- (a) Les deux Parties reconnaissent qu'elles ont l'intention de se baser sur les rapports de sécurité visés à la section 3.7 ci-dessus pour vérifier la conformité de RingCentral au présent DPA.
- (b) De plus, à la demande du Client, mais pas plus d'une fois au cours de chaque période de douze (12) mois, RingCentral remplira un questionnaire sur le programme de sécurité de l'information fourni par le Client, dont la portée est limitée aux services/environnements réels liés aux Services fournis au Client (" Examen de la sécurité ").
- (c) Après l'examen par le Client du rapport d'audit ou d'une attestation similaire de RingCentral, et du questionnaire de sécurité de l'information rempli (y compris les modifications introduites par RingCentral pour combler les lacunes), si, dans la mesure requise par les Lois Applicables en matière de Protection des Données, des informations supplémentaires sont raisonnablement nécessaires pour démontrer le respect des obligations de RingCentral conformément aux Lois Applicables en matière de Protection des Données et au présent DPA, Le Client peut demander par écrit d'effectuer un audit (y compris des inspections) de RingCentral conformément à la procédure de demande d'audit ci-dessous, au maximum une fois par période de douze (12) mois, sauf si une autorité de surveillance exige spécifiquement qu'un audit soit effectué sur RingCentral ou en réponse à un Incident de Sécurité.
- (d) Afin d'exercer son droit d'audit conformément à la présente section, le Client doit fournir à RingCentral une demande écrite et détaillée, comprenant l'explication des lacunes dans les rapports d'audit fournis par RingCentral et dans l'examen de sécurité qui rendent l'audit nécessaire pour démontrer la conformité de RingCentral au présent DPA ou aux Lois Applicables en matière de Protection des Données.
- (e) L'audit peut être effectué par le Client ou par un tiers (ce tiers étant soumis à de strictes obligations de confidentialité, y compris l'exigence que les auditeurs individuels désignés n'aient pas effectué d'audits de l'un des concurrents de RingCentral au cours des douze (12) mois précédents et qu'il leur soit interdit d'effectuer de tels audits dans les douze (12) mois suivant l'audit de RingCentral) uniquement aux frais du Client. RingCentral peut s'opposer par écrit à l'audit d'un tiers si celui-ci, de l'avis raisonnable de RingCentral, n'est pas suffisamment qualifié ou indépendant, s'il est un concurrent de RingCentral ou s'il est manifestement inapproprié de toute autre manière. Toute objection de ce type de la part de RingCentral obligera le Client à désigner un autre auditeur ou à effectuer lui-même l'audit.
- (f) RingCentral et le Client conviendront à l'avance de l'étendue et du calendrier de l'audit, qui ne pourra pas avoir lieu avant un minimum de trente (30) jours à compter de la date de la demande écrite prévue au paragraphe 3.8 (d), afin de protéger les Informations confidentielles et propres à RingCentral et aux autres Parties, de minimiser la perturbation des activités de RingCentral, de limiter l'étendue aux services/environnements réels liés aux Services fournis au Client, et de convenir d'une durée raisonnable de l'audit.
- (g) L'exécution de l'audit aura lieu pendant les heures normales de travail du personnel de RingCentral concerné et les Parties conviennent que RingCentral mettra à la disposition du client des documents qu'il pourra examiner, mais qu'il ne pourra pas conserver. RingCentral peut facturer des frais raisonnables pour les coûts encourus dans le cadre d'un tel audit, sur la base des tarifs de services professionnels de RingCentral, à moins que l'audit ne révèle une violation importante de la part de RingCentral. RingCentral fournira au client les détails de tous les frais applicables, ainsi que la base de leur calcul, avant la réalisation d'un tel audit.
- (h) Toutes les informations fournies ou mises à la disposition du client conformément à la présente section sont considérées comme des Informations Confidentielles de RingCentral. Coopération et Droits des Personnes Concernées. Il est de la responsabilité du Client de répondre à toute demande des personnes concernées. Certains des Services de RingCentral peuvent fournir des moyens techniques directs permettant au Client de remplir ses obligations de répondre aux demandes des personnes concernées en vertu des Lois Applicables en matière de Protection des Données. Si le Client n'est pas en mesure de répondre à la demande de la personne concernée par le biais de ces moyens techniques, ou lorsque cette fonctionnalité n'est pas disponible, RingCentral fournira, en tenant compte de la nature du traitement, une assistance raisonnable au Client, afin de lui permettre de répondre aux demandes des personnes concernées. Dans le cas où une telle demande est faite directement à RingCentral, RingCentral invitera rapidement la personne concernée à contacter le Client.
