Version : 1 Date : [12 mars 2026] Le présent addendum sur le traitement des données, y compris ses annexes ("DPA"), est intégré au contrat-cadre de services et aux commandes individuelles (ensemble, le "contrat") conclus entre vous ("client" ou "contrôleur") et Doodle AG, dont l'adresse commerciale est Werdstrasse 21, 8004 Zurich, Suisse (ensemble, avec les filiales et les entités affiliées, collectivement "Doodle" ou "Responsable du traitement") et définit des conditions supplémentaires qui s'appliquent dans la mesure où les informations que vous fournissez à Doodle en vertu du contrat comprennent des données personnelles (telles que définies ci-dessous).

A. " CCPA" désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act of 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]) et ses règlements d'application, chacun pouvant être modifié de temps à autre, y compris, sans limitation, par le California Privacy Rights Act de 2020.

B. "Cadre(s) de protection des données " désigne, selon le cas, le Cadre de protection des données UE-États-Unis, l'extension britannique du Cadre de protection des données UE-États-Unis et le Cadre de protection des données Suisse-États-Unis élaborés par le ministère américain du Commerce et la Commission européenne, le gouvernement britannique et l'administration fédérale suisse permettant aux organisations basées aux États-Unis qui participent à ces Cadres de protection des données de recevoir des données à caractère personnel de l'Union européenne / Espace économique européen, du Royaume-Uni et de Gibraltar, et de la Suisse en conformité avec les lois sur la protection des données en vigueur dans ces régions.

C. " Lois sur la protection des données " désigne toutes les lois fédérales, étatiques et étrangères applicables en matière de protection des données, de confidentialité et de sécurité des données, ainsi que les réglementations applicables et les directives officielles destinées par leur nature à avoir force de loi, toutes modifiées de temps à autre, et lorsqu'elles se réfèrent au traitement des Données personnelles par le Processeur, dans la mesure où elles sont directement applicables à ce traitement, y compris, sans limitation, les Lois sur la protection des données de l'UE, les Lois sur la protection des données du Royaume-Uni, les Lois sur la protection des données de la Suisse, la Loi sur la protection de la vie privée de 1988, la Loi sur la protection des informations personnelles et les documents électroniques, et la CCPA.

D. La "personne concernée" est l'individu ou le consommateur auquel se rapportent les données à caractère personnel.

E. " Demande de la personne concernée" : demande d'une personne concernée d'exercer les droits que lui confèrent les lois sur la protection des données en ce qui concerne ses données à caractère personnel.

F. " Lois européennes sur la protection des données" : le GDPR et toute législation ou réglementation de mise en œuvre applicable, ainsi que les lois de l'Union européenne ou des États membres, telles que modifiées de temps à autre.

G. "GDPR" désigne le Règlement général sur la protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données).

H. "Partie" désigne soit le client, soit Doodle.

I. Par "parties", on entend collectivement le client et Doodle.

J. " Données personnelles": toutes les informations relatives à une personne physique identifiée ou identifiable qui sont traitées par Doodle pour le compte du client dans le cadre de la fourniture des services au client, lorsque ces informations sont protégées en tant que "données personnelles" ou "informations personnelles" ou un terme similaire en vertu de la (des) loi(s) relative(s) à la protection des données.

K. " Traitement " désigne toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction.

L."Violation de la sécurité" : une violation confirmée des mesures de sécurité de l'information de Doodle entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles couvertes par le présent DPA ou l'accès à ces données.

M. " Services" : les services fournis par Doodle au client dans le cadre du contrat.

N. " Clauses contractuelles types " ou " CCS " désigne les clauses types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers approuvées par la Commission européenne, dont la version approuvée figure dans la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 et à l'adresse suivante : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.

O. " Lois suisses sur la protection des données " désigne toutes les lois relatives à la protection des données, au Traitement des Données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre en Suisse, y compris la Loi fédérale sur la protection des données du 25 septembre 2020 et ses ordonnances.

P. "Lois britanniques sur la protection des données " désigne toutes les lois relatives à la protection des données, au Traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni ("Royaume-Uni"), y compris le GDPR du Royaume-Uni et la loi sur la protection des données de 2018.

Q. "GDPR du Royaume-Uni" désigne le Règlement général sur la protection des données du Royaume-Uni, tel qu'il fait partie du droit du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait).

R. Les termes "Processeur" et "Contrôleur" ont la signification qui leur est donnée en vertu de la loi sur la protection des données applicable. Tous les termes en majuscules qui ne sont pas définis dans le présent DPA ont la signification qui leur est donnée dans l'accord et sont adoptés par référence dans le présent addendum.

