Addendum relatif à la protection des données

ADDENDUM SUR LA PROTECTION DES DONNÉES

Cet addendum sur la protection des données (l' « Addendum ») est intégré et fait partie intégrante de l'accord que vous avez conclu avec l'entité du groupe CrissCross applicable définie dans le tableau ci-dessous (« CrissCross », « nous », « notre » et « notre ») (chacune étant une « partie », et ensemble les « parties ») (le « Contrat »).

Le tableau suivant présente les différentes entités du groupe CrissCross auxquelles s'applique cet addendum ainsi que leur rôle pertinent dans le cadre de chaque accord applicable :

CrissCross FX Limitée
Contrat : Contrat-cadre de services
Rôle : responsable du traitement ; OU Contrôleur conjoint ou sous-traitant, uniquement lorsque cela est déterminé par une autorité de surveillance ou un tribunal.

CrissCross Tech (Pty) Ltd
Contrat : Contrat-cadre de services
Rôle : responsable du traitement ; OU Contrôleur conjoint ou sous-traitant, uniquement lorsque cela est déterminé par une autorité de surveillance ou un tribunal.

CrissCross FX SA (Pty) Ltd
Accord : Contrat-cadre sur les opérations de change
Rôle : responsable du traitement ; OU Contrôleur conjoint ou sous-traitant, uniquement lorsque cela est déterminé par une autorité de surveillance ou un tribunal.

Cet addendum comprend les parties suivantes :

  • Partie 1 Conditions générales : ces conditions s'appliquent quel que soit le rôle des parties ;
  • Partie 2 Conditions du responsable conjoint du traitement - ces conditions ne s'appliquent que lorsque les parties agissent en tant que responsables conjoints du traitement ;
  • Partie 3 Conditions du responsable du traitement : ces conditions s'appliquent lorsque CrissCross agit en tant que contrôleur indépendant ;
  • Partie 4 Conditions relatives au processeur : ces conditions s'appliquent lorsque CrissCross agit en tant que sous-traitant ; et
  • Partie 5 Glossaire et ordre de priorité - énonçant les termes définis dans cet addendum, leur signification correspondante et l'ordre de priorité en cas de conflit entre cet addendum et l'accord.

Partie 1 - Conditions générales

1. Portée et objectif

1.1. Cet addendum définit les principes et les procédures auxquels CrissCross doit adhérer ainsi que les termes, exigences et conditions supplémentaires selon lesquels nous traiterons les données protégées. Lorsque nous vous fournissons les Services et exerçons et exécutons nos droits et obligations en vertu du Contrat, nous pouvons agir en tant que responsable conjoint, contrôleur indépendant ou processeur des données protégées.

1.2. Rien dans cet addendum ne réduit ni ne remplace les obligations des parties en vertu des lois sur la protection des données en matière de protection des données personnelles.

1.3. Sous réserve du paragraphe 1.4 de cette partie 1, CrissCross traitera les données protégées uniquement aux fins autorisées suivantes (« Finalité autorisée ») :

  • fourniture des Services, ou en prévision de ceux-ci ;
  • l'exécution et l'exercice de nos droits et obligations en vertu du Contrat ;
  • nos objectifs commerciaux légitimes, y compris le respect de nos obligations légales et réglementaires, à des fins de sécurité informatique et d'administration ou à toute autre fin énoncée dans l'Annexe 1 du présent Addendum (le cas échéant).

1,4. Chaque partie traitera les données protégées conformément à :

  • les lois sur la protection des données ; et
  • les termes de cet addendum.

1,5. CrissCross dispose d'un responsable de la protection des données et toute question concernant cet addendum et/ou le traitement des données personnelles par nos soins doit être envoyée à notre équipe de protection des données à l'adresse compliance@crisscross.money et james@crisscross.money. Nous maintiendrons toutes les inscriptions valides et/ou paierons les frais requis par nos autorités de surveillance et qui (le cas échéant) couvrent le traitement des données prévu conformément au présent Addendum.

2. Mesures techniques et organisationnelles

2.1. CrissCross ne fournira les données protégées à un autre tiers qu'en utilisant des méthodes sécurisées, comme indiqué dans l'annexe 2 du présent addendum.

2.2. CrissCross doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour :

  • veiller à ce que le traitement des données protégées réponde aux exigences des lois sur la protection des données et garantisse la protection des droits des personnes concernées ; et
  • garantir la sécurité, l'intégrité, la disponibilité et la confidentialité des données protégées et protéger contre le traitement non autorisé ou illégal des données protégées, la perte ou la destruction accidentelle des données protégées, ou l'endommagement des données protégées, en prenant des mesures appropriées au préjudice qui pourrait résulter d'un traitement non autorisé ou illégal ou d'une perte, d'une destruction ou d'un endommagement accidentels et à la nature des données à protéger.

2.3. Le niveau des mesures techniques et organisationnelles à la date de début en ce qui concerne les questions visées au paragraphe 2.2 de la présente partie 1 est tel qu'indiqué dans l'annexe 2 du présent addendum. Les mesures seront régulièrement testées, évaluées et évaluées afin d'évaluer leur efficacité à garantir la sécurité du traitement et nous tiendrons des registres de ces tests. CrissCross surveillera les mesures et procédera aux mises à jour que nous jugerons appropriées pendant la durée du traitement des données.

2,4. CrissCross veillera à ce que son personnel impliqué dans le traitement des données protégées soit correctement formé pour gérer et traiter les données protégées conformément aux mesures de sécurité techniques et organisationnelles énoncées dans l'annexe 2 du présent addendum, ainsi qu'à toutes les lois applicables en matière de protection des données et aux directives d'une autorité de surveillance compétente.

2,5. Le niveau, le contenu et la régularité de la formation visée au paragraphe 2.4 doivent être proportionnés au rôle, à la responsabilité et à la fréquence du personnel en ce qui concerne le traitement et le traitement des données protégées.

