Avenant de Traitement des Données

Dernière mise à jour : 1er décembre 2024

Avenant de Traitement des Données

Cet Avenant de Traitement des Données (« ATD ») fait partie et est soumis aux Conditions d'Utilisation de Whispie ou à tout autre accord écrit ou électronique entre Black Eagle Group LLC (« Whispie », « nous », « nos ») et vous (« Client », « vous ») pour l'achat de services (l'« Accord »).

Cet ATD reflète l'accord des parties concernant le Traitement des Données Personnelles conformément aux exigences des Lois et Réglementations sur la Protection des Données.

1. Définitions

Aux fins de cet ATD, les termes suivants ont les significations définies ci-dessous :

Terme Définition
Lois sur la Protection des Données Toutes les lois applicables sur la protection des données et la vie privée incluant le RGPD, l'UK-RGPD, le CCPA/CPRA, le KVKK et d'autres réglementations mondiales sur la protection des données
Données Personnelles Toute information relative à une personne physique identifiée ou identifiable
Traitement Toute opération effectuée sur des Données Personnelles
Responsable du Traitement L'entité qui détermine les finalités et les moyens du Traitement
Sous-traitant L'entité qui traite les Données Personnelles pour le compte du Responsable
Personne Concernée L'individu auquel se rapportent les Données Personnelles
Sous-sous-traitant Tiers engagés par le Sous-traitant pour traiter les Données Personnelles

2. Rôles et responsabilités

2.1 Whispie en tant que Sous-traitant

Whispie agit en tant que Sous-traitant lors du Traitement des Données Personnelles pour le compte du Client. Whispie devra :

2.2 Le Client en tant que Responsable du Traitement

Le Client agit en tant que Responsable du Traitement et est responsable de :

3. Détails du traitement

3.1 Objet et durée

L'objet du Traitement concerne les services de gestion des données du bébé et de la famille. La durée du Traitement correspond à la durée de l'Accord.

3.2 Nature et finalité

Les opérations de Traitement incluent la collecte, le stockage, l'analyse et le partage des données de développement du bébé, des informations de santé et des données de gestion familiale aux fins de la fourniture des services Whispie.

3.3 Catégories de Personnes Concernées

3.4 Types de Données Personnelles

3.5 Catégories spéciales de données

Les Services impliquent le Traitement de catégories spéciales de données incluant :

4. Mesures techniques et organisationnelles

4.1 Mesures de sécurité

Whispie met en œuvre les mesures de sécurité suivantes :

Catégorie de mesure Mise en œuvre
Chiffrement Données chiffrées en transit (TLS 1.2+) et au repos (AES-256)
Contrôles d'accès Accès basé sur les rôles, authentification multifacteur, principe du moindre privilège
Sécurité réseau Pare-feux, détection d'intrusion, protection DDoS, évaluations de sécurité régulières
Sécurité physique Centres de données sécurisés, surveillance 24/7, journaux d'accès
Organisationnel Formation des employés, accords de confidentialité, politiques de sécurité

4.2 Évaluations d'impact sur la protection des données

Whispie fournira une assistance raisonnable au Client pour la réalisation d'évaluations d'impact sur la protection des données lorsque requis par les Lois sur la Protection des Données.

5. Sous-traitement

5.1 Sous-sous-traitants autorisés

Le Client donne une autorisation générale à Whispie pour engager les Sous-sous-traitants suivants :

Sous-sous-traitant Service Localisation ATD en place
Supabase Base de données et authentification États-Unis Oui
Stripe Traitement des paiements États-Unis Oui
Twilio Vérification SMS États-Unis Oui
Resend Livraison d'e-mails États-Unis Disponible sur demande
Sentry Surveillance des erreurs États-Unis Oui
Cloudflare DNS et sécurité Mondial Oui

5.2 Obligations des Sous-sous-traitants

Whispie devra :

5.3 Droit d'objection

Le Client peut s'opposer à la désignation de nouveaux Sous-sous-traitants par Whispie pour des raisons raisonnables liées à la protection des données. Whispie travaillera avec le Client pour répondre aux préoccupations.

6. Transferts internationaux de données

6.1 Mécanismes de transfert

Lorsque des Données Personnelles sont transférées en dehors de l'EEE, du Royaume-Uni, de la Suisse ou d'autres juridictions avec des exigences d'adéquation, Whispie s'assure que des garanties appropriées sont en place :

6.2 Mesures supplémentaires

Whispie met en œuvre des mesures supplémentaires incluant :

7. Droits des Personnes Concernées

7.1 Obligations d'assistance

Whispie devra, compte tenu de la nature du Traitement, aider le Client par des mesures techniques et organisationnelles appropriées à remplir les obligations du Client pour répondre aux demandes des Personnes Concernées en vertu des Lois sur la Protection des Données.