A. Obligations du client :Le client est, entre lui et Doodle, le responsable du traitement des données personnelles et doit (a) déterminer le but et les moyens essentiels du traitement des données personnelles conformément au contrat ; (b) être responsable de l'exactitude des données personnelles ; et (c) respecter ses obligations en vertu des lois sur la protection des données, y compris, le cas échéant, s'assurer que le client dispose d'une base légale pour collecter les données personnelles, fournir aux personnes concernées les avis requis, et/ou obtenir le consentement de la personne concernée pour le traitement des données personnelles.

B. Obligations de Doodle. Doodle est le responsable du traitement des données personnelles et doit (a) traiter les données personnelles pour le compte du client conformément aux instructions écrites du client (à moins qu'il n'y soit renoncé par une exigence écrite) fournies pendant la durée de ce DPA ; et (b) respecter ses obligations en vertu des lois sur la protection des données. Une description du traitement des données à caractère personnel prévu dans le cadre du présent DPA figure à l'annexe 1. Les parties conviennent que le contrat, y compris le présent DPA, ainsi que l'utilisation des services par le client conformément au contrat, constituent les instructions écrites complètes et définitives du client à Doodle en ce qui concerne le traitement des données personnelles, et que des instructions supplémentaires dépassant le cadre de ces instructions nécessitent un accord préalable écrit et exécuté d'un commun accord entre le client et Doodle. Si Doodle estime raisonnablement qu'il existe un conflit entre une loi sur la protection des données et les instructions du client, Doodle en informera rapidement le client et les parties coopéreront de bonne foi pour résoudre le conflit et atteindre les objectifs de l'instruction.

C. Utilisation des données. Doodle n'utilise pas les données personnelles, à l'exception de l'utilisation des données personnelles selon les instructions du client, dans la mesure où le contrat le permet et où cela est nécessaire pour faire valoir des prétentions, pour se conformer aux exigences de la procédure judiciaire, pour coopérer avec les autorités de régulation et pour effectuer d'autres utilisations autorisées similaires, conformément aux dispositions expresses du droit de la protection des données.

D. LesParties reconnaissent et acceptent que le traitement des données personnelles aura lieu dans l'Union européenne (UE), en Suisse et peut-être dans d'autres juridictions en dehors du lieu de résidence des personnes concernées, et le Client se conformera à toutes les exigences en matière de notification et de consentement pour un tel transfert et traitement dans la mesure requise par les Lois sur la protection des données. E. Restitution ou destruction desdonnées : Doodle restitue ou détruit en toute sécurité les données personnelles, conformément aux instructions du client, à la demande de ce dernier ou à la clôture de son compte, à moins que les données personnelles ne doivent être conservées en vertu du droit applicable.

La présente section s'applique au traitement des données à caractère personnel lorsque ce traitement est soumis aux lois suisses sur la protection des données, aux lois européennes sur la protection des données ou aux lois britanniques sur la protection des données.

A. Transfert de données personnelles Le client reconnaît que Doodle a son siège en Suisse. Sauf exception prévue par les lois européennes sur la protection des données, les lois suisses sur la protection des données ou les lois britanniques sur la protection des données (selon le cas), les transferts de données personnelles soumises aux lois européennes sur la protection des données, aux lois suisses sur la protection des données ou aux lois britanniques sur la protection des données (selon le cas) à un destinataire situé dans une juridiction ne faisant pas l'objet d'une décision d'adéquation en vertu des lois sur la protection des données applicables sont régis par un accord de transfert de données sous une forme prescrite par les lois européennes sur la protection des données, les lois suisses sur la protection des données ou les lois britanniques sur la protection des données (selon le cas) (p. ex. clauses contractuelles types, clauses de confidentialité, clauses de confidentialité).Clauses contractuelles types ou équivalent), dans la mesure où la formalisation d'un tel document représente un moyen valable pour le transfert de données à caractère personnel soumises aux lois de l'UE sur la protection des données, aux lois suisses sur la protection des données ou aux lois britanniques sur la protection des données (selon le cas), ou est effectuée conformément à tout autre mécanisme de transfert valable prescrit par les lois de l'UE sur la protection des données, les lois suisses sur la protection des données ou les lois britanniques sur la protection des données (selon le cas). Dans la mesure où des mesures contractuelles, techniques ou organisationnelles supplémentaires sont requises par les lois européennes sur la protection des données, les lois suisses sur la protection des données ou les lois britanniques sur la protection des données (selon le cas) afin d'effectuer légalement des transferts de données à caractère personnel soumis aux lois européennes sur la protection des données, aux lois suisses sur la protection des données ou aux lois britanniques sur la protection des données (selon le cas), chaque partie coopère de bonne foi et met en œuvre et accepte de telles mesures, y compris, mais sans s'y limiter, la conclusion des clauses contractuelles types (si nécessaire), comme cela peut être nécessaire pour permettre et maintenir la légalité d'un tel transfert.

