Accord de protection desdonnées

1. Introduction

L’Accord deprotection des données (ci-après "Accord")vise à régir l’utilisation des données à caractère personnel des clients(ci-après le “Client”) de BotmindSAS (ci-après le "Sous-traitant")utilisant ses services Chatbot Botmind, Botmind API et Botmind Dashboard (ci-aprèsles "Services").

2. Définitions

Tous lestermes relatifs à la réglementation applicable en matière de protection desdonnées à caractère personnel utilisés dans l'Accord sont définis à l'article 4du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril2016, relatif à la protection des personnes physiques à l'égard du traitementdes données à caractère personnel et à la libre circulation de ces données(ci-après "RGPD").

3. Rôle des Parties

Dans le cadrede l'Accord, le Client agit en tant que responsable du traitement de données àcaractère personnel et le Sous-traitant agit en tant que sous-traitant au sensde l'article 28 du RGPD (ci-après, ensemble, les "Parties").

4. Documents contractuels et durée

L'Accord, quiest une annexe indivisible au contrat signé entre le Client et le Sous-traitantpour l'utilisation des Services (ci-après le "Contrat"), est applicable pendant toute la durée de larelation contractuelle existante entre les Parties.

En cas decontradiction entre le Contrat conclu pour l'utilisation des Services etl'Accord, les obligations prévues dans l'Accord prévalent sur le Contrat en cequi concerne les règles applicables en matière de protection des données.

5. Déclarations et engagements

LeSous-traitant déclare respecter l’intégralité des règles applicables en matièrede protection des données à caractère personnel et présenter toutes lesgaranties suffisantes pour répondre aux exigences du RGPD dans le cadre de lafourniture des Services.

LeSous-traitant déclare que l’intégralité du personnel interne ou externe amené àtraiter les données à caractère personnel du Client est engagé par une clausede confidentialité, une charte des systèmes d'information ou par tout autreacte juridique contraignant et fait l'objet régulièrement de formations et desensibilisations.

LeSous-traitant déclare que les Services ont été réalisés dans le respect desrègles de "Privacy by design" et de "Privacy by default" etdonc que les Services sont accompagnés des fonctionnalités permettant au Clientde respecter ses obligations en tant que responsable du traitement.

6. Instructions documentées

LeSous-traitant s’engage à n’utiliser les données à caractère personnel du Clientdans le cadre de l'utilisation des Services que sur instructions documentées dece dernier.

La liste destraitements réalisés est détaillée en annexe ou fournie sur demande du Client.

7. Sécurité

LeSous-traitant s’engage à garantir la sécurité des données à caractère personneldu Client et à mettre en œuvre toutes les mesures techniques etorganisationnelles nécessaires pour ses Services.

L'intégralitéde mesures de sécurité techniques et organisationnelles sont détaillées enannexe des présentes ou sont fournies sur demande du Client.

8. Violation de données à caractère personnel

LeSous-traitant s’engage à notifier au Client, conformément aux obligationsprévues par l'article 33 du RGPD, dans les meilleurs délais après en avoir prisconnaissance, toute violation de données à caractère personnel qui seraitsusceptible de concerner les données à caractère personnel du Client.

LeSous-traitant s'engage à communiquer, dans les meilleurs délais après en avoirpris connaissance, toutes les informations nécessaires et requises en sapossession pour réduire les effets de la violation de données à caractèrepersonnel subie et pour permettre au Client de prendre les mesures desauvegarde et de protection adéquates.

Sauf accordentre les Parties, le Sous-traitant n’est pas autorisé à prendre en charge lesnotifications de violation de données à caractère personnel auprès del'autorité de contrôle concernée et à informer, pour le compte du Client, lespersonnes concernées par les traitements réalisés dans le cadre du Contrat.

9. Aide et assistance

LeSous-traitant communique au Client, sur demande écrite, toutes les informationsnécessaires et requises sur les mesures de sécurité techniques etorganisationnelles à mettre en œuvre pour garantir la sécurité de ses données àcaractère personnel.

LeSous-traitant communique au Client, sur demande écrite, toutes les informationsnécessaires et requises pour assurer la réalisation d’une analyse d’impact(“AIPD”).

LeSous-traitant s’engage à notifier au Client, dans les meilleurs délais après enavoir pris connaissance, toute demande de droit à destination du Client.

LeSous-traitant communique au Client, sur demande écrite, toutes les informationsnécessaires et requises visant à ce que le Client puisse s’acquitter de sonobligation de donner suite aux demandes des personnes concernées.

LeSous-traitant exécute, sur demande écrite du Client, les actions à entreprendrepour que le Client puisse s’acquitter de son obligation de donner suite auxdemandes des personnes concernées.

10. Responsabilité

LeSous-traitant n’est jamais responsable de l’utilisation non-conforme aux règlesapplicables en matière de protection des données à caractère personnel réaliséepar le Client à l'aide des Services.

LeSous-traitant n’est pas tenu de gérer les demandes de droits des personnes à laplace et pour le compte du Client. Toute demande complémentaire visant àassurer une telle gestion peut faire l’objet d’un refus et, éventuellement,d’une prestation complémentaire tarifée.

LeSous-traitant n’est pas tenu d’assurer ou d’auditer la sécurité du Client ouencore de réaliser les AIPD à la place et pour le compte du Client. Toutedemande complémentaire à la communication d’informations peut faire l’objetd’un refus et, éventuellement, d’une prestation complémentaire tarifée.

