ENTRE :
Le prĂ©sent Contrat de sous-traitance de donnĂ©es Ă caractĂšre personnel (ci-aprĂšs " DPA") est applicable aux relations commerciales entre la sociĂ©tĂ© RINGO (exerçant sous le nom de MODJO), sociĂ©tĂ© par actions simplifiĂ©e au capital de 38.640,11 euros immatriculĂ©e au registre du commerce et des sociĂ©tĂ©s de Nanterre sous le numĂ©ro 879 606 283, et dont le siĂšge social est situĂ© au 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (ci-aprĂšs " RINGO ") et son Client (ci-aprĂšs le " Client ") tel quâidentifiĂ© dans le Bon de Commande.Â
PrĂ©ambule :â
Dans le cadre de lâexĂ©cution du ou des Bons de Commande et des Conditions GĂ©nĂ©rales de Vente Modjo conclus entre RINGO et le Client, le Client, en sa qualitĂ© de Responsable de traitement, confie Ă RINGO, en sa qualitĂ© de Sous-traitant, des opĂ©rations de traitement de DonnĂ©es Ă caractĂšre personnel.
â
Ce Contrat de sous-traitance de donnĂ©es Ă caractĂšre personnel fait partie intĂ©grante du ou des Bons de Commande et des Conditions GĂ©nĂ©rales de Vente Modjo.Â
â
Les Parties entendent respecter lâensemble de la rĂ©glementation applicable en matiĂšre de Traitement de DonnĂ©es Ă caractĂšre personnel, et en particulier la Loi n°78-17 du 6 janvier 1978 (dite « Informatique et LibertĂ©s ») dans sa version modifiĂ©e et le RĂšglement GĂ©nĂ©ral sur la Protection des DonnĂ©es Personnelles n°2016-679 en date du 27 avril 2016 (« RGPD »).
â
Les Parties ont convenu du prĂ©sent Contrat afin de respecter les dispositions de lâarticle 28, en particulier des paragraphes 3 et 4, du RGPD. Le prĂ©sent Contrat sâapplique aux traitements des donnĂ©es Ă caractĂšre personnel tels que spĂ©cifiĂ©s Ă lâarticle 1.Â
â
Il est expressĂ©ment convenu que les termes utilisĂ©s dans le prĂ©sent Contrat avec une majuscule (par ex. Responsable de traitement, DonnĂ©es Ă caractĂšre personnel, ServiceâŠ) correspondent aux dĂ©finitions contenues dans le RGPD et dans les CGV. Le prĂ©sent Contrat doit ĂȘtre lu et interprĂ©tĂ© Ă la lumiĂšre des dispositions du RGPD.Â
â
Il est convenu ce qui suit :
â
â
Les spĂ©cificitĂ©s des traitements de donnĂ©es Ă caractĂšre personnel, notamment les catĂ©gories de donnĂ©es Ă caractĂšre personnel et les finalitĂ©s de traitement pour lesquelles les donnĂ©es Ă caractĂšre personnel sont traitĂ©es pour le compte du Client, en sa qualitĂ© de Responsable de traitement, sont :Â
â
â
RINGO ne traite les donnĂ©es personnelles que sur instruction documentĂ©e du Client et conformĂ©ment aux dispositions ci-dessus, Ă moins quâil ne soit tenu dây procĂ©der en vertu du droit de lâUnion ou du droit de lâĂtat membre auquel il est soumis. Dans ce cas, RINGO informe le Client de cette obligation juridique avant le traitement,  sauf si la loi le lui interdit pour des motifs importants dâintĂ©rĂȘt public. Des instructions peuvent Ă©galement ĂȘtre donnĂ©es ultĂ©rieurement par le Client pendant toute la durĂ©e du traitement des donnĂ©es Ă caractĂšre personnel. Ces instructions doivent toujours ĂȘtre documentĂ©es.
â
Si RINGO estime qu'une instruction du Client constitue une violation de la rĂ©glementation applicable en matiĂšre de protection des donnĂ©es Ă caractĂšre personnel, il en informe immĂ©diatement le Client. RINGO nâest en aucun cas responsable des instructions et dĂ©cisions du Client et de leurs Ă©ventuelles consĂ©quences.
