Addenda sur le traitement des données pour les Processeurs et Sous-Processeurs

Résumé

Le présent addenda sur le traitement des données (” ATD “) doit régir tous les services fournis à Zenergy Maroc et ses Affiliés (” Zenergy Maroc “) par vous (” Vous “, ” Vos “, ou ” Vendeur “) en tant que Processeur ou Sous-processeur (conformément à ce qui est défini ci-dessous) (les ” Services “). Vous et Zenergy Maroc devez être tous les deux nommés dans le présent document individuellement en tant que ” Partie ” et collectivement en tant que ” Parties “. Ces suppléments à l’ATD, sont incorporés dans, et resteront en vigueur jusqu’au terme de tout accord entre les Parties, y compris mais sans se limiter à tout accord exécuté ou accepté via un clic ou, le cas échéant, les conditions générales d’utilisation de l’API Zenergy Maroc (” l’Accord “), la durée des Services, ou le traitement des Données d’Zenergy Maroc, en retenant la dernière échéance (le ” Terme “). Sans limiter la généralité de ce qui précède, l’objet, la nature et les fins du traitement en vertu de cette ATD sont la fourniture des services en vertu de l’accord, et les catégories de données personnelles ainsi que les catégories de personnes concernées sont celles prérequises pour fournir les services dans le cadre de l’accord tel que décrit intégralement dans ce dernier.

1. Définitions.

Les principaux termes utilisés mais non définis dans le présent ATD auront les mêmes définitions que celles mentionnées dans l’Accord, le cas échéant. Aux fins du présent ATD :

1.1 ” Affilié(s) ” désigne toute personne ou entité qui contrôle, est contrôlée par, ou est sous contrôle commun de ladite société, à la date d’entrée en vigueur de l’Accord ou ultérieurement. Aux fins du présent ATD, ” contrôle ” désigne la propriété ou le contrôle, direct ou indirect, de plus de 20 % des actions émises et assorties du droit de vote d’une entité ou dans le cas contraire, le pouvoir d’orienter la direction et les politiques.

1.2 ” Lois en vigueur sur la confidentialité ” désigne toutes les lois et tous les règlements en vigueur sur la confidentialité et la protection des données partout dans le Maroc, y compris, le cas échéant, la loir 09/08 relatif à la protection des personnes physiques à l’égard du traitement des Données personnelles et à la libre circulation desdites données (Règlement général sur la protection des données) (” RGPD “) (dans tous les cas, conformément à ce qui est modifié, annulé ou remplacé).

1.3 ” Contrôleur ” désigne la personne physique ou morale ou l’entité juridique qui détermine les moyens de traitement des Données personnelles.

1.4 ” Violation des données ” désigne une violation de la sécurité conduisant à la destruction illégale ou accidentelle, ou la perte accidentelle, à la modification, à la divulgation ou à l’accès non autorisé(e) et à toute autre forme illégale de traitement des Données de Zenergy Maroc.

1.5 ” Données de Zenergy Maroc ” désigne toutes les données y compris les Données personnelles qui sont fournies au Vendeur, ou collectées autrement et/ou accessibles par le Vendeur au nom de Zenergy Maroc et/ou ses Affiliés pour la livraison des Services dans le cadre de l’Accord. Toutes les Données Zenergy Maroc qui sont des Données personnelles sont nommées dans le présent document les ” Données personnelles de Zenergy Maroc “.

1.6 ” Données personnelles ” désigne toutes les informations associées à une personne physique identifiée ou identifiable ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification, ou à un ou plusieurs facteurs spécifiques à son identité physique, psychologique, mentale, économique, culturelle ou sociale.

1.7 ” Processeur ” désigne une entité qui traite les Données personnelles au nom de, et conformément aux instructions, d’un Contrôleur.

1.8 ” Sous-processeur ” désigne une entité engagée par un Processeur qui accepte de recevoir du Processeur les Données personnelles exclusivement destinées aux activités de traitement menées dans le cadre des Services.

