Accord de protection des données

Le présent accord de protection des données (le « APD ») entre en vigueur le 01 janvier 2022.

Le Client mettra à la disposition de la Société et le Client autorise la Société à traiter les informations, y compris les Données personnelles, pour la fourniture des Services en vertu du Contrat. Les parties ont convenu de conclure le présent APD pour confirmer les dispositions de protection relatives à leur relation et afin de répondre aux exigences de la loi applicable en matière de protection des données.

1.   Définitions

1.1.  Aux fins du présent APD:

« Données à caractère personnel »: toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à la personne physique,  identité physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique;

« Loi sur la protection des données » désigne toutes les lois, réglementations et autres exigences légales applicables relatives à (a) la confidentialité, la sécurité des données, la protection des consommateurs, le marketing, la promotion et la messagerie texte, le courrier électronique et autres communications ; et (b) l’utilisation, la collecte, la conservation, le stockage, la sécurité, la divulgation, le transfert, l’élimination et tout autre traitement de toute donnée personnelle.

« L’affilié de la Société » est toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec la Société. « Contrôle », aux fins de la présente définition, la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l’entité concernée ;

« Services » désigne l’un des services suivants fournis par la Société : (a) les offres de produits de marque de la Société mises à disposition via le site Web de la Société, (b) les services de conseil ou de formation fournis par la Société à distance via le réseau ou en personne, et (c) tout service d’assistance fourni par la Société, y compris l’accès au service d’assistance de la Société ;

Les termes « responsable du traitement », « sous-traitant », « personne concernée », « données à caractère personnel », « traitement » et « mesures techniques et organisationnelles appropriées » ont la signification qui leur est donnée en vertu de la loi applicable en matière de protection des données.

2.   Objet, nature et finalité du traitement des données personnelles par la Société

2.1.   L’objet, la nature et le but du traitement des données personnelles en vertu du présent APD sont l’exécution des services par la Société selon les instructions écrites du Client dans son utilisation des Services, sauf si la Loi sur la protection des données l’exige, auquel cas dans la mesure permise par la Loi sur la protection des données, la Société informera le Client de cette obligation légale avant d’effectuer le traitement. La Société ne collectera ou ne traitera les Données à caractère personnel pendant la période de fourniture des Services que dans la mesure et de la manière nécessaires à la fourniture des Services et conformément à la LPD et à la Loi sur la protection des données applicable à la Société.

3.   Durée

3.1.   Le traitement des Données Personnelles sera effectué par la Société tant que le Compte Services du Client existe ou tel que nécessaire à l’exécution des obligations et droits entre la Société et le Client, sauf accord contraire par écrit.

4.   Type de données personnelles traitées

4.1.  Le Client peut soumettre des Données Personnelles du Client aux Services, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories de Données Personnelles suivantes :

·        Informations sur le compte. Lorsque le Client s’inscrit à un Compte Services, certaines informations telles que le nom et l’adresse e-mail lui sont demandées. Le Client peut mettre à jour ou corriger ses informations et ses préférences e-mail à tout moment en visitant le Compte de Services. La Société peut fournir au Client une assistance supplémentaire pour accéder, corriger, supprimer ou modifier les informations du Client fournis à la Société et associés au Compte de Services du Client. Pour protéger la sécurité, la Société prend des mesures raisonnables (telles que demander des informations juridiques) pour vérifier l’identité du Client avant d’apporter des corrections. Le Client est responsable du maintien de la confidentialité du mot de passe et des informations du Compte de Services du Client à tout moment.

·        Informations de profil supplémentaires.  Le Client peut choisir de fournir des informations supplémentaires dans le cadre de son profil. Les informations de profil aident le Client à tirer le meilleur parti des Services. C’est au Client de choisir d’inclure ou non des informations sensibles.

·        Autres informations.  Le Client peut autrement choisir de fournir des informations à la Société lorsqu’il remplit un formulaire, effectue une recherche, met à jour ou ajoute des informations à son Compte de Services, répond à des enquêtes, publie sur des forums communautaires, participe à des promotions ou utilise d’autres fonctionnalités de la plate-forme de Services.

