Préambule  

La présente Annexe fait partie intégrante de l'accord de coopération, des Conditions Générales disponibles à l’adresse https://www.mews.com/en/terms-conditions/master (« Conditions Générales ») ou de tout autre accord (les Conditions Générales ou tout autre accord sont ci-après dénommés l’ « Accord ») conclu entre l'Affilié de Mews tel que défini dans l'Accord correspondant (« Mews ») et vous (« Partenaire »). La présente Annexe vient préciser les termes de l'Accord conclu entre Mews et le Partenaire ; en cas de conflit entre les termes de l'Accord et de la présente Annexe, l’Annexe prévaudra à moins que les Parties ne conviennent expressément par écrit de dérogations particulières à la présente Annexe dans l'Accord. 

1. Définitions 

Aux fins de la présente Annexe, les termes commençant par une majuscule ont la signification suivante. Les termes commençant par une majuscule qui ne sont pas par ailleurs définis au sein des présentes ont la signification qui leur est donnée dans l'Accord ou dans les Conditions Générales. 
 
« Affiliée(s) » signifie en ce qui concerne une entité, toute autre entité qui contrôle directement ou indirectement l'entité initiale, qui est contrôlée par elle ou qui est sous son contrôle commun direct ou indirect. Une entité contrôle une autre entité si cette dernière détient, directement ou indirectement, soit (i) 20 % ou plus des titres disposant de droits de vote pour l'élection des dirigeants de cette entité, soit (ii) le pouvoir de diriger ou d’orienter la direction ou les politiques de l'autre entité, que ce soit par la détention de titres assortis de droits de vote, par contrat ou de toute autre manière.  
 
« Autorité de Contrôle » signifie une autorité publique indépendante établie par un État Membre de l'UE ou un autre pays en vertu du RGPD ou d'une loi équivalente. 
 
« Clause Contractuelle Types » ou « CCT » signifie les clauses contractuelle types annexé à la Décision d’Exécution de la Commission Européenne 2021/914 du 4 juin 2021.  
 
« Données Personnelles » signifie toute information concernant (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée par la Règlementation sur la Protection des Données de la même manière que les données qui identifient une personne physique) ; ce qui, aux fins de la présente Annexe, comprendra les données personnelles des Hôtes, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, comprenant le nom, la fonction, le courriel et l'adresse, les numéros de carte d’identité et/ou de passeport, les détails de paiement, les préférences des Hôtes, les informations des services du Partenaire et les données limitées de connexion et de localisation (ville). Les Données Personnelles ne contiennent pas de catégories de données particulières. 
 
« Lois Britanniques sur la Protection des Données » signifie toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur au Royaume-Uni, y compris le RGPD Britannique et le Data Protection Act de 2018. 

« Personne Concernée » signifie la personne identifiée ou identifiable à laquelle se réfèrent les Données Personnelles. 
 
« Règlementations Européennes sur la Protection des Données » signifie le RGPD et la Directive Européenne sur la protection de la vie privée dans le secteur des communications électroniques (Directive 2002/58/CE). 
 
« Règlementation sur la Protection des Données » signifie les Règlementations Européennes sur la Protection des Données, les Lois Britanniques sur la Protection des Données, le CCPA et/ou toute autre réglementation applicable en matière de confidentialité des données dans le pays d'enregistrement de l'Affilié Mews, tel que défini dans l'Accord. 

« Responsable du Traitement » signifie une personne ou une entité qui détermine les finalités et les moyens du Traitement des Données Personnelles. 
 
« RGPD » signifie le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (directive sur la protection des données personnelles). 
 
« RGPD Britannique » signifie le RGPD tel qu'il est intégré dans le droit britannique en vertu de l'article 3 du European Union (Withdrawal) Act adopté par le Royaume-Uni en 2018. 

« Services » aux fins de la présente Annexe signifie les services fournis par Mews au Partenaire en vertu de l'Accord. 
 
« Sous-Traitant » ou « Sous-Traitant Subsidiaire » signifie une personne ou une entité qui Traite des Données Personnelles pour le compte d'un Responsable du traitement et/ou d'un Sous-Traitant, le cas échéant. 
 
« Traitement » signifie toute opération ou tout ensemble d'opérations effectuées qui sont réalisées sur la base de Données Personnelles, par des procédés automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ; pour éviter toute ambiguïté, le traitement d'autres informations que les Données Personnelles (par exemple, des données anonymes) dans le but d'améliorer les services Mews ne relève pas du champ d'application de la présente Annexe. 

« Utilisateur Autorisé » signifie une personne autorisée par le Partenaire à accéder à la Plateforme Mews et/ou au Compte Mews, à donner des instructions et à recevoir des communications de la part de Mews, que ce soit par l'intermédiaire de la Plateforme Mews, du Compte Mews, d'un courriel ou de toute autre manière. 

