Accord de traitement des données
Dernière mise à jour : 1er mars 2026
Le présent Accord de traitement des données (« DPA ») est conclu entre l'utilisateur du service d'alertes de bons plans vols de flydeal.fr (« Responsable du traitement », « vous » ou « votre ») et Back Hills Assets LLC, une société constituée et enregistrée dans l'État du Delaware, États-Unis (« Sous-traitant », « flydeal.fr », « nous » ou « notre »).
Le présent DPA fait partie intégrante des Conditions d'utilisation (l'« Accord ») entre le Responsable du traitement et le Sous-traitant et régit le traitement des données personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture du service d'alertes de bons plans vols de flydeal.fr (le « Service »).
Le présent DPA est conçu pour assurer la conformité avec l'article 28 du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») et toutes les autres lois applicables en matière de protection des données, et sera interprété conformément au RGPD.
En utilisant le Service, le Responsable du traitement accepte les termes du présent DPA. Si le Responsable du traitement n'accepte pas le présent DPA, il ne doit pas utiliser le Service.
1. Définitions
Aux fins du présent DPA, les termes suivants ont les significations définies ci-dessous. Tous les termes en majuscules non définis dans les présentes ont les significations qui leur sont données dans le RGPD ou l'Accord.
- « Responsable du traitement » désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel, tel que défini à l'article 4, paragraphe 7, du RGPD. Dans le cadre du présent DPA, le Responsable du traitement est l'utilisateur du Service.
- « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du Responsable du traitement, tel que défini à l'article 4, paragraphe 8, du RGPD. Dans le cadre du présent DPA, le Sous-traitant est Back Hills Assets LLC.
- « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable (« Personne concernée »), telle que définie à l'article 4, paragraphe 1, du RGPD. Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
- « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction, tel que défini à l'article 4, paragraphe 2, du RGPD.
- « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
- « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant (ou par tout sous-traitant ultérieur subséquent) pour traiter des données à caractère personnel pour le compte du Responsable du traitement.
- « Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, tel que défini à l'article 4, paragraphe 12, du RGPD.
- « Autorité de contrôle » désigne une autorité publique indépendante instituée par un État membre de l'UE conformément à l'article 51 du RGPD. L'autorité de contrôle compétente est déterminée par l'État membre de l'UE du lieu de résidence habituelle, du lieu de travail ou du lieu de l'infraction présumée de la personne concernée.
- « Clauses contractuelles types » (CCT) désigne les clauses contractuelles approuvées par la Commission européenne conformément à l'article 46, paragraphe 2, point c), du RGPD pour le transfert de données à caractère personnel vers des pays situés en dehors de l'Espace économique européen (EEE) qui ne bénéficient pas d'une décision d'adéquation.
- « EEE » désigne l'Espace économique européen, comprenant les États membres de l'Union européenne ainsi que l'Islande, le Liechtenstein et la Norvège.
2. Portée et finalité du traitement
2.1 Portée
Le présent DPA s'applique à tout traitement de données à caractère personnel effectué par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de la fourniture du Service. Le Sous-traitant ne traitera les données à caractère personnel que dans la mesure nécessaire à l'exécution de ses obligations au titre de l'Accord et conformément aux instructions documentées du Responsable du traitement.
2.2 Finalité du traitement
Le Sous-traitant traitera les données à caractère personnel pour le compte du Responsable du traitement aux fins spécifiques suivantes :
- Création, maintenance et gestion des comptes utilisateurs, y compris l'authentification, la sécurité et la récupération de compte.
- Stockage et traitement des préférences de voyage (aéroports de départ, préférences de destination, fourchettes budgétaires, flexibilité des dates de voyage) pour générer des alertes personnalisées de bons plans vols.
- Envoi de notifications et d'alertes de bons plans vols par e-mail.
- Traitement des paiements d'abonnement et gestion de la facturation par le biais de processeurs de paiement autorisés.
- Fournir un support client et répondre aux demandes liées au Service.
- Génération d'analyses anonymisées et agrégées pour surveiller, maintenir et améliorer le Service.
