Artboard 1myriad__tick

Politiques de Confidentialité

La présente annexe détaille l’ensemble des obligations qui s’appliquent à tout traitement de données à caractère personnel reçues du Client opéré par Myriad conformément au RGPD ou toute autre législation applicable sur le Territoire.

Les Parties reconnaissent que, pour les traitements des données à caractère personnel effectués dans le cadre des Services, le Client agit en tant que responsable de traitement et Myriad agit en tant que sous-traitant du Client.

Dans ce contexte, les traitements de données à caractère personnel du Client effectués par Myriad sont décrits ci-dessous :

• Nature du ou des traitements : service messagerie et/ou authentification décrit dans l’annexe Services.
• Finalité(s) du traitement :

o Associer le MSISDN avec information collectée par le MNO telle que l’IMSI et la fournir au Client
o Utiliser le MSIDN pour échanger des messages via canal USSD
o MSISDN, IMSI et messages ne sont pas stockés après traitement

• Catégories de personnes concernées : Utilisateur Final
• Catégories de données à caractère personnel : MSISDN (numéro de téléphone) de l’Utilisateur Final.
• Durée des traitements : pour la durée du Contrat et des Annexes Services concernées.

Myriad s’engage à :

- Ne traiter les données à caractère personnel du Client que pour les seules fins de l'exécution du Contrat et des Annexes Services concernées et, en règle générale, ne traiter les données à caractère personnel du Client que conformément aux instructions documentées reçues du Client ;

- Ce que le personnel autorisé à traiter les données à caractère personnel du Client soit soumis à une obligation de confidentialité ;

- Mettre en œuvre les mesures techniques et organisationnelles appropriées pour se conformer au RGPD ou toute autre législation applicable sur le Territoire et assurer la protection des droits des personnes concernées, et plus particulièrement protéger les données à caractère personnel du Client contre la destruction accidentelle ou illicite, la perte accidentelle, la modification, la divulgation ou l'accès non autorisé ;

- Notifier l'existence d'une violation de données au Client par écrit dans les meilleurs délais, et au plus tard dans les soixante-douze (72) heures après en avoir eu connaissance, et fournir au Client l'assistance et la coopération raisonnablement nécessaires pour faire cesser cette violation, réparer les dommages causés, notifier la violation aux autorités compétentes et communiquer la violation aux personnes concernées si nécessaire ;

- Tenir une liste précise des sous-traitants intervenant dans le cadre de la réalisation des Services et notifier au Client tout changement prévu, notamment l’ajout ou le remplacement de sous-traitant, avant la réalisation d’un tel changement, étant précisé que le Client pourra s’opposer à l’intervention de ces nouveaux sous-traitants et que l’opération de sous-traitance ne pourra intervenir qu’en l’absence d’opposition du Client dans un délai de quinze (15) jours suivant la notification du changement par Myriad. La liste à jour des sous-traitants autorisés à intervenir à la date de la signature du Contrat figure ci-après :

o Amazon Web Services (AWS),
o MNOs,

- Répondre, dans les meilleurs délais et au plus tard dans les quinze (15) jours ouvrables, à toute demande du Client concernant des données à caractère personnel du Client traitées afin de permettre au Client de prendre en considération, en temps utile, toute demande ou réclamation de la personne concernée ou de tiers (y compris d'une autorité de contrôle) ;

- Notifier, dans les meilleurs délais et au plus tard dans les quinze (15) jours ouvrables, le Client de toute demande ou réclamation de la personne concernée ou de tiers concernant le traitement des données à caractère personnel que le sous-traitant ultérieur reçoit directement ;

- Renvoyer au Client toutes les données à caractère personnel du Client ainsi que tout support fourni par le Client contenant ces données à la fin des services du Contrat et des Annexes Services concernées, Myriad ne conservera aucune partie, copie ou duplication des données à caractère personnel, sauf à des fins de conservation en application de toute règlementation applicable ;

- Informer le Client de tout transfert des données à caractère personnel du Client en dehors de l'Union européenne, le Client consentant expressément à ce que Myriad et/ou ses éventuels sous-traitants transfèrent des données à caractère personnel en dehors de l'Union européenne. Myriad s’engage en outre à prendre toutes les garanties appropriées visant à assurer la protection des données à caractère personnel du Client en application du RGPD ou de toute autre législation applicable sur le Territoire, en ce compris au moyen de la signature d’accords contraignants intégrant les clauses contractuelles types de la Commission européenne ;

- Mettre à la disposition du Client les informations nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d’audits par le Client. Le Client se réserve la possibilité d’effectuer, à ses frais, un audit concernant le respect par Myriad de ses obligations en matière de protection des données à caractère personnel, sous réserve du respect d’un préavis écrit d’un (1) mois et dans la limite d’un (1) audit par an. Cet audit sera réalisé par une équipe de contrôleurs internes du Client. Myriad s'engage à collaborer de bonne foi avec le Client. L’audit sera conduit de façon à ne pas gêner, dans la mesure du possible, l’activité normale de Myriad.

- Coopérer et assister le Client dans le cas où le Client doit démontrer qu'il respecte le RGPD ou toute autre législation applicable sur le Territoire, pour la réalisation d'une analyse d'impact sur la protection des données, et en informant le Client si, selon Myriad, une instruction donnée par le Client enfreint le RGPD ou toute autre législation applicable sur le Territoire.