DPA
1. Objet
Le présent Addenda relatif au traitement des renseignements personnels (« DPA ») encadre le traitement des Renseignements personnels contenus dans les Données du Client lorsque Vorellis traite ces renseignements pour le compte du Client dans le cadre des Services.
Le présent DPA fait partie intégrante du Contrat. Sauf définition particulière prévue au présent DPA, les termes définis dans le Contrat ont le même sens dans le présent DPA.
En cas de contradiction entre le présent DPA et le Contrat, le présent DPA prévaut uniquement pour les questions relatives au traitement des Renseignements personnels pour le compte du Client.
2. Rôles des Parties
Le Client détermine les finalités et les moyens principaux du traitement des Renseignements personnels contenus dans les Données du Client.
Vorellis traite ces Renseignements personnels pour le compte du Client afin de fournir les Services, conformément au Contrat, au Bon de commande applicable, au présent DPA et aux instructions documentées du Client.
Selon les lois applicables, le Client peut agir notamment comme responsable du traitement, responsable des renseignements personnels, organisation responsable ou entité équivalente, et Vorellis peut agir notamment comme fournisseur, prestataire de services, sous-traitant, processeur ou entité équivalente.
3. Instructions du Client
Le Client donne instruction à Vorellis de traiter les Renseignements personnels uniquement dans la mesure nécessaire pour :
a) fournir, exploiter, maintenir, sécuriser et soutenir les Services ;
b) créer, configurer, administrer et gérer le Compte ;
c) traiter les demandes de support ;
d) produire les Résultats générés demandés par le Client ou ses Utilisateurs autorisés ;
e) prévenir, détecter et corriger les erreurs, abus, incidents, vulnérabilités ou utilisations non conformes ;
f) respecter le Contrat, le présent DPA et les lois applicables.
Vorellis ne doit pas traiter les Renseignements personnels à d’autres fins, sauf instruction écrite du Client ou obligation légale applicable à Vorellis.
4. Description du traitement
L’objet, la durée, la nature, les finalités, les catégories de Renseignements personnels et les catégories de personnes concernées sont décrits dans l’Annexe 1 – Description du traitement.
Le Client demeure responsable de s’assurer que les Renseignements personnels soumis aux Services sont nécessaires, proportionnés, exacts, autorisés et conformes aux lois applicables.
5. Obligations de Vorellis
Vorellis doit :
a) traiter les Renseignements personnels conformément au Contrat, au présent DPA et aux instructions documentées du Client ;
b) limiter l’accès aux Renseignements personnels aux personnes qui doivent y accéder pour fournir, sécuriser, maintenir, soutenir ou administrer les Services ;
c) imposer des obligations de confidentialité appropriées aux personnes autorisées à traiter les Renseignements personnels ;
d) mettre en œuvre des mesures de sécurité raisonnables conformément à l’Annexe 2 – Mesures de sécurité ;
e) ne pas conserver les Renseignements personnels après la fin du mandat, sauf dans la mesure permise par le Contrat, le présent DPA ou la loi applicable ;
f) aviser le Client conformément à la section 9 en cas d’Incident de confidentialité affectant les Renseignements personnels ;
g) collaborer de manière raisonnable avec le Client pour répondre aux demandes relatives aux Renseignements personnels, dans la mesure prévue par le présent DPA.
6. Obligations du Client
Le Client doit :
a) disposer des droits, pouvoirs, consentements, autorisations ou fondements juridiques nécessaires pour soumettre les Renseignements personnels aux Services ;
b) fournir des instructions licites, documentées et compatibles avec les Services ;
c) déterminer les lois applicables à ses activités et aux Renseignements personnels ;
d) répondre aux demandes des personnes concernées et des autorités, sauf mandat distinct confié à Vorellis ;
e) maintenir exactes et à jour les Données du Client ;
f) limiter les Renseignements personnels soumis aux Services à ce qui est nécessaire et proportionné ;
g) utiliser les Services conformément au Contrat et au présent DPA.
7. Sous-traitants de Vorellis
Le Client autorise Vorellis à utiliser des Sous-traitants pour fournir, héberger, sécuriser, maintenir, soutenir, facturer ou administrer les Services.