- Assurer la sécurité, l'intégrité et la disponibilité du Service et de son infrastructure sous-jacente.
- Respect des obligations légales applicables, y compris les exigences fiscales, comptables et réglementaires.
2.3 Durée du traitement
Le Sous-traitant traitera les données à caractère personnel pendant la durée de l'Accord, sauf accord écrit contraire ou exigence de la loi applicable. À la résiliation de l'Accord, les dispositions de la Section 13 (Restitution et suppression des données) s'appliqueront.
3. Catégories de personnes concernées
Les données à caractère personnel traitées dans le cadre du présent DPA concernent les catégories suivantes de personnes concernées :
- Utilisateurs enregistrés : Personnes physiques ayant créé un compte sur la plateforme flydeal.fr, y compris les utilisateurs des plans Gratuit, Basic, Pro et Ultra.
- Visiteurs du site web : Personnes physiques qui visitent le site web de flydeal.fr et dont les données peuvent être collectées via des cookies et des technologies similaires, comme décrit dans notre Politique de cookies.
- Contacts du support client : Personnes physiques qui contactent flydeal.fr pour obtenir de l'aide, poser des questions ou fournir des commentaires et dont les données personnelles sont traitées dans le cadre de ces communications.
4. Types de données à caractère personnel
Les catégories suivantes de données à caractère personnel sont traitées dans le cadre du présent DPA :
- Données d'identité : Adresse e-mail (utilisée comme identifiant de compte).
- Données de contact : Adresse e-mail.
- Données de compte : Identifiant de compte, mot de passe haché, date de création du compte, type de plan et statut du compte.
- Données de préférences de voyage : Aéroport(s) de départ préféré(s), préférences de destination (régions, pays ou villes spécifiques), fourchettes budgétaires, flexibilité des dates de voyage, préférences de durée de voyage, configurations d'itinéraires personnalisés (plan Pro).
- Données de préférences de communication : Canaux de notification choisis (e-mail), paramètres de fréquence des notifications, statut de consentement aux communications promotionnelles.
- Données de paiement et d'abonnement : Type de plan, dates de début et de fin d'abonnement, dates de cycle de facturation, identifiants de transaction, quatre derniers chiffres de la carte de paiement, marque de la carte, date d'expiration de la carte, pays de facturation. Les détails complets de la carte de paiement sont traités exclusivement par Stripe et ne sont pas stockés par le Sous-traitant.
- Données d'utilisation : Pages visitées, fonctionnalités utilisées, offres consultées et ayant fait l'objet d'interactions, alertes ouvertes et cliquées, durée de session et horodatages d'interaction.
- Données techniques : Adresse IP, type et version du navigateur, système d'exploitation, type d'appareil, résolution d'écran, paramètres linguistiques de l'appareil et identifiants uniques de l'appareil.
- Données d'assistance : Contenu des demandes d'assistance, correspondance et commentaires fournis par la Personne concernée.
Le Sous-traitant ne traite pas de catégories particulières de données à caractère personnel (telles que définies à l'article 9 du RGPD) ni de données à caractère personnel relatives aux condamnations pénales et aux infractions (telles que définies à l'article 10 du RGPD) dans le cadre du présent DPA.
5. Obligations du Sous-traitant
Le Sous-traitant devra :
5.1 Instructions de traitement
- Traiter les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou d'un État membre auquel le Sous-traitant est soumis l'y oblige. Dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle notification pour des motifs importants d'intérêt public.
- Informer immédiatement le Responsable du traitement si, de l'avis du Sous-traitant, une instruction constitue une violation du RGPD ou d'autres dispositions de l'Union ou d'un État membre en matière de protection des données.
5.2 Confidentialité
- S'assurer que toutes les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
- Limiter l'accès aux données à caractère personnel aux employés, prestataires et agents qui ont besoin d'y accéder pour exercer leurs fonctions en rapport avec le Service et qui ont été formés aux obligations en matière de protection des données.
5.3 Sécurité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, tel que décrit plus en détail à la Section 8 (Mesures de sécurité des données) du présent DPA.