A-1. Clauses contractuelles types.

a. Doodle (en tant qu'"exportateur de données") et le client (en tant qu'"importateur de données") concluent les clauses contractuelles types, module 4, pour toute transmission de données personnelles soumises à la législation européenne sur la protection des données, à la législation suisse sur la protection des données ou à la législation britannique sur la protection des données (selon le cas) de Doodle au client. Les parties conviennent d'avoir accès aux clauses contractuelles types et d'en avoir connaissance, et renoncent à reproduire les clauses contractuelles types dans le présent DPA. En cas de conflit entre le présent DPA et les clauses contractuelles types, ces dernières prévalent.

b. En ce qui concerne les clauses contractuelles types, les parties conviennent que l'annexe 1.A. du présent DPA constitue l'annexe I.A. des clauses contractuelles types et que l'annexe 1.B.-I. constitue l'annexe I.B. Les parties conviennent en outre que ( i) la clause 7 s'applique ; (ii) la clause 11(a) s'applique sans option ; (iii) les clauses contractuelles types sont régies par le droit suisse et que les tribunaux de Zurich sont compétents (clauses 17 et 18).

c. En ce qui concerne les clauses contractuelles types, lorsqu'un transfert de Doodle au client est soumis à la loi suisse sur la protection des données, ( i) les référencesau droit de l'Union européenne sont interprétées comme incluant une référence à la loi fédérale suisse sur la protection des données ("LPD") ; (ii) la Suisse est considérée comme un "Etat membre" et les références à un "Etat membre" sont interprétées comme incluant la Suisse ; (iii) les termes utilisés dans les clauses contractuelles types qui sont définis dans la LPD sont interprétés comme étant soumis à la LPD. d. En ce qui concerne les clauses contractuelles types, lorsqu'un transfert de Doodle au client est soumis aux lois britanniques sur la protection des données, ces clauses doivent être lues conformément aux dispositions de la partie 2 (clauses obligatoires) de l'addendum britannique sur le transfert international de données aux clauses contractuelles types de la Commission européenne ("UK IDTA"), et les parties confirment que les informations requises aux fins de la partie 1 (tableaux) de l'UK IDTA sont complétées de la manière suivante :

1. Pour le tableau 1 : les champs des parties seront réputés être pré-remplis avec les parties exportatrices et importatrices figurant à l'annexe 1.A de la présente ;

2. Pour le tableau 2 : lesdites clauses, y compris les informations de l'appendice et uniquement les modules, clauses ou dispositions facultatives des clauses énumérées ci-dessus pour l'UE et la Suisse, sont mises en vigueur aux fins de l'accord de libre-échange entre le Royaume-Uni et l'Union européenne ;

3. Pour le tableau 3 : les informations de l'appendice sont présentées comme suit :

i. Annexe IA : Liste des parties : telle qu'elle figure à l'annexe 1.A du présent accord ; ii. Annexe IB : Description du transfert : telle qu'elle figure à l'annexe 1.B de la présente décision ; iii. Annexe II : N/A ;

4. Pour le tableau 4 : l'un ou l'autre peut mettre fin à l'accord de libre-échange nord-américain conformément aux dispositions de la section 19 de l'accord de libre-échange nord-américain.

B. Obligations. Doodle doit : (i) aide le client, dans une mesure raisonnable, à respecter ses obligations en vertu des articles 32 à 36 du RGPD, de leur équivalent en vertu des lois britanniques sur la protection des données ou de leur équivalent en vertu des lois suisses sur la protection des données, selon le cas a) ; (ii) tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du client conformément à l'article 30, paragraphe 2 du RGPD ou de leur équivalent en vertu des lois britanniques sur la protection des données ou de leur équivalent en vertu des lois suisses sur la protection des données, selon le cas ; et (iii) coopère, sur demande, avec une autorité de surveillance de l'UE, du Royaume-Uni ou de la Suisse, selon le cas, en ce qui concerne l'exécution des services.

