la prestation de services.

\u2013 Pour les services d\u2019assistance : fournir une assistance technique, un d\u00e9pannage, une maintenance et des mises \u00e0 jour pour les services, ce qui peut impliquer l\u2019acc\u00e8s aux donn\u00e9es personnelles trait\u00e9es dans le cadre des services ou sur les syst\u00e8mes du client \u00e0 la demande et selon les instructions du client.

\u2013 Se conformer aux instructions document\u00e9es du Client telles qu\u2019\u00e9nonc\u00e9es dans le pr\u00e9sent DPA et dans l\u2019Accord principal.

\u2013 Se conformer aux obligations l\u00e9gales applicables.

4. Cat\u00e9gories de personnes concern\u00e9es :

\u2013 Employ\u00e9s, sous-traitants et utilisateurs autoris\u00e9s du Client : personnes qui administrent ou utilisent les Services au nom du Client (par exemple, les administrateurs informatiques utilisant Shadowalk, le personnel de vente au d\u00e9tail g\u00e9rant ou utilisant CIAO).

\u2013 Utilisateurs finaux des appareils g\u00e9r\u00e9s par le Client (pour Shadowalk) : personnes (par exemple, les employ\u00e9s du Client) utilisant des ordinateurs mobiles ou d'autres appareils g\u00e9r\u00e9s par le Client via la solution Shadowalk.

\u2013 Clients du client (acheteurs) (pour CIAO, si MEFERI traite leurs donn\u00e9es personnelles dans un backend cloud pour le compte du client d\u00e9taillant) : personnes utilisant les appareils ISA CIAO dans le magasin du d\u00e9taillant.

5. Types de donn\u00e9es personnelles trait\u00e9es :

Les types sp\u00e9cifiques de donn\u00e9es personnelles trait\u00e9es d\u00e9pendent des services utilis\u00e9s par le client et de la mani\u00e8re dont il les configure et les utilise. Les donn\u00e9es personnelles peuvent inclure\u00a0:

\u2013 Compte utilisateur et informations de contact : nom, adresse e-mail, nom d'utilisateur, mots de passe, num\u00e9ro de t\u00e9l\u00e9phone, intitul\u00e9 de poste, service, identifiant d'employ\u00e9, r\u00f4le\/autorisations au sein des Services (le cas \u00e9ch\u00e9ant pour l'administration des services par le Client).

\u2013 Informations sur l'appareil (pour Shadowalk) : identifiants de l'appareil (par exemple, num\u00e9ro de s\u00e9rie, IMEI, adresse MAC, UDID), mod\u00e8le de l'appareil, version du syst\u00e8me d'exploitation, adresse IP, informations r\u00e9seau, param\u00e8tres de configuration de l'appareil, applications install\u00e9es, donn\u00e9es de localisation de l'appareil (si activ\u00e9es par le client).

\u2013 Donn\u00e9es d\u2019utilisation et de journal (pour Shadowalk et CIAO cloud) : Journaux syst\u00e8me, pistes d\u2019audit, journaux d\u2019activit\u00e9, donn\u00e9es de performance, donn\u00e9es de diagnostic li\u00e9es \u00e0 l\u2019utilisation des Services.

\u2013 Donn\u00e9es de l'acheteur (pour CIAO, le cas \u00e9ch\u00e9ant) : d\u00e9tails du compte de l'acheteur (par exemple, identifiant de fid\u00e9lit\u00e9, e-mail s'il est fourni par l'acheteur pour l'inscription via l'application du d\u00e9taillant sur CIAO), listes de courses, historique de num\u00e9risation des produits, donn\u00e9es d'interaction avec l'appareil CIAO.

\u2013 Donn\u00e9es d\u2019assistance : informations fournies par le client lors des interactions d\u2019assistance, y compris les coordonn\u00e9es, la description des probl\u00e8mes, les d\u00e9tails de configuration du syst\u00e8me et toutes les donn\u00e9es personnelles contenues dans les journaux ou les fichiers partag\u00e9s avec MEFERI \u00e0 des fins de d\u00e9pannage.