2.6. Notre personnel est soumis à des obligations de confidentialité écrites qui couvrent le traitement de toutes les données protégées.

3. Transferts internationaux de données

3.1. Transferts internationaux de données entre nous. Dans la mesure où votre utilisation des Services nécessite, en vertu des Lois sur la protection des données, un mécanisme de transfert ultérieur permettant à CrissCross de transférer légalement les Données protégées de notre juridiction, y compris le Canada ou toute autre juridiction où nous exerçons nos activités, vers votre juridiction (si vous êtes situé en dehors de l'EEE et que nous sommes tenus de mettre en place des garanties appropriées) (« Mécanisme de transfert »), les conditions énoncées dans l'Annexe 3 (Transferts transfrontaliers) du présent Addendum s'appliqueront.

3.2. Transferts internationaux de données à d'autres tiers. CrissCross s'engage à ne pas transférer, accéder ou traiter des données protégées en dehors de l'EEE, y compris à un sous-traitant situé dans un tel pays ou territoire, sauf si :

  • 3.2.1. si l'Union européenne a conclu à une adéquation en ce qui concerne ce pays ou territoire conformément à l'article 45 du RGPD ou à toute autre disposition des lois sur la protection des données ;
  • 3.2.2. CrissCross a veillé à ce que tout transfert de ce type soit conforme aux lois sur la protection des données en mettant en place des garanties appropriées et nous avons pris des mesures pour nous assurer que :
    • 3.2.2.1. le niveau de protection accordé aux données protégées dans le pays ou le territoire de destination est équivalent au niveau de protection qui serait accordé aux données protégées dans l'EEE ;
    • 3.2.2.2. tout importateur de données doit nous fournir les sources et informations pertinentes relatives au pays ou au territoire de destination et aux lois applicables au transfert dans ce pays de destination afin de justifier les points énoncés au 3.2.2.1 ; et
    • 3.2.2.3. tout importateur de données est contractuellement tenu de nous tenir informés de tout développement affectant ou susceptible d'affecter le niveau de protection dont bénéficient vos données protégées transférées dans le pays de l'importateur ; ou
  • 3.2.3. CrissCross est autrement autorisée à le faire en vertu d'une dérogation prévue à l'article 49 du RGPD ou conformément aux lois sur la protection des données.

3.3. Si, pour une raison quelconque, le transfert de données protégées conformément aux paragraphes 3.2.1, 3.2.2 ou 3.2.3 de la présente partie 1 - Conditions générales cesse d'être légal, CrissCross mettra immédiatement en œuvre d'autres garanties appropriées et veillera à ce que le niveau de protection accordé aux données protégées dans le pays ou le territoire de destination soit équivalent au niveau de protection qui serait accordé aux données protégées dans l'EEE. Si cela n'est pas possible, nous cesserons tout transfert de données protégées, sauf si vous autorisez expressément la poursuite du transfert.

4. Utilisation de processeurs

4.1. Lorsque CrissCross engage un sous-traitant ou un sous-traitant pour mener à bien des activités de traitement relatives aux données protégées, nous :

  • s'assurer qu'il existe un contrat écrit avec chaque sous-traitant ou sous-traitant qui exige que le sous-traitant ou le sous-traitant n'effectue que le traitement qui peut être nécessaire de temps à autre aux fins de son engagement à notre égard dans le cadre du Contrat et qu'il se conforme aux termes et conditions qui offrent sensiblement le même niveau de protection des données protégées que ceux énoncés dans la présente partie 1 des Conditions générales ;
  • être responsable des actes et omissions de tout sous-traitant ou sous-traitant dans l'exécution de ses obligations en matière de traitement des données en vertu du Contrat, comme s'il s'agissait de nos propres actes et omissions.

4,2. CrissCross veillera à ce que toutes les personnes autorisées par nous (ou par tout sous-traitant ou sous-traitant) à traiter des données protégées soient soumises à l'obligation de préserver la confidentialité des données protégées (sauf lorsque la divulgation est requise conformément à la loi applicable, auquel cas nous vous informerons, dans la mesure du possible et si cela n'est pas interdit par la loi applicable, d'une telle exigence avant une telle divulgation).

5. Disques

5.1. CrissCross tiendra des registres écrits complets, exacts et à jour de toutes les catégories d'activités de traitement effectuées conformément aux lois sur la protection des données (les « dossiers »).

6. Rapports et obligations générales

6.1. CrissCross respectera ses obligations en vertu des lois sur la protection des données en matière de signalement d'une violation de données personnelles à l'autorité de surveillance compétente et (le cas échéant) aux personnes concernées.

6.2. CrissCross vous informera rapidement (et en tout état de cause dans les 48 (quarante-huit) heures) si nous prenons connaissance d'une violation de données personnelles de notre part ou en relation avec les Services et vous fournira tous les détails de la violation de données personnelles. Nous vous fournirons la coopération et l'assistance raisonnables nécessaires pour faciliter le traitement d'une violation de données personnelles de manière efficace et conforme et pour nous permettre de respecter nos obligations en vertu des lois sur la protection des données. Nous ne publierons ni ne publierons aucun dossier, communication, avis, communiqué de presse ou rapport concernant une violation de données personnelles commise par nous ou autrement en relation avec les Services, sauf si cela est requis par les lois sur la protection des données et/ou par une autorité de surveillance, auquel cas nous vous informerons à l'avance de cette exigence.

6.3. CrissCross prendra rapidement des mesures pour enquêter sur toute violation de données personnelles impliquant des données protégées et pour identifier, prévenir et atténuer les effets d'une telle violation de données personnelles et y remédier.

6.4. CrissCross agira de manière raisonnable pour vous tenir informé des développements en cours concernant toute violation de données personnelles.