5.4 Sous-traitance ultérieure
- Ne pas faire appel à un autre sous-traitant (sous-traitant ultérieur) sans l'autorisation écrite préalable, générale ou spécifique, du Responsable du traitement, tel que décrit à la Section 7 (Sous-traitants ultérieurs) du présent DPA.
5.5 Assistance au Responsable du traitement
- Aider le Responsable du traitement, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour satisfaire à l'obligation du Responsable du traitement de donner suite aux demandes d'exercice des droits de la Personne concernée au titre du Chapitre III du RGPD (droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition).
- Aider le Responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité du traitement, notification des violations de données à caractère personnel, communication des violations aux personnes concernées et analyses d'impact relatives à la protection des données), en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.
5.6 Démonstration de la conformité
- Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et du présent DPA, et permettre et contribuer aux audits, y compris les inspections, menés par le Responsable du traitement ou un autre auditeur mandaté par celui-ci, comme décrit à la Section 10 (Audits et inspections) du présent DPA.
6. Obligations du Responsable du traitement
Le Responsable du traitement devra :
- S'assurer qu'il dispose d'une base juridique pour le traitement des données à caractère personnel et que tous les consentements, autorisations et notifications nécessaires ont été obtenus ou fournis conformément aux lois applicables en matière de protection des données.
- Fournir au Sous-traitant des instructions documentées concernant le traitement des données à caractère personnel et informer rapidement le Sous-traitant de toute modification de ces instructions.
- S'assurer que les données à caractère personnel fournies au Sous-traitant sont exactes, complètes et à jour.
- Respecter ses obligations en tant que Responsable du traitement au titre du RGPD et des lois applicables en matière de protection des données.
- Notifier rapidement au Sous-traitant toute demande d'une Personne concernée qui se rapporte directement aux activités de traitement du Sous-traitant.
7. Sous-traitants ultérieurs
7.1 Autorisation générale
Le Responsable du traitement accorde par les présentes une autorisation écrite générale au Sous-traitant pour engager des sous-traitants ultérieurs pour le traitement de données à caractère personnel dans le cadre du présent DPA, sous réserve des conditions énoncées dans la présente Section 7.
7.2 Sous-traitants ultérieurs actuels
Les sous-traitants ultérieurs suivants sont actuellement engagés par le Sous-traitant :
- Amazon Web Services, Inc. (AWS)
Finalité : Infrastructure cloud, hébergement, stockage de données et services de calcul.
Données traitées : Toutes les catégories de données à caractère personnel énumérées à la Section 4, stockées et traitées sur l'infrastructure AWS.
Localisation : Union européenne (région EU-West, principalement l'Irlande).
Garanties : Avenant au traitement des données RGPD d'AWS ; certifications ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3. - Stripe, Inc.
Finalité : Traitement des paiements pour la facturation des abonnements (plans Basic, Pro et Ultra).
Données traitées : Données de carte de paiement (traitées directement par Stripe), informations de facturation, identifiants de transaction, métadonnées d'abonnement.
Localisation : Union européenne et États-Unis.
Garanties : Accord de traitement des données de Stripe ; certification PCI DSS Niveau 1 ; Cadre de protection des données UE-US ; Clauses contractuelles types. - Postmark (ActiveCampaign, LLC)
Finalité : Envoi d'e-mails transactionnels et de notification, y compris les alertes d'offres de vols et les e-mails liés au service.
Données traitées : Adresse e-mail, nom, contenu de l'e-mail (détails des alertes d'offres), métadonnées de livraison et d'engagement.
Localisation : États-Unis, avec des engagements de traitement des données pour les données de l'UE.
Garanties : Accord de traitement des données ; Clauses contractuelles types ; certification SOC 2 Type II.
7.3 Notification des modifications
Le Sous-traitant informera le Responsable du traitement par écrit (y compris par e-mail) de tout changement prévu dans la liste des sous-traitants ultérieurs, y compris l'ajout ou le remplacement de sous-traitants, au moins 14 jours calendaires avant l'entrée en vigueur du changement. La notification comprendra le nom du sous-traitant, la nature du traitement et le lieu de traitement des données.