\u2013 Toute autre donn\u00e9e personnelle que le Client (ou ses utilisateurs autoris\u00e9s ou personnes concern\u00e9es) choisit de soumettre aux Services.

6. Cat\u00e9gories particuli\u00e8res de donn\u00e9es personnelles (le cas \u00e9ch\u00e9ant) :

MEFERI n'a pas l'intention de traiter des cat\u00e9gories particuli\u00e8res de donn\u00e9es personnelles (telles que d\u00e9finies \u00e0 l'article 9 du RGPD) pour le compte du Client. Le Client ne doit pas t\u00e9l\u00e9charger, fournir ou demander \u00e0 MEFERI de traiter des cat\u00e9gories particuli\u00e8res de donn\u00e9es personnelles, sauf accord \u00e9crit explicite avec MEFERI et sous r\u00e9serve des garanties appropri\u00e9es. Si le Client fournit ces donn\u00e9es sans accord pr\u00e9alable, il est seul responsable de la validit\u00e9 du fondement juridique de ce traitement.

\u2014

ANNEXE 2<\/strong>

S\u00c9CURIT\u00c9 TECHNIQUE ET ORGANISATIONNELLE MEASURES (TOMS)

La pr\u00e9sente annexe 2 d\u00e9crit les mesures techniques et organisationnelles mises en \u0153uvre par MEFERI pour garantir un niveau de s\u00e9curit\u00e9 appropri\u00e9 au traitement des donn\u00e9es personnelles. MEFERI peut mettre \u00e0 jour ces mesures de temps \u00e0 autre, \u00e0 condition que ces mises \u00e0 jour ne d\u00e9gradent pas mat\u00e9riellement la s\u00e9curit\u00e9 globale des Services.

1. Politiques et gouvernance de la s\u00e9curit\u00e9 de l\u2019information :

a. MEFERI maintient des politiques et des proc\u00e9dures internes con\u00e7ues pour prot\u00e9ger les donn\u00e9es personnelles.

b. Les responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information sont d\u00e9finies et attribu\u00e9es.

c. Des \u00e9valuations r\u00e9guli\u00e8res des risques sont effectu\u00e9es pour identifier et att\u00e9nuer les menaces pesant sur les donn\u00e9es personnelles.

2. S\u00e9curit\u00e9 du personnel :

a. Les employ\u00e9s et les sous-traitants ayant acc\u00e8s aux donn\u00e9es personnelles sont soumis \u00e0 des obligations de confidentialit\u00e9.

b. Une formation de sensibilisation \u00e0 la s\u00e9curit\u00e9 est dispens\u00e9e au personnel concern\u00e9 concernant ses responsabilit\u00e9s en mati\u00e8re de protection et de s\u00e9curit\u00e9 des donn\u00e9es.

c. Des v\u00e9rifications des ant\u00e9c\u00e9dents peuvent \u00eatre effectu\u00e9es pour le personnel occupant des postes sensibles, lorsque la loi applicable le permet.

3. Contr\u00f4le d\u2019acc\u00e8s physique :

a. Des mesures sont en place pour emp\u00eacher l'acc\u00e8s physique non autoris\u00e9 aux locaux et installations de MEFERI o\u00f9 les donn\u00e9es personnelles peuvent \u00eatre trait\u00e9es (par exemple, les bureaux).

b. Cela comprend les p\u00e9rim\u00e8tres de s\u00e9curit\u00e9, les syst\u00e8mes de contr\u00f4le d\u2019acc\u00e8s, la surveillance et la journalisation des acc\u00e8s physiques, le cas \u00e9ch\u00e9ant.

c. Pour les centres de donn\u00e9es utilis\u00e9s par MEFERI pour les Services (c'est-\u00e0-dire ceux de son principal fournisseur de services cloud, Amazon Web Services \u2013 AWS), MEFERI s'appuie sur les mesures de s\u00e9curit\u00e9 physique robustes mises en \u0153uvre par AWS.

