Annexe 1
Clauses Relatives à la Protection des DCP

Dernière mise à jour: 14 mai 2024

PRÉAMBULE

Dans le cadre de la coopération entre les Parties, DAILYMOTION Advertising SAS (ci-après le « Prestataire » ou « Sous-Traitant ») peut être amenée à agir en qualité de Sous-Traitant de l’Acheteur (« Acheteur ») dans le cadre du traitement de DCP mis en place par ce dernier dans le cadre d’un OI.

En signant l’OI, les Parties explicitement acceptent les présentes clauses relatives à la protection des DCP (« DPA »).

1. Contexte

Le Prestataire peut être amené à fournir des services additionnels aux Acheteurs impliquant (a) l’intégration de Tags au sein des Créations Publicitaires, que ces Tags soient fournis directement par l’Annonceur ou par l’intermédiaire de son Agence ou d’un Tiers Sous-Traitant; et/ou (b) la collecte et l’analyse des données liées aux Campagnes ( « Prestations »). L’Acheteur est soit (i) le responsable du traitement des DCP pouvant faire l’objet des Prestations et en conserve l’entière maîtrise, soit (ii) le Sous-Traitant quand l’Acheteur agit selon des instructions d’un Responsable de Traitement, notamment l’Annonceur. Le Prestataire n’agissant qu’en qualité de Sous-Traitant ou Sous-Traitant Ultérieur au sens du Droit Applicable à la Protection des DCP.

Le Prestataire peut également être amené à traiter des DCP des membres du personnel de l’Acheteur et/ou de l’une des agences auxquelles l’Annonceur pourrait faire appel notamment à des fins de gestion de la relation clients et de gestion des opérations commerciales. Dans cette hypothèse, le Prestataire interviendra en qualité de Responsable de Traitement indépendant.
Chacune des Parties s’engage à respecter l’ensemble des obligations légales qui s’imposent à elle en application du Droit Applicable à la Protection des DCP. En sa qualité de Sous-Traitant de l’Acheteur, le Prestataire permettra le dépôt de Tags en vue de la collecte des DCP qui seront alors transmises à l’Acheteur conformément au présent DPA, étant toutefois entendu que le Prestataire n’aura pas accès aux DCP ainsi collectées. Il est convenu que le Prestataire peut sous-traiter tout ou partie des Prestations à un Sous-Traitant Ultérieur, tel que Dailymotion SA, en accordance avec la Section 5 du présent DPA.

Pour autant que de besoin, il est précisé qu’en tant que opérateurs des Propriétés Dailymotion, DAILYMOTION Advertising SAS et/ou Dailymotion SA peuvent être amenées à collecter des DCP de manière indépendante et ce, en leur qualité respective de Responsables de Traitement indépendants. Les traitements ainsi concernés sont donc exclus du champ d’application du présent DPA.

2. Définitions
   Dans le présent DPA, les termes et expressions identifiés par une majuscule ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel. Tout autre terme non défini au présent DPA a le même sens que celui qui lui est attribué au sein du Droit Applicable à la Protection des DCP ou des CGV.
   
   « Autorité de Contrôle » désigne l’autorité publique indépendante chargée de surveiller l’application du Droit Applicable à la Protection des DCP, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du Traitement et de faciliter le libre flux des données au sein de l’Union Européenne. En France, l’Autorité de Contrôle compétente est la Commission Nationale de l’Informatique et des Libertés (CNIL).
   « CCT 2021 » désigne, en ce qui concerne le traitement des DCP conformément au Droit de l’Union Européenne (UE) sur la Protection des DCP, les clauses contractuelles types pour le transfert de DCP établies dans des Pays Tiers, telles qu’approuvées par la Commission européenne de temps à autre, dont la version approuvée est celle énoncée dans la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, disponible ici.
   « Donnée à Caractère Personnel » ou « DCP » désigne toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « Personne Concernée »), directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ; ou comme ce terme est défini par le Droit Applicable à la Protection des DCP. En particulier, les DCP désignent le terme « Personal Information » tel que défini dans le CCPA.
   « Droit Applicable à la Protection des DCP » : désigne toutes les lois et réglementations applicables en matière de confidentialité et de protection des données, y compris, sans s’y limiter, le cas échéant, le Droit UE sur la Protection des DCP, le California Consumer Privacy Act de 2018 (« CCPA ») et autres les lois étatiques aux Etats-Unis similaires en vigueur à tout moment pendant la Durée, la loi brésilienne générale sur la protection des données personnelles (« LGPD »), etc., telle que modifiées, complétées ou remplacées de temps à autre.

« Droit UE sur la Protection des DCP » : désigne (i) le règlement général de l’UE sur la protection des données (règlement 2016/679) (« RGPD ») ; (ii) la directive européenne sur la vie privée en ligne (directive 2002/58/CE), telle que modifiée (« e-Privacy Law »); (iii) la loi sur la protection des données de 2018 (le « RGPD Britannique ») ; (iv) la loi fédérale suisse sur la protection des données (« LPD ») et (v) toute loi nationale ou européenne sur la protection des données , précisant, modifiant, remplaçant ou succédant à (i), (ii), (iii) ou (iv).

