Cet Accord de Traitement des Données ("DPA") vient en complément des Conditions Générales publiées sur le site https://senecaesg.com/ (la "Plateforme Seneca ESG"), et est automatiquement accepté si vous ou des utilisateurs agissant pour le compte de votre organisation recourez à la Plateforme Seneca ESG pour ses services. Dans ce cas, vous/votre organisation/entreprise êtes considéré(e) comme agissant en votre nom en tant que "Responsable du traitement", et Seneca ESG agira en son propre nom en tant que "Sous-traitant", chaque partie étant une "Partie" et ensemble les "Parties".

Les termes utilisés dans ce DPA auront les significations définies dans cet accord.

Ce DPA s'applique s'il n'y a pas de DPA signé par les Parties soumis par le Responsable du traitement.

Le Responsable du traitement s'engage à disposer d'une base légale valide en vertu des lois applicables pour le traitement des données personnelles qui seront saisies dans la Plateforme Seneca ESG.

1. Définitions

1.1 Dans ce DPA, les termes suivants auront les significations ci-dessous et les termes associés devront être interprétés en conséquence :

1.1.1 "Lois Applicables" désigne (a) les lois du Royaume-Uni et de l'Union Européenne ou des États Membres concernant toute donnée personnelle en ce qui concerne laquelle toute entité traitant des données personnelles est soumise à une telle législation ; et (b) toute autre loi applicable en ce qui concerne la protection des données personnelles et les personnes physiques auxquelles elles se rapportent à travers le monde, selon ce qui est applicable au traitement dans le cadre du Service de la Plateforme Seneca ESG ;

1.1.2 "Données personnelles du Responsable du traitement" désigne les données personnelles concernant les éléments du personnel du Responsable du traitement (salariés ; consultants) traitées par Seneca ESG ou sur la Plateforme Seneca ESG ;

1.1.3 "EEE" désigne l'Espace Économique Européen ;

1.1.4 "Lois de Protection des Données de l'UE" désigne la Directive 95/46/CE de l'UE, telle qu'elle est transposée dans la législation nationale de chaque État Membre et modifiée, remplacée ou remplacée de temps à autre, y compris le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données personnelles et sur la libre circulation de ces données (Règlement Général sur la Protection des Données – RGPD) et les lois mettant en œuvre ou complétant le RGPD et (ii) toute législation sur la protection des données, y compris la Directive sur la confidentialité électronique et ses modifications, remplacements ou remplacements de temps à autre ;

1.1.5 "RGPD" désigne le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données personnelles et sur la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données)

1.1.6 "Données personnelles" désigne toutes les données suivantes (i) Données personnelles telles que définies dans la Directive 95/46/CE de l'UE et transposées dans la législation nationale de chaque État membre et modifiées, remplacées ou remplacées de temps à autre (ii) Données personnelles telles que définies dans le RGPD modifié, remplacé ou remplacé de temps à autre ; et (iii) données personnelles telles que définies dans la législation locale sur la protection des données ou la vie privée d'un autre pays (y compris la Suisse) le cas échéant.

1.1.7 "Transfert international" dans le contexte défini par l'UE et le Royaume-Uni ne s'applique pas car toutes ces données personnelles sont accessibles publiquement et se composent uniquement d'informations liées à l'entreprise du Responsable du traitement, où les personnes physiques sont identifiées comme des membres du personnel du Responsable du traitement.

1.1.8 "Services" désigne les services et autres activités fournis à ou effectués depuis la Plateforme Seneca ESG, par ou au nom du Sous-traitant pour un Responsable du traitement via le Responsable du traitement ou directement par les utilisateurs du Responsable du traitement, conformément aux Conditions Générales ;

1.1.9 "Sous-traitant" désigne tout tiers (y compris un affilié du Sous-traitant, mais à l'exclusion d'un employé du Sous-traitant ou de tout de ses sous-traitants) désigné par ou pour le Sous-traitant ou un affilié du Sous-traitant pour traiter des données personnelles pour le Responsable du traitement, le Responsable du traitement dans le cadre des Conditions Générales ;

1.1.10 "Affilié du Sous-traitant" désigne une entité qui possède ou contrôle, est possédée ou contrôlée par ou est ou sous contrôle ou propriété commune avec le Sous-traitant, où le contrôle est défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la gestion et les politiques d'une entité, que ce soit par la propriété de titres de vote, par contrat ou autrement. Dans le présent cas, il s'agit de Seneca ESG Singapour et des Pays-Bas.