2. Traitement des données

2.1 Traitement des Données Personnelles  
Mews et le Partenaire reconnaissent que le Partenaire est le Responsable de Traitement ou le Sous-Traitant principal en ce qui concerne le Traitement des Données Personnelles en cause. Mews Traitera les Données Personnelles uniquement en tant que Sous-Traitant ou Sous-Traitant Subsidiaire (selon l'utilisation des Services par le Partenaire) pour le compte du Partenaire et uniquement dans la mesure et de la manière nécessaires aux fins prévues par et conformément à la présente Annexe, à l'Accord ou selon les instructions du Partenaire. Lorsque Mews estime raisonnablement qu'une instruction du Partenaire est contraire : (i) à la législation et la réglementation applicables ou (ii) aux dispositions de l'Accord ou de l’Annexe, Mews fera ses meilleurs efforts pour informer le Partenaire et est autorisé à différer l'exécution de l'instruction en cause jusqu'à ce qu'elle ait été modifiée par le Partenaire dans la mesure requise par Mews pour lui permettre de s'assurer de la légalité de cette instruction, ou jusqu'à ce que le Partenaire et Mews aient mutuellement convenu qu'elle était légale. 

3. Le traitement par Mews 

3.1 Le Traitement par Mews des Données Personnelles  
Mews traitera les Données Personnelles comme des Informations Confidentielles et ne Traitera les Données Personnelles que pour le compte et conformément aux instructions documentées du Partenaire aux fins suivantes : (i) Traitement conformément à l'Accord ; (ii) Traitement initié par les Utilisateurs Autorisés dans le cadre de leur utilisation des Services ; et (iii) Traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le Partenaire (par exemple, par courriel), lorsque ces instructions sont compatibles avec les termes de l'Accord. Le Partenaire mandate par les présentes Mews d'informer les Personnes Concernées du Traitement de leurs Données Personnelles au nom du Partenaire par courriel et de la possibilité d'utiliser les services de Mews pour gérer les données des Personnes Concernées, les réservations et les services associés. Mews tient un registre des opérations de Traitement effectivement réalisées. 
 
3.2 Mesures Techniques et Organisationnelles
Mews assure et met en œuvre des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les Données Personnelles contre la destruction accidentelle ou illégale, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, et en relation avec la sécurité des Données Personnelles et des plateformes utilisées pour fournir les Services tels que décrits dans la Règlementation sur la Protection des Données. Lors de la mise en œuvre de ces mesures, Mews est en droit de prendre en compte les pratiques standards actuelles pour déterminer ce qui est raisonnable, ainsi que la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel subi par les Personnes Concernées que la mise en place de ces mesures vise à protéger. 
 
3.3 Personnel 
Mews veille à ce que son Personnel chargé du Traitement des Données Personnelles soit informé de ses obligations et responsabilités en vertu des présentes, ait reçu une formation appropriée et soit informé de la nature confidentielle des Données Personnelles. Le « Personnel » désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par Mews afin de remplir ses obligations envers le Partenaire en vertu de l'Accord ou de l’Annexe, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure sensiblement identique à celle prévue par l'Accord et l’Annexe. Mews veillera à ce que l'accès du Personnel aux Données Personnelles soit limité aux personnes qui exécutent les Services conformément à l'Accord, et les obligations de confidentialité du Personnel seront maintenues suite à la résiliation des engagements du Personnel. 

3.4 Notifications  
Mews informera le Partenaire par écrit dès que cela est raisonnable au regard des usages du commerce :  
 
3.4.1 de toute communication reçue d’une personne physique concernant (i) les droits d’une personne physique d’accéder, de modifier, de corriger, d’effacer ou de bloquer ses Données Personnelles ; (ii) le droit d’une personne physique de rectifier, de restreindre ou d’effacer ses Données Personnelles, de bénéficier de la portabilité des données, de s’opposer au Traitement et de ne pas faire l’objet d’une prise de décision automatisée ; et (iii) toute plainte concernant le Traitement des Données Personnelles par le Partenaire ; dans la mesure où la loi ne l’interdit pas, de toute citation à comparaître ou autre ordonnance ou procédure judiciaire ou administrative visant à obtenir l’accès aux Données Personnelles ou à les divulguer ; 

3.4.2 dans la mesure où la loi ne l’interdit pas, de toute plainte, avis ou autre communication concernant le respect par le Partenaire de la loi sur la protection des données et de la vie privée et le Traitement des Données Personnelles. Mews fournira au Partenaire une coopération et une assistance raisonnables au regard des usages du commerce (aux frais du Partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et 
 
3.4.3 d’une violation matérielle de la sécurité des Services entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles dont nous avons connaissance, conformément à la loi applicable (« Violation de la Sécurité »). Mews s'efforcera raisonnablement d'identifier la cause de cette Violation de la Sécurité et de prendre les mesures nécessaires et raisonnables, et qui sont acceptables pour le Partenaire, afin de remédier à la cause de cette Violation de la Sécurité, dans la mesure où la remise en état est sous le contrôle raisonnable de Mews. Les obligations des présentes ne s'appliquent pas aux incidents causés par le Partenaire. 

3.5 Absence de reconnaissance  
Le Partenaire reconnaît que l'obligation de Mews de notifier la Violation de la Sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par Mews d'une faute ou d'une responsabilité de Mews en ce qui concerne cette Violation de la Sécurité. 
 
3.6 Restitution et Suppression des Données  
Sous réserve des limitations prévues par les lois applicables, Mews restituera au Partenaire toutes les Données Personnelles restantes (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures standardisées et dans des délais raisonnables au regard des usages du commerce. 
 