« Pays Tiers » désigne (a) aux fins de l’application Droit UE sur la Protection des DCP : un pays qui : (i) ne fait pas partie de l’Espace économique européen (« EEE ») ; et (ii) ne fait pas l’objet d’une décision d’adéquation formelle de la Commission européenne (« CE ») prise conformément à l’art. 25 (6) de la directive 95/46/CE du Parlement européen et du Conseil de l’Union européenne ou art. 45 (3) du RGPD, reconnaissant que le pays assure un niveau adéquat de protection des DCP ; et (iii) n’est pas soumis à une décision d’adéquation formelle de la Suisse, et (iv) n’est pas soumis à une décision d’adéquation du Royaume-Uni, et b) aux fins de l’application de la LGPD : un pays en dehors du Brésil et non considéré comme offrant une protection adéquate.
« Sous-Traitant Ultérieur » désigne tout Sous-Traitant engagé par le Prestataire ou par tout Sous-Traitant Ultérieur de celui-ci, qui accepte de recevoir du Prestataire ou de tout Sous-Traitant Ultérieur de celui-ci des DCP exclusivement destinées à des activités de Traitement à effectuer pour le compte de l’Acheteur, conformément aux instructions de l’Acheteur. La notion de « Sous-Traitant Ultérieur » désigne également celle de « Service Provider » au sens du CCPA. Est également considérée comme Sous-Traitant Ultérieur, toute société faisant partie du groupe du Prestataire, qui pourrait être amenée à intervenir dans l’exécution des Prestations et à traiter ou accéder aux DCP.
« Traitement(s) » désigne le ou les traitements de DCP confié(s) au Prestataire et décrit(s) en Appendice du présent DPA.
« UK Addendum » désigne des clauses complémentaires aux Standard Contractual Clauses (SCC) 2021 telles qu’adoptées conformément au RGPD Britannique et disponibles ici.
« Violation de DCP » désigne une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de DCP transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

3. Caractéristiques du Traitement
   L’Acheteur autorise, conformément aux instructions documentées dans l’appendice au présent DPA (ou transmises ultérieurement) le Prestataire, pour la durée et les seuls besoins de chaque Campagne, à procéder au Traitement des DCP requis pour les Prestations.
   Si l’Acheteur est lui-même un Sous-Traitant, l’Acheteur garantit au Prestataire que les instructions et les actions de l’Acheteur concernant les Traitements des Données Personnelles, y compris sa nomination du Prestataire en tant que Sous-traitant Ultérieur, ont été autorisées par le Responsable de Traitement concerné.
   
   Dans ce cadre, le Prestataire s’engage à ne traiter les DCP que sur la base des instructions de l’Acheteur stipulées au sein du présent DPA ou à travers toute communication entre les Parties, y compris toutes les instructions transmises par d’autres Sous-Traitants mandatés par l’Acheteur, et s’interdit :

• d’utiliser tout ou partie des DCP, à quelle que fin que ce soit, pour son propre compte ou le compte d’un Tiers, que ce soit pendant la Durée des Campagnes ou après leur terme ;
• de reproduire les documents et supports d’informations contenant les DCP ou les divulguer à quel que tiers que ce soit, à l’exception de toute divulgation nécessaire à l’exécution des Prestations ou prévue par la Loi ;
• d’effectuer des recherches, analyses, statistiques non prévues par les Prestations, qui impliqueraient l’utilisation des DCP, même sous une forme agrégée ou anonymisée.

À ce titre, l’Acheteur garantit au Prestataire la conformité aux Lois applicables de toutes les instructions transmises au Prestataire ainsi que, de manière générale, de tout Traitement de DCP collectées en collaboration avec le Prestataire.

Le Prestataire s’engage à tenir un registre de toutes les activités de Traitements effectués pour le compte de l’Acheteur conformément à ses obligations légales.

4. Sécurité et Confidentialité des DCP
   Dans le cadre de la fourniture des Prestations, le Prestataire s’engage à mettre en œuvre les mesures de protection physiques, logiques et d’organisation nécessaires pour préserver la sécurité des DCP, adaptées au risque que présente le Traitement et, notamment, empêcher qu’elles soient détruites, perdues, déformées, endommagées, ou que des tiers non autorisés y aient accès, de manière accidentelle ou illicite.
   En l’espèce, le Prestataire s’engage, à minima, à mettre en œuvre les mesures suivantes et à les faire respecter par son personnel et les éventuels Sous-Traitants Ultérieurs :

• veiller à ce que les personnes autorisées à traiter les DCP dans le cadre des Campagnes s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ; et
• veiller à ce que ses intervenants dans l’exécution de chaque Campagne soient sensibilisés, formés et organisés pour présenter les garanties suffisantes de sécurité et de confidentialité vis-à-vis des DCP ; et
• prendre toutes les mesures permettant d’éviter toute utilisation détournée ou frauduleuse des DCP, documents et informations traités.

