Addendum au traitement des données de la base de données Firebase

INTRODUCTION

Le présent addendum sur le traitement des données fait partie de l'accord entre vous et iProov Limited concernant votre utilisation des services d'essai.

Les définitions figurant à l'annexe 3 s'appliquent au présent addendum au traitement des données. Si un terme n'est pas autrement défini à l'annexe 3 du présent addendum au traitement des données ou ailleurs dans celui-ci, il a la signification qui lui est donnée dans le reste de l'accord.

1. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

1.1 Dans l'exécution des services d'essai :

    1. iProov agit en tant que processeur ; et
    2. vous agissez en tant que contrôleur.

1.2 iProov traitera vos données personnelles en conformité avec les obligations des sous-traitants en vertu des lois sur la protection des données du Royaume-Uni et de l'UE.

1.3 iProov traitera les données personnelles afin de fournir les services d'essai conformément à l'accord. L'annexe 1 (Détails du traitement des données) précise la nature et la finalité du traitement, les activités de traitement, la durée du traitement, les types de données à caractère personnel et les catégories de personnes concernées.

1.4 Vous désignez iProov en tant que sous-traitant pour traiter vos données à caractère personnel pour le compte et conformément à vos instructions (a) comme indiqué dans l'accord (qui inclut le présent addendum sur le traitement des données), et comme nécessaire pour qu'iProov vous fournisse les services d'essai, ce qui inclut (mais n'est pas limité à) (i) enquêter sur les incidents de sécurité et prévenir les spams, les activités frauduleuses et les violations de la politique d'utilisation acceptable et (ii) détecter et prévenir les exploits ou les abus de réseau ; (b) si cela est nécessaire pour se conformer à la loi ou à la réglementation applicable, y compris la législation sur la protection des données ; et (c) si iProov et vous en conviennent autrement par écrit.

1.5 Vous garantissez, déclarez et vous engagez à ce que, à tout moment :

    1. vous veillerez à ce que vos instructions soient conformes à la législation sur la protection des données ;
    2. un traitement équitable et tous les autres avis appropriés ont été fournis aux personnes concernées par vos données personnelles (et tous les consentements nécessaires de ces personnes ont été obtenus et maintenus à tout moment) dans la mesure requise par la législation sur la protection des données en relation avec toutes les activités de traitement de vos données personnelles qui peuvent être entreprises par iProov et / ou ses sous-traitants en vertu de l'accord et de cet addendum sur le traitement des données ;
    3. vous avez respecté et continuerez à respecter la législation sur la protection des données dans le cadre de l'utilisation des services d'essai et de votre propre traitement des données à caractère personnel, ainsi que de l'exercice et de l'exécution de vos droits et obligations respectifs en vertu de l'accord, y compris le maintien de tous les enregistrements et notifications réglementaires pertinents requis en vertu de la législation sur la protection des données ;
    4. vous avez, et continuerez d'avoir, le droit de transférer ou de donner accès à toute donnée personnelle à iProov pour qu'elle soit traitée conformément aux termes de l'accord et du présent addendum sur le traitement des données ;
    5. si vous concluez cet accord en tant qu'organisation, vous et l'organisation avez fait preuve de diligence raisonnable en ce qui concerne les activités, les opérations de traitement et les engagements d'iProov et vous êtes convaincus (et à tout moment où vous continuez à utiliser les services d'essai, vous restez convaincus) que
      1. Les opérations de traitement d'iProov sont adaptées aux fins pour lesquelles vous proposez d'utiliser les services d'essai et engagez iProov à traiter vos données à caractère personnel ;
      2. les mesures techniques et organisationnelles énoncées dans le présent addendum au traitement des données et dans l'accord (chacun étant mis à jour de temps à autre) assureront (si iProov respecte ses obligations en la matière) un niveau de sécurité approprié au risque concernant vos données personnelles, comme l'exige la législation sur la protection des données ; et
      3. iProov dispose d'une expertise, d'une fiabilité et de ressources suffisantes pour mettre en œuvre des mesures techniques et organisationnelles qui répondent aux exigences de la législation sur la protection des données.