7. Vos obligations

Que CrissCross agisse en tant que responsable conjoint du traitement, du responsable du traitement ou du sous-traitant :

  • 7.1. vous êtes seul responsable de déterminer de manière indépendante si les mesures techniques et organisationnelles que vous avez mises en œuvre sont adéquates et répondent aux exigences des lois sur la protection des données et à toute autre obligation que vous avez en vertu des lois applicables ;
  • 7.2. vous vous conformerez à tout moment à vos obligations en tant que responsable du traitement ou responsable conjoint (selon le cas) et fournirez vos services aux clients conformément aux lois sur la protection des données ;
  • 7.3. vous maintiendrez tous les enregistrements valides et paierez tous les frais requis par votre autorité de surveillance pour couvrir vos activités de traitement, y compris celles envisagées dans le cadre du Contrat ;
  • 7.4. vous appliquerez des politiques adéquates en matière de traitement des données, de confidentialité et de sécurité informatique en ce qui concerne votre traitement des données personnelles et tout incident de cybersécurité qui répondent aux exigences des lois sur la protection des données. Vous vous conformerez à ces politiques et veillerez à ce que votre personnel s'y conforme à tout moment. Vous veillerez à ce que votre personnel soit soumis à des obligations de confidentialité écrites qui couvrent le traitement des données personnelles. Lorsque des exigences de contrôle spécifiques sont considérées par nous comme non applicables aux Services, nous pouvons accepter de renoncer à certaines exigences ou de les modifier en vous informant par écrit de cette renonciation ou de cette modification ;
  • 7.5. Vous fournirez toutes les informations et notifications nécessaires, justes et transparentes, et obtiendrez tous les consentements nécessaires de la part de toutes les personnes dont les données protégées sont traitées conformément à cet addendum (y compris tout personnel, tiers et clients), afin que CrissCross soit légalement en mesure d'utiliser ou de traiter ces données protégées aux fins autorisées conformément à cet addendum sans avoir besoin d'aucun autre consentement, approbation ou autorisation et, sur notre demande de temps à autre, vous consultez-nous et répondez à nos demandes raisonnables par rapport à la même chose. Vous veillerez à ce que ces informations et notifications détaillent les finalités du traitement des données protégées comme l'exige la finalité autorisée, la base juridique de ce traitement, les destinataires des données protégées et toutes autres informations que le responsable du traitement doit fournir aux personnes concernées en vertu des lois sur la protection des données ;
  • 7.6. à la demande de CrissCross, vous nous fournirez rapidement des preuves raisonnables que vous avez fourni toutes les informations et notifications nécessaires aux personnes concernées et que vous avez obtenu tous les consentements nécessaires de celles-ci et que vous vous êtes conformé à vos obligations en vertu des lois sur la protection des données ;
  • 7,7. CrissCross sera en droit de supposer que toute divulgation ou tout transfert de données personnelles que vous nous faites (directement ou indirectement) se fait d'une manière conforme aux lois sur la protection des données ;
  • 7.8. vous veillerez à ce que toutes les données personnelles que vous nous divulguez ou que vous nous transférez soient exactes ;
  • 7.9. vous ne divulguerez ni ne nous transférerez aucune donnée personnelle excessive ou non pertinente qui n'est pas requise par nous dans le cadre de l'exécution des Services ou autrement aux fins autorisées et vous vous assurerez de supprimer de tous les documents que vous divulguez ou que vous nous transférez ces données personnelles excessives ou non pertinentes ;
  • 7.10. vous informerez CrissCross rapidement (et en tout état de cause dans les 48 (quarante-huit) heures) si vous avez connaissance d'une violation de données personnelles de notre part ou en relation avec les Services et vous nous fournirez tous les détails de la violation de données personnelles. Vous nous apporterez la coopération et l'assistance raisonnables nécessaires pour faciliter le traitement d'une violation de données personnelles de manière rapide et conforme et pour nous permettre de respecter nos obligations en vertu des lois sur la protection des données. Vous ne publierez ni ne publierez aucun dossier, communication, avis, communiqué de presse ou rapport concernant une violation de données personnelles commise par nous ou autrement en relation avec les Services, sauf si cela est requis par les lois sur la protection des données et/ou par une autorité de surveillance, auquel cas vous nous informerez à l'avance de cette exigence ;
  • 7.11. vous informerez CrissCross rapidement (lorsque la loi le permet et dans un délai maximum de 2 (deux) jours ouvrables) si vous recevez ou prenez connaissance d'une plainte relative aux données et vous nous apporterez une coopération et une assistance raisonnables dans la mesure nécessaire pour traiter cette plainte en matière de données ;
  • 7.12. vous fournirez à CrissCross la coopération et l'assistance raisonnables qui peuvent être nécessaires de temps à autre pour nous permettre de respecter nos obligations en vertu des lois sur la protection des données, y compris les obligations relatives à la sécurité, les demandes des personnes concernées, les analyses d'impact sur la protection des données et les consultations avec une autorité de surveillance ; et
  • 7.13. vous vous conformerez à toutes les obligations supplémentaires qui vous sont imposées dans les autres parties de cet Addendum.

8. Conservation des données

8.1. CrissCross ne conservera pas les données protégées plus longtemps que nécessaire pour atteindre les objectifs autorisés.

8,2. CrissCross maintiendra et respectera sa politique de conservation des données, dont nous vous fournirons les détails sur demande écrite.

Partie 2 - Conditions générales du responsable conjoint

Lorsque les parties traitent des données protégées en tant que responsables conjoints du traitement dans le cadre ou autrement en relation avec le Contrat (« Données conjointes »), les dispositions énoncées dans la présente Partie 2 - Conditions générales du responsable conjoint s'appliqueront au traitement des données conjointes par les parties, en plus de la Partie 1 — Conditions générales.

1. Traitement des données conjointes

1.1. Chaque partie respectera ses obligations de responsable du traitement en vertu des lois sur la protection des données dans le cadre de son traitement des données conjointes.

