3.1 Le Traitement par Mews des Données Personnelles
Mews traitera les Données Personnelles comme des Informations Confidentielles et ne Traitera les Données Personnelles que pour le compte et conformément aux instructions documentées du Partenaire aux fins suivantes : (i) Traitement conformément à l'Accord ; (ii) Traitement initié par les Utilisateurs Autorisés dans le cadre de leur utilisation des Services ; et (iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par courriel), lorsque ces instructions sont compatibles avec les termes de l'Accord. Le Partenaire mandate par les présentes Mews d'informer les Personnes Concernées du Traitement de leurs Données Personnelles au nom du Partenaire par courriel et de la possibilité d'utiliser les services de Mews pour gérer les données des Personnes Concernées, les réservations et les services associés. Mews tient un registre des opérations de Traitement effectivement réalisées.
3.2 Mesures Techniques et Organisationnelles
Mews assure et met en œuvre des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les Données Personnelles contre la destruction accidentelle ou illégale, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des Données Personnelles et des plateformes utilisées pour fournir les Services tels que décrits dans la Règlementation sur la Protection des Données. Lors de la mise en œuvre de ces mesures, Mews est en droit de prendre en compte les pratiques standards actuelles pour déterminer ce qui est raisonnable, ainsi que la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel subi par les Personnes Concernées que la mise en place de ces mesures vise à protéger.
3.3 Personnel
Mews veille à ce que son Personnel chargé du Traitement des Données Personnelles soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des Données Personnelles. Le « Personnel » désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin de remplir ses obligations envers le Partenaire en vertu de l'Accord ou de l’Annexe, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure sensiblement identique à celle prévue par l'Accord et l’Annexe. Mews veillera à ce que l'accès du Personnel aux Données Personnelles soit limité aux personnes qui exécutent les Services conformément à l'Accord, et les obligations de confidentialité du Personnel seront maintenues suite à la résiliation des engagements du Personnel.
3.4 Notifications
Mews informera le Partenaire par écrit dès que cela est raisonnable au regard des usages du commerce :
3.4.1 de toute communication reçue d’une personne physique concernant (i) les droits d’une personne physique d’accéder, de modifier, de corriger, d’effacer ou de bloquer ses Données Personnelles ; (ii) le droit d’une personne physique de rectifier, de restreindre ou d’effacer ses Données Personnelles, de bénéficier de la portabilité des données, de s’opposer au Traitement et de ne pas faire l’objet d’une prise de décision automatisée ; et (iii) toute plainte concernant le Traitement des Données Personnelles par le Partenaire ; dans la mesure où la loi ne l’interdit pas, de toute citation à comparaître ou autre ordonnance ou procédure judiciaire ou administrative visant à obtenir l’accès aux Données Personnelles ou à les divulguer ;
3.4.2 dans la mesure où la loi ne l’interdit pas, de toute plainte, avis ou autre communication concernant le respect par le Partenaire de la loi sur la protection des données et de la vie privée et le Traitement des Données Personnelles. Mews fournira au Partenaire une coopération et une assistance raisonnables au regard des usages du commerce (aux frais du Partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et
3.4.3 d’une violation matérielle de la sécurité des Services entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles dont nous avons connaissance, conformément à la loi applicable (« Violation de la Sécurité »). Mews s'efforcera raisonnablement d'identifier la cause de cette Violation de la Sécurité et de prendre les mesures nécessaires et raisonnables, et qui sont acceptables pour le Partenaire, afin de remédier à la cause de cette Violation de la Sécurité, dans la mesure où la remise en état est sous le contrôle raisonnable de Mews. Les obligations des présentes ne s'appliquent pas aux incidents causés par le Partenaire.
3.5 Absence de reconnaissance
Le Partenaire reconnaît que l'obligation de Mews de notifier la Violation de la Sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette Violation de la Sécurité.
3.6 Restitution et Suppression des Données
Sous réserve des limitations prévues par les lois applicables, Mews restituera au Partenaire toutes les Données Personnelles restantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures standardisées et dans des délais raisonnables au regard des usages du commerce.
3.7 Conformité de Mews
Mews doit se conformer à la Règlementation sur la Protection des Données applicable à ses propres opérations et à la fourniture des Services dans le cadre de l'Accord, ainsi qu'à ses obligations dans le cadre de la présente Annexe.
3.8 Partage des données
En permettant ou en acceptant le partage de données au sein du Compte Mews avec un tiers, le Partenaire mandate Mews conformément à l'Art. 28 (3)a) du RGPD aux fins de donner accès à toutes les Données Personnelles et à toutes les autres données traitées dans le Compte Mews du Partenaire à cette tierce partie. Le Partenaire est responsable de l'obtention de tous les consentements nécessaires des Personnes Concernées ou de tout autre tierce partie dans le cadre du partage des données, comme l'exige la Réglementation sur la Protection des Données. Le Partenaire s'engage à totalement indemniser, défendre et dégager Mews et ses Affiliés de toute responsabilité en cas de réclamation de la Personne Concernée ou d'un tiers, résultant de la violation de cet article, y compris pour toutes les responsabilités, les dommages, les pertes, les coûts et les dépenses.
3.9 Intégrations
La Plateforme Mews propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le Compte Mews, le Partenaire mandate Mews, conformément à l'Art. 28 (3)a) du RGPD aux fins de fournir l'accès aux Données Personnelles traitées au sein du Compte Mews du Partenaire au partenaire d'intégration en cause comme requis pour l'interopérabilité des services ou produits du partenaire d'intégration avec les Services Mews.
3.10 Audit
Le Partenaire aura le droit d'effectuer un audit pour vérifier que Mews se conforme à ses obligations énoncées à l'Art. 28 du RGPD et dans la présente Annexe. Mews autorise le Partenaire à effectuer l’audit dans les conditions suivantes :
- le Partenaire demandera à Mews d'effectuer l’audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;
- le Partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (1) ;
- l’audit n’aura pas lieu plus d’une fois par an ;
- tous les coûts et dépenses y afférents seront supportés par le Partenaire et remboursés à Mews sur demande ; et
- la durée de l’audit ne dépassera pas l'équivalent d'une journée de travail (8 heures) du représentant de Mews.
Dans le cas où le Partenaire demande un audit par l'intermédiaire d'une tierce partie indépendante - un auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le Partenaire pour effectuer l'audit si l'auditeur n'est, selon l’avis raisonnable de Mews, pas suffisamment qualifié ou indépendant, s'il est un concurrent de Mews, ou s'il est manifestement inadapté pour d'autres raisons. Une telle opposition obligera le Partenaire à nommer un autre auditeur. Si le Partenaire a besoin de plus d'un audit au cours d'une année civile, le Partenaire doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts liés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du Partenaire, Mews fournira au Partenaire le coût estimé qu'il s'attend à encourir au cours de l'audit, dans la mesure spécifiée dans l'agenda fourni par le Partenaire.