1. Parties
-
The Digital PO Box - Marque déposée de The Bizz Hub LLC-FZ, bureau au The Meydan Grandstand, 6ème étage, Meydan Road, Nad Al Sheba, Dubaï, E.A.U., enregistrée sous le numéro 2536783.01. Ci-après dénommé : "Sous-traitant".
- Responsable du traitement - La personne physique ou morale qui conclut un accord avec le Sous-traitant pour (entre autres) le traitement du courrier et utilise le service de numérisation à cette fin. Ci-après dénommé : "Responsable du traitement".
- Le Responsable du traitement et le Sous-traitant sont ci-après collectivement dénommés les "Parties".
Le présent Accord s'applique indépendamment du fait que le Client (Responsable du traitement) agisse à titre personnel ou professionnel.
Le présent Accord de Traitement des Données s'applique exclusivement à la numérisation et à la digitalisation des courriers contenant des données personnelles. Pour toutes les autres catégories de données personnelles traitées par TBH (y compris les données de compte, les données de facturation et les données de communication), TBH agit en tant que responsable du traitement indépendant tel que décrit dans sa Déclaration de Confidentialité.
5. Obligations du sous-traitant
Le Sous-traitant garantit les obligations suivantes conformément à l'Article 28 du RGPD :
5.1 Confidentialité
- Le Sous-traitant et ses employés affiliés (et tout sous-traitant ultérieur) traiteront de manière confidentielle les données personnelles dont ils ont connaissance.
- Cette obligation de confidentialité continuera de s'appliquer également après la résiliation du présent Accord de Traitement des Données.
5.2 Mesures de sécurité appropriées
- Le Sous-traitant prendra les mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles contre tout traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels.
- Les mesures techniques incluent, par exemple, des pare-feu, des antivirus, des mots de passe robustes et (le cas échéant) le chiffrement selon les normes ISO 27001 et ISO 27701. Les mesures organisationnelles incluent les restrictions d'accès, la vérification du personnel et la fermeture des zones où les données sont traitées.
- Les mesures de sécurité sont au moins conformes aux exigences de l'Article 32 du RGPD et adaptées à la nature des données traitées (cela peut varier selon l'envoi postal).
5.3 Traitement au sein de l'UE/EEE
- Le Sous-traitant ne permettra pas que le traitement des données personnelles ait lieu en dehors de l'Espace Économique Européen (EEE) à moins qu'un tel transfert ne soit couvert par des garanties appropriées, y compris les Clauses Contractuelles Types de l'UE (CCT) ou des mécanismes équivalents assurant un niveau de protection adéquat, ou lorsque la loi l'exige.
- Pour les transferts vers le Royaume-Uni ou les Émirats Arabes Unis, le Sous-traitant applique les mêmes garanties contractuelles, techniques et organisationnelles que celles décrites dans la Déclaration de Confidentialité de TDPB.
5.4 Pas de Traitement Ultérieur
- Le Sous-traitant ne traitera les données personnelles que conformément aux instructions du Responsable du traitement. L'utilisation à d'autres fins (par exemple, son propre marketing) n'est pas autorisée.
5.5 Assistance dans l'exécution des obligations
- Dans la mesure du raisonnablement possible, le Sous-traitant assistera le Responsable du traitement dans le respect des obligations en vertu du RGPD, telles que le traitement des demandes des personnes concernées ou la réalisation d'analyses d'impact relatives à la protection des données (AIPD).
5.6 Fourniture d'informations et audit
- Fourniture d'informations
Le Sous-traitant devra, à première demande et dans la mesure où cela est raisonnablement nécessaire, fournir au Responsable du traitement toutes les informations nécessaires pour démontrer la conformité aux Obligations du présent Accord de Traitement des Données et du RGPD.
- Soutien à la conformité
Si le Responsable du traitement a des raisons fondées de le faire (par exemple, contrôle périodique ou soupçon d'irrégularités), le Sous-traitant coopérera aux audits ou inspections, y compris (le cas échéant) la fourniture de documentation technique ou de rapports.
- Conditions d'audit
Le Responsable du traitement annoncera un audit ou une inspection prévu par écrit au moins 30 jours ouvrables à l'avance, avec une description claire de la portée et de l'objectif, afin que le Sous-traitant puisse se préparer et que la continuité du service ne soit pas inutilement compromise.
- Les audits n'affecteront pas la confidentialité des autres Responsables du traitement ni la sécurité des systèmes contenant également des données de tiers. Le Responsable du traitement accepte que l'audit puisse être effectué par un tiers indépendant, sous confidentialité, afin de protéger la vie privée des autres Responsables du traitement.
- Les coûts d'un audit, y compris les heures de travail du Sous-traitant, seront à la charge du Responsable du traitement, sauf s'il est établi que le Sous-traitant agit en violation du présent Accord de Traitement des Données ou du RGPD, auquel cas le Sous-traitant supportera les coûts raisonnables de l'audit.
- Résultats et améliorations
Le Sous-traitant informera le Responsable du traitement des conclusions pertinentes d'un audit ou d'une inspection et, le cas échéant, proposera ou mettra en œuvre des mesures d'amélioration pour continuer à assurer la conformité avec le présent Accord de Traitement des Données et le RGPD.
5.7 Traitement par des Systèmes d'IA
- Portée de l'utilisation de l'IA : Le Sous-traitant peut utiliser des systèmes d'IA (y compris OpenAI) uniquement pour soutenir la communication client et l'amélioration du service interne. Les outils d'IA ne sont pas utilisés dans le traitement des courriers ou de toute donnée personnelle fournie par le Responsable du traitement.
- Pas de traitement des données du Responsable du traitement : Les systèmes d'IA ne reçoivent ni ne traitent de données personnelles provenant des courriers du Responsable du traitement, des numérisations, des instructions de transfert ou de toute autre donnée traitée en vertu du présent Accord.
- Anonymisation : Seules les données de conversation anonymisées ou pseudonymisées—non liées à des personnes physiques identifiées ou identifiables—peuvent être traitées à l'aide de systèmes d'IA. De telles données ne peuvent être attribuées au Responsable du traitement ou à des personnes concernées.
- Obligations du sous-traitant ultérieur : OpenAI agit en tant que sous-traitant technique. Le Sous-traitant s'assure qu'OpenAI est contractuellement lié à la confidentialité, aux exigences de sécurité des données et aux restrictions énoncées dans le présent Accord.
- Pas de prise de décision automatisée : Les systèmes d'IA ne sont pas utilisés pour prendre des décisions produisant des effets juridiques ou des impacts similairement significatifs sur les personnes concernées au sens de l'Article 22 du RGPD, du RGPD du Royaume-Uni ou de la PDPL des EAU.
- Garanties techniques : Le Sous-traitant maintiendra des mesures empêchant toute donnée personnelle identifiable d'être transmise aux systèmes d'IA, et s'assurera que tout traitement par IA reste strictement séparé des données du Responsable du traitement.
Le présent Article s'applique à toutes les opérations assistées par IA effectuées par le Sous-traitant et fait partie des mesures techniques et organisationnelles requises en vertu de l'Article 28 du RGPD.
Des garanties appropriées, incluant mais sans s'y limiter les Clauses Contractuelles Types de l'UE et les mécanismes de transfert équivalents du Royaume-Uni et des EAU, s'appliquent à tout traitement effectué par OpenAI.