4. Contr\u00f4le d'acc\u00e8s au syst\u00e8me (acc\u00e8s logique) :

a. L'acc\u00e8s aux syst\u00e8mes informatiques Le traitement des donn\u00e9es personnelles est limit\u00e9 au personnel autoris\u00e9.

b. Des identifiants d\u2019utilisateur uniques et des m\u00e9canismes d\u2019authentification forts (par exemple, des mots de passe complexes, une authentification multifactorielle lorsque cela est appropri\u00e9 et faisable) sont utilis\u00e9s.

c. Les droits d\u2019acc\u00e8s sont accord\u00e9s selon le principe du moindre privil\u00e8ge (contr\u00f4le d\u2019acc\u00e8s bas\u00e9 sur les r\u00f4les).

d. Des examens r\u00e9guliers des droits d\u2019acc\u00e8s sont effectu\u00e9s.

e. Des protocoles s\u00e9curis\u00e9s sont utilis\u00e9s pour l\u2019acc\u00e8s \u00e0 distance.

5. Contr\u00f4le d\u2019acc\u00e8s aux donn\u00e9es :

a. Des mesures sont en place pour garantir que les personnes autoris\u00e9es \u00e0 utiliser un syst\u00e8me de traitement de donn\u00e9es ne peuvent acc\u00e9der qu\u2019aux Donn\u00e9es personnelles auxquelles leur droit d\u2019acc\u00e8s se r\u00e9f\u00e8re, conform\u00e9ment aux r\u00f4les et responsabilit\u00e9s qui leur sont attribu\u00e9s.

b. Les donn\u00e9es personnelles ne sont pas lues, copi\u00e9es, modifi\u00e9es ou supprim\u00e9es sans autorisation pendant le traitement, l'utilisation et apr\u00e8s le stockage, sauf si cela est n\u00e9cessaire \u00e0 la fourniture des services ou selon les instructions du client.

c. La s\u00e9paration des t\u00e2ches et des donn\u00e9es est mise en \u0153uvre lorsque cela est appropri\u00e9.

6. Contr\u00f4le de la transmission :

a. Les donn\u00e9es personnelles sont prot\u00e9g\u00e9es contre toute lecture, copie, modification ou suppression non autoris\u00e9e pendant la transmission ou le transport \u00e9lectronique.

b. Les technologies de cryptage (par exemple, Transport Layer Security \u2013 TLS\/Secure Sockets Layer \u2013 SSL pour les donn\u00e9es en transit) sont utilis\u00e9es pour prot\u00e9ger les donn\u00e9es personnelles transmises sur les r\u00e9seaux publics.

c. Des m\u00e9thodes s\u00e9curis\u00e9es sont utilis\u00e9es pour le transfert de supports physiques contenant des donn\u00e9es personnelles, si de tels transferts ont lieu.

7. Contr\u00f4le d'entr\u00e9e :

a. Des mesures sont mises en \u0153uvre pour garantir qu'il soit possible de v\u00e9rifier et d'\u00e9tablir ult\u00e9rieurement si et par qui des donn\u00e9es personnelles ont \u00e9t\u00e9 saisies, modifi\u00e9es ou supprim\u00e9es des syst\u00e8mes de traitement des donn\u00e9es (par exemple, au moyen de journaux d'audit).

b. Des capacit\u00e9s de journalisation et d\u2019audit sont mises en \u0153uvre pour les activit\u00e9s critiques du syst\u00e8me li\u00e9es au traitement des donn\u00e9es personnelles.

8. Sauvegarde et r\u00e9cup\u00e9ration des donn\u00e9es\u00a0:

a. Des sauvegardes r\u00e9guli\u00e8res des Donn\u00e9es Personnelles Trait\u00e9es dans le cadre des Services sont effectu\u00e9es pour garantir la disponibilit\u00e9 et l'int\u00e9grit\u00e9 des donn\u00e9es.

b. Les proc\u00e9dures de sauvegarde et de r\u00e9cup\u00e9ration sont d\u00e9finies et test\u00e9es p\u00e9riodiquement.

c. Les sauvegardes sont stock\u00e9es en toute s\u00e9curit\u00e9.

