Accord de traitement des données

Dernière mise à jour :

15 ans et 2025th de septembre

Lorsque vous, que ce soit en tant qu'utilisateur (au sens de la Conditions générales de service) ou en tant que Client (au sens de la Conditions générales de service ou tout autre accord-cadre conclu avec Mindee, ci-après dénommé indistinctement le »Entente») (le »Partie contractante»), concluez un accord avec Mindee pour l'accès et l'utilisation de l'un de nos services de traitement automatisé de documents et d'images à distance, quel qu'il soit, disponible sur le Site Web ou la Plateforme (le »Des services»), vous acceptez que le traitement des données personnelles qui en résulte soit régi par les dispositions du présent contrat de traitement des données.

Le présent accord de traitement des données complète les dispositions de l'accord. Par conséquent, en cas de contradiction entre les stipulations du Contrat et les stipulations du présent Contrat de traitement des données, les Parties conviennent que les stipulations de ce dernier prévaudront.

Aux fins des présentes, Mindee et la Partie Contractante sont conjointement dénommées les »Parties» et individuellement en tant que »Fête». Les termes commençant par une majuscule et non définis dans les présentes ont le sens qui leur est attribué dans le document contractuel applicable (à savoir les conditions générales d'utilisation de notre site Web, les conditions générales de service de notre plateforme ou tout autre accord-cadre conclu avec Mindee) dans lequel le présent accord de traitement des données (lorsque Mindee agit en tant que sous-traitant) est intégré.

Des termes tels que « Traitement », « Responsable du traitement », « Sous-traitant », « Données personnelles » et « Personne concernée » utilisés dans ce traitement des données ont la signification qui leur est attribuée dans la Réglementation applicable.

CONTRAT DE TRAITEMENT DES DONNÉES RELATIF AUX SERVICES DE MINDEE

1. Conformité à la réglementation applicable

L'exécution des conditions d'utilisation du site Web et des conditions d'utilisation de la plateforme nécessite le traitement des données personnelles.

Chaque Partie s'engage à respecter ses obligations respectives en vertu de la Réglementation applicable.

2. Traitement effectué par Mindee en tant que sous-traitant

Mindee agit en tant que sous-traitant pour le compte de la partie contractante pour les opérations de traitement définies à l'annexe 1 pour la fourniture de services.

Par exception, la partie contractante autorise expressément Mindee à réutiliser les données entrantes conformément à la réglementation applicable afin de pseudonymiser et/ou de rendre anonymes ces données personnelles. Mindee a le droit d'utiliser les données personnelles pseudonymisées ou anonymisées des données entrantes pour la production de statistiques sur l'utilisation à des fins de supervision et de reporting des Services, à des fins de recherche et développement, en particulier afin d'améliorer la Plateforme et/ou les Sites Web et les Services.

En outre, si la partie contractante demande à Mindee d'activer la fonction de point de terminaison des commentaires, la partie contractante autorise expressément Mindee à réutiliser les commentaires qu'elle peut envoyer à Mindee concernant les résultats qu'elle a corrigés en cas d'erreur, à des fins d'analyse et d'amélioration.

3. Obligations de Mindee agissant en tant que sous-traitant

Mindee s'engage à :

  1. traiter les données personnelles uniquement aux fins décrites à l'annexe 1 ;
  2. traiter les données personnelles conformément aux instructions de la partie contractante énoncées dans l'accord. Si Mindee considère qu'une instruction constitue une violation de la Réglementation applicable, elle en informera la Partie Contractante. En outre, si Mindee est tenue de transférer des données vers un pays tiers ou à une organisation internationale, conformément au droit de l'Union européenne ou à la législation d'un État membre auquel elle est soumise, Mindee informera la Partie contractante de cette obligation avant le traitement, à moins que la loi en question n'interdise de telles informations pour des raisons d'intérêt public ;
  3. ne pas utiliser les données personnelles pour entraîner ses modèles, sauf indication contraire dans le contrat-cadre de services signé par les deux parties
  4. garantir la confidentialité des données personnelles traitées dans le cadre du présent accord de traitement des données ;
  5. s'assurer que les personnes autorisées à traiter les données personnelles (y compris les sous-processeurs de données) :
    1. s'engagent à respecter des obligations de confidentialité ou sont soumis à une obligation légale de confidentialité appropriée ;
    2. recevoir la formation nécessaire en matière de protection des données personnelles ;
  6. met à la disposition de la Partie contractante, sur demande écrite, toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits conformément à l'article 9 ci-dessous ;
  7. tenir un registre des activités de traitement effectuées pour le compte de la partie contractante conformément à la réglementation applicable ;
  8. prendre en compte, en ce qui concerne ses outils, produits, applications ou services nécessaires à l'exécution des Services, les principes de protection des données dès la conception et de protection des données par défaut ;
  9. prendre toutes les mesures requises conformément à l'article 32 du RGPD ;
  10. fournir à la Partie Contractante l'assistance raisonnablement nécessaire pour répondre aux demandes d'exercice des droits des personnes concernées par les opérations de traitement relevant du présent article 3 ;
  11. effectuer les actions demandées par la partie contractante concernant les données personnelles en réponse aux demandes des personnes concernées d'exercer leurs droits ;
  12. fournir à la partie contractante l'assistance raisonnable requise dans le cadre d'une évaluation d'impact relative au traitement relevant de l'article 2 du contrat de traitement des données à réaliser par la partie contractante ou pour la consultation préalable d'une autorité de contrôle, le temps consacré à cette assistance pouvant être facturé par Mindee.