1.6 Vous reconnaissez qu'iProov n'est pas responsable de déterminer quelles lois ou réglementations sont applicables à vous, à votre entreprise ou à votre organisation, ni de savoir si la fourniture par iProov des services d'essai répond ou répondra aux exigences de ces lois. Vous veillerez à ce que le traitement par iProov de vos données personnelles, lorsqu'il est effectué conformément à l'accord, ne conduise pas iProov à violer une loi ou un règlement applicable, y compris la législation sur la protection des données. iProov vous informera s'il a connaissance, ou s'il croit raisonnablement, que vos instructions violent la législation sur la protection des données.

2.1 SÉCURITÉ

2.1 iProov met en œuvre les mesures techniques et organisationnelles énoncées à l'annexe 2 du présent addendum relatif au traitement des données en ce qui concerne le traitement de vos données à caractère personnel.

2.2 Vous devez évaluer si les mesures de sécurité mises en œuvre conformément au paragraphe 2.1 sont suffisantes pour protéger vos données à caractère personnel contre la destruction, la perte, l'altération, la divulgation ou l'accès accidentels, non autorisés ou illégaux, dans la mesure requise par la législation sur la protection des données, dans les circonstances en question.

2.3 Vous reconnaissez qu'iProov fournit un service banalisé d'un à plusieurs et que les besoins ou les évaluations des autres clients peuvent différer. iProov n'est pas obligé de mettre en œuvre des mesures de sécurité différentes pour vous, mais vous pouvez cesser d'utiliser les services d'essai si vous concluez que les mesures adoptées par iProov ne sont pas suffisantes pour répondre à vos besoins.

3. SOUS-TRAITEMENT

3.1 iProov ne sous-traitera pas le traitement des données personnelles à un sous-traitant tiers sans votre consentement écrit préalable et s'assurera que ce sous-traitant (chacun, un "sous-traitant") est lié par des conditions qui (i) sont au moins équivalentes aux conditions énoncées dans le présent addendum sur le traitement des données, ou (ii) dans le cas des fournisseurs de services en nuage, sont des conditions que le fournisseur de services en nuage offre en guise de conformité avec les lois sur la protection des données du Royaume-Uni et de l'Union européenne. Par la présente, vous consentez et autorisez (a) iProov Limited et (b) les entités suivantes (chacune étant un "fournisseur de services en nuage") en tant que responsables du traitement : Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublin, Irlande (ou un autre membre de son groupe) en ce qui concerne le service Azure ; AWS EMEA SARL (une entité luxembourgeoise) (ou un autre membre de son groupe) en ce qui concerne Amazon Web Services (AWS) ; Google Ireland Limited, avec des bureaux à Gordon House, Barrow Street, Dublin 4, Irlande (ou un autre membre de son groupe) en ce qui concerne Google GCP.

3.2 iProov est et reste pleinement responsable de tous les actes et omissions de chaque Sous-Traitant comme s'ils étaient les siens.

4. DROITS DE LA PERSONNE CONCERNÉE

iProov vous aidera à répondre aux demandes des personnes concernées dans la mesure où cela est techniquement possible et requis par les lois sur la protection des données du Royaume-Uni et de l'UE. iProov vous notifiera, sans retard injustifié, toute demande des personnes concernées et n'y répondra qu'avec vos instructions écrites (à vos frais et dépens) ou comme requis par la loi. Sauf si la législation sur la protection des données l'interdit, vous êtes responsable de tous les coûts et/ou dépenses encourus par iProov pour fournir cette assistance et vous rembourserez iProov pour ces coûts et/ou dépenses immédiatement à la demande d'iProov.

5. VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

iProov vous informera sans délai excessif dès qu'iProov aura connaissance d'une violation de données personnelles affectant vos données personnelles et iProov vous fournira les informations requises par la législation applicable en matière de protection des données (dans la mesure où ces informations sont, à ce moment-là, sous le contrôle ou en possession d'iProov).

