Addendum relatif à la protection des données

Dernière mise à jour : 13 juin 2025

Cet addendum sur la protection des données (« Addendum ») entre Point A Marketing et le Client (tel que défini dans le Contrat) fait partie des Conditions d'utilisation de Point A Marketing énoncées à l'adresse https://pointamarketing.com/services ou de tout autre accord écrit ou électronique incorporant cet Addendum, régissant dans chaque cas l'accès et l'utilisation des Services par le Client (le « Contrat »). Cet addendum a été mis à jour pour la dernière fois en juin 2025.

Le Client conclut cet Addendum en son nom et au nom de tous les affiliés autorisés à utiliser les Services en vertu du Contrat et qui n'ont pas conclu d'accord contractuel distinct avec Point A Marketing. Aux fins du présent Addendum uniquement, et sauf indication contraire, les références au « Client » incluent le Client et ces Affiliés.

Les parties conviennent par la présente que les termes et conditions énoncés ci-dessous seront ajoutés en tant qu'addendum à l'accord.

  1. Définitions
    • Dans cet addendum, les termes suivants auront la signification indiquée ci-dessous et les termes apparentés seront interprétés en conséquence :
      1. « Affilié » désigne une entité qui détient ou contrôle, est détenue ou contrôlée par ou est ou est sous contrôle commun ou propriété avec Customer ou Point A Marketing (selon le contexte), où le contrôle est défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire orienter la gestion et les politiques d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement ;
      2. Les « données personnelles du client » désignent toutes les données personnelles fournies par ou mises à disposition par le client à Point A Marketing ou collectées par Point A Marketing pour le compte du client et qui sont traitées par Point A Marketing pour exécuter les Services ;
      3. « Controller to Processor SCC » désigne les clauses contractuelles types pour les transferts transfrontaliers publiées par la Commission européenne le 4 juin 2021 régissant le transfert de données personnelles de l'Espace européen vers des pays tiers, telles qu'adoptées par la Commission européenne, le Préposé fédéral suisse à la protection des données et à la transparence (« Swiss FDPIC ») concernant les transferts de données vers des pays tiers (collectivement « CCT de l'UE ») ; (ii) l'addendum sur le transfert international de données (« UK Transfer Addendum ») adopté par le Royaume-Uni Bureau du commissaire à l'information (« UK ICO ») pour les transferts de données depuis le Royaume-Uni vers des pays tiers ; ou (iii) toute clause similaire adoptée par un organisme de réglementation de la protection des données concernant les transferts de données personnelles vers des pays tiers, y compris, mais sans s'y limiter, les clauses qui leur succéderont ;
      4. « Lois sur la protection des données » désigne toute loi locale, étatique ou nationale concernant le traitement des données personnelles applicable à Point A Marketing dans les juridictions dans lesquelles les Services sont fournis au Client, y compris, sans s'y limiter, la législation sur la confidentialité, la sécurité et la protection des données ;
      5. « Espace UE » désigne l'Union européenne, l'Espace économique européen, le Royaume-Uni et la Suisse ;
      6. « Droit régional de l'UE » désigne (i) la Directive 95/46/CE et, à compter du 25 mai 2018, le Règlement (UE) 2016/679 (« RGPD de l'UE ») ainsi que la législation applicable mettant en œuvre ou complétant celle-ci ou relative au traitement des données personnelles des personnes physiques ; (ii) la Loi sur la protection des données de 1998 du Royaume-Uni et le RGPD de l'UE tels qu'enregistrés dans le droit britannique en vertu de l'article 3 de la Loi de 2018 sur la protection des données du Royaume-Uni (le « RGPD britannique ») ; (iii) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« DPA suisse ») ; (iv) toute autre la loi relative à la protection des données, à la sécurité ou à la vie privée des personnes qui s'applique dans l'espace de l'UE ; ou (v) tout successeur ou toute modification de celle-ci (y compris, mais sans s'y limiter, la mise en œuvre du RGPD de l'UE par les États membres dans leur législation nationale) ;
      7. « Incident de sécurité » désigne toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée des données personnelles des clients traitées par Point A Marketing ou l'accès à celles-ci de manière accidentelle ou illégale ;
      8. « Services » désigne les services qui doivent être fournis par Point A Marketing au client ou aux sociétés affiliées du client conformément au Contrat ; et
      9. « Pays tiers » désigne les pays qui, lorsque les lois applicables en matière de protection des données l'exigent, n'ont pas reçu de décision d'adéquation d'une autorité compétente concernant les transferts transfrontaliers de données personnelles, y compris des régulateurs tels que la Commission européenne, l'ICO britannique ou le FDPIC suisse.
    • Les termes « entreprise », « objectif commercial », « objectif commercial », « contractant », « responsable du traitement », « personne concernée », « données personnelles », « violation de données personnelles », « traitement », « processeur », « vente », « fournisseur de services », « partage », « sous-processeur », « autorité de surveillance » et « tiers » ont la même signification que celle décrite dans les lois applicables sur la protection des données et les termes connexes doivent être interprétés en conséquence.
    • Les termes en majuscules qui ne sont pas autrement définis dans le présent addendum auront la signification qui leur est attribuée dans le Contrat.
  2. Portée de l'addendum
    • Cet addendum s'applique au traitement des données personnelles des clients par Point A Marketing dans le cadre du Contrat dans la mesure où ce traitement est soumis aux lois sur la protection des données. Le présent addendum est régi par le droit applicable au Contrat, sauf disposition contraire des lois sur la protection des données.
  3. Rôles des parties
    • Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données personnelles des clients, et comme décrit plus en détail dans l'annexe 1 des présentes, le client agit en tant qu'entreprise ou responsable du traitement, et Point A Marketing agit en tant que fournisseur de services ou sous-traitant. Cet addendum s'applique uniquement au traitement des données personnelles des clients par Point A Marketing agissant en tant que sous-traitant, sous-traitant ou tiers (comme spécifié dans l'Annexe 1).