A. CCPA. Le présent article s'applique au traitement par Doodle des données personnelles soumises à la loi sur la protection des données et Doodle agit en tant que prestataire de services du client (sauf disposition contraire dans le présent article). Le client communique les données personnelles à Doodle, qui ne les traite qu'aux fins prévues par le présent contrat, y compris la présente DPA. En cas de conflit entre les dispositions du présent article et celles du contrat, les dispositions du présent article prévalent. Tous les termes en majuscules utilisés dans la présente section mais non définis dans l'accord ont la signification qui leur est donnée dans l'ACCP, sauf indication contraire.

B. Doodle ne doit pas : a. vendre ou partager les données personnelles ; b. conserver, utiliser ou communiquer les données personnelles (i) à d'autres fins, y compris commerciales, que les objectifs commerciaux définis dans le contrat ou raisonnablement liés aux services, ou à d'autres fins que celles autorisées par la LSCP, ou (ii) en dehors de la relation commerciale directe entre les parties, à moins que la LSCP ne l'autorise expressément ; c. combiner les données personnelles avec des données personnelles qui ne sont pas utilisées à d'autres fins que celles prévues par le contrat. d'associer les données personnelles à des données personnelles que Doodle reçoit d'une ou plusieurs autres personnes ou qu'elle recueille dans le cadre de ses propres relations avec le consommateur, étant entendu que Doodle peut associer des données personnelles à des fins commerciales dans la mesure où la CCPA l'autorise. C. Doodle respecte les obligations qui lui incombent en tant que prestataire de services en vertu de la loi sur la protection des données et assure aux données personnelles le même niveau de protection de la vie privée que celui exigé des entreprises par la loi sur la protection des données. D. Le client a le droit de prendre des mesures raisonnables et appropriées pour contribuer à ce que Doodle utilise les données personnelles d'une manière compatible avec les obligations du client en vertu de la CCPA. La procédure à suivre est décrite au chiffre 8. E. Doodle informe le client lorsqu'elle constate qu'elle n'est plus en mesure de remplir ses obligations de fournisseur de services au sens de la LSCP. Si Doodle en informe le client, ce dernier a le droit de prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée des données personnelles et y remédier. F. Doodle peut faire appel à un sous-traitant pour l'aider à traiter les données personnelles à des fins commerciales pour le compte du client, en vertu d'un contrat écrit (un texte suffit) qui lie le sous-traitant et qui est conforme à la loi sur la protection des données. G. Dans la mesure où le client communique, partage ou met à disposition de Doodle des données personnelles d'une autre manière, il le fait pour la ou les fins commerciales limitées et déterminées décrites dans l'annexe 1. H. Dans la mesure où le client communique ou met à disposition de Doodle des données dépersonnalisées ou que Doodle dépersonnalise des données personnelles, Doodle s'engage à (i)prendre des mesures raisonnables pour que les données dépersonnalisées ne puissent pas être associées à une personne ou à un ménage, (ii) s'engager publiquement à conserver et à utiliser les données personnelles dépersonnalisées et à ne pas tenter de les réidentifier, et (iii) obliger contractuellement tout destinataire ultérieur à respecter toutes les dispositions du présent paragraphe H. I. Doodle aide raisonnablement le client à respecter ses obligations en matière d'évaluation des risques et d'audit de cybersécurité, ainsi qu'à se conformer aux exigences du client en ce qui concerne les technologies de prise de décision automatisée, compte tenu de la nature du traitement et des informations dont dispose Doodle. J. Les parties conviennent qu'aucune vente ou partage de données personnelles n'est prévu dans le cadre de cet accord, et les parties conviennent que toute fourniture de données personnelles par une partie à l'autre dans le cadre de cet accord est nécessaire à la réalisation d'un objectif commercial tel que décrit dans la section 9 ci-dessous ou dans l'annexe 1, et ne fait pas partie, et est explicitement exclue de l'échange de contrepartie, ou de toute autre chose de valeur, entre les parties.

A. Liste des sous-traitants. Le client accepte que Doodle fasse appel à des sous-traitants qui peuvent traiter des données personnelles pour le compte du client afin d'aider Doodle à fournir les services. La liste des sous-traitants actuels de Doodle est disponible ici. Doodle peut mettre à jour la liste des sous-traitants et met à disposition en ligne les mises à jour de cette liste et en informe le client. Le client peut s'y opposer par écrit dans un délai de deux (2) semaines à compter de la notification pour des motifs valables. Si le client s'y oppose, les parties négocient de bonne foi pour trouver une solution. Si les parties ne parviennent pas à se mettre d'accord sur une solution dans un délai de deux (2) mois à compter de la notification de l'objection, chaque partie peut résilier la commande individuelle concernée par notification écrite dans un délai de deux (2) semaines à compter de l'expiration de la période de négociation. B. Contrats de sous-traitance. Doodle conclut avec le sous-traitant ultérieur un accord écrit (un texte suffit) contenant des obligations en matière de protection des données qui sont au moins aussi restrictives que les obligations prévues par le présent DPA.

