Addendum aux conditions générales de Voxbi concernant le traitement des données

Voxbi is a trade name of Voipgate S.A.

This Data Processing Addendum (“DPA”) is made as of the Effective Date by and between Voxbi and Customer (each a “party”, together with the “parties”), pursuant to the Agreement for the provision of Mixvoip Services to Customer.

This DPA is supplemental to the Agreement and sets out the terms that apply when Personal Data from the European Economic Area is processed by Voxbi under the Agreement on behalf of the Customer.

Les autres termes en majuscules utilisés mais non définis dans le présent ATD ont la même signification que celle qui leur est donnée dans l'Accord.

1. Définitions

1.1 Aux fins du présent ATD :

• “Voipgate” means collectively or individually Voipgate S.A., mVg.lu, Voxbi S.A.

• “Agreement” means the Agreement between Customer and Voxbi, whether written or electronic, for the provision of any Voxbi services (“Services”), and any attachments thereto.

- "Lois applicables sur la protection des données" désigne toutes les lois sur la protection des données et la vie privée applicables au traitement des Données personnelles en vertu du présent ATD, y compris, le cas échéant, la législation européenne sur la protection des données.

- "EEE" désigne l'Espace économique européen.

- "Législation de l'UE sur la protection des données" désigne (i) avant le 25 mai 2018, la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, y compris toute mise en œuvre nationale applicable de celle-ci ; et (ii) à partir du 25 mai 2018, le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (tel que modifié, remplacé ou annulé).

- "Contrôleur" signifie l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données personnelles ;

- "Traitant" signifie une entité qui traite les données à caractère personnel pour le compte du Contrôleur ;

- "Données personnelles" : toute information relative à une personne physique identifiée ou identifiable ;

- " Bouclier de protection de la vie privée " fait référence aux programmes d'autocertification du Bouclier de protection de la vie privée entre l'UE et les États-Unis et entre la Suisse et les États-Unis, gérés et administrés par le ministère du Commerce des États-Unis ;

- " Principes du bouclier de protection de la vie privée " signifie les principes-cadres du bouclier de protection de la vie privée (tels que complétés par les principes supplémentaires) contenus dans l'annexe II de la décision C(2016)4176 de la Commission européenne du 12 juillet 2016 (telle que modifiée, annulée ou remplacée)

2. Applicabilité de la ATD

2.1 Applicabilité du ATD. Le présent ATD ne s'applique que dans la mesure où Mixvoip traite des données personnelles provenant de l'EEE, pour le compte du client ou d'une société affiliée du client.

3. Rôles et responsabilités

3.1 Parties’ Roles. Customer, as Controller, appoints Mixvoip as a Processor to process the Personal Data that is the subject of the Agreement on the Customer’s behalf. Notwithstanding anything in this DPA, Voxbi will have the right to process Personal Data originating in the EEA in its capacity as Controller;

3.2 Purpose Limitation. Voxbi shall process the Personal Data for the purposes described in Annex A, except where otherwise required by applicable law. Any additional processing required by the Customer outside of the scope of the Agreement will require a prior written agreement between the parties, including the agreement on any additional fees that Customer may be required to pay.

3.3 Security. Voxbi will maintain appropriate security measures to safeguard the security of Personal Data. Voxbi will maintain an information security and risk management program based on commercial best practices to preserve the confidentiality, integrity, and accessibility of Personal Data with administrative, technical, and physical measures conforming to generally recognized industry standards and practices. Voxbi shall implement appropriate technical and organizational measures to protect Personal Data from accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access.

3.4 Privacy Shield: To the extent that Voxbi processes (or causes to be processed) any Personal Data originating from the EEA in a country that has not been designated by the European Commission as providing an adequate level of protection for Personal Data, such Personal Data shall have adequate protection (within the meaning of EU Data Protection Legislation) by virtue of Voxbi having self-certified its compliance with the Privacy Shield Framework. To the extent that Voxbi processes (or causes to be processed) any such Personal Data outside of the EEA, it shall commit to applying the Privacy Shield Principles.

3.5 Conformité : Le client, en tant que contrôleur, est chargé de s'assurer que :

• it has complied, and will continue to comply, with all Applicable Data Protection Laws, including in any instructions it issued to Voxbi under this Agreement and DPA; and

• it has, and will continue to have, the right to transfer, or provide access to, the Personal Data to Voxbi for processing in accordance with the terms of the Agreement and this DPA.