7.2 Gestion des demandes

Whispie devra :

8. Gestion des incidents de sécurité

8.1 Notification d'incident

Whispie notifiera le Client sans délai indu après avoir pris connaissance d'une violation de Données Personnelles. Les notifications incluront :

8.2 Coopération

Whispie coopérera avec le Client et prendra les mesures commerciales raisonnables demandées par le Client pour aider à l'investigation, à l'atténuation et à la remédiation de chaque violation de Données Personnelles.

9. Droits d'audit

9.1 Procédures d'audit

Le Client peut auditer la conformité de Whispie à cet ATD jusqu'à une fois par an. Les audits devront :

9.2 Preuves alternatives

En lieu et place d'un audit, Whispie peut fournir :

10. Restitution et suppression des données

10.1 Restitution ou suppression

À la résiliation de l'Accord, Whispie devra, au choix du Client, supprimer ou restituer toutes les Données Personnelles au Client, et supprimer les copies existantes sauf si la loi applicable exige le stockage des Données Personnelles.

10.2 Périodes de conservation

Les Données Personnelles seront conservées uniquement aussi longtemps que nécessaire pour fournir les Services et conformément aux périodes de conservation spécifiées à l'Annexe 1.

ANNEXE 1 : DÉTAILS DU TRAITEMENT

A. Catégories de Personnes Concernées

B. Types de Données Personnelles

Catégorie de données Exemples Niveau de sensibilité
Données d'identité Noms, dates de naissance, genre Standard
Données de contact E-mail, numéros de téléphone, adresses Standard
Données de santé Vaccinations, conditions médicales, allergies Catégorie spéciale
Données de développement Métriques de croissance, étapes, activités Catégorie spéciale
Données familiales Relations, autorisations, journaux d'accès Standard

C. Opérations de traitement

D. Périodes de conservation

Type de données Période de conservation Base légale
Données de compte Jusqu'à la suppression du compte + 6 ans Obligation légale
Données de santé du bébé 18 ans à partir de la naissance Obligation légale, consentement
Données de paiement 10 ans Obligation légale
Données analytiques 2 ans (anonymisées) Intérêt légitime

ANNEXE 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES

A. Contrôle d'accès physique

B. Contrôle d'accès au système

C. Contrôle d'accès aux données

D. Mesures organisationnelles

11. Dispositions régionales spécifiques

11.1 Espace Économique Européen

Pour les Données Personnelles soumises au RGPD, les Clauses Contractuelles Types de l'UE s'appliquent et sont incorporées par référence.

11.2 Royaume-Uni

Pour les Données Personnelles soumises à l'UK-RGPD, l'Avenant de Transfert International de Données du Royaume-Uni s'applique.

11.3 Turquie

Pour les Données Personnelles soumises au KVKK, Whispie se conformera aux obligations du Responsable du Traitement en vertu de la Loi n° 6698 et des réglementations pertinentes.

11.4 États-Unis - Californie

Pour les Données Personnelles soumises au CCPA/CPRA, Whispie se conformera aux obligations du Prestataire de Services et ne Vendra ni ne Partagera les Données Personnelles.

11.5 Autres régions

Whispie se conformera aux lois sur la protection des données dans toutes les juridictions où elle opère, incluant mais sans s'y limiter :

12. Dispositions générales

12.1 Ordre de préséance

En cas de conflit ou d'incohérence entre cet ATD et l'Accord, cet ATD prévaudra dans la mesure du conflit.

12.2 Responsabilité

La responsabilité de chaque partie découlant de ou liée à cet ATD sera soumise aux limitations de responsabilité de l'Accord.

12.3 Droit applicable

Cet ATD sera régi par le droit de l'État du Delaware, sans égard à ses principes de conflits de lois.

ACCEPTATION ET EXÉCUTION

Cet Avenant de Traitement des Données est incorporé dans et fait partie de l'Accord entre les parties.

Pour Whispie (Sous-traitant) :

Black Eagle Group LLC
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-mail : [email protected]

Pour le Client (Responsable du Traitement) :

En utilisant les services Whispie, le Client reconnaît et accepte les termes de cet Avenant de Traitement des Données.

Date effective : 1er décembre 2024