6. ÉVALUATION DE L'IMPACT SUR LA PROTECTION DES DONNÉES ET CONSULTATION PRÉALABLE

iProov vous apportera une coopération raisonnable dans le cadre de toute évaluation de l'impact de la protection des données ou de consultations avec les autorités réglementaires qui pourraient être requises conformément à la législation sur la protection des données (à vos frais et dépens).

7. LA RESTITUTION OU L'EFFACEMENT DES DONNÉES À CARACTÈRE PERSONNEL.

7.1 Sous réserve du paragraphe 7.2 et de la Période de conservation, à la résiliation ou à l'expiration de l'Accord, iProov, conformément à l'Annexe 1 (Détails du traitement) du présent Addendum au traitement des données, supprimera ou rendra irréversiblement anonymes (à la discrétion d'iProov) Vos Données personnelles stockées ou traitées dans le cadre ou au sein des Services d'essai.

7.2 Nonobstant toute disposition contraire dans le présent addenda relatif au traitement des données, iProov peut conserver vos données personnelles, ou toute partie de celles-ci, si la loi ou la réglementation applicable l'exige, y compris la législation sur la protection des données.

7.3 Au cours de toute période pendant laquelle vos données personnelles sont conservées à la suite de la résiliation ou de l'expiration de cet accord conformément à ce paragraphe, iProov veillera à ce que vos données personnelles :

      1. n'est traité que dans la mesure où cela est nécessaire aux fins décrites dans le présent addendum sur le traitement des données ; et
      2. reste protégée conformément aux termes de l'accord, du présent addendum sur le traitement des données et des lois sur la protection des données du Royaume-Uni et de l'Union européenne.

8. DROITS D'AUDIT

8.1 iProov mettra à votre disposition, dans un délai raisonnable à compter de votre demande écrite, les informations qu'iProov juge raisonnablement appropriées dans les circonstances pour démontrer sa conformité avec le présent addendum sur le traitement des données.

8.2 Si vous démontrez raisonnablement que les informations fournies par iProov en vertu du paragraphe 8.1 sont insuffisantes pour démontrer la conformité d'iProov avec le présent addendum sur le traitement des données, iProov vous autorisera ou autorisera votre auditeur (l'"auditeur") (qui comprendra les auditeurs internes et externes et, le cas échéant, les autorités de contrôle) à accéder, pendant les heures de travail normales d'iProov et moyennant un préavis raisonnable (et en tout état de cause au moins 60 jours avant), à vérifier tous les dossiers et documents pertinents détenus par iProov, qui sont nécessaires pour démontrer cette conformité. Cet accès sera soumis aux conditions suivantes :

      1. les audits seront effectués à distance, à moins qu'une visite sur place ne soit légalement requise ;
      2. vous acceptez de vous conformer et de vous assurer que tout auditeur se conforme à la législation sur la protection des données et à toutes les exigences raisonnables d'iProov en matière de sécurité et de confidentialité ;
      3. l'accès ne sera donné que dans les locaux et sur les systèmes déterminés par iProov à sa discrétion raisonnable, (et pour éviter tout doute, il est raisonnable pour iProov de prendre en compte tous les autres clients d'iProov, toute perturbation de l'activité d'iProov et toutes les obligations de confidentialité d'iProov, pour déterminer quel accès est raisonnable) ;
      4. l'accès ne sera pas donné aux dossiers, matériels ou systèmes contenant des informations relatives à d'autres clients d'iProov ;
      5. l'accès ne sera pas accordé à un auditeur qui ne produit pas de preuve raisonnable de son identité ou de son autorité ; et
      6. L'accès ne sera pas accordé plus d'une fois par période de 12 mois consécutifs, sauf si vous démontrez à iProov qu'un audit est nécessaire plus fréquemment, afin de respecter vos obligations en vertu de la législation applicable en matière de protection des données.