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. Autorité

2.1 Le Sous-traitant garantit et déclare qu'avant que tout Sous-traitant ne traite des données personnelles du Responsable du traitement, le Sous-traitant aura signé un DPA avec ce Sous-traitant qui comporte au moins les mêmes engagements en matière de respect de la législation applicable et de protection des droits et libertés des personnes physiques dont les données personnelles sont traitées.

3. Traitement des données personnelles du Responsable du traitement

3.1 Le Sous-traitant et chaque affilié du Sous-traitant doivent :

3.1.1 respecter toutes les lois applicables lors du traitement des données personnelles du Responsable du traitement ; et

3.1.2 ne pas traiter les données personnelles du Responsable du traitement autrement que sur les instructions documentées du Responsable du traitement, à moins que le traitement ne soit exigé par les lois applicables auxquelles le Sous-traitant est soumis, auquel cas le Sous-traitant ou l'affilié du Sous-traitant doit, dans la mesure permise par les lois applicables, informer le Responsable du traitement de cette exigence légale avant d'effectuer le traitement des données personnelles concernées.

3.2 Le Responsable du traitement doit, en son nom ou s'assurer que le Responsable du traitement fait :

3.2.1 donner des instructions au Sous-traitant et à chaque affilié du Sous-traitant (et autoriser le Sous-traitant et chaque affilié à donner des instructions à chaque Sous-traitant) pour :

3.2.1.1 Traiter les données personnelles du Responsable du traitement ; et

3.2.1.2 en particulier, transférer les données personnelles du Responsable du traitement vers tout pays ou territoire, dans la mesure raisonnablement nécessaire pour fournir les Services et conformément aux Conditions Générales.

3.3 L'annexe 1 de ce DPA décrit certaines informations concernant le traitement des données personnelles du Responsable du traitement, comme l'exige l'Article 28(3) du RGPD (et, le cas échéant, les exigences équivalentes d'autres lois applicables). Le Responsable du traitement peut apporter des modifications raisonnables à l'annexe 1 par notification écrite au Sous-traitant de temps à autre, selon ce que le Responsable du traitement considère comme nécessaire pour répondre à ces exigences. Rien dans l'annexe 1 (y compris tel que modifié conformément à la section 3.3) ne confère de droit ni n'impose d'obligation à aucune des parties à ce DPA.

4. Personnel du Sous-traitant et des Affiliés du Sous-traitant

Le Sous-traitant et chaque affilié du Sous-traitant prendront des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou entrepreneur de tout Sous-traitant qui pourrait avoir accès aux données personnelles du Responsable du traitement, en garantissant dans chaque cas que l'accès est strictement limité aux individus qui ont besoin de connaître / accéder aux données personnelles du Responsable du traitement, strictement nécessaire aux fins des Conditions Générales, et pour respecter les lois applicables dans le cadre des obligations de cet individu envers le Sous-traitant, en garantissant que tous ces individus sont soumis à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

5. Sécurité

5.1 En tenant compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Sous-traitant et chaque affilié du Sous-traitant doivent, en ce qui concerne les données personnelles du Responsable du traitement, mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'Article 32(1) du RGPD.

5.2 Lors de l'évaluation du niveau de sécurité approprié, le Sous-traitant et chaque affilié du Sous-traitant doivent prendre en compte notamment les risques présentés par le traitement, en particulier ceux relatifs à une violation de données personnelles.

5.3 Les mesures techniques et organisationnelles mises en œuvre par le Sous-traitant et chaque affilié du Sous-traitant sont énumérées à l'Annexe 2.

6. Sous-traitance

6.1 Le Responsable du traitement autorise le Sous-traitant et chaque affilié du Sous-traitant à nommer (et permettre à chaque Sous-traitant nommé conformément à cette section 6 de nommer) des Sous-traitants conformément à cette section 6 et à toute restriction dans les Conditions Générales.

6.2 Le Sous-traitant et chaque affilié du Sous-traitant peuvent continuer à utiliser ces Sous-traitants déjà engagés par le Sous-traitant ou tout affilié du Sous-traitant à la date de ce DPA, sous réserve que le Sous-traitant et chaque affilié du Sous-traitant respectent dans chaque cas les obligations énoncées à la section 6.4 dès que possible.

