Contrat de Sous-Traitance de Données à Caractère Personnel (DPA) - Version précedente
Il s'agit d'une page archivée de notre DPA d'Avril 2024 qui est remplacé à compter du 11 octobre 2024.
ENTRE :
Le présent Contrat de sous-traitance de données à caractère personnel (ci-après "DPA") est applicable aux relations commerciales entre la société RINGO (exerçant sous le nom de MODJO), société par actions simplifiée au capital de 38.666,31 euros immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 879 606 283, et dont le siège social est situé au 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (ci-après " RINGO ") et son Client (ci-après le " Client ") tel qu’identifié dans le Bon de Commande.
Préambule :
En el marco de la ejecución de la(s) Hoja(s) de Pedido y de las Condiciones Generales de Venta de Modjo celebradas entre RINGO y el Cliente, éste, en su calidad de Responsable del Tratamiento, confía a RINGO, en su calidad de Subcontratista, el tratamiento de los Datos Personales.
Este Acuerdo de Procesamiento de Datos forma parte de la(s) hoja(s) de pedido y de las condiciones de Modjo.
Las Partes tienen la intención de cumplir con toda la normativa aplicable en materia de Tratamiento de Datos Personales, y en particular la Ley n°78-17 de 6 de enero de 1978 (conocida como "Informática y Libertades") en su versión modificada y el Reglamento General de Protección de Datos Personales n°2016-679 de 27 de abril de 2016 ("RGPD").
Las Partes han acordado el presente Acuerdo para cumplir con las disposiciones del artículo 28, en particular los apartados 3 y 4, del RGPD. El presente Acuerdo se aplica al tratamiento de los datos personales especificados en el artículo 1.
Se acuerda expresamente que los términos utilizados en el presente Acuerdo con letra mayúscula (por ejemplo, Responsable del Tratamiento, Datos Personales, Servicio...) corresponden a las definiciones contenidas en el GDPR y en las CGC. El presente Acuerdo se leerá e interpretará a la luz de las disposiciones del RGPD.
Se acuerda lo siguiente:
1. Description des traitements
Las especificidades del tratamiento de datos personales, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Cliente, en su calidad de Responsable del Tratamiento, son :
● Catégories de personnes concernées par le traitement de leurs données à caractère personnel : le personnel du Client et les employés utilisant les services fournis par RINGO ainsi que les contacts, prospects et clients du Client.
● Catégories de données à caractère personnel traitées : les données relatives à l'identification des personnes concernées (nom, prénom, coordonnées et email), les données relatives aux enregistrements des appels téléphoniques et des visioconférences, les données relatives à l'utilisation des services tels que les commentaires, les revues, les traductions, résumés et le scoring intelligents réalisés à partir des services, les données relatives aux emails échangés entre les personnes concernées, les données relatives aux emails de rappels de meeting et les données relatives aux réseaux.
● Objet du traitement : la fourniture par RINGO des services convenus avec le Client, et leur usage par le Client, conformément au(x) Bon(s) de Commande et aux CGV jointes conclus entre RINGO et le Client.
● Nature du traitement : la collecte et l'analyse de données, y compris de Données Personnelles, pour le compte du Client.
● Finalités du traitement : la fourniture par RINGO, pour le compte du Client, du Service, principalement la collecte, l’enregistrement et l'analyse d'enregistrements d'appels téléphoniques, de vidéoconférences et de mails et le remplissage du logiciel de gestion de la relation client, ainsi que les services d'assistance, de back-up, de sécurité et de maintenance liés au Service.
● Durée du traitement : Les Données Personnelles sont traitées par RINGO pendant la durée de la relation contractuelle du Client. La durée de conservation des appels peut être paramétrée par le client. Les logs sont conservés pendant une période d'un (1) an. Lorsque la fonctionnalité AI Assistant est activée par le Client, les données sont conservées par Open AI pour une durée maximale de 30 jours aux fins de modération des contenus et de prévention des abus.
2. Instructions
RINGO ne traite les données personnelles que sur instruction documentée du Client et conformément aux dispositions ci-dessus, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, RINGO informe le Client de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Client pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.
Si RINGO estime qu'une instruction du Client constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel, il en informe immédiatement le Client. RINGO n’est en aucun cas responsable des instructions et décisions du Client et de leurs éventuelles conséquences.
Les dispositions du présent Contrat, ainsi que l’activation par le Client, ses Administrateurs ou Utilisateurs des fonctionnalités de traduction et de AI Assistant constituent des instructions documentées du Client à RINGO.
3. Limitation des finalités
RINGO procesa los datos personales sólo para los fines de procesamiento establecidos en el artículo 1 de este contrato, a menos que RINGO reciba otras instrucciones documentadas del Cliente.