7.4 Droit d'opposition
Le Responsable du traitement peut s'opposer à l'engagement d'un nouveau sous-traitant ou d'un sous-traitant de remplacement en notifiant le Sous-traitant par écrit dans les 14 jours calendaires suivant la réception de la notification visée à la Section 7.3. L'opposition doit être fondée sur des motifs raisonnables liés à la protection des données. Si le Responsable s'oppose :
- Le Sous-traitant fera des efforts raisonnables pour fournir au Responsable du traitement une solution alternative évitant le recours au sous-traitant contesté.
- Si aucune alternative n'est raisonnablement disponible et que le Sous-traitant détermine raisonnablement que le sous-traitant ultérieur est nécessaire à la fourniture du Service, chaque partie peut résilier le Contrat moyennant un préavis écrit de 30 jours.
7.5 Obligations des sous-traitants ultérieurs
Lorsque le Sous-traitant fait appel à un sous-traitant ultérieur, le Sous-traitant devra :
- Effectuer une diligence raisonnable adéquate pour s'assurer que le sous-traitant ultérieur est en mesure de fournir le niveau de protection des données requis par le présent DPA et le RGPD.
- Imposer au sous-traitant ultérieur, par contrat écrit, les mêmes obligations de protection des données que celles prévues dans le présent DPA, en fournissant notamment des garanties suffisantes pour la mise en œuvre de mesures techniques et organisationnelles appropriées.
- Rester pleinement responsable envers le Responsable du traitement de l'exécution des obligations du sous-traitant ultérieur au titre du contrat de sous-traitance.
8. Mesures de sécurité des données
Le Sous-traitant mettra en œuvre et maintiendra les mesures de sécurité techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD, pour protéger les données à caractère personnel contre la destruction, la perte, l'altération, la divulgation ou l'accès accidentel ou illicite :
8.1 Mesures techniques
- Chiffrement en transit : Toutes les données transmises entre les utilisateurs et le Service sont chiffrées à l'aide de Transport Layer Security (TLS) 1.3.
- Chiffrement au repos : Toutes les données à caractère personnel stockées sur les serveurs et les bases de données sont chiffrées au repos à l'aide du chiffrement AES-256.
- Hachage des mots de passe : Les mots de passe des utilisateurs sont stockés à l'aide du hachage cryptographique bcrypt avec un facteur de coût élevé, garantissant que les mots de passe ne peuvent pas être récupérés en texte clair.
- Pare-feu et sécurité réseau : Les systèmes de production sont protégés par des pare-feu et une segmentation du réseau. L'accès aux réseaux internes est limité au personnel autorisé via VPN avec authentification multifacteur.
- Détection d'intrusion et surveillance : Des systèmes de surveillance continue et de détection d'intrusion sont en place pour identifier et répondre aux menaces de sécurité potentielles en temps réel.
- Gestion des vulnérabilités : Des analyses de vulnérabilités et des tests de pénétration réguliers sont effectués. Les correctifs de sécurité sont appliqués rapidement à tous les systèmes et logiciels.
- Sauvegardes automatisées : Des sauvegardes automatisées et chiffrées sont effectuées régulièrement. Les sauvegardes sont stockées de manière redondante au sein de l'UE et testées périodiquement pour garantir la restauration des données.
- Journalisation et pistes d'audit : L'accès aux données à caractère personnel est journalisé et des pistes d'audit sont maintenues pour détecter les accès non autorisés ou les activités anormales.
- Développement sécurisé : Le Service est développé selon des pratiques de développement logiciel sécurisé, incluant des revues de code, des analyses statiques, des analyses de dépendances et des tests de sécurité.
8.2 Mesures organisationnelles
- Contrôles d'accès : Le contrôle d'accès basé sur les rôles (RBAC) est mis en œuvre selon le principe du moindre privilège. L'accès aux données à caractère personnel n'est accordé qu'au personnel qui en a besoin pour ses fonctions désignées.
- Accords de confidentialité : Tous les employés et prestataires ayant accès aux données à caractère personnel sont liés par des obligations de confidentialité écrites.