1.2. Chaque partie convient que :

  • 1.2.1. pour les données conjointes, les parties agissent ensemble pour déterminer la finalité et les moyens du traitement ;
  • 1.2.2. elle traitera les données conjointes uniquement aux fins autorisées et conformément à l'annexe 1 telle que mise à jour de temps à autre ;
  • 1.2.3. il veillera à ce que les données conjointes aient été collectées, traitées et transférées conformément aux lois sur la protection des données applicables à ces données conjointes ;
  • 1.2.4. il sera chargé de fournir toutes les informations et notifications nécessaires, équitables et transparentes aux personnes concernées et veillera à ce que ces informations et notifications détaillent le traitement des données conjointes requis aux fins autorisées, la base juridique de ce traitement, les destinataires des données conjointes (y compris l'autre partie, tout tiers ou un régulateur) et toutes autres informations devant être fournies par un responsable du traitement aux personnes concernées en vertu des lois sur la protection des données. Ces informations et notifications seront transparentes quant à l'arrangement entre les parties conformément aux lois sur la protection des données ;
  • 1.2.5. elle coopérera avec l'autre partie pour fournir toutes les informations raisonnablement nécessaires pour permettre à l'autre partie de produire et de publier ses informations et notifications conformément au paragraphe 1.2.4 de la présente partie 2 — Conditions du contrôleur conjoint ;
  • 1.2.6. il veillera à ce que toute personne concernée souhaitant faire une demande dispose d'un point de contact facilement accessible pour le faire ; et
  • 1.2.7. elle aidera raisonnablement l'autre partie à garantir le respect des obligations de l'autre partie en vertu des lois sur la protection des données en matière de sécurité, de notifications de violations de données personnelles, d'analyses d'impact sur la protection des données et de consultations avec les autorités de surveillance, dans la mesure où elles concernent le traitement des données conjointes.

2. Demandes des personnes concernées et traitement des plaintes relatives aux données

2.1. Si une partie reçoit une demande de personne concernée et/ou une plainte concernant le traitement de données conjointes, elle en informera rapidement l'autre partie (et en tout état de cause dans les 48 (quarante-huit) heures suivant la réception de la demande de la personne concernée) et se conformera aux dispositions du présent paragraphe 2.

2.2. Entre les parties, la responsabilité de respecter et de répondre à :

  • toute demande de personne concernée : incombe à la partie qui a reçu cette demande en premier lieu ; et
  • toute réclamation concernant le traitement des données conjointes incombe à la partie qui reçoit la plainte,

sauf accord contraire entre les parties.

2.3. Les parties se fourniront une assistance raisonnable pour traiter les demandes des personnes concernées et les plaintes relatives aux données relatives au traitement des données conjointes. Chaque partie traitera une demande de la personne concernée ou une plainte relative au traitement des données conjointes, de manière opportune et professionnelle et conformément aux exigences des lois sur la protection des données (y compris en ce qui concerne les délais éventuels).

2,4. Aucune des parties ne répondra à une demande ou à une plainte relative au traitement des données conjointes, sans consulter l'autre partie, à moins qu'une telle absence de réponse ne constitue une violation des lois sur la protection des données et/ou qu'une autorité de surveillance ne lui demande de répondre.

3. Violations de données personnelles

Si une violation de données personnelles survient en relation avec les données conjointes traitées par l'une ou l'autre des parties :

  • 3.1. la partie qui découvre la violation de données personnelles en informera l'autre partie sans retard injustifié (et en tout état de cause dans les 48 (quarante-huit) heures suivant la prise de connaissance de la violation de données personnelles) et fournira une description détaillée de la violation de données personnelles, y compris les détails du type de données et l'identité de la ou des personnes concernées dès que ces informations pourront être collectées ou autrement disponibles, ainsi que toute autre information que l'autre partie pourrait raisonnablement pouvoir demander de temps à autre ;
  • 3.2. les parties coopéreront raisonnablement pour déterminer la cause de la violation de données personnelles et qui doit en informer l'autorité de surveillance et/ou la ou les personnes concernées si nécessaire. En l'absence de tout accord, nous serons en droit d'en informer l'autorité de surveillance et/ou la ou les personnes concernées ; et
  • 3.3. la partie victime de la violation de données personnelles prendra immédiatement des mesures pour effectuer toute récupération ou toute autre action nécessaire pour remédier à la violation de données personnelles. Si vous avez connaissance d'une violation de données personnelles en relation avec les données conjointes, vous nous en informerez par e-mail à compliance@crisscross.money et james@crisscross.money.

Partie 3 - Conditions générales du contrôleur

Lorsque nous traitons des données protégées en tant que responsable indépendant en vertu du Contrat ou autrement en relation avec celui-ci (« Données du responsable du traitement »), les dispositions énoncées dans la présente partie 3 des conditions du responsable du traitement s'appliqueront au traitement des données du responsable par nos soins, en plus de la partie 1 — Conditions générales.

1. Données du responsable du traitement

1.1. Nous nous conformerons à nos obligations de contrôleur en vertu des lois sur la protection des données dans le cadre de notre traitement des données du responsable du traitement.

1.2. Nous allons :

  • 1.2.1. traiter les données du responsable du traitement uniquement aux fins autorisées et conformément à l'Annexe 1 du présent Addendum, telle que mise à jour de temps à autre ;
  • 1.2.2. fournir toutes les informations et notifications nécessaires, justes et transparentes aux personnes concernées et veillera à ce que ces informations et notifications détaillent le traitement des données du responsable du traitement tel que requis aux fins autorisées, la base juridique de ce traitement, les destinataires des données du contrôleur (y compris des tiers ou un régulateur) et toutes autres informations devant être fournies par un responsable du traitement aux personnes concernées en vertu des lois sur la protection des données ; et
  • 1.2.3. veiller à ce que toute personne concernée souhaitant faire une demande relative aux données du responsable du traitement dispose d'un point de contact facilement accessible pour le faire.

