EWEBINAR LABS INC.
ACCORD DE TRAITEMENT DES DONNÉES

La présente convention de traitement des données (" CTP ") fait partie des conditions d'utilisation (la " convention ") entre eWebinar Labs Inc. et l'abonné au service ("contrôleur des données"), ci-après désignés comme les " parties ".

1. DÉFINITIONS

Le "contrôleur des données" est l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel. 

Le "responsable du traitement des données" est l'entité qui traite les données à caractère personnel pour le compte du responsable du traitement des données.

"Lois sur la protection des données" : toutes les lois et réglementations, y compris les lois et réglementations de l'Union européenne et d'autres juridictions, applicables au traitement des données à caractère personnel dans le cadre de l'accord.

Le terme "personne concernée" désigne une personne physique identifiée ou identifiable. Aux fins de l'Accord, il peut s'agir de participants à un essai clinique parrainé par le responsable du traitement des données et de personnes menant un essai clinique parrainé par le responsable du traitement des données.

"GDPR" désigne le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

On entend par "données à caractère personnel" toute information relative à une personne concernée. Les types de données personnelles traitées dans le cadre de l'accord comprennent, sans s'y limiter, les éléments suivants : le nom, les coordonnées professionnelles, y compris, sans s'y limiter, l'adresse, le numéro de téléphone, l'adresse électronique, l'intitulé du poste, l'entreprise, la localisation et les informations personnelles relatives à la santé.

"Traitement" : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction ("Traitement", "Traitements" et "Traitées" ont la même signification).

"Violation de la sécurité" : toute destruction, perte, altération, divulgation non autorisée de données à caractère personnel traitées par le responsable du traitement ou tout accès non autorisé à de telles données, de manière accidentelle ou illicite.

"Sous-traitant" : toute entité engagée par le responsable du traitement des données pour traiter les données à caractère personnel au nom du responsable du traitement des données.

2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

2.1 Le Responsable du traitement des données traite les données personnelles fournies par le Responsable du traitement des données conformément aux exigences des Lois sur la protection des données et aux instructions documentées du Responsable du traitement des données conformément à l'Accord. Si le Responsable du traitement des données croit ou se rend compte que l'une des instructions du Responsable du traitement des données est en conflit avec les Lois sur la protection des données, le Responsable du traitement des données en informe le Responsable du traitement des données.

2.2 Pendant la durée de l'Accord, le Responsable du traitement des données ne traite les données personnelles que pour le compte et conformément à l'Accord et aux instructions du Responsable du traitement des données, sauf si cela est nécessaire pour se conformer à une obligation légale à laquelle le Responsable du traitement des données est soumis. Dans ce cas, le responsable du traitement des données informe le responsable du traitement des données de cette obligation légale avant le traitement, à moins que la loi n'interdise explicitement la fourniture de ces informations au responsable du traitement des données. Le responsable du traitement des données ne traitera jamais les données personnelles d'une manière incompatible avec les instructions documentées du responsable du traitement des données ou à ses propres fins ou à celles d'un tiers.

2.3 Dans la mesure où le Responsable du traitement des données traitera des données personnelles soumises aux lois sur la protection des données pour le compte du Responsable du traitement des données dans le cadre de l'exécution de l'Accord avec le Responsable du traitement des données, les conditions du présent Accord sur le traitement des données s'appliqueront. En cas de conflit entre les dispositions de l'Accord et les dispositions du présent Accord sur le traitement des données, le présent Accord sur le traitement des données régit et contrôle les questions relatives à la protection des données et de la vie privée. Une vue d'ensemble des catégories de données à caractère personnel, des catégories de personnes concernées, ainsi que de la nature et des finalités du traitement des données à caractère personnel figure à l'annexe 1.

3. LA CONFIDENTIALITÉ

3.1 Sans préjudice de tout accord contractuel existant entre les Parties, le Responsable du traitement traitera toutes les Données à caractère personnel comme strictement confidentielles et informera tous ses employés, agents et/ou Sous-traitants agréés engagés dans le traitement des Données à caractère personnel de la nature confidentielle des Données à caractère personnel. Le Responsable du traitement des données s'assure que toutes ces personnes ou parties ont signé un accord de confidentialité approprié, sont autrement liées à un devoir de confidentialité, ou sont soumises à une obligation légale de confidentialité appropriée.