- Formation à la protection des données : Le personnel impliqué dans le traitement des données à caractère personnel reçoit une formation régulière sur les principes de protection des données, le RGPD et les politiques internes de protection des données du Sous-traitant.
- Plan de réponse aux incidents : Un plan de réponse aux incidents documenté est maintenu et testé pour garantir une réponse rapide et efficace aux violations de données à caractère personnel et autres incidents de sécurité.
- Continuité d'activité et reprise après sinistre : Les plans de continuité d'activité et de reprise après sinistre sont maintenus et testés périodiquement pour assurer la disponibilité et la résilience des systèmes de traitement.
- Gestion des risques fournisseurs : Les sous-traitants ultérieurs font l'objet d'évaluations de diligence raisonnable et d'un suivi continu pour s'assurer qu'ils maintiennent des normes adéquates de protection des données et de sécurité.
9. Notification des violations de données
9.1 Notification au Responsable du traitement
En cas de Violation de Données à Caractère Personnel, le Sous-traitant notifiera le Responsable du traitement sans délai excessif et en tout état de cause au plus tard 48 heures après avoir pris connaissance de la violation. La notification sera fournie par e-mail à l'adresse e-mail enregistrée du Responsable et comprendra :
- Une description de la nature de la Violation de Données à Caractère Personnel, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés.
- Le nom et les coordonnées du point de contact en matière de protection des données du Sous-traitant auprès duquel des informations complémentaires peuvent être obtenues.
- Une description des conséquences probables de la Violation de Données à Caractère Personnel.
- Une description des mesures prises ou proposées par le Sous-traitant pour remédier à la Violation, y compris, le cas échéant, des mesures pour en atténuer les éventuels effets négatifs.
9.2 Coopération continue
Lorsqu'il n'est pas possible de fournir toutes les informations simultanément, le Sous-traitant fournira les informations par phases sans nouveau retard excessif. Le Sous-traitant devra :
- Coopérer avec le Responsable du traitement et prendre toutes les mesures raisonnables pour contribuer à l'enquête, à l'atténuation et à la remédiation de la violation.
- Prendre des mesures immédiates pour contenir et minimiser l'impact de la violation.
- Conserver les preuves liées à la violation à des fins d'enquête forensique.
- Aider le Responsable à remplir ses obligations de notification à l'Autorité de contrôle en vertu de l'article 33 du RGPD et aux Personnes concernées en vertu de l'article 34 du RGPD, le cas échéant.
- Ne faire aucune déclaration publique ni notification concernant la violation sans le consentement écrit préalable du Responsable du traitement, sauf si la loi applicable l'exige.
9.3 Tenue de registres
Le Sous-traitant tiendra un registre de toutes les Violations de Données à Caractère Personnel, y compris les faits relatifs à la violation, ses effets et les mesures correctives prises, conformément à l'article 33, paragraphe 5, du RGPD.
10. Demandes des Personnes concernées
10.1 Assistance
Le Sous-traitant assistera le Responsable du traitement dans l'accomplissement de son obligation de répondre aux demandes des Personnes concernées visant à exercer leurs droits au titre du Chapitre III du RGPD, y compris les droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données et d'opposition.
10.2 Notification
Si le Sous-traitant reçoit une demande d'une Personne concernée relative aux données à caractère personnel traitées pour le compte du Responsable, le Sous-traitant en informera rapidement le Responsable (et en tout état de cause dans les 5 jours ouvrables) et ne répondra pas directement à la demande sauf autorisation du Responsable ou obligation légale.
10.3 Mesures techniques
Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées pour permettre au Responsable de répondre efficacement aux demandes des Personnes concernées, y compris la capacité de rechercher, récupérer, exporter, corriger et supprimer des données à caractère personnel sur instruction du Responsable.
11. Audits et Inspections
11.1 Droit d'audit
Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et au présent DPA, et autorisera et contribuera aux audits, y compris les inspections, menés par le Responsable ou un auditeur indépendant mandaté par le Responsable.