8.3 Vous devez et devez faire en sorte que vos auditeurs fassent de leur mieux pour éviter tout dommage ou perturbation des locaux, de l'équipement, du personnel, des données ou de l'activité d'iProov pendant un audit sur site et vous devez indemniser iProov pour tout dommage ou perturbation de ce type.

8.4 Vous payez (et remboursez sur demande) tous les coûts et dépenses d'iProov liés à la conduite de l'audit, à moins que cet audit ne révèle qu'iProov a matériellement manqué à ses obligations en vertu du présent paragraphe 8, auquel cas iProov supporte ses propres coûts et dépenses.

9. TRAITEMENT DES DONNÉES PERSONNELLES DES RÉSIDENTS CALIFORNIENS

9.1 Aux fins du présent paragraphe 9, les termes "entreprise", "but commercial", "vendre" et "fournisseur de services" ont la signification qui leur est donnée dans l'ACPR, et "informations personnelles" désigne vos données personnelles qui constituent des informations personnelles régies par l'ACPR.

9.2 En ce qui concerne les renseignements personnels, iProov est un fournisseur de services. iProov ne doit pas (a) vendre des renseignements personnels ; (b) sous réserve du paragraphe 7, conserver, utiliser ou divulguer des renseignements personnels dans un but autre que celui de fournir le service d'essai, y compris conserver, utiliser ou divulguer des renseignements personnels dans un but commercial autre que la fourniture du service d'essai ; ou (c) sous réserve du paragraphe 7, conserver, utiliser ou divulguer des renseignements personnels en dehors de la relation d'affaires directe entre iProov et vous. iProov certifie par la présente qu'elle comprend ses obligations en vertu du présent paragraphe 9.2 et qu'elle les respectera.

9.3 Il est reconnu que la conservation, l'utilisation et la divulgation par iProov des renseignements personnels décrits dans le présent addenda sur le traitement des données font partie intégrante du traitement et de la prestation par iProov des services d'essai.

10. TRANSFERTS INTERNATIONAUX DE DONNÉES

10.1 Au cours du processus d'installation de l'Extension, vous aurez la possibilité de sélectionner le pays dans lequel vos données personnelles seront hébergées par iProov dans le cadre de votre utilisation ou de votre accès aux Services d'essai (la "Région d'hébergement") et vous acceptez, s'il s'agit d'une option, de sélectionner le pays dans lequel les Services d'essai seront utilisés ou mis à disposition (ou principalement utilisés ou mis à disposition, selon le cas), en tant que Région d'hébergement.

10.2 iProov (et ses Sous-Traitants) ne peut transférer vos données personnelles que vers (ou traiter vos données personnelles dans) les pays suivants : le Royaume-Uni, l'UE et la région d'hébergement (ensemble, les "Territoires") et vous autorisez iProov (ou tout Sous-Traitant) à transférer vos données personnelles vers n'importe lequel des Territoires et ce paragraphe 10 constitue votre instruction en ce qui concerne les transferts.

11. INCORPORATION ET PRÉSÉANCE

En cas de conflit ou d'incohérence entre le présent addenda relatif au traitement des données et le reste du présent accord, les dispositions du présent addenda relatif au traitement des données priment et prévalent.

ANNEXE 1

DÉTAILS DU TRAITEMENT DES DONNÉES

La présente annexe 1 comprend certains détails sur le traitement de vos données à caractère personnel, conformément à l'article 28, paragraphe 3, du RGPD.