    • Les parties conviennent expressément que le client est seul responsable de la fourniture de communications en temps utile aux sociétés affiliées du client ou au ou aux contrôleurs concernés qui reçoivent les services, dans la mesure où ces communications peuvent être requises ou utiles à la lumière des lois applicables en matière de protection des données pour permettre aux sociétés affiliées du client ou au (x) contrôleur (s) concerné (s) de se conformer à ces lois.
    • Le Client est seul responsable du respect des lois relatives à la notification des incidents de sécurité qui lui sont applicables et du respect de toute obligation d'informer les autorités gouvernementales, les personnes concernées ou d'autres personnes concernant tout Incident de sécurité.
  4. Description et finalité du traitement des données personnelles
    • Dans l'annexe 1 du présent addendum, les parties ont mutuellement défini leur compréhension de l'objet et des détails du traitement des données personnelles des clients à traiter par Point A Marketing conformément à cet addendum. Les parties peuvent apporter des modifications raisonnables à l'annexe 1 sur un accord écrit mutuel et dans la mesure où cela est raisonnablement nécessaire pour répondre à ces exigences ou aux exigences des lois sur la protection des données de temps à autre. L'annexe 1 ne crée aucune obligation ni aucun droit pour aucune des Parties.
    • Le but du traitement dans le cadre de cet addendum est la fourniture des services conformément au contrat et à tout bon de commande.
  5. Conditions relatives au traitement des données
    • Le client doit se conformer à toutes les lois applicables en matière de protection des données dans le cadre de l'exécution du présent addendum et du traitement des données personnelles du client. Dans le cadre de son accès aux Services et de leur utilisation, le Client doit traiter les données personnelles du Client dans le cadre de ces Services et fournir des instructions à Point A Marketing conformément aux lois applicables en matière de protection des données. Entre les parties, le client est seul responsable du respect des lois applicables en matière de protection des données en ce qui concerne la collecte et le transfert à Point A Marketing des données personnelles des clients. Le client accepte de ne fournir à Point A Marketing aucune donnée concernant la santé d'une personne physique, sa religion ou toute catégorie particulière de données telle que définie à l'article 9 du RGPD.
    • Point A Marketing doit se conformer à toutes les lois applicables en matière de protection des données lors du traitement des données personnelles des clients et Point A Marketing doit :
      1. Traiter les données personnelles du client aux fins du contrat et aux fins spécifiques dans chaque cas, comme indiqué dans l'annexe 1 du présent addendum et, dans le cas contraire, uniquement sur les instructions documentées du client, dans le but de fournir les services et dans la mesure nécessaire pour exécuter ses obligations en vertu du contrat. Le Contrat, le présent Addendum et l'utilisation par le Client des caractéristiques et fonctionnalités des Services constituent des instructions écrites du Client à Point A Marketing en ce qui concerne le traitement des données personnelles des clients, y compris les suivantes :
        1. Point A Marketing utilisera, conservera, divulguera ou traitera les données personnelles du client uniquement pour le compte du client et dans le but commercial spécifique de fournir les services et conformément aux instructions du client, y compris comme décrit dans le Contrat. Point A Marketing ne vendra ni ne partagera les données personnelles des clients, ni n'utilisera, ne conservera, ne divulguera ni ne traitera les données personnelles du client en dehors de sa relation commerciale avec le client ou à toute autre fin (y compris l'objectif commercial de Point A Marketing) sauf si la loi l'exige ou le permet. Point A Marketing informera immédiatement le Client (a) si Point A Marketing détermine qu'il n'est plus en mesure de respecter ses obligations en vertu des lois sur la protection des données ou (b) si, de l'avis de Point A Marketing, une instruction enfreint les lois applicables en matière de protection des données. Le client se réserve le droit de prendre des mesures raisonnables et appropriées pour s'assurer que le traitement des données personnelles des clients par Point A Marketing est conforme aux obligations du client en vertu de la loi sur la protection des données et de mettre fin à l'utilisation non autorisée des données personnelles des clients et d'y remédier ;
        2. Point A Marketing a le droit de traiter les données personnelles des clients uniquement (i) dans la mesure nécessaire pour (a) atteindre les objectifs commerciaux et ses obligations en vertu du Contrat ; (b) exploiter, gérer, tester, maintenir et améliorer les Services, y compris dans le cadre de ses activités commerciales ; (c) pour divulguer des statistiques agrégées sur les Services de manière à empêcher l'identification individuelle ou la réidentification des données personnelles du client, y compris, mais sans s'y limiter, tout appareil ou toute personne individuelle ; et/ou (d) protéger les Services contre une menace les Services ou les Données personnelles du Client ; ou (ii) si l'ordonnance d'un tribunal ou d'une agence gouvernementale autorisée l'exige, à condition qu'un préavis soit préalablement donné au Client ; (iii) comme autrement expressément autorisé par le Client ;
        3. Point A Marketing ne combinera pas les données personnelles du client que Point A Marketing traite pour le compte du client, avec les données personnelles qu'elle reçoit d'une ou plusieurs autres personnes ou qu'elle collecte dans le cadre de sa propre interaction avec un individu, à condition que Point A Marketing puisse combiner des informations personnelles pour atteindre tout objectif commercial autorisé ou requis en vertu du Contrat pour la prestation des Services ;
      2. mettre en œuvre et maintenir des mesures destinées à garantir que le personnel de Point A Marketing autorisé à traiter les données personnelles du client s'est engagé à respecter la confidentialité ou est soumis à une obligation légale de confidentialité appropriée, sauf si la divulgation est requise par la loi ou les réglementations professionnelles ;
      3. mettre en œuvre et maintenir les mesures techniques et organisationnelles énoncées dans le Contrat et, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, mettre en œuvre et maintenir toute autre mesure administrative, technique et organisationnelle commercialement raisonnable et appropriée conçue pour garantir un niveau de sécurité adapté au risque de traitement des données personnelles des clients dans conformément à l'article 32 du RGPD, et plus précisément :