11.2 Procédures d'audit
Les audits seront réalisés sous réserve des conditions suivantes :
- Le Responsable fournira au Sous-traitant un préavis écrit d'au moins 30 jours calendaires avant tout audit prévu.
- Les audits seront réalisés pendant les heures normales de bureau et de manière à minimiser les perturbations des activités du Sous-traitant.
- Le Responsable (ou son auditeur) respectera les exigences raisonnables de sécurité et de confidentialité du Sous-traitant.
- Les audits seront limités à un maximum d'un par année civile, sauf s'il existe des motifs raisonnables de soupçonner une violation matérielle du présent DPA ou du RGPD, ou si un audit est requis par une Autorité de contrôle.
- Le Responsable supportera les coûts de l'audit, sauf si l'audit révèle un manquement significatif de la part du Sous-traitant, auquel cas le Sous-traitant supportera les coûts raisonnables.
11.3 Certifications et Rapports
En lieu et place d'un audit sur site, le Sous-traitant peut, à sa discrétion, fournir au Responsable des rapports d'audit tiers pertinents, des certifications (telles que ISO 27001 ou SOC 2) ou toute autre documentation démontrant la conformité aux exigences de protection des données du présent DPA.
12. Transferts internationaux de données
12.1 Principe général
Le Sous-traitant stockera et traitera principalement les données à caractère personnel au sein de l'Espace économique européen (EEE). Le Sous-traitant ne transférera pas de données à caractère personnel vers un pays situé en dehors de l'EEE ou vers une organisation internationale sans que des garanties appropriées n'aient été mises en œuvre conformément au Chapitre V du RGPD.
12.2 Mécanismes de transfert
Lorsque des données à caractère personnel sont transférées en dehors de l'EEE (par exemple, vers des sous-traitants situés aux États-Unis), le Sous-traitant s'assure qu'une ou plusieurs des garanties suivantes sont en place :
- Décision d'adéquation : La Commission européenne a déterminé que le pays tiers ou l'organisation internationale assure un niveau adéquat de protection des données conformément à l'article 45 du RGPD.
- Clauses Contractuelles Types : Le transfert est soumis aux Clauses Contractuelles Types adoptées par la Commission européenne conformément à l'article 46, paragraphe 2, point c), du RGPD, dans leur version la plus récente.
- Cadre de protection des données UE-États-Unis : Le cas échéant, le destinataire a certifié sa participation au Cadre de protection des données UE-États-Unis, qui a été reconnu par la Commission européenne comme assurant un niveau de protection adéquat.
- Mesures supplémentaires : Lorsque l'évaluation du niveau de protection dans le pays destinataire l'exige, le Sous-traitant mettra en œuvre des mesures techniques supplémentaires (telles que le chiffrement et la pseudonymisation) et des mesures organisationnelles pour garantir que les données transférées bénéficient d'un niveau de protection essentiellement équivalent à celui garanti au sein de l'EEE.
12.3 Évaluation d'impact du transfert
Le Sous-traitant procédera à une évaluation d'impact du transfert pour chaque transfert international et la documentera, en évaluant les lois et pratiques du pays destinataire pour déterminer si des mesures supplémentaires sont nécessaires pour garantir un niveau de protection des données essentiellement équivalent.
13. Durée et Résiliation
13.1 Durée
Le présent DPA prend effet dès l'acceptation de l'Accord par le Responsable du traitement et reste en vigueur pendant toute la durée du traitement des données à caractère personnel par le Sous-traitant pour le compte du Responsable.
13.2 Survie
Les obligations du Sous-traitant au titre du présent DPA survivent à la résiliation de l'Accord dans la mesure nécessaire pour achever la restitution ou la suppression des données à caractère personnel et pour se conformer au droit applicable.
14. Restitution et Suppression des Données
14.1 Choix du Responsable
À la résiliation de l'Accord ou sur demande écrite du Responsable, le Sous-traitant devra, au choix du Responsable :
- Restituer toutes les données à caractère personnel au Responsable dans un format structuré, couramment utilisé et lisible par machine (tel que JSON ou CSV) ; ou
- Supprimer toutes les données à caractère personnel et toutes les copies existantes, sauf si le droit de l'Union ou des États membres exige la conservation des données à caractère personnel.
