Engagement de protection des données personnelles

Le présent engagement de protection de confidentialité des données personnelles a pour objet de définir les modalités dans lesquelles VRM s'engage à effectuer, pour le compte du CLIENT les traitements de données à caractère personnel définis ci-après (ci-après l’ « Engagement »). A cet égard, VRM agira en qualité de sous-traitant et le CLIENT agira en qualité de responsable de traitement. Dans le cadre de leurs relations contractuelles, les Parties s’engagent à respecter la réglementation applicable en matière de traitement des données à caractère personnel et, notamment, le RGPD. La nature des opérations réalisées sur les données consiste en la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

VRM est autorisé à traiter pour le compte du CLIENT les données à caractère personnel nécessaires pour fournir des services consistant à traiter des échanges oraux entre personnes faisant usage de la solution Upmeet, à les retranscrire et les synthétiser (ci-après les « Services »). En souscrivant aux Services, le CLIENT donnera accès aux Services à un nombre donné de membres, salariés ou non, de son personnel (ci-après les « Utilisateurs »). Le CLIENT reconnait qu’en utilisant les Services, les Utilisateurs sont susceptibles de divulguer des données à caractère personnel (ci-après les « Données Client »), pour lesquelles le CLIENT reconnaît être responsable de traitement. La nature des opérations réalisées sur les données consiste en la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

La ou les finalité(s) du traitement des Données Client sont : - simplifier la prise de note pendant réunions et autres rencontres en permettant de les retranscrire ainsi que de les synthétiser de façon automatique à l’aide de l’intelligence artificielle ; - Donner accès en ligne aux Services ; - Fournir les Services.

Les données à caractère personnel traitées pour le compte du CLIENT sont : - Données relatives aux Utilisateurs : o Identité (nom, prénoms) ; o Le son de la voix des Utilisateurs (et personnes participantes aux réunions) à l’occasion de votre utilisation des Services ; o La retranscription de la voix des Utilisateurs (et personnes participantes aux réunions) à l’occasion de votre utilisation des Services ; o Coordonnées des Utilisateurs (adresse mail, numéro téléphonique) ; o Toutes données à caractère personnel énoncé par les Utilisateurs (et personnes participantes aux réunions) à l’occasion de l’utilisation des Services. - Certaines données relatives à l’utilisation des Services : o Fréquence d’utilisation, nombre et durée de connexion. - Données automatiquement collectées sur les sites internet de VRM : cookies, étant entendu que ces derniers sont entièrement contrôlés par les Utilisateurs par le biais de leur propre navigateur web et qu’il est nécessaire de recueillir le consentement des utilisateurs avant la collecte de ces données. Les catégories de personnes concernées sont : - les Utilisateurs ; - Toute personne participant à une réunion ou tout échange de nature orale ayant recours aux Services.

VRM s'engage à : • traiter les Données Client uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance ; • traiter les Données Client conformément aux instructions documentées du CLIENT. Si VRM considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l’Union Européenne ou du droit des États membres relative à la protection des données, il en informe immédiatement le CLIENT. • En outre, si VRM est tenu de procéder de lui-même à un transfert de Données Client vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis, il doit informer le CLIENT de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public ; • appliquer les meilleurs standards de l’industrie en vue de la confidentialité des Données Client traitées dans le cadre du présent Engagement ; • veiller à ce que les personnes autorisées à traiter les Données Client : o s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; o reçoivent la formation nécessaire en matière de protection des données à caractère personnel ; • prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

VRM peut faire appel à des sous-traitants pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le CLIENT de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le CLIENT dispose d’un délai de 14 jours à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu. VRM est d’ores et déjà autorisé par le CLIENT à faire appel aux sous-traitants qui suivent : • AMAZON WEB SERVICE ; • AZURE OPEN AI Microsoft. Le sous-traitant est tenu de respecter les obligations du présent Engagement pour le compte et selon les instructions du CLIENT. Il appartient à VRM de s’assurer que le sous-traitant présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données, VRM demeure pleinement responsable devant le CLIENT de l’exécution par le sous-traitant de ses obligations.

Lorsque les personnes concernées exercent auprès de VRM des demandes d’exercice de leurs droits, VRM doit adresser au CLIENT ces demandes dès réception par courrier électronique sur l’adresse électronique renseignée par le CLIENT. Le CLIENT garantit aux personnes physiques concernées par le traitement des Données CLIENT le droit d’être informées et d’accéder auxdites données les concernant, le droit de rectification et d’effacement, le droit de limitation et d’opposition au traitement, le droit de ne pas faire l’objet df��un traitement automatisé de données destiné à définir leurs profils ou évaluer certains aspects de leur personnalité, le droit de portabilité le cas échéant. Pour exercer l’ensemble de ces droits, les personnes physiques peuvent prendre contact en adressant un courrier électronique à l’adresse mail suivante : - Pour le CLIENT : à l’adresse renseignée par celui-ci sur le Site Web - Pour VRM : rgpd@upmeet.ai Il incombera au CLIENT de donner suite à une telle demande ou de donner les instructions à VRM de donner suite ou non à la demande. VRM répondra favorablement à toute demande raisonnable d’assistance à la gestion desdites demandes de personnes concernées du CLIENT.