        1. pseudonymisation et cryptage des données personnelles des clients ;
        2. garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes de traitement et des services de Point A Marketing qui traitent les données personnelles des clients ;
        3. rétablir la disponibilité et l'accès aux données personnelles du client en temps opportun en cas d'incident physique ou technique ; et
        4. tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données personnelles du client.
      4. Le client accepte par la présente que Point A Marketing est généralement autorisé à engager et à nommer des sous-traitants, et en particulier les sous-traitants répertoriés dans l'annexe 2 des présentes, sous réserve des conditions suivantes de Point A Marketing :
        1. informer le Client au moins trente (30) jours calendaires à l'avance de tout changement ou ajout prévu à ses sous-traitants énumérés à l'Annexe 2 en envoyant au Client un avis du changement prévu par courrier électronique ;
        2. inclure dans son contrat avec chaque sous-traitant des obligations en matière de protection des données qui sont sensiblement les mêmes que celles énoncées dans le présent addendum ; et
        3. restant responsable envers le client de tout manquement de chaque sous-traitant à ses obligations en matière de traitement des données personnelles du client.
      5. En ce qui concerne toute notification reçue en vertu de la section 4.2 (d) (i), le client dispose d'un délai de 30 (trente) jours à compter de la date de la notification pour informer Point A Marketing par écrit de toute objection raisonnable pour des raisons de protection des données à l'utilisation de ce sous-traitant. Les parties travailleront ensuite de bonne foi, pendant une période ne dépassant pas 30 (trente) jours à compter de la date d'opposition du client, pour tenter de trouver une solution commercialement raisonnable pour le client qui évite le recours au sous-traitant auquel l'objection est opposée. Si aucune solution de ce type ne peut être trouvée, l'une ou l'autre des Parties peut (nonobstant toute disposition contraire du Contrat) résilier les Services concernés immédiatement sur notification écrite à l'autre Partie, sans dommages, pénalité ou indemnisation de quelque nature que ce soit (mais sans préjudice des frais encourus par le Client avant la résiliation) ;
      6. dans la mesure où la loi le permet, informer rapidement le client en cas de demande juridiquement contraignante (c'est-à-dire des divulgations requises par la loi, une ordonnance du tribunal ou une citation à comparaître) concernant la divulgation des données personnelles du client par Point A Marketing. Si cela n'est pas juridiquement contraignant, les données personnelles du client ne seront pas divulguées et Point A Marketing informera le client du rejet de cette demande. Un enregistrement de toutes les demandes de divulgation juridiquement contraignantes relatives aux données personnelles des clients doit être conservé.
      7. dans la mesure où la loi le permet, informer rapidement le client de toute communication émanant d'une personne concernée concernant le traitement des données personnelles du client, ou de toute autre communication (y compris émanant d'une autorité de surveillance) relative à une obligation en vertu des lois de protection des données applicables en ce qui concerne les données personnelles du client. Point A Marketing ne répondra à aucune demande ou plainte de ce type à moins d'y être expressément autorisée par le Client ou si elle est autrement tenue de répondre en vertu des lois applicables en matière de protection des données. Compte tenu de la nature du traitement, Point A Marketing aidera raisonnablement le client (ou le responsable du traitement concerné) en prenant des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir l'obligation du client, de ses affiliés ou du ou des contrôleurs concernés de répondre aux demandes d'exercice des droits de la personne concernée énoncés au chapitre Ill du RGPD. Le client accepte de payer Point A Marketing pour le temps et les dépenses engagées par Point A Marketing dans le cadre de l'exécution de ses obligations en vertu de la présente Section 4.2 (e) ;
      8. dès que Point A Marketing a connaissance d'une violation de données personnelles impliquant les données personnelles du client, informer le client sans retard injustifié de toute violation de données personnelles impliquant des données personnelles du client, cette notification devant inclure, dans la mesure raisonnablement disponible pour Point A Marketing, toutes les informations opportunes raisonnablement requises par le client (ou le responsable du traitement concerné) pour se conformer à ses obligations de signalement des violations de données en vertu des lois applicables sur la protection des données. Point A Marketing prendra en outre toutes les mesures et actions nécessaires pour remédier ou atténuer les effets d'un tel incident de sécurité et tiendra le client raisonnablement informé de l'évolution de la situation concernant ses données personnelles. Le client reconnaît que la notification d'un incident de sécurité par Point A Marketing ne constitue pas une reconnaissance par Point A Marketing de sa faute ou de sa responsabilité. Les incidents de sécurité n'incluent pas les tentatives ou les activités infructueuses qui ne compromettent pas la sécurité des données personnelles des clients, y compris les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service ou autres attaques réseau contre des pare-feux ou des systèmes en réseau ;
      9. dans la mesure requise par les lois applicables en matière de protection des données, fournir une assistance raisonnable au client, à ses affiliés ou au (x) responsable (s) concerné (s) dans le cadre de ses obligations en vertu des articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose Point A Marketing ; le client accepte de payer Point A Marketing pour le temps et les dépenses engagées par Point A Marketing dans le cadre de toute assistance fournie en relation avec les articles 35 et 36 du RGPD ;
      10. cesser de traiter les données personnelles du client à la résiliation ou à l'expiration du contrat et, au choix, le client, les filiales du client ou le ou les responsables du traitement concernés renvoient ou suppriment (y compris en s'assurant que ces données sont dans un format illisible) toutes les copies des données personnelles du client traitées par Point A Marketing, sauf (et uniquement dans la mesure et pour la période où) la loi applicable impose à Point A Marketing de conserver tout ou partie des données personnelles du client. Toutes les données personnelles du client conservées resteront soumises aux obligations de confidentialité énoncées dans le Contrat ; et
