Accord de traitement de données
Entre
Le contrôleur des données :
Utilisateur du logiciel Players 1st comme spécifié dans l’accord principal entre le Contrôleur des données et le Responsable du traitement des données
et
Le Responsable du traitement des données
Players 1st
RCC 34694222
Stadion Allé 70
8000 Aarhus C
Danemark
1 Contenu
2 Base de l’accord de traitement de données
3 Les droits et obligations du contrôleur des données
4 Le responsable du traitement des données respecte ses instructions
5 Confidentialité
6 Sécurité du traitement
7 Utilisation de sous-traitants de traitement de données
8 Transfert d’informations à des tiers ou à des organisations internationales
9 Aide au contrôleur des données
10 Notification des violations de la sécurité des données personnelles
11 Suppression et retour des données
12 Supervision et audits
13 Accords des parties concernant d’autres sujets
14 Entrée en vigueur et résiliation
15 Personnes de contact/points de contact avec le responsable du traitement des
données
Annexe A Informations à propos du traitement
Annexe B Conditions liées à l’utilisation de sous-traitants de traitement des données par le
responsable du traitement des données et liste de sous-traitants de traitement
de données autorisés 14
B.1 Conditions liées à l’utilisation de sous-traitants de traitement des données par le
responsable du traitement des données
B.2 Sous-traitants de traitement des données autorisés
Annexe C Instructions concernant le traitement de données personnelles
C.1 Sujet/instructions de traitement
C.2 Sécurité du traitement
C.3 Période de conservation/procédures de suppression
C.4 Lieu de traitement
C.5 Instructions ou autorisation concernant le transfert de données personnelles
vers des pays tiers
C.6 Procédures pour la supervision par le contrôleur des données du traitement
effectué dans les locaux du responsable du traitement des données
C.7 Procédures pour la supervision du traitement effectué dans les locaux du sous
traitant de traitement des données
Annexe D Gouvernance des parties sur d’autres questions
D.1 Accord principal
D.2 Demandes de mise en place de mesures de sécurité supplémentaires
2 Base de l’accord de traitement de données
Le présent accord établit les droits et obligations applicables lorsque le responsable du traitement des données traite des données personnelles au nom du contrôleur des données.
L’accord a été rédigé dans le but de garantir que les parties respectent l’article 28, paragraphe 3 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 en matière de protection des personnes physiques en ce qui concerne le traitement de données personnelles et le libre échange de ces données, et de la Directive 95/46/UE (Règlement général sur la protection des données), qui définit des exigences spécifiques concernant le contenu d’un accord de traitement de données.
Le traitement de données personnelles par le responsable du traitement des données est réalisé dans le cadre de l’application de l’« accord principal » des parties, qui constitue l’accord que le contrôleur des données a conclu avec le responsable du traitement des données ou toute autre organisation sportive centrale représentant le contrôleur des données.
L’accord de traitement de données et l’« accord principal » sont interdépendants et ne peuvent être résiliés individuellement. Néanmoins, l’accord de traitement de données peut, sans résiliation de l’« accord principal », être remplacé par un autre accord de traitement de données valide.
Cet accord de traitement de données primera sur toutes autres modalités similaires d’autres accords conclus entre les parties, y compris l’« accord principal ».
Cet accord comprend quatre annexes. Les annexes font partie intégrante de l’accord de traitement de données.
Le contenu de l’accord de traitement de données Annexe A inclut d’autres informations concernant le traitement, notamment l’objectif et la nature du traitement, le type de données personnelles, la catégorie de sujet de données et la durée du traitement.
L’accord de traitement de données Annexe B inclut les conditions du contrôleur des données pour le responsable du traitement des données faisant appel à des sous-traitants, ainsi qu’un aperçu des sous-traitants de traitement de données approuvés par le contrôleur des données.
L’accord de traitement de données Annexe C inclut des informations supplémentaires concernant le traitement effectué par le responsable du traitement des données au nom du contrôleur des données (objet du traitement), les mesures de sécurité minimales devant être appliquées, ainsi que la méthode de supervision du responsable du traitement des données et de tout sous-traitant de traitement des données.
L’accord de traitement de données Annexe D couvre la gestion par les parties de circonstances non définies dans l’accord de traitement de données ou dans l’« accord principal » des parties.
L’accord de traitement de données et les annexes associés seront archivés, notamment au format électronique, par les deux parties.