14.2 Délai
Le Sous-traitant achèvera la restitution ou la suppression des données à caractère personnel dans les 30 jours calendaires suivant la réception de l'instruction du Responsable ou, en l'absence d'instructions spécifiques, dans les 30 jours calendaires suivant la résiliation de l'Accord.
14.3 Certification de Suppression
À l'achèvement de la suppression, le Sous-traitant fournira au Responsable une certification écrite que toutes les données à caractère personnel ont été supprimées de manière sécurisée, y compris des sauvegardes et systèmes archivés, sauf lorsque la conservation est requise par la loi applicable. Lorsque des exigences de conservation légale s'appliquent, le Sous-traitant informera le Responsable des données spécifiques conservées, de la base juridique de la conservation et de la durée de conservation prévue.
14.4 Suppression des sauvegardes
Les données à caractère personnel contenues dans les systèmes de sauvegarde de routine seront supprimées conformément au calendrier de rotation des sauvegardes standard du Sous-traitant, qui ne dépassera pas 90 jours calendaires. Pendant la période de conservation, ces données de sauvegarde continueront d'être protégées conformément au présent DPA et ne seront pas activement traitées.
15. Responsabilité
15.1 Responsabilité du Sous-traitant
Le Sous-traitant est responsable de tout dommage causé par un traitement non conforme aux obligations du RGPD spécifiquement dirigées vers les sous-traitants, ou lorsque le Sous-traitant a agi en dehors ou à l'encontre des instructions licites du Responsable, conformément à l'article 82 du RGPD.
15.2 Limitation
Les dispositions relatives à la responsabilité du présent DPA sont soumises aux limitations énoncées dans l'Accord, sauf dans la mesure où le droit applicable (y compris le RGPD) ne permet pas une telle limitation.
15.3 Indemnisation
Chaque partie indemnisera l'autre partie de tous coûts, réclamations, dommages ou dépenses engagés par l'autre partie ou dont l'autre partie pourrait devenir responsable en raison de tout manquement de la première partie ou de ses employés, agents ou sous-traitants à l'une de ses obligations au titre du présent DPA ou du RGPD.
16. Modifications
Le présent DPA peut être modifié par le Sous-traitant de temps à autre pour tenir compte de l'évolution des pratiques de traitement des données, des sous-traitants, des exigences légales ou des mesures de sécurité. Le Sous-traitant notifiera au Responsable toute modification substantielle au moins 30 jours calendaires avant son entrée en vigueur. Si le Responsable n'accepte pas les modifications, il peut résilier l'Accord conformément à ses termes. L'utilisation continue du Service par le Responsable après la date d'entrée en vigueur des modifications vaut acceptation du DPA révisé.
17. Relation avec l'Accord
En cas de conflit ou d'incohérence entre les dispositions du présent DPA et l'Accord, les dispositions du présent DPA prévaudront en matière de protection des données. À tous autres égards, les termes de l'Accord continueront de s'appliquer.
18. Droit applicable
Le présent DPA est régi par et interprété conformément aux lois de l'État du Delaware, États-Unis, sans égard à ses principes de conflit de lois, et sous réserve des dispositions obligatoires du RGPD et de toute autre législation européenne applicable en matière de protection des données. Tout litige découlant du présent DPA ou s'y rapportant relève de la compétence exclusive des tribunaux compétents du Delaware, États-Unis, sous réserve des dispositions impératives de protection des consommateurs du droit de l'UE.
19. Contact
Pour toute question, demande ou communication concernant cet Accord de traitement des données, veuillez contacter :
- E-mail : [email protected]
- Société : Back Hills Assets LLC
- Adresse : 30 N GOULD ST STE R,SHERIDAN, WY 82801,USA
Vous pouvez également contacter votre Autorité de Protection des Données locale pour toute préoccupation relative à la protection des données. Vous pouvez trouver votre autorité locale sur le site du Comité européen de la protection des données.