Les principaux Sous-traitants autorisés sont indiqués à l’Annexe 3 – Sous-traitants autorisés ou dans toute liste de sous-traitants tenue à jour par Vorellis et rendue accessible au Client.
Vorellis doit imposer à ses Sous-traitants des obligations de protection des Renseignements personnels raisonnablement équivalentes à celles prévues par le présent DPA.
Vorellis demeure responsable envers le Client de l’exécution des obligations confiées à ses Sous-traitants, dans les limites prévues par le Contrat.
Vorellis peut ajouter ou remplacer un Sous-traitant, sur avis raisonnable du Client. Le Client peut s’opposer à la nomination d’un nouveau Sous-traitant pour un motif raisonnable lié à la protection des Renseignements personnels. Si les Parties ne parviennent pas à résoudre l’objection de bonne foi, le Client peut cesser d’utiliser la partie des Services concernée ou ne pas renouveler l’Abonnement.
8. Lieux de traitement et transferts hors juridiction
Les Renseignements personnels peuvent être traités, hébergés, consultés ou stockés aux endroits indiqués à l’Annexe 3, dans le Bon de commande ou dans la Documentation applicable.
Lorsque le Client utilise les Services pour traiter des Renseignements personnels soumis à des restrictions de transfert hors juridiction, le Client demeure responsable de déterminer si le transfert est autorisé et de réaliser toute analyse ou évaluation requise par la loi applicable, sauf mandat distinct confié à Vorellis.
Vorellis doit mettre en place des protections contractuelles, techniques et organisationnelles raisonnables pour les transferts effectués par Vorellis ou ses Sous-traitants dans le cadre des Services.
9. Incidents de confidentialité
Vorellis doit aviser le Client dans un délai raisonnable après avoir confirmé un Incident de confidentialité affectant des Renseignements personnels traités pour le compte du Client.
L’avis doit inclure les informations raisonnablement disponibles, notamment :
a) la nature générale de l’incident ;
b) les catégories de Renseignements personnels concernées, lorsque connues ;
c) les mesures prises ou envisagées par Vorellis ;
d) les informations raisonnablement nécessaires pour permettre au Client d’évaluer ses propres obligations de notification.
Le Client demeure responsable de déterminer si l’incident doit être notifié à une autorité, à une personne concernée, à un client, à un assureur ou à un autre tiers, sauf mandat distinct confié à Vorellis.
10. Assistance au Client
Compte tenu de la nature des Services et des informations disponibles, Vorellis fournit une assistance raisonnable au Client pour :
a) répondre aux demandes d’accès, de rectification, de suppression, de portabilité, d’opposition ou autres demandes de personnes concernées ;
b) enquêter sur un Incident de confidentialité ;
c) documenter les traitements réalisés dans les Services ;
d) répondre à une demande raisonnable d’une autorité compétente ;
e) exporter ou supprimer certaines Données du Client selon les fonctionnalités disponibles.
Toute assistance personnalisée, complexe, urgente, juridique, technique avancée, documentaire ou dépassant le support standard peut être traitée comme un Service professionnel distinct.
11. Retour et suppression
À la fin de l’Abonnement, Vorellis rend disponibles ou supprime les Données du Client conformément au Contrat et aux fonctionnalités disponibles.
Sauf obligation légale contraire ou conservation permise par le Contrat, Vorellis supprime ou rend inaccessibles les Renseignements personnels après la fin de l’Abonnement, sous réserve des sauvegardes, des journaux, des archives techniques, des obligations de sécurité, des obligations fiscales, des obligations comptables, des obligations légales ou des besoins raisonnables de preuve contractuelle.
Les copies résiduelles conservées dans des sauvegardes ordinaires demeurent protégées conformément au présent DPA jusqu’à leur suppression, conformément aux cycles normaux de conservation de Vorellis.
12. Audits et renseignements de conformité
Vorellis peut mettre à la disposition du Client des informations raisonnables concernant ses mesures de sécurité, ses Sous-traitants et ses pratiques de traitement, notamment par le présent DPA, l’Annexe 2, l’Annexe 3, la Documentation, des attestations ou des réponses raisonnables à des questionnaires de sécurité.