1.9 ” Vendeur ” désigne la personne ou l’entité qui a signé l’Accord avec Zenergy Maroc.

2. Fonction des Parties et nature des Données personnelles.

2.1 Aux fins du présent ATD, Zenergy Maroc peut agir en tant que Contrôleur ou en tant que Processeur de l’un de ses clients. Par conséquent, le Vendeur reconnaît qu’il peut agir en tant que Processeur de Zenergy Maroc ou Sous-processeur de Zenergy Maroc. Si Zenergy Maroc agit en tant que Processeur, Zenergy Maroc est tenu par contrat et/ou conformément aux lois en vigueur sur la confidentialité de transférer certaines obligations relatives à la protection des données à ses Sous-processeurs désignés. Par conséquent, toutes les obligations confiées aux processeurs dans le présent ATD doivent s’appliquer au Vendeur indépendamment du fait que le Vendeur agit en tant que Processeur ou Sous-processeur.

2.2. La nature, l’objectif et les thèmes abordés des activités de traitement des données du Vendeur effectuées dans le cadre des Services sont définis dans l’Accord. Les Données personnelles pouvant être traitées peuvent se rapporter aux organisateurs d’événements, aux participants, aux salariés, aux prestataires de services et aux contrats et peuvent inclure le nom, l’adresse e-mail, les informations de facturation et de paiement, les événements réservés, organisés et ayant eu lieu, et toute autre Donnée personnelle qui peut être traitée en vertu de l’Accord.

3. Conformité du Vendeur.

3.1 Le Vendeur garantit et s’engage à traiter les Données personnelles de Zenergy Maroc uniquement aux fins limitées et spécifiées définies dans l’Accord et/ou sauf instructions contraires de Zenergy Maroc formulées par écrit en toute légalité (par e-mail ou autrement), sauf disposition contraire de la loi en vigueur. Le Vendeur informera immédiatement Zenergy Maroc, si selon lui, une instruction constitue une violation des Lois en vigueur sur la confidentialité.

3.2 En vertu de la Section 5 du présent ATD, si le Vendeur traite des Données personnelles de Zenergy Maroc, et que le Vendeur transfert ces Données personnelles de Zenergy Maroc vers un pays considéré par la Commission européenne comme fournissant une protection adéquate des Données personnelles, le Vendeur garantit et accepte de : (i) se conformer à ses obligations en vertu des Lois en vigueur sur la confidentialité ; et (ii) fournir au moins le même niveau de protection des Données personnelles d » Zenergy Maroc que ce qui est exigé en vertu des Principes du Bouclier de protection et/ou que ce que Zenergy Maroc peut raisonnablement exiger, conformément aux Lois en vigueur sur la confidentialité, afin d’assurer un niveau adéquat de protection des Données personnelles de Zenergy Maroc. Le Vendeur accepte de notifier rapidement Zenergy Maroc par écrit de son incapacité à respecter ses obligations conformément à la présente Section 3.2 et de prendre toutes les mesures raisonnables et appropriées pour remédier à toute non-conformité et/ou cesser le traitement des Données personnelles de Zenergy Maroc, selon ce qui a été déterminé par Zenergy Maroc à son entière discrétion. Si le Vendeur n’est pas certifié pour les Principes cadres du Bouclier de protection, le Vendeur garantit et accepte : (i) les CCS, qui sont incorporées dans le présent ATD ; et (ii) d’implémenter les mesures de sécurité techniques et organisationnelles spécifiées dans l’Annexe 1 avant de traiter les Données personnelles de Zenergy Maroc.

4. Confidentialité et sécurité.

4.1 Le Vendeur doit s’assurer que toute personne autorisée par lui à traiter les Données de Zenergy Maroc (y compris le personnel, les agents et les sous-traitants du Vendeur) est soumise à l’obligation de confidentialité.