4. Durée de traitement
RINGO traite les données personnelles que pour la durée définie au sein de l’article 1 du présent contrat, à moins que RINGO ne reçoive d’autres instructions documentées du Client.
5. Mesures de sécurité
RINGO se compromete a establecer medidas de seguridad técnicas y organizativas adecuadas para garantizar la seguridad de los Datos Personales que trata contra cualquier destrucción, pérdida, alteración, divulgación o acceso no autorizados, o cualquier otra forma de tratamiento no autorizado. Para determinar el nivel de seguridad adecuado, RINGO tendrá en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento y los riesgos para los interesados.
RINGO ha elaborado una descripción de estas medidas de acuerdo con el artículo 32 del GDPR y está disponible previa solicitud por escrito.
Cuando la funcionalidad AI Assistant es activada por el Cliente, éste acepta que las medidas de seguridad implementadas son las de la política de seguridad de OpenAI.
RINGO sólo concederá a los miembros de su personal el acceso a los datos personales objeto de tratamiento en la medida estrictamente necesaria para la realización, gestión y seguimiento del Servicio. RINGO garantiza que las personas autorizadas a procesar datos personales están sujetas a una obligación contractual de confidencialidad.
6. Documentation et conformité
RINGO pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo y que se derivan directamente del GDPR.
A petición del Cliente y en presencia de indicios graves de incumplimiento, RINGO permite y contribuye a la realización de auditorías de las actividades de tratamiento cubiertas por estas cláusulas.
La auditoría podrá realizarse a razón de una (1) vez por año natural, y previo aviso por escrito a RINGO con sesenta (60) días de antelación.
Esta auditoría se realizará respetando la seguridad y la confidencialidad de la documentación y los procedimientos de RINGO. No durará más de un (1) día y tendrá lugar durante el horario comercial normal en las instalaciones de RINGO.
El Cliente puede decidir realizar la auditoría por sí mismo o designar a un auditor independiente, elegido de mutuo acuerdo entre las partes y sujeto a una obligación de confidencialidad.
Sin perjuicio de lo anterior, el Cliente será responsable de todos los costes y/o gastos derivados de dicha visita.
Las partes pondrán a disposición de la(s) autoridad(es) de control competente(s), previa solicitud, la información establecida en esta cláusula, incluidos los resultados de cualquier auditoría.
7. Sous-traitants ultérieurs
RINGO cuenta con la autorización general del Cliente para contratar a los demás subcontratistas que figuran en el Anexo 1.
RINGO se compromete a facilitar una lista actualizada de sus subcontratistas y de sus actividades de tratamiento a petición del Cliente.
RINGO informará al comitente de cualquier cambio previsto en esta lista por adición o sustitución de subcontratistas posteriores con una antelación mínima de ocho (8) días a la fecha prevista de adición o sustitución del subcontratista posterior en cuestión.
El Cliente podrá oponerse a que RINGO recurra a un nuevo subcontratista notificándolo por escrito con prontitud (por correo electrónico) y antes de la fecha de incorporación o sustitución del subcontratista correspondiente. En caso de que el Cliente se oponga a la designación de un nuevo subencargado, RINGO hará esfuerzos razonables para poner a disposición del Cliente una modificación de los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios que evite el tratamiento de Datos Personales por parte del nuevo subencargado al que el Cliente se opone, sin imponer una carga irrazonable al Cliente. Si RINGO no puede realizar dichos cambios en un plazo razonable, que no excederá de treinta (30) días, el Cliente podrá rescindir el contrato aplicable, pero sólo respecto de aquellos servicios que no puedan ser prestados por RINGO sin recurrir al nuevo subprocesador, mediante notificación escrita a RINGO por carta certificada con acuse de recibo.
La ausencia de objeciones por parte del Cliente se considerará como una aceptación por parte del Cliente de los cambios que afectan a la lista de subcontratistas posteriores.
Cada subprocesador de RINGO está obligado a cumplir las obligaciones de este contrato en nombre y según las instrucciones del Cliente. Es responsabilidad de RINGO asegurarse de que el subprocesador ofrezca las mismas garantías suficientes en cuanto a la aplicación de medidas técnicas y organizativas adecuadas para garantizar que el tratamiento cumpla con los requisitos del RGPD.
RINGO sigue siendo plenamente responsable ante el comitente del cumplimiento de sus obligaciones por parte del posterior subcontratista.
Algunos subcontratistas sólo tratan los datos del Cliente cuando la funcionalidad para la que actúan es activada por el Administrador o Usuario del Cliente.
Ainsi, le sous-traitant ultérieur OpenAI ne traite les données du Client que lorsque l’Administrateur a activé la fonctionnalité AI Assistant. Lorsque cette fonctionnalité est activée, OpenAI est amené à traiter les données du Client pour la fourniture de résumés, chapitres et scoring intelligents.