Toute vérification technique active des systèmes de Vorellis demeure soumise aux restrictions prévues au Contrat, notamment à l’article 6.6.
Toute demande d’audit ou de vérification personnalisée doit être raisonnable, limitée à ce qui est nécessaire, soumise à des obligations de confidentialité et traitée comme un Service professionnel distinct.
13. Traitements propres de Vorellis et services de paiement
Le présent DPA ne s’applique pas aux Renseignements personnels que Vorellis traite pour ses propres fins, notamment pour la facturation, les paiements, la gestion de la relation client, la sécurité générale, les communications commerciales permises, la gestion du site web ou le respect des obligations légales de Vorellis.
Ces traitements sont régis par la politique de confidentialité applicable de Vorellis ou d’Agent AlexArc.
Certains fournisseurs de services de paiement peuvent traiter des renseignements de paiement selon leurs propres conditions, obligations légales, rôles et politiques applicables. Le Client doit s’assurer que les personnes concernées disposent des informations appropriées lorsque des données de paiement ou de facturation sont traitées dans le cadre de la relation commerciale avec Vorellis.
14. Durée
Le présent DPA demeure en vigueur tant que Vorellis traite des Renseignements personnels pour le compte du Client dans le cadre des Services.
Les obligations qui, par leur nature, doivent survivre à la fin du DPA continuent de s’appliquer, notamment les obligations relatives à la confidentialité, à la sécurité, à la suppression, aux sauvegardes résiduelles, aux preuves contractuelles et aux limitations de responsabilité prévues au Contrat.
Toute modification matérielle affectant défavorablement les droits ou obligations du Client relativement au traitement des Renseignements personnels fait l’objet d’un avis raisonnable, sauf en cas d’urgence, d’exigence légale, de sécurité, de conformité ou de modification nécessaire imposée par un Sous-traitant ou un fournisseur essentiel.
Vorellis peut modifier le présent DPA conformément aux règles de modification prévues par le Contrat.
ANNEXE 1 – DESCRIPTION DU TRAITEMENT
1. Objet du traitement
Fourniture, exploitation, sécurisation, maintenance, support et administration des Services Agent AlexArc.
2. Durée du traitement
Pendant la durée de l’Abonnement, puis pendant toute période nécessaire à la suppression, à la restitution, à la sauvegarde, à la sécurité, à la conformité, à la preuve contractuelle ou à l’obligation légale applicable.
3. Nature et finalités du traitement
Les traitements peuvent inclure la collecte, la saisie, l’hébergement, le stockage, la consultation, l’organisation, la classification, l’analyse, la génération, l’affichage, la transmission, l’exportation, la journalisation, la sécurisation, la sauvegarde, la suppression et le support.
Les finalités sont la fourniture des Services, la gestion du Compte, le support, la sécurité, la production des Résultats générés, l’administration des Modules et le respect du Contrat. À la date d’entrée en vigueur du présent DPA, aucune Fonctionnalité IA externe n’est connectée à Agent AlexArc, sauf activation ultérieure conformément au Contrat et au présent DPA.
4. Catégories de personnes concernées
Selon les Données du Client, les personnes concernées peuvent inclure :
a) employés, dirigeants, administrateurs et représentants du Client ;
b) clients, prospects, utilisateurs finaux ou bénéficiaires du Client ;
c) fournisseurs, prestataires, partenaires ou représentants de tiers ;
d) personnes concernées par une demande d’accès, un incident, un registre, une évaluation, un traitement ou un document géré dans Agent AlexArc;
e) toute autre personne dont le Client fournit les renseignements aux Services.
5. Catégories de Renseignements personnels
Selon les Données du Client, les catégories peuvent inclure :
a) informations d’identification et coordonnées professionnelles ;
b) informations de compte, rôle, accès et journalisation ;
c) informations relatives à des activités de traitement, fournisseurs, incidents, demandes, preuves, registres ou évaluations ;
d) contenus de documents téléversés par le Client ;
e) réponses, commentaires, tâches, décisions, statuts ou validations saisis dans Agent AlexArc ;
f) autres Renseignements personnels soumis par le Client.