4. SÉCURITÉ

4.1 Le responsable du traitement des données met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité du traitement des données à caractère personnel adapté au risque. Ces mesures comprennent, le cas échéant

    1. des mesures visant à garantir que les données à caractère personnel ne sont accessibles qu'au personnel autorisé ;

    2. la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la flexibilité des systèmes et services de traitement ;

    3. la capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique, dans le même état, y compris le contenu et les droits d'accès, qu'avant toute perturbation ;

    4. un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement des données à caractère personnel ;

    5. des mesures visant à identifier les vulnérabilités et les risques liés au traitement des données à caractère personnel dans les systèmes utilisés pour fournir des services au contrôleur des données.

    4.2 À la demande du Responsable du traitement des données, le Responsable du traitement des données démontre les mesures qu'il a prises en vertu du présent article 4 et permet au Responsable du traitement des données d'auditer et de tester ces mesures. Le Responsable du traitement a le droit d'effectuer, ou de faire effectuer par un tiers ayant conclu un accord de confidentialité avec le Responsable du traitement, des audits des opérations du Responsable du traitement en rapport avec les Données à caractère personnel, après avoir donné un préavis d'au moins 30 jours au Responsable du traitement. Le responsable du traitement des données coopère à ces audits réalisés par le responsable du traitement des données ou en son nom. Le Responsable du traitement des données donne au Contrôleur des données et/ou aux auditeurs du Contrôleur des données l'accès à toute information relative au traitement des données à caractère personnel que le Contrôleur des données peut raisonnablement exiger pour s'assurer que le Responsable du traitement des données se conforme au présent Accord sur le traitement des données.

  1.  

5. CONTRATS AVEC LES SOUS-TRAITANTS

5.1 Le Responsable du traitement des données accepte que le Sous-traitant des données engage des Sous-traitants pour traiter les Données à caractère personnel en son nom, et ce de trois manières. Premièrement, le Responsable du traitement des données peut engager des Sous-traitants pour l'aider dans l'hébergement et l'infrastructure. Deuxièmement, le Responsable du traitement des données peut faire appel à des Sous-traitants pour prendre en charge les fonctionnalités et les intégrations des produits. Troisièmement, le responsable du traitement des données peut faire appel à des sociétés affiliées à eWebinar en tant que sous-traitants pour le service et l'assistance. Certains sous-traitants s'appliqueront au responsable du traitement des données par défaut, et d'autres sous-traitants ne s'appliqueront que si le responsable du traitement des données choisit d'y participer.

5.2 Nonobstant toute autorisation du Responsable du traitement au sens du paragraphe précédent, le Responsable du traitement est responsable du respect des termes de l'Accord par un Sous-traitant.

5.3 Le Responsable du traitement des données s'assure que tout Sous-traitant est lié par les mêmes obligations de protection des données que le Responsable du traitement des données en vertu du présent Accord sur le traitement des données, en surveille le respect et doit notamment imposer à ses Sous-traitants l'obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences des Lois sur la protection des données.

5.4 Le contrôleur des données peut demander une liste des sous-traitants les plus récents par courrier électronique en contactant support@ewebinar.com.

5.5 Le Responsable du traitement des données donnera au Contrôleur des données la possibilité de s'opposer à l'engagement de nouveaux Sous-traitants pour des motifs raisonnables liés à la protection des Données à caractère personnel dans les 30 jours suivant la réception de la liste des Sous-traitants. Si le responsable du traitement des données notifie au sous-traitant des données une telle objection, les parties discuteront de bonne foi de toute préoccupation en vue de parvenir à une résolution commercialement raisonnable. Si aucune résolution ne peut être trouvée, le Responsable du traitement des données, à sa seule discrétion, ne désignera pas le nouveau Sous-traitant, ou permettra au Responsable du traitement des données de suspendre ou de résilier l'Abonnement conformément aux dispositions de résiliation des Conditions générales sans responsabilité envers l'une ou l'autre Partie (mais sans préjudice des frais encourus par le Responsable du traitement des données avant la suspension ou la résiliation).

6. ASSISTANCE AU RESPONSABLE DU TRAITEMENT DES DONNÉES

6.1 Le responsable du traitement des données assiste le contrôleur des données en prenant les mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin que le contrôleur des données soit en mesure de remplir son obligation de répondre aux demandes impliquant l'exercice des droits des personnes concernées en vertu des lois sur la protection des données, y compris le GDPR.