Del mismo modo, el procesador posterior Deepl sólo procesa los datos del Cliente cuando el Usuario activa la funcionalidad de traducción para un registro determinado. Cuando se active esta funcionalidad, Deepl tratará los datos del Cliente relativos a ese registro con el fin de proporcionar una traducción.
8. Assistance au Client
Es responsabilidad del Cliente informar a las Personas afectadas del tratamiento de sus datos y de sus derechos según la Ley de Protección de Datos francesa y el RGPD. En particular, el Cliente informará a sus propios empleados y a sus corresponsales de la grabación de sus conversaciones telefónicas y por videoconferencia, así como del hecho de que pueden oponerse a dicha grabación en cualquier momento. RINGO no se hace responsable de estas obligaciones.
RINGO notifie sans délai au Client toute demande, y compris d’exercice des droits, qu'il reçoit de la part de la personne concernée. Le Client s'engage à répondre aux demandes des Personnes concernées dans un délai d'un (1) mois.
En tant que sous-traitant, RINGO assiste le Client dans l’accomplissement de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits, compte tenu de la nature du traitement et des instructions du Client.
RINGO también ayuda al Cliente a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone RINGO:
- l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et, le cas échéant, l'obligation de consulter l'autorité de contrôle compétente avant le traitement
- les obligations énoncées à l’article 32 du RGPD.
9. Inspections, contrôle ou audits par les autorités publiques
En caso de inspección, control o auditoría por parte de una autoridad pública, incluida una Autoridad de Supervisión, cada Parte se compromete a prestar toda la asistencia necesaria a la otra.
Si la autoridad pública considera que el tratamiento realizado infringe la normativa aplicable en materia de protección de datos personales, las Partes se comprometen a comunicar y adoptar inmediatamente las medidas necesarias para subsanar la infracción.
10. Notification des violations de Données à caractère personnel
En caso de violación de los datos personales, RINGO cooperará con el Cliente y lo asistirá en el cumplimiento de sus obligaciones en virtud de los artículos 33 y 34 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para RINGO.
En el caso de una violación de datos personales no causada por el Cliente, RINGO se compromete a tomar medidas correctivas inmediatas para remediar la situación.
RINGO notificará al Cliente cualquier incumplimiento lo antes posible tras su descubrimiento, por correo electrónico al Cliente.
Dicha notificación contendrá toda la información pertinente sobre la infracción, con el fin de permitir al Cliente, en su caso, notificar la infracción a la Autoridad de Control pertinente y/o a los interesados, de conformidad con sus obligaciones como Responsable del Tratamiento.
Las Partes se comprometen a cooperar plenamente para poner fin a la infracción lo antes posible.
11. Hébergement des données et transferts
Los datos personales procesados por RINGO en nombre del Cliente y los sitios web y bases de datos de RINGO están alojados en Amazon Web Services en servidores ubicados en el Espacio Económico Europeo ("EEE").
Cualquier transferencia de datos a un tercer país u organización internacional por parte de RINGO solo se realizará sobre la base de este Acuerdo o para cumplir con un requisito específico de la legislación de la Unión o del Estado miembro al que está sujeto el procesador y se llevará a cabo en cumplimiento del Capítulo V del GDPR.
Préalablement à un transfert autorisé par le Client, RINGO s'engage à mettre en place les mesures nécessaires pour que le destinataire situé dans le pays hors de l'Espace économique européen présente un niveau de protection adéquat. Lorsque le Client a activé la fonctionnalité AI Assistant, il accepte que ses données soient traitées par OpenAI en accord avec ses conditions de traitement et qu’elles soient transférées aux Etats-Unis en application des clauses contractuelles types adoptées par la Commission européenne.
RINGO puede transferir datos personales a subprocesadores autorizados identificados en el Anexo 1 "Lista de subprocesadores autorizados". Estos subprocesadores pueden estar situados fuera del EEE. En este caso, RINGO se asegura de que el subprocesador pueda garantizar el cumplimiento del capítulo V del GDPR presentando un nivel adecuado de protección, como el uso de cláusulas contractuales estándar adoptadas por las Comisiones o aprobadas por el BCR.
La lista completa y la información sobre nuestros subcontratistas figuran en el Anexo 1.
12. Modifications et mises à jour
RINGO se reserva el derecho de modificar este PAD en cualquier momento. El Cliente será informado de dichos cambios por correo electrónico (enviado a la dirección de correo electrónico del Administrador de Modjo) o en el sitio web www.modjo.ai o en la plataforma comercial de análisis conversacional de Modjo, según decida RINGO.