3.7 Conformité de Mews  
Mews doit se conformer à la Règlementation sur la Protection des Données applicable à ses propres opérations et à la fourniture des Services dans le cadre de l'Accord, ainsi qu'à ses obligations dans le cadre de la présente Annexe. 
 
3.8 Partage des données  
En permettant ou en acceptant le partage de données au sein du Compte Mews avec un tiers, le Partenaire mandate Mews conformément à l'Art. 28 (3)a) du RGPD aux fins de donner accès à toutes les Données Personnelles et à toutes les autres données traitées dans le Compte Mews du Partenaire à cette tierce partie. Le Partenaire est responsable de l'obtention de tous les consentements nécessaires des Personnes Concernées ou de tout autre tierce partie dans le cadre du partage des données, comme l'exige la Réglementation sur la Protection des Données. Le Partenaire s'engage à totalement indemniser, défendre et dégager Mews et ses Affiliés de toute responsabilité en cas de réclamation de la Personne Concernée ou d'un tiers, résultant de la violation de cet article, y compris pour toutes les responsabilités, les dommages, les pertes, les coûts et les dépenses. 
 
3.9 Intégrations 
La Plateforme Mews propose plusieurs intégrations. En se connectant ou en souscrivant à l'intégration respective via le Compte Mews, le Partenaire mandate Mews, conformément à l'Art. 28 (3)a) du RGPD aux fins de fournir l'accès aux Données Personnelles traitées au sein du Compte Mews du Partenaire au partenaire d'intégration en cause comme requis pour l'interopérabilité des services ou produits du partenaire d'intégration avec les Services Mews. 
 
3.10 Audit  
Le Partenaire aura le droit d'effectuer un audit pour vérifier que Mews se conforme à ses obligations énoncées à l'Art. 28 du RGPD et dans la présente Annexe. Mews autorise le Partenaire à effectuer l’audit dans les conditions suivantes : 
  • le Partenaire demandera à Mews d'effectuer l’audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ;  
  • le Partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (1) ;  
  • l’audit n’aura pas lieu plus d’une fois par an ;  
  • tous les coûts et dépenses y afférents seront supportés par le Partenaire et remboursés à Mews sur demande ; et  
  • la durée de l’audit ne dépassera pas l'équivalent d'une journée de travail (8 heures) du représentant de Mews. 
Dans le cas où le Partenaire demande un audit par l'intermédiaire d'une tierce partie indépendante - un auditeur externe agréé, Mews peut s'opposer à un auditeur externe agréé désigné par le Partenaire pour effectuer l'audit si l'auditeur n'est, selon l’avis raisonnable de Mews, pas suffisamment qualifié ou indépendant, s'il est un concurrent de Mews, ou s'il est manifestement inadapté pour d'autres raisons. Une telle opposition obligera le Partenaire à nommer un autre auditeur. Si le Partenaire a besoin de plus d'un audit au cours d'une année civile, le Partenaire doit obtenir l'autorisation écrite préalable de Mews et supporter les coûts liés à ces audits et rembourser à Mews tous les coûts raisonnablement encourus pour ces audits. À la demande du Partenaire, Mews fournira au Partenaire le coût estimé qu'il s'attend à encourir au cours de l'audit, dans la mesure spécifiée dans l'agenda fourni par le Partenaire. 

4. Le traitement par le Partenaire  

4.1 Traitement par le Partenaire des Données Personnelles  
Dans le cadre de son utilisation des Services, le Partenaire Traitera les Données Personnelles conformément aux exigences de la Règlementation sur la Protection des Données. Pour éviter toute ambiguïté, le Partenaire garantit que ses instructions pour le Traitement des Données Personnelles sont conformes à la Règlementation sur la Protection des Données et qu'il ne donnera pas d'instructions ou d'ordres ordonnant à Mews d'entreprendre une activité ou une conduite illégale ou non conforme à la Règlementation sur la Protection des Données. Le Partenaire sera seul responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles et des moyens par lesquels le Partenaire a acquis ces Données Personnelles. 

4.2 Conformité du Partenaire  
En plus des obligations du Partenaire énoncées dans l'Accord, le Partenaire est responsable (i) de l'intégrité, de la sécurité, de la maintenance et de la protection adéquate des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et règlement applicable en matière de confidentialité, de protection des données et de sécurité en ce qui concerne : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable. 
 
4.3 Notifications 
Le Partenaire s'engage à effectuer toutes les notifications nécessaires auprès des personnes physiques et à obtenir d'elles les consentements et les autorisations requises dans le cadre de la fourniture par Mews de tout Service au Partenaire. Lorsque Mews reçoit une communication décrite au paragraphe 3.4.1 ou 3.4.3 et en notifie le Partenaire, il est de la responsabilité du Partenaire de répondre à cette communication et de prendre toute autre mesure nécessaire à cet égard. Le Partenaire s’engage à notifier immédiatement à Mews toute utilisation non autorisée des Services ou du compte du Partenaire, ou toute autre violation de la sécurité des Services. 
 