Le Client ne doit pas soumettre de Renseignements personnels sensibles ou à risque élevé sauf si cela est nécessaire, proportionné, autorisé et conforme au Contrat.
ANNEXE 2 – MESURES DE SÉCURITÉ
Vorellis met en œuvre des mesures raisonnables, compte tenu de la nature des Services, notamment :
a) contrôle d’accès aux systèmes ;
b) authentification et gestion des Identifiants ;
c) limitation des accès internes selon le besoin d’accès ;
d) mesures de chiffrement en transit lorsque techniquement applicable ;
e) sauvegardes ou mécanismes de continuité raisonnables ;
f) journalisation ou surveillance technique appropriée ;
g) mesures de protection contre les accès non autorisés ;
h) gestion raisonnable des vulnérabilités et mises à jour ;
i) obligations de confidentialité pour le personnel autorisé ;
j) recours à des fournisseurs infonuagiques ou techniques réputés ;
k) procédures raisonnables de réponse aux incidents ;
l) mesures de suppression, d’archivage ou de désactivation selon les cycles applicables.
Vorellis s’appuie sur OVHcloud pour l’hébergement et certaines mesures de sécurité de l’infrastructure back-end. Vorellis demeure responsable de la configuration applicative, des accès applicatifs, des paramètres de sécurité relevant d’Agent AlexArc et des mesures de sécurité organisationnelles qu’elle contrôle directement.
Vorellis peut utiliser des outils, des services ou des fournisseurs de sécurité afin de protéger les Services, les environnements techniques, le code, les accès, les journaux, les vulnérabilités, les configurations, les postes de travail, les communications et les infrastructures utilisés pour fournir Agent AlexArc.
Ces outils peuvent notamment servir à la surveillance, à la journalisation, à la détection d’anomalies, à l’analyse de vulnérabilités, à la protection contre les logiciels malveillants, à la gestion des correctifs, à la protection des accès, à l’analyse de sécurité du code, à la réponse aux incidents et à la prévention des abus.
Pour des raisons de sécurité, Vorellis ne publie pas nécessairement la liste détaillée de ses outils ni de ses fournisseurs dans le présent DPA. Lorsque ces outils ou fournisseurs traitent des Renseignements personnels pour le compte du Client de manière significative, Vorellis les encadre contractuellement conformément au présent DPA et peut fournir des informations supplémentaires au Client lorsque cela est raisonnablement requis, sous réserve d’obligations de confidentialité appropriées.
Les mesures de sécurité peuvent évoluer, pourvu que Vorellis ne réduise pas matériellement le niveau global de protection pendant une Période d’abonnement en cours, sauf si une telle modification est nécessaire pour des raisons techniques, légales, de sécurité ou opérationnelles.
ANNEXE 3 – FOURNISSEURS ET SOUS-TRAITANTS AUTORISÉS
1. Principe
Vorellis peut utiliser des fournisseurs et Sous-traitants afin de fournir, héberger, sécuriser, maintenir, soutenir, facturer ou administrer les Services.
La présente Annexe 3 identifie les principaux fournisseurs et Sous-traitants autorisés pouvant traiter des Données du Client ou des Renseignements personnels dans le cadre des Services.