3.   Obligations de l’entreprise

3.1.   La Société accepte et/ou garantit :

(a)  Traiter les Données Personnelles uniquement pour le compte du Client et conformément à ses instructions et à la APD ; s’il ne peut fournir une telle conformité pour quelque raison que ce soit, il s’engage à informer rapidement le Client de son incapacité à s’y conformer, auquel cas le Client est en droit de suspendre le transfert de données et/ou de résilier les Services ;

(b) Que toutes les Données à caractère personnel traitées pour le compte du Client restent la propriété du Client et/ou des Personnes concernées ;

(c)  Qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues du Client et ses obligations au titre de la APD et qu’en cas de modification de cette législation susceptible d’avoir un effet négatif substantiel sur les obligations prévues par APD, il notifiera rapidement la modification au Client dès qu’il en aura connaissance, auquel cas le Client est en droit de suspendre le transfert de données et/ou de résilier les Services ;

(d) Qu’il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 1 avant de traiter les données personnelles transférées ;

(e)  Qu’il informera rapidement le Client :

i.     Toute demande juridiquement contraignante de divulgation des Données à caractère personnel par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête des forces de l’ordre ;

ii.    Tout accès accidentel ou non autorisé ; et

iii.    Toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’elle n’y ait été autrement autorisée ;

(f)   Traiter rapidement et correctement toutes les demandes du client relatives à son traitement des données personnelles avant le transfert et se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

(g)  À la demande du Client de soumettre ses installations de traitement de données à l’audit des activités de traitement couvertes par l’APD ;

(h) Qu’en cas de sous-traitance ultérieure, il en a préalablement informé le Client et obtenu son consentement écrit préalable ;

(i)   Que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la section 7 ;

(j)   De ne confier que les traitements de données décrits dans le présent APD qui ont été soumis à la confidentialité et qui ont été préalablement familiarisés avec les dispositions relatives à la protection des données applicables à leur travail. La Société et toute personne agissant sous son autorité qui a accès aux Données Personnelles, ne doivent pas traiter ces données, sauf sur instruction du Client, sauf si la loi sur la protection des données l’exige ;

(k) Surveiller périodiquement les processus internes pour s’assurer que le traitement dans le domaine de la responsabilité de la Société est conforme aux exigences de la loi sur la protection des données et à la protection des droits de la personne concernée.

5.    Obligations du client

5.1.   Le Client accepte et/ou garantit :

(a)  Que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d’être effectué conformément aux dispositions pertinentes de la loi sur la protection des données et ne viole pas les dispositions pertinentes ;

(b) Qu’elle a donné instruction et qu’elle demandera à la Société de traiter les Données à caractère personnel transférées uniquement pour le compte du Client et conformément à la Loi sur la protection des données et à la APD ;

(c)  Que la Société fournisse des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’Annexe 1 du présent APD ;

(d) qu’après évaluation des exigences de la loi sur la protection des données, les mesures de sécurité appropriées sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illégale ou la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre violation que ces mesures assurent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l’état de la technique et du coût de leur mise en œuvre;

(e)  Qu’il veillera au respect des mesures de sécurité ;

(f)   D’accéder aux Services et de les utiliser uniquement à des fins légales, autorisées et acceptables. Le Client n’utilisera pas (ou n’aidera pas d’autres personnes à utiliser) les Services d’une manière qui : (a) viole, détourne ou enfreint les droits de la Société, de ses utilisateurs ou d’autres personnes, y compris la confidentialité, la publicité, la propriété intellectuelle ou d’autres droits de propriété ; (b) sont illégaux, obscènes, diffamatoires, menaçants, intimidants, harcelants, haineux, offensants sur le plan racial ou ethnique,  ou  incitent ou  encouragent une  conduite qui serait  illégale  ou  autrement inappropriée;

(c) impliquer la publication de faussetés, de fausses déclarations ou de déclarations trompeuses ; (d) usurper l’identité de quelqu’un ;

(e) impliquer l’envoi de communications illégales ou non autorisées telles que la messagerie en masse, la messagerie automatique, la composition automatique, etc. ; ou (f) impliquer toute autre utilisation des Services prescrits dans le présent APD, sauf autorisation contraire de la Société ;

(g)  ne pas (ou aider d’autres personnes à) accéder, utiliser, copier, adapter, modifier, préparer des œuvres dérivées basées sur, distribuer, concéder sous licence, sous-licencier, transférer, afficher, exécuter ou exploiter autrement la plate-forme de services de manière inadmissible ou non autorisée, ou d’une manière qui alourdit, altère ou nuit à la Société, à la plate-forme de Services, aux systèmes, aux autres utilisateurs ou autres, y compris que le Client ne ou directement ou par des moyens automatisés : (a) désosser, altérer, modifier, créer des œuvres dérivées, décompiler ou extraire du code de la plateforme des Services ; (b) envoyer, stocker ou transmettre des virus ou d’autres codes informatiques nuisibles via ou sur la plateforme Services; (c) obtenir ou tenter d’obtenir un accès non autorisé à la plate-forme ou aux systèmes des Services ; (d) interférer avec ou perturber l’intégrité ou la performance de la plateforme de Services ; (e) créer des comptes pour la plate-forme des Services par des moyens non autorisés ou autorisés; (f) collecter les informations d’autres utilisateurs ou les concernant de manière inadmissible ou non autorisée ; (g) vendre, revendre, louer ou facturer la plateforme de Services ; ou (h) distribuer ou rendre la plateforme de Services disponible sur un réseau où elle peut être utilisée par plusieurs appareils en même temps ;

