Accord sur le traitement des données

Le présent accord sur le traitement des données (ci-après l'accord sur le traitement des données) fait partie intégrante des Conditions d'utilisation (ci-après - l'Accord) avec l'Utilisateur et s'applique au traitement des données personnelles (ci-après - les Données Personnelles) lorsque l'Utilisateur utilise la Plateforme.

L'Administration fournit à l'Utilisateur la Plateforme, qui peut être utilisée par l'Utilisateur pour traiter les Données Personnelles.

Le traitement et le stockage des données personnelles traitées (y compris collectées, stockées et publiées) par les utilisateurs sur les sites Web qu'ils ont créés à l'aide de la plate-forme sont effectués légalement, pour une période déterminée par l'utilisateur lui-même et sont effectués par l'administration sur la base du présent accord de traitement des données, qui constitue une base juridique pour le traitement des données personnelles par l'administration.

Si vous n'êtes pas d'accord avec les termes de l'Accord sur le traitement des données, vous ne pouvez pas utiliser la Plateforme pour travailler avec les données personnelles. Le fait d'utiliser la Plateforme pour travailler avec des données personnelles est reconnu comme un consentement aux termes et conditions de l'Accord sur le traitement des données.

Le présent document comprend les sections suivantes :
Termes et définitions
Objet de l'accord sur le traitement des données
Déclarations et garanties du responsable du traitement
Droits, obligations et responsabilités du sous-traitant
Droits, obligations et responsabilités du responsable du traitement
Protection de la vie privée et sécurité
Violation de la sécurité de l'information
Droit applicable et règlement des litiges

Termes et définitions

Aux fins du présent Accord sur le traitement des données, les termes seront utilisés dans le sens spécifié ci-dessous :

Lecontrôleur est l'utilisateur, tel que défini dans l'Accord, une personne qui est un contrôleur de données personnelles aux termes du décret-loi fédéral des Émirats arabes unis no. 45/2021 sur la protection des données personnelles ou du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données, RGPD) (ci-après collectivement - la Loi).
LeProcesseur est l'Administration, telle que définie dans l'Accord, qui traite les Données Personnelles pour le compte du Contrôleur et qui est un Processeur au sens de la Loi.
Lesujet des Données Personnelles est une personne physique à laquelle les Données Personnelles se rapportent, telle que définie dans la Loi.
LesDonnées Personnelles sont toutes les données relatives à un individu identifié ou à un individu qui peut être identifié directement ou indirectement en reliant les données par référence à un identifiant tel que son nom, sa voix, son image, son numéro d'identification, son identifiant électronique, sa localisation géographique ou une ou plusieurs caractéristiques physiques, physiologiques, culturelles ou sociales telles que définies dans la Loi et traitées par le Contrôleur à l'aide de la Plateforme.
Lesdonnées de l'utilisateur sont les informations qui peuvent contenir des données personnelles, téléchargées ou traitées par le contrôleur à l'aide de la plate-forme.
Lesdonnées personnelles sensibles sont toutes les informations qui divulguent directement ou indirectement la race, l'ethnicité, les opinions politiques ou philosophiques, les croyances religieuses, le casier judiciaire, les données biométriques ou toutes les données relatives à la santé de cette personne, telles que son état physique, psychologique, mental, corporel, génétique ou sexuel, y compris toutes les informations relatives à la fourniture de services de soins de santé à cette personne qui divulguent son état de santé tel que défini dans la loi.
Lesdonnées personnelles biométriques sont toutes les données personnelles obtenues à la suite d'un traitement technique spécial relatif aux caractéristiques physiques, physiologiques ou comportementales de la personne concernée qui identifie ou confirme l'identification unique de la personne concernée, telles que les données relatives à l'image faciale ou aux empreintes digitales, telles que définies dans la loi.

L'accord sur le traitement des données peut utiliser d'autres termes non définis ci-dessus, qui seront interprétés conformément à l'accord et à la loi.

1. Objet de l'accord sur le traitement des données

1.1. Le contrôleur donne des instructions et le sous-traitant assume l'obligation de prendre des mesures pour traiter les données personnelles des clients (visiteurs des sites Web) du contrôleur, qui sont traitées ou seront traitées par le contrôleur à l'aide de la plate-forme.