6.2 Le Responsable du traitement des données assiste le Responsable du traitement des données dans le cadre de toute consultation préalable, correspondance, demande de renseignements et/ou plainte émanant des autorités de contrôle en rapport avec le traitement faisant l'objet de l'Accord. Dans le cas où une telle correspondance, demande de renseignements ou plainte est adressée directement au responsable du traitement des données, ce dernier en informe rapidement le responsable du traitement des données en fournissant tous les détails à ce sujet.

6.3 Si le responsable du traitement des données croit ou se rend compte que son traitement des données personnelles est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées en matière de protection des données, il en informe rapidement le responsable du traitement des données et lui fournit toute l'assistance raisonnable et opportune que ce dernier peut exiger afin de procéder à une évaluation de l'impact sur la protection des données et, si nécessaire, de consulter son autorité de contrôle compétente. 

6.4 Le responsable du traitement des données met à la disposition du contrôleur des données toutes les informations nécessaires pour démontrer le respect des obligations du responsable du traitement des données en vertu des lois sur la protection des données.

7. OBLIGATIONS EN MATIÈRE D'INFORMATION ET GESTION DES VIOLATIONS DE LA SÉCURITÉ

7.1 Lorsque le Responsable du traitement des données prend connaissance d'une violation de la sécurité impliquant le traitement des données personnelles qui font l'objet de l'Accord, il notifie la violation de la sécurité au Responsable du traitement des données sans retard excessif et dans un délai d'au moins 72 heures. Le Responsable du traitement des données fournira toute l'assistance raisonnable et opportune que le Responsable du traitement des données peut exiger afin que le Responsable du traitement des données remplisse ses obligations en matière de signalement des violations de données en vertu des Lois sur la protection des données (et conformément aux délais requis par celles-ci). Le responsable du traitement des données prend en outre toutes les mesures et actions nécessaires pour remédier à la violation de la sécurité ou en atténuer les effets et tient le responsable du traitement des données informé de tous les développements liés à la violation de la sécurité.

7.2 Le responsable du traitement des données dispose à tout moment de procédures écrites lui permettant de répondre rapidement au responsable du traitement des données en cas de violation de la sécurité. 

7.3 Toute notification adressée au contrôleur des données à la suite d'une violation de la sécurité sera transmise au contrôleur des données par courrier électronique et contiendra les éléments suivants :

    1. une description de la nature de la violation de la sécurité, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

    2. le nom et les coordonnées du délégué à la protection des données du responsable du traitement des données ou un autre point de contact où de plus amples informations peuvent être obtenues ;

    3. une description des conséquences probables de la violation de la sécurité ; et

    4. une description des mesures prises ou proposées par le responsable du traitement des données pour remédier à la violation de la sécurité, y compris, le cas échéant, des mesures visant à en atténuer les éventuels effets négatifs.

8. DESTRUCTION DES DONNÉES À CARACTÈRE PERSONNEL

8.1 À la résiliation du présent Accord de traitement des données, à la demande du Responsable du traitement des données, ou à la réalisation de tous les objectifs convenus dans le cadre de l'Accord et pour lesquels aucun traitement supplémentaire n'est nécessaire, le Responsable du traitement des données doit, sur instruction du Responsable du traitement des données, supprimer ou détruire toutes les données personnelles (y compris toutes les copies) au Responsable du traitement des données.

8.2 Le Responsable du traitement des données notifie la résiliation de l'Accord sur le traitement des données à tous les tiers qui soutiennent son propre traitement des données à caractère personnel, y compris tout sous-traitant ultérieur, et veille à ce que tous ces tiers détruisent les données à caractère personnel.

9. TRANSFERTS INTERNATIONAUX

9.1 Le responsable du traitement des données ne transfère pas les données à caractère personnel (ni n'autorise le transfert des données à caractère personnel) en dehors de l'Espace économique européen (" EEE"), à moins qu'il ne prenne les mesures nécessaires pour garantir que le transfert est conforme aux lois sur la protection des données.  

9.2 Dans la mesure où le responsable du traitement des données ou le sous-traitant s'appuie sur un mécanisme statutaire spécifique pour normaliser les transferts internationaux de données, tel qu'établi dans l'annexe 2, et que ce mécanisme est par la suite modifié, révoqué ou jugé invalide par un tribunal compétent, le responsable du traitement des données et le sous-traitant acceptent de coopérer de bonne foi pour suspendre rapidement le transfert ou pour rechercher un mécanisme alternatif approprié qui puisse soutenir légalement le transfert.