Après avoir pris connaissance d’une violation de DCP, le Prestataire doit notifier cette violation à l’Acheteur dans les meilleurs délais, à l’adresse indiquée au sein de l’OI. Le Prestataire s’engage à coopérer pour permettre à l’Acheteur de notifier la violation de données à l’Autorité de Contrôle, le cas échéant.

5. Sous-Traitants Ultérieurs
   L’Acheteur autorise le Prestataire à faire appel à tout Sous-Traitant Ultérieur de son choix, étant toutefois entendu que le Prestataire s’engage à communiquer toute information relative à ces Sous-Traitants Ultérieurs sur simple demande de l’Acheteur.
   Le Prestataire garantit à l’Acheteur que le contrat qu’il met en place avec ses éventuels Sous-Traitants Ultérieurs contient des engagements au moins aussi stricts que ceux prévus au présent DPA, de façon à pouvoir assurer le respect de ses propres obligations au titre du présent DPA, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le Prestataire restera pleinement responsable envers l’Acheteur en cas de non-respect par le Sous-Traitant Ultérieur de ses obligations en matière de protection des DCP. Le Prestataire notifiera tout nouveau Sous-Traitant Ultérieur à l’Acheteur, notamment en mettant à jour l’Appendice B ou via une notification écrite (mail suffisant). L’Acheteur peut s’opposer à un nouveau Sous-Traitant Ultérieur en arrêtant sa coopération avec le Prestataire, et ce dans un délai de quatorze (14) jours suivant ladite mise à jour ou notification.

6. Droits des Personnes Concernées et Recueil de Consentement
Il appartient à l’Acheteur de fournir l’information aux Personnes Concernées par les opérations de Traitement, avant ou au plus tard au moment de la collecte des DCP.
Dans la mesure où l’Acheteur ne sera pas en contact direct avec les Personnes Concernées, à savoir les Visiteurs des Propriétés de DAILYMOTION, le Prestataire, sur la base des informations relatives au Traitement qui lui auront été communiquées par l’Acheteur, telles que décrites au sein de l’Appendice A du DPA et seulement pour des Traitements décrits dans ce DPA, s’engage à :

• rendre disponibles aux Personnes Concernées les informations relatives aux Traitements opérés par l’Acheteur, et ce par l’intermédiaire des Propriétés de DAILYMOTION, et notamment via sa plateforme de gestion du consentement et sa propre politique de confidentialité.
• Recueillir le consentement ou établir une base légale alternative applicable au Traitement opéré par l’Acheteur.
  À ce titre, l’Acheteur s’engage à transmettre au Prestataire toute information nécessaire ou utile et notamment l’URL de sa politique de confidentialité.
  
  LORSQUE DE TELLES INFORMATIONS DOIVENT ETRE FOURNIES SUR LES PROPRIETES DE DAILYMOTION AUTRES QUE LE SITE DAILYMOTION ET LES APPLICATIONS MOBILES DE DAILYMOTION S.A., L’OBLIGATION CI-DESSUS EST SOUMISE A LA CONDITION DE PARTICIPATION DE L’ACHETEUR ET/OU DU RESPONSABLE DE TRAITEMENT (SI DIFFERENT DE L’ACHETEUR) AU SYSTEME DE GESTION DU CONSENTEMENT UTILISE PAR DAILYMOTION. IL EST PRECISE QU’A LA DATE DE LA DERNIERE MISES A JOUR DES PRESENTES, DAILYMOTION UTILISE LE TCF DE L’IAB.
  
  En ce qui concerne les droits des Personnes Concernées, le Prestataire s’engage à :
• communiquer à l’Acheteur, dans les plus brefs délais, toute demande d’exercice des droits par des Personnes Concernées en relation avec des traitements des DCP l’objet de la présente Annexe, , quelle que soit l’autorité ou la personne dont elle émane, sauf dans le seul cas où cette communication à l’Acheteur lui est interdite par ladite autorité ; et
• assister l’Acheteur, par toutes mesures appropriées et raisonnables, à s’acquitter de son obligation de donner suite aux demandes dont les Personnes Concernées le saisissent en vue d’exercer leurs droits prévus par le Droit Applicable à la Protection des DCP.
  Tous coûts et frais potentiels relatifs auxdites actions seront à la charge de l’Acheteur à la présentation des justificatives par Dailymotion.

L’Acheteur (i) autorise explicitement le Prestataire à communiquer aux Personnes Concernées les coordonnées de l’Acheteur aux fins de l’exercice des droits des Personnes Concernées, et (ii) indemnisera le Prestataire contre toute réclamation, amende ou frais liés au Traitement des DCP par l’Acheteur.