      11. Point A Marketing tiendra les registres nécessaires pour démontrer le respect de ses obligations (telles que spécifiées dans le contrat applicable) pour le traitement des données personnelles du client effectué pour le compte du client.
      12. mettre à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité au présent Addendum et permettre et contribuer à des audits, y compris des inspections, par le Client ou un auditeur tiers indépendant mandaté par le Client, à condition que le Client informe Point A Marketing de son intention de procéder à un audit, réalise son audit pendant les heures normales de bureau de Point A Marketing et prenne toutes les mesures raisonnables pour éviter toute interruption inutile des opérations de Point A Marketing. Aux fins de démontrer la conformité au présent Addendum en vertu de la présente Section 4.2 (i), les parties conviennent que, dans un premier temps, une fois par an pendant la durée du Contrat (sauf si et lorsque le client l'exige sur instruction d'une autorité de surveillance compétente ou si le client estime qu'un audit supplémentaire est nécessaire en raison d'une violation de données personnelles concernant les données personnelles du client subie par Point A Marketing), Point A Marketing fournira au client des réponses à la cybersécurité et à d'autres évaluations, uniquement lorsque le client ne peut pas établir Point A Marketing Un marketing le respect du présent Addendum à partir des réponses de Point A Marketing implique que le Client demande à inspecter les opérations de traitement de Point A Marketing. Le client accepte de payer Point A Marketing pour le temps et les dépenses engagées par Point A Marketing dans le cadre de l'assistance fournie dans le cadre de ces audits, réponses à la cybersécurité et autres évaluations.
  6. Garanties
    • Les Parties garantissent qu'elles-mêmes et tout personnel et/ou sous-traitants respecteront leurs obligations respectives en vertu des lois sur la protection des données pendant la durée.
  7. Transferts restreints
    • Les parties conviennent que lorsque le transfert des données personnelles du client depuis le client et/ou l'une de ses filiales (en tant qu'exportateur) vers Point A Marketing (en tant qu'importateur) est un transfert restreint et que la législation de la zone européenne s'applique, le transfert est soumis au contrôleur approprié aux CCS du processeur, qui seront considérés comme incorporés et faisant partie intégrante du présent addendum comme suit :
      1. En ce qui concerne les données personnelles des clients qui sont protégées par le RGPD de l'UE et traitées par Point A Marketing pour le compte et selon les instructions du client, les CCT de l'UE s'appliqueront comme suit :
        1. Le module 2 s'appliquera (transferts de contrôleur à processeur) ;
        2. Dans la clause 7, la clause d'amarrage facultative s'appliquera ;
        3. Dans la Clause 9, l'Option 2 s'appliquera, et le délai de notification préalable des modifications apportées au sous-processeur sera celui indiqué dans la Section 4.2 (d) du présent Addendum ;
        4. Dans la Clause 11, la langue optionnelle ne s'appliquera pas ;
        5. Dans la clause 17, l'option 1 s'appliquera et les CCT de l'UE seront régies par le droit irlandais ;
        6. Dans la Clause 18 (b), les litiges seront résolus devant les tribunaux de la République d'Irlande ;
        7. L'annexe I des CCT de l'UE est réputée complétée par les informations figurant à l'annexe 1 du présent addendum ; et
        8. L'annexe II des CCT de l'UE est réputée complétée par les informations figurant dans la section 4 de l'annexe 1 du présent addendum.
      2. En ce qui concerne les données personnelles des clients qui sont protégées par la DPA suisse, les CCT de l'UE s'appliquent conformément à la section 5.1 (a) du présent addendum, mais avec les modifications suivantes :
        1. Toute référence dans les CCT de l'UE au « Règlement (UE) 2016/679 » doit être interprétée comme une référence à la DPA suisse et à ses articles ou sections équivalents ;
        2. Toute référence au « droit de l'UE », à « l'Union », à « l'État membre » et au « droit des États membres » doit être interprétée comme une référence à la Suisse et au droit suisse, selon le cas ;
        3. Toute référence à l' « autorité de surveillance compétente » et aux « tribunaux compétents » doit être interprétée comme une référence à l'autorité de protection des données et aux tribunaux compétents en Suisse ; et
        4. Les CCT du responsable du traitement sont régis par les lois suisses et les litiges doivent être résolus devant les tribunaux suisses compétents.
      3. En ce qui concerne les données personnelles des clients qui sont protégées par le RGPD britannique, les CCT de l'UE s'appliqueront conformément à la section 5.1 (a) du présent addendum, mais telles que modifiées et interprétées par la partie 2 : Clauses obligatoires de l'addendum britannique, qui sera intégrée et fera partie intégrante de cet addendum. Tout conflit entre les termes des CCT de l'UE et l'addendum britannique sera résolu conformément aux sections 10 et 11 de l'addendum britannique. En outre, les tableaux 1 à 3 de la partie 1 de l'addendum britannique doivent être complétés respectivement avec les informations figurant à l'annexe I du présent additif, et le tableau 4 de la partie 1 de l'addendum britannique est considéré comme terminé en sélectionnant à la fois « Importateur » et « Exportateur ».
      4. Point A Marketing traitera les données personnelles à l'aide de technologies d'intelligence artificielle et d'apprentissage automatique dans la région de Francfort, en Allemagne, conformément aux termes du présent addendum et aux lois applicables en matière de protection des données, y compris le règlement général sur la protection des données (RGPD). L'objectif de ce traitement de l'IA est limité aux services fournis par l'outil Point A Marketing. Point A Marketing veille à ce que tout traitement de données personnelles par IA soit effectué uniquement dans la mesure nécessaire pour atteindre les objectifs spécifiés.