10. DURÉE ET RÉSILIATION

10.1 La résiliation ou l'expiration du présent Accord sur le traitement des données ne libère pas le Responsable du traitement des données de ses obligations de confidentialité en vertu de l'article 3.

10.2 Le Responsable du traitement des données traitera les données personnelles jusqu'à la date de résiliation de l'Accord, sauf instruction contraire du Responsable du traitement des données, ou jusqu'à ce que ces données soient renvoyées ou détruites sur instruction du Responsable du traitement des données.

 

ANNEXE 1

  1. Catégories de personnes concernées :

    Client

    Personne inscrite au webinaire

    Perspectives d'avenir

    Utilisateurs du site web

  2. Types de données à caractère personnel qui seront traitées dans le cadre de l'accord :

    Nom et prénom

    Adresse électronique

    Mot de passe du compte

    Adresse de facturation

    Discussions en ligne

    Cookies

    Carte de paiement

    Vidéo et images du webinaire

    Formulaire d'inscription au webinaire et réponses à la carte d'interaction

  3. Nature et finalité du traitement des données :

    Les données personnelles sont nécessaires à différentes fins :

    • Pour créer un compte sur l'application eWebinar

    • Communiquer par courrier électronique avec des prospects et des clients intéressés

    • Gérer les cycles de marketing et de vente par le biais de campagnes de marketing et de l'entretien des prospects.

    • S'inscrire à la lettre d'information d'eWebinar

    • Fournir les webinaires proposés par eWebinar

    • Recevoir des paiements pour les services du webinaire

    • Optimiser l'expérience du site web et de l'application eWebinar

    • S'intégrer à d'autres applications

  4. Mesures de sécurité mises en œuvre par le responsable du traitement des données :

    4.1 Veiller à ce que les données personnelles ne soient accessibles qu'au personnel autorisé.

    4.2 Prendre toutes les mesures raisonnables pour empêcher l'accès non autorisé aux données à caractère personnel en utilisant des mots de passe appropriés, en sécurisant les zones de traitement des données à caractère personnel et en mettant en œuvre des procédures de contrôle de l'utilisation des installations de traitement des données à caractère personnel.

    4.3 Utiliser des mots de passe sécurisés, des technologies de cryptage et d'authentification le cas échéant, des procédures de connexion sécurisées et une protection contre les virus.

    4.4 Assurer la pseudonymisation et/ou le cryptage des données à caractère personnel, le cas échéant.

    4.5 Maintenir la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.

    4.6 Développer un système et des pistes d'audit.

    4.7 Tenir compte de tous les risques présentés par le traitement, par exemple la destruction, la perte ou l'altération accidentelle ou illicite, le stockage, le traitement, l'accès ou la divulgation non autorisés ou illicites de données à caractère personnel.

    4.8 Maintenir la capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique.

    4.9 Mettre en œuvre un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données à caractère personnel.

    4.10 Contrôler la conformité de manière continue.

    4.11 Mettre en œuvre des mesures pour identifier les vulnérabilités concernant le traitement des données à caractère personnel dans les systèmes utilisés pour fournir des services au contrôleur des données.

    4.12 Assurer la formation des employés et des contractants afin de garantir une capacité permanente à mettre en œuvre les mesures de sûreté établies dans la politique.

 

ANNEXE 2

Transferts de données

 

Le contrôleur des données accorde également ses autorisations aux transferts de données vers des pays situés en dehors de l'Espace économique européen qui ne disposent pas d'un niveau de protection adéquat, y compris les États-Unis, dans la mesure où le contrôleur des données et le sous-traitant des données confirment avoir mis en place au moins l'une des deux (2) mesures de protection énumérées ci-dessous. 

  1. Le destinataire des données basé aux États-Unis a mis en place des règles d'entreprise contraignantes approuvées par les autorités de protection des données de l'UE (règles internes utilisées par les entreprises multinationales pour mettre en place des garanties adéquates de protection de la vie privée et des libertés et droits fondamentaux des personnes au sens de l'article 26, paragraphe 2, de la directive 95/46/CE pour tous les transferts de données à caractère personnel protégées en vertu d'une loi européenne).

  2. Les clauses contractuelles types, le cas échéant, sont intégrées dans l'accord entre le destinataire des données établi dans un pays tiers et l'expéditeur des données établi dans l'UE ou dans un pays tiers avant que le destinataire des données ne traite des données à caractère personnel pour la première fois.