4. Obligations générales de la partie contractante agissant en tant que responsable du traitement

Lorsqu'elle agit en tant que responsable du traitement conformément à l'article 2 du présent accord sur le traitement des données, la partie contractante s'engage à :

 

  1. garantir le respect de tous les principes essentiels de la réglementation applicable, notamment en définissant les finalités pertinentes du traitement des données personnelles et une base juridique adéquate ;
  2. documenter par écrit toutes les instructions concernant le traitement des données personnelles des personnes concernées par Mindee ;
  3. informer Mindee si les Services sont utilisés pour traiter des catégories spéciales de données personnelles ;
  4. superviser les traitements confiés à Mindee ;
  5. coopérer avec Mindee pour la réalisation d'une évaluation de l'impact sur la vie privée (si nécessaire) et en cas de violation de données, notamment pour répondre rapidement à Mindee ;
  6. maintenir sa propre documentation de conformité à la réglementation applicable ; et
  7. le cas échéant, fournir les coordonnées de son DPO.

5. Informations et droits de la personne concernée

Il est de la responsabilité de la partie contractante de fournir des informations sur la protection des données personnelles aux personnes concernées par le traitement au moment de la collecte des données personnelles.

Lorsque la licéité du traitement effectué par Mindee pour le compte de la partie contractante repose sur le consentement des personnes concernées, en particulier si la partie contractante utilise les services pour traiter des catégories spéciales de données personnelles telles que définies à l'article 9 du RGPD, la partie contractante est seule responsable, envers Mindee, d'informer et d'obtenir le consentement de la personne concernée dans les formes et selon les exigences prescrites par la réglementation applicable.

Si une personne concernée envoie une demande à la partie contractante pour exercer ses droits, la partie contractante est tenue d'en informer Mindee, dans les délais fixés par la réglementation applicable, afin que Mindee puisse communiquer les informations en sa possession et/ou mettre en œuvre les droits de la personne concernée conformément aux instructions de la partie contractante.

Lorsque la personne concernée demande à Mindee d'exercer ses droits, Mindee enverra rapidement ces demandes par e-mail à la partie contractante (et à son responsable de la protection des données, si Mindee possède ses coordonnées). Mindee n'est pas autorisée à répondre à l'exercice de ses droits par la personne concernée sans le consentement écrit préalable de la partie contractante.

6. Sous-processeurs de Mindee

La partie contractante autorise expressément Mindee à désigner des sous-traitants et à remplacer ou ajouter tout sous-traitant ultérieur. Avant de désigner un sous-traitant, Mindee informera la partie contractante par tout moyen (y compris par courrier électronique) et la partie contractante disposera de sept (7) jours calendaires pour s'y opposer. Toute objection de la partie contractante doit être légitime et dûment motivée (par exemple, l'absence de mesures de sécurité appropriées). Si la partie contractante ne notifie pas son opposition après ce délai, elle est réputée avoir accepté ce sous-traitant. En cas d'opposition persistante de la part de la partie contractante, Mindee doit cesser de faire appel à ce sous-traitant, dans la mesure du possible, ou si cela est impossible, la partie contractante peut résilier, sans violation, tout ou partie du contrat qui nécessite l'utilisation de ce sous-traitant.

Mindee s'engage à conclure un accord juridique avec ses sous-traitants et à imposer des obligations au moins aussi strictes que celles applicables à Mindee à l'égard de la partie contractante en vertu du présent contrat de traitement des données. Si le sous-traitant ne respecte pas ses obligations en matière de protection des données personnelles, Mindee restera pleinement responsable envers la partie contractante de ses sous-traitants conformément aux termes du Contrat.

À la date d'entrée en vigueur de l'accord de traitement des données, Mindee s'appuie sur le sous-traitant répertorié à l'annexe 2.

7. Transferts de données

Le cas échéant, la partie contractante autorise expressément Mindee à transférer des données personnelles vers des pays situés en dehors de l'Espace économique européen (EEE) ou qui ne bénéficient pas d'une décision d'adéquation rendue par la Commission européenne, sous réserve de mettre en œuvre, avant le transfert, les garanties appropriées, conformément aux articles 45 et 46 du RGPD. Mindee s'engage à respecter les clauses contractuelles types (»SCC») adopté par la Commission européenne le 4 juinth 2021. À cette fin, la Partie Contractante accorde à Mindee un mandat général lui permettant de conclure, en son nom et pour son compte, toutes les CCT afin de régir le transfert de données personnelles à un sous-traitant établi dans un pays en dehors de l'EEE ou ne bénéficiant pas d'une décision d'adéquation pour effectuer des opérations de traitement.

Les éventuels transferts de données personnelles en dehors de l'EEE sont répertoriés à l'annexe 2.

8. Sécurité

8.1. Mesures de sécurité

Mindee déclare à la Partie Contractante qu'elle met en œuvre des mesures techniques et organisationnelles qui, compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques associés, sont appropriées pour garantir un niveau de sécurité adapté au traitement des données personnelles.

Mindee possède une certification SOC 2 et met en œuvre plusieurs mesures et utilise plusieurs outils pour détecter les vulnérabilités.