7. Assistance à l’Acheteur
   Le Prestataire s’engage à fournir à l’Acheteur toute l’assistance nécessaire afin de lui permettre de garantir le respect de ses obligations prévues par le Droit Applicable à la Protection des DCP en matière de sécurité des DCP, compte tenu des informations et moyens à sa disposition. En particulier, le Prestataire s’engage, à la demande de l’Acheteur, à l’assister dans :

• l’évaluation des risques inhérents au Traitement et la mise en œuvre des mesures pour les atténuer et pour assurer un niveau de sécurité approprié des DCP, compte tenu de l’état des connaissances et des coûts de mise en œuvre par rapport aux risques et à la nature des DCP à protéger ;
• la réalisation de toute analyse d’impact relative à la protection des DCP, notamment quant à l’évaluation des risques et la définition des mesures et mécanismes de sécurité visant à y faire face.
  
  Dans le cas où l’Acheteur ferait l’objet d’un contrôle de la part d’une Autorité de Contrôle, le Prestataire s’engage à coopérer avec l’Acheteur et avec l’Autorité de Contrôle. Les frais desdites actions seront à la charge de l’Acheteur.
  
  8. Information – Audit
  Le Prestataire s’engage à mettre à la disposition de l’Acheteur toutes les informations nécessaires en sa possession pour démontrer le respect des obligations prévues par le Droit Applicable à la Protection des DCP en ce qui concerne le Traitement mis en place en conformité avec le présent DPA. Le Prestataire s’engage notamment à informer immédiatement l’Acheteur si, selon lui, une instruction constitue une violation du Droit Applicable à la Protection des DCP.

L’Acheteur se réserve le droit, pas plus qu’une fois par an et sous condition d’en informer le Prestataire au plus tard vingt (20) jours ouvrés avant sa date planifiée de commencement, de faire procéder, à ses frais, par un auditeur certifié extérieur et indépendant à tout audit en relation directe avec le Traitement objet des présentes nécessaire pour constater le respect des obligations prévues au présent DPA. À ce titre, l’Acheteur s’engage à respecter la confidentialité des informations ainsi fournies par le Prestataire, dans le respect des obligations légales lui incombant.

Le Prestataire s’engage à permettre la réalisation d’audits par l’auditeur mandaté par l’Acheteur, et à contribuer à ces audits en fournissant toute l’information pertinente et l’accès à tous aux équipements, logiciels, données, dossiers, systèmes d’information, etc. en ce qui concerne leur utilisation dans le Traitement des DCP (« Systèmes Audités »), sous réserve du respect des droits des Tiers et des impératifs de sécurité des systèmes informatiques du Prestataire.

Si ces opérations révèlent un non-respect des garanties et engagements du Prestataire, le Prestataire devra prendre des mesures pour y remédier. Ces opérations d’audit et leurs résultats ne déchargent en aucune manière le Prestataire de ses autres obligations contractuelles.
Le Prestataire peut s’acquitter de ses obligations d’audit décrites ci-dessus, en fournissant les résultats d’un audit des Systèmes Audités effectué au cours des 24 mois précédents.

9. Transfert de DCP vers un Pays Tiers
   Dans l’hypothèse où le Prestataire serait amené à transférer des DCP vers un Pays Tiers, directement ou par le biais de ses Sous-Traitants Ultérieurs, le Prestataire pourra ainsi transférer les DCP sous réserve de mettre en œuvre, ou d’obtenir du Sous-Traitant Ultérieur qu’il mette en œuvre, les garanties appropriées pour encadrer un tel transfert tel que prévues par l’article 46 du RGPD, notamment par la signature par le Prestataire et/ou le Sous-Traitant Ultérieur concerné, de CCT 2021. Il est expressément convenu que les Parties acceptent l’applicabilité au Traitement des DCP objet du présent DPA desdites CCT 2021 (telles que complémentées à l’Appendice C) et que la signature de l’OI signifie l’approbation et la signatures de ces CCT 2021. Compte tenu du caractère du Traitement et du fait que le Prestataire n’a pas d’accès aux DCP collectées, les Parties confirme que les mesures de sécurité implémentées par le Prestataire constituent des mesures suffisantes pour assurer un niveau de protection adéquate des droits et libertés des Personnes Concernées.
   