4.4 Mesures Techniques et Organisationnelles
Le Partenaire est seul responsable de la mise en œuvre et du maintien de mesures de sécurité et d'autres mesures techniques et organisationnelles en adéquation avec la nature et le volume des Données Personnelles que le Partenaire stocke ou qu'il Traite d'une autre manière en utilisant les Services. Le Partenaire est également responsable de l'utilisation des Services par l'un de ses employés, par toute personne que le Partenaire autorise à accéder ou à utiliser les Services, et par toute personne qui obtient l'accès à ses Données Personnelles ou aux Services du fait de sa défaillance à mettre en place des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le Partenaire. 

4.5 Partage de données avec d’autres Partenaires
Au sein de la Plateforme Mews, le Partenaire peut configurer le(s) Compte(s) Mews comme faisant partie d'un groupe de partage de données avec d'autre(s) compte(s) (le « Groupe »), ce qui signifie en substance que le Partenaire et le(s) Responsable(s) du Traitement de ces autre(s) compte(s) partagent et traitent conjointement les Données Personnelles de leurs Clients (Clients existants et futurs, y compris les Clients intégrés dans le(s) Compte(s) Mews). Le Partenaire est seul responsable de s'assurer que le traitement des Données Personnelles dans le Groupe est conforme à l’intégralité de la Règlementation sur la Protection des Données et que le Partenaire a mis en place des accords adéquats pour assurer le partage des données. 

Le Partenaire reconnaît que la configuration de son/ses Compte(s) Mews comme faisant partie d'un Groupe est irréversible. En paramétrant son/ses Compte(s) Mews en tant que composant d'un Groupe, le Partenaire mandate Mews, en tant que Sous-Traitant, de traiter les Données Personnelles au sein de ce Groupe. Si le Partenaire souhaite se retirer du Groupe, il devra nécessairement créer un nouveau Compte Mews. La configuration du Compte Mews comme faisant partie d’un Groupe étant irréversible, le Partenaire continue à traiter conjointement les Données Personnelles sur son (ses) ancien(s) Compte(s) Mews, à moins que ces Données Personnelles ne soient supprimées du Groupe (cette suppression est soumise à la coopération des autres Partenaires au sein du Groupe et aux coûts qui doivent être remboursés à Mews sur demande). 

5. Coopération 

5.1 Coopération entre le Partenaire et Mews 
Le Partenaire et Mews conviennent de coopérer de manière raisonnable au regard des usages du commerce, dans la mesure où cela est raisonnablement nécessaire pour protéger les Données Personnelles en vertu des lois applicables, des articles 35 et 36 du RGPD pour effectuer une évaluation de l'impact sur la protection des Données Personnelles de l'utilisation des Services par le Partenaire, dans la mesure où le Partenaire n'a pas autrement accès aux informations adéquates, et dans la mesure où ces informations sont à la disposition de Mews. Le Partenaire doit coopérer avec Mews dans le cadre d'une enquête raisonnable sur les interruptions de Service, les problèmes de sécurité et toute suspicion de Violation de la Sécurité. Le Partenaire doit fournir une assistance raisonnable à Mews dans le cadre de la coopération ou de la consultation préalable de l'Autorité de Contrôle dans l'exécution de ses tâches liées au présent paragraphe, dans la mesure où cela est requis en vertu du RGPD ou de la loi applicable. 
 
5.2 Accompagnement de Mews concernant les Exigences de Conformité du Partenaire
Pendant la durée de l’Accord entre le Partenaire et Mews, le Partenaire peut demander à Mews de l’accompagner dans ses démarches pour se conformer aux obligations du Partenaire en vertu d'une loi ou d’un règlement applicable en matière de protection des données ou de la vie privée, à condition que (i) l’accompagnement demandé soit adéquat aux Services qui prennent en charge le Traitement des Données Personnelles, (ii) l’accompagnement demandé soit raisonnable au regard des usages du commerce et proportionnée à l'objectif de l'exercice pour lequel l’accompagnement de Mews est demandé, et (iii) si Mews Systems convient d'apporter un accompagnement, tous les coûts et dépenses y afférents (y compris le coût du temps de son équipe) seront supportés par le Partenaire et remboursés à Mews sur demande. 

6. Sous-Traitance Subsidiaire 

6.1 En ce qui concerne les tiers ou la sous-traitance du Traitement des Données Personnelles, Mews ne peut autoriser un tiers (Sous-Traitant Subsidiaire) à Traiter les Données Personnelles qu'avec l'accord préalable du Partenaire et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du Sous-Traitant Subsidiaire concernant les Données Personnelles soient substantiellement les mêmes que ceux énoncés dans la présente Annexe, à condition que le contrat du Sous-traitant concernant les Données Personnelles prenne fin automatiquement en cas de résiliation de l'Accord pour quelque raison que ce soit. Aux fins des présentes, les personnes suivantes sont approuvées par le Partenaire en signant la présente Annexe : (i) les Sous-Traitants Subsidiaires énumérés à l'Annexe III des présentes, (ii) les Affiliés de Mews et (iii) tout Sous-Traitant Subsidiaire autorisé par le Partenaire par l'intermédiaire de son Utilisateur Autorisé en autorisant une intégration avec les Services Mews via le compte Mews ou d'une autre manière. Mews peut, pendant la durée de l'accord, impliquer de nouveaux Sous-Traitants Subsidiaires dans le Traitement, à condition que ces Sous-Traitants Subsidiaires n'accèdent aux Données Personnelles et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui leur sont sous-traitées. 
 