Mindee garantit la confidentialité et l'intégrité des Données Personnelles traitées et s'engage à respecter les obligations suivantes et à les faire respecter par ses employés :

  • ne pas faire de copie des données personnelles et du matériel qui lui est confié, à l'exception de celles nécessaires pour effectuer le traitement, sans l'approbation préalable de la partie contractante ;
  • ne pas utiliser les données personnelles à des fins autres que celles indiquées dans le traitement ;
  • ne pas divulguer les données personnelles à des tiers ;
  • de prendre toutes les mesures appropriées afin d'éviter tout détournement ou toute utilisation frauduleuse des données personnelles lors du traitement.

Mindee veillera à ce que tous ses employés autorisés à traiter les données personnelles soient liés par des obligations de confidentialité équivalentes à celles que Mindee a envers la partie contractante et formera ses employés chaque année à la protection et à la sécurité des données.

Mindee a mis en place différentes politiques de sécurité pour ses employés concernant les mots de passe, la gestion des fournisseurs, le cryptage, la reprise après sinistre et le plan de continuité des activités, la gestion des actifs ou une utilisation acceptable.

Les mesures systématiques, organisationnelles et techniques mises en œuvre par Mindee sont répertoriées à l'annexe 3

8.2 Notification d'une violation de données personnelles

Mindee s'engage à informer la partie contractante de toute violation de données personnelles dans les meilleurs délais après avoir pris connaissance de la violation. La notification sera faite par courrier électronique envoyé au point de contact de la partie contractante ou à son délégué à la protection des données ou à tout autre contact en charge des violations de données personnelles identifiées par la partie contractante.

Cette notification sera accompagnée de toute documentation pertinente afin de permettre à la partie contractante, si nécessaire, de notifier la violation à l'autorité de contrôle compétente et aux personnes concernées, le cas échéant.

9. Audit

La Partie Contractante est autorisée à effectuer ou à faire réaliser, à ses frais, à tout moment pendant l'exécution du Contrat mais pas plus d'un par an, un audit de tout ou partie du Traitement relevant de l'article 3 réalisé par Mindee en tant que Sous-traitant.

Tout audit doit faire l'objet d'un préavis, envoyé au moins six (6) semaines avant la tenue de l'audit, et d'un accord des parties sur l'étendue de l'audit.

Mindee se réserve le droit de facturer à la partie contractante son assistance lors de l'audit.

L'audit sera réalisé par l'équipe interne de la partie contractante ou par des personnes mandatées par la partie contractante (à condition que ces tiers ne soient pas des concurrents de Mindee) sous réserve du secret professionnel et d'un accord de confidentialité conclu avec Mindee, protégeant les informations de Mindee auxquelles ils auront accès au cours de l'audit.

L'audit sera effectué pendant les heures de bureau de Mindee et ne doit pas perturber les activités de Mindee. L'audit ne doit en aucun cas porter atteinte (i) aux mesures techniques et organisationnelles déployées par Mindee, (ii) à la sécurité et à la confidentialité des données des autres clients de Mindee, ou (iii) au bon fonctionnement et à l'organisation des activités de Mindee.

Le projet de rapport d'audit sera soumis à Mindee, qui produira ses observations par écrit. Ils seront joints au rapport final.

Si les conclusions du rapport d'audit révèlent des violations des obligations de Mindee en tant que sous-traitant, Mindee prendra des mesures raisonnables pour y remédier dans un délai convenu entre les parties, sans frais supplémentaires pour la partie contractante.

Si les conclusions du rapport d'audit contiennent des recommandations tendant à modifier ou à améliorer les règles et procédures auditées, les conditions de leur mise en œuvre, ainsi que les éventuels coûts supplémentaires, seront d'abord convenus par les parties. Dans tous les cas, Mindee aura la décision finale concernant ces modifications ou améliorations.

10. Élimination des données personnelles

À la fin du Contrat, selon le choix de la Partie Contractante, lorsque Mindee agit en tant que Sous-traitant conformément à l'article 2 du présent Contrat de traitement des données, Mindee s'engage à :

  • détruire, de manière automatisée ou manuelle, toutes les données personnelles traitées pour le compte de la partie contractante ; ou

  • renvoyer à la partie contractante ou au sous-traitant désigné par lui, dans un format couramment utilisé et lisible par la partie contractante ou dans un format interopérable, les données personnelles traitées par Mindee en tant que sous-traitant. Le retour sera accompagné de la destruction de toutes les copies existantes dans les systèmes d'information de Mindee.

Dans tous les cas, Mindee appliquera les périodes de conservation détaillées dans les annexes 1-A et 1-B aux données personnelles. Par exception, les données personnelles peuvent être soumises à une période de conservation supplémentaire afin de permettre à Mindee de se conformer à ses obligations légales applicables.

11. Contacter

Pour toute question relative à l'accord de traitement des données ou aux services de Mindee, veuillez contacter Mindee par e-mail :

Ces adresses ne doivent pas être utilisées pour l'exercice des droits concernés par les personnes concernées, toutes les demandes de ce type doivent être envoyées exclusivement par e-mail à privacy@mindee.com soit par courrier au siège social de Mindee mentionné en préambule et adressé à l'attention du DPO de Mindee.