10. Conditions spécifiques applicables en vertu du CCPA :
    Lorsque la fourniture des Services nécessite le traitement des DCP des Consommateurs californiens qui se sont désinscrits de la vente de leurs DCP ou d’autres opérations de traitement prévues par le CCPA, le Prestataire traitera ces DCP en sa qualité de Prestataire de Services, l’Acheteur agissant en sa qualité d’Entreprise, tels que ces termes sont définis dans le CCPA.
    Les Parties reconnaissent que les DCP qui peuvent être divulguées au Prestataire ne sont fournies qu’aux fins commerciales limitées et spécifiques énoncées dans les CGV à savoir la mise en œuvre de Campagnes. Chaque Partie doit se conformer à ses obligations respectives en vertu de la CCPA. En particulier, le Prestataire traitera les DCP pour le compte de l’Acheteur et pour les Objectifs commerciaux de l’Acheteur spécifiés et s’abstiendra (i) de vendre ou de partager des DCP, et (ii) de les conserver, de les utiliser ou de les divulguer à des fins commerciales autres que dans le but spécifique d’exécuter les Services spécifiés dans les CGV ou comme autrement autorisé par la CCPA, et (iii) de conserver, d’utiliser ou de divulguer des DCP en dehors de la relation commerciale directe avec l’Acheteur, et (iv) de combiner des DCP reçues de la part de l’Acheteur avec les DCP qu’il reçoit de ou au nom d’une ou de plusieurs autres personnes, ou qu’il recueille à partir de sa propre interaction avec les Consommateurs, sauf autorisation contraire en vertu de la CCPA. Le Prestataire doit fournir le même niveau de protection des DCP que celui requis par la CCPA, s’assurer que son personnel traitant les DCP est soumis à une obligation de confidentialité à l’égard de ces informations et informer l’Acheteur et aider à répondre à toute demande de Consommateur reçue. À la demande de l’Acheteur, et sauf autorisation contraire en vertu de la CCPA, le Prestataire supprimera toutes les DCP de ses dossiers et en attestera l’exécution. Si l’Acheteur divulgue ou rend accessible au Prestataire des données dé-identifiées (c’est-à-dire des données qui ne peuvent raisonnablement pas être liées à une personne identifiable ou à son appareil), le Prestataire s’engage à ne pas tenter de réidentifier ces données. Si le Prestataire engage une autre personne pour l’assister à traiter des DCP pour le compte de l’Acheteur, ou si cette autre personne engagée par le Prestataire engage une autre personne pour l’aider à traiter les DCP à cette fin, le Prestataire doit, conformément à la clause 5 de l’Annexe ci-dessus, informer l’Acheteur de cet engagement, permettre à l’Acheteur de s’y opposer sur une base raisonnable et justifiée, et formaliser un tel engagement via un contrat écrit obligeant l’autre personne à respecter toutes les exigences énoncées dans la présente clause.
    Le Prestataire confirme explicitement qu’il comprend les restrictions énoncées dans la présente clause et qu’il s’y conformera. À cette fin, le Prestataire permet à l’Acheteur (i) de surveiller le respect par le Prestataire de ses obligations en vertu de la CCPA, y compris par le biais d’audits tels que décrits dans la clause 8, ci-dessus, et (ii) de prendre des mesures raisonnables pour mettre fin à l’utilisation non autorisée des DCP par le Prestataire et y remédier. Le Prestataire informera l’Acheteur s’il détermine qu’il n’est plus en mesure de respecter ses obligations en vertu de la CCPA.
    La présente clause s’applique, mutatis mutandis, aux traitements des DCP des Consommateurs américains résidant dans des états ayant introduit la législation spécifique en matière de la protection des DCP substantiellement similaire à la CCPA ou soumis aux lois fédérales en la matière.

Tout traitement de DCP sera limité à la durée de la coopération entre les Parties, sauf accord contraire des Parties, ou si un tel traitement est autorisé par le Droit Applicable à la Protection des DCP ou nécessaire pour respecter les obligations de la Partie en vertu des présentes.

11. Conséquences de la Fin des Campagnes
    Les Parties conviennent qu’en l’absence d’une instruction contraire de l’Acheteur, les Tags permettant la collecte desdites DCP seront supprimés concomitamment à la fin de chaque Campagne.
    
12. Manquement du Prestataire
    Si le Prestataire se trouve dans l’incapacité, pour quelle que raison que ce soit, de se conformer à ses obligations au titre du présent DPA, il s’engage à en informer l’Acheteur dans les plus brefs délais. Le Prestataire s’engage à collaborer de bonne foi avec l’Acheteur pour trouver toute solution alternative permettant de réaliser le Traitement objet des présentes dans le respect du Droit applicable à la Protection des DCP.
    
13. Police d’Assurance
    Les Parties certifient disposer d’une police d’assurance adéquate au regard des Traitements de DCP décrits dans le présent DPA. Chacune des Parties s’engage, sur simple demande de l’autre Partie, à communiquer la ou les attestation(s) d’assurance correspondante(s), précisant la nature des risques couverts et le ou les montants garantis.

APPENDICE A
DÉTAILS DU TRAITEMENT DE DCP CONFIÉ AU PRESTATAIRE

1. Parties au Traitement :

Responsable de Traitement ou « Acheteur »: L’Acheteur tel que spécifié sur chaque OI

Sous-Traitant ou « Prestataire » : DAILYMOTION Advertising SAS
140 Boulevard Malesherbes
75017 Paris

Autre Sous-Traitant ou « Agence » : Toute agence média éventuellement mandatée par le Responsable de Traitement en vue du placement d’OI auprès du Prestataire et qui interviendrait dans le Traitement de DCP objet des présentes aura également la qualité de Sous-Traitant du Responsable de Traitement, le Responsable de Traitement garantissant avoir conclu avec cette Agence (Autre Sous-Traitant) tout contrat requis par le Droit Applicable à la Protection des DCP.

