Annexe 1
ACCORD RELATIF AU TRAITEMENT DES DONNÉES (DPA) GIRAFFE360

1. Contexte

  1. 1.1 Le présent Accord relatif au traitement des données et ses annexes (l’« Annexe relative au traitement des données ») s’appliquent aux activités du Client réalisées au sein des pays de l’Espace économique européen et du Royaume-Uni et reflètent l’accord de Giraffe360 et du Client concernant le traitement des Données client par Giraffe360 en tant que sous-traitant pour le compte du Client, qui va agir en tant que Responsable du traitement.
  2. 1.2 Cette Annexe relative au traitement des données fait partie intégrante des Conditions d’utilisation de Giraffe360 intervenant entre le Client et Giraffe360 (l’« Accord »). En cas de conflit entre les dispositions de cette Annexe relative au traitement des données et les dispositions de l’Accord, les dispositions de cette Annexe prévaudront.

2. Définitions

Sauf mention contraire établie ci-dessous, chaque terme en majuscule de cette Annexe relative au traitement des données aura le sens défini dans l’Accord et chacun des termes en majuscule utilisés dans cette Annexe sera défini de la manière suivante :

Les « Données client » désignent toutes les Données Personnelles incluses dans le Contenu Giraffe360 et tout autre contenu ou toute autre donnée que le Client met à la disposition de Giraffe360 et qui est hébergé par Giraffe360 en relation avec la prestation du Service Giraffe360, y compris les Données sur les Propriétés, les Données de profil du Client et les Données client du Client comme décrit plus en détail dans la clause 3.1 de cette Annexe relative au traitement des données.

Le « Responsable du traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données personnelles. Aux fins de cette Annexe relative au traitement des données, le Responsable du traitement est le Client.

Les « Lois sur la protection des données » désignent le RGPD, toute législation nationale d’application ou complémentaire et toute autre législation en vigueur protégeant les droits fondamentaux et les libertés des personnes ainsi que leur droit à la vie privée concernant le traitement des Données client ;

La « Personne concernée » désigne la personne à laquelle les données personnelles se rapportent.

L’ « Espace économique européen » ou « EEE » désigne les États membres de l’Union européenne ainsi que l’Islande, la Norvège et le Liechtenstein ;

Le « RGPD » désigne le Règlement général (UE) 2016/679 du Parlement européen et du Conseil sur la protection des données et, le cas échéant, le « UK GDPR » (RGPD du Royaume-Uni) comme défini par The Data Protection, Privacy and Electronic Communications (Amendment Etc.) (EU Exit) Regulations 2019 (Règlements sur la protection des données, le respect de la vie privée et les communications électroniques (et leurs amendements, etc.) (sortie de l’UE) de 2019) ;

Les « Instructions » désignent les instructions écrites et documentées émises par le Client à l’attention de Giraffe360 et ordonnant à Giraffe360 d’effectuer une action spécifique ou générale concernant les Données client.

Un « Sous-traitant » désigne tout Sous-traitant du Client engagé par Giraffe360 qui Traite les Données client de Giraffe360.

Les « Données Personnelles » désignent toute information relative à une personne identifiée ou identifiable, telles que définies en vertu des Lois sur la protection des données.

Une « Violation de Données Personnelles » désigne la destruction, la perte, l’altération, la corruption, la divulgation non autorisée ou l’accès non autorisé, accidentel ou illicite, à des Données du Client, telle que définie par les Lois applicables en matière de protection des données.

Le « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Données personnelles. Cette ou ces opérations incluent la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autrement la mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction des Données Personnelles. Les termes « Traiter », « Traite », « Traitements » et « Traité » seront interprétés en conséquence.

L’ » Sous-traitant du Client «  désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des Données à Caractère Personnel pour le compte du Responsable de traitement. Aux fins du présent Accord de traitement des données (ATD), le Sous-traitant du Client est Giraffe360.