2. Demandes des personnes concernées

2.1. Si vous recevez une demande de personne concernée et/ou une plainte concernant le traitement des données du responsable du traitement, dans la mesure où la loi le permet, vous nous en informerez rapidement (et en tout état de cause dans les 48 (quarante-huit) heures suivant la réception de la demande et/ou de la plainte de la personne concernée) par e-mail à l'adresse compliance@crisscross.money, et, sauf disposition contraire de la loi applicable ou d'une autorité de surveillance, nous, en tant que responsable du traitement, serons responsables et traiterons cette demande et/ou cette plainte de la personne concernée conformément aux lois sur la protection des données.

Partie 4 - Conditions relatives au processeur

Lorsque nous traitons des données protégées en tant que sous-traitant pour vous dans le cadre ou autrement en relation avec le Contrat, les dispositions énoncées dans la présente Partie 4 — Conditions du processeur s'appliqueront au traitement des données protégées par nos soins, en plus de la Partie 1 — Conditions générales.

1. Instructions et détails du traitement

1.1. Dans la mesure où nous traitons des données protégées pour votre compte, nous devons :

  • 1.1.1. sauf si les Lois applicables l'exigent (et nous prendrons des mesures pour garantir que chaque personne agissant sous notre autorité) traitera les Données protégées uniquement sur la base et conformément au Contrat, à l'Annexe 1 du présent Addendum et à toute autre instruction documentée de votre part (« Instructions de traitement ») ; et
  • 1.1.2. si les lois applicables nous obligent à traiter les données protégées autrement que conformément aux instructions de traitement, veuillez vous informer de cette exigence avant de traiter les données protégées (sauf si les lois applicables interdisent de telles informations pour des raisons importantes d'intérêt public).

2. Personnel et autres sous-traitants

2.1. Nous n'engagerons aucun sous-traitant pour effectuer des activités de traitement concernant les données protégées sans vous en informer, et sous réserve du respect par nous des paragraphes 2.2 et 2.3 de cette partie 4 et du paragraphe 3 de la partie 1 ci-dessus. Vous êtes réputé avoir donné votre approbation si vous ne vous êtes pas opposé au nouveau sous-traitant proposé dans les trente (30) jours civils suivant la date à laquelle vous avez reçu la notification de notre part.

2.2. Nous allons :

  • 2.2.1. vous fournir des informations sur tout sous-traitant ;
  • 2.2.2. vous informer trente (30) jours à l'avance de toute modification d'un sous-traitant (par l'ajout ou le remplacement d'un sous-processeur secondaire) et vous fournir les informations nécessaires pour vous permettre de décider si vous souhaitez consentir à la modification. Vous êtes en droit de vous opposer à toute modification du sous-traitant et, à votre discrétion (sans que cela soit déraisonnable), vous pouvez choisir de résilier le Contrat ou la partie du Contrat qui implique le traitement des données protégées par le Sous-traitant si nous ne prenons pas les mesures que vous avez suggérées pour répondre à l'objection et si nous ne cessons pas de faire appel au Sous-traitant concerné ;
  • 2.2.3. avant que le sous-traitant concerné n'effectue des activités de traitement concernant les données protégées, désigner chaque sous-traitant dans le cadre d'un contrat écrit contenant des obligations qui offrent matériellement le même niveau de protection des données protégées que celles énoncées dans le présent addendum, y compris l'obligation pour le sous-traitant de fournir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles équivalentes conformément au paragraphe 3 de la présente partie 4 et pour supprimer ou renvoyer les données protégées conformément au paragraphe 7 du présent Partie 4. Le contrat avec le sous-traitant doit stipuler que vous pouvez faire respecter les obligations, y compris si nous cessons d'exister ou si nous devenons insolvables. Sur demande de votre part, nous fournirons une copie du contrat avec le sous-traitant. Nous pouvons rédiger le texte du contrat dans la mesure nécessaire pour protéger les informations confidentielles, y compris les données personnelles ; et
  • 2.2.4. vous informer de tout manquement d'un sous-traitant à ses obligations contractuelles visées au paragraphe 2.2.3 de la présente Partie 4.

2.3. Nous veillerons à ce que toutes les personnes autorisées par nous (ou par tout sous-traitant) à traiter des données protégées soient soumises à l'obligation de préserver la confidentialité des données protégées. Nous accorderons l'accès aux données protégées aux membres du personnel « selon les besoins » aux seules fins autorisées.

2,4. Nous resterons pleinement responsables envers vous de tous les actes et omissions de tout sous-traitant et de toute personne autorisée par nous (ou par un sous-traitant) à traiter les données protégées comme s'il s'agissait des nôtres.

3. Mesures techniques et organisationnelles

3.1. Nous mettrons en œuvre et maintiendrons des mesures techniques et organisationnelles appropriées conformément au paragraphe 2 de la partie 1 ci-dessus, afin de :

  • 3.1.1. veiller à ce que le traitement des données protégées réponde aux exigences minimales des lois sur la protection des données et garantisse la protection des droits des personnes concernées ; et
  • 3.1.2. vous fournir une assistance raisonnable pour répondre aux demandes des personnes concernées relatives aux données protégées.

4. Information et audit

4.1. Sous réserve du paragraphe 4.2 de cette partie 4, conformément aux lois sur la protection des données, dans la mesure raisonnablement nécessaire pour démontrer que nous respectons nos obligations en vertu de la partie 1 — Conditions générales, de la présente partie 4 — Conditions relatives au processeur et des lois sur la protection des données (sauf si la fourniture de ces informations constitue une violation des lois applicables, auquel cas nous vous informerons dans la mesure où les lois applicables nous y autorisent) :

  • 4.1.1. mettre les dossiers à votre disposition dès que cela est raisonnablement possible, à moins que la fourniture de ces informations ne soit contraire aux lois sur la protection des données ou à toute loi applicable (auquel cas, nous vous informerons dans la mesure où la loi nous y autorise) ; et
  • 4.1.2. autoriser et contribuer à des audits, y compris des inspections, par vous (ou par un auditeur mandaté par vous et accepté par écrit par nous).