(h) Que le Client est responsable de la sécurité du Compte de Services du Client, et que le Client informera rapidement la Société de toute utilisation non autorisée ou violation de la sécurité du Compte du Client ou de la plate-forme de Services ;

(i)   Que la Société accorde au Client une licence limitée, révocable, non exclusive, non sous-licenciable et non transférable pour utiliser la plateforme de Services. Cette licence a pour seul but de permettre au Client d’utiliser la plateforme des Services, de la manière permise par son APD. Aucune licence ou droit n’est  

Accordés au Client implicitement ou autrement, à l’exception des licences et droits expressément accordés au Client.

6.    Mesures techniques et organisationnelles

6.1.   La Société prendra les mesures techniques et organisationnelles appropriées pour protéger de manière adéquate les Données à caractère personnel contre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel, décrit à l’Annexe 1. Ces mesures comprennent, sans toutefois s’y limiter, des mesures physique et informatique, ainsi que des mesures organisationnelles visant à :

(a)  L’empêchement des personnes non autorisées d’accéder aux systèmes de traitement des Données Personnelles (contrôle d’accès physique),

(b) La prévention de l’utilisation sans autorisation des systèmes de traitement des Données Personnelles (contrôle d’accès logique),

(c)  Veiller à ce que les personnes autorisées à utiliser un système de traitement de données à caractère personnel n’aient accès qu’aux données à caractère personnel auxquelles elles ont le droit d’accéder conformément à leurs droits d’accès et que, au cours du traitement ou de l’utilisation et après leur stockage, les données à caractère personnel ne puissent être ajoutées, copiées, modifiées ou supprimées sans autorisation (contrôle d’accès aux données),

(d) S’assurer que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission, du transport ou du stockage électroniques sur des supports de stockage, et que les entités de mise en place et de vérification pour tout transfert de données à caractère personnel au moyen d’installations de transmission de données peuvent être établies et vérifiées (contrôle des transferts de données),

(e)  Assurer l’établissement d’une piste d’audit pour documenter si et par qui les données personnelles ont été introduites, modifiées ou supprimées des systèmes de traitement des données personnelles (contrôle d’entrée),

(f)   Veiller à ce que les données personnelles soient protégées contre la destruction ou la perte accidentelle (contrôle de disponibilité).

6.2.   Les mesures techniques et organisationnelles sont soumises au progrès technique et au développement ultérieur. À cet égard, la Société peut mettre en œuvre d’autres mesures adéquates, cependant, le niveau de sécurité des mesures définies ne doit jamais être réduit. Les principaux canaux doivent être documentés.

7.   Sous-traitants ultérieurs

7.1.   Le Client accepte que la Société puisse engager des Affiliés de la Société ou des tiers pour traiter les Données personnelles afin d’aider la Société à fournir les Services au nom du Client (« Sous-traitants ultérieurs »).  La société conclue ou conclura un accord écrit avec chaque sous-traitant ultérieur contenant des obligations de protection des données non moins protectrices que celles du présent APD dans la mesure applicable à la nature des services fournis par ce sous-traitant ultérieur. Si le sous-traitant traite les Services en dehors de l’UE/EEE, la Société doit s’assurer que le transfert est effectué conformément aux clauses contractuelles types approuvées par la Commission européenne pour le transfert de Données personnelles que le Client autorise la Société à saisir en son nom, ou que d’autres mécanismes juridiques appropriés de transfert de données sont utilisés.

7.2.   Les Sous-traitants ultérieurs actuels pour les Services sont indiqués sur le site Web de la Société (« Liste des sous-traitants ultérieurs ») et le Client accepte et approuve que la Société a engagé ces Sous-traitants ultérieurs pour traiter les Données personnelles comme indiqué dans la liste. La Société doit notifier un ou plusieurs nouveaux sous-traitants ultérieurs avant d’autoriser tout nouveau sous-traitant ultérieur à traiter des données personnelles dans le cadre de la fourniture du service applicable.