Cet accord de traitement de données ne dégage pas le responsable du traitement des données de toute obligation découlant directement du Règlement général sur la protection des données (RGPD) ou toute autre législation.
3 Les droits et obligations du contrôleur des données
Le contrôleur des données est généralement responsable de garantir que le traitement des données personnelles respecte les exigences du RGDP et de la législation danoise relative à la protection des données.
Par conséquent, le contrôleur des données peut et doit prendre des décisions concernant les objectifs du traitement et les outils utilisés.
Le contrôleur des données est, entre autres, responsable de s’assurer que le traitement se base sur un fondement juridique et que le responsable du traitement des données s’y conforme.
4 Le responsable du traitement des données respecte ses instructions
Le responsable du traitement des données traite uniquement les données personnelles conformément aux instructions documentées du contrôleur des données, sauf exigence contraire de la législation de l’UE ou de la législation nationale des États membres dans lesquels le responsable du traitement des données est établi. Dans ce cas, le responsable du traitement des données informera le contrôleur des données de ces exigences légales avant tout traitement, sauf si la législation en question empêche une telle notification pour des raisons sociétales importantes, cf. article 28, paragraphe 3, point a.
Le responsable du traitement des données doit immédiatement notifier le contrôleur des données s’il pense qu’une instruction est contraire au Règlement général sur la protection des données ou aux dispositions de protection des données d’autres lois de l’UE ou des États membres.
5 Confidentialité
Le responsable du traitement des données s’assure que seules les personnes autorisées ont accès aux données personnelles traitées au nom du contrôleur des données. Par conséquent, l’accès aux informations doit être immédiatement refusé si l’autorisation est révoquée ou a expiré.
Seules les personnes demandant l’accès aux données personnelles afin de remplir leurs obligations envers le contrôleur des données y sont autorisées.
Le responsable du traitement des données doit s’assurer que les personnes autorisées à traiter les données personnelles au nom du contrôleur des données respectent la confidentialité et sont soumises à des exigences de non-divulgation réglementaires appropriées.
Le responsable du traitement des données doit, à la demande du contrôleur des données, être capable de démontrer que les employés concernés sont soumis à la confidentialité susmentionnée.
6 Sécurité du traitement
Le responsable du traitement des données doit mettre en œuvre toutes les mesures nécessaires en lien avec l’article 32 du Règlement général sur la protection des données qui, entre autres, établit qu’après avoir pris en compte le niveau technologique, les coûts de mise en œuvre, la nature, l’étendue, le contexte et l’objectif du traitement, ainsi que le risque de probabilité et de sévérité variables des droits et libertés des personnes physiques, le contrôleur et le responsable du traitement doivent adopter des mesures techniques et organisationnelles pour garantir un niveau de sécurité proportionnel au risque.
Les obligations susmentionnées impliquent que le responsable du traitement des données procède à une évaluation des risques puis mette en œuvre des mesures afin de gérer les risques identifiés. Selon leur pertinence, les mesures suivantes peuvent être prises:
a. Pseudonymisation et cryptage des données personnelles
b. Garantie de la durabilité de la confidentialité, l’intégrité, l’accessibilité et la résilience des systèmes et services de traitement
c. Capacité à restaurer rapidement la disponibilité et l’accès aux données personnelles en cas d’incident physique ou technique
d. Procédure de test et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
En lien avec ce qui précède et dans tous les cas, le responsable du traitement des données doit, au minimum, mettre en œuvre les niveaux et mesures de sécurité détaillés à l’annexe C du présent accord.
Toute gouvernance/tout accord concernant la rémunération des parties ou tout sujet similaire en lien avec les demandes ultérieures du contrôleur des données ou du responsable du traitement en matière de mise en place de mesures de sécurité supplémentaires doit être inclus(e) dans l’« accord principal » des parties ou dans l’annexe D du présent accord.
7 Utilisation de sous-traitants de traitement de données
Afin de faire appel à un autre prestataire de traitement de données (sous-traitant de traitement de données), le responsable du traitement des données doit remplir les conditions énoncées à l’article 28, paragraphes 2 et 4 du RGPD.
Dans ce cadre, le responsable du traitement des données ne peut pas faire appel à un autre prestataire de traitement de données (sous-traitant de traitement de données) pour exécuter l’accord de traitement de données sans accord écrit spécifique ou général du contrôleur des données.