4,2. Vous allez :

  • 4.2.1. nous fournir un préavis écrit raisonnable (pas moins de 10 jours ouvrables) pour toute demande d'information, audit et/ou inspection dont vous avez besoin ;
  • 4.2.2. veiller à ce que les dossiers et toutes les informations obtenues ou générées par vous ou votre auditeur dans le cadre de ces demandes d'informations, inspections et audits restent strictement confidentiels et que vous ne les divulguerez pas à un tiers sauf si un régulateur compétent vous y oblige, auquel cas vous devrez (dans la mesure où la loi le permet) au moins quatorze (14) jours avant cette divulgation nous en informer par écrit au préalable ;
  • 4.2.3. veiller à ce que cet audit ou cette inspection soit effectué pendant nos heures normales de bureau, avec un minimum de perturbations pour nos activités et celles de nos autres clients ;
  • 4.2.4. payer nos frais raisonnables pour nous aider à fournir des informations et permettre et contribuer à des inspections et des audits ; et
  • 4.2.5. vous conformer à toute obligation supplémentaire concernant l'accès pour vous ou pour un auditeur, comme indiqué dans le Contrat.

4.3. Les deux parties ont le droit de partager toute information visée dans le présent paragraphe 4 de la présente partie 4, y compris les résultats de tout audit, avec une autorité de surveillance compétente si nécessaire de temps à autre.

4,4. Rien dans le paragraphe 4 de cette partie 4 ne vous donne le droit d'accéder aux données de l'un de nos autres clients ou à toute information qui pourrait nous amener à violer nos obligations en vertu de la loi applicable (y compris les lois sur la protection des données) et/ou nos obligations de confidentialité envers un tiers.

5. Assistance et droits des personnes concernées

5.1. Nous sommes responsables de la tenue d'un registre des demandes des personnes concernées. Dès réception de toute demande de personne concernée, nous vous transmettrons immédiatement (et au plus tard dans les 48 (quarante-huit) heures suivant sa réception) cette demande et nous vous aiderons, à nos frais, rapidement à traiter cette demande afin de garantir que vous respectez les délais de réponse prévus par les lois sur la protection des données. Nous ne répondrons pas à une demande de personne concernée sans vous en informer au préalable par écrit ou conformément aux lois applicables, auquel cas nous vous informerons, dans la mesure permise par les lois applicables, de cette obligation légale avant de répondre à cette demande de personne concernée.

5.2. Nous vous fournirons l'assistance raisonnablement requise pour garantir le respect de vos obligations en vertu des lois sur la protection des données en ce qui concerne :

  • 5.2.1. sécurité du traitement ; analyses d'impact sur la protection des données (tel que ce terme est défini dans les lois sur la protection des données) ;
  • 5.2.2. consultation préalable d'une autorité de surveillance concernant le traitement à haut risque ;
  • 5.2.3. les notifications à l'autorité de surveillance et/ou les communications que vous avez adressées aux personnes concernées en réponse à une violation de données personnelles ; et
  • 5.2.4. toute mesure corrective à prendre en réponse à une violation de données personnelles et/ou à une plainte ou à une demande relative aux données concernant vos obligations en vertu des lois sur la protection des données applicables au Contrat.

6. Notification de violation

6.1. En ce qui concerne toute violation de données personnelles, nous vous informerons de la violation de données personnelles sans retard injustifié mais au plus tard 48 (quarante-huit) heures (ou plus tôt si possible) après avoir pris connaissance de la violation de données personnelles et vous fournirons des détails sur la violation de données personnelles, notamment la nature de la violation de données personnelles, les catégories et le volume approximatif des personnes concernées, les dossiers de données protégés concernés, les conséquences probables de la violation de données personnelles et toutes les mesures prises ou à prendre par nous pour atténuer les effets de la violation de données personnelles. Lorsque et dans la mesure où il ne nous est pas possible de fournir toutes ces informations en même temps, la notification initiale fournira les informations dont nous disposons et nous fournirons les informations supplémentaires dès qu'elles seront disponibles sans retard injustifié (mais en aucun cas plus de 24 (vingt-quatre) heures après leur mise à disposition).

6.2. Nous enquêterons immédiatement, à nos frais, sur la violation de données personnelles et prendrons des mesures pour identifier, prévenir et atténuer les effets de toute violation de données personnelles et y remédier. Nous ne publierons ni ne publierons aucun dossier, communication, avis, communiqué de presse ou rapport concernant une violation de données personnelles sans votre approbation écrite préalable.

6.3. Nous vous informerons rapidement (mais en aucun cas plus tard que 48 (quarante-huit) heures après en avoir pris connaissance) si nous recevons ou prenons connaissance d'une plainte relative aux données et nous ne répondrons pas à la plainte relative aux données sans votre approbation écrite préalable.

7. Suppression ou renvoi de données et de copies protégées

7.1. Nous traiterons les données protégées uniquement pendant la durée du traitement des données.

7.2. À la résiliation du Contrat et à votre demande écrite, nous veillerons à ce que toutes les Données protégées (et toutes les copies) vous soient renvoyées en toute sécurité ou détruites (à votre discrétion et selon vos instructions) dans la mesure du possible (sauf si le stockage est exigé par les Lois applicables et, le cas échéant, nous vous informerons d'une telle exigence) dans les circonstances suivantes :

  • 7.2.1. à la résiliation du Contrat ;
  • 7.2.2. à l'expiration de la durée de traitement des données ;
  • 7.2.3. une fois que le traitement des données protégées n'est plus nécessaire aux fins autorisées.

Annexe 1 - Détails du traitement des données

Champ d'application : Le traitement des données personnelles requis aux fins autorisées.

Nature et objectif : Le traitement des données personnelles requis aux fins autorisées.

Durée : Pendant la durée du Contrat et pendant la durée requise par les lois applicables (la « Durée du traitement des données »).