9. Contr\u00f4le de la disponibilit\u00e9 et r\u00e9silience :

a. Les syst\u00e8mes sont con\u00e7us et configur\u00e9s pour garantir la disponibilit\u00e9 des donn\u00e9es personnelles et la r\u00e9silience des syst\u00e8mes et services de traitement.

b. Cela comprend des mesures telles que la redondance, la tol\u00e9rance aux pannes et les capacit\u00e9s de reprise apr\u00e8s sinistre, en exploitant principalement l'infrastructure du principal fournisseur de services cloud de MEFERI (Amazon Web Services \u2013 AWS).

10. S\u00e9gr\u00e9gation des donn\u00e9es :

a. Les donn\u00e9es personnelles du client sont logiquement s\u00e9par\u00e9es des donn\u00e9es des autres clients MEFERI au sein des Services.

11. D\u00e9veloppement de logiciels s\u00e9curis\u00e9s (pour les plateformes cloud de MEFERI)\u00a0:

a. Les pratiques et principes de codage s\u00e9curis\u00e9 sont int\u00e9gr\u00e9s au cycle de vie de d\u00e9veloppement logiciel de MEFERI pour ses plateformes cloud.

b. Des tests de s\u00e9curit\u00e9 (par exemple, analyse de vuln\u00e9rabilit\u00e9, tests de p\u00e9n\u00e9tration) sont effectu\u00e9s selon les besoins des Services.

c. Des proc\u00e9dures d\u2019identification, d\u2019\u00e9valuation et de correction des vuln\u00e9rabilit\u00e9s dans les logiciels de MEFERI sont en place.

12. Gestion des incidents :

a. MEFERI maintient un plan de r\u00e9ponse aux incidents et des proc\u00e9dures pour d\u00e9tecter, r\u00e9pondre et r\u00e9cup\u00e9rer des incidents de s\u00e9curit\u00e9, y compris les violations de donn\u00e9es personnelles.

b. Les incidents font l\u2019objet d\u2019une enqu\u00eate, sont document\u00e9s et des mesures correctives appropri\u00e9es sont prises.

c. Des plans de communication sont \u00e9tablis pour les notifications internes et externes comme l'exigent la loi applicable sur la protection des donn\u00e9es et le pr\u00e9sent DPA.

13. Gestion des sous-traitants :

a. Une diligence raisonnable est effectu\u00e9e avant d\u2019engager des sous-traitants afin de garantir qu\u2019ils peuvent fournir un niveau ad\u00e9quat de protection des donn\u00e9es.

b. Des accords contractuels sont en place avec les sous-traitants imposant des obligations de protection des donn\u00e9es qui sont au moins \u00e9quivalentes \u00e0 celles impos\u00e9es \u00e0 MEFERI en vertu du pr\u00e9sent DPA.

14. Surveillance et journalisation :

a. Les syst\u00e8mes traitant des donn\u00e9es personnelles sont surveill\u00e9s pour d\u00e9tecter les \u00e9v\u00e9nements de s\u00e9curit\u00e9 et les anomalies, lorsque cela est appropri\u00e9 et possible.

b. Les journaux pertinents sont collect\u00e9s et examin\u00e9s si n\u00e9cessaire pour d\u00e9tecter, enqu\u00eater et r\u00e9pondre aux incidents de s\u00e9curit\u00e9.

15. Cryptage :

a. Le cryptage des donn\u00e9es personnelles au repos est mis en \u0153uvre lorsque cela est appropri\u00e9 et techniquement possible (par exemple, pour le stockage de bases de donn\u00e9es contenant des donn\u00e9es personnelles sensibles).

b. Le cryptage des donn\u00e9es personnelles en transit sur les r\u00e9seaux publics est mis en \u0153uvre \u00e0 l'aide de protocoles standard de l'industrie (par exemple, TLS).