2. Liste des principaux fournisseurs et Sous-traitants autorisés
Fournisseur / Sous-traitant | Fonction | Lieu principal de traitement | Type de données concernées |
OVHcloud | Hébergement de l’application, infrastructure backend, services d’infrastructure et sécurité de l’infrastructure backend | Québec / Canada, selon les services configurés par Vorellis | Données du Client hébergées dans Agent AlexArc, données techniques, journaux applicatifs et données nécessaires à l’exploitation sécurisée des Services |
Twilio, SendGrid / fournisseur SMS | Envoi de courriels transactionnels, messages SMS liés à l’authentification multifactorielle, aux codes de vérification et aux avis de sécurité, notifications système et communications liées aux Services | Selon l’infrastructure de Twilio, SendGrid et les paramètres applicables au service | Coordonnées professionnelles des destinataires, métadonnées d’envoi, contenu des courriels transactionnels ou notifications transmis par les Services |
Stripe | Paiement, facturation, traitement des transactions et gestion de certaines données de paiement | Selon l’infrastructure de Stripe et les paramètres applicables au service | Données de facturation, données de paiement, coordonnées professionnelles, informations de transaction et métadonnées nécessaires au traitement des paiements |
3. Outils de sécurité, surveillance et protection
Les outils de sécurité, de surveillance et de protection utilisés par Vorellis sont décrits de manière générale dans l’Annexe 2. Pour des raisons de sécurité, Vorellis ne publie pas nécessairement la liste détaillée de ses outils ou de ses fournisseurs, sous réserve des obligations prévues par le présent DPA.
4. Support et CRM
Le support client et les fonctions CRM liées à Agent AlexArc sont gérés en interne dans le module administratif d’Agent AlexArc.
Aucun fournisseur externe de support client ni de CRM n’est utilisé, sauf indication contraire communiquée au Client conformément au présent DPA.
5. Fonctionnalités IA
À la date d’entrée en vigueur du présent DPA, aucune fonctionnalité d’intelligence artificielle externe n’est connectée à Agent AlexArc.
Aucun fournisseur de modèles d’IA, d’API d’IA ou d’infrastructure d’IA externe n’est autorisé en tant que Sous-traitant, sauf ajout ultérieur conformément au présent DPA et au Contrat.
6. Mise à jour de l’Annexe 3
Vorellis peut mettre à jour la présente Annexe 3 conformément au présent DPA.
Le Client peut être avisé d’un ajout ou d’un remplacement important de Sous-traitant par courriel, par notification dans l’application, par une page contractuelle dédiée ou par tout autre moyen raisonnable.
ANNEXE 4 — ADDENDA RGPD / EEE
1. Objet et champ d’application
La présente Annexe 4 — Addenda RGPD / EEE (« Addenda RGPD ») complète le présent DPA lorsque le Règlement général sur la protection des données, soit le Règlement (UE) 2016/679 (« RGPD »), s’applique au traitement de Données personnelles effectué par Vorellis pour le compte du Client dans le cadre des Services.
Le présent Addenda RGPD s’applique uniquement dans la mesure où les Données du Client comprennent des Données personnelles soumises au RGPD et où Vorellis agit comme sous-traitant du Client au sens du RGPD.
Le présent Addenda RGPD ne s’applique pas aux renseignements personnels que Vorellis traite à des fins propres, lesquels sont régis par la politique de confidentialité applicable de Vorellis.
2. Définitions propres au RGPD
Aux fins du présent Addenda RGPD :
a) « Données personnelles » désigne les données à caractère personnel au sens du RGPD ;
b) « Responsable du traitement » désigne le Client lorsqu’il détermine les finalités et les moyens du traitement des Données personnelles ;
c) « Sous-traitant » désigne Vorellis lorsqu’elle traite des Données personnelles pour le compte du Client ;
d) « Personne concernée » désigne une personne physique identifiable dont les Données personnelles sont traitées ;
e) « Violation de Données personnelles » désigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des Données personnelles ;
f) les termes « traitement », « sous-traitant ultérieur », « autorité de contrôle », « État membre » et autres termes propres au RGPD ont le sens qui leur est donné par le RGPD.
3. Rôles des Parties
Pour les traitements visés par le présent Addenda RGPD, le Client agit généralement comme Responsable du traitement, et Vorellis agit comme Sous-traitant.
Le Client demeure responsable de déterminer les finalités, les moyens principaux, les bases juridiques, les avis, les consentements, le cas échéant, les durées de conservation, les réponses aux Personnes concernées et les communications avec les autorités de contrôle.
Vorellis traite les Données personnelles uniquement pour le compte du Client, conformément au Contrat, au DPA, au présent Addenda RGPD, au Bon de commande applicable et aux instructions documentées du Client.
4. Instructions documentées
Le Client donne instruction à Vorellis de traiter les Données personnelles uniquement dans la mesure nécessaire à la fourniture, à l’exploitation, à la sécurisation, au maintien, au soutien et à l’administration des Services.