4.2 Le Vendeur doit s’assurer d’implémenter et de maintenir pendant toute la durée de l’Accord, ou la durée de ses services apportés à Zenergy Maroc en tant que Processeur ou Sous-processeur, des mesures techniques et organisationnelles appropriées pour protéger les Données de Zenergy Maroc, y compris la protection contre les violations des données. Si le Vendeur est certifié pour le Bouclier de protection, conformément à la Section 3 du présent ATD, lesdites mesures doivent, au minimum, inclurent au moins le même niveau de protection et de confidentialité que celui requis par les Principes du Bouclier de protection.

5. Sous-traitement.

Le Vendeur doit avertir Zenergy Maroc s’il utilise des Sous-processeurs en ce qui concerne les Données personnelles de Zenergy Maroc, et le Vendeur doit : (i) s’assurer que tout Sous-processeur est lié par un contrat écrit pour fournir au moins le même niveau de protection que celui qui est exigé par le présent ATD et respecte les Lois en vigueur sur la confidentialité ; (ii) être entièrement responsable à l’égard de Zenergy Maroc des actes et des omissions de tout Sous-processeur comme si ces actes et ces omissions étaient ceux et celles du Vendeur ; et (ii) fournir à Zenergy Maroc les détails de tout Sous-processeur nommé, sur demande.

6. Coopération et Droits des personnes concernées.

Le Vendeur fournira toute l’assistance raisonnablement requise par Zenergy Maroc pour permettre à Zenergy Maroc de : (i) répondre, respecter ou résoudre toute demande, question ou réclamation relative aux droits, reçue par Zenergy Maroc (ou un client de Zenergy Maroc) et émanant de : (a) toute personne physique dont les Données personnelles sont traitées par le Vendeur au nom de Zenergy Maroc ; ou (b) toute autorité en vigueur officiellement désignée et en charge de la protection des données ; et de (ii) respecter (et prouver sa conformité à) ses obligations conformément aux Lois en vigueur sur la confidentialité. Si une telle demande, question ou réclamation dans le cadre de la présente Section 5 est déposée directement auprès du Vendeur, le Vendeur devra informer Zenergy Maroc en fournissant tous les détails de cette dernière.

7. Audit.

Sous réserve d’un préavis écrit raisonnable, le Vendeur accepte de fournir à Zenergy Maroc (ou à ses auditeurs désignés) toutes les informations que Zenergy Maroc considère comme raisonnablement nécessaires pour que Zenergy Maroc puisse effectuer un audit de la conformité du Vendeur aux conditions du présent ATD, y compris la réalisation de questionnaires d’audit, la fourniture de politiques de sécurité et de résumés des évaluations de la conformité respectant les normes de l’industrie (comme la norme ISO 27001, SSAE 16 SOC II), des tests de pénétration et des analyses de vulnérabilité.

8. Violations des données.

En cas de Violation des données, le Vendeur prendra uniquement les mesures suivantes (à moins qu’il soit autorisé par Zenergy Maroc) :

8.1 informer rapidement Zenergy Maroc dans les meilleurs délais (et au plus tard dans les 48 h après avoir constaté la Violation des données) et fournir à Zenergy Maroc une description raisonnablement détaillée de la Violation des données, le type de données impliquées dans la Violation des données et l’identité de chaque personne affectée dès que ces informations peuvent être collectées ou sont disponibles, ainsi que toute autre information que Zenergy Maroc peut raisonnablement demander concernant la Violation des données ; et

8.2 mener rapidement une enquête sur la Violation des données (et la commencer au moins dans les 48 h après avoir constaté la Violation des données), fournir des efforts raisonnables pour atténuer les effets et le préjudice de la Violation des données conformément à ses obligations définies dans la Section 3 (Confidentialité et Sécurité) ci-dessus, et fournir toute l’assistance jugée raisonnablement nécessaire par Zenergy Maroc concernant la Violation des données.