A excepción de las modificaciones relativas a los subcontratistas reguladas por el artículo 7 de la DPA, las modificaciones de esta DPA se aplicarán al Cliente, incluso si su compromiso es anterior a las modificaciones, ocho (8) días después de que se le haya facilitado la información. En el caso de que las modificaciones del APD perjudiquen considerablemente al Cliente y no sean exigidas por leyes, reglamentos, directivas, recomendaciones o deliberaciones de una autoridad europea de protección de datos o por una decisión judicial, el Cliente deberá informar a RINGO de su oposición y de sus motivos en un plazo de ocho (8) días a partir de la información. Si las Partes no llegan a un acuerdo en un plazo de treinta (30) días a partir de la recepción de la objeción del Cliente, éste podrá rescindir, sin penalización alguna, el Servicio afectado por el cambio, enviando una notificación por escrito a RINGO. Cualquier uso del Servicio después de que el Cliente haya sido notificado se considerará como una aceptación por parte del Cliente de la PAD actualizada.
13. Sort des données
Al finalizar la relación entre las Partes, el Cliente dispone de un plazo de un (1) mes para solicitar por escrito la devolución, en bruto y bajo su responsabilidad, de sus grabaciones; de no hacerlo en este plazo, RINGO podrá proceder a la destrucción definitiva de todos los datos, incluidos los registros y copias de seguridad.
14. Délégué à la protection des données
RINGO dispose d’un délégué à la protection des données, joignable par courrier électronique à l’adresse suivante : dpo@modjo.ai
15. Registre des activités de Traitement
RINGO se compromete a llevar un Registro actualizado de las actividades de tratamiento realizadas en su calidad de Encargado del Tratamiento y que comprende los siguientes elementos
● le nom et les coordonnées du Responsable de traitement, des éventuels sous-traitants ultérieurs et du Référent à la protection des données
● les catégories de Traitements effectués pour le compte du Responsable de traitement
● les éventuels transferts des données à caractère personnel vers des pays tiers à l’Union Européenne et les éléments attestant de l’existence de garanties appropriées
● une description générale des mesures de sécurité techniques et organisationnelles mises en place
16. Engagements de RINGO
Durante la vigencia del Contrato celebrado entre RINGO y el Cliente :
● RINGO garantit la confidentialité des Données à caractère personnel traitées en sa qualité de Sous-traitant et s’assure que les membres de son personnel, autorisés à traiter les Données à caractère personnel, respectent ce principe de confidentialité et ont reçu la formation nécessaire en la matière
● RINGO s’engage à tenir compte du principe de protection des Données à caractère personnel dès la conception et par défaut, s’agissant des outils, produits, applications ou services qu’il utilise.
●
17. Engagements du Client
Le Client s'engage à collecter et à traiter les Données Personnelles dans le respect de la réglementation applicable en droit du travail et en matière de protection des données, notamment en ce qui concerne les méthodes, la base et les finalités du traitement, la durée de conservation des Données Personnelles,les droits des Personnes concernées et l'information qui leur est donnée.
En particular, el Cliente se compromete a cumplir con toda la normativa y obligaciones aplicables al tratamiento de datos de empleados y al tratamiento de categorías especiales de Datos Personales (como datos de salud, creencias religiosas, orientación sexual, etc.) y a realizar, con carácter previo a su Tratamiento, las comprobaciones, estudios y análisis de impacto necesarios, a informar a las Personas afectadas de conformidad con los artículos 12, 13 y 14 del RGPD y a obtener, en su caso, el consentimiento de los Titulares.) y a realizar, con carácter previo a su Tratamiento, las comprobaciones, estudios y análisis de impacto necesarios, a informar a los Titulares de los datos de acuerdo con los artículos 12, 13 y 14 del RGPD y a obtener, en su caso, el consentimiento de los Titulares de los datos en relación con la recogida y el tratamiento de sus datos personales y, en particular, la grabación de su voz.
El Cliente se compromete a facilitar a RINGO toda la información necesaria para llevar a cabo las actividades de tratamiento previstas de conformidad con la normativa aplicable y a documentar cualquier instrucción relativa al tratamiento.
El Cliente se compromete a proporcionar a RINGO los Datos Personales identificados en el artículo 1 de este Contrato y a garantizar la legalidad y exactitud de los mismos. El Cliente también se compromete a garantizar la efectividad de los derechos de las Personas afectadas.
El Cliente exime a RINGO de cualquier reclamación o acción al respecto.
El Cliente se compromete a supervisar el Tratamiento, incluyendo la realización a su cargo de las auditorías e inspecciones necesarias de RINGO o a conducir o defender los intereses de las Partes en cualquier acción, procedimiento o control.
Annexe 1
Lista de subcontratistas posteriores