Vorellis ne traite pas les Données personnelles à d’autres fins, sauf instruction écrite du Client ou obligation légale applicable à Vorellis.
Lorsque Vorellis estime qu’une instruction du Client viole le RGPD ou une autre disposition applicable en matière de protection des données, Vorellis en informe le Client, sauf si la loi applicable l’interdit.
5. Obligations de Vorellis comme Sous-traitant
Lorsque Vorellis agit comme Sous-traitant au sens du RGPD, elle doit :
a) traiter les Données personnelles uniquement sur instruction documentée du Client ;
b) s’assurer que les personnes autorisées à traiter les Données personnelles sont soumises à une obligation appropriée de confidentialité ;
c) mettre en œuvre des mesures techniques et organisationnelles raisonnables, compte tenu de la nature des Services et conformément au DPA ;
d) respecter les règles applicables aux sous-traitants ultérieurs ;
e) assister raisonnablement le Client, compte tenu de la nature du traitement et des informations disponibles, pour répondre aux demandes des Personnes concernées ;
f) assister raisonnablement le Client relativement à la sécurité, aux Violations de Données personnelles, aux analyses d’impact relatives à la protection des données et aux consultations préalables, dans la mesure applicable ;
g) supprimer ou retourner les Données personnelles conformément au DPA à la fin des Services ;
h) mettre à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect des obligations applicables au Sous-traitant, sous réserve des limites de confidentialité, de sécurité et de proportionnalité prévues au DPA et au Contrat.
6. Obligations du Client comme Responsable du traitement
Le Client doit :
a) disposer d’une base juridique valide pour le traitement des Données personnelles dans les Services ;
b) fournir les avis de confidentialité requis aux Personnes concernées ;
c) obtenir les consentements requis, lorsque le consentement est la base juridique applicable ;
d) s’assurer que les Données personnelles soumises aux Services sont adéquates, pertinentes, limitées, exactes et nécessaires ;
e) déterminer si une analyse d’impact relative à la protection des données est requise ;
f) répondre aux demandes des Personnes concernées ;
g) respecter les obligations de notification aux autorités de contrôle et aux Personnes concernées ;
h) documenter ses traitements conformément au RGPD ;
i) ne pas utiliser les Services d’une manière qui violerait le RGPD.
7. Sous-traitants ultérieurs
Le Client autorise Vorellis à recourir à des sous-traitants pour fournir, héberger, sécuriser, maintenir, soutenir, facturer ou administrer les Services, conformément au DPA.
Vorellis doit imposer à ses sous-traitants ultérieurs des obligations de protection des Données personnelles raisonnablement équivalentes à celles prévues dans le DPA et le présent Addenda RGPD.
Vorellis peut ajouter ou remplacer un sous-traitant ultérieur conformément au DPA. Lorsque le RGPD l’exige, Vorellis fournit au Client un avis raisonnable lui permettant de formuler une objection fondée sur un motif raisonnable lié à la protection des Données personnelles.
Si les Parties ne parviennent pas à résoudre l’objection de bonne foi, le Client peut cesser d’utiliser la partie des Services concernée ou ne pas renouveler l’Abonnement, sauf autre recours expressément prévu au Contrat ou exigé par la loi applicable.
8. Assistance relative aux droits des Personnes concernées
Compte tenu de la nature des Services et des informations disponibles, Vorellis assiste le Client de manière raisonnable afin de répondre aux demandes d’exercice de droits des Personnes concernées, notamment les demandes d’accès, de rectification, d’effacement, de limitation, de portabilité ou d’opposition.
Le Client demeure responsable de répondre aux Personnes concernées, sauf mandat distinct et expressément confié à Vorellis.
Lorsque Vorellis reçoit directement une demande d’une Personne concernée portant sur des Données personnelles traitées pour le compte du Client, Vorellis peut inviter cette personne à communiquer avec le Client ou transmettre la demande au Client, lorsque cela est approprié.