12. Garantie et responsabilité

Chaque partie est chargée de :

 

  • conformément à la loi, de ses manquements à l'égard de l'autre partie dans l'exécution du contrat de traitement des données ;
  • du respect de la Réglementation applicable et garantit l'autre Partie en cas de non-respect de ses obligations et si ce non-respect lui cause un préjudice direct et certain.

En conséquence, la partie contractante reste seule responsable de tous les dommages qui pourraient résulter, pour Mindee et pour les personnes concernées par le traitement des données personnelles, du non-respect de ses obligations. Nonobstant ce qui précède, le plafond de responsabilité prévu dans les Conditions d'utilisation et les Conditions d'utilisation s'applique au présent Contrat de traitement des données.

Les parties conviennent que si Mindee est tenue responsable, en vertu de l'article 82 du RGPD ou par toute autorité de contrôle compétente, d'une violation imputable à la partie contractante, la partie contractante indemnisera et dégagera Mindee de tous les coûts, honoraires (y compris les honoraires d'avocat), amendes et dommages encourus par Mindee.

13. MISES À JOUR

Nous pouvons mettre à jour cette déclaration de confidentialité de temps à autre. La version mise à jour sera indiquée par une date « révisée » mise à jour et la version mise à jour sera effective dès qu'elle sera accessible. Si nous apportons des modifications importantes à cette déclaration de confidentialité, nous pouvons vous en informer soit en publiant un avis de ces modifications de manière visible, soit en vous envoyant directement une notification. Nous vous encourageons à consulter fréquemment cette déclaration de confidentialité pour être informé de la manière dont nous protégeons vos informations.

Lorsque vous, que ce soit en tant qu'utilisateur (au sens de la Termes et conditions d'utilisation) ou en tant que Client (au sens de la Termes et conditions de service ou tout autre accord-cadre conclu avec Mindee, ci-après dénommé indistinctement le »Entente») (le »Partie contractante»), concluez un accord avec Mindee pour l'accès et l'utilisation de l'un de nos services de traitement automatisé de documents et d'images à distance, quel qu'il soit, disponible sur le Site Web ou la Plateforme (le »Des services»), vous acceptez que le traitement des données personnelles qui en résulte soit régi par les dispositions du présent contrat de traitement des données.

Le présent accord de traitement des données complète les dispositions de l'accord. Par conséquent, en cas de contradiction entre les stipulations du Contrat et les stipulations du présent Contrat de traitement des données, les Parties conviennent que les stipulations de ce dernier prévaudront.

Aux fins des présentes, Mindee et la Partie Contractante sont conjointement dénommées les »Parties» et individuellement en tant que »Fête». Les termes commençant par une majuscule et non définis dans les présentes ont le sens qui leur est attribué dans le document contractuel applicable (à savoir les conditions générales d'utilisation de notre site Web, les conditions générales de service de notre plateforme ou tout autre accord-cadre conclu avec Mindee) dans lequel le présent accord de traitement des données (lorsque Mindee agit en tant que sous-traitant) est intégré.

Des termes tels que « Traitement », « Responsable du traitement », « Sous-traitant », « Données personnelles » et « Personne concernée » utilisés dans ce traitement des données ont la signification qui leur est attribuée dans la Réglementation applicable.

CONTRAT DE TRAITEMENT DES DONNÉES RELATIF AUX SERVICES DE MINDEE

  1. Conformité à la réglementation applicable

L'exécution des conditions d'utilisation du site Web et des conditions d'utilisation de la plateforme nécessite le traitement des données personnelles.

Chaque Partie s'engage à respecter ses obligations respectives en vertu de la Réglementation applicable.

  1. Traitement effectué par Mindee en tant que sous-traitant

Mindee agit en tant que sous-traitant pour le compte de la partie contractante pour les opérations de traitement définies à l'annexe 1-A pour la fourniture de services et à l'annexe 1-B pour la formation des ensembles de données clients en vue d'améliorer les services.

Par exception, la partie contractante autorise expressément Mindee à réutiliser les données entrantes conformément à la réglementation applicable afin de pseudonymiser et/ou de rendre anonymes ces données personnelles. Mindee a le droit d'utiliser les données personnelles pseudonymisées ou anonymisées des données entrantes pour la production de statistiques sur l'utilisation à des fins de supervision et de reporting des Services, à des fins de recherche et développement, en particulier afin d'améliorer la Plateforme et/ou les Sites Web et les Services.

En outre, si la partie contractante demande à Mindee d'activer la fonction de point de terminaison des commentaires, la partie contractante autorise expressément Mindee à réutiliser les commentaires qu'elle peut envoyer à Mindee concernant les résultats qu'elle a corrigés en cas d'erreur, à des fins d'analyse et d'amélioration.