6.3 Le Responsable du traitement autorise le Sous-traitant à sous-traiter les Sous-traitants qu'il considère nécessaires pour la bonne fourniture des services convenus dans le contrat principal. Sur demande du Responsable du traitement, le Sous-traitant fournira une liste mise à jour de toutes les catégories de sous-traitants impliqués dans la prestation des services contractés par ce dernier.

Le sous-traitant sera également considéré comme un sous-traitant aux mêmes termes que le Sous-traitant dans cet accord. En ce sens, le Sous-traitant accepte de signer un accord de traitement des données avec le sous-traitant tiers par lequel le sous-traitant accepte de se conformer aux obligations établies dans cet accord, en tant que sous-traitant.

Dans tous les cas, les mêmes obligations en matière de protection des données seront imposées au sous-traitant de manière à ce que le traitement respecte les dispositions du RGPD (qui est à ce jour la législation la plus complète en matière de protection des données personnelles en vigueur).

6.4 Concernant chaque Sous-traitant, le Sous-traitant ou l'affilié du Sous-traitant concerné doit :

6.4.1 avant que le Sous-traitant ne commence à traiter les données personnelles du Responsable du traitement (ou, le cas échéant, conformément à la section 6.2), effectuer une due diligence adéquate pour s'assurer que le Sous-traitant est capable d'assurer le niveau de protection des données personnelles du Responsable du traitement requis par les Conditions Générales ;

6.4.2 s'assurer que l'accord entre (d'une part) (a) le Sous-traitant, ou (b) l'affilié du Sous-traitant concerné, ou (c) le sous-traitant intermédiaire concerné ; et d'autre part, le Sous-traitant, est régi par un contrat écrit incluant des termes qui offrent au moins le même niveau de protection pour les données personnelles du Responsable du traitement que ceux énoncés dans ce DPA et respectent les exigences de l'Article 28(3) du RGPD ;

6.5 Le Sous-traitant et chaque affilié du Sous-traitant s'assurent que chaque Sous-traitant respecte les obligations des sections 3.1, 4, 5, 7.1, 8.2, 9 et 11.1, telles qu'elles s'appliquent au traitement des données personnelles du Responsable du traitement effectué par ce Sous-traitant, comme si ce dernier était partie à ce DPA à la place du Sous-traitant.

7. Droits des personnes concernées

7.1 Compte tenu de la nature du traitement, le Sous-traitant et chaque affilié du Sous-traitant doivent mettre en place des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour remplir ses obligations légales, afin de répondre à l'exercice des droits des personnes concernées en vertu des lois applicables.

7.2 Le Sous-traitant doit :

7.2.1 informer rapidement le Responsable du traitement si le Sous-traitant ou tout Sous-traitant reçoit une demande d'une personne concernée en vertu de toute loi applicable concernant les données personnelles du Responsable du traitement ; et

7.2.2 s'assurer que ni lui ni son Sous-traitant ne répondent à cette demande sauf sur les instructions documentées du Responsable du traitement ou comme requis par les lois applicables auxquelles le Sous-traitant ou le Sous-traitant est soumis, auquel cas le Sous-traitant doit, dans la mesure permise par les lois applicables, informer le Responsable du traitement de cette exigence légale avant que le Sous-traitant ne réponde à la demande.

8. Violation des données personnelles

8.1 Le Sous-traitant doit informer le Responsable du traitement sans délai dès que le Sous-traitant ou tout Sous-traitant prend connaissance d'une violation des données personnelles de leur part, affectant les données personnelles du Responsable du traitement, fournissant au Responsable du traitement des informations suffisantes pour lui permettre de respecter ses obligations de signalement ou d'information des personnes concernées ou des autorités de contrôle en vertu des lois applicables. "Cette notification doit au minimum contenir les informations suivantes :

8.1.1 décrire la nature de la violation des données personnelles, les catégories et le nombre de personnes concernées, ainsi que les catégories et le nombre d'enregistrements de données personnelles concernés ;

8.1.2 communiquer le nom et les coordonnées du responsable de la protection des données du Sous-traitant ou d'un autre contact pertinent à partir duquel des informations supplémentaires peuvent être obtenues ;

8.1.3 décrire les conséquences probables de la violation des données personnelles ; et

8.1.4 décrire les mesures prises ou proposées pour remédier à la violation des données personnelles.