Les Parties conviennent que le Prestataire devra, le cas échéant, considérer toute instruction émise par l’intermédiaire d’une Agence comme une instruction émise par le Responsable de Traitement, le Responsable de Traitement garantissant le Prestataire contre tout recours à cet égard.

2. Opérations, Objet et Finalités du Traitement :

Le Responsable de Traitement est un Acheteur qui effectue auprès du Prestataire, directement ou par l’intermédiaire d’une Agence, des achats media online pour la diffusion de ses Campagnes.

Le Responsable de Traitement souhaite intégrer, directement ou par l’intermédiaire de l’Agence ou d’un Autre Sous-Traitant, des Tags au sein des Publicités de ses Campagnes afin de pouvoir collecter des données, y compris des DCP, en vue des finalités définies par l’Acheteur. Le Responsable de Traitement déclare que les DCP ainsi collectées sont utilisées exclusivement pour les finalités suivantes et sous réserve du respect des restrictions d’utilisation prévues à l’article 10.2.d des CGV :

• Stocker et/ou accéder aux informations sur un terminal ; et
• Mesurer la performance des publicités (par exemple, pour effectuer la livraison d’une Campagne, la planification interne d’activités publicitaires, la planification des Campagnes et pour mieux connaitre l’audience de ses Campagnes, en effectuant, entre autres, une évaluation qualitative de chaque Campagne concernée par le Traitement) ; et
• Créer un profil personnalisé de publicités; et
• Livrer des publicités ciblées; et
• Effectuer des études du marché.

A ce titre, le Responsable de Traitement a donné des instructions au Prestataire de réaliser une ou plusieurs opérations suivantes :

• Réception des paramètres de suivi définis par le Responsable de Traitement,
• Paramétrage des Tags par le Prestataire, conformément aux paramètres de suivi reçus,
• Intégration des Tags dans les Publicités fournies par le Responsable de Traitement et/ou l’Agence,
• Hébergement des Publicités, objet des Campagnes, quand lesdites Publicités comportent des Tags paramétrés ou intégrés soit par le Prestataire soit par un tiers,
• Activation de la collecte de DCP opérée par le biais des Tags en procédant à la diffusion des Publicités sur les Propriétés de DAILYMOTION,
• Activation de la collecte de DCP opérée par le biais des Tags en procédant à l’intégration de fichiers « vast » sur les outils d’ad-serving des Propriétés de DAILYMOTION,
• Collecte (ex. par le biais des enquêtes) et analyse des Données Personnelles liées aux Campagnes,
• Information et collecte du consentement des Visiteurs, au nom et pour le compte du Responsable de Traitement.

Sauf accord contraire entre les Parties, le Prestataire ne collectera pas et n’aura pas d’accès aux DCP collectées par le biais de Tags dont la mise en place lui a été confiée. Seuls le Responsable de Traitement et/ou l’Agence et/ou un tiers dument autorisé par le Responsable de Traitement collectent et accèdent à ces DCP.

Il est expressément confirmé que les DCP, autres que celles dérivées des Tags, traitées par le Prestataire pour l’Acheteur peuvent également être traitées par le Prestataire pour ses propres finalités de traitement ; ces traitements étant effectués par le Prestataire en sa qualité de Responsable de Traitement Indépendant.

Le Responsable de Traitement s’engage à ne pas traiter les DCP par le biais de l’utilisation de Tags en l’absence d’une base légale valide et documentée. Le Responsable de Traitement confirme et reconnaît explicitement que l’obligation du Prestataire de recueillir le consentement ou d’établir un intérêt légitime en dehors du Site DAILYMOTION et de son l’application mobile ne s’applique que si le Responsable de Traitement participe au cadre de gestion du consentement utilisé par le Prestataire, à savoir, à présent, le TCF de l’IAB.

Le Responsable de Traitement s’engage à ne traiter les DCP dont la collecte est facilitée par le Prestataire (tel que décrit au présent DPA) que pour les finalités listées ci-dessous et seulement en présence d’une base légale applicable et dument documentée.

Le Responsable de Traitement garantit avoir fourni aux Personnes Concernées toutes les informations nécessaires concernant le Traitement, notamment par le biais de ses politiques de confidentialité et de cookies accessibles au public, et autorise le Prestataire à les utiliser et communiquer, notamment via la publication des leurs urls.

3. Durée du Traitement :

Correspond à la Durée de la Campagne.

La durée de conservation des DCP est déterminée par le Responsable de Traitement, étant toutefois rappelé que le Prestataire ne collecte pas et ne peut pas accéder aux DCP concernées par le Traitement.