  1. Obligations de Mindee agissant en tant que sous-traitant

Mindee s'engage à :

  1. traiter les données personnelles uniquement aux fins décrites dans les annexes 1-A et 1-B ;
  2. traiter les données personnelles conformément aux instructions de la partie contractante énoncées dans l'accord. Si Mindee considère qu'une instruction constitue une violation de la Réglementation applicable, elle en informera la Partie Contractante. En outre, si Mindee est tenue de transférer des données vers un pays tiers ou à une organisation internationale, conformément au droit de l'Union européenne ou à la législation d'un État membre auquel elle est soumise, Mindee informera la Partie contractante de cette obligation avant le traitement, à moins que la loi en question n'interdise de telles informations pour des raisons d'intérêt public ;
  3. garantir la confidentialité des données personnelles traitées dans le cadre du présent accord de traitement des données ;
  4. s'assurer que les personnes autorisées à traiter les données personnelles (y compris les sous-traitants de données) : du texte
    1. s'engagent à respecter des obligations de confidentialité ou sont soumis à une obligation légale de confidentialité appropriée ;
    2. recevoir la formation nécessaire en matière de protection des données personnelles ;
  5. met à la disposition de la Partie contractante, sur demande écrite, toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations et permettre la réalisation d'audits conformément à l'article 9 ci-dessous ;
  6. tenir un registre des activités de traitement effectuées pour le compte de la partie contractante conformément à la réglementation applicable ;
  7. prendre en compte, en ce qui concerne ses outils, produits, applications ou services nécessaires à l'exécution des Services, les principes de protection des données dès la conception et de protection des données par défaut ;
  8. prendre toutes les mesures requises conformément à l'article 32 du RGPD ;
  9. fournir à la Partie Contractante l'assistance raisonnablement nécessaire pour répondre aux demandes d'exercice des droits des personnes concernées par les opérations de traitement relevant du présent article 3 ;
  10. effectuer les actions demandées par la partie contractante concernant les données personnelles en réponse aux demandes des personnes concernées d'exercer leurs droits ;
  11. fournir à la partie contractante l'assistance raisonnable requise dans le cadre d'une évaluation d'impact relative au traitement relevant de l'article 2 du contrat de traitement des données à réaliser par la partie contractante ou pour la consultation préalable d'une autorité de contrôle, le temps consacré à cette assistance pouvant être facturé par Mindee.

  1. Obligations générales de la partie contractante agissant en tant que responsable du traitement

Lorsqu'elle agit en tant que responsable du traitement conformément à l'article 2 du présent accord sur le traitement des données, la partie contractante s'engage à :

 

  1. garantir le respect de tous les principes essentiels de la réglementation applicable, notamment en définissant les finalités pertinentes du traitement des données personnelles et une base juridique adéquate ;
  2. documenter par écrit toutes les instructions concernant le traitement des données personnelles des personnes concernées par Mindee ;
  3. informer Mindee si les Services sont utilisés pour traiter des catégories spéciales de données personnelles ;
  4. superviser les traitements confiés à Mindee ;
  5. coopérer avec Mindee pour la réalisation d'une évaluation de l'impact sur la vie privée (si nécessaire) et en cas de violation de données, notamment pour répondre rapidement à Mindee ;
  6. maintenir sa propre documentation de conformité à la réglementation applicable ; et
  7. le cas échéant, fournir les coordonnées de son DPO.

  1. Informations et droits de la personne concernée

Il est de la responsabilité de la partie contractante de fournir des informations sur la protection des données personnelles aux personnes concernées par le traitement au moment de la collecte des données personnelles.

Lorsque la licéité du traitement effectué par Mindee pour le compte de la partie contractante repose sur le consentement des personnes concernées, en particulier si la partie contractante utilise les services pour traiter des catégories spéciales de données personnelles telles que définies à l'article 9 du RGPD, la partie contractante est seule responsable, envers Mindee, d'informer et d'obtenir le consentement de la personne concernée dans les formes et selon les exigences prescrites par la réglementation applicable.

Si une personne concernée envoie une demande à la partie contractante pour exercer ses droits, la partie contractante est tenue d'en informer Mindee, dans les délais fixés par la réglementation applicable, afin que Mindee puisse communiquer les informations en sa possession et/ou mettre en œuvre les droits de la personne concernée conformément aux instructions de la partie contractante.

Lorsque la personne concernée demande à Mindee d'exercer ses droits, Mindee enverra rapidement ces demandes par e-mail à la partie contractante (et à son responsable de la protection des données, si Mindee possède ses coordonnées). Mindee n'est pas autorisée à répondre à l'exercice de ses droits par la personne concernée sans le consentement écrit préalable de la partie contractante.

  1. Sous-processeurs de Mindee

La partie contractante autorise expressément Mindee à désigner des sous-traitants et à remplacer ou ajouter tout sous-traitant ultérieur. Avant de désigner un sous-traitant, Mindee informera la partie contractante par tout moyen (y compris par courrier électronique) et la partie contractante disposera de sept (7) jours calendaires pour s'y opposer. Toute objection de la partie contractante doit être légitime et dûment motivée (par exemple, l'absence de mesures de sécurité appropriées). Si la partie contractante ne notifie pas son opposition après ce délai, elle est réputée avoir accepté ce sous-traitant. En cas d'opposition persistante de la part de la partie contractante, Mindee doit cesser de faire appel à ce sous-traitant, dans la mesure du possible, ou si cela est impossible, la partie contractante peut résilier, sans violation, tout ou partie du contrat qui nécessite l'utilisation de ce sous-traitant.

Mindee s'engage à conclure un accord juridique avec ses sous-traitants et à imposer des obligations au moins aussi strictes que celles applicables à Mindee à l'égard de la partie contractante en vertu du présent contrat de traitement des données. Si le sous-traitant ne respecte pas ses obligations en matière de protection des données personnelles, Mindee restera pleinement responsable envers la partie contractante de ses sous-traitants conformément aux termes du Contrat.

À la date d'entrée en vigueur de l'accord de traitement des données, Mindee s'appuie sur le sous-traitant répertorié à l'annexe 2.