â
Les dispositions du prĂ©sent Contrat, ainsi que lâactivation par le Client, ses Administrateurs ou Utilisateurs des fonctionnalitĂ©s de traduction et de AI Notes BETA constituent des instructions documentĂ©es du Client Ă RINGO.Â
â
â
RINGO ne traite les donnĂ©es personnelles que pour les finalitĂ©s du traitement telles quâexposĂ©es au sein de lâarticle 1 du prĂ©sent contrat, Ă moins que RINGO ne reçoive dâautres instructions documentĂ©es du Client.Â
â
â
RINGO traite les donnĂ©es personnelles que pour la durĂ©e dĂ©finie au sein de lâarticle 1 du prĂ©sent contrat, Ă moins que RINGO ne reçoive dâautres instructions documentĂ©es du Client.Â
â
â
RINGO sâengage Ă mettre en place des mesures de sĂ©curitĂ© techniques et organisationnelles appropriĂ©es en vue de garantir la sĂ©curitĂ© des DonnĂ©es Ă caractĂšre personnel quâil traite contre toute destruction, perte, transformation, divulgation ou accĂšs non autorisĂ©, ou toute autre forme de traitement non autorisĂ©. Lors de la dĂ©termination du niveau de sĂ©curitĂ© appropriĂ©, RINGO tient compte de lâĂ©tat de la technique, des coĂ»ts de mise en Ćuvre, de la nature, de la portĂ©e, du contexte et des finalitĂ©s du traitement ainsi que des risques encourus par les personnes concernĂ©es.
â
Une description de ces mesures a Ă©tĂ© Ă©tablie par RINGO conformĂ©ment Ă lâarticle 32 du RGPD et est disponible sur demande Ă©crite.
â
Lorsque la fonctionnalitĂ© AI Notes BETA est activĂ©e par le Client, il accepte que les mesures de sĂ©curitĂ© mises en Ćuvre soient celles de la politique de sĂ©curitĂ© dâOpenAI.Â
RINGO nâaccorde aux membres de son personnel lâaccĂšs aux donnĂ©es Ă caractĂšre personnel faisant lâobjet du traitement que dans la mesure strictement nĂ©cessaire Ă lâexĂ©cution, Ă la gestion et au suivi du Service. RINGO veille Ă ce que les personnes autorisĂ©es Ă traiter les donnĂ©es Ă caractĂšre personnel soient soumises Ă une obligation contractuelle de confidentialitĂ©.Â
â
â
RINGO met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat et qui découlent directement du GDPR.
â
Ă la demande du Client et en prĂ©sence dâindices sĂ©rieux de non-conformitĂ©, RINGO permet et contribue Ă la rĂ©alisation dâaudits des activitĂ©s de traitement couvertes par les prĂ©sentes clauses.Â
â
Lâaudit peut ĂȘtre rĂ©alisĂ© Ă raison dâune (1) fois par annĂ©e civile, et moyennant un prĂ©avis Ă©crit de soixante (60) jours Ă RINGO.Â
â
Cet audit doit ĂȘtre menĂ© de maniĂšre Ă respecter la sĂ©curitĂ© et la confidentialitĂ© de la documentation et des procĂ©dures de RINGO. Il ne durera pas plus d'un (1) jour et se dĂ©roulera pendant les heures normales de bureau dans les locaux de RINGO.
â
Le Client peut dĂ©cider d'effectuer lui-mĂȘme l'audit ou de dĂ©signer un auditeur indĂ©pendant, choisi d'un commun accord entre les parties et soumis Ă une obligation de confidentialitĂ©.Â
â
Nonobstant toute disposition contraire, le Client est responsable de tous les coĂ»ts et/ou dĂ©penses encourus du fait de cette visite.    Â
â
Les parties mettent Ă la disposition de lâautoritĂ© de contrĂŽle compĂ©tente/des autoritĂ©s de contrĂŽle compĂ©tentes, dĂšs que celles-ci en font la demande, les informations Ă©noncĂ©es dans la prĂ©sente clause, y compris les rĂ©sultats de tout audit.
â
â
RINGO dispose de l'autorisation gĂ©nĂ©rale du Client pour l'engagement des sous-traitants ultĂ©rieurs Ă©numĂ©rĂ©s au sein de la liste prĂ©sente en Annexe 1.Â
â
RINGO s'engage à fournir une liste actualisée de ses sous-traitants ultérieurs et de leurs activités de traitement à la demande du Client.