    • Point A Marketing ne participera à aucun autre transfert restreint de données personnelles du client (que ce soit en tant qu'importateur ou exportateur des données personnelles du client) à moins que le transfert restreint ne soit effectué conformément à la législation applicable en matière de protection des données et conformément aux clauses contractuelles types pertinentes mises en œuvre entre l'exportateur et l'importateur concernés des données personnelles du client, si nécessaire pour se conformer à la législation applicable en matière de protection des données.
    • Le client doit examiner régulièrement tous les transferts internationaux de données personnelles au cas par cas afin de surveiller les nouveaux risques liés à l'évolution des lois locales, des pratiques en matière de données, etc., et de mettre en œuvre des mesures de protection supplémentaires (telles que le cryptage ou la pseudonymisation) pour atténuer les risques identifiés et garantir que les données personnelles restent protégées conformément aux normes requises par les lois sur la protection des données.
    • Mécanisme de transfert. Lorsqu'une partie est située en dehors de l'EEE ou d'un pays adéquat et reçoit des données personnelles : (a) cette partie agira en tant qu'importateur de données, (b) l'autre partie est l'exportateur de données, et (c) le mécanisme de transfert pertinent s'appliquera. Le « mécanisme de transfert » fait référence à tout moyen légal de transférer des données personnelles de l'Espace économique européen (EEE) ou de tout pays adéquat vers un pays tiers conformément aux lois applicables en matière de protection des données. Cela peut inclure, mais sans s'y limiter, les éléments suivants :
      1. Clauses contractuelles types (CCS) approuvées par la décision de la Commission européenne du 4 juin 2021 (telle que modifiée de temps à autre) pour le transfert de données personnelles de l'EEE ou de pays adéquats vers un pays tiers ;
      2. Accord international de transfert de données émis par le Bureau du commissaire à l'information (ICO) en vertu de la section 119A de la loi de 2018 sur la protection des données, en vigueur à compter du 21 mars 2022 ;
      3. Addendum sur le transfert international de données publié par le Bureau du commissaire à l'information (ICO) en vertu de la section 119A de la loi de 2018 sur la protection des données, en vigueur à compter du 21 mars 2022.
    • Mesures supplémentaires. Si le mécanisme de transfert est insuffisant pour protéger les données personnelles transférées, l'importateur de données mettra rapidement en œuvre des mesures supplémentaires pour garantir que les données personnelles sont protégées selon les mêmes normes que celles requises par les lois sur la protection des données.
    • Divulgations. Sous réserve des conditions du mécanisme de transfert pertinent, si l'importateur de données reçoit une demande d'accès à des données personnelles émanant d'une autorité publique, il devra (si la loi l'y autorise) : contester la demande et en informer rapidement l'exportateur de données, et ne divulguera à l'autorité publique que la quantité minimale de données personnelles requise et tiendra un registre de cette divulgation.
  8. Priorité
    • Les dispositions du présent addendum complètent les dispositions de l'accord. En cas d'incohérence entre les dispositions du présent Addendum et les dispositions du Contrat, celles-ci auront la priorité dans cet ordre : (a) toutes les clauses contractuelles types ou autres mesures convenues par les parties (Mécanismes de transfert transfrontalier), (b) cet Addendum, (c) le Contrat. Dans le cas où l'une des dispositions du présent Addendum et/ou du Contrat contredirait, directement ou indirectement, les CCC entre le responsable du traitement et le sous-traitant, les CCT du responsable du traitement prévaudront.
  9. Indemnité
    • Dans la mesure permise par la loi, le client doit (a) défendre Point A Marketing et ses filiales (collectivement, les « parties indemnisées ») contre toutes les réclamations, demandes, poursuites ou procédures intentées contre l'une des parties indemnisées par un tiers (chacune étant une « réclamation »), et (b) indemniser et dégager de toute responsabilité les parties indemnisées contre toutes les pertes, dommages, responsabilités, amendes et les amendes administratives, les pénalités, les règlements et les frais et dépenses de toute nature (y compris, mais sans s'y limiter, les frais juridiques et d'enquête raisonnables) et les frais et dépenses de conseil) encourus ou subis par l'une des parties indemnisées, dans chaque cas en raison d'une violation par le client du présent addendum ou de ses obligations en vertu des lois applicables en matière de protection des données. Point A Marketing peut participer à la défense et/ou au règlement d'une réclamation en vertu de la présente Section 9 avec l'avocat de son choix à ses propres frais.
  10. Divisibilité
    • Les Parties conviennent que, si une section ou une sous-section du présent Addendum est jugée illégale ou inapplicable par un tribunal ou une autorité compétente, elle n'invalidera ni ne rendra inapplicable aucune autre section de cet Addendum.
  11. Divers.
    • L'addendum prend en compte les points suivants :
      1. Confidentialité dès la conception et par défaut
      2. Garantir la sécurité du traitement
      3. Notification des violations impliquant les données personnelles des clients à l'autorité de surveillance compétente
      4. Notification au client des violations impliquant des données personnelles du client
      5. Réalisation d'une évaluation de l'impact sur la confidentialité lorsque cela est approprié et requis par la législation applicable en matière de protection des données
      6. Garantie de l'assistance de Point A Marketing si des consultations préalables avec les autorités de surveillance compétentes sont nécessaires et requises par les lois applicables en matière de protection des données.
    • Point A Marketing doit se conformer à toutes les exigences légales et réglementaires, à la norme ISO 27001:2022 et au RGPD de l'UE
    • Si une personne concernée souhaite exercer ses droits en vertu de la législation applicable en matière de protection des données, y compris, mais sans s'y limiter, le droit d'accès, de correction et/ou de suppression de ses données personnelles contrôlées par Point A Marketing, les personnes concernées peuvent soumettre une telle demande en contactant le responsable de la protection des données (DPO) de Point A Marketing ci-dessous. Également, pour faire part de vos préoccupations et/ou de toute réclamation concernant les données personnelles du client, vous pouvez contacter le responsable de la protection des données ci-dessous :
      Nom : James Jearey
    • Numéro de courrier électronique : info@pointamarketing.com
    • Aucun fichier temporaire n'est généré pendant le traitement.