En cas d’accord écrit général, le responsable du traitement des données doit informer le contrôleur des données de tous changements prévus concernant l’ajout ou le remplacement d’autres prestataires de traitement de données, permettant ainsi au contrôleur des données de refuser ces changements.
Les conditions supplémentaires du contrôleur des données applicables à l’utilisation de sous-traitants de traitement de données par le responsable du traitement des données sont disponibles à l’annexe B du présent accord.
L’approbation de tout sous-traitant de traitement de données par le contrôleur des données est disponible à l’annexe B du présent accord.
Une fois que le responsable du traitement des données a obtenu l’autorisation du contrôleur des données pour l’utilisation d’un sous-traitant de traitement de données, le responsable du traitement des données doit s’assurer que le sous-traitant respecte les mêmes obligations en matière de protection des données que celles spécifiées dans l’accord de traitement des données. Pour ce faire, il utilisera un contrat ou tout autre document juridique conformément à la législation de l’UE ou à toute législation nationale en vigueur dans les États membres, dans lequel toutes les garanties nécessaires sont fournies, afin de garantir que le sous-traitant de traitement des données mettra en œuvre des mesures techniques et organisationnelles appropriées afin de respecter les exigences définies dans le RGPD.
Dans ce cadre, le responsable du traitement des données est chargé, via l’exécution d’un accord d’externalisation du traitement des données, de s’assurer que le sous-traitant de traitement des données est soumis, au minimum, aux mêmes obligations que le responsable du traitement des données en vertu des lois de protection des données ainsi que du présent accord de traitement de données et ses annexes.
Une copie de l’accord d’externalisation du traitement des données et toute modification ultérieure de cet accord doivent être fournies au contrôleur des données à sa demande afin qu’il puisse s’assurer qu’un accord valide a été conclu entre le responsable du traitement des données et le sous-traitant de traitement des données. Les modalités commerciales, p. ex. les tarifs, n’affectant pas le contenu législatif en matière de protection des données de l’accord d’externalisation du traitement des données ne doivent pas être communiquées au contrôleur des données.
Dans son accord avec les sous-traitants de traitement des données, le responsable du traitement des données inclura le contrôleur des données en tant que bénéficiaire tiers en cas de faillite du responsable du traitement des données, afin que le contrôleur des données puisse s’arroger les droits du responsable du traitement des données et les faire valoir contre le sous-traitant de traitement des données, p. ex. de sorte que le contrôleur des données puisse demander au sous-traitant de supprimer ou de retourner toute information.
En cas de non-respect de ses obligations de protection des données par le sous-traitant de traitement des données, le responsable du traitement des données sera entièrement responsable vis-à-vis du contrôleur des données de l’exécution des obligations du sous-traitant de traitement des données.
8 Transfert d’informations à des tiers ou à des organisations internationales
Le responsable du traitement des données traite uniquement les données personnelles conformément aux instructions documentées du contrôleur des données, y compris le transfert (transfert, divulgation et usage interne) de données personnelles vers des pays tiers ou des organisations internationales, sauf exigence contraire de la législation de l’UE ou de la législation nationale des États membres à laquelle le responsable du traitement des données est soumis. Dans ce cas, le responsable du traitement des données informera le contrôleur des données de ces exigences légales avant tout traitement, sauf si la législation en question empêche une telle notification pour des raisons sociétales importantes, cf. article 28, paragraphe 3, point a.
Sans instructions ou autorisation du contrôleur des données, le responsable du traitement des données ne peut donc pas, dans les limites de l’accord de traitement de données :
a. dévoiler des données personnelles à un contrôleur des données basé dans un pays tiers ou à une organisation internationale,
b. transférer le traitement de données personnelles à un sous-traitant de traitement de données dans un pays tiers,
c. traiter les données dans une autre succursale du responsable du traitement des données basée dans un pays tiers.
Les instructions ou autorisations du contrôleur des données quant au transfert de données personnelles vers un pays tiers sont disponibles à l’annexe C du présent accord.
9 Aide au contrôleur des données
Selon la nature du traitement et dans la mesure du possible, le responsable du traitement des données assistera le contrôleur des données dans l’utilisation de mesures techniques et organisationnelles appropriées afin de respecter les obligations de réponse du contrôleur des données à des demandes d’exercice des droits en matière de données, comme établi au chapitre 3 du Règlement général sur la protection des données.