Types de données personnelles : Nous traiterons les catégories de données personnelles nécessaires à la fourniture des Services, y compris les catégories de données suivantes :

  • Adresse IP
  • Détails du passeport
  • Détails de la carte d'identité nationale
  • Informations sur le compte bancaire
  • Données de transaction
  • Portefeuille de cryptomonnaie et/ou adresses de transaction

Catégories de personnes concernées : Les personnes concernées incluent, sans s'y limiter, les personnes suivantes qui vous sont associées :

  • Employés
  • Réalisateurs
  • Actionnaires
  • Bénéficiaires effectifs
  • Utilisateurs autorisés
  • Fournisseurs
  • Clientèle
  • Consultants
  • Entrepreneurs

Annexe 2 - Mesures de sécurité

Les mesures de sécurité incluent :

  • Mettre en œuvre les processus et protocoles de sécurité pertinents pour garantir la sécurité des données protégées pendant le stockage et la transmission.
  • Pseudonymiser et/ou chiffrer les données protégées stockées par une partie ou transmises par une partie sur des réseaux publics ou sans fil ; et
  • Mettre en œuvre et maintenir les politiques et procédures pertinentes pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.

Annexe 3 - Transferts transfrontaliers

1. Définitions

Les termes utilisés dans cette annexe 3 ont la signification indiquée ci-dessous, dans l'addendum ou telle que définie dans les clauses contractuelles types de l'UE. Lorsqu'un terme est défini à la fois dans la présente annexe 3 et dans les clauses contractuelles types de l'UE, la signification du terme dans les clauses contractuelles types de l'UE a priorité par rapport aux clauses contractuelles types de l'UE.

Les « clauses contractuelles types de l'UE » désignent les clauses contractuelles types approuvées par la Commission européenne dans la décision 2021/914.

2. Mécanismes de transfert de données transfrontaliers

2.1. Si les Services sont couverts par plus d'un mécanisme de transfert, le transfert de données personnelles sera soumis à un seul mécanisme de transfert conformément à l'ordre de priorité suivant : (a) les clauses contractuelles types de l'UE énoncées au paragraphe 2.2 (Clauses contractuelles types de l'UE) de la présente annexe 3 ; et, si (a) est applicable, alors (b) les autres mécanismes de transfert de données applicables autorisés par les lois sur la protection des données.

2.2. Les clauses contractuelles types de l'UE s'appliqueront aux données personnelles transférées via les Services depuis l'EEE, la Suisse, Guernesey ou Jersey, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors de l'EEE, de la Suisse, de Guernesey ou de Jersey qui n'est pas reconnu par l'autorité compétente compétente comme fournissant un niveau de protection adéquat des données personnelles. Pour les transferts de données soumis aux clauses contractuelles types de l'UE, les clauses contractuelles types de l'UE seront considérées comme conclues et intégrées dans cet addendum par cette référence, et les modules suivants peuvent s'appliquer selon que CrissCross agit en tant que responsable du traitement, responsable conjoint ou sous-traitant des données personnelles :

  • Module 1 (contrôleur à responsable) des clauses contractuelles types de l'UE ;
  • Module 2 (du responsable du traitement au sous-traitant) des clauses contractuelles types de l'UE ;
  • Module 3 (de sous-traitant à sous-traitant) des clauses contractuelles types de l'UE ;
  • Module 4 (du processeur au responsable du traitement) des clauses contractuelles types de l'UE ; et
  • pour chaque module, le cas échéant, les modules seront complétés comme suit :
    • dans la clause 7 des clauses contractuelles types de l'UE, la clause d'amarrage facultative ne s'appliquera pas ;
    • dans la clause 9 des clauses contractuelles types de l'UE, l'option 2 s'appliquera et le délai de notification écrite préalable des modifications apportées au sous-traitant sera celui indiqué au paragraphe 2.2.2 de la partie 4 - Conditions du processeur du présent addendum ;
    • dans la clause 11 des Clauses contractuelles types de l'UE, la langue optionnelle ne s'appliquera pas ;
    • dans la clause 17 (Option 1), les clauses contractuelles types de l'UE seront régies par le droit irlandais ;
    • dans la clause 18 (b) des clauses contractuelles types de l'UE, les litiges seront résolus devant les tribunaux irlandais ;

2.3. Dans l'annexe I, partie A des clauses contractuelles types de l'UE :

Exportateur de données : Croix croisée
Coordonnées : compliance@crisscross.money et james@crisscross.money
Rôle de l'exportateur de données : Le rôle de l'exportateur de données est décrit dans le tableau présentant les différentes sociétés du groupe CrissCross à la page 1 de cet addendum.
Signature et date : En concluant l'accord, l'exportateur de données est réputé avoir signé les clauses contractuelles types de l'UE incorporées aux présentes, y compris leurs annexes, à la date de début de l'accord.

Importateur de données : Le client CrissCross (basé dans un pays tiers hors de l'UE)
Coordonnées : Les adresses e-mail désignées par le client de CrissCross telles qu'elles sont fournies à CrissCross de temps à autre.
Rôle de l'importateur de données : Le rôle de l'importateur de données est défini dans la section 1 de la partie 1 du présent addendum.
Signature et date : En concluant l'accord, l'importateur de données est réputé avoir signé les présentes clauses contractuelles types de l'UE, incorporées aux présentes, y compris leurs annexes, à la date de début de l'accord.

2,4. Dans l'annexe I, partie B des clauses contractuelles types de l'UE :

  • les catégories de personnes concernées sont énoncées dans l'annexe 1 (Détails du traitement des données) du présent addendum ;
  • la fréquence du transfert est continue pendant toute la durée de l'accord ;
  • la nature du traitement est indiquée dans le tableau de l'annexe 1 (Détails du traitement des données) du présent addendum ;
  • la finalité du traitement est indiquée dans le tableau de l'Annexe 1 (Détails du traitement des données) du présent Addendum ;
  • la période pendant laquelle les données personnelles seront conservées est indiquée dans le tableau de l'annexe 1 (Détails du traitement des données) du présent addendum ;

2,5. Dans l'annexe I, partie C des clauses contractuelles types de l'UE : La Commission irlandaise de protection des données sera l'autorité de surveillance compétente.