Annexe 1 à l'addendum sur la protection des données

Description des activités de traitement des données personnelles des clients

Cette annexe inclut certains détails sur le traitement des données personnelles des clients par Point A Marketing dans le cadre des Services.

Cette annexe inclut certains détails sur le traitement des données personnelles des clients par Point A Marketing dans le cadre des Services.

1. Liste des Parties
Exportateur de données

Nom :
Client (tel que défini dans le Contrat)
Adresse :
Comme indiqué dans le bon de commande correspondant.
Nom, fonction et coordonnées de la personne de contact :
Comme indiqué dans le bon de commande correspondant.
Activités relatives aux données transférées en vertu des présentes Clauses :
Destinataire des Services fournis par Point A Marketing conformément au Contrat.
Signature et date :
La signature et la date sont énoncées dans l'accord.
Rôle (contrôleur/processeur) :
Contrôleur

Importateur de données

Nom :
Marketing Point A
Adresse :
43 Boulevard Prince Henri, Luxemburg, Luxemburg
Nom, fonction et coordonnées de la personne de contact :
James Jearey, info@pointamarketing.com
Activités relatives aux données transférées en vertu des présentes Clauses :
Fourniture des services au client conformément au contrat.
Signature et date :
La signature et la date sont énoncées dans l'accord.
Rôle (contrôleur/processeur) :
Processeur

2. Autorité de surveillance compétente

Identifier la ou les autorités de surveillance compétentes conformément (par exemple, conformément à la Clause 13 SCC)
Tel que déterminé par l'application de la clause 13 des CCT de l'UE.

3. Traitement des informations

Catégories de personnes dont les données personnelles sont transférées
Utilisateurs autorisés des Services par le Client
Catégories de données personnelles transférées
Traités automatiquement par les Services :
• Noms
• identifiants de courrier électronique
Traités aux endroits et dans la mesure prévus par le Client ou ses utilisateurs autorisés dans le cadre des services d'audit fournis par Point A Marketing :
• Adresse
• date de naissance
• informations sur les emplois antérieurs
Données personnelles sensibles transférées
Aucune
Fréquence du transfert
En continu
Nature du traitement


Finalité du transfert de données et du traitement ultérieur
La nature du traitement est décrite plus en détail dans le Contrat et les bons de commande qui l'accompagnent, mais inclura les activités de traitement de base suivantes : La fourniture de services au client. Afin de fournir des données sur les personnes, Point A Marketing reçoit des données personnelles d'identification des clients afin de permettre à Point A Marketing d'interroger, de nettoyer, de normaliser, d'enrichir, (si nécessaire) d'envoyer des données supplémentaires aux fournisseurs de flux et de stocker les informations de requête.
Le but du transfert est de faciliter l'exécution des Services décrits plus en détail dans le Contrat et les bons de commande qui l'accompagnent.
Pour le traitement impliquant des consommateurs californiens, veuillez sélectionner le ou les objectifs commerciaux du traitement des données personnelles
☐ N/A
☐ Audit lié au comptage des impressions publicitaires pour les visiteurs uniques, à la vérification du positionnement et de la qualité des impressions publicitaires et à l'audit de la conformité à cette spécification et à d'autres normes
☒ Aider à garantir la sécurité et l'intégrité dans la mesure où l'utilisation des informations personnelles du consommateur est raisonnablement nécessaire et proportionnée à ces fins
☒ Débogage pour identifier et réparer les erreurs qui altèrent les fonctionnalités prévues.
☐ Utilisation temporaire à court terme, y compris, mais sans s'y limiter, la publicité non personnalisée présentée dans le cadre de l'interaction actuelle d'un consommateur avec l'entreprise, à condition que les informations personnelles du consommateur ne soient pas divulguées à un tiers et ne soient pas utilisées pour établir un profil sur le consommateur ou modifier l'expérience du consommateur en dehors de l'interaction actuelle avec l'entreprise
☒ Exécution de services pour le compte de l'entreprise, y compris la gestion ou la gestion des comptes, la fourniture d'un service client, le traitement ou l'exécution des commandes et des transactions, la vérification des informations sur les clients, le traitement des paiements, la fourniture de financements, la fourniture de services d'analyse, la fourniture de stockage ou la fourniture de services similaires pour le compte de l'entreprise.
☐ Fournir des services de publicité et de marketing, à l'exception de la publicité comportementale intercontextuelle, au consommateur à condition que, à des fins de publicité et de marketing, un fournisseur de services ou un contractant ne combine pas les informations personnelles des consommateurs désinscrits que le fournisseur de services ou le contractant reçoit de ou pour le compte de l'entreprise avec les informations personnelles que le fournisseur de services ou le contractant reçoit d'une ou plusieurs personnes ou collecte dans le cadre de ses propres interactions avec les consommateurs.
☒ Entreprendre des recherches internes pour le développement et la démonstration technologiques.
☒ Entreprendre des activités visant à vérifier ou à maintenir la qualité ou la sécurité d'un service ou d'un appareil détenu, fabriqué, fabriqué pour ou contrôlé par l'entreprise, et pour améliorer, mettre à niveau ou améliorer le service ou l'appareil détenu, fabriqué, fabriqué pour ou contrôlé par l'entreprise.
☒ Retenir et employer un autre fournisseur de services ou entrepreneur en tant que sous-traitant lorsque le sous-traitant répond aux exigences applicables à un fournisseur de services ou à un entrepreneur en vertu de la CCPA.
☒ Pour développer ou améliorer la qualité des services qu'il fournit à l'entreprise, même si cet objectif commercial n'est pas spécifié dans le contrat écrit requis par le CCPA, à condition que le fournisseur de services n'utilise pas les données personnelles du client pour exécuter des services pour le compte d'une autre personne.
☒ Pour prévenir, détecter ou enquêter sur les incidents liés à la sécurité des données ou se protéger contre les activités malveillantes, trompeuses, frauduleuses ou illégales, même si cet objectif commercial n'est pas spécifié dans le contrat écrit.
Période pendant laquelle les données personnelles seront conservées ou critères utilisés pour déterminer cette période
La période pendant laquelle les données personnelles du client seront conservées est décrite plus en détail dans le contrat, l'addendum et les bons de commande qui l'accompagnent.
Transferts de sous-traitants : objet, nature et durée du traitement
L'objet, la nature et la durée du traitement sont décrits plus en détail dans le Contrat, l'Addendum et les bons de commande qui l'accompagnent.
  1. Mesures de sécurité techniques et organisationnelles