1.2. Dispositions de base concernant le traitement des données personnelles :

Données personnelles : le contenu, la liste et le volume des données personnelles sont déterminés par le contrôleur et ne sont pas contrôlés par le sous-traitant. Dans le même temps, le sous-traitant ne traite pas les données personnelles sensibles et biométriques. Motifs du traitement des données personnelles ; le traitement est effectué dans le cadre de l'exécution d'obligations contractuelles, pour le compte du contrôleur Types de traitement des données personnelles ; structuration et stockage (dans ce cas, le sous-traitant ne fournit pas de services d'hébergement, la structuration et le stockage des données personnelles sont effectués sur des installations louées par le sous-traitant). Transfert (effectué par la Plateforme en transmettant les données saisies par les visiteurs des sites Web par le biais de formulaires Web sur les sites Web dans les outils de collecte de données connectés par le Contrôleur aux sites Web (y compris dans le sous-système Formulaires de la Plateforme et/ou dans Tilda CRM). Pour garantir la fiabilité de ce transfert et gérer les cas d'indisponibilité des services de réception, les données peuvent être mises en cache sur les serveurs de la Plateforme, avec effacement ultérieur du cache après un transfert réussi. En outre, dans ce cas, la Plateforme et/ou le Processeur n'enregistrent pas, ne systématisent pas, ne stockent pas, ne modifient pas et n'utilisent pas les Données personnelles à l'aide de bases de données de Données personnelles, mais remplissent uniquement la fonction de transmission des données des formulaires web dans lesquels les visiteurs des Sites web les saisissent, aux outils de collecte de données qui leur sont connectés par le Responsable du traitement. La période de mise en cache des données par défaut est de 30 jours et peut être configurée par le responsable du traitement de manière indépendante. Distribution (effectuée par le responsable du traitement de manière indépendante en publiant les données personnelles sur les sites web, dans ce cas, le respect des exigences de la loi en termes d'obtention des consentements nécessaires des personnes concernées par les données personnelles relève de la responsabilité du responsable du traitement). L'accès aux Données Personnelles est effectué par le Responsable du Traitement à travers l'utilisation des fonctions et des paramètres de la Plateforme (l'accès à des tiers est effectué et géré par le Responsable du Traitement de manière indépendante en utilisant la fonction "Collaborateurs" de la Plateforme, dans ce cas, l'assurance de l'existence de motifs légaux pour un tel accès est de la responsabilité du Responsable du Traitement). Le traitement sera effectué en plaçant la Plateforme dans des installations louées par le Responsable du traitement dans des centres de traitement des données fournis par des partenaires avec lesquels ont été conclus des accords garantissant la sécurité des données à caractère personnel traitées par eux : Hetzner et GCore Période de conservation des données personnelles : les données personnelles sont conservées pendant la période spécifiée par le contrôleur, mais pas plus longtemps que la période de validité de l'accord, sauf disposition contraire de la législation des Émirats arabes unis. Suppression des données personnelles : elle est effectuée par le contrôleur de manière indépendante pendant la période de validité de l'accord et, après son expiration, elle est effectuée par le sous-traitant lorsque les objectifs du traitement des données personnelles sont atteints et que les exigences de la législation des Émirats arabes unis sont satisfaites. Durée de l'accord sur le traitement des données : pendant toute la durée de l'utilisation de la plate-forme par le contrôleur conformément à l'accord, y compris la période de blocage du compte.

Données personnelles ; courriel (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), téléphone (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), nom (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), autres données que le contrôleur de la plate-forme souhaite collecter (à l'exception des données personnelles sensibles et biométriques). Motifs du traitement des données personnelles : le traitement est effectué dans le cadre de l'exécution des obligations contractuelles, pour le compte du contrôleur. Types de traitement des données personnelles ; la collecte a lieu sur le site Web créé sur la plate-forme, par le biais de la transmission de données à des services de collecte de données connectés. Structuration (dans ce cas, le Processeur ne fournit pas de services d'hébergement, la structuration et le stockage des Données Personnelles seront effectués sur des installations louées par le Processeur, le sous-système "Formulaires" de la Plateforme sera utilisé pour organiser le stockage). Les données personnelles sont utilisées par le responsable du traitement dans le compte personnel du responsable du traitement à (si le responsable du traitement active le sous-système "Formulaires" en tant que service de collecte de données). La distribution (transmission) des données est effectuée à des services tiers activés par le contrôleur dans le compte personnel. Le transfert (accès) est effectué par le Responsable du traitement à travers l'utilisation des fonctions et des paramètres de la Plateforme (l'accès à des tiers est effectué et géré par le Responsable du traitement de manière indépendante en utilisant la fonction "Collaborateurs" de la Plateforme ; dans ce cas, il incombe au Responsable du traitement de s'assurer de l'existence de motifs légaux pour un tel accès). Période de conservation des données personnelles : les données personnelles sont conservées pendant la période spécifiée par le contrôleur, mais pas plus de 30 jours et la période de validité de l'accord, sauf disposition contraire des exigences de la législation des Émirats arabes unis. Suppression des données personnelles : les données personnelles peuvent être supprimées par le contrôleur ou automatiquement dans le délai fixé par le contrôleur, mais pas plus de 30 jours à compter de la date de réception des données, sauf disposition contraire des exigences de la législation des Émirats arabes unis. Durée de l'accord sur le traitement des données : pendant toute la durée de l'utilisation de la plate-forme par le contrôleur conformément à l'accord, y compris la période de blocage du compte.