4. Catégories de Personnes concernées et exercice de leurs droits:

Personnes concernées : Visiteurs des Propriétés de DAILYMOTION ayant été exposés aux Campagnes.

L’exercice des droits des Personnes concernées : Le Responsable de Traitement est seul responsable de la réponse envoyée aux demandes des Personnes concernées. À ce titre, DAILYMOTION transférera toute demande reçue de la part d’une Personne concernée à un contact désigné au sein de l’organisation du Responsable de Traitement ou, si ce contact n’est pas désigné, au contact principal tel que fourni par le Responsable de Traitement. Le Responsable de Traitement autorise DAILYMOTION à communiquer les coordonnées utilisées pour un tel transfert à la Personne concernée.

5. Catégories de DCP :

Selon le paramétrage des Tags définis par le Responsable de Traitement pour chaque Campagne, ex. :

• Les données d’identification du Visiteur lors du visionnage d’une Publicité (tel que, par exemple, l’identifiant unique qui lui est attribué).
• Les données de connectivité du Visiteur lors du visionnage d’une Publicité (tels que, par exemple, son adresse IP, le référant, etc.).
• Les données d’engagement liées au comportement du Visiteur lors du visionnage d’une Publicité (tels que, par exemple, le survol, la complétion, l’expand (zoom in/out), le son (on/off), pause, clic, etc.).
  Il est expressément confirmé qu’aucune Donnée Sensible ou appartenant à un mineur de moins de 16 ans ne fait partie du Traitement.
  
  6. Transferts vers des Pays Tiers :

a. Nature du Traitement résultant d’un transfert : Il est confirmé que, compte tenu de l’absence de collecte de DCP par le Prestataire, le Traitement l’objet du présent DPA, n’a pas pour vacation un transfert de DCP par le Prestataire vers un Pays Tiers. Néanmoins, les DCP peuvent être transférées vers un Pays Tiers lorsque des spécificités des opérations de Traitement convenues par les Parties aboutissent au transfert des DCP par le Prestataire au Responsable du Traitement (ou à un tiers choisi par ce dernier) situé dans un Pays Tiers : par exemple, lorsque les DCP collectées par les Tags sont stockées sur les systèmes informatiques du Prestataire avant leur transfert au Responsable de Traitement.

b. Fréquence du transfert : en continu pendant la durée de la Campagne.

7. Durée de rétention des DCP :
   Telle que déterminée par le Responsable de Traitement.
   
8. DPO – coordonnées de contact :

Sous-Traitant : : dpo@dailymotion.com
Responsable de Traitement : tel qu’indiqué dans l’OI

9. Mesures opérationnelles et techniques mise en place pour assurer l’intégrité et sécurité des DCP :

• segmentation de réseau et filtrage entre les zones,
• authentification multi-facteurs,
• journal des évènements ; collecte et centralisation des logs,
• anti-virus,
• gestion des correctifs de sécurité,
• sécurisation / chiffrement de flux (SSL),
• PKI interne,
• chiffrement des données en transit et en repos,
• programme « bug-bounty »,
• application des techniques d’anonymisation et de pseudonymisation ; ex. tokenisation, agrégation, hachage, etc.,
• re-certification périodique des comptes (revue périodique des droits d’accès),
• application du principe de moindre privilège (dans le cadre de la gestion des droits d’accès),
• revue de code pair-à-pair (méthodologie de développement),
• audits périodiques de sécurité (architecture, configuration, codes, tests d’intrusion, etc. …),
• application du principe de moindre collection de DCP,
• application du principe de moindre rétention de DCP.

Les principes de la gestion des accès et des habilitations sont les suivants :

• gestion centralisée des droits d’accès,
• gradation des droits d’accès et d’utilisation,
• révisions périodiques.

APPENDICE B
LISTE DE SOUS-TRAITANTS ULTERIEURS

1. Dailymotion SA
2. Dailymotion Inc.

APPENDICE C
DÉTAILS DU TRANSFERT DE DCP VERS DES PAYS TIERS

a. Importateur et exportateur des DCP :

Exportateur(s) de DCP :
Nom : Dailymotion Advertising SAS
Adresse : 140 boulevard Malesherbes, 75017 Paris, France
Nom, fonction et coordonnées de la personne à contacter :
a) Représentant : tel qu’indiqué sur la page de signature de l’OI
b) Coordonnées du DPO (contact principal sous le UK Addendum) et du responsable de sécurité : dpo@dailymotion.com et security@dailymotion.com
c) Au regard du RGPD Britannique, le représentant local de Dailymotion est : The DPO Centre Ltd, 50 Liverpool Street, London, EC2M 7PY, UK, +44 (0) 203 797 6340, advisor@dpocentre.com.
d) Lien vers la politique de confidentialité : https://legal.dailymotion.com/en/privacy-policy

Rôle:
a) Responsable du traitement : pour le traitement des DCP des membres du personnel de l’autre Partie.
b) Sous-Traitant : pour le traitement des DCP collectées par les Tags.