Annexe A
DESCRIPTION DU TRAITEMENT
Finalité du Traitement
Les activités de traitement effectuées par RingCentral ont pour but de fournir l'un des services suivants :
1. Services de communication et de collaboration dans le cloud pour des communications vocales haute définitions, la vidéo, les SMS, la messagerie et la collaboration par chat, les conférences audio et video et le fax;
2. Centre de contact et plateforme de gestion de la communication Client omni-channel qui unifie tou s les canaux de communication en contact avec le Client, y compris la voix, les e-mails, les SMS, le site Web, les applications mobiles, le chat et les communications sur les médias sociaux, sur une plateforme unique, permettant des réponses communautaires aux demandes de service client ;
3. Services d’événements et de présentations virtuels;
4. Services d’assistance (professional services);
5. Tout autre service prévu au Contrat, à moins qu'il ne soit régi par des dispositions spécifiques en matière de protection des données ;
tels que ces services sont décrits au Contrat,
ci-après dénommés collectivement (les "Services").
Les Services peuvent inclure des tableaux de bord fournissant diverses mesures et informations sur les communications des clients, dont certaines sont basées sur une plateforme d'intelligence conversationnelle faisant appel à l'intelligence artificielle.
Personnes Concernées
Le traitement des données a un impact sur les catégories de personnes suivantes :
- Les employés du Client et les utilisateurs autorisés qui utilisent les Services dans le cadre de l'activité du Client.
- Toute autre personne physique qui est impliquée ou mentionnée dans le contenu des communications ou des collaborations ayant lieu à travers l'utilisation des Services par le Client.
Données Personnelles du Client
En fonction des Services, les catégories de Données Personnelles du Client traitées peuvent inclure, notamment :
- Les données de compte de service qui peuvent comprendre l'un des éléments suivants : nom ; numéro de téléphone ; adresse électronique ; adresse physique ; titre ; rôle ; informations de profil ; paramètres d'application, identifiants de connexion (identifiant, connexion, compte, mots de passe) ;
- Les données d'utilisation qui peuvent comprendre l'un des éléments suivants : informations sur l'appareil (telles que l'adresse IP, le FAI, le type d'appareil et de système d'exploitation, le système d'exploitation et la version du client, la version du client, le type de microphone ou de haut-parleurs, le type de connexion et les informations connexes, etc.) ; type de connexion et informations connexes (par exemple, connexion par Wifi) ; journaux du système, y compris les journaux d'utilisation, les journaux du backend, les journaux du client ; identifiants de cookies ; métadonnées de communication, y compris les enregistrements détaillés des appels (CDR) et les données relatives au trafic ;
- Le contenu généré par l'utilisateur, qui peut comprendre l'un des éléments suivants : noms ou numéros de téléphone des participants ; messages de chat ; texte des télécopies entrantes et sortantes ; messages vocaux ; texte des SMS entrants et sortants ; notes de réunion ; flux audio/vidéo en transit ; enregistrements de réunions ou d'appels ; contenu des interactions avec le centre de contact (p. ex, ) ; transcriptions d'appels ou de réunions enregistrés ; résumés d'appels ou de réunions enregistrés ; historique des réunions ; fichiers, images et liens partagés ; pièces jointes aux messages, telles que notes, tâches, événements, extraits de code et .gifs ; créations de dossiers ; historique des recherches ; présence en ligne et messages d'état ; retour d'information de l'utilisateur ;Toutes autres Données Personnelles du Client qui peuvent être nécessaires à RingCentral pour fournir les Services tels que décrits au Contrat.
Catégories Particulières de Données Personnelles du Client
Les Services ne sont pas conçus pour reconnaître et/ou classer les données comme des catégories particulières de données ou des données sensibles (telles que définies dans le GDPR ou dans d'autres Lois Applicables en matière de Protection des Données), ni comme des Données Personnelles concernant des enfants ou des mineurs, ou liées à des condamnations pénales et des infractions. Dans la mesure où le Client traite des catégories particulières de Données Personnelles, il s'engage à traiter cette catégorie de Données Personnelles de manière licite, et en particulier à s'appuyer sur une base juridique valable conformément aux Lois Applicables en matière de Protection des Données.
Opérations de Traitement
RingCentral traite les Données Personnelles du Client dans le but de fournir et de maintenir les Services auxquels le Client a souscrit, y compris tout service auxiliaire ou connexe dans le cadre du Contrat, ce qui peut inclure, notamment la collecte, le stockage, la transmission, l'enregistrement, la transcription, la publication, l'affichage, l'extraction, la consultation, la combinaison, la structuration et l'adaptation.
Durée du Traitement
Les Données Personnelles du Client seront traitées pendant la durée du Contrat, ou tel que requis par la loi ou convenu entre les Parties.