Accord de Traitement des Données

Les termes en majuscules non définis ici ont le sens donné dans le RGPD ou le RGPD du Royaume-Uni. « Client » désigne l'entité ayant accepté les Conditions de Service de Randvu. « Données personnelles du Client » désigne les données personnelles que Randvu traite pour le compte du Client. « Sous-traitant ultérieur » désigne tout tiers engagé par Randvu pour traiter les Données personnelles du Client.

Le Client est responsable de traitement des Données personnelles du Client. Randvu agit en qualité de sous-traitant et traite les Données personnelles du Client uniquement sur instructions documentées du Client, y compris pour les transferts vers un pays tiers, sauf obligation légale contraire.

Randvu traite les Données personnelles du Client pour fournir le Service décrit dans les Conditions de Service et toute commande. Le traitement couvre la gestion des réservations, les communications, la facturation, le support et l'analytique nécessaire à l'exploitation du Service. Les catégories de personnes concernées incluent le personnel du Client et ses clients/invités. Les catégories de données personnelles incluent identifiants, coordonnées et données liées aux réservations.

Le Client autorise Randvu à recourir à des Sous-traitants ultérieurs pour traiter les Données personnelles du Client, sous réserve de :

• un contrat écrit imposant des obligations de protection des données au moins aussi protectrices que celles du présent DPA ;
• la responsabilité maintenue de Randvu pour les performances de chaque Sous-traitant ultérieur ;
• la tenue par Randvu d'une liste à jour des Sous-traitants ultérieurs et la notification des ajouts ou remplacements, avec une possibilité raisonnable d'objection pour des motifs légitimes de protection des données.

Randvu met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles du Client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, accidentels ou illicites. Les mesures incluent :

• chiffrement en transit et chiffrement au repos pour les champs sensibles ;
• contrôles d'accès et principe du moindre privilège ;
• journalisation, monitoring et revue régulière des événements de sécurité ;
• obligations de confidentialité et formation du personnel à la sécurité ;
• gestion du risque fournisseurs et procédures de réponse aux incidents.

Compte tenu de la nature du traitement, Randvu fournit une aide raisonnable pour permettre au Client de répondre aux demandes des personnes concernées exerçant leurs droits au titre des lois applicables (accès, rectification, effacement, limitation, portabilité et opposition). Si Randvu reçoit une demande directement, elle redirigera la personne concernée vers le Client.

Randvu notifiera le Client sans retard injustifié après avoir pris connaissance d'une Violation de Données Personnelles affectant les Données personnelles du Client et fournira les informations raisonnablement disponibles pour permettre au Client de respecter ses obligations de notification au titre des lois applicables.

Lorsque Randvu transfère les Données personnelles du Client vers un pays hors de l'EEE, du Royaume-Uni ou de la Suisse n'offrant pas un niveau de protection jugé adéquat, les parties s'appuient sur les Clauses contractuelles types ou un autre mécanisme légal de transfert, intégrés au présent DPA par renvoi.

Randvu mettra à disposition du Client les informations nécessaires pour démontrer la conformité au présent DPA. Le Client pourra, à ses frais et au plus une fois par an (sauf exigence d'un régulateur ou suite à une Violation de Données Personnelles), auditer la conformité de Randvu, avec un préavis raisonnable, pendant les heures ouvrables et sous obligation de confidentialité.

À la résiliation ou expiration du Service, Randvu, au choix du Client, supprimera ou restituera les Données personnelles du Client et supprimera les copies existantes, sauf obligation légale de conservation.

Le présent DPA prend effet à l'acceptation des Conditions de Service par le Client et reste en vigueur tant que Randvu traite des Données personnelles pour le compte du Client.