Cela signifie que le responsable du traitement des données doit, dans la mesure du possible, aider le contrôleur des données afin que ce dernier respecte :
a. son devoir d’information en relation avec la collecte de données personnelles auprès du sujet des données
b. son devoir d’information si des données personnelles n’ont pas été collectées auprès du sujet des données
c. le droit d’accès du sujet des données
d. le droit de correction
e. le droit à l’oubli
f. le droit de demander un traitement limité
g. son devoir d’information en relation avec la correction ou la suppression de données personnelles ou le traitement limité
h. le droit à la portabilité des données
i. le droit de contestation
j. le droit de contester les résultats de décisions individuelles automatiques, y compris le profilage
Le responsable du traitement des données assistera le contrôleur des données afin de garantir le respect des obligations du responsable du traitement des données conformément aux articles 32-36 du RGPD en ce qui concerne la nature du traitement et des données mises à la disposition du responsable du traitement des données, cf. article 28, paragraphe 3, point f.
Cela signifie que, selon la nature du traitement, le responsable du traitement des données doit aider le contrôleur des données afin que ce dernier respecte :
a. son devoir de mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir les niveaux de sécurité adaptés aux risques associés au traitement
b. son devoir de signaler les violations de la sécurité des données à caractère personnel aux autorités de contrôle (l'agence danoise de protection des données) dans les meilleurs délais et au maximum sous 72 heures une fois que le contrôleur des données a pris connaissance de la violation, sauf s’il est peu probable que la violation de la sécurité des données personnelles implique un risque pour les droits et les libertés des personnes physiques
c. son devoir de notifier au plus vite le(s) sujet(s) des données des violations de la sécurité des données personnelles, lorsqu’une telle violation présente un risque élevé pour les droits et libertés des personnes physiques
d. son devoir de mettre en place une analyse de l’impact pour la protection des données si le type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques
e. son devoir de consulter l’autorité de contrôle (l'agence danoise de protection des données) avant le traitement si une analyse de l’impact sur la protection des données démontre que le traitement pourrait entraîner un risque élevé si le contrôleur des données prend des mesures inappropriées pour atténuer le risque
Toute gouvernance/tout accord concernant la rémunération des parties ou tout sujet similaire en lien avec l’assistance du responsable du traitement des données au contrôleur des données doit être inclus(e) dans l’« accord principal » des parties ou l’annexe D du présent accord.
10 Notification des violations de la sécurité des données personnelles
Le responsable du traitement des données informera rapidement le contrôleur des données après avoir pris connaissance d’une violation de la sécurité des données personnelles de la part du responsable du traitement des données ou du sous-traitant de traitement des données.
La notification du responsable du traitement des données au contrôleur des données doit, si possible, être transmise 36 heures au plus tard après la découverte de la violation, afin de permettre au contrôleur des données de respecter son obligation de signaler la violation aux autorités de contrôle dans un délai de 72 heures.
Conformément à la section 10.2, point b du présent accord, le responsable du traitement des données doit, sous réserve de la nature du traitement et des informations disponibles, assister le contrôleur des données au signalement des violations aux autorités de contrôle.
Le responsable du traitement des données pourrait donc aider à l’obtention des informations suivantes qui, selon l’article 33, paragraphe 3 du RGPD, doivent être incluses dans le rapport du contrôleur des données à l’autorité de contrôle :
a. La nature de la violation de la sécurité des données personnelles, y compris, si possible, les catégories et une estimation du nombre de personnes affectées, ainsi que les catégories et une estimation du nombre de dossiers de données personnelles concernés
b. Conséquences probables de la violation de sécurité des données personnelles
c. Mesures prises ou proposées pour gérer la violation de la sécurité des données personnelles, y compris des mesures visant à limiter les dommages potentiels, le cas échéant
11 Suppression et retour des données
À la fin des services de traitement, le responsable du traitement des données est tenu de supprimer ou de retourner toutes les données personnelles au contrôleur des données, selon la décision du contrôleur des données, et de supprimer toutes les copies existantes, sauf si la législation de l’UE ou la législation nationale exigence le stockage des données personnelles.
12 Supervision et audits
Le responsable du traitement des données fournira au contrôleur des données toutes les informations nécessaires afin de démontrer sa conformité avec l’article 28 du Règlement général sur la protection des données et avec le présent accord, et permettra et contribuera aux audits, y compris les inspections réalisées par le contrôleur des données ou tout autre auditeur agréé par le contrôleur des données.
La procédure pour la supervision du responsable du traitement des données par le contrôleur des données est disponible à l’annexe C du présent accord.