A. Sécurité des données. Doodle prend des mesures techniques et organisationnelles raisonnables, adaptées à la nature des données personnelles, pour préserver la sécurité, la confidentialité et l'intégrité des données personnelles et pour les protéger contre tout accès, destruction, utilisation, modification ou communication non autorisés ou illégaux. Doodle met en œuvre et maintient au moins les mesures techniques et organisationnelles mentionnées à l'annexe 2. B. Personnel autorisé. Doodle veille à ce que ses collaborateurs, sous-traitants, mandataires et réviseurs qui ont besoin de connaître les données personnelles ou d'y accéder d'une autre manière afin de permettre à Doodle d'exécuter ses obligations contractuelles soient soumis à un devoir de confidentialité à l'égard des données personnelles. C. Violations de la sécurité. Dès qu'elle a connaissance d'une violation de la sécurité, Doodle : (i) informe le client de la violation de la sécurité ; (ii) enquête sur la violation de la sécurité ; (iii) fournit au client les informations nécessaires sur la violation de la sécurité, conformément au droit applicable ; et (iv) prend des mesures raisonnables pour éviter que la violation de la sécurité ne se reproduise. Doodle met à disposition les dossiers et autres documents relatifs aux conséquences de la violation de la sécurité pour le client dans la mesure où cela est nécessaire pour respecter les lois sur la protection des données, sous réserve des obligations de confidentialité qui incombent à Doodle en vertu des lois ou des contrats en vigueur.

A. Assistance du responsable du traitement. Sur demande écrite du client, Doodle lui fournit l'assistance nécessaire pour l'aider à remplir ses obligations en vertu des lois sur la protection des données, notamment en lui fournissant des informations sur les mesures de sécurité techniques et organisationnelles de Doodle et, si nécessaire, en procédant à des évaluations de la protection des données (dont la procédure est décrite à l'article 8 ci-dessous). B. Demandes des personnes concernées. Si un invité, un collaborateur du client ou une autre personne concernée fait une demande à Doodle, Doodle conseille à la personne concernée d'adresser sa demande directement au client de Doodle qui est le responsable du traitement de ces données personnelles et informe le client de cette demande si la personne concernée désigne à Doodle le client comme responsable du traitement de ces données personnelles. Le client est responsable des demandes des personnes concernées. Doodle coopère pleinement avec le contrôleur et l'aide à répondre à toute demande d'accès à des données personnelles détenues par des personnes concernées ou à toute autre demande, allégation ou plainte émanant d'une autorité compétente ou d'une personne concernée, y compris en informant le contrôleur par écrit et sans retard injustifié de la réception d'un tel avis ou d'une telle demande. Les informations de contact pour les demandes des personnes concernées sont disponibles sur notre site web. C. Coûts. Si Doodle estime de bonne foi qu'une demande d'assistance au sens du présent article est déraisonnable, trop lourde et ne correspond pas aux attentes de l'industrie en matière d'assistance, les parties conviendront de bonne foi des coûts que le client devra payer à Doodle pour cette assistance.

Dans les trente (30) jours suivant la demande écrite du client, et au plus tard une fois par an, Doodle met à la disposition du client (ou d'un auditeur tiers convenu d'un commun accord) les informations raisonnablement nécessaires pour démontrer que Doodle respecte les obligations énoncées dans le présent DPA, sous la forme de son ou de ses derniers rapports d'audit ou de certification de tiers (tels que SOC 2 ou Cloud Verify). Si, après avoir reçu le(s) rapport(s), le client estime raisonnablement que des informations supplémentaires sont nécessaires pour confirmer que Doodle remplit ses obligations dans le cadre du présent DPA ou pour permettre au client d'effectuer une évaluation de la protection des données, le client peut demander par écrit ces informations supplémentaires. Les parties s'entendent alors de bonne foi sur les informations supplémentaires que Doodle doit fournir, et Doodle fournit les informations convenues. Si le droit applicable en matière de protection des données prévoit un droit de contrôle sur place, Doodle autorise le client à procéder à ce contrôle. Toutes les informations fournies par Doodle en vertu du présent article sont considérées comme des informations confidentielles de Doodle et sont soumises aux obligations de confidentialité énoncées dans le contrat.