â
RINGO informe le Client de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins huit (8) jours avant la date prévue d'ajout ou de remplacement du sous-traitant ultérieur concerné.
â
Le Client peut sâopposer au recours de RINGO Ă un nouveau sous-traitant ultĂ©rieur en le notifiant promptement par Ă©crit (par email) et avant la date dâajout ou de remplacement du sous-traitant ultĂ©rieur concernĂ©. Dans lâĂ©ventualitĂ© oĂč le Client sâoppose Ă la dĂ©signation dâun nouveau sous-traitant ultĂ©rieur, RINGO fera des efforts raisonnables pour mettre Ă la disposition du Client une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de lâutilisation des services permettant dâĂ©viter le traitement des DonnĂ©es Personnelles par le nouveau sous-traitant ultĂ©rieur auquel le Client sâoppose, sans imposer une charge dĂ©raisonnable au Client. Si RINGO est dans lâincapacitĂ© dâopĂ©rer de telles modifications dans un dĂ©lai raisonnable, qui ne saurait excĂ©der trente (30) jours, le Client pourra alors rĂ©silier le contrat applicable mais uniquement pour les services qui ne peuvent pas ĂȘtre fournis par RINGO sans le recours au nouveau sous-traitant ultĂ©rieur, en adressant Ă RINGO une notification Ă©crite par lettre recommandĂ©e avec accusĂ© de rĂ©ception.
â
L'absence d'objection du Client est considĂ©rĂ©e comme l'acceptation par le Client des modifications affectant la liste des sous-traitants ultĂ©rieurs.Â
â
Chaque sous-traitant ultĂ©rieur de RINGO est tenu de respecter les obligations du prĂ©sent contrat pour le compte et selon les instructions du Client. Il appartient Ă RINGO de sâassurer que le sous-traitant ultĂ©rieur prĂ©sente les mĂȘmes garanties suffisantes quant Ă la mise en Ćuvre de mesures techniques et organisationnelles appropriĂ©es pour que le traitement rĂ©ponde aux exigences du RGPD.Â
â
RINGO demeure pleinement responsable Ă lâĂ©gard du Client de lâexĂ©cution par le sous-traitant ultĂ©rieur de ses obligations.
â
Certains sous-traitants ultĂ©rieurs ne traitent les donnĂ©es du Client que lorsque la fonctionnalitĂ© pour laquelle ils interviennent est activĂ©e par lâAdministrateur ou lâUtilisateur du Client.Â
â
Ainsi, le sous-traitant ultĂ©rieur OpenAI ne traite les donnĂ©es du Client que lorsque lâAdministrateur a activĂ© la fonctionnalitĂ© AI Notes BETA. Lorsque cette fonctionnalitĂ© est activĂ©e, OpenAI est amenĂ© Ă traiter les donnĂ©es du Client pour la fourniture de rĂ©sumĂ©s intelligents. Â
â
De mĂȘme, le sous-traitant ultĂ©rieur Deepl ne traite les donnĂ©es du Client que lorsque lâUtilisateur active la fonctionnalitĂ© de traduction pour un enregistrement donnĂ©. Lorsque cette fonctionnalitĂ© est activĂ©e, Deepl est amenĂ© Ă traiter les donnĂ©es du Client relatives Ă cet enregistrement pour la fourniture dâune traduction.
â
â
Il appartient au Client dâinformer les Personnes concernĂ©es du traitement de leurs donnĂ©es et de leurs droits au titre de la loi Informatique et LibertĂ©s et du RGPD. En particulier, le Client informe ses propres employĂ©s et leurs correspondants de lâenregistrement de leurs conversations tĂ©lĂ©phoniques et visioconfĂ©rences, ainsi que du fait quâils peuvent Ă tout moment sâopposer Ă cet enregistrement. RINGO ne peut en aucun cas ĂȘtre tenu responsable de ces obligations.Â
â
RINGO notifie sans dĂ©lai au Client toute demande, y compris dâexercice des droits, qu'il reçoit de la part de la personne concernĂ©e. Le Client s'engage Ă rĂ©pondre aux demandes des Personnes concernĂ©es dans un dĂ©lai d'un (1) mois.