6.2Droit d’Opposition pour les Nouveaux Sous-Traitants Subsidiaires  
Le Partenaire peut s'opposer à l'utilisation par Mews d'un nouveau Sous-Traitant Subsidiaire en notifiant sans délai à Mews par écrit dans les dix (10) jours ouvrables suivant la réception de la notification de Mews et en précisant les manquements. Si le Partenaire s'oppose à un nouveau Sous-Traitant Subsidiaire, Mews s'efforcera d'ajouter des garanties supplémentaires (couvrant les manquements spécifiés) ou de changer le Sous-Traitant Subsidiaire (par rapport au Sous-Traitant Subsidiaire) ; si Mews Systems n'est pas en mesure de le faire, Mews fera ses meilleurs efforts pour mettre à la disposition du Partenaire une modification des Services ou recommander une modification raisonnable au regard des usages du commerce  de la configuration ou de l'utilisation des Services par le Partenaire afin d'éviter le Traitement des Données Personnelles par le nouveau Sous-Traitant Subsidiaire auquel il s'est opposé, sans imposer une charge excessive au Partenaire. Si Mews n'est pas en mesure de proposer une telle modification dans un délai raisonnable, qui ne peut excéder trente (30) jours, le Partenaire peut résilier la seule partie des Services qui ne peut être fournie par Mews sans avoir besoin du nouveau Sous-Traitant Subsidiaire auquel il s'est opposé, en adressant une notification écrite à Mews. Mews remboursera au Partenaire tous les frais payés d'avance couvrant le reste de la durée de l’Accord après la date effective de résiliation en ce qui concerne la partie des Services résiliée, ce qui constitue le seul et unique recours du Partenaire en ce qui concerne le remplacement du nouveau Sous-Traitant Subsidiaire. 
 
6.3 Responsabilité
Mews est responsable des actes et omissions de ses Sous-Traitants Subsidiaires de la même manière que Mews serait responsable si Mews fournissait les Services de chaque Sous-Traitant Subsidiaire directement selon les termes de la présente Annexe, sauf disposition contraire de l'Accord.

7. Transfert de données  

7.1 Transfert de Données  
Les Parties reconnaissent que les Données Personnelles peuvent être transférées de l'Union européenne/de l'Espace Economique Européen vers un pays tiers, uniquement si l'une des conditions suivantes est remplie : (a) il existe une décision en vigueur de la Commission Européenne indiquant que le pays tiers assure un niveau de protection adéquat ; ou (b) le transfert peut avoir lieu parce que Mews a fourni des garanties suffisantes conformément à l'Art. 46 du RGPD, et à condition que les Personnes Concernées disposent de droits exécutoires et de voies de recours effectives ; ou (c) les dérogations prévues pour des situations spécifiques en vertu de l'Art. 49 du RGPD s'appliquent. 
 
7.2 Clauses contractuelles types  
Aux fins de l'Art. 7.1 (b) de la présente Annexe, les Parties conviennent que les Clauses Contractuelles Types sont considérées comme des garanties suffisantes. 

Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace Economique Européen, les Clauses Contractuelles Types sont incorporées par référence à la présente Annexe et en font partie intégrante comme indiqué ci-après : 
 
7.2.1. Pour les besoins des Données Personnelles soumises à la Règlementations Européennes sur la Protection des Données (« Données de l'UE ») : 

(i) Lorsque le Partenaire est Responsable du Traitement, le Module Deux (Responsable du Traitement vers Sous-Traitant) des CCT s'appliquera, lorsque le Partenaire est Responsable du Traitement, le Module Trois (Sous-Traitant vers Sous-Traitant Subsidiaire) des CCT s'appliquera ; 

(ii) à l’Article 9, l'Option 2 s'appliquera et le délai de notification préalable des changements de Sous-Traitants Subsidiaires sera celui prévu à l’Article 6 (Sous-Traitance Subsidiaire) de la présente Annexe ; 

(iii) à l’Article 11, la langue facultative ne s’appliquera pas ; 

(iv) à l’Article 17, l'Option 1 s'appliquera et les CCT de l'UE seront régies par le droit néerlandais ; 

(v) à l’Article 18(b), les différends seront portés devant les tribunaux des Pays-Bas ; 

(vi) l'Annexe I des CCT est réputée complétée par les informations figurant à l'Annexe I de la présente Annexe ; l'Annexe II des CCT est réputée complétée par les informations figurant à l'Annexe II de la présente Annexe ; 
 
7.2.2. Le transfert de Données Personnelles soumises aux Lois Britanniques sur la Protection des Données (« Données Britanniques ») est régi par l'Annexe IV - Annexe Britannique aux CCT. 

8. Communication 

8.1 Le Partenaire accepte que tout Utilisateur Autorisé du Partenaire puisse être contacté et soit habilité à recevoir toute communication relative à la présente Annexe. 

9. CCPA

9.1 Mews reconnaît qu'il agit en tant que Fournisseur de Services en ce qui concerne les Informations Personnelles des Partenaires qu'il traite en vertu des présentes. 
 