Les parties reconnaissent et acceptent que Doodle traite certaines données personnelles en tant que contrôleur décrit dans notre déclaration de confidentialité et qu'elle les traite conformément à celle-ci aux fins suivantes lorsque les lois sur la protection des données de l'UE, du Royaume-Uni ou de la Suisse s'appliquent à ces données personnelles : (i) pour gérer la relation avec le client, y compris la création de comptes clients, la facturation et les activités de vente et de marketing ; (ii) à des fins liées aux opérations commerciales internes de Doodle, telles que la comptabilité, les audits, la préparation et la déclaration des impôts et la conformité ; (iii) pour surveiller, enquêter, prévenir et détecter les fraudes, les incidents de sécurité et d'autres abus des services ; (iv) à des fins de vérification d'identité ; (v) pour se conformer aux obligations légales ou réglementaires applicables au traitement et à la conservation des données personnelles auxquelles Doodle est soumise ; (vi) pour développer, améliorer et comprendre l'utilisation de ses produits et services, et (vii) dans la mesure où les lois sur la protection des données le permettent et comme indiqué dans la déclaration de confidentialité de Doodle.

A. Conflit. En cas de conflit ou d'incohérence entre le présent DPA et les lois sur la protection des données, les lois sur la protection des données prévaudront. En cas de conflit ou d'incohérence entre les termes du présent DPA et les termes de l'Accord, les termes du présent DPA prévalent uniquement dans la mesure où l'objet concerne le traitement des données à caractère personnel. B. Modifications. Le présent DPA ne peut être modifié que par un instrument écrit signé par les parties. Si une autorité de protection des données constate que le contrat ou le présent contrat n'est pas suffisamment conforme aux lois sur la protection des données ou aux modifications de ces lois, le client et Doodle s'engagent à collaborer de bonne foi pour modifier le contrat ou le présent contrat ou pour conclure d'autres contrats de traitement des données mutuellement acceptables afin de se conformer à toutes les lois sur la protection des données. C. Responsabilité. La responsabilité de chaque partie découlant du présent DPA ou liée à celui-ci, qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, est soumise aux limitations de responsabilité contenues dans l'accord. Pour éviter toute ambiguïté, toute référence au "DPA" dans les présentes désigne le présent DPA, y compris ses pièces et annexes. D. Droit applicable et arbitrage. Pour éviter toute ambiguïté, la section 16.1 du contrat-cadre de services ("Droit applicable et arbitrage") s'applique au présent DPA. E. Intégralité de l'accord. Le présent DPA est sans préjudice des droits et obligations des parties en vertu de l'accord, qui reste pleinement en vigueur. Le présent DPA et l'accord constituent l'accord final, complet et exclusif des parties en ce qui concerne l'objet du présent DPA et remplacent et fusionnent toutes les discussions et tous les accords antérieurs entre les parties en ce qui concerne l'objet du présent DPA.

