Loading…
Le présent Avenant relatif au traitement des données (« DPA ») est conclu entre RegulatoryBridge Global Ltd. (« Sous-traitant » ou « RegulatoryBridge ») et le client qui accepte les Conditions d'utilisation ou signe un Bon de commande (« Responsable du traitement » ou « Client »).
Le DPA s'applique au traitement par RegulatoryBridge des données à caractère personnel pour le compte du Client dans le cadre des Services. Le Client est le responsable du traitement (ou, le cas échéant, un sous-traitant agissant pour le compte de ses propres clients responsables du traitement). RegulatoryBridge est le sous-traitant (ou, le cas échéant, un sous-traitant ultérieur). Lorsque des données à caractère personnel sont traitées par les deux parties à des fins communes, les parties concluront un accord distinct de responsabilité conjointe au titre de l'art. 26 du GDPR.
« Loi applicable sur la protection des données » désigne le GDPR ; le UK GDPR + le Data Protection Act 2018 ; le CCPA/CPRA de Californie ; la LGPD du Brésil ; le DPDPA de l'Inde ; le PDPA de Singapour ; l'APPI du Japon ; la LPD suisse ; et toute autre loi sur la protection de la vie privée applicable au traitement au titre du présent DPA.
Les termes commençant par une majuscule mais non définis ont la signification qui leur est attribuée dans les Conditions d'utilisation ou dans la Loi applicable sur la protection des données (selon ce qui s'applique au terme spécifique).
L'objet, la nature, la finalité, la durée, les catégories de personnes concernées et les catégories de données à caractère personnel sont définis à l'Annexe A.
RegulatoryBridge ne traitera les données à caractère personnel que sur la base des instructions documentées du Client, telles que précisées dans (a) le Bon de commande, (b) le présent DPA et (c) toute instruction écrite supplémentaire acceptée par RegulatoryBridge. Nous informerons le Client si, à notre avis, une instruction enfreint la Loi applicable sur la protection des données, et nous pourrons suspendre le traitement dans l'attente d'une décision du Client.
L'ensemble du personnel et des sous-traitants de RegulatoryBridge ayant accès aux données à caractère personnel sont liés par des obligations écrites de confidentialité ou sont soumis à une obligation légale appropriée de confidentialité, et reçoivent une formation régulière en matière de protection des données et de sécurité.
Nous mettrons en œuvre et maintiendrons des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, compte tenu de l'état de l'art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement. Les mesures actuelles sont décrites à l'Annexe B et alignées sur les familles de contrôles ISO/IEC 27001:2022 et SOC 2 Type II.
Le Client autorise RegulatoryBridge à faire appel aux sous-traitants ultérieurs répertoriés sur la page Sous-traitants ultérieurs (et repris à l'Annexe C). Chaque sous-traitant ultérieur est lié par des conditions écrites prévoyant des obligations de protection des données au moins aussi protectrices que celles du présent DPA. Nous fournirons un préavis d'au moins 30 jours concernant les nouveaux sous-traitants ultérieurs. Le Client peut s'y opposer pour des motifs raisonnables dans ce délai, et les parties négocieront de bonne foi ; à défaut de résolution, le Client peut résilier le Service concerné.
Compte tenu de la nature du traitement, RegulatoryBridge apportera une assistance raisonnable par des mesures techniques et organisationnelles appropriées pour permettre au Client de remplir son obligation de répondre aux demandes des personnes concernées exerçant leurs droits. Lorsqu'une personne concernée contacte directement RegulatoryBridge avec une demande relative aux données du Client, nous transmettrons rapidement la demande au Client.
RegulatoryBridge notifiera au Client, sans retard injustifié — et en tout état de cause dans un délai de 48 heures après en avoir pris connaissance —, toute violation de données à caractère personnel affectant les données à caractère personnel du Client. La notification comprendra les informations spécifiées à l'article 33(3) du GDPR (ou équivalent au titre d'une autre Loi applicable sur la protection des données) dans la mesure où elles sont alors connues. Nous apporterons une assistance raisonnable au Client pour qu'il puisse remplir ses propres obligations de notification auprès des autorités de contrôle et des personnes concernées.