3. Traitement des données

  1. 3.1 Giraffe360 traite les catégories de Données personnelles suivantes provenant des Personnes concernées suivantes aux fins décrites ci-dessous :
    1. Données relatives aux biens ou propriétés: ces données incluent des images, des vidéos, des nuages de points (point clouds), des visites virtuelles, des plans d’étage, des données de localisation GPS, des informations fournies sur la page de destination de la vitrine de la propriété et d’autres propriétés associées recueillies par le Client, extraites de la caméra Giraffe360 ou fournies par le Client suite à l’utilisation par le Client du Service Giraffe360. Bien que ces informations n’identifient généralement aucune personne physique, elles peuvent, dans de rares cas, identifier des propriétaires, les personnes dont les données sont recueillies lors d’un Scan ou le Client. Il relève de la responsabilité du Client de s’assurer que les Éléments enregistrés ne contiennent aucune Information personnelle interdite conformément aux Conditions d’utilisation. Les Données relatives aux biens ou propriétés sont traitées pour créer du Contenu Giraffe360.
    2. Données relatives au profil du Client: ces données incluent des Données Personnelles sur le Client, ses représentants ou ses employés, telles que les noms, prénoms, adresses e-mail, numéros de téléphone, photos, slogans et des hyperliens vers des comptes de réseaux sociaux fournis par le Client via le Tableau de bord lors de son utilisation du Service Giraffe360. Ces données sont Traitées pour permettre : la création de profils de Tableau de bord pour le Client, ses représentants ou ses employés ; l’accès au Contenu Giraffe360 sur le Tableau de bord ; le partage du Contenu Giraffe360 ainsi que fourniture d’informations concernant le Client, ses représentants ou ses employés via le Service Giraffe360.
    3. Données client du Client: ces données incluent les données personnelles des clients du Client, telles que les noms, prénoms, adresses e-mail, numéros de téléphone et messages des acheteurs ou locataires potentiels des biens ou propriétés. Ces données sont mises à disposition du Client via le Tableau de bord. Elles sont recueillies lorsque le Client active la fonctionnalité de « Leads » qui permet aux clients du Client de transmettre leurs coordonnées afin que le Client puisse les contacter. Cette fonctionnalité peut être désactivée par le Client dans le Tableau de bord.
  2. 3.2 Les Données du Client sont transférées de manière continue dans le cadre de la fourniture des services, telle que décrite dans l’Accord et le présent DPA, et ce jusqu’à la résiliation de l’Accord.

4. Obligations du Client

  1. 4.1 Le Client est responsable du respect de toutes les exigences qui s’appliquent au Client en vertu des Lois sur la protection des données concernant le Traitement des Données personnelles du Client.
  2. 4.2 En particulier mais sans préjudice au caractère général de ce qui précède, le Client reconnaît et accepte d’être seul responsable de :
    1. l’exactitude, la qualité et la légalité des Données client et des moyens par lesquels le Client a acquis ces données ;
    2. respecter toutes les exigences nécessaires en matière de transparence et de légalité en vertu des Lois sur la protection des données pour la collecte et l’utilisation des Données client, notamment en fournissant des notifications adéquates, en obtenant tous les consentements et toutes les autorisations nécessaires, et en respectant les préférences en matière de désabonnement (en particulier pour l’utilisation par le Client à des fins de marketing) ;
    3. s’assurer qu’il possède bien le droit de transférer ou de fournir l’accès aux Données client à Giraffe360 à des fins de Traitement, conformément aux conditions de l’Accord (et de cette Annexe relative au traitement des données) ;
  3. 4.3 Le Client doit informer Giraffe360 sans retard injustifié s’il n’est pas en mesure de se conformer à ses responsabilités en vertu de la présente section ou des Lois sur la protection des données.
  4. 4.4 Le Client est responsable de s’assurer que les instructions qu’il fournit à Giraffe360 concernant le Traitement des Données client sont conformes aux lois applicables, y compris les Lois sur la protection des données.
  5. 4.5 Les parties conviennent que l’Accord (y compris cette Annexe relative au traitement des données), ainsi que l’utilisation par le Client du Service Giraffe360 conformément à l’Accord, constituent les instructions complètes du Client à Giraffe360 concernant le Traitement des Données client par Giraffe360, aussi longtemps que le Client pourra fournir des instructions supplémentaires pendant la durée de l’Accord qui sont cohérentes avec l’Accord et la nature et l’utilisation licite du Service Giraffe360.
  6. 4.6 Le Client est responsable et se doit de déterminer de manière indépendante si la sécurité des données associée au Service Giraffe360 répond de manière adéquate à ses obligations en vertu des Lois sur la protection des données. Le Client est également responsable de son utilisation sécurisée du Service Giraffe360.