*(Le Client reconna\u00eet que les Mesures de s\u00e9curit\u00e9 sont sujettes au progr\u00e8s et au d\u00e9veloppement techniques et que MEFERI peut mettre \u00e0 jour ou modifier les Mesures de s\u00e9curit\u00e9 de temps \u00e0 autre, \u00e0 condition que ces mises \u00e0 jour et modifications n'entra\u00eenent pas la d\u00e9gradation de la s\u00e9curit\u00e9 globale des Services achet\u00e9s par le Client.)*

\u2014

ANNEXE 3<\/strong>

SOUS-TRAITANTS

Le Client autorise MEFERI \u00e0 utiliser les cat\u00e9gories de Sous-traitants \u00e9num\u00e9r\u00e9es ci-dessous. MEFERI tiendra \u00e0 jour une liste de ses Sous-traitants, qui sera mise \u00e0 la disposition du Client sur une page d\u00e9di\u00e9e de son site web. https:\/\/meferi.com\/support-services\/legal-center\/sub-processor-list\/<\/a>. et fournira cette liste au Client sur demande \u00e9crite adress\u00e9e au responsable de la protection des donn\u00e9es de MEFERI (par exemple, legal@meferi.com<\/a>).

Cat\u00e9gories de sous-traitants et finalit\u00e9 :

1. Fournisseurs d'infrastructure cloud\u00a0: \u2013 Sous-traitant et sp\u00e9cificit\u00e9s de l'h\u00e9bergement principal des services fournis au client dans le cadre du contrat principal\u00a0:

\u2013 Entit\u00e9 : Amazon Web Services EMEA SARL (ou l\u2019entit\u00e9 contractante AWS comp\u00e9tente pour les services fournis dans l\u2019EEE).

\u2013 Objectif : Fournir une infrastructure de cloud computing sous-jacente (serveurs, stockage, r\u00e9seau, bases de donn\u00e9es) pour l'h\u00e9bergement des services MEFERI (par exemple, Shadowalk Cloud, backend CIAO Cloud) fournis au client dans le cadre du contrat principal.

\u2013 Lieu de traitement des donn\u00e9es personnelles des clients (h\u00e9bergement principal) : la principale r\u00e9gion AWS pour le traitement des donn\u00e9es personnelles des clients dans le cadre du pr\u00e9sent DPA est eu-west-3 (Paris, France) au sein de l'Espace \u00e9conomique europ\u00e9en (EEE).

Garanties relatives au transfert de donn\u00e9es\u00a0: AWS fournit un addendum relatif au traitement des donn\u00e9es (ATD) comprenant des clauses contractuelles types (CCT) r\u00e9gissant les transferts de donn\u00e9es personnelles. Ces clauses s'appliquent si des donn\u00e9es sont trait\u00e9es ou transf\u00e9r\u00e9es par AWS vers des sites situ\u00e9s hors de l'EEE et non couverts par une d\u00e9cision d'ad\u00e9quation. Le client peut consulter l'addendum relatif au traitement des donn\u00e9es d'AWS \u00e0 l'adresse suivante\u00a0:  https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf <\/a>et des informations sur la conformit\u00e9 AWS au RGPD sur  https:\/\/aws.amazon.com\/compliance\/gdpr-center\/<\/a>

\u2013 Remarque sur les CDN (le cas \u00e9ch\u00e9ant)\u00a0: Si MEFERI utilise AWS CloudFront ou des services de r\u00e9seau de diffusion de contenu (CDN) similaires pour am\u00e9liorer les performances des Services, des copies de certaines donn\u00e9es (g\u00e9n\u00e9ralement des ressources statiques ou du contenu mis en cache, pouvant inclure ou non des Donn\u00e9es personnelles selon la configuration) peuvent \u00eatre temporairement mises en cache sur des sites AWS p\u00e9riph\u00e9riques \u00e0 l'\u00e9chelle mondiale. Cependant, le stockage officiel et le traitement principal des Donn\u00e9es personnelles du Client pour les Services resteront dans la r\u00e9gion AWS sp\u00e9cifi\u00e9e ci-dessus (eu-west-3). MEFERI s'assurera que toutes les Donn\u00e9es personnelles du Client diffus\u00e9es via le CDN sont trait\u00e9es conform\u00e9ment aux exigences du RGPD.

\u2013 Autres fournisseurs d\u2019infrastructure cloud pour les services fournis au client dans le cadre du contrat principal\u00a0:

\u2013 \u00c0 l\u2019heure actuelle, MEFERI n\u2019utilise pas d\u2019autres fournisseurs d\u2019infrastructure cloud tiers pour l\u2019h\u00e9bergement principal ou la fourniture directe des Services d\u00e9finis dans l\u2019Accord principal, au-del\u00e0 de ce qui est d\u00e9crit ci-dessus.

