1 - Accord entre les parties

Le présent accord au traitement des données personnelles régit le transfert, la collecte, la suppression et le traitement des données personnelles entre be.care SA (inCORPUS®) et :


Tout client (Client) installant ou utilisant du matériel, des logiciels ou des services inCORPUS® (Services).

Toute personne et/ou entité soumise à un accord pour la fourniture de produits ou de services inCORPUS® (collectivement dénommés "Accord ") au Client et aux Utilisateurs du Client, (be.care SA et le Client seront chacun dénommés "Partie" et collectivement "Parties").

Les Parties conviennent par les présentes des conditions générales suivantes, qui seront en vigueur à la première des dates suivantes :


(i) La date d'entrée en vigueur de l'Accord entre les Parties,


OU


(ii) La date du premier transfert ou de la première divulgation de Données personnelles par le Client ou les Utilisateurs du Client à inCORPUS® ("Date effective ").


2 - Périmètre et rôles

  • Le présent accord s'applique au traitement des Données à caractère personnel, dans le cadre du Règlement Général sur la Protection des Données (RGPD), par le Responsable pour le compte du Client.
  • Aux fins du présent accord, [Nom du client] et be.care SA conviennent que [Nom du Client] est le Responsable de traitement et que be.care SA est le Sous-traitant. Dans le cas où [Nom du responsable] agit en tant que Responsable du traitement des données personnelles pour le compte d'un tiers, be.care SA est considéré comme un Sous-traitant.
  • Les présentes Conditions ne s'appliquent pas lorsque be.care SA est un Responsable de traitement.

3 - Définitions

Aux fins du présent accord, les définitions suivantes s'appliquent :

Accord clientLe présent accord de traitement des données.
Responsable de traitementDésigne le Responsable de traitement qui transfère et donne accès à ses données.
A la même signification que celle définie dans le RGPD, et dans ce contexte, est le Client.
UtilisateursSont toutes les personnes physiques qui utilisent ou accèdent aux Services pour le compte ou avec l'autorisation du Client, y compris, mais sans s'y limiter, les employés, les clients, les utilisateurs finaux, les contractants, les étudiants et les enseignants.
RGPDDésigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
Données à caractère personnelDésigne les données, répondant à la définition de "données à caractère personnel "au sens de l'article 4 du RGPD, qui sont fournies par [Nom du Responsable de traitement] à be.care SA afin d'effectuer le traitement tel que défini à la partie IV du présent accord.
Sous-traitantA la même signification que celle définie dans le RGPD, et dans ce contexte, il s'agit de be.care SA.

Les termes utilisés mais non définis dans le présent Accord de traitement des données (par exemple, "traitement", "contrôleur", "processeur", "personne concernée") ont la même signification qu'à l'article 4 du RGPD.

4 - Le traitement

L'objet, la durée, la nature et la finalité du traitement, ainsi que les types de Données à caractère personnel et les catégories de personnes concernées sont définis ci-dessous.

Objet et durée du traitementLes données soumises par le Client seront collectées et traitées par et à travers le produit inCORPUS® durant toute la durée du présent contrat.
Nature et finalité du traitementLa finalité et la nature du traitement de ces données est et demeurera conforme aux dispositions générales indiquées dans nos Conditions générales d’utilisation.
Type de données personnelles et catégories de personnes concernéesMétadonnées des Utilisateurs – telles que le nom, le titre, la photo du profil, les identifiants des joueurs, la position de jeu, l'équipe, la date de naissance, la taille et le poids.

Coordonnées de l'Utilisateur - telles que l'adresse électronique, le téléphone et l'adresse physique.

Mesures de performance (par les électrocardiogrammes) - telles que les intervalles RR, la fréquence cardiaque, le signal accélérométrique...

Évaluations subjectives du Client sur le contexte du checkup

5 - Obligations et droits du Responsable de traitement

  • Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Responsable de traitement de données met en œuvre les mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Ces mesures sont réexaminées et mises à jour si nécessaire.
  • Lorsque cela est proportionné par rapport aux activités de traitement, les mesures visées au paragraphe V.a comprennent la mise en œuvre de politiques de protection des données appropriées par le Responsable de traitement.
  • Le Responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les Données à caractère personnel qui sont nécessaires à chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de Données à caractère personnel collectées, à l'étendue de leur traitement, à la période de leur stockage et à leur accessibilité. En particulier, ces mesures doivent garantir que, par défaut, les Données à caractère personnel ne sont pas rendues accessibles, sans l'intervention de la personne concernée, à un nombre indéfini de personnes physiques.

6 - Obligations du Sous-traitant

Le sous-traitant doit:

  • Traiter les Données à caractère personnel uniquement sur instructions documentées du Responsable de traitement ;
  • S'assurer que les personnes autorisées à traiter les Données Personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
  • Prendre toutes les mesures requises conformément à l'article 32 du RGPD, à savoir mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques, y compris, au minimum, les mesures énoncées à l'annexe 2 du présent Accord;
  • Respecter les conditions visées aux paragraphes 2 et 4 de l'article 28 du RGPD pour engager un autre Processeur, à savoir que le Processeur ne peut engager un autre Processeur (Sous-traitant) sans l'autorisation préalable du Contrôleur. Les Sous-traitants qui sont autorisés par le Responsable de traitement à la date du présent accord sont énumérés à l'annexe 3. Dans les cas où un autre Sous-traitant est engagé, le Sous-traitant doit être soumis aux mêmes conditions contractuelles que celles décrites dans le présent accord;
  • Aider le Responsable de traitement par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l'exécution de l'obligation du Contrôleur de répondre aux demandes d'exercice des droits de la personne concernée prévues au chapitre III du RGPD;
  • Aider le Client à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD, relatives à la sécurité du traitement, aux Violations de données personnelles et aux évaluations d'impact sur la protection des données;
  • Au choix du Client, supprimer ou renvoyer toutes les Données à caractère personnel au Client après la fin de la prestation des services liés au traitement, et supprimer les copies existantes, à moins que le droit applicable n'exige le stockage des Données à caractère personnel;
  • Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, réalisés par le Client ou un autre auditeur mandaté par le Client;

7 - Durée et droit applicable

  • Le présent accord reste en vigueur tant que le Sous-traitant traite des données à caractère personnel pour le compte du Responsable de traitement [ou définit une durée déterminée].
  • Le présent Accord est soumis par le droit Suisse et les Parties acceptent expressément la compétence exclusive des autorités vaudoises, le for juridique étant à Lausanne.