9.2 Sauf disposition contraire de la loi applicable ou accord exprès entre les Parties, Mews ne doit pas : 
  • vendre les Informations Personnelles des Partenaires ; 
  • conserver, utiliser ou divulguer les Informations Personnelles du Partenaire à des fins autres que l'objectif spécifique de l'exécution des Services conformément à l'Accord ; 
  • conserver, utiliser ou divulguer les Informations Personnelles du Partenaire à des fins commerciales autres que celles spécifiées dans l'Accord ; ou 
  • conserver, utiliser ou divulguer les Informations Personnelles du Partenaire en dehors de la relation commerciale directe entre Mews et le Partenaire. 
9.3 Mews certifie qu'elle comprend et qu’elle sera en conformité avec les responsabilités et les restrictions imposées par la présente Annexe, le CCPA et les autres lois et règlements applicables en matière de protection des données. 
 
9.4 Au titre de cet Article 9 :  
9.4.1 « CCPA » signifie California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs), §§1798.100 et suivants du Code Civil de Californie, y compris tout amendement et règlement d'application entrant en vigueur à compter ou postérieurement la date d'entrée en vigueur de la présente Annexe; et 
 
9.4.2 « Informations Personnelles du Partenaire » signifie toutes les données du Partenaire qui comprennent des « informations personnelles » telles que définies dans le CCPA ; 
 
9.4.3 « Fournisseur de Services » a la signification donnée au Paragraphe 1798.140(v) du CCPA. 

10. Articles spécifiques au marché américain

10.1 Le présent article 10 ne s'applique que si la Partie contractante à l'Accord est Mews dont le siège social est situé aux États-Unis.  
 
10.2 COPPA 
La protection de la vie privée des enfants est extrêmement importante. Le Children's Online Privacy and Protection Act (« COPPA ») exige que les fournisseurs de services en ligne obtiennent le consentement des parents avant de collecter sciemment des informations personnelles identifiables en ligne auprès d'enfants de moins de 13 ans aux États-Unis. Mews tient compte du rôle des parents ou des tuteurs dans la surveillance des activités en ligne de leurs enfants. En conséquence, Mews limite la collecte d'informations personnelles auprès des enfants à ce qui est raisonnablement nécessaire pour participer aux Services et les faire évoluer. Mews ne recueille pas de Données Personnelles auprès des enfants en dehors de ce qui est prévu dans l'Accord. Mews se réserve le droit de refuser de Traiter les données fournies par le Partenaire en violation du présent Article 10.2. 

10.3 Utilisation des données du Partenaire par des Tiers  
Sauf disposition contraire, toutes les données fournies à Mews par le Partenaire sont des Informations Confidentielles et Mews n'utilisera aucune donnée à d'autres fins que l'exercice de ses droits et l'exécution de ses obligations dans le cadre de la réalisation des Services. Le Partenaire reconnaît qu'afin d'exécuter correctement les Services, les informations confiées à Mews par le Partenaire seront mises à la disposition de tiers afin de permettre l'exécution des Services. Le Partenaire reconnaît que ces tiers ne sont pas des représentants de Mews et que Mews n'est pas responsable des actes et omissions de ces tiers. Mews exige des tiers auxquels les Données Personnelles du Partenaire sont mises à disposition qu'ils appliquent le même niveau de protection de la vie privée que celui défini dans la présente Annexe et que celui exigé par les lois applicables. La façon dont les données des Partenaires peuvent être utilisées est couverte par la Politique de Confidentialité de Mews, disponible à l'adresse https://app.mews.com/Platform/Document/PrivacyPolicy. 

11. Dispositions finales 

11.1 Tiers Bénéficiaires  
Les Personnes Concernées sont les seuls tiers bénéficiaires des CCT, et il n'y a pas d'autres tiers bénéficiaires de l'Accord et de la présente Annexe. Nonobstant ce qui précède, l'Accord et les termes de la présente Annexe ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du Partenaire, à un utilisateur final du Partenaire ou à une Personne Concernée tierce. 
 
11.2 Loi Applicable  
Aucune disposition de la présente Annexe ne modifie le paragraphe « Loi Applicable » de l'Accord qui, pour éviter toute ambiguïté, régit toutes les actions introduites dans le cadre de l'Accord et de la présente Annexe. 
 
11.3 Limitation de Responsabilité  
Les recours du Partenaire, y compris ceux de ses Affiliés, et la responsabilité de Mews, découlant de ou liés à la présente Annexe et aux CCT seront soumis aux limitations de responsabilité et aux clauses élusives de responsabilité énoncées dans l'Accord ou, si aucune limitation de responsabilité n'est stipulée dans l'Accord, les Parties conviennent et déclarent que la perte totale pouvant résulter de la violation de la présente Annexes et/ou des CCT n'excédera pas dix mille euros. 
 
11.4 Durée 
Après la résiliation de l'Accord, la présente Annexe restera en vigueur jusqu'à ce que Mews cesse de traiter les Données Personnelles pour le compte du Partenaire. 
 
11.5 Résiliation 
Mews peut résilier la présente Annexe si Mews propose au Partenaire des solutions alternatives conformes avec les obligations des lois applicables en matière de confidentialité des données. 
 
11.6 Exemplaires 
La présente Annexe peut être signée en plusieurs exemplaires qui, ensemble, seront réputés constituer un seul original. 