11. Sous-traitants ultérieurs

Le Clientaccepte que le Sous-traitant recrute des sous-traitants ultérieurs (ci-après"STU") dans le cadre del’exécution de l'Accord à condition d’informer, par tout moyen, le Client detout changement concernant ces STU intervenant durant l'exécution du Contrat etdemeure responsable des actes du Sous-traitant ultérieur dans le cadre del'Accord.

LeSous-traitant s’engage à ne recruter que des STU qui présentent les garantiesnécessaires et suffisantes pour assurer la sécurité et la confidentialité desdonnées à caractère personnel du Client.

LeSous-traitant s'engage à contrôler ses STU et à ce que le contrat conclu avecle STU utilisé dans le cadre du service contienne des obligations similaires àcelles prévues dans l'Accord.

Le Clientpeut émettre des objections par lettre recommandée avec accusé de réception i)si le STU est un de ses concurrents, ii) si le client et le STU sont dans unesituation de précontentieux ou de contentieux, et iii) si le STU a fait l’objetd’une condamnation par une autorité de contrôle en matière de protection desdonnées dans l’année de son recrutement.

LeSous-traitant dispose d'un délai de 6 mois à compter de la réception del'objection pour modifier le STU.

12. Sort des données à caractère personnel

LeSous-traitant supprime les données à caractère personnel du Client à la fin dela durée d'exécution du Contrat conclu dans le cadre de l'utilisation desServices et accepte que le Sous-traitant anonymise, lorsque cela esttechniquement possible, ses données à caractère personnel à des fins destatistiques.

LeSous-traitant atteste au Client, sur demande écrite, de la suppressioneffective de ses données à caractère personnel et de toutes les copiesexistantes.

Le Clientdoit récupérer ses données à caractère personnel avant la fin de l'Accord. Adéfaut, le Client ne peut plus récupérer ses données à caractère personnel, lasuppression des données à caractère personnel étant irréversible.

Le Clientdemeure le seul responsable de la perte de ses données à caractère personnel àla suite de la suppression des données intervenant à la fin de l'Accord.

13. Audits

Le Clientdispose du droit de réaliser un audit sous forme de questionnaire écrit unefois par an pour vérifier le respect du présent Accord. Le questionnaire a laforce d’un engagement sur l’honneur qui engage le Sous-traitant.

Lequestionnaire peut être communiqué sous n’importe quelle forme au Sous-traitantqui s’engage à y répondre dans un délai maximum de deux mois à compter de saréception.

Le Clientdispose également du droit de réaliser un audit dans les locaux duSous-traitant, à ses frais, une fois par an uniquement en cas de violation dedonnées ou de manquement avéré et démontré aux règles applicables en matière deprotection des données et au présent Accord.

Un audit dansles locaux du Sous-traitant peut être mené soit par le Client soit par un tiersindépendant désigné par le Client et doit être notifié par écrit auSous-traitant au minimum trente (30) jours avant la réalisation de l’audit.

LeSous-traitant dispose du droit de refuser le choix du tiers indépendant si cedernier est i) un concurrent ou ii) en précontentieux ou contentieux avec lui.Dans ce cas, le Client s’engage à choisir un nouveau tiers indépendant pourréaliser l’audit.

LeSous-traitant peut refuser l’accès à certaines zones pour des raisons deconfidentialité ou de sécurité. Dans ce cas, le Sous-traitant effectue l’auditdans ces zones et communique les résultats au Client.

En casd’écart constaté dans le cadre de l’audit, le Sous-traitant s’engage à mettreen œuvre, sans délai, les mesures nécessaires pour être en conformité avec leprésent Accord.

14. Transferts de données hors de l'Unioneuropéenne

LeSous-traitant s’engage à faire son nécessaire pour ne pas transférer de donnéesà caractère personnel du Client en dehors de l’Union européenne ou ne pasrecruter de STU situé en dehors de l’Union européenne.

Néanmoins,dans le cas où de tels transferts s’avéreraient nécessaires dans le cadre des Services,le Sous-traitant s'engage à mettre en oeuvre tous les mécanismes requis pourencadrer ces transferts comme, en particulier, conclure des clauses types deprotection des données ("CCT") adoptées par la Commission européenne.

15. Coopération avec les autorités de contrôle

Lorsque celaconcerne les traitements mis en œuvre dans le cadre de l'Accord, leSous-traitant s’engage à fournir, sur demande, l’intégralité des informationsnécessaires au Client pour qu’il puisse coopérer avec l’autorité de contrôlecompétente.

16. Contact

Le Client etle Sous-traitant désignent chacun un interlocuteur chargé du présent Accord quisera le destinataire des différentes notifications et communications devantintervenir dans le cadre de l’Accord.

LeSous-traitant informe le Client qu'il a nommé la société Dipeeo SAS commeDélégué à la protection des données qui peut être contactée aux coordonnéessuivantes :

●      Adresse email : dpo@botmind.io

●      Adresse postale : Société DipeeoSAS, 95 avenue du Président Wilson, 93100 Montreuil, France

●      Numéro de téléphone : 01 59 06 8185

17. Révision

LeSous-traitant se réserve la possibilité de modifier le présent Accord en casd’évolution des règles applicables en matière de protection des données àcaractère personnel qui auraient pour effet de modifier l’une de sesdispositions.

18. Loi et juridiction applicables

Le présentAccord est soumis au droit français. Tout litige relatif à l’exécution duprésent Accord est de la compétence exclusive des tribunaux du ressort de laCour d’appel du lieu de domiciliation du Sous-traitant.

Certifiéconforme par Dipeeo ®

‍