9. Suppression ou Retour des Données.

À la résiliation ou à l’expiration du présent ATD, le Vendeur doit (selon le choix d » Zenergy Maroc) détruire ou retourner à Zenergy Maroc toutes les Données de Zenergy Maroc (y compris toutes les copies des Données de Zenergy Maroc) qui sont en sa possession ou son contrôle (y compris toutes les Données de Zenergy Maroc dont le traitement est sous-traité à un tiers), sauf si une loi en vigueur oblige le Vendeur à conserver les Données de Zenergy Maroc.

10. Indemnisation.

Le Vendeur indemnisera, tiendra indemne et dégagera de toute responsabilité Zenergy Maroc, ses clients, dirigeants, administrateurs, salariés, agents, représentants et Affiliés (chacun étant une ” Partie indemnisée “) vis-à-vis de toute perte tierce, tout tort, coût (y compris les honoraires et frais juridiques raisonnables), dépense et responsabilité qu’une Partie indemnisée peut subir ou dont elle peut faire l’objet en raison de la non-conformité du Vendeur aux conditions du présent ATD.

11. Divers.

Sauf modifications apportées par le présent ATD, l’Accord et/ou tous les autres accords liés aux Services demeurent sans changement et pleinement en vigueur.

En ce qui concerne des dispositions concernant le traitement des Données personnelles, en cas de conflit entre l’Accord et le présent ATD, les dispositions du présent ATD prévaudront. En cas de conflit entre le présent ATD et toute autre disposition de l’Accord entre vous et nous, le présent ATD prévaudra ; sauf lorsque vous et Zenergy Maroc avez négocié de façon individuelle des conditions du traitement des données différentes du présent ATD et qu’elles répondent aux exigences des Lois en vigueur sur la confidentialité des données dans leur intégralité, dans ce cas, ces conditions négociées prévaudront.

Annexe 1:

Exigences relatives aux mesures de sécurité techniques et organisationnelles

Les références à ” Importateur des données ” dans la présente Annexe 1 désignent le Vendeur.

Politiques pour la sécurité des informations : l’importateur des données accepte d’implémenter une série de politiques pour la sécurité des informations qui sont définies, approuvées par la direction, publiées et communiquées aux salariés et aux parties externes concernées.

Révision des politiques pour la sécurité des données : l’importateur des données accepte de s’assurer que les politiques pour la sécurité des informations sont révisées à des intervalles planifiés ou, s’il y a des modifications significatives, s’assurer qu’elles sont toujours pertinentes, adéquates et efficaces.

Sensibilisation, éducation et formation à la sécurité des informations : l’importateur de données s’assurera que tous les employés de l’organisation et, le cas échéant, les prestataires de services sont sensibilisés et reçoivent l’éducation, la formation et les actualisations régulières sur les politiques et les procédures organisationnelles, selon ce qui est requis pour leur fonction professionnelle.

Utilisation acceptable des actifs : l’importateur des données s’assurera que les règles portant sur l’utilisation acceptable des informations et des actifs associés aux informations et aux installations de traitement des informations sont identifiées, documentées et implémentées.

Classification des informations : l’importateur des données s’assurera que tous les actifs relatifs aux informations sont classifiés en termes d’exigences légales, de valeur, de caractère critique et sensible pour la divulgation ou la modification autorisée.

Mise au rebut des supports : l’importateur des données s’assurera que tous les supports sont mis au rebut de façon sécurisée lorsqu’ils ne sont plus nécessaires, en utilisant les procédures officielles.

Politique de contrôle des accès : l’importateur des données s’assurera qu’une politique de contrôle des accès est établie, documentée et révisée sur la base des exigences commerciales et de sécurité des informations.

Politique sur l’utilisation des contrôles cryptographiques : l’importateur des données s’assurera qu’une politique sur l’utilisation des contrôles cryptographiques pour la protection des informations a été développée et implémentée.