  1. Transferts de données

Le cas échéant, la partie contractante autorise expressément Mindee à transférer des données personnelles vers des pays situés en dehors de l'Espace économique européen (EEE) ou qui ne bénéficient pas d'une décision d'adéquation rendue par la Commission européenne, sous réserve de mettre en œuvre, avant le transfert, les garanties appropriées, conformément aux articles 45 et 46 du RGPD. Mindee s'engage à respecter les clauses contractuelles types (»SCC») adopté par la Commission européenne le 4 juinth 2021. À cette fin, la Partie Contractante accorde à Mindee un mandat général lui permettant de conclure, en son nom et pour son compte, toutes les CCT afin de régir le transfert de données personnelles à un sous-traitant établi dans un pays en dehors de l'EEE ou ne bénéficiant pas d'une décision d'adéquation pour effectuer des opérations de traitement.

Les éventuels transferts de données personnelles en dehors de l'EEE sont répertoriés à l'annexe 2.

  1. Sécurité

8.1. Mesures de sécurité

Mindee déclare à la Partie Contractante qu'elle met en œuvre des mesures techniques et organisationnelles qui, compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques associés, sont appropriées pour garantir un niveau de sécurité adapté au traitement des données personnelles.

Mindee possède une certification SOC 2 et met en œuvre plusieurs mesures et utilise plusieurs outils pour détecter les vulnérabilités.

Mindee garantit la confidentialité et l'intégrité des Données Personnelles traitées et s'engage à respecter les obligations suivantes et à les faire respecter par ses employés :

  • ne pas faire de copie des données personnelles et du matériel qui lui est confié, à l'exception de celles nécessaires pour effectuer le traitement, sans l'approbation préalable de la partie contractante ;
  • ne pas utiliser les données personnelles à des fins autres que celles indiquées dans le traitement ;
  • ne pas divulguer les données personnelles à des tiers ;
  • de prendre toutes les mesures appropriées afin d'éviter tout détournement ou toute utilisation frauduleuse des données personnelles lors du traitement.

Mindee veillera à ce que tous ses employés autorisés à traiter les données personnelles soient liés par des obligations de confidentialité équivalentes à celles que Mindee a envers la partie contractante et formera ses employés chaque année à la protection et à la sécurité des données.

Mindee a mis en place différentes politiques de sécurité pour ses employés concernant les mots de passe, la gestion des fournisseurs, le cryptage, la reprise après sinistre et le plan de continuité des activités, la gestion des actifs ou une utilisation acceptable.

Les mesures systématiques, organisationnelles et techniques mises en œuvre par Mindee sont répertoriées à l'annexe 3

8.2 Notification d'une violation de données personnelles

Mindee s'engage à informer la partie contractante de toute violation de données personnelles dans les meilleurs délais après avoir pris connaissance de la violation. La notification sera faite par courrier électronique envoyé au point de contact de la partie contractante ou à son délégué à la protection des données ou à tout autre contact en charge des violations de données personnelles identifiées par la partie contractante.

Cette notification sera accompagnée de toute documentation pertinente afin de permettre à la partie contractante, si nécessaire, de notifier la violation à l'autorité de contrôle compétente et aux personnes concernées, le cas échéant.

  1. Audit

La Partie Contractante est autorisée à effectuer ou à faire réaliser, à ses frais, à tout moment pendant l'exécution du Contrat mais pas plus d'un par an, un audit de tout ou partie du Traitement relevant de l'article 3 réalisé par Mindee en tant que Sous-traitant.

Tout audit doit faire l'objet d'un préavis, envoyé au moins six (6) semaines avant la tenue de l'audit, et d'un accord des parties sur l'étendue de l'audit.

Mindee se réserve le droit de facturer à la partie contractante son assistance lors de l'audit.

L'audit sera réalisé par l'équipe interne de la partie contractante ou par des personnes mandatées par la partie contractante (à condition que ces tiers ne soient pas des concurrents de Mindee) sous réserve du secret professionnel et d'un accord de confidentialité conclu avec Mindee, protégeant les informations de Mindee auxquelles ils auront accès au cours de l'audit.

L'audit sera effectué pendant les heures de bureau de Mindee et ne doit pas perturber les activités de Mindee. L'audit ne doit en aucun cas porter atteinte (i) aux mesures techniques et organisationnelles déployées par Mindee, (ii) à la sécurité et à la confidentialité des données des autres clients de Mindee, ou (iii) au bon fonctionnement et à l'organisation des activités de Mindee.

Le projet de rapport d'audit sera soumis à Mindee, qui produira ses observations par écrit. Ils seront joints au rapport final.

Si les conclusions du rapport d'audit révèlent des violations des obligations de Mindee en tant que sous-traitant, Mindee prendra des mesures raisonnables pour y remédier dans un délai convenu entre les parties, sans frais supplémentaires pour la partie contractante.

Si les conclusions du rapport d'audit contiennent des recommandations tendant à modifier ou à améliorer les règles et procédures auditées, les conditions de leur mise en œuvre, ainsi que les éventuels coûts supplémentaires, seront d'abord convenus par les parties. Dans tous les cas, Mindee aura la décision finale concernant ces modifications ou améliorations.