8.2 Le Sous-traitant doit coopérer avec le Responsable du traitement et prendre les mesures commerciales raisonnables demandées par le Responsable du traitement pour aider à l'investigation, à l'atténuation et à la remédiation de chaque violation des données personnelles.

9. Évaluation de l'impact sur la protection des données et consultation préalable

Le Sous-traitant et chaque affilié du Sous-traitant doivent fournir une assistance raisonnable au Responsable du traitement pour toute évaluation d'impact sur la protection des données, et toute consultation préalable avec les autorités de supervision ou autres autorités compétentes en matière de protection de la vie privée des données, comme défini à l'Article 35 ou 36 du RGPD ou toute disposition équivalente de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles du Responsable du traitement, en tenant compte de la nature du traitement et des informations disponibles pour les Sous-traitants.

10. Suppression ou retour des données personnelles du Responsable du traitement

10.1 Sous réserve de la section 10.2, le Responsable du traitement peut, à sa seule discrétion, par notification écrite au Sous-traitant, demander que dans les trente (30) jours suivant la Date de Cessation, le Sous-traitant et chaque affilié du Sous-traitant (a) retournent une copie complète de toutes les données personnelles du Responsable du traitement au Responsable du traitement par transfert de fichiers sécurisé dans le format raisonnablement notifié par le Responsable du traitement au Sous-traitant ; et (b) suppriment et fassent supprimer toutes les autres copies des données personnelles du Responsable du traitement traitées par tout Sous-traitant. Le Sous-traitant et chaque affilié du Sous-traitant devront se conformer à toute demande écrite dans les 30 jours suivant la Date de Cessation.

10.2 Chaque Sous-traitant peut conserver les données personnelles du Responsable du traitement dans la mesure requise par les lois applicables et uniquement dans la mesure et pour la période exigées par les lois applicables, à condition que le Sous-traitant et chaque affilié du Sous-traitant garantissent la confidentialité de toutes ces données personnelles du Responsable du traitement et s'assurent que ces données personnelles ne sont traitées que dans la mesure nécessaire pour les fins spécifiées dans les lois applicables requérant leur stockage et à aucune autre fin.

10.3 Le Sous-traitant devra fournir un document de confirmation écrit au Responsable du traitement certifiant que le Sous-traitant et ses Sous-traitants ont entièrement respecté cette section 10 dans les 30 jours suivant la Date de Cessation.

10.4 Aux fins de cette clause, "supprimer" signifie retirer ou anéantir les données personnelles de manière à ce qu'elles ne puissent pas être récupérées ou reconstruites, "Date de Cessation" signifie la date de cessation de tout service impliquant le traitement des données personnelles du Responsable du traitement.

11. Droits d'audit

11.1 Le Sous-traitant et chaque affilié du Sous-traitant devront mettre à la disposition du Responsable du traitement, sur demande, toutes les informations nécessaires pour démontrer leur conformité avec ce DPA.

12. Conditions générales

Loi applicable et juridiction

12.1 Sans préjudice des clauses 7 (Médiation et Juridiction) :

12.1.1 les Parties au présent DPA se soumettent par la présente au choix de la juridiction stipulé dans les Conditions Générales en ce qui concerne les litiges ou réclamations résultant de ce DPA, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de son invalidité ; et

12.1.2 ce DPA et toutes les obligations non contractuelles ou autres qui en découlent ou qui y sont liées sont régis par les lois du pays ou du territoire stipulé à cet effet dans les Conditions Générales.

Ordre de priorité

12.2 Rien dans ce DPA ne réduit les obligations du Sous-traitant ou de tout affilié du Sous-traitant en vertu des Conditions Générales en matière de protection des données personnelles ou ne permet au Sous-traitant ou à tout affilié du Sous-traitant de traiter (ou de permettre le traitement) des données personnelles de manière interdite par les Conditions Générales.

12.3 Sous réserve de la section 12.2, en ce qui concerne l'objet de ce DPA, en cas d'incohérences entre les dispositions de ce DPA et tout autre accord entre les Parties, y compris les Conditions Générales et y compris (sauf accord explicite contraire par écrit, signé au nom des Parties) les accords conclus ou prétendument conclus après la date du présent DPA, les dispositions du présent DPA prévaudront.

Modifications des lois applicables, etc.