Périmètre de sécurité physique : l’importateur des données s’assurera que des périmètres de sécurité sont définis et utilisés pour protéger les zones qui contiennent des informations sensibles ou essentielles et les installations de traitement des informations.

Contrôles physiques des entrées : l’importateur des données s’assurera que les zones sécurisées sont protégées par des contrôles appropriés aux entrées afin de s’assurer que seul le personnel autorisé puisse y accéder.


Mise au rebut sécurisée et réutilisation des équipements : l’importateur des données s’assurera que tous les équipements contenant les supports de stockage sont vérifiés pour être certain que toutes les données sensibles ou les logiciels sous licence ont été retirés ou effacés en toute sécurité avant la mise au rebut ou la réutilisation.

Contrôles contre les programmes malveillants : l’importateur des données implémentera des contrôles de détection, de prévention et de récupération visant à fournir une protection contre les programmes malveillants, en association avec une sensibilisation appropriée des utilisateurs à cet égard.


Sauvegarde des informations: l’importateur des données implémentera une politique de sauvegarde pour définir les exigences de l’organisation en matière de sauvegarde des informations, logiciels et systèmes.

Gestion des vulnérabilités techniques : l’importateur des données mènera des actions d’atténuation des vulnérabilités techniques pour réduire l’exposition à de telles vulnérabilités et s’assurera que les mesures appropriées sont prises pour aborder le risque associé.

Contrôle des audits des systèmes d’information : l’importateur des données implémentera des exigences d’audit soigneusement planifiées et convenues et des activités impliquant la vérification des systèmes opérationnels afin de minimiser les perturbations dans les processus commerciaux.

Contrôles des réseaux : l’importateur des données s’assurera que les Réseaux sont gérés et contrôlés en vue de protéger les informations dans les systèmes et les applications et de s’assurer que les groupes de services d’information, les utilisateurs et les systèmes d’information sont convenablement séparés.

Messagerie électronique : l’importateur des données s’assurera que les informations impliquées dans les messageries électroniques sont convenablement protégées.

Accord de confidentialité et de non-divulgation : l’importateur des données s’assurera que les exigences pour les accords de confidentialité ou de non-divulgation reflétant les besoins de l’organisation en matière de protection des informations sont identifiées, régulièrement révisées et documentées.

Sécurisation des services d’application sur les réseaux publics : l’importateur des données s’assurera que les informations impliquées dans des services d’application passant par des réseaux publics sont protégées contre l’activité frauduleuse, le conflit contractuel et la divulgation et modification non autorisées.

Principes d’ingénierie des systèmes sécurisés : l’importateur des données s’assurera que les principes d’ingénierie des systèmes sécurisés ont été établis, documentés, conservés et appliqués à tous les efforts d’implémentation des systèmes d’information.

Sécurité des systèmes et essais d’acceptation : l’importateur des données s’assurera que des essais des fonctionnalités de sécurité sont menés lors du développement et que des programmes d’essais d’acceptation et les critères associés sont établis pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions. L’importateur des données s’assurera que les données pour les essais sont minutieusement sélectionnées, protégées et contrôlées.

Signalement et réponse aux événements relatifs à la sécurité des informations : l’importateur des données s’assurera que tout événement relatif à la sécurité des informations est signalé par le biais des circuits de gestion appropriés dans les plus brefs délais et il s’assurera que les incidents relatifs à la sécurité des informations sont traités conformément aux procédures documentées.

Planification de la continuité de la sécurité des informations : l’importateur des données déterminera ses exigences pour la sécurité des informations et la continuité de la gestion de la sécurité des informations en cas de situation défavorable, comme par exemple lors d’une crise ou d’une catastrophe.

 

Plateforme de création et de marketing des événements de divertissement, sport, formations, conférences, et pour enfants en présentiel et en ligne.

Télécharger l'application

apple-store
google_play
© 2021 Zenergy, All Rights Reserved.