Activités relatives aux données transférées en vertu des présentes clauses : vente d’inventaire publicitaire.

Importateur(s) de DCP :
Nom : Acheteur, dont les informations d’identification sont fournies au sein de l’OI

Adresse : telle qu’indiquée sur l’OI.

Nom, fonction et coordonnées de la personne à contacter :
a) Représentant : tel qu’indiqué dans l’OI
b) Coordonnées du DPO et du responsable de sécurité de l’Importateur(s) de DCP : telles qu’indiquées dans l’OI
c) Le cas échéant, au regard du RGPD Britannique, le représentant local de l’Importateur(s) de DCP est : comme indiqué dans l’OI
d) Le cas échéant, au regard du RGPD (article 27), le représentant local de l’Importateur(s) de DCP établi dans l’EEE est : tel qu’indiqué dans l’OI
e) Lien vers la politique de confidentialité : comme indiqué dans l’OI

Rôle:
a) Responsable de Traitement : pour le Traitement des DCP des membres du personnel du Fournisseur de Services.
b) Responsable de Traitement : pour le traitement des données personnelles collectées par les Tags.
c) Pour des Agences uniquement : Sous-Traitant : pour le traitement des données personnelles collectées par les Tags.

Activités relatives aux données transférées en vertu des présentes clauses : l’achat d’inventaire publicitaire.

b. Mécanismes de transfert : les SCC 2021 et le UK Addendum

c. Dispositions particulières :

3.1. Transferts depuis l’EEE. Lorsqu’un transfert de DCP vers un Pays Tiers est effectué depuis l’EEE, les SCC 2021 sont incorporés dans le présent DPA et s’appliquent au transfert comme suit :
• concernant les transferts du Prestataire vers l’Importateur de DCP :

• Le Module Un s’applique lorsque le Prestataire et l’Importateur sont tous deux des Responsables de Traitement – à savoir pour le transfert des DCP des membres du personnel de chaque Partie, et
• Le Module Quatre s’applique lorsque l’Importateur est un Responsable de Traitement et le Prestataire est un Sous-traitant, et
• Le Module Trois s’applique lorsque le Prestataire et l’Importateur sont des Sous-traitants (lorsque l’Importateur agit en tant que Sous-traitant d’un tiers qui est le Responsable de Traitement ou lorsque l’OI est conclu par une Agence agissant au nom d’un Acheteur) ;
  • dans la Clause 7, la clause d’amarrage facultative ne s’applique pas ;
  • dans la Clause 9(a) du Module Trois, l’Option 2 s’applique et le délai de notification préalable des changements d’un Sous-Traitant Ultérieur est de 14 jours ;
  • dans la Clause 11(a), la partie facultative ne s’applique pas ;
  • dans la Clause 17, l’Option 1 s’applique, le droit applicable étant celui de la France ;
  • dans la Clause 18(b), les litiges seront résolus devant les tribunaux de Paris, France ;
  • L’annexe I des CCT 2021 est complétée avec les informations de l’Appendice A du DPA ;
  • L’annexe II des CCT 2021 est complétée avec les informations de l’Appendice A du DPA ; et
  • L’annexe III des CCT 2021 est complétée par les informations de l’Appendice B du DPA.
  3.2. Transferts depuis la Suisse. Lorsqu’un transfert vers un Pays Tiers est effectué depuis la Suisse, les CCT 2021 sont incorporées dans le présent DPA et s’appliquent au transfert tel que modifié à la section 3.1, sauf que :
  • Dans la Clause 13, l’autorité de surveillance compétente est le Préposé fédéral à la protection des données et à la transparence si le transfert est régi par la loi fédérale sur la protection des données ; et
  • les références à « État membre » dans les CCT 2021 font référence à la Suisse, et les personnes concernées situées en Suisse peuvent exercer et faire valoir leurs droits en vertu des CCT 2021 en Suisse ; et
  • les références au « Règlement général sur la protection des données », au « Règlement 2016/679 » et au « RGPD » dans les CCT 2021 renvoient à la Loi fédérale sur la protection des données (telle que modifiée ou remplacée).

3.1. Transferts depuis le Royaume-Uni. Lorsqu’un transfert vers un Pays Tiers est effectué à partir du Royaume-Uni, le UK Addendum est intégré au présent DPA et s’applique au transfert comme suit : le UK Addendum est complété avec les informations de la section 3.1 et des Appendices A et B du présent DPA ; et « Importateur » et « Exportateur » sont tous deux sélectionnés dans le tableau 4.

4. Conflit : Si une disposition de la présente Appendice est incompatible avec les conditions du DPA ou des CGV, la présente Appendice prévaudra. Si une disposition de la présente Appendice est incompatible avec les termes des CCT 2021 ou de l’UK Addendum, selon le cas, les CCT 2021 et le UK Addendum prévaudront.

Date de dernière modification des présentes CGV : 14 mai 2024