Données personnelles ; traitées avant le paiement de la livraison : courriel (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), téléphone (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), nom (la collecte sera configurée par l'utilisateur, traitée si elle est collectée par l'utilisateur), autres données que le contrôleur souhaite collecter (à l'exception des données personnelles sensibles et biométriques). Traitement en cas de livraison : adresse (si les marchandises doivent être livrées) Traitement en cas de paiement : autres données que le responsable du traitement souhaite collecter (à l'exception des données personnelles sensibles et biométriques), 4 derniers chiffres de la carte, date d'expiration de la carte. Motifs du traitement des données à caractère personnel : le traitement est effectué dans le cadre de l'exécution des obligations contractuelles et pour le compte du responsable du traitement. Types de traitement des données personnelles : la collecte a lieu sur le site Web créé sur la plate-forme (si le contrôleur active le sous-système "Formulaires" en tant que service de collecte de données). Structuration, stockage - a lieu dans les sous-systèmes "Formulaires", "Catalogue" et "Livraison" de la Plateforme (si le Contrôleur active ces sous-systèmes). Les données personnelles sont utilisées par le contrôleur dans le compte personnel du contrôleur dans la section "Leads" (si le contrôleur active le sous-système "Formulaires" comme service de collecte de données). L'utilisation (visualisation) des données personnelles anonymes est disponible dans le panneau administratif pour résoudre les problèmes des clients du contrôleur. La distribution (transmission) des données est effectuée aux services tiers activés par le contrôleur dans le compte personnel, ainsi qu'aux services activés dans le sous-système "Catalogue". La distribution (fourniture d'accès) est effectuée par le Responsable du traitement à travers l'utilisation des fonctions et des paramètres de la Plateforme (la fourniture d'accès à des tiers est effectuée et gérée par le Responsable du traitement de manière indépendante à travers la fonction "Collaborateurs" de la Plateforme ; dans ce cas, il incombe au Responsable du traitement de s'assurer de l'existence de motifs légaux pour un tel accès). Période de conservation des données personnelles : les données personnelles sont conservées pendant toute la durée de l'accord/pendant les périodes établies par la législation actuelle des Émirats arabes unis, à l'exception du sous-système "Formulaires", où les données personnelles ne sont pas conservées plus de 30 jours, sauf disposition contraire de la législation des Émirats arabes unis. Suppression des données à caractère personnel : les données à caractère personnel sont supprimées par le contrôleur dès que les objectifs du traitement sont atteints, sauf disposition contraire prévue par la législation des Émirats arabes unis. La suppression des données du sous-système "Formulaires" se fait automatiquement dans le délai fixé par le responsable du traitement, mais au plus tard 30 jours à compter de la date de réception des données. La suppression des données des sous-systèmes "Livraison" et "Catalogue" se fait à l'expiration de l'accord et à la suppression du compte. Durée de l'accord sur le traitement des données : pendant toute la durée de l'utilisation de la plate-forme par le responsable du traitement conformément à l'accord, y compris la période de blocage du compte.

2. Déclarations et garanties du contrôleur

2.1. Le contrôleur déclare et garantit qu'il
1) A reçu les données personnelles par des moyens légaux ;
2) A des motifs légaux pour traiter les Données personnelles (y compris le consentement des sujets des Données personnelles ou d'autres bases légales pour le transfert des Données personnelles, y compris transfrontalier), confiant le traitement des Données personnelles au Processeur et à ses partenaires (y compris ceux situés en dehors des Émirats arabes unis) et la distribution des Données personnelles en utilisant la Plateforme, si une telle distribution est effectuée) ;
c) respecte les principes et les règles de traitement des données à caractère personnel prévus par la législation des Émirats arabes unis ;
d) N'utilise pas et n'utilisera pas la Plateforme pour le traitement de Données Personnelles sensibles et biométriques.

2.2. Le Responsable du traitement garantit que toute personne autorisée par le Responsable du traitement et traitant des Données personnelles à l'aide de la Plateforme agit au nom du Responsable du traitement et conformément à ses instructions. Dans ce cas, le Contrôleur est responsable envers le Processeur si la personne spécifiée viole les termes de l'Accord sur le traitement des données.