9. Violation de Données personnelles
Vorellis avise le Client dans un délai raisonnable après avoir confirmé une Violation de Données personnelles affectant des Données personnelles traitées pour le compte du Client.
L’avis inclut les informations raisonnablement disponibles, notamment la nature générale de la violation, les catégories de Données personnelles concernées, lorsque connues, les mesures prises ou envisagées par Vorellis, et les informations raisonnablement nécessaires pour permettre au Client d’évaluer ses obligations.
Le Client demeure responsable de déterminer si une notification à une autorité de contrôle ou à une Personne concernée est requise.
10. Sécurité
Vorellis met en œuvre des mesures techniques et organisationnelles raisonnables afin de protéger les Données personnelles traitées pour le compte du Client, conformément au DPA et à son Annexe 2 — Mesures de sécurité.
Le Client reconnaît que la sécurité dépend également de ses propres pratiques, notamment de la gestion de ses Utilisateurs autorisés, de ses Identifiants, de ses appareils, de ses réseaux, de ses configurations, de ses exportations, de ses accès internes, de ses politiques et de ses Données du Client.
11. Audits et renseignements de conformité
Vorellis met à la disposition du Client des informations raisonnables relatives à ses mesures de sécurité, à ses sous-traitants et à ses pratiques de traitement, conformément au DPA.
Toute vérification technique active, test d’intrusion, scan, inspection ou audit technique des systèmes de Vorellis demeure soumise aux restrictions prévues au Contrat, notamment à l’autorisation écrite préalable de Vorellis.
Toute demande d’audit personnalisée doit être raisonnable, proportionnée, limitée à ce qui est nécessaire, soumise à des obligations de confidentialité appropriées et traitée comme un Service professionnel distinct.
12. Transferts internationaux
Les Données personnelles peuvent être traitées, hébergées, consultées ou stockées aux endroits indiqués dans le DPA, le Bon de commande ou la Documentation applicable.
Lorsque des Données personnelles soumises au RGPD sont transférées depuis l’Espace économique européen vers un pays tiers, les Parties doivent, le cas échéant, s’appuyer sur un mécanisme de transfert reconnu par le RGPD.
Dans la mesure applicable, ces mécanismes peuvent inclure :
a) une décision d’adéquation applicable ;
b) les clauses contractuelles types adoptées par la Commission européenne ;
c) tout autre mécanisme de transfert reconnu par le RGPD.
Lorsque les clauses contractuelles types sont requises pour un transfert applicable, les Parties conviennent de coopérer de manière raisonnable afin de les mettre en place ou de s’appuyer sur celles déjà conclues avec les fournisseurs concernés, selon le rôle des Parties et le flux de données concerné.
13. Représentant dans l’Union européenne
Lorsque le RGPD exige que Vorellis désigne un représentant dans l’Union européenne en vertu de l’article 27 du RGPD, Vorellis prendra les mesures raisonnables nécessaires pour se conformer à cette exigence.
Le présent article ne doit pas être interprété comme une reconnaissance automatique selon laquelle Vorellis est tenue de désigner un représentant au sein de l’Union européenne dans tous les cas. L’analyse dépend notamment de la portée réelle des activités, de l’offre de services, des personnes concernées, du caractère occasionnel ou non du traitement, du risque et des exigences applicables.
14. Priorité
En cas de contradiction entre le présent Addenda RGPD et le DPA, le présent Addenda RGPD prévaut uniquement pour les traitements de Données personnelles soumis au RGPD.
En cas de contradiction entre le présent Addenda RGPD et le Contrat, l’ordre de priorité prévu dans le Contrat s’applique, sous réserve des exigences impératives du RGPD applicables au traitement concerné.
15. Absence d’élargissement des Services
Le présent Addenda RGPD ne crée aucun Service professionnel, mandat de DPO, mandat de conseiller juridique, mandat de représentant européen, mandat de conformité RGPD, audit, certification, opinion juridique ou validation réglementaire.
Toute assistance personnalisée, juridique, documentaire, technique avancée, urgente ou dépassant le support standard peut être traitée comme un Service professionnel distinct, sauf disposition contraire dans un Bon de commande, un énoncé de travaux ou un contrat distinct.