Dernière mise à jour : 1er décembre 2024
Cet Avenant de Traitement des Données (« ATD ») fait partie et est soumis aux Conditions d'Utilisation de Whispie ou à tout autre accord écrit ou électronique entre Black Eagle Group LLC (« Whispie », « nous », « nos ») et vous (« Client », « vous ») pour l'achat de services (l'« Accord »).
Cet ATD reflète l'accord des parties concernant le Traitement des Données Personnelles conformément aux exigences des Lois et Réglementations sur la Protection des Données.
Aux fins de cet ATD, les termes suivants ont les significations définies ci-dessous :
| Terme | Définition |
|---|---|
| Lois sur la Protection des Données | Toutes les lois applicables sur la protection des données et la vie privée incluant le RGPD, l'UK-RGPD, le CCPA/CPRA, le KVKK et d'autres réglementations mondiales sur la protection des données |
| Données Personnelles | Toute information relative à une personne physique identifiée ou identifiable |
| Traitement | Toute opération effectuée sur des Données Personnelles |
| Responsable du Traitement | L'entité qui détermine les finalités et les moyens du Traitement |
| Sous-traitant | L'entité qui traite les Données Personnelles pour le compte du Responsable |
| Personne Concernée | L'individu auquel se rapportent les Données Personnelles |
| Sous-sous-traitant | Tiers engagés par le Sous-traitant pour traiter les Données Personnelles |
Whispie agit en tant que Sous-traitant lors du Traitement des Données Personnelles pour le compte du Client. Whispie devra :
Le Client agit en tant que Responsable du Traitement et est responsable de :
L'objet du Traitement concerne les services de gestion des données du bébé et de la famille. La durée du Traitement correspond à la durée de l'Accord.
Les opérations de Traitement incluent la collecte, le stockage, l'analyse et le partage des données de développement du bébé, des informations de santé et des données de gestion familiale aux fins de la fourniture des services Whispie.
Les Services impliquent le Traitement de catégories spéciales de données incluant :
Whispie met en œuvre les mesures de sécurité suivantes :
| Catégorie de mesure | Mise en œuvre |
|---|---|
| Chiffrement | Données chiffrées en transit (TLS 1.2+) et au repos (AES-256) |
| Contrôles d'accès | Accès basé sur les rôles, authentification multifacteur, principe du moindre privilège |
| Sécurité réseau | Pare-feux, détection d'intrusion, protection DDoS, évaluations de sécurité régulières |
| Sécurité physique | Centres de données sécurisés, surveillance 24/7, journaux d'accès |
| Organisationnel | Formation des employés, accords de confidentialité, politiques de sécurité |
Whispie fournira une assistance raisonnable au Client pour la réalisation d'évaluations d'impact sur la protection des données lorsque requis par les Lois sur la Protection des Données.
Le Client donne une autorisation générale à Whispie pour engager les Sous-sous-traitants suivants :
| Sous-sous-traitant | Service | Localisation | ATD en place |
|---|---|---|---|
| Supabase | Base de données et authentification | États-Unis | Oui |
| Stripe | Traitement des paiements | États-Unis | Oui |
| Twilio | Vérification SMS | États-Unis | Oui |
| Resend | Livraison d'e-mails | États-Unis | Disponible sur demande |
| Sentry | Surveillance des erreurs | États-Unis | Oui |
| Cloudflare | DNS et sécurité | Mondial | Oui |
Whispie devra :
Le Client peut s'opposer à la désignation de nouveaux Sous-sous-traitants par Whispie pour des raisons raisonnables liées à la protection des données. Whispie travaillera avec le Client pour répondre aux préoccupations.
Lorsque des Données Personnelles sont transférées en dehors de l'EEE, du Royaume-Uni, de la Suisse ou d'autres juridictions avec des exigences d'adéquation, Whispie s'assure que des garanties appropriées sont en place :
Whispie met en œuvre des mesures supplémentaires incluant :
Whispie devra, compte tenu de la nature du Traitement, aider le Client par des mesures techniques et organisationnelles appropriées à remplir les obligations du Client pour répondre aux demandes des Personnes Concernées en vertu des Lois sur la Protection des Données.
Whispie devra :
Whispie notifiera le Client sans délai indu après avoir pris connaissance d'une violation de Données Personnelles. Les notifications incluront :
Whispie coopérera avec le Client et prendra les mesures commerciales raisonnables demandées par le Client pour aider à l'investigation, à l'atténuation et à la remédiation de chaque violation de Données Personnelles.
Le Client peut auditer la conformité de Whispie à cet ATD jusqu'à une fois par an. Les audits devront :
En lieu et place d'un audit, Whispie peut fournir :
À la résiliation de l'Accord, Whispie devra, au choix du Client, supprimer ou restituer toutes les Données Personnelles au Client, et supprimer les copies existantes sauf si la loi applicable exige le stockage des Données Personnelles.
Les Données Personnelles seront conservées uniquement aussi longtemps que nécessaire pour fournir les Services et conformément aux périodes de conservation spécifiées à l'Annexe 1.
| Catégorie de données | Exemples | Niveau de sensibilité |
|---|---|---|
| Données d'identité | Noms, dates de naissance, genre | Standard |
| Données de contact | E-mail, numéros de téléphone, adresses | Standard |
| Données de santé | Vaccinations, conditions médicales, allergies | Catégorie spéciale |
| Données de développement | Métriques de croissance, étapes, activités | Catégorie spéciale |
| Données familiales | Relations, autorisations, journaux d'accès | Standard |
| Type de données | Période de conservation | Base légale |
|---|---|---|
| Données de compte | Jusqu'à la suppression du compte + 6 ans | Obligation légale |
| Données de santé du bébé | 18 ans à partir de la naissance | Obligation légale, consentement |
| Données de paiement | 10 ans | Obligation légale |
| Données analytiques | 2 ans (anonymisées) | Intérêt légitime |
Pour les Données Personnelles soumises au RGPD, les Clauses Contractuelles Types de l'UE s'appliquent et sont incorporées par référence.
Pour les Données Personnelles soumises à l'UK-RGPD, l'Avenant de Transfert International de Données du Royaume-Uni s'applique.
Pour les Données Personnelles soumises au KVKK, Whispie se conformera aux obligations du Responsable du Traitement en vertu de la Loi n° 6698 et des réglementations pertinentes.
Pour les Données Personnelles soumises au CCPA/CPRA, Whispie se conformera aux obligations du Prestataire de Services et ne Vendra ni ne Partagera les Données Personnelles.
Whispie se conformera aux lois sur la protection des données dans toutes les juridictions où elle opère, incluant mais sans s'y limiter :
En cas de conflit ou d'incohérence entre cet ATD et l'Accord, cet ATD prévaudra dans la mesure du conflit.
La responsabilité de chaque partie découlant de ou liée à cet ATD sera soumise aux limitations de responsabilité de l'Accord.
Cet ATD sera régi par le droit de l'État du Delaware, sans égard à ses principes de conflits de lois.
Cet Avenant de Traitement des Données est incorporé dans et fait partie de l'Accord entre les parties.
Pour Whispie (Sous-traitant) :
Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-mail : [email protected]
Pour le Client (Responsable du Traitement) :
En utilisant les services Whispie, le Client reconnaît et accepte les termes de cet Avenant de Traitement des Données.
Date effective : 1er décembre 2024