â
En tant que sous-traitant, RINGO assiste le Client dans lâaccomplissement de son obligation de donner suite aux demandes dont les personnes concernĂ©es le saisissent en vue d'exercer leurs droits, compte tenu de la nature du traitement et des instructions du Client.Â
â
RINGO assiste Ă©galement le Client Ă garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose RINGO :Â
â
â
â
En cas dâinspection, de contrĂŽle ou dâaudit rĂ©alisĂ© par une autoritĂ© publique, y compris une AutoritĂ© de contrĂŽle, chaque Partie sâengage Ă apporter toute lâassistance nĂ©cessaire Ă lâautre.
â
Si lâautoritĂ© publique estime que le traitement rĂ©alisĂ© porte atteinte Ă la rĂ©glementation applicable en matiĂšre de protection des DonnĂ©es Ă caractĂšre personnel, les Parties sâengagent Ă communiquer et prendre immĂ©diatement les mesures nĂ©cessaires afin de remĂ©dier Ă lâatteinte.
â
â
En cas de violation de donnĂ©es Ă caractĂšre personnel, RINGO coopĂšre avec le Client et lui prĂȘte assistance aux fins de la mise en conformitĂ© du Client avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose RINGO.
â
En cas de violation de donnĂ©es Ă caractĂšre personnel ne rĂ©sultant pas du fait du Client, RINGO sâengage Ă prendre immĂ©diatement les mesures correctives de nature Ă y remĂ©dier.
â
RINGO doit notifier toute atteinte au Client dans les plus brefs dĂ©lais de sa dĂ©couverte, par e-mail adressĂ© au Client.Â
â
Cette notification devra contenir lâensemble des informations pertinentes au sujet de lâatteinte, afin de permettre au Client, le cas Ă©chĂ©ant, de notifier cette atteinte Ă lâAutoritĂ© de contrĂŽle concernĂ©e et/ou aux personnes concernĂ©es, conformĂ©ment Ă ses obligations en qualitĂ© de Responsable de traitement.
â
Les Parties sâengagent Ă coopĂ©rer pleinement afin de mettre fin Ă lâatteinte dans les meilleurs dĂ©lais.
â
â
Les données à caractÚre personnel traitées par RINGO pour le compte du Client et les sites Internet et bases de données de RINGO sont hébergés par Amazon Web Services sur des serveurs situés dans l'Espace économique européen ("EEE").
â
Tout transfert de donnĂ©es vers un pays tiers ou une organisation internationale par RINGO ne sera effectuĂ© que sur la base du prĂ©sent Contrat ou afin de rĂ©pondre Ă une exigence spĂ©cifique du droit de l'Union ou des Ătats membres Ă laquelle le sous-traitant est soumis et aura lieu dans le respect du chapitre V du RGPD.
â
PrĂ©alablement Ă un transfert autorisĂ© par le Client, RINGO s'engage Ă mettre en place les mesures nĂ©cessaires pour que le destinataire situĂ© dans le pays hors de l'Espace Ă©conomique europĂ©en prĂ©sente un niveau de protection adĂ©quat. Lorsque le Client a activĂ© la fonctionnalitĂ© AI Notes BETA, il accepte que ses donnĂ©es soient traitĂ©es par OpenAI en accord avec ses conditions de traitement et quâelles soient transfĂ©rĂ©es aux Etats-Unis en application des clauses contractuelles types adoptĂ©es par la Commission europĂ©enne. Â
â
RINGO peut transfĂ©rer des donnĂ©es Ă caractĂšre personnel aux sous-traitants ultĂ©rieurs autorisĂ©s identifiĂ©s dans l'annexe 1 "Liste des sous-traitants ultĂ©rieurs autorisĂ©s". Ces sous-traitants ultĂ©rieurs peuvent ĂȘtre situĂ©s en dehors de lâEEE. Dans ce cas, RINGO s'assure que le sous-traitant ultĂ©rieur peut garantir le respect du chapitre V du RGPD en prĂ©sentant un niveau de protection adĂ©quat, tel que l'utilisation de clauses contractuelles types adoptĂ©es par les Commissions ou approuvĂ©es par le BCR. Â
â
La liste exhaustive et les informations relatives à nos sous-traitants ultérieurs sont fournies en annexe 1.
â
â
RINGO se rĂ©serve le droit de modifier Ă tout moment le prĂ©sent DPA. Le Client est informĂ© de ces modifications par email (envoyĂ© Ă l'adresse email de lâAdministrateur Modjo) ou sur le site www.modjo.ai ou sur la plateforme commerciale d'analyse conversationnelle Modjo, selon ce que RINGO dĂ©cide.