7.3.   La Société informera le Client trente (30) jours à l’avance de tout changement intégré concernant l’ajout ou le remplacement de tout Sous-traitant ultérieur, période pendant laquelle le Client peut soulever des objections à la nomination du Sous-traitant. Toute objection doit être soulevée rapidement (et en tout état de cause au plus tard quatorze (14) jours après la notification par la Société des modifications envisagées). Si la Société choisit de retenir le Sous-traitant ultérieur contesté, la Société en informera le client d’au moins quatorze

(14) jours avant d’autoriser le Sous-traitant ultérieur à traiter les Données personnelles et le Client peut immédiatement cesser d’utiliser la partie concernée des Services et peut résilier la partie concernée des Services.

7.4.   Pour éviter toute ambiguïté, si un Sous-traitant ultérieur ne remplit pas ses obligations en vertu de tout accord de sous-traitance ou en vertu de la loi applicable, la Société restera entièrement responsable envers le Client de l’exécution de ses obligations en vertu du présent APD.

8.   Audit

8.1.   Afin de confirmer le respect du présent APD, le Client est libre d’y procéder en désignant un tiers indépendant qui sera tenu de respecter la confidentialité à cet égard. Un tel audit doit avoir lieu pendant les heures normales de bureau de la Société et ne sera autorisé que dans la mesure nécessaire pour que le Client puisse évaluer la conformité de la Sociétéau présent APD. Dans le cadre d’un tel audit, le Client veillera à ce que l’auditeur : (a) examine toute information dans les locaux de la Société ;

(b) observer un accès raisonnable sur place et d’autres restrictions raisonnablement imposées par la Société ; (c) se conformer aux politiques et procédures de la Société, et (d) ne pas interférer de manière déraisonnable avec les activités commerciales de la Société. La Société se réserve le droit de suspendre ou de suspendre tout audit en cas de violation des conditions spécifiées dans la présente section 8.

8.2.   Dans le cas où le Client, un régulateur ou une autorité de protection des données a besoin d’informations supplémentaires ou d’un audit lié aux Services, alors, le société accepte de soumettre ses installations de traitement des données, fichiers de données et documentation nécessaires au traitement des Données Personnelles à l’audit du Client (ou de tout tiers tel que des agents d’inspection ou des auditeurs,  sélectionné par le client) pour vérifier la conformité cet APD, sous réserve d’en être informé et de conclure un accord de non-divulgation par l’auditeur directement avec la Société. La Société s’engage à fournir une coopération raisonnable au Client dans le cadre de ces opérations, y compris la fourniture de toutes les informations pertinentes et l’accès à tous les équipements, logiciels, données, fichiers, systèmes d’information, etc. utilisés pour l’exécution des Services, y compris le traitement des Données personnelles. Ces audits seront effectués aux frais et aux frais du Client.

8.3.   L’audit ne peut être effectué que lorsqu’il existe des raisons spécifiques de soupçonner une utilisation abusive des Données à caractère personnel, et au plus tôt deux semaines après que le Client a fourni une notification écrite à la Société.

8.4.   Les constatations relatives à l’audit effectué seront discutées et évaluées par les parties et, le cas échéant, mises en œuvre en conséquence, selon le cas, par l’une des parties ou conjointement par les deux parties. Les coûts de l’audit seront à la charge du client.

9.   Notification d’une violation de données

9.1.   Si la Société a connaissance d’une violation de la sécurité entraînant la destruction accidentelle, non autorisée ou illégale ou la divulgation non autorisée ou l’accès non autorisé aux Données personnelles, la Société doit, au mieux de ses capacités, en informer le Client dans les meilleurs délais, après quoi le Client déterminera s’il doit ou non informer les Personnes concernées et/ou la ou les autorités réglementaires compétentes. Cette obligation de déclaration s’applique quel que soit l’impact de la leak. La Société s’efforcera que les informations fournies soient complètes, correctes et exactes.

9.2.   Si la loi et/ou la réglementation l’exige, la Société coopérera en notifiant les autorités compétentes et/ou les Personnes concernées. Le Client reste responsable de toute obligation légale à cet égard.

9.3.   L’obligation de signaler comprend en tout état de cause l’obligation de signaler le fait qu’une fuite s’est produite, y compris les détails concernant :

la cause (suspectée) de la fuite;

les conséquences (actuellement connues et/ou prévues);la solution (proposée);

les mesures qui ont déjà été prises.