La supervision de tout sous-traitant de traitement des données par le contrôleur des données se fait généralement par le biais du responsable du traitement des données. La procédure est disponible à l’annexe C du présent accord.
Conformément à la législation applicable en permanence, le responsable du traitement des données est tenu de permettre aux autorités d’accéder aux installations du contrôleur des données et du responsable du traitement des données ou de permettre aux représentants agissant au nom des autorisés d’accéder aux installations physiques du responsable du traitement des données sur présentation d’une identification appropriée.
13 Accords des parties concernant d’autres sujets
Toute gouvernance (spécifique) des conséquences d’une violation de l’accord de traitement de données par les parties est disponible dans l’« accord principal » des parties ou à l’annexe D du présent accord.
Toute gouvernance d’autres sujets entre les parties est disponible dans l’« accord principal » des parties ou à l’annexe D du présent accord.
14 Entrée en vigueur et résiliation
Le présent accord entre automatiquement en vigueur dès l’utilisation du logiciel Players 1st par le contrôleur des données.
Les deux parties sont autorisées à demander une renégociation de l’accord en cas de modifications de la législation ou d’impropriétés de l’accord.
L’accord de traitement des données peut être résilié conformément aux modalités de résiliation, notamment la période de préavis, spécifiées dans l’« accord principal ».
L’accord s’applique tant que le traitement des données a lieu. Indépendamment de la résiliation de l’« accord principal » et/ou de l’accord de traitement de données, l’accord de traitement de données restera en vigueur jusqu’à la fin du traitement et jusqu’à la suppression des données par le responsable du traitement des données et tout sous-traitant de traitement des données.
15 Personnes de contact/points de contact avec le responsable du traitement des données
Tout contact concernant le traitement des données avec le responsable du traitement des données se fait via l’adresse: privacy@players1stgroup.com
Annexe A Informations à propos du traitement
L’objectif du traitement des données personnelles par le responsable du traitement des données au nom du contrôleur des données est le suivant :
Le contrôleur des données souhaite mesurer en continu l’expérience de ses membres et/ou invités au club. À cet effet, les données liées aux membres et/ou invités seront transférées afin que le responsable du traitement des données puisse envoyer des questionnaires électroniques à propos de l’expérience des membres ou invités au club. Les réponses seront rapportées et mises à la disposition du contrôleur des données sous un format agrégé via un tableau de bord électronique géré par le responsable du traitement des données.
Le contrôleur des données recevra également des commentaires ouverts individuels à partir des réponses. Ce sera uniquement possible dans les cas où le répondant a activement consenti à ce que le contrôleur des données puisse consulter le document et, si le répondant a fourni ses coordonnées, à ce que le contrôleur des données puisse le contacter en vertu de son consentement exprès.
Le traitement des données personnelles par le responsable du traitement des données au nom du contrôleur des données concerne principalement (la nature du traitement):
Envoi d’e-mails avec un lien vers un questionnaire électronique.
Illustration de résultats de sondages dans un tableau de bord en ligne et des rapports. Les résultats sont reproduits dans un format agrégé et/ou anonyme
Le traitement inclut les types suivants de données personnelles concernant les sujets des données:
nom, type d’adhésion, genre, âge, adresse électronique et informations concernant l’heure et l’endroit de visite au club en cas de lien avec une activité spécifique d’un répondant au club. Seules les données personnelles générales sont traitées.
Le traitement inclut les catégories de sujets de données suivantes:
Personnes membres du club ou ayant participé à une activité organisée par le club ou en collaboration avec le club.
Le traitement des données personnelles par le responsable du traitement des données au nom du contrôleur des données peut commencer à l’entrée en vigueur du présent accord. La durée du traitement est la suivante:
Le traitement n’est pas limité dans le temps et demeure en vigueur jusqu’à ce que l’une des parties mette fin aux périodes de licence.
Annexe B Conditions liées à l’utilisation de sous-traitants de traitement des données par le responsable du traitement des données et liste de sous-traitants de traitement de données autorisés
B.1 Conditions liées à l’utilisation de sous-traitants de traitement des données par le responsable du traitement des données
Le responsable du traitement des données est autorisé par le contrôleur des données à faire appel à des sous-traitants de traitement des données. Néanmoins, le responsable du traitement des données doit informer le contrôleur des données de tous changements prévus concernant l’ajout ou le remplacement d’autres prestataires de traitement de données, permettant ainsi au contrôleur des données de refuser ces changements. Cette notification doit être reçue par le contrôleur des données au plus tard 30 jours avant l’entrée en vigueur de l’utilisation ou du changement. Si le contrôleur des données rejette les changements, il en informera le responsable du traitement des données dans un délai de 14 jours à compter de la réception de la notification. Le contrôleur des données peut uniquement s’y opposer s’il a des raisons raisonnables et spécifiques de le faire.