A lâexception des modifications relatives aux sous-traitants ultĂ©rieurs rĂ©gies par lâarticle 7 du DPA, les modifications du prĂ©sent DPA s'appliqueront au Client, mĂȘme si son engagement est antĂ©rieur aux modifications, huit (8) jours aprĂšs que l'information lui ait Ă©tĂ© donnĂ©e. Dans le cas oĂč les modifications du DPA porteraient un prĂ©judice important au Client et ne seraient pas exigĂ©es par les lois, rĂšglements, directives, recommandations ou dĂ©libĂ©ration dâune autoritĂ© europĂ©enne de protection des donnĂ©es ou par une dĂ©cision de justice, le Client informe RINGO de son opposition et de ses motifs dans les huit (8) jours de l'information. Si les Parties ne parviennent pas Ă un accord dans les trente (30) jours suivant la rĂ©ception de l'objection du Client, le Client peut rĂ©silier, sans pĂ©nalitĂ©, le Service concernĂ© par la modification en adressant une notification Ă©crite Ă RINGO. Toute utilisation du Service aprĂšs l'information du Client sera considĂ©rĂ©e comme l'acceptation par le Client du DPA mis Ă jour.Â
â
â
A lâissue de la relation entre les Parties, le Client dispose dâun dĂ©lai dâun (1) mois pour demander par Ă©crit la restitution, en format brut et sous sa responsabilitĂ©, de ses enregistrements ; Ă dĂ©faut dâune telle demande dans ce dĂ©lai, RINGO peut procĂ©der Ă la destruction dĂ©finitive de lâensemble des donnĂ©es, y compris les logs et back-up.
â
â
RINGO dispose dâun dĂ©lĂ©guĂ© Ă la protection des donnĂ©es, joignable par courrier Ă©lectronique Ă lâadresse suivante : dpo@modjo.ai
â
â
RINGO sâengage Ă tenir Ă jour un Registre des activitĂ©s de traitement rĂ©alisĂ©es en sa qualitĂ© de Sous-traitant et comprenant les Ă©lĂ©ments suivants :
â
â
Pendant la durĂ©e du Contrat conclu entre RINGO et le Client :Â
â
â
â
Le Client s'engage Ă collecter et Ă traiter les DonnĂ©es Personnelles dans le respect de la rĂ©glementation applicable en droit du travail et en matiĂšre de protection des donnĂ©es, notamment en ce qui concerne les mĂ©thodes, la base et les finalitĂ©s du traitement, la durĂ©e de conservation des DonnĂ©es Personnelles, les droits des Personnes concernĂ©es et l'information qui leur est donnĂ©e.Â
â
En particulier, le Client s'engage à respecter l'ensemble des réglementations et obligations applicables au traitement des données des salariés et au traitement de catégories particuliÚres de Données à caractÚre personnel (telles que les données de santé, les convictions religieuses, l'orientation sexuelle, etc.) et à procéder, préalablement à leur Traitement, aux vérifications, études et analyses d'impact nécessaires, à informer les Personnes concernées conformément aux articles 12, 13 et 14 du RGPD et à obtenir, le cas échéant, le consentement des Personnes concernées à l'égard de la collecte et du traitement de leurs données à caractÚre personnel et, notamment, de l'enregistrement de leur voix.
â
Le Client s'engage à fournir à RINGO toutes les informations nécessaires à l'exécution des activités de traitement prévues dans le respect des réglementations applicables et à documenter toute instruction concernant le traitement.
â
Le Client s'engage Ă fournir Ă RINGO les DonnĂ©es personnelles identifiĂ©es Ă l'article 1 du prĂ©sent Contrat et Ă garantir la licĂ©itĂ© et l'exactitude des donnĂ©es. Le Client s'engage Ă©galement Ă assurer l'effectivitĂ© des droits des Personnes concernĂ©es.Â
â
Le Client garantit RINGO de toute réclamation ou action à cet égard.
â
Le Client sâengage Ă superviser le Traitement, y compris Ă rĂ©aliser Ă ses frais les audits et inspections nĂ©cessaires auprĂšs de RINGO ou Ă assurer Ă ses frais la conduite ou la dĂ©fense des intĂ©rĂȘts des Parties dans le cadre de toute action, procĂ©dure ou contrĂŽle.
â