Lorsque des données à caractère personnel sont transférées de l'EEE / du Royaume-Uni / de la Suisse vers un pays tiers ne bénéficiant pas d'une décision d'adéquation, les parties intègrent par référence les Clauses contractuelles types de l'UE (décision d'exécution (UE) 2021/914 de la Commission), Module 2 (Responsable du traitement → Sous-traitant) ou Module 3 (Sous-traitant → Sous-traitant) selon le cas, ainsi que l'Avenant britannique relatif aux transferts internationaux de données pour les transferts vers le Royaume-Uni, et les adaptations reconnues par le PFPDT suisse pour les transferts vers la Suisse.
Pour les transferts depuis l'Inde (DPDPA), le Brésil (LGPD), le Japon (APPI) et Singapour (PDPA), les parties s'appuieront sur les mécanismes reconnus par la loi applicable (consentement, adéquation, garanties contractuelles) ainsi que sur des avenants propres à chaque pays disponibles sur demande.
RegulatoryBridge mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, et permettra et contribuera aux audits, y compris les inspections, menés par le Client ou par un auditeur mandaté par le Client. Afin de réduire au minimum les doublons et les perturbations opérationnelles :
Au choix du Client, à la fin des Services, RegulatoryBridge restituera l'ensemble des données à caractère personnel au Client ou les supprimera, y compris des sauvegardes, dans un délai de 90 jours, sauf si la conservation est requise par la Loi applicable sur la protection des données. Le Client peut exporter le Contenu Client pendant la Durée de l'abonnement au moyen des outils d'exportation standard décrits dans la Documentation.
La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations de responsabilité énoncées dans les Conditions d'utilisation, sauf lorsque la Loi applicable sur la protection des données exige qu'elle soit non plafonnée.
Le présent DPA prend effet à la date d'entrée en vigueur indiquée ci-dessus et demeure en vigueur tant que RegulatoryBridge traite des données à caractère personnel pour le compte du Client. Les sections qui, par leur nature, doivent survivre à la résiliation (sécurité, confidentialité, audit, notification de violations d'événements antérieurs à la résiliation) survivront ainsi.
Le présent DPA est régi par le droit de Ireland, sans préjudice du droit impératif de la résidence habituelle de la personne concernée. Les litiges sont résolus conformément aux Conditions d'utilisation.
Objet : Fourniture des Services décrits dans le Bon de commande, y compris la représentation réglementaire, les services de DPO, la réponse aux violations et les logiciels associés.
Durée : La Durée de l'abonnement majorée de la période de conservation énoncée à la Section 12 du présent DPA.
Nature et finalité du traitement : Stockage, accès, organisation, structuration, transmission et tout autre traitement de données à caractère personnel en vue de fournir les Services.
Catégories de personnes concernées : Les utilisateurs finaux, employés, sous-traitants, prospects, fournisseurs du Client, et toute autre personne physique dont les données à caractère personnel sont incluses dans le Contenu Client.
Catégories de données à caractère personnel : Identifiants de contact (nom, e-mail professionnel, fonction) ; données comportementales (interactions avec les Services) ; documents de conformité (registres de DSAR, incidents de violation, registres de consentement) ; contenus téléversés par le Client (pouvant inclure d'autres catégories, selon la configuration du Client).
Données relevant de catégories particulières : En général, aucune. Si le Client choisit de téléverser des données à caractère personnel relevant de catégories particulières ou sensibles, il lui appartient de garantir une condition de licéité appropriée au titre de l'article 9 du GDPR ou équivalent.
Fréquence du traitement : Continue, pendant toute la Durée de l'abonnement.
La liste actuelle des sous-traitants ultérieurs autorisés est publiée et tenue à jour à l'adresse /sub-processors. La liste en vigueur à l'acceptation du Bon de commande est incorporée ici par référence. Les mises à jour sont communiquées conformément à la Section 7.
src/lib/legal-entity.ts.