5. Obligations de Giraffe360

  1. 5.1 En tant que Sous-traitant de Données Personnelles, Giraffe360 ne Traitera les Données du Client que pour les finalités décrites dans la présente Annexe relative au Traitement des Données, ou selon ce qui est convenu autrement dans le cadre des Instructions légales du Client, sauf si et dans la mesure où la loi applicable en dispose autrement. Dans ce cas, et dans la mesure permise par la loi applicable, Giraffe360 informera le Client de cette obligation légale avant de procéder au Traitement des Données du Client. Giraffe360 n’est pas responsable du respect des Lois sur la protection des données applicables au Client ou à son secteur d’activité, dans la mesure où ces lois ne sont pas généralement applicables à Giraffe360.
  2. 5.2 Giraffe360 mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données du Client, conformément aux exigences des Lois sur la protection des données (les « Mesures de sécurité »). Nonobstant toute disposition contraire, Giraffe360 peut modifier ou mettre à jour les Mesures de sécurité à sa discrétion, à condition que cette modification ou mise à jour n’entraîne pas une dégradation substantielle du niveau de protection offert par lesdites Mesures de sécurité.
  3. 5.3 Compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, du champ, du contexte et des finalités du traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettront en œuvre des Mesures de Sécurité appropriées pour assurer un niveau de sécurité approprié au risque, y compris, entre autres, le cas échéant :
    1. la pseudonymisation et le cryptage des données à caractère personnel;
    2. des Mesures de Sécurité appropriées pour maintenir la capacité d’assurer en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement;
    3. des Mesures de Sécurité appropriées pour maintenir la capacité de rétablir la disponibilité et l’accès aux Données Personnelles en temps utile en cas d’incident physique ou technique;
    4. un processus permettant de tester, d’apprécier et d’évaluer régulièrement l’efficacité des Mesures de Sécurité pour garantir la sécurité du Traitement.
  4. 5.4 Giraffe360 veillera à ce que tout membre de son personnel autorisé à traiter des Données du Client pour son compte soit soumis à des obligations de confidentialité appropriées concernant ces Données.
  5. 5.5 Dans les 30 jours suivant la résiliation de l’Accord, Giraffe360 supprimera, ou, si le Client en fait le choix, restituera toutes les copies des Données du Client traitées par Giraffe360 en vertu de la présente Annexe. Le Client devra notifier son choix à Giraffe360 dans un délai de 14 jours ouvrés suivant la résiliation de l’Accord. Le délai de 30 jours s’appliquera sauf si la loi applicable impose à Giraffe360 de conserver tout ou partie des Données du Client.
  6. 5.6 Giraffe360 peut conserver et utiliser les Données de propriété, pendant et après la résiliation de l’Accord, à des fins de formation en apprentissage automatique et intelligence artificielle ainsi que pour l’amélioration de ses services. Ce Traitement sera effectué par Giraffe360 en tant que Responsable de traitement et conformément à sa Politique de confidentialité.
  7. 5.7 Giraffe360 peut conserver les Données du Client si elle estime cela nécessaire pour intenter ou se défendre contre une action en justice, à condition que ces Données du Client ne soient conservées que dans la mesure et pour la durée requise par les lois applicables ou jusqu’à la résolution du litige concerné. Giraffe360 veillera dans tous les cas à préserver la confidentialité des Données du Client ainsi conservées.

6. Sous-traitants

  1. 6.1 Par la présente, le Client délivre une autorisation écrite générale à Giraffe360 pour engager des Sous-traitants afin de l’aider à fournir le Service Giraffe360. Giraffe360 veillera à ce que tous les Sous-traitants soient liés par des obligations contractuelles garantissant au moins le même niveau de protection des données que celui requis par le présent Accord et les Lois sur la protection des données applicables. Une liste des Sous-traitants actuels, incluant leur nom, leur localisation et leur fonction, est disponible sur le site Web de Giraffe360 (« Liste des Sous-traitants »).
  2. 6.2 Giraffe360 se réserve le droit de mettre à jour la Liste des Sous-traitants si nécessaire. Tout ajout ou remplacement effectué sur la Liste des Sous-traitants apparaitra sur le site Web au moins 15 jours avant que le nouveau Sous-traitant soit autorisé à traiter des Données client. Les clients sont encouragés à consulter régulièrement la Liste des Sous-traitants.
  3. 6.3 Si un Client s’oppose raisonnablement à l’ajout d’un nouveau Sous-traitant en raison de préoccupations légitimes liées à la protection des données, le Client doit en informer Giraffe360 par écrit dans les 15 jours suivant la publication de la mise à jour. Dès réception d’une telle objection, Giraffe360 discutera des préoccupations du Client et travaillera de bonne foi à trouver une solution acceptable pour les deux parties. Si aucune objection n’est reçue dans le délai de notification de 15 jours, le Client sera considéré comme ayant accepté le Sous-traitant mis à jour.
  4. 6.4 Giraffe360 restera à tout moment responsable de respecter ses obligations en vertu de l’Annexe relative au traitement des données et sera responsable envers le Client des actes et omissions d’un Sous-traitant au même titre que s’il s’agissait des actes et des omissions de Giraffe360.