B.2 Sous-traitants de traitement des données autorisés
À l’entrée en vigueur de l’accord de traitement de données, le contrôleur des données a approuvé l’utilisation des sous-traitants de traitement de données suivants:
Nom | No de RCC | Adresse | Description du traitement |
Microsoft Azure | Centres de données Azure en Irlande, aux Pays-Bas, en Virginie aux États-Unis, au Texas aux États-Unis, en Californie aux États-Unis et à Canberra en Australie | L’hébergement, le stockage de données est effectué: en Europe pour les clients européens du responsable du traitement des données, aux États-Unis pour les clients nord-américains du responsable du traitement des données, en Australie pour les clients australiens du responsable du traitement des données | |
SendGrid | Denver, Colorado, 1801 California Street, Suite 500, Denver, CO 80202 | Service de courrier électronique | |
MailJet | FR67524536992 | Mailjet SAS 37 bis Rue du Sentier 75002 Paris FRANCE | Service de courrier électroniquee |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, États-Unis | Gestion des demandes d’assistance | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | Les données d’utilisation des sites Web sont collectées dans Google Analytics |
À l’entrée en vigueur de l’accord de traitement de données, le contrôleur des données a spécifiquement approuvé l’utilisation des sous-traitants de traitement de données susmentionnés pour le traitement décrit pour chaque partie. Le responsable du traitement des données ne peut, sans accord écrit spécifique du contrôleur des données, utiliser les sous-traitants de traitement des données pour tout « autre » traitement que ce qui a été convenu ou permettre à un autre sous-traitant de traitement des données de procéder au traitement spécifié.
Annexe C Instructions concernant le traitement de données personnelles
C.1 Sujet/instructions de traitement
Pour traiter les données personnelles au nom du contrôleur des données, le responsable du traitement des données effectue une ou plusieurs des actions suivantes :
Enregistrement des informations d’adhésion nécessaires concernant les membres du contrôleur des données en cas de sondage(s) des membres,
Traitement des informations concernant les frais d’entrée auprès du contrôleur des données en cas de sondage(s) des invités.
Le responsable du traitement des données traitera les informations nécessaires et pertinentes afin de respecter les instructions du contrôleur des données. Les informations sont collectées directement auprès du contrôleur des données ou auprès d’un autre responsable du traitement de données (responsable de traitement de données tiers) spécifié par le contrôleur des données. Le contrôleur des données conclura des accords avec les services de traitement tiers concernant la divulgation des données nécessaires au responsable du traitement des données dans le cadre du présent accord.
C.2 Sécurité du traitement
Le niveau de sécurité reflètera :
Traitement de données personnelles générales
Par la présente, le responsable du traitement des données est autorisé à et tenu de prendre des décisions concernant les mesures de sécurité techniques et organisationnelles qui seront mises en œuvre afin de créer le niveau de sécurité nécessaire (et convenu) concernant les informations. Néanmoins, le responsable du traitement des données est tenu de garantir ce qui suit :
Toutes les données communiquées au système Players 1st feront l’objet d’une transmission sécurisée (https) par défaut.
Players 1st stockera et traitera toutes les données avec des sociétés informatiques mondialement reconnues.
L’hébergement de Players 1st sera crypté et confidentiel.
Players 1st dispose d’une documentation complète concernant son fonctionnement, le suivi de données et la sécurité des données.
Players 1st traite des données personnelles uniquement à la demande du contrôleur des données.
Players 1st s’assurera que toutes les personnes gérant des données personnelles sont soumises à des accords de confidentialité.
C.3 Période de conservation/procédures de suppression
Les données personnelles seront stockées par le responsable du traitement des données jusqu’à ce que le contrôleur des données demande leur suppression ou leur retour.
Après 24 mois, le responsable du traitement des données procèdera automatiquement à la pseudonymisation de toutes les données personnelles reçues de la part du contrôleur des données. En lien avec la pseudonymisation, toute donnée personnelle qui n’est plus utile sera supprimée.