2.3. Les déclarations et garanties du Responsable du traitement spécifiées dans la clause 2.1 sont fiables à tout moment/période de traitement des données personnelles dans le cadre de l'Accord sur le traitement des données.

2.4. Le Responsable du traitement reconnaît et comprend le fait de traiter des Données à caractère personnel lors de l'utilisation de la Plateforme.

3. Droits, devoirs et responsabilités du sous-traitant

3.1. Le sous-traitant s'engage à respecter l'objectif et les limites du traitement des données personnelles spécifiés dans l'accord de traitement des données.

3.2. Le sous-traitant s'engage à exécuter l'accord sur le traitement des données de manière indépendante, ainsi qu'avec la participation de tiers spécifiés sur le site Web du sous-traitant dans la politique de confidentialité, tout en restant responsable devant le contrôleur de l'exécution de ses obligations en vertu de l'accord sur le traitement des données.

3.3. Le sous-traitant est tenu de maintenir la confidentialité et d'assurer la sécurité des données personnelles conformément aux exigences de la loi applicable.

3.4. Le sous-traitant s'engage à coopérer de bonne foi avec le contrôleur et à lui fournir une assistance raisonnable dans l'examen et la résolution des demandes (plaintes, demandes) concernant l'accord sur le traitement des données. En particulier, le sous-traitant, après avoir reçu une telle demande, est tenu d'en informer le contrôleur dans un délai de cinq (5) jours ouvrables à compter de la survenance de l'événement spécifié en envoyant une notification correspondante à l'adresse électronique spécifiée par le contrôleur lors de l'enregistrement dans le compte personnel.

3.5. Le sous-traitant est responsable envers le responsable du traitement de l'exécution de l'accord sur le traitement des données, y compris des actions (inactions) de ses employés qui ont eu accès aux données personnelles traitées dans le cadre de l'accord sur le traitement des données du responsable du traitement, ce qui a entraîné la divulgation de ces données personnelles, dans la limite du montant des dommages réels confirmés par des documents, mais dans tous les cas, la responsabilité matérielle totale de l'administration envers le responsable du traitement ne peut pas dépasser le montant du coût du tarif payé par le responsable du traitement et valable pendant la période de survenance des événements qui sont à la base de l'apparition de la responsabilité matérielle de l'administration.

4. Droits, obligations et responsabilités du contrôleur

4.1. The Controller shall be responsible to the Personal Data subject for the actions performed by the Processor when executing the Data Processing Agreement.

4.2. The Controller shall make its own decision and be responsible for determining whether the Platform is suitable for processing Personal Data in accordance with United Arab Emirates law, as well as for using the Platform in accordance with the Controller’s legal obligations.

4.3. The Controller shall, independently and at its own expense, develop and place on the Websites it uses all documents required by the applicable law regarding the collection and processing of Personal Data by the Controller, and shall be responsible for their correctness and completeness.

4.4. The Controller shall independently select service providers and data collection systems and services enabled by the Controller to the fields of web forms on the Websites and used by the Controller to collect Personal Data, and shall also be independently responsible for fulfilling the requirements of the Law when organizing the collection of Personal Data using such systems and services.

4.5. The Controller shall be entitled, no more than once a year, to request from the Processor documents and other information confirming the adoption of measures and compliance with the requirements established in the Data Processing Agreement for the purpose of executing the Controller’s Data Processing Agreement.

4.6. The Controller shall be responsible for the security of the means of protection of access to the Platform he/she has chosen, and also independently ensure their confidentiality.

4.7. The Controller shall be responsible for all actions, as well as their consequences, when using the Platform, while all actions performed in the Account shall be considered to have been carried out by the Controller themselves.

4.8. The Controller shall be responsible for responding to requests from Personal Data subjects and third parties regarding the Controller’s use of the Platform for the purpose of Personal Data processing.

4.9. The Controller shall be responsible for considering requests from Personal Data subjects related to the exercise of their rights, including in cases where the use of the Platform by the Controller affects the rights of these persons.

4.10. The Controller undertakes to provide the Processor with confirmation of the existence of legal grounds for processing Personal Data and the fact of proper notification of the Personal Data subject about their transfer, within five (5) calendar days from the date of receipt of the corresponding request from the Processor.

4.11. In the event that the Processor is presented with claims and demands from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, the Controller shall be obliged to settle independently such claims on its own and at its own expense, to protect the Processor from possible losses and participation in the consideration of claims, demands and possible litigation. If it becomes necessary for the Processor to participate in resolving the above-mentioned claims and/or demands, the Processor shall be entitled to demand from the Controller compensation for losses and expenses incurred in connection with such participation, including, but not limited to, the costs of a representative, negotiations and other expenses.