10.   Suppression et retour des données personnelles

10.1.    Les parties conviennent qu’à la cessation de la fourniture de services de traitement de données, la Société et ses sous-traitants restitueront, au choix du Client, toutes les Données Personnelles transférées et les copies de celles-ci au Client ou devront rechercher toutes les Données Personnelles et certifier au Client qu’il l’a fait, sauf si la législation imposée à la Société l’empêche de restituer ou de détruire tout ou partie des Données Personnelles transférées. Dans ce cas, la Société garantit qu’elle garantira la confidentialité des Données Personnelles transférées et ne traitera pas activement les Données Personnelles transférées.

Plus. La Société et ses sous-traitants garantissent qu’à la demande du Client et/ou de l’autorité de contrôle, ils soumettront leurs installations informatiques à un audit des mesures visées à l’article 8.

11.     Droit applicable/Forum

11.1.    Le présent APD est régi et interprété conformément aux lois guinéennes.

11.2.    Toutes les réclamations, litiges ou controverses découlant du présent APD, de la violation, de la résiliation ou de la validité de celui-ci, qui n’ont pas été résolus par des négociations de bonne foi entre la Société et le Client dans un délai de trente (30) jours calendaires après réception d’un avis d’une partie à l’autre demandant des négociations seront résolus par arbitrage final et exécutoire devant la Cour d’arbitrage commercial de Conakry conformément à son Règlement d’arbitrage tel qu’en vigueur et en vigueur à la date de l’APD. Les différends sont réglés par un arbitre unique. La procédure d’arbitrage aura lieu à Conakry, en Guinée. Le lieu de l’arbitrage est Conakry, Guinée. La langue de l’arbitrage est le français. Les documents pertinents rédigés dans d’autres langues seront traduits en français si les arbitres le demandent. Tous les frais et coûts des arbitres et de l’arbitrage en relation avec ceux-ci seront partagés à parts égales, sauf que la Société et le Client supporteront chacun les frais de sa propre poursuite et défense, y compris, sans limitation, les honoraires d’avocat et la production de témoins et d’autres preuves. Toute sentence rendue dans le cadre d’un tel arbitrage sera définitive et pourra être exécutée par l’une ou l’autre des parties.

11.3.    Les parties conviennent de garder tous les détails de la procédure d’arbitrage et de la sentence arbitrale strictement confidentiels et déploieront tous les efforts raisonnables pour prendre les mesures appropriées pour empêcher la divulgation non autorisée de la procédure, de toute information divulguée en relation avec celle-ci et de la sentence rendue.

Annexe n° 1

Description des mesures techniques et organisationnelles mises en œuvre par la Société :

La Société mettra en œuvre les mesures décrites dans la présente annexe, à condition que les mesures contribuent directement ou indirectement ou puissent contribuer à la protection des Données Personnelles pendant la période de prestation des Services de la Société au Client. Si la Société estime qu’une mesure n’est pas nécessaire pour le Service concerné ou une partie de celui-ci, la Société le justifiera et conclura un accord avec le Client.

Les mesures techniques et organisationnelles sont sujettes au progrès technique et au développement. À cet égard, la Société est autorisée à mettre en œuvre des mesures alternatives adéquates. Le niveau de sécurité doit correspondre aux meilleures pratiques de sécurité de l’industrie et pas moins que les mesures énoncées dans le présent document. Tous les changements majeurs doivent être convenus avec le client et documentés.

1.    Gestion des risques

1.1.   Gestion des risques de sécurité

1.      La Société doit identifier et évaluer les risques de sécurité liés à la confidentialité, à l’intégrité et à la disponibilité et, sur la base de cette évaluation, mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié au risque.

2.      La Société doit disposer de processus et de routines documentés pour gérer les risques dans le cadre de ses opérations.

3.      La Société évaluera périodiquement les risques liés aux systèmes d’information et au traitement, au stockage et à la transmission des informations.

1.2.  Gestion des risques de sécurité pour les données personnelles

1.2.1.       La Société identifiera et évaluera les risques de sécurité liés à la confidentialité, à l’intégrité et à la disponibilité et, sur la base de cette évaluation, mettra en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque des types et des finalités spécifiques de données personnelles traitées par la Société, y compris, entre autres, le cas échéant :

·        La pseudonymisation et le cryptage des Données Personnelles ;

·        La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ;

·        La possibilité de rétablir la disponibilité et l’accès aux Données du Client en temps opportun

L’événement d’un incident physique ou technique ;

·        Processus permettant de tester, d’évaluer et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles visant à assurer la sécurité du traitement.

1.2.2.       La Société doit disposer de processus et de routines documentés pour gérer les risques lors du traitement des Données personnelles pour le compte du Client.

1.2.3.       La Société évaluera périodiquement les risques liés aux systèmes d’information et au traitement, au stockage et à la transmission des données personnelles .