VRM notifie au CLIENT sans délai, toute violation de données à caractère personnel. Cette notification s’effectue par l’envoi d’un courrier électronique à l’adresse suivante fournie par le CLIENT à cet effet. Cette notification est accompagnée de toute documentation utile afin de permettre au CLIENT, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

VRM conservera et traitera les Données Client et les Données à Caractère Personnel au sein de l'Union européenne. VRM ne contrôle et ne limite pas les zones géographiques depuis lesquelles le CLIENT ou les Utilisateurs peuvent accéder aux Données Client ou vers lesquelles ils peuvent les déplacer.

VRM ne divulguera ni ne donnera accès à aucune Donnée Client sauf : (1) selon les instructions du CLIENT, (2) conformément à l’article 5 des présentes ou (3) si la loi l’exige. VRM ne divulguera ni ne donnera accès à une quelconque Donnée Client aux autorités, sauf si la loi l’exige. Toute demande d’une autorité visant à divulguer ou donner accès auxDonnées Client reçue par VRM sera immédiatement retransmise au CLIENT, dans la mesure où le droit positif l’autorise. Si VRM est tenu par le droit positif de divulguer desDonnées Client aux autorités ou de leur y donner accès, VRM s’engage à en informer rapidement le CLIENT et à fournir un exemplaire de la demande, dans la mesure permise par la le droit positif.

VRM met à disposition du CLIENT un outil en vue d’anonymiser les Données Client. À cet égard, le CLIENT est informé que tout Utilisateur ou tiers participant aux Services devront avoir donné leur consentement pour le traitement des leurs données à caractère personnel et qu’à défaut, les données afférentes devront être entièrement anonymisées.

VRM aide le CLIENT pour la réalisation d’analyses d’impact relative à la protection des Données Client. A ce titre, VRM fournira toute information nécessaire pour la réalisation de ladite analyse d’impact relative à la protection des Données Client. VRM aide le CLIENT pour la réalisation de la consultation préalable de l’autorité de contrôle. VRM s’engage à coopérer avec toute autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions.

VRM s’engage à mettre en œuvre les mesures de sécurité suivantes : • La pseudonymisation et le chiffrement des Données Client ; • Les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement - VRM s’engageant sur demande du CLIENT à lui adresser un descriptif des moyens ; • Les moyens permettant de rétablir la disponibilité des Données Client et l'accès à celles-ci dans un délai maximal de 72 heures en cas d'incident physique ou technique ; • Une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Pendant toute la durée de souscription du CLIENT aux Services, le CLIENT aura la possibilité d'accéder aux Données Client stockées, de les en extraire et de les supprimer. VRM conservera les Données Client qui restent stockées dans un compte ayant des fonctionnalités limitées pendant 90 jours suivant l’expiration ou la résiliation des Services souscrits par le CLIENT, afin de permettre à celui-ci d’extraire les données. À l’issue de la période de conservation de quatre-vingt-dix (90) jours, VRM désactivera le compte du CLIENT et détruira de façon irréversible les Données Client. Une fois détruites, VRM pourra, sur demande du CLIENT, justifier par écrit de ladite destruction.

VRM déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte du CLIENT comprenant : • Le nom et les coordonnées du CLIENT, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ; • Les catégories de traitements effectués pour le compte du CLIENT ; • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ; • Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles, y compris entre autres, selon les besoins : o la pseudonymisation et le chiffrement des données à caractère personnel ; o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

VRM met à la disposition du CLIENT la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le CLIENT ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

VRM s’engage à réaliser directement ou faire réaliser via des prestataires spécialisés, des contrôles par voies d’audit. A ce titre, VRM s’engage à mettre à disposition du CLIENT l’ensemble de la documentation nécessaire pour démontrer le respect de ses obligations liées au présent engagement notamment en transmettant auCLIENT les rapports d’audits. Par ailleurs, VRM sengage à informer immédiatement le CLIENT de tout contrôle effectuépar toute autorité administrative portant sur le respect de ses obligations en matière de protection de données à caractère personnel ainsi que du résultat de tels contrôles et des éventuelles sanctions qui pourraient être prononcées à son égard. Le CLIENT se réserve la possibilité de réaliser lui-même ou via un prestataire de son choix un tel audit à tout moment en respectant un délai de prévenance de quinze (15) jours. VRM s’engage à collaborer de bonne foi avec l’auditeur désigné par le CLIENT. Ainsi, VRM s’engage à faciliter l’accès de l’auditeur à ses locaux, à tout document ou information ou autre élément utile au bon déroulement de l’audit. Le CLIENT pourra engager la responsabilité de VRM au cas où il serait avéré qu’il ne respecterait pas ses obligations liées au présent engagement.

Le CLIENT s’engage à : 1. documenter par écrit toute instruction fournie à VRM concernant le traitement des données ; 2. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part de VRM ; 3. superviser le traitement, y compris réaliser les audits et les inspections auprès de VRM ; 4. communiquer le nom et coordonnées de contact du délégué ou du référent à la protection des données du CLIENT.

Dans la mesure où VRM utilise ou traite de toute autre manière des données à caractère personnel soumises au RGPD pour ses propres besoins, VRM se conformera aux obligations applicables à un responsable du traitement indépendant au sens du RGPD pour une telle utilisation. À cet égard, les Utilisateurs et personnes concernées peuvent consulter la charte de protection des données personnelles de VRM accessible à l’adresse : https://www.upmeet.ai/privacy/