2. Fournisseurs de services de communication :

\u2013 Objectif : Faciliter les communications essentielles au Client ou \u00e0 ses utilisateurs autoris\u00e9s dans le cadre de la fourniture et de l\u2019utilisation des Services (par exemple, la livraison par courrier \u00e9lectronique pour les notifications de service, les r\u00e9initialisations de mot de passe, les alertes de s\u00e9curit\u00e9 et la livraison par SMS pour les alertes critiques ou les codes d\u2019authentification \u00e0 deux facteurs).

\u2013 Sous-traitants sp\u00e9cifiques utilis\u00e9s :

\u2013 Pour les communications par courrier \u00e9lectronique\u00a0:

\u2013 Entit\u00e9 : Amazon Web Services EMEA SARL (utilisant Amazon Simple Email Service \u2013 SES).

\u2013 Objectif sp\u00e9cifique de MEFERI : Envoyer des notifications par courrier \u00e9lectronique transactionnelles et li\u00e9es aux services aux utilisateurs autoris\u00e9s du Client (par exemple, alertes de compte, r\u00e9initialisations de mot de passe, mises \u00e0 jour de service, informations de s\u00e9curit\u00e9 critiques) en relation avec les Services.

\u2013 Lieu de traitement\u00a0: L'infrastructure d'envoi des e-mails est principalement situ\u00e9e dans les r\u00e9gions AWS utilis\u00e9es par MEFERI pour ses services (par exemple, configur\u00e9e pour l'envoi depuis une r\u00e9gion de l'EEE comme eu-west-1 Irlande ou eu-west-3 Paris, lorsque cela est possible). Le traitement des donn\u00e9es personnelles (telles que les adresses e-mail et leur contenu) via SES est r\u00e9gi par l'addendum relatif au traitement des donn\u00e9es AWS.

\u2013 Garanties de transfert de donn\u00e9es\u00a0: couvertes par l'addendum relatif au traitement des donn\u00e9es d'Amazon Web Services, qui comprend des clauses contractuelles types. Disponible.

\u00e0: https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf.<\/a>

\u2013 Pour les communications SMS :

\u2013 Entit\u00e9 : Twilio Inc.

\u2013 Objectif sp\u00e9cifique de MEFERI : pour envoyer des notifications par SMS aux utilisateurs autoris\u00e9s du Client dans le cadre des Services, par exemple pour des alertes critiques ou la livraison de codes d'authentification \u00e0 deux facteurs (2FA), si ces fonctionnalit\u00e9s sont activ\u00e9es et utilis\u00e9es par le Client.

\u2013 Nature des donn\u00e9es trait\u00e9es : comprend g\u00e9n\u00e9ralement les num\u00e9ros de t\u00e9l\u00e9phone des utilisateurs autoris\u00e9s du client et le contenu des messages SMS (par exemple, codes d'authentification, texte d'alerte).

\u2013 Lieu de traitement : principalement aux \u00c9tats-Unis.

Garanties relatives au transfert de donn\u00e9es\u00a0: Les transferts de donn\u00e9es personnelles sont r\u00e9gis par l'addendum relatif au traitement des donn\u00e9es de Twilio, qui int\u00e8gre les clauses contractuelles types (CCT). Le client peut consulter l'accord de transfert de donn\u00e9es de Twilio \u00e0 l'adresse suivante\u00a0: https:\/\/www.twilio.com\/legal\/data-protection-addendum.<\/a>

\u2013 Autres fournisseurs de services de communication :

\u00c0 l'heure actuelle, MEFERI ne fait appel \u00e0 aucun autre prestataire de services de communication tiers pour le traitement des donn\u00e9es personnelles des clients en vertu du pr\u00e9sent DPA, au-del\u00e0 de ce qui est d\u00e9crit ci-dessus pour les e-mails et les SMS. Si des fonctionnalit\u00e9s sp\u00e9cifiques n\u00e9cessitant d'autres types de services de communication sont introduites et accept\u00e9es par le client, MEFERI mettra \u00e0 jour cette liste et en informera le client conform\u00e9ment \u00e0 l'article 6.2 du pr\u00e9sent DPA.