2.6. L'annexe 2 (Mesures de sécurité) de cet addendum constitue l'annexe II des clauses contractuelles types de l'UE.

Partie 5 - Glossaire et ordre de priorité

1. Définitions et interprétation

Les termes, acronymes, phrases et abréviations utilisés dans le secteur des services financiers ou dans un autre contexte commercial similaire seront interprétés conformément à leur sens généralement compris dans ce contexte industriel ou commercial et les termes minuscules utilisés mais non définis dans cet addendum, tels que « données personnelles », « violation de données personnelles », « traitement », « processeur », « contrôleur », « responsable conjoint du traitement » et « personne concernée » ont la signification définie dans les lois sur la protection des données. À moins que le contexte ne s'y oppose, les termes en majuscules utilisés dans le présent addendum auront la signification qui leur est donnée ci-dessous, ou telle que définie autrement dans le Contrat :

  • « Accord » désigne l'accord entre l'entité du groupe CrissCross concernée dans le tableau présenté à la page 1 et vous, qui intègre le présent Addendum par référence ;
  • « Lois applicables » désigne toutes les lois, réglementations, contraintes réglementaires, obligations ou règles en vigueur en Afrique du Sud, au Canada ou dans toute autre juridiction concernée, qui sont applicables à l'Accord concerné et au présent Addendum (y compris les codes de conduite contraignants et les déclarations de principe contraignantes incorporés et contenus dans ces règles de temps à autre), interprétés (le cas échéant) conformément à toute directive, code de conduite ou document similaire publié par une autorité réglementaire compétente ;
  • « Garanties appropriées » désigne le ou les mécanismes légalement applicables pour les transferts de données personnelles qui peuvent être autorisés de temps à autre par le RGPD ;
  • « Date de début » désigne la date d'entrée en vigueur de l'Accord ;
  • « Données du responsable du traitement » a le sens qui lui est donné dans la partie 3 du présent addendum ;
  • « Plainte relative aux données » désigne une plainte ou une demande concernant les obligations de l'une ou l'autre des parties en vertu des lois sur la protection des données applicables au Contrat, y compris toute plainte émanant d'une personne concernée ou toute notification, enquête ou autre action d'une autorité de surveillance ;
  • « Durée du traitement des données » a le sens qui lui est donné dans l'annexe 1 du présent addendum ;
  • « Lois sur la protection des données » désigne toutes les lois applicables en matière de protection des données (et, dans chaque cas, toute nouvelle promulgation ou modification) dans toute juridiction où CrissCross exerce ses activités (dans la mesure applicable aux services que nous vous fournissons dans le cadre du Contrat concerné), y compris la Loi sur la protection des données 2018, le RGPD de l'UE et toute autre réglementation (ou directive) locale ou nationale directement applicable en matière de confidentialité ;
  • « Demande de la personne concernée » désigne une demande faite par une personne pour exercer les droits des personnes concernées en vertu des lois sur la protection des données en relation avec les données protégées ;
  • « Données conjointes » a le sens qui lui est donné dans la partie 2 du présent addendum ;
  • « Finalités autorisées » a le sens qui lui est donné au paragraphe 1.3 de la partie 1 du présent additif ;
  • « Violation de données personnelles » désigne une violation de données personnelles en relation avec, impliquant ou affectant les données protégées ;
  • « Instructions de traitement » a le sens qui lui est donné au paragraphe 1.1.1 de la quatrième partie du présent additif ;
  • « Données protégées » désigne toutes les données personnelles que nous traitons en notre qualité de responsable conjoint ou indépendant ou de sous-traitant dans le cadre de l'exécution de nos obligations en vertu du Contrat ;
  • « Records » a le sens qui lui est donné au paragraphe 5.1 de la partie 1 du présent additif ;
  • « Prestations » désigne les services que nous vous fournissons de temps à autre en vertu et conformément aux termes de l'Accord concerné ;
  • « Sous-processeur » désigne un autre sous-traitant engagé par nous (lorsque nous agissons en tant que sous-traitant) pour effectuer des activités de traitement relatives aux données protégées dans le cadre ou en relation avec le Contrat ; et
  • « Autorité de surveillance » désigne toute agence locale, nationale ou multinationale, département, fonctionnaire, parlement, personne publique ou statutaire ou tout organisme gouvernemental ou professionnel, autorité de réglementation ou de surveillance, conseil ou autre organisme responsable de l'administration des lois sur la protection des données, y compris les autorités de surveillance compétentes au Canada et en Afrique du Sud.

2. Ordre de priorité

2.1. En cas de conflit entre le présent Addendum, les dispositions du Contrat ou la Politique de confidentialité, cet Addendum prévaudra.

2.2. En cas de conflit entre (i) les dispositions de la partie 1 - Conditions générales ; et (ii) les dispositions de l'une des parties 2 - Conditions du responsable conjoint, de la partie 3 - Conditions du responsable du traitement ou de la partie 4 - Conditions du processeur, les dispositions de la partie 2 - Conditions du responsable conjoint du traitement, de la partie 3 - Conditions du responsable du traitement ou de la partie 4 - Conditions du processeur (le cas échéant) prévaudront.

2.3. CrissCross se réserve le droit de mettre à jour cet addendum de temps à autre conformément aux termes du Contrat, notamment afin de nous conformer à nos obligations en vertu des lois sur la protection des données, pour faire face à toute modification des Services, y compris toute nouvelle fonctionnalité ou caractéristique et/ou pour couvrir tous les services supplémentaires que nous pouvons vous fournir de temps à autre. Les conditions qui prévaudront seront celles de la version la plus récente de cet addendum disponible sur le site Web de CrissCross et l'avis sera réputé avoir été donné à la date de publication sur le site Web de CrissCross.