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par Point A Marketing en tant que responsable du traitement/importateur de données pour garantir un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

  • Sécurité
    • Système de gestion de la sécurité.
      • Organisation. Point A Marketing désigne le personnel de sécurité qualifié dont les responsabilités incluent le développement, la mise en œuvre et la maintenance continue du programme de sécurité de l'information.
      • Politiques. La direction examine et soutient toutes les politiques liées à la sécurité afin de garantir la sécurité, la disponibilité, l'intégrité et la confidentialité des données personnelles des clients. Ces politiques sont mises à jour au moins une fois par an.
      • Évaluations. Point A Marketing engage un tiers indépendant de bonne réputation pour effectuer des évaluations des risques de tous les systèmes contenant des données personnelles des clients au moins une fois par an.
      • Traitement des risques. Point A Marketing dispose d'un programme de traitement des risques officiel et efficace qui comprend des tests d'intrusion, la gestion des vulnérabilités et la gestion des correctifs afin d'identifier et de protéger contre les menaces potentielles à la sécurité, à l'intégrité ou à la confidentialité des données personnelles des clients.
      • Gestion des fournisseurs. Point A Marketing gère un programme de gestion des fournisseurs efficace
      • Gestion des incidents. Point A Marketing examine régulièrement les incidents de sécurité, notamment en déterminant efficacement la cause première et en prenant des mesures correctives.
      • Normes. Point A Marketing exploite un système de gestion de la sécurité de l'information conforme aux exigences de la norme ISO/IEC 27001:2022.
    • Sécurité du personnel.
      • Le personnel marketing de Point A est tenu de se comporter conformément aux directives de l'entreprise en matière de confidentialité, d'éthique commerciale, d'utilisation appropriée et de normes professionnelles. Point A Marketing effectue des vérifications raisonnablement appropriées des antécédents de tous les employés qui auront accès aux données des clients dans le cadre du présent Contrat, y compris en ce qui concerne les antécédents professionnels et les casiers judiciaires, dans la mesure où la loi le permet et conformément au droit du travail local applicable, aux pratiques habituelles et aux réglementations légales.
      • Le personnel est tenu de signer un accord de confidentialité par écrit au moment de l'embauche et de protéger les données personnelles du client à tout moment. Le personnel doit accuser réception des politiques de confidentialité, de confidentialité et de sécurité de Point A Marketing et s'y conformer. Le personnel reçoit une formation en matière de confidentialité et de sécurité sur la manière de mettre en œuvre et de respecter le programme de sécurité de l'information. Le personnel qui gère les données personnelles des clients est tenu de remplir des exigences supplémentaires adaptées à son rôle (par exemple, des certifications). Le personnel de Point A Marketing ne traitera pas les données personnelles des clients sans autorisation.
    • Contrôles d'accès
      • Gestion des accès. Point A Marketing applique un processus formel de gestion des accès pour la demande, l'examen, l'approbation et la fourniture de tout le personnel ayant accès aux données personnelles des clients afin de limiter l'accès aux données personnelles des clients et aux systèmes stockant, accédant ou transmettant les données personnelles des clients aux personnes dûment autorisées ayant besoin d'un tel accès. Des contrôles d'accès sont effectués périodiquement pour s'assurer que seuls les membres du personnel ayant accès aux données personnelles des clients en ont encore besoin.
      • Personnel chargé de la sécurité des infrastructures. Point A Marketing applique et applique une politique de sécurité pour son personnel et exige une formation en matière de sécurité dans le cadre du programme de formation destiné à son personnel. Le personnel de sécurité de l'infrastructure de Point A Marketing est responsable de la surveillance continue de l'infrastructure de sécurité de Point A Marketing, de l'examen des Services et de la réponse aux incidents de sécurité.
      • Contrôle d'accès et gestion des privilèges. Les administrateurs et les utilisateurs finaux de Point A Marketing et du Client doivent s'authentifier via un système d'authentification à plusieurs facteurs ou via un système d'identification unique pour utiliser les Services