3. Fournisseurs d'analyses et de surveillance des performances des services :

\u2013 Finalit\u00e9\u00a0: Surveiller les performances, identifier les erreurs et analyser les habitudes d'utilisation des services MEFERI (par exemple, Shadowalk Cloud, backend CIAO Cloud) afin de maintenir et d'am\u00e9liorer la stabilit\u00e9, la fonctionnalit\u00e9 et l'exp\u00e9rience utilisateur. Les donn\u00e9es trait\u00e9es par ces fournisseurs pour les services MEFERI sont g\u00e9n\u00e9ralement pseudonymis\u00e9es, agr\u00e9g\u00e9es ou constitu\u00e9es de donn\u00e9es techniques\/op\u00e9rationnelles. MEFERI ne fait pas appel \u00e0 ces fournisseurs pour analyser le contenu sp\u00e9cifique des donn\u00e9es personnelles des clients au sein des services, sauf instruction explicite ou accord avec le client \u00e0 des fins d'assistance ou de d\u00e9pannage.

\u2013 Sous-traitants sp\u00e9cifiques utilis\u00e9s :

\u2013 Entit\u00e9 : Functional Software, Inc. (faisant affaire sous le nom de Sentry).

\u2013 Objectif sp\u00e9cifique pour MEFERI\u00a0: suivi des erreurs en temps r\u00e9el, diagnostics et surveillance des performances au sein des services cloud de MEFERI (Shadowalk Cloud, backend CIAO Cloud) pour aider \u00e0 identifier et \u00e0 r\u00e9soudre les probl\u00e8mes techniques.

\u2013 Nature des donn\u00e9es trait\u00e9es : comprend g\u00e9n\u00e9ralement les messages d'erreur, les traces de pile, les informations sur l'appareil\/navigateur, les adresses IP (que MEFERI peut configurer pour \u00eatre anonymis\u00e9es ou non stock\u00e9es lorsque cela est possible dans les capacit\u00e9s de Sentry) et d'autres m\u00e9tadonn\u00e9es op\u00e9rationnelles li\u00e9es aux \u00e9v\u00e9nements de service. MEFERI configure son int\u00e9gration avec Sentry pour minimiser la capture des donn\u00e9es personnelles des clients.

\u2013 Lieu de traitement : principalement aux \u00c9tats-Unis.

Garanties relatives au transfert de donn\u00e9es\u00a0: Les transferts sont r\u00e9gis par l'addenda relatif au traitement des donn\u00e9es de Sentry, qui int\u00e8gre les clauses contractuelles types. Disponible \u00e0 l'adresse\u00a0: https:\/\/sentry.io\/legal\/dpa\/<\/a>

\u2013 Analyse du site Web et du portail (MEFERI en tant que responsable) :

Pour les analyses li\u00e9es au site web d'entreprise de MEFERI (par exemple, meferi.com) et aux autres portails publics appartenant \u00e0 MEFERI o\u00f9 MEFERI agit en tant que responsable du traitement des donn\u00e9es, les d\u00e9tails des fournisseurs d'analyses (tels que Google Analytics) et du traitement des donn\u00e9es sont d\u00e9crits dans la Politique de confidentialit\u00e9 g\u00e9n\u00e9rale de MEFERI. Ces fournisseurs ne sont pas mentionn\u00e9s ici comme sous-traitants au sens du pr\u00e9sent ATD, sauf s'ils traitent \u00e9galement les donn\u00e9es personnelles des clients pour le compte de MEFERI dans le cadre des services fournis au client.<\/p>\n

4. Outils d'assistance et de service client :<\/p>\n

\u2013 <\/strong>Objectif : G\u00e9rer les demandes d'assistance client, fournir des services d'assistance technique et faciliter la communication relative au support des services de MEFERI.<\/p>\n

\u2013 Sous-traitants sp\u00e9cifiques utilis\u00e9s :<\/p>\n