A. Liste des parties a.Le contrôleur.i. Le contrôleur est le client. ii. Adresse : l'adresse du client indiquée dans le contrat. iii. Nom, fonction et coordonnées de la personne de contact : Marko Midzor Head of IT, [email protected]iv. Activités concernées : activités nécessaires à la fourniture des services décrits dans le contrat. v. Signature et date : le client est réputé avoir signé la présente annexe I en concluant l'accord-cadre de services.b. Sous-traitant.i. Le sous-traitant est Doodle AG. ii. Adresse : Werdstrasse 21, 8004 Zurich, Suisse iii. Nom, fonction et coordonnées des personnes de contact : Responsable informatique de Doodle : Marko Midzor Courriel : [email protected]. DPD de Doodle AG : Elena Frahm, TÜV Informationstechnik GmbH Am TÜV 1, 45307 Essen Allemagne, Courriel : [email protected] iv.Activités pertinentes : Activités nécessaires à la fourniture des services décrits dans le contrat. v. Signature et date : Doodle est réputée avoir signé la présente annexe I en concluant le contrat-cadre de services. B. Catégories de personnes dont les données personnelles sont traitées. Le client peut transmettre à Doodle des données personnelles dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées : (i) les utilisateurs finaux du client (et de ses sociétés affiliées) tels qu'autorisés dans le contrat, y compris les employés, les entrepreneurs, les représentants et les agents, et (ii) les personnes avec lesquelles le client (et ses sociétés affiliées) planifie des rendez-vous et des réunions en utilisant les services de Doodle, ce qui peut inclure ses représentants, ses partenaires commerciaux, ses collaborateurs, ses candidats à l'emploi, ses clients et ses clients potentiels. C. Catégories de données personnelles traitées. Le client peut transmettre à Doodle des données personnelles, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de données personnelles suivantes : Prénom et nom de famille ; Titre ; Fonction ; Employeur ; Coordonnées (société, email, téléphone, adresse professionnelle physique) ; Données personnelles contenues dans les détails de l'événement du calendrier connecté ; Lieu approximatif et/ou fuseau horaire ; et autres données sous forme électronique utilisées par le Client dans le cadre des Services. D. Transfert de données sensibles (le cas échéant). Des données sensibles peuvent être transférées dans certains cas d'utilisation des Services, comme l'origine raciale ou ethnique, l'appartenance à un syndicat ou des données relatives à la santé. E. Fréquence du transfert. Continu. F. Objet/Nature du traitement. Les processus peuvent inclure la collecte, le stockage, l'extraction, la consultation, l'utilisation, l'effacement ou la destruction, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition des données personnelles du client, dans la mesure où cela est nécessaire pour fournir les services conformément aux instructions du client, y compris à des fins internes connexes lorsque les lois applicables le permettent (telles que le contrôle de la qualité, le dépannage, la sécurité de l'information, la prévention et la détection des spams, de la fraude et des abus, ainsi que le développement et l'amélioration des produits). G. Finalité(s) du transfert et du traitement ultérieur des données. L'objectif du traitement des données personnelles par Doodle est l'exécution des services contractuels prévus par le contrat avec le client. H. La durée de conservation des données personnelles ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée. Les données personnelles sont conservées aussi longtemps qu'il est raisonnablement nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées, pour exécuter nos obligations contractuelles et légales, et pour les délais de prescription applicables aux fins de l'introduction et de la défense de réclamations. I. Pour les transferts à des sous-traitants (secondaires), précisez également l'objet, la nature et la durée du traitement. L'objet et la nature du traitement par les sous-traitants ultérieurs sont indiqués dans la liste des sous-traitants ultérieurs figurant ici. La durée du traitement par les sous-traitants secondaires correspond à la durée pendant laquelle Doodle fournit au client les services prévus par le contrat.

J. Buts commerciaux. (1) Contribuer à assurer la sécurité et l'intégrité des services (dans la mesure où l'utilisation des données personnelles pertinentes est raisonnablement nécessaire et proportionnée à ces fins). (2) Débogage afin d'identifier et de réparer les erreurs qui nuisent à la fonctionnalité prévue des services. (3) exécuter les services pour le compte du client, y compris fournir un service d'assistance aux utilisateurs autorisés, vérifier les informations relatives aux utilisateurs autorisés du client et assurer le stockage des données (4) entreprendre des recherches internes pour le développement technologique et la démonstration des services.

Doodle met en œuvre et maintient au moins les mesures techniques et organisationnelles décrites dans la présente annexe. Les sous-traitants de Doodle mettent en œuvre et maintiennent des mesures techniques et organisationnelles qui assurent au moins le même niveau de protection que les mesures de Doodle, même si ces mesures ne sont pas identiques.

A. Confidentialité (article 32, paragraphe 1, points a à b du RGPD ou leur équivalent dans les lois sur la protection des données en vigueur)

a. Contrôle de l'accès physique. Mesures visant à empêcher les personnes non autorisées d'accéder aux équipements de traitement des données avec lesquels les données sont traitées ou utilisées :

• Doodle utilise des systèmes de gestion vidéo et de contrôle d'accès physique dans tous ses bureaux, afin d'empêcher les personnes non autorisées (c'est-à-dire celles qui n'ont pas les droits d'accès nécessaires) d'accéder aux équipements de traitement des données.

b. Contrôle d'accès électronique. Mesures visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées :

• L'accès est limité selon le principe du moindre privilège et du besoin de savoir.

• Doodle utilise une plateforme de gestion des identités et des accès, un nom d'utilisateur/mot de passe, un SSO et un MFA pour restreindre l'accès.

• Doodle dispose d'une politique de mot de passe écrite qui est harmonisée et appliquée à l'aide de la politique de mot de passe de l'application du service de gestion des identités.

• Tous les ordinateurs portables de Doodle sont cryptés à l'aide de l'application de stockage de fichiers.

• Les données des clients sont cryptées dans le nuage à l'aide de l'application de l'environnement en nuage (Cloud Environment Application) par cryptage en bloc AES-256 et les clés sont gérées par le service de gestion des clés (KMS) de l'application de l'environnement en nuage (Cloud Environment Application Key Management Service).