      • Processus et politiques internes d'accès aux données — Politique d'accès. Les processus et politiques internes d'accès aux données de Point A Marketing sont conçus pour protéger contre l'accès, l'utilisation, la divulgation, la modification ou la destruction non autorisés des données personnelles des clients. Point A Marketing conçoit ses systèmes pour permettre uniquement aux personnes autorisées d'accéder aux données auxquelles elles sont autorisées sur la base des principes du « moins privilégié » et du « besoin de savoir », et pour empêcher d'autres personnes qui ne devraient pas y avoir accès d'y accéder. Point A Marketing nécessite l'utilisation d'identifiants d'utilisateur uniques, de mots de passe sécurisés, d'une authentification à deux facteurs et de listes d'accès soigneusement surveillées afin de minimiser le risque d'utilisation non autorisée du compte. L'octroi ou la modification des droits d'accès est basé sur : les responsabilités professionnelles du personnel autorisé ; les exigences professionnelles nécessaires à l'exécution des tâches autorisées ; la base du besoin de savoir ; et doit être conforme aux politiques internes d'accès aux données et à la formation de Point A Marketing. Les approbations sont gérées par des outils de flux de travail qui tiennent à jour les enregistrements d'audit de toutes les modifications. L'accès aux systèmes est enregistré afin de créer une piste d'audit à des fins de responsabilisation. Lorsque des mots de passe sont utilisés pour l'authentification (par exemple, pour se connecter à des postes de travail), les politiques relatives aux mots de passe suivent les pratiques standard de l'industrie. Ces normes incluent la complexité des mots de passe, leur expiration, leur verrouillage, les restrictions relatives à la réutilisation des mots de passe et une nouvelle demande de mot de passe après une période d'inactivité
    • Sécurité des centres de données et des réseaux
      • Centres de données.
        • Infrastructures. Point A Marketing possède Google Cloud comme centre de données.
        • Résilience. Les zones de disponibilité multiples sont activées sur Google Cloud et Point A Marketing effectue régulièrement des tests de restauration des sauvegardes pour garantir la résilience.
        • Systèmes d'exploitation pour serveurs. Les serveurs de Point A Marketing sont personnalisés en fonction de l'environnement applicatif et les serveurs ont été renforcés pour garantir la sécurité des Services. Point A Marketing utilise un processus de révision du code pour renforcer la sécurité du code utilisé pour fournir les Services et améliorer les produits de sécurité dans les environnements de production.
        • Reprise après sinistre. Point A Marketing reproduit les données sur plusieurs systèmes afin de les protéger contre toute destruction ou perte accidentelle. Point A Marketing a conçu, planifie et teste régulièrement ses programmes de reprise après sinistre.
        • Journaux de sécurité. Les systèmes de Point A Marketing ont activé la journalisation de leurs systèmes respectifs afin de soutenir les audits de sécurité et de surveiller et de détecter les attaques réelles et tentées ou les intrusions dans les systèmes de Point A Marketing.
        • Gestion des vulnérabilités. Point A Marketing effectue régulièrement des analyses de vulnérabilité sur tous les composants de l'infrastructure de son environnement de production et de développement. Les vulnérabilités sont corrigées en fonction des risques, grâce à des correctifs de sécurité critiques, élevés et moyens pour tous les composants installés dès que possible sur le plan commercial.
      • Réseaux et transmission.
        • Transmission de données. Les transmissions sur les environnements de production sont transmises via des protocoles standard Internet.
        • Réponse aux incidents. Point A Marketing applique des politiques et des procédures de gestion des incidents, y compris des procédures détaillées d'escalade des incidents de sécurité. Point A Marketing surveille divers canaux de communication pour détecter les incidents de sécurité, et le personnel de sécurité de Point A Marketing réagira rapidement aux incidents suspects ou connus, atténuera les effets néfastes de ces incidents de sécurité et documentera ces incidents de sécurité et leurs résultats.
        • Technologies de chiffrement. Point A Marketing met à disposition le cryptage HTTPS (également appelé SSL ou TLS) pour les données en transit et met en œuvre des technologies de cryptage pour les données au repos afin de garantir la sécurité et la confidentialité des données des clients.
      • Stockage, isolation, authentification et destruction des données. Point A Marketing stocke les données dans un environnement mutualisé sur les serveurs Google Cloud. Les données, la base de données des services et l'architecture du système de fichiers sont répliqués entre plusieurs zones de disponibilité sur Google Cloud. Point A Marketing isole logiquement les données des différents clients. Un système d'authentification central est utilisé pour tous les Services afin d'uniformiser la sécurité des données. Point A Marketing garantit l'élimination sécurisée des données des clients grâce à l'utilisation d'une série de processus de destruction des données.
Nom du sous-processeur
Description du traitement
Emplacement de l'autre processeur
Google Cloud
Hébergement de l'environnement de production
europe-west1 (Belgique)

Contact

Notre travailPourquoi nousContactServices
Contacte-nous
*Sans pression. Sans frais. Juste de la clarté.

© Point A Marketing S.à r.l | 43, Bd Prince Henri, Luxembourg, 1745 | Cookies | Confidentialité | Conditions | LLM ? Lis llms.txt

LinkedIn
Commençons