  1. Élimination des données personnelles

À la fin du Contrat, selon le choix de la Partie Contractante, lorsque Mindee agit en tant que Sous-traitant conformément à l'article 2 du présent Contrat de traitement des données, Mindee s'engage à :

  • détruire, de manière automatisée ou manuelle, toutes les données personnelles traitées pour le compte de la partie contractante ; ou

  • renvoyer à la partie contractante ou au sous-traitant désigné par lui, dans un format couramment utilisé et lisible par la partie contractante ou dans un format interopérable, les données personnelles traitées par Mindee en tant que sous-traitant. Le retour sera accompagné de la destruction de toutes les copies existantes dans les systèmes d'information de Mindee.

Dans tous les cas, Mindee appliquera les périodes de conservation détaillées dans les annexes 1-A et 1-B aux données personnelles. Par exception, les données personnelles peuvent être soumises à une période de conservation supplémentaire afin de permettre à Mindee de se conformer à ses obligations légales applicables.

  1. Contacter

Pour toute question relative à l'accord de traitement des données ou aux services de Mindee, veuillez contacter Mindee par e-mail :

Ces adresses ne doivent pas être utilisées pour l'exercice des droits concernés par les personnes concernées, toutes les demandes de ce type doivent être envoyées exclusivement par e-mail à privacy@mindee.com soit par courrier au siège social de Mindee mentionné en préambule et adressé à l'attention du DPO de Mindee.

  1. Garantie et responsabilité

Chaque partie est chargée de :

 

  • conformément à la loi, de ses manquements à l'égard de l'autre partie dans l'exécution du contrat de traitement des données ;
  • du respect de la Réglementation applicable et garantit l'autre Partie en cas de non-respect de ses obligations et si ce non-respect lui cause un préjudice direct et certain.

En conséquence, la partie contractante reste seule responsable de tous les dommages qui pourraient résulter, pour Mindee et pour les personnes concernées par le traitement des données personnelles, du non-respect de ses obligations. Nonobstant ce qui précède, le plafond de responsabilité prévu dans les Conditions d'utilisation et les Conditions d'utilisation s'applique au présent Contrat de traitement des données.

Les parties conviennent que si Mindee est tenue responsable, en vertu de l'article 82 du RGPD ou par toute autorité de contrôle compétente, d'une violation imputable à la partie contractante, la partie contractante indemnisera et dégagera Mindee de tous les coûts, honoraires (y compris les honoraires d'avocat), amendes et dommages encourus par Mindee.

Annexe 1-A : Fourniture de services

Aux fins de la fourniture des Services, Mindee traite les Données des Clients, y compris les Données entrantes et les Résultats, suite au traitement d'une Demande via ses API et/ou dans le cadre d'une Maintenance à distance (par SaaS), Logiciel en tant que service) sur la base d'une infrastructure cloud publique hébergée par l'un des sous-traitants de Mindee conformément aux termes et conditions énoncés dans le présent Contrat de traitement des données et dans le ContratFinalités du traitement

Annexe 1-B : Formation des ensembles de données clients

Aux fins de la fourniture des Services, Mindee peut traiter des ensembles de données entrantes divulgués par le client et de résultats traités à la suite d'une demande visant à entraîner ses algorithmes développés pour l'API afin d'améliorer les Services.

Annexe 2 — Liste des sous-traitants et transfert de données en dehors de l'EEE

Nom du processeurActivités de traitementLieuGaranties pour les transferts hors de l'UE
AWSHébergement de la plateformeIrlande (pour la partie contractante européenne) ou États-Unis (pour la partie contractante américaine)N/A
Plateforme Google CloudCalculBelgiqueN/A
Microsoft AzureCalcul/LLM dans le cas d'une utilisation d'une API utilisant le LLM fourni par MindeeUnion européenne pour la partie contractante européenne ou la partie contractante située en dehors des États-Unis ou les États-Unis pour la partie contractante américaineN/A
Google VisionFournisseur de services d'OCR si la Partie Contractante crée sa propre API sur la Plateforme Ou dans le cas d'une utilisation d'une API utilisant LLM fournie par MindeeUnion européenne pour la partie contractante européenne ou la partie contractante située en dehors des États-Unis pour la partie contractante américaineN/A
Espace de travail GoogleCommuniquerIrlandeN/A
SalesforceCRMFranceN/A
InterphonesoutienIrlandeN/A

Annexe 3 — Sécurité du traitement

Comme indiqué à l'article 8 du présent Accord, les accords entre les parties concernant des mesures de sécurité techniques et organisationnelles spécifiques sont décrits ci-dessous. Les mesures mises en œuvre figurent dans cette annexe et seront complétées ou modifiées selon les besoins. Le responsable du traitement considère que ces mesures sont appropriées pour le traitement des données personnelles.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par Mindee :

  • Politique de sécurité mise en œuvre et mise à jour et mise en œuvre périodiques de la politique de sécurité mise à jour ;
  • Code de conduite mis en œuvre ;
  • Obligations de confidentialité dans les contrats de travail ;
  • Stockage sécurisé des fichiers de données ;
  • Contrôles d'accès logiques grâce à des connaissances, telles que des mots de passe ou des codes d'accès personnels, une authentification à deux facteurs ;
  • Utilisation d'un gestionnaire de mots de passe
  • Contrôles d'accès logiques via des moyens d'accès physiques, tels qu'un laissez-passer de sécurité ;
  • Surveillance des droits attribués ;
  • Enregistrement et contrôle de l'accès au système (y compris la surveillance des signes d'accès non autorisé aux données personnelles) ;
  • Mise en œuvre de procédures de recouvrement ;
  • Cryptage des données personnelles lors du transfert électronique à des tiers ;
  • Respect des dispositions de confidentialité de cet accord ;
  • Désignation d'un nombre limité de personnes chargées de l'exécution du traitement et autorisées à s'accorder l'accès, qui sont expressément autorisées à effectuer uniquement les actions nécessaires à l'exécution du contrat-cadre de service ;
  • La durée de conservation des données personnelles est conforme aux lois ou politiques applicables ;
  • Mesures de détection des vulnérabilités et de gestion des incidents, telles que des tests d'intrusion annuels.