Annexe I 

Liste des Parties 
  • Exportateur de données 
    L’exportateur de données est le Partenaire  
  • Importateur de données 
    L’importateur de données est Mews  
Description du Transfert  
 
Catégories de données des personnes concernées
Les données personnelles transférées peuvent concerner des personnes au sujet desquelles des données personnelles sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés par Mews, qui comprennent généralement des personnes (Hôtes ou prospects) utilisant les services du Partenaire. 
 
Catégories de données 
Les données personnelles transférées concernent les catégories de données suivantes : les données des Hôtes contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, le courriel et l'adresse, les numéros de carte d’identité et/ou de passeport, les détails de paiement, les préférences des Hôtes, les informations sur les services des Partenaires et les données limitées de connexion et de localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre des Services de Mews (fournis par le sous-traitant subsidiaire/importateur en cause). 
 
Données sensibles  
Les données sensibles telles que les handicaps et les régimes alimentaires peuvent être transférées si les personnes concernées décident de partager des informations de cette nature. Les mesures techniques et organisationnelles prévues à l'Annexe II s'appliquent. 
 
Opérations de traitement 
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes : Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. Le Partenaire doit prendre des précautions raisonnables en matière de sécurité dans le cadre de son utilisation des services, y compris en cryptant de manière adéquate toutes les données personnelles stockées ou transmises par le système hébergé. 
 
Fréquence du transfert 
 
Continu  

Nature et objet du traitement  
le stockage (hébergement) et les autres traitements nécessaires pour fournir, maintenir et améliorer les Services fournis au Partenaire dans le cadre de l’Accord,  l'assistance à la clientèle fournie au Partenaire au cas par cas,  les divulgations conformément à l'Accord, dans la mesure où la loi l'exige, et  la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction. 
 
Durée du Traitement 
Déterminée 
 
Finalité(s) du transfert et du traitement ultérieur des données 

(i) Le traitement aux fins de fournir, maintenir, assister et améliorer les Services fournis au Partenaire conformément à l'Accord ;  

(ii) Le traitement initié par les Utilisateurs dans le cadre de leur utilisation des Services ; et  

(iii) Le traitement pour se conformer à d'autres instructions documentées et raisonnables fournies par le Partenaire (par exemple par courriel) lorsque ces instructions sont compatibles avec les termes de l'Accord (y compris la présente Annexe).  
 
Autorité de contrôle compétente 
 
En ce qui concerne les Données de l'UE, l'autorité de contrôle compétente est l'Autorité de Protection des Données Néerlandaise (« APD Néerlandaise »). 

Annexe II – Mesures Techniques et Organisationnelles 

Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification adéquate) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. L'importateur de données met en œuvre des mesures de sécurité équivalentes à celles requises en vertu de l'Accord, de la présente Annexe et de tout document accessoire conclu conformément à l'Accord. Les mesures de sécurité mises en œuvre sont disponibles ici : https://www.mews.com/en/platform-documentation#security 


Annexe III – Sous-Traitants Subsidiaires Agréés  

La liste des sous-traitants subsidiaires agréés de Mews est disponible à l'adresse suivante : https://www.mews.com/en/platform-documentation#subprocessors 


Annexe IV - Annexe Britannique aux CCT 

Date de la présente Annexe  
  • Cette Annexe Britannique entre en vigueur à compter de : la même date que l'Accord
Contexte  

Interprétation de cet Annexe Britannique  
  • Lorsque la présente Annexe Britannique utilise des termes qui sont définis dans les CCT, ces termes ont la même signification que dans les CCT. 
  • La présente Annexe Britannique doit être lue et interprétée à la lumière des dispositions des Lois Britanniques sur la Protection des Données, et de manière à ce qu'elle réponde à la nécessité de fournir les garanties adéquates requises par l'Article 46 (2) (d) du RGPD Britannique. 
  • Si les dispositions incluses dans la présente Annexe Britannique modifient les CCT d'une manière qui n'est pas autorisée par les CCT ou le modèle d’annexe publié par le Commissaire à l'Information (ci-après « Annexe Britannique Approuvée »), de telles modifications ne seront pas reprises dans la présente Annexe Britannique et la disposition équivalente des CCT les remplacera. 
  • En cas d'incohérence ou de conflit entre les Lois Britanniques sur la Protection des Données et la présente Annexe Britannique, les Lois Britanniques sur la Protection des Données s'appliquent. 
  • Si la signification de la présente Annexe Britannique n'est pas claire ou s'il existe plusieurs significations, c'est celle qui est la plus conforme aux Lois Britanniques sur la Protection des Données qui s'applique. 
  • Toute référence à la législation (ou à des dispositions spécifiques de la législation) signifie cette législation (ou cette disposition spécifique) telle qu'elle peut évoluer dans le temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réadoptée et/ou remplacée après la conclusion de la présente Annexe Britannique. 
Hiérarchie  
  • Bien que l’Article 5 des CCT prévoit que les CCT prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour le transfert des Données Britanniques, la hiérarchie de cet article prévaut. En cas d'incohérence ou de conflit entre l’Annexe Britannique Approuvée et les CCT telles que reprises dans le présent document, l’Annexe Britannique Approuvé prévaut sur les CCT telles que reprises au sein des présentes, sauf si (et dans la mesure où) les termes incohérents ou conflictuels des CTT telles que repris au sein des présentes offrent une plus grande protection aux personnes concernées, auquel cas ces termes prévaudront sur la présente Annexe Britannique. Lorsque la présente Annexe Britannique reprend des CCT qui ont été conclus pour protéger les transferts soumis au RGPD, les Parties reconnaissent que rien dans la présente Annexe Britannique n'a d'incidence sur les CCT qui y sont reprises. 
Reprises des CCT  
 
