I. Objet
Les présentes clauses ont pour objet de définir les conditions dans lesquelles My Keeper s’engage à effectuer pour le compte de l’utilisateur de l’application MyKeeper SOS sur les opérations de traitement de données à caractère personnel définies ci-après.
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
II. Description du traitement
La ou les finalités du traitement sont :
X Hébergement
Les données à caractère personnel traitées sont :
X Accès à l’envoi de SMS UNIQUEMENT POUR LES ALERTES
X Données de localisation UNIQUEMENT POUR LES ALERTES
X Le décrochage automatique UNIQUEMENT Á LA SUITE D’UNE ALERTE
Les catégories de personnes concernées sont :
X Utilisateur
III. Obligations de My Keeper
A. Obligation de My Keeper
My Keeper s’engage à :
1. Traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la fonction de l’application à savoir l’envoi d’un SMS d’alerte.
2. Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.
3. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :
◦ S’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
◦ Reçoivent la formation nécessaire en matière de protection des données à caractère personnel.
4. Traiter les données conformément aux instructions documentées du responsable de traitement figurant au présent contrat. Si My Keeper considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le l’utilisateur et se réserve alors le droit de ne pas appliquer ladite instruction, jusqu’à ce que sa licéité soit démontrée par la Partie la plus diligente.
5. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.
6. En outre, si My Keeper est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
B. Droit d’information des personnes concernées
Il appartient à My Keeper de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.
C. Exercice des droits des personnes
My Keeper doit aider l’utilisateur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle automatisée (y compris le profilage).
D. Notification des violations de données à caractère personnel
My Keeper notifie à l’utilisateur toute violation de données à caractère personnel dans les délais les plus brefs après en avoir pris connaissance et en contactant le Délégué à la protection des données de l’utilisateur. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
La notification contient au moins :
• La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ;
• Le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• La description des conséquences probables de la violation de données à caractère personnel ;
• La description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.
E. Localisation des données
My Keeper s’engage à opérer le traitement et héberger ces données en France ou dans l’Union Européenne et à effectuer toutes les démarches administratives et techniques visant à garantir la conformité des traitements avec la législation en vigueur. My Keeper pourra ajouter d’autres sites situés sur le territoire français ou européen, sans nécessiter l’accord de l’utilisateur, à condition que ce changement n’affecte pas la prestation.
Les données doivent rester localisées sur des serveurs localisés uniquement dans l’Union Européenne.
Ces nouveaux sites seront exclusivement situés en France ou dans l’Union Européenne.
F. Mesures de sécurité
My Keeper s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés, notamment lorsque le Traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées. My Keeper s’engage notamment à mettre en oeuvre les mesures de sécurité suivantes :
• Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
• Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;
• Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
G. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données et pour quelque cause que ce soit, My Keeper s’engage à renvoyer toutes les données à caractère personnel au responsable de traitement.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, My Keeper doit justifier par écrit de la destruction.