Détails du traitement

Catégories de personnes concernées : vous et/ou les utilisateurs
Catégories de données personnelles :
  • Données relatives à l'interaction avec l'utilisateur (y compris les données relatives à la manière dont les utilisateurs interagissent avec le service)
  • Informations relatives à l'appareil de la personne concernée, qui peuvent inclure une adresse IP
  • Adresse IP de l'appareil de la personne concernée connecté aux services d'essai et/ou à l'application.
  • les données d'authentification, y compris les clés et les secrets d'API utilisés pour identifier les personnes concernées
  • Images faciales de la personne concernée créées lors de l'utilisation des services d'essai, par exemple des images prises avec l'appareil photo de l'appareil.
  • Nom d'utilisateur pseudonyme de la personne concernée
  • Identifiant d'une instance installée d'un système Android, IOS ou Flutter
  • Un modèle biométrique de vous / des utilisateurs
Nature et finalité du traitement :
  • Traitement conformément aux droits et obligations des parties en vertu de l'accord ;
  • le traitement raisonnablement nécessaire pour fournir les services d'essai ; et
  • le traitement initié, demandé ou instruit par vous ou les utilisateurs dans le cadre de l'utilisation des services d'essai.
Durée du traitement : Pour la durée de l'accord ou (si elle est plus longue) conformément à vos instructions.

Pour chaque image faciale d'une personne concernée créée ou transférée à iProov dans le cadre de l'utilisation des services d'essai, iProov supprime l'image faciale concernée dans un délai maximum de 14 jours après le traitement de cette image dans le cadre de la fourniture des services d'essai (la "période de conservation").

ANNEXE 2

LES MESURES DE SÉCURITÉ

iProov se conforme à la norme de sécurité ISO/IEC 27001:2013, dont le champ d'application comprendra les services d'essai qui vous sont fournis et qui inclut les normes suivantes :

  • ISO/IEC 27001:2013 section 5.3 - Rôles, responsabilités et autorités de l'organisation
  • ISO/IEC 27001:2013 section 8.2 - Évaluation du risque de sécurité de l'information
  • ISO/IEC 27002:2013 section 9 - Contrôle d'accès
  • ISO/IEC 27002:2013 section 10 - Cryptographie
  • ISO/IEC 27002:2013 section 9.2.4 - Gestion des informations secrètes d'authentification des utilisateurs
  • ISO/IEC 27002:2013 section 11.1 - Gestion des zones sécurisées
  • ISO/IEC 27002:2013 section 12.1.2 - Gestion des changements
  • ISO/IEC 27002:2013, section 16.1 - Gestion des incidents et des améliorations en matière de sécurité de l'information
  • ISO/IEC 27002:2013 section 13.1 - Gestion de la sécurité des réseaux
  • ISO/IEC 27002:2013 section 12.6 - Gestion des vulnérabilités techniques
  • ISO/IEC 27002:2013 section 17 - Aspects de la sécurité de l'information liés à la gestion de la continuité des activités.