4. Obligations liées au RGPD

4.1 Applicabilité de la section : La présente section 4 s'applique au traitement des Données à caractère personnel qui relèvent du champ d'application du GDPR / qui proviennent de l'EEE à partir du 25 mai 2018.

4.2 Confidentiality of processing. Voxbi shall ensure that any person that it authorizes to process the Personal Data shall be subject to a duty of confidentiality (whether a contractual or statutory duty).

4.3 Sub-processors. The customer agrees that Voxbi may engage Voxbi affiliates and third-party sub-processors (collectively, “Sub-processors”) to process the Personal Data on Voxbi’s behalf. The Sub-processors currently engaged by Voxbi and authorized by the Customer will be provided as of May 25, 2018. Voxbi shall impose on such Sub-processors data protection terms that protect the Personal Data to the same standard provided for by this DPA and shall remain liable for any breach of the DPA caused by a Sub-processor. Voxbi’s Sub-processors list upon request at dpo@voxbi.com.

4.4 Changes to Sub-processors. Voxbi may, by giving reasonable notice to the Customer, add or make changes to the Sub-processors. If the Customer objects to the appointment of an additional Sub-processor within five (5) calendar days of such notice on reasonable grounds relating to the protection of the Personal Data, then the parties will discuss such concerns in good faith with a view to achieving resolution. If such resolution cannot be reached, then Voxbi will either not appoint the Sub-processor or if this is not possible, the Customer will be entitled to suspend or terminate the affected Voxbi service in accordance with the termination provisions of the Agreement.

4.5 Security Incidents. “Security Incident” means accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to Personal Data. Upon becoming aware of a Security Incident, Voxbi shall notify Customer without undue delay at the contact information that Customer has provided in the Service Portal and shall provide such timely information as Customer may reasonably require, including to enable Customer to fulfil any data breach reporting obligations under EU Data Protection Legislation.

4.6 Cooperation and data subjects’ rights. Voxbi shall, taking into account the nature of the processing, provide reasonable assistance to Customers insofar as this is possible, to enable Customers to respond to requests from a data subject seeking to exercise their rights under EU Data Protection Legislation. In the event that such request is made directly to Voxbi, Voxbi shall promptly inform the data subject to contact the Customer administrator and inform of the same. It is the Customer’s sole responsibility to ensure that any administrator identified to manage and carry out data subject requests for the Customer Account has appropriate authority to fulfil the data subject requests.

4.7 Data Protection Impact Assessments: Voxbi shall, to the extent required by EU Data Protection Legislation, upon Customer’s request and at Customer’s expense, provide Customer with reasonable assistance with data protection impact assessments or prior consultations with data protection authorities that Customer is required to carry out under EU Data Protection Legislation.

4.8 Provision of Security Reports: Voxbi shall provide, upon Customer’s request, copies of any relevant summaries of external security certifications or security audit reports necessary to verify Voxbi compliance with this DPA.

4.9 Other audits: While it is the parties’ intention ordinarily to rely on the provision of the documentation at Section 4.9 above to verify Voxbi’s compliance with this DPA, Voxbi shall permit the Customer (or its appointed third-party auditors) to carry out an audit of Voxbi’s processing of Personal Data under the Agreement following a Security Incident suffered by Voxbi, or upon the instruction of a data protection authority. Customer must give Voxbi thirty (30) days prior notice of such intention to audit, conduct its audit at the Customer’s own costs and during normal business hours, and take all reasonable measures to prevent unnecessary disruption to Voxbi’s operations. Any such audit shall be subject to Voxbi’s security and confidentiality terms and guidelines.

4.10 Deletion or return of data: Upon termination or expiry of the Agreement, and upon written request, Voxbi shall, at Customer’s election, delete or return to Customer the Personal Data (including copies) in Voxbi’s possession, save to the extent that Voxbi is required by any applicable law to retain some or all of the Personal Data.

5. Divers

5.1 Sauf dans la mesure où il est modifié par le présent ATD, l'accord restera pleinement en vigueur.

5.2 En cas de conflit entre l'Accord et le présent ATD, les termes du présent ATD prévaudront.

5.3 Toute réclamation introduite en vertu du présent ATD sera soumise aux conditions, y compris, mais sans s'y limiter, aux exclusions et limitations énoncées dans l'accord.