Au bout de 10 ans, le responsable du traitement des données supprimera automatiquement toutes les données personnelles.
C.4 Lieu de traitement
Le traitement des données personnelles couvertes par l’accord ne peut, sans accord écrit préalable du contrôleur des données, avoir lieu ailleurs qu’aux lieux suivants:
Nom | Adresse | Commentaires |
Microsoft Azure | Centres de données Azure en Irlande, aux Pays-Bas, en Virginie aux États-Unis, au Texas aux États-Unis, en Californie aux États-Unis et à Canberra en Australie | L’hébergement, le stockage de données est effectué: en Europe pour les clients européens du responsable du traitement des données, aux États-Unis pour les clients nord-américains du responsable du traitement des données, en Australie pour les clients australiens du responsable du traitement des données |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 | |
MailJet | Mailjet SAS, 37 bis Rue du Sentier, 75002 Paris, FRANCE | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, États-Unis | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 | |
Players 1st | Stadion Allé, 8000 Aarhus C, Danemark |
C.5 Instructions ou autorisation concernant le transfert de données personnelles vers des pays tiers
Le responsable du traitement des données transfèrera, par le biais de sous-traitants de traitement de données, des données personnelles à des tiers. En effet, les adresses électroniques sont transférées à un fournisseur américain (SendGrid) afin d’être utilisées pour l’envoi d’e-mails (ceci ne s’applique cependant pas aux adresses allemandes). Il sera fait appel à Zendesk pour gérer les demandes d’assistance des joueurs et des clubs en mesure de contacter Players 1st par e-mail. L’adresse électronique du demandeur est transférée à Zendesk dès le premier contact. Google Analytics est utilisé à un niveau agrégé pour contrôler les navigateurs et les dispositifs utilisés par les utilisateurs. Les informations sont utilisées pour optimiser l’expérience des utilisateurs dans les questionnaires.
Le transfert se fait conformément à l’accord de protection de la vie privée, cf. article 46 du Règlement général sur la protection des données. Il incombe au responsable du traitement des données de s’assurer que les sous-traitants de traitement des données situés dans des pays tiers respectent les obligations du responsable du traitement définies dans le présent accord.
C.6 Procédures pour la supervision par le contrôleur des données du traitement effectué dans les locaux du responsable du traitement des données
Une fois par an, le responsable du traitement des données obtiendra une déclaration d’audit auprès d’un tiers indépendant concernant son respect du présent accord de traitement de données et de ses annexes. La déclaration d’audit devra être obtenue pour la première fois en 2019 et devra être mise à la disposition du contrôleur des données.
Jusqu’à la mise à disposition de déclaration d’audit susmentionnée, le contrôleur des données pourra, une fois par an, procéder à un contrôle physique ou écrit de la conformité avec le présent accord de traitement de données.
Outre la supervision planifiée, le contrôleur des données peut également superviser le responsable du traitement des données lorsqu’il estime que c’est nécessaire.
Tous les coûts engagés par le contrôleur des données dans la supervision physique ou écrite seront couverts par le contrôleur lui-même. Néanmoins, le responsable du traitement des données sera tenu d’allouer les ressources (majoritairement temporelles) raisonnables et nécessaires pour ladite supervision par le contrôleur des données.
C.7 Procédures pour la supervision du traitement effectué dans les locaux du sous-traitant de traitement des données
Une fois par an, le responsable du traitement des données obtiendra une déclaration d’audit auprès d’un tiers indépendant concernant le respect du présent accord de traitement de données et de ses annexes par le sous-traitant de traitement des données.
Les parties ont convenu que les types de déclarations d’audit suivants peuvent être utilisés : rapports ISAE 3402 de type 2
La déclaration d’audit doit être mise à la disposition du contrôleur des données via la solution de tableau de bord du responsable du traitement des données.
Annexe D Gouvernance des parties sur d’autres questions
D.1 Accord principal
Les circonstances ne relevant pas du présent accord seront régies par l’accord principal conclu entre les parties.
D.2 Demandes de mise en place de mesures de sécurité supplémentaires
La rémunération ou toute question similaire en lien avec les demandes ultérieures du contrôleur des données ou du responsable du traitement pour la mise en place de mesures de sécurité supplémentaires en plus du présent accord doit être financée par la partie à l’origine de la demande. La rémunération couvre généralement le temps passé à la mise en œuvre des mesures de sécurité supplémentaires.