ANNEXE 3

DÉFINITIONS

  1. Dans le présent addendum sur le traitement des données, les termes ont la signification qui leur est donnée dans la présente annexe 3.
  2. Tout terme commençant par une majuscule qui n'est pas défini dans la présente annexe 3 ou dans l'accord a la signification qui lui est donnée dans le GDPR britannique.
  • "loi applicable" signifie ce qui suit, dans la mesure où cela fait partie de la loi de toute juridiction applicable :
  1. a) toute loi, législation, règlement, arrêté ou législation subordonnée en vigueur ;
  2. b) le droit commun et les lois d'équité applicables de temps à autre ;
  3. c) toute ordonnance, tout jugement ou toute décision judiciaire contraignante ; ou
  4. d) toute directive, politique, règle ou ordonnance applicable émise ou donnée par un organisme de réglementation ayant compétence sur une partie ou sur l'un des actifs, ressources ou activités de cette partie ;
  • "informations biométriques"toute information, quelle que soit la manière dont elle est saisie, convertie, stockée ou partagée, basée sur l'identifiant biométrique d'une personne et utilisée pour l'identifier.
  • "lois sur les informations biométriques" désigne l'ensemble des lois applicables et des lois et réglementations contraignantes en matière d'informations biométriques qui concernent l'utilisation des informations biométriques ou des données biométriques.
  • "identifiant biométrique"les caractéristiques physiologiques, biologiques ou comportementales d'une personne, y compris son acide désoxyribonucléique (ADN), qui peuvent être utilisées, seules ou en combinaison les unes avec les autres ou avec d'autres données d'identification, pour établir l'identité d'une personne. Les identificateurs biométriques peuvent comprendre, entre autres, des images de l'iris, de la rétine, des empreintes digitales ou du visage, de la main, de la paume, des veines, des enregistrements vocaux ou vidéo, à partir desquels un modèle d'identification, tel qu'une empreinte faciale, un modèle de points caractéristiques ou une empreinte vocale, peut être extrait, ainsi que des modèles ou des rythmes de frappe, des modèles ou des rythmes de marche, et des données relatives au sommeil, à la santé ou à l'exercice physique qui contiennent des informations d'identification.
  • "CPRA", la loi californienne de 2020 sur les droits à la vie privée et toute réglementation contraignante promulguée en vertu de cette loi.
  • "législation sur la protection des données"désigne toute loi applicable relative (i) à la confidentialité et à la sécurité des données, y compris (mais sans s'y limiter) le GDPR et l'ACPR, ou (ii) aux données biométriques ou aux informations biométriques, y compris les lois sur les informations biométriques ;
  • "demande de la personne concernée"signifie l'exercice par les personnes concernées de leurs droits en vertu du chapitre III du GDPR, et conformément à celui-ci, en ce qui concerne vos données à caractère personnel.
  • "Effacer" signifie supprimer ou oblitérer des données à caractère personnel de telle sorte qu'elles ne puissent pas être récupérées ou reconstituées, et "suppression"sera interprété en conséquence.
  • "EEE" désigne l'Espace économique européen.
  • "GDPR" signifie, le cas échéant :
  1. a) Le règlement(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le "GDPR DE L'UE") ; et/ou
  2. b) le GDPR de l'UE tel qu'il fait partie du droit britannique en vertu de la section 3 du European Union (Withdrawal) Act 2018, tel qu'amendé (y compris par le Data Protection, Privacy et
    c) Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (le "    GDPR BRITANNIQUE").
  • "Garanties légales" désigne le(s) mécanisme(s) juridiquement exécutoire(s) pour les transferts de données à caractère personnel qui peuvent être autorisés en vertu des lois britanniques et européennes sur la protection des données, de temps à autre ;
  • "violation de données à caractère personnel"toute violation réelle ou raisonnablement soupçonnée de la sécurité entraînant la destruction, la perte, l'altération, le cryptage, l'acquisition, la divulgation ou l'accès accidentel, illégal ou non autorisé des données à caractère personnel transmises, stockées ou traitées d'une autre manière par iProov en vertu de l'accord ou dans le cadre de celui-ci.
  • "période de rétention"désigne la période identifiée comme telle à l'annexe 1.
  • "Autorité de surveillance signifie :
  1. a) dans le dans le contexte du Royaume-Uni et du GDPR britannique, le bureau du commissaire à l'information du Royaume-Uni ;
  2. b) dans le contexte de l'EEE et du GDPR de l'UE, a le sens qui lui est donné à l'article 4, paragraphe 21, du GDPR de l'UE ; et
  3. c) toute autre autorité réglementaire, gouvernementale ou publique indépendante ayant compétence sur tout ou partie (a) de l'application de la législation sur la protection des données ; et (b) des services d'essai.
  • Le terme "transfert" a la même signification que le mot "transfert" à l'article 44 du GDPR (et les termes connexes tels que transfert, transféré et Transférer ont les significations correspondantes).
  • "Lois sur la protection des données du Royaume-Uni et de l'UE" désigne les lois applicables à la protection des données ou de la vie privée qui s'appliquent au Royaume-Uni et à l'UE, y compris le GDPR et la loi sur la protection des données de 2018 au Royaume-Uni.
  • "Vos données personnelles signifie les Données Personnelles qui sont traitées par ou au nom d'iProov en votre nom (ce qui inclut toutes les Données Personnelles de vos Utilisateurs ou de l'Organisation) en vertu ou en relation avec l'Accord (ce qui inclut le présent Addendum au Traitement des Données).