ANNEXE A

DÉTAILS DU TRAITEMENT

Nature et finalités du traitement :

Voxbi is a Luxembourgish based provider of VoIP and software-as-a-service (“Saas”) solutions for the way employees communicate and collaborate in business. Voxbi provides cloud-based communications and collaboration services for high-definition voice, video, messaging and collaboration, and conferencing online meetings (the “Services”). Voxbi processes the personal data of the individuals who participate in these communications, including Customers and End Users (Customer employees and authorized users).

Voxbi administers the Customer Account, including providing the Customer with usage and analytic reports concerning the Customer’s use of the Services.

Catégories de personnes concernées :

Customer and End Users who use the Services, and any data subject who uses the Voxbi Services at the request of and in connection with the business of the Customer.

Type(s) de données personnelles traitées :

Les données personnelles transférées concernent les catégories de données suivantes pour les personnes concernées :

- Informations d'identification des coordonnées de l'utilisateur final du client (adresse, numéro de téléphone (fixe et mobile), adresse électronique, numéro de fax), informations sur l'emploi (titre du poste).

• Identification information for anyone who uses the Voxbi Services at the request of and in connection with the business of the Customer (including telephone number (fixed and mobile), IP address, and email address).

- Tous les enregistrements des détails des appels, incluant entre autres :

  • Le numéro de téléphone de l'abonné à l'origine de l'appel (appelant).
  • Le numéro de téléphone qui reçoit l'appel (appelé)
  • L'heure et la date de début de l'appel
  • La durée de l'appel
  • Le numéro de téléphone de facturation qui est facturé pour l'appel.
  • L'identification du standard ou de l'équipement téléphonique qui écrit l'enregistrement
  • Toute condition de défaut rencontrée

• Any other personal data that the Customer or Users choose to include in the content of the communications that are sent and received using the Voxbi Services.

• All faxes sent or received by the mean of a physical fax machine are not stored nor processed by Voxbi after transmission, either complete or incomplete.

- Tous les fax envoyés ou reçus par le biais d'un e-mail (fax to mail/mail to fax) sont stockés par Mixvoip après transmission pendant 62 jours, puis définitivement supprimés.

- Les enregistrements d'appels ne peuvent être effectués que conformément à la loi luxembourgeoise du 30/05/2005, art. 4, modifié par la loi du 28/07/2011, ou son équivalent en droit belge et en droit allemand.

  • Les enregistrements des appels sont conservés 20 jours dans le système téléphonique Voxbi [hosted PBX] accessible par le client et protégé par un nom d'utilisateur et un mot de passe, puis supprimés définitivement.
  • Optional: upon customer’s request, Voxbi can create a dedicated storage volume to push all recordings. Recordings are not kept in the Voxbi phone system [hosted PBX]. Files are accessible by the customer and protected by a user name and password. Files are kept 183 days, then permanently deleted.
  • Optional: upon customer’s request, the service is installed on an external server outside Voxbi’s control that fetches and deletes buffered recorded files on the Voxbi phone system [hosted PBX] and keeps them in the customers environment.

• Il est du ressort du client d'informer les appelants et les personnes appelées de l'enregistrement, de son but, de la durée de conservation, et de recueillir l'accord des parties avant l'enregistrement.

The personal data transferred to Voxbi for processing is determined and controlled by the Customer at its sole discretion. As such, Voxbi has no control over the volume and sensitivity of personal data processed through its Services by the Customer or End Users

Durée du traitement :

Les données personnelles seront traitées pendant la durée de l'accord, ou selon les dispositions légales ou convenues entre les parties. Conformément à l'art. 5 de la loi luxembourgeoise du 30/05/2005, modifiée par la loi du 28/07/2011, tous les enregistrements des détails des appels seront conservés par Mixvoip pendant 12 mois, ou 6 mois après le paiement de la facture libre de toute réclamation, ou la plus longue de ces deux périodes. Les adresses IP dynamiques pour les connexions Internet sont conservées pendant 6 mois. Les factures des clients, y compris tous les détails, sont conservées pendant 10 ans. Après ces périodes, les données sont rendues anonymes.

Catégories spéciales de données :

Voxbi does not intentionally collect or process any special categories of data in the provision of its Services.

[wpforms id="1462"]