7. Transferts internationaux

  1. 7.1 Giraffe360 ne transférera pas de Données client à un destinataire dans un pays ou territoire en dehors de l’EEE ou du Royaume-Uni sauf si :
    1. le destinataire, ou le pays ou territoire dans lequel il traite les Données à caractère personnel du client, offre un niveau de protection adapté des droits et des libertés des personnes concernées en matière de Traitement des Données à caractère personnel du Client tel que cela est déterminé par la Commission européenne ; ou
    2. le transfert est fondé sur les clauses contractuelles types (sous-traitants) approuvées par la Décision d’exécution (UE) 2021/914 de la Commission, ou toute version ultérieure de celle-ci, ou un autre mode de transfert reconnu légalement.

8. Sécurité des données, audits et notifications de sécurité

  1. 8.1 Le Client peut, en envoyant un préavis raisonnable et à un moment raisonnable, auditer (soit par lui-même, soit par le biais d’auditeurs tiers indépendants) la conformité de Giraffe360 avec les Mesures de sécurité, notamment en réalisant des audits des installations de traitement des données de Giraffe360. Giraffe360 apportera son aide et contribuera aux audits réalisés conformément à cette Annexe relative au traitement des données, à condition que de tels audits ne soient pas effectués plus d’une fois par an.
  2. 8.2 À la demande du Client, Giraffe360 mettra à disposition toutes les informations raisonnablement nécessaires pour démontrer sa conformité avec cette Annexe relative au traitement des données et aux Lois sur la protection des données.
  3. 8.3 Comme l’article 28(3)(h) du RGPD l’exige, Giraffe360 enverra une notification immédiate au Client si Giraffe360 estime que les instructions du Client entrent en conflit avec les exigences de toute Loi sur la protection des données ou d’autres lois de l’UE, du Royaume-Uni ou d’un État membre de l’Espace économique européen.
  4. 8.4 Giraffe360 notifiera par écrit le Client, sans retard indu, dès qu’elle aura connaissance d’une Violation de données personnelles concernant les Données du Client et le Traitement effectué en vertu de la présente Annexe. Giraffe360 apportera une assistance raisonnable au Client pour l’aider à se conformer aux Lois applicables en matière de protection des données en lien avec cette Violation, y compris en apportant son soutien lors d’éventuelles enquêtes réglementaires et notifications aux autorités de contrôle et/ou aux personnes concernées.
  5. 8.5 Lors du signalement d’une violation de Données Personnelles, Giraffe360 communiquera dans un langage clair et simple, au minimum et dans la mesure du possible compte tenu des informations disponibles : une explication de la nature de la violation des Données, le nom et les coordonnées du Délégué à la Protection des Données (« DPO ») ou d’un autre point de contact où des informations supplémentaires peuvent être obtenues, une description des conséquences possibles de la violation de Données Personnelles et une description des mesures prises ou proposées pour remédier à la violation de Données Personnelles, y compris, le cas échéant, des mesures prises pour atténuer tout effet négatif éventuel.

9. Demandes d’accès et droits des personnes concernées

  1. 9.1 Sauf si la loi en vigueur l’exige (ou l’interdit), Giraffe360 avertira le Client de toute demande reçue par Giraffe360 de la part d’une Personne concernée, que la demande soit directe ou émane d’un Sous-traitant, relative aux Données personnelles de cette personne incluses dans les Données client et ne répondra pas à cette Personne concernée.
  2. 9.2 Giraffe360 donnera au Client la possibilité de corriger, de supprimer, de bloquer, d’accéder aux ou de copier les Données client conformément aux fonctionnalités du Service Giraffe360 et dans la mesure du possible.
  3. 9.3 Giraffe360 informera le Client de toute demande de divulgation de Données client émanant d’un organisme gouvernemental ou réglementaire ou d’une autorité d’application des lois (y compris de toute autorité de contrôle de la protection des données) sauf si la loi ou une ordonnance juridiquement contraignante de cet organisme ou autorité l’interdit.
  4. 9.4 Le cas échéant, en tenant compte de la nature du traitement et dans la mesure permise selon les Lois sur la protection des données en vigueur, Giraffe360 :
    1. utilisera toutes les mesures raisonnables afin de venir en aide au Client en mettant en place des mesures techniques et organisationnelles adaptées, dans la mesure où cela est possible, pour aider le Client à répondre à ses obligations de demandes d’exercice des droits des Personnes concernées établis dans le RGPD ; et
    2. apportera une aide raisonnable au Client avec toute évaluation de l’impact sur la protection des données et sans consultations antérieures avec toute Autorité de contrôle du Client, dans chaque cas uniquement en lien avec le Traitement des Données du Client et en tenant compte des informations à la disposition de Giraffe360.