La présente Annexe Britannique reprend les CCT qui sont modifiées dans la mesure nécessaire pour que :  
  • elles s'appliquent conjointement aux transferts de données effectués par l'exportateur de données à l'importateur de données, dans la mesure où les Lois Britanniques sur la Protection des Données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert ; et 
  • elles fournissent des garanties adéquates pour les transferts conformément à l'Article 46 (2) (d), des Lois Britanniques relatives au RGPD. 
  • lorsque le Partenaire est Responsable du Traitement, le Module Deux (Responsable du Traitement à Sous-Traitant) des CCT s'applique, lorsque le Partenaire est Responsable du Traitement, le Module Trois (Responsable du Traitement à Sous-Traitant Subsidiaire) des CCT s'applique ; 
  • dans l’Article 9 des CCT, l'Option 2 s'appliquera, et le délai de notification préalable des changements de Sous-Traitant Subsidiaire sera celui prévu à l’Article 6 (Sous-Traitance Subsidiaire) des présentes ; 
  • dans l’Article 11 des CCT, la langue facultative ne s’appliquera pas ;  
  • l’Article 2 des CCT s'appliquera sans la mention « et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, les clauses contractuelles types conformément à l'Article 28 (7) du Règlement (UE) 2016/679 ». 
  • L’Article 6 des CCT sur la Description du/des transfert(s) est remplacée par ce qui suit : « Les informations du/des transfert(s) (en particulier les catégories de données personnelles qui sont transférées et le/les objectif(s) pour lesquelles elles sont transférées) sont ceux spécifiés à l'Annexe I.B de l’Annexe lorsque les Lois Britanniques sur la Protection des Données s'appliquent au traitement par l'exportateur de données lors de ce transfert ». 
  • L’Article 8.7(i) du Module 1 des CCT est remplacé par ce qui suit : « c'est vers un pays bénéficiant de la réglementation d'adéquation en vertu du paragraphe 17A du RGPD Britannique qui couvre le transfert ultérieur ». 
  • L’Article 8.8 (i) des Modules 2 et 3 des CCT est remplacé par ce qui suit : « le transfert ultérieur est effectué vers un pays bénéficiant de la réglementation d'adéquation conformément au paragraphe 17A du RGPD Britannique qui couvre le transfert ultérieur ». 
  • L'Annexe I des CCT est réputée complétée par les informations figurant à l'Annexe I de la présente Annexe ; l'Annexe II des CCT est réputée complétée par les informations figurant à l'Annexe II de l’Annexe ; l'Annexe III des CCT est réputée complétée par les informations figurant à l’Annexe III de la présente Annexe ; 
  • les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données)" et à « ce Règlement » sont toutes remplacées par les « Lois Britanniques sur la Protection des Données ». Les références à des Articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l'Article ou le paragraphe équivalent des Lois Britanniques sur la Protection des Données ; 
  • les références au Règlement (UE) 2018/1725 sont supprimées. 
  • les références à l’« Union européenne », à l' « Union », à l’« UE », à l'« État membre de l'UE », à l'« État membre » et à l'« UE ou l'État membre » sont toutes remplacées par le « Royaume-Uni » ; 
  • la référence à « l’Article 12(c)(i)" de l’Article 10(b)(i) du Module un des CCT est remplacée par la « l’Article 11(c)(i) des CCT » ; 
  • l’Article 13 (a) des CCT et la Partie C de l'Annexe II des CCT ne sont pas utilisées ; 
  • l’« autorité de contrôle compétente » et « autorité de contrôle » sont toutes deux remplacées par le Commissaire à l'Information ; 
  • l’Article 16(e), le sous-paragraphe (i) des CCT est remplacé par ce qui suit : « le Secrétaire d'État établit des règlements conformément au Paragraphe 17A de la Loi sur la Protection des Données de 2018 qui portent sur le transfert de données personnelles auquel ces articles s'appliquent » ; 
  • L’Article 17 des CCT est remplacée par ce qui suit : « Les présentes CCT sont régies par les lois de l'Angleterre et du Pays de Galles ». 
  • L’Article 18 des CCT est remplacé par ce qui suit : « Tout différend découlant des présentes CCT sera soumis aux tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux". 
  • les notes de bas de page des CCT ne font pas partie de l’Annexe Britannique, à l'exception des notes de bas de page 8, 9, 10 et 11. 
  • Si le Commissaire à l'Information publie une version révisée de l’Annexe Britannique Approuvé, la présente Annexe Britannique est automatiquement modifiée comme indiqué dans l’Annexe Britannique Approuvé révisée à compter de la date d'entrée en vigueur qui y est spécifiée, à moins que les parties n'en conviennent autrement.