12.4 Le Responsable du traitement peut :

12.4.1 par notification écrite au Sous-traitant proposer toute autre variation de ce DPA que le Responsable du traitement considère raisonnablement nécessaire pour répondre aux exigences de toute loi sur la protection des données.

12.5 Si le Responsable du traitement donne un avis en vertu de la section 12.4.1 :

12.5.1 Le Sous-traitant et chaque affilié du Sous-traitant devront coopérer rapidement (et s'assurer que tout Sous-traitant affecté coopère rapidement) pour garantir que des variations équivalentes soient apportées à tout accord conclu en vertu de la section 6.4.3 ; et

12.5.2 Le Responsable du traitement ne devra pas refuser de manière déraisonnable ou retarder l'accord sur toute variation conséquente de ce DPA proposée par le Sous-traitant pour protéger les Sous-traitants contre les risques supplémentaires associés aux variations effectuées en vertu des sections 12.4.1 et/ou 12.5.1.

12.6 Si le Responsable du traitement donne un avis en vertu de la section 12.4.1, les Parties devront discuter rapidement des variations proposées et négocier de bonne foi en vue de les approuver et de les mettre en œuvre dès que raisonnablement possible.

12.7 Ni le Responsable du traitement ni le Sous-traitant ne devront demander le consentement ou l'approbation de tout affilié du Responsable du traitement ou du Sous-traitant pour modifier ce DPA conformément à la section 12.5 ou autrement.

Divisibilité

12.8 Si une disposition de ce DPA est jugée invalide ou inapplicable, le reste de ce DPA restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée comme nécessaire pour en assurer la validité et l'applicabilité, tout en préservant autant que possible les intentions des Parties, soit, si cela n'est pas possible, (ii) interprétée de manière à considérer que la partie invalide ou inapplicable n'a jamais été incluse.

12.9 Informations de contact des Parties.

Chaque Partie est informée que les informations de contact de ses représentants et employés seront traitées par l'autre Partie dans le but d'exécuter, de développer, de se conformer et de contrôler la prestation des services convenus, en considérant la conformité des obligations contractuelles comme base légale pour le traitement des données. Les données personnelles seront conservées pendant la durée de l'accord commercial et pendant les périodes de prescription légale après la résiliation de l'accord afin de se conformer aux obligations potentielles en découlant. De plus, chaque Partie doit respecter son obligation d'information auprès de ses représentants et employés respectifs.

Les données des Parties peuvent être transférées aux banques et entités financières pour la gestion des paiements et la collecte, aux autorités fiscales et autres administrations publiques pour réaliser les déclarations fiscales correspondantes et se conformer à leurs obligations légales respectives, conformément aux règlements applicables, et aux administrations publiques en cas de besoins statutaires.

Les Parties peuvent demander l'accès aux données personnelles mentionnées dans cette clause, leur rectification, leur suppression, leur portabilité et la restriction de leur traitement, ainsi que leur opposition à ce traitement, à l'adresse des Parties indiquée à l'Annexe 3.

12.10 Responsabilité

Le Sous-traitant sera responsable de toutes les pénalités et amendes résultant du non-respect des obligations définies dans cet accord.

Annexe 1 : Description du traitement des données personnelles

Cette Annexe inclut certains détails du traitement des données personnelles comme l'exige l'Article 28(3) du RGPD.

Objet et durée du traitement des données personnelles

L'objet et la durée du traitement des données personnelles sont définis dans les Conditions Générales et la Politique de confidentialité.

La nature et le but du traitement des données personnelles

La nature et le but du traitement des données personnelles sont définis dans les Conditions Générales et la Politique de confidentialité.

Les catégories de sujets de données auxquelles les données personnelles se rapportent

Les sujets de données dont les données personnelles seront traitées par le Sous-traitant sont les membres du personnel du Responsable du traitement dans un contexte B2B.

Les types de données personnelles traitées

Données de contact (nom ; email ; etc...)

Données d'emploi (Responsable du traitement ; rôle ; etc...)

Données opérationnelles (actions de l'utilisateur sur la plateforme)

Les obligations et droits du Sous-traitant et des Affiliés du Sous-traitant

Le Sous-traitant a l'obligation de respecter et de satisfaire les exigences des lois applicables principalement et spécifiquement le Règlement UE 2016/679 (la législation générale sur la protection des données – RGPD) qui prévaut sur les législations locales de chaque État membre.