4.12. In the event of claims being made against the Processor from third parties, including from Personal Data subjects and authorized bodies, in connection with the execution of the Data Processing Agreement, including in the event of a claim about the unlawfulness of the Processor’s processing of Personal Data processed by the Controller using the Platform, which will result in a court order on the collection of funds from the Processor, which has entered into legal force, the latter shall be entitled to demand from the Controller compensation to the Processor for expenses incurred in the process of resolving a legal dispute and in execution of a court decision, as well as all legal costs and losses incurred by the Processor in full.

4.13. The Controller shall bear the risk of being unable to use the Website and/or Platform arising as a result of the Processor’s fulfilling the obligation to stop processing the Personal Data on the basis of the Controller’s Data Processing Agreement.

5. Confidentialité et sécurité

5.1. Le Responsable du traitement s'engage à établir des exigences pour la protection des données personnelles traitées conformément à la Loi, étant entendu que cette obligation s'applique exclusivement au Responsable du traitement et ne doit pas être interprétée comme établissant des exigences pour la protection des données personnelles traitées déterminées par le Responsable du traitement pour le Sous-traitant.

5.2. Le sous-traitant prend les mesures de confidentialité et de sécurité nécessaires lors de l'exécution de l'accord de traitement des données en utilisant des outils d'automatisation conformément aux exigences spécifiées dans la loi. Des informations plus détaillées sont fournies dans la politique de confidentialité.

6. Violation de la sécurité de l'information

6.1. Le Responsable du traitement prend les mesures nécessaires et suffisantes, y compris la surveillance et la gestion de l'accès à la Plateforme, afin de prévenir les violations de la sécurité de l'information lors du traitement des Données à caractère personnel à l'aide de la Plateforme. La responsabilité du choix des mesures de protection et de sécurité nécessaires, de la suffisance et de la fiabilité de ces mesures incombe au Responsable du traitement. En cas de violation de la sécurité de l'information due aux actions ou à l'inaction du Responsable du traitement, ce dernier s'engage à notifier immédiatement, et au plus tard dans les quarante-huit (48) heures à compter de la date de détection de l'événement, le Sous-traitant, et le Sous-traitant sera déchargé de la responsabilité de la sécurité et de la confidentialité des données traitées dans le cadre de l'Accord sur le traitement des données.

6.2. Si le sous-traitant prend connaissance d'une faille de sécurité qui entraîne un transfert (fourniture, distribution, accès) accidentel ou illégal de données à caractère personnel (ci-après dénommée " faille de sécurité ") et comporte des risques pour la vie privée, la confidentialité et la sécurité des personnes concernées, dont les données à caractère personnel ont été affectées par une faille de sécurité (telle que définie à l'article 34 de la Loi), le sous-traitant doit, dès qu'il en prend connaissance, (1) notifier la faille de sécurité au responsable du traitement et (2) prendre des mesures raisonnables pour atténuer les conséquences et minimiser les dommages résultant de la faille de sécurité.

6.3. Le sous-traitant doit fournir au responsable du traitement les informations et le soutien nécessaires et suffisants liés à un tel événement dont le responsable du traitement peut avoir besoin pour remplir ses obligations en vertu de la loi, ainsi que pour réduire les conséquences négatives qui peuvent résulter d'un tel événement.

6.4. L'obligation du Processeur de signaler ou de répondre à une telle violation de la sécurité de l'information conformément à la présente section ne constitue pas une admission de la part du Processeur de toute faute ou responsabilité en rapport avec la violation de la sécurité de l'information.

7. Droit applicable et règlement des litiges

7.1. Le présent accord est régi par le droit des Émirats arabes unis et doit être interprété conformément à ce droit.

7.2. Tous les litiges susceptibles de survenir entre les parties au cours de l'exécution de l'accord sont résolus par voie de négociation.

7.3. Le Responsable du traitement se réserve le droit de modifier et/ou de compléter unilatéralement les termes et conditions de l'Accord sur le traitement des données en publiant le texte modifié sur Internet à l'adresse suivante : https://tilda.cc/dpa/. Lors de chaque utilisation effective de la Plateforme pour le traitement des données personnelles, le Responsable du traitement confirme son accord avec les termes et conditions de l'Accord sur le traitement des données dans la version en vigueur au moment de l'utilisation effective de la Plateforme pour le traitement des données personnelles.

La version actuelle de l'accord sur le traitement des données est datée du 31.05.2024.