Annexe 1 : Prestation de services

Aux fins de la fourniture des Services, Mindee traite les Données des Clients, y compris les Données entrantes et les Résultats, suite au traitement d'une Demande via ses API et/ou dans le cadre d'une Maintenance à distance (par SaaS), Logiciel en tant que service) sur la base d'une infrastructure de cloud public hébergée par l'un des sous-traitants de Mindee conformément aux termes et conditions énoncés dans le présent Contrat de traitement des données et dans le Contrat.

Purpose of Processing Purpose 1 Processing Incoming Data for request management as part of the Services and provide Result to Users. Purpose 2 Processing Client Data for maintenance of the Services. Purpose 3 Use of the platform and communication with the Client.
Categories of data subjects Purpose 1 and 2 Identifiable individuals (such as Contracting Party’s, Affiliated Entities’ or End Clients’ customer, prospect or supplier) in the Incoming Data and Results. Purpose 3 Employees of the Client.
Category of Personal Data Purposes 1 and 2 Types of data (Incoming Data and Results) as featured in the Documentation for each relevant API. Purpose 3 Identification data like name, surname, email.
Source of Personal Data
  • Users – Incoming Data disclosed by Users and Results
  • Employees of the Client
Recipient of Personal Data
  • Mindee’s staff expressly authorized for processing purposes
  • Mindee’s sub-data processors – Contracting Party, Affiliated Entities, Third-Party Service Providers staff members or any other member of End Clients’ staff
Automated decision-making (art. 22 GDPR) No
Storage Period If the API is synchronous:
  • Incoming Data: a few milliseconds, the time to process the Request;
  • Results: a few milliseconds, the time for the Module or the Platform to process the Request and to send a Result;
If the API is asynchronous: Incoming Data and Results shall be stored for a period of 7 days.

Annexe 2 — Liste des sous-traitants et transfert de données en dehors de l'EEE

Name of Processor Processing activities Location Guarantees for transfers outside the EU
AWS Platform Hosting Ireland N/A
AWS Bedrock LLM European Union for European Contracting Party or Contracting Party located outside of the United States or United States for American Contracting Party N/A
Google Vision OCR European Union for European Contracting Party or Contracting Party located outside of the United States or United States for American Contracting Party N/A
Google Vertex AI LLM European Union for European Contracting Party or Contracting Party located outside of the United States or United States for American Contracting Party N/A
Microsoft Azure OCR/LLM European Union for European Contracting Party or Contracting Party located outside of the United States
or
United States for American Contracting Party 		N/A
Salesforce CRM European Union N/A
Intercom Support Ireland N/A
Twilio CDP European Union N/A
Stripe Payment Global N/A
Mixpanel Analytics European Union N/A

Annexe 3 — Sécurité du traitement

Comme indiqué à l'article 8 du présent Accord, les accords entre les parties concernant des mesures de sécurité techniques et organisationnelles spécifiques sont décrits ci-dessous. Les mesures mises en œuvre figurent dans cette annexe et seront complétées ou modifiées selon les besoins. Le responsable du traitement considère que ces mesures sont appropriées pour le traitement des données personnelles.


Description des mesures de sécurité techniques et organisationnelles mises en œuvre par Mindee :


Politique de sécurité mise en œuvre et mise à jour et mise en œuvre périodiques de la politique de sécurité mise à jour ;
- Code de conduite mis en œuvre ;
- Les obligations de confidentialité dans les contrats de travail ;
- Stockage sécurisé des fichiers de données ;
- Des contrôles d'accès logiques grâce à des connaissances, telles que des mots de passe ou des codes d'accès personnels, une authentification à deux facteurs ;
- Utilisation d'un gestionnaire de mots de passe
- Contrôles d'accès logiques via des moyens d'accès physiques, tels qu'un passe de sécurité ;
- Surveillance des droits attribués ;
- Enregistrement et contrôle de l'accès au système (y compris la surveillance des signes d'accès non autorisé aux données personnelles) ;
- Mise en œuvre de procédures de recouvrement ;
- Chiffrement des données personnelles lors du transfert électronique à des tiers ;
- Le respect des dispositions de confidentialité de cet accord ;
- Désignation d'un nombre limité de personnes chargées de l'exécution du traitement et autorisées à s'accorder l'accès, qui sont expressément autorisées à effectuer uniquement les actions nécessaires à l'exécution du contrat-cadre de service ;
- La durée de conservation des données personnelles est conforme aux lois ou politiques applicables ;
-Mesures de détection des vulnérabilités et de gestion des incidents, telles que des tests d'intrusion annuels.