• Doodle utilise TLS 1.2 ou plus pour crypter les données des clients en transit.

c. Contrôle d'accès interne. Mesures visant à empêcher que les personnes autorisées à utiliser un système de traitement des données ne puissent accéder qu'aux données soumises à leur autorisation d'accès et que les données ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après le stockage :

• Les données des clients sont cryptées dans le nuage à l'aide du cryptage par bloc AES-256 natif de l'application de l'environnement cloud et les clés sont gérées via le service de gestion des clés (KMS) de l'application de l'environnement cloud.

• Doodle utilise TLS 1.2 ou plus pour crypter les données des clients en transit.

• La séparation des tâches est explicitement abordée dans la politique de contrôle d'accès qui contient une explication de haut niveau de la méthodologie de séparation d'accès de l'entreprise.

• Les droits d'accès logiques sont séparés par des autorisations de groupe dans l'application de gestion des identités.

• Doodle procède à des examens périodiques des droits d'accès afin d'assurer la séparation des tâches.

• Doodle utilise la plate-forme de protection des points finaux pour surveiller les points finaux internes.

d. Contrôle de l'isolement. Mesures visant à empêcher que des données collectées à des fins différentes puissent être traitées séparément :

• L'accès aux systèmes des clients et aux données de configuration est limité au personnel autorisé de Doodle.

• L'accès à la production est limité au personnel autorisé, tous les déploiements de code et les correctifs d'urgence étant régis par des évaluations obligatoires par les pairs, des flux de travail automatisés d'approbation CI/CD et des processus de gestion des changements par ticket.

• Doodle maintient un réseau Guest distinct et utilise une solution MDM pour faire tourner et pousser les mots de passe cachés pour le réseau sans fil interne tous les six mois, garantissant ainsi une démarcation stricte de l'accès.

e. Pseudonymisation et cryptage. Traitement de données à caractère personnel de telle sorte que les données ne puissent plus être attribuées à une personne concernée spécifique sans l'utilisation d'informations supplémentaires, à condition que ces informations supplémentaires soient conservées séparément et que des mesures techniques et organisationnelles appropriées soient prises :

• Tous les ordinateurs portables de Doodle sont cryptés à l'aide de l'application File Storage.

• Doodle utilise TLS 1.2 ou plus pour crypter les données des clients en transit.

• Les données des clients sont cryptées dans le nuage à l'aide de l'application de l'environnement en nuage (Cloud Environment Application) par cryptage en bloc AES-256 et les clés sont gérées par le service de gestion des clés (KMS) de l'application de l'environnement en nuage (Cloud Environment Application Key Management Service).

• L'accès aux clés de chiffrement est strictement régi par le principe du moindre privilège, limité à un nombre restreint de personnes autorisées au sein de Doodle.

B. Intégrité

(Article 32(1)(b) du GDPR ou leur équivalent en vertu des lois sur la protection des données applicables)

a. Contrôle du transfert. Mesures visant à empêcher que les données puissent être lues, copiées, modifiées ou supprimées par des personnes non autorisées au cours de la transmission électronique ou pendant leur transport ou leur stockage sur des supports de données :

• Tous les ordinateurs portables de Doodle sont cryptés à l'aide de l'application de stockage de fichiers.

• Les données des clients sont cryptées dans le nuage à l'aide de l'application de l'environnement en nuage (Cloud Environment Application) par cryptage en bloc AES-256 et les clés sont gérées par le service de gestion des clés (KMS) de l'application de l'environnement en nuage (Cloud Environment Application Key Management Service).

• Doodle utilise TLS 1.2 ou plus pour crypter les données des clients en transit.

b. Contrôle des entrées et des divulgations. Mesures permettant de vérifier a posteriori si et par qui des données ont été introduites, modifiées, communiquées (le cas échéant à qui) et supprimées des systèmes de traitement des données :

• Doodle tient des journaux complets pour tous les environnements de production. Ces journaux sont stockés dans un répertoire centralisé qui est logiquement séparé des systèmes de production afin d'empêcher toute altération et de garantir l'intégrité médico-légale.

• Tous les journaux d'accès et d'activité sont conservés pendant au moins un an, à des fins d'audit de conformité et de contrôle de la sécurité.

c. Contrôle du stockage: Mesures visant à empêcher les personnes non autorisées de lire, copier, modifier, déplacer, supprimer ou détruire les données stockées :

• Les données des clients sont gérées, traitées et stockées conformément à la protection des données et à d'autres réglementations formellement établies dans nos politiques.

• Doodle applique une politique de contrôle d'accès basée sur les rôles (RBAC), comme indiqué dans les politiques internes de Doodle.

• Les droits d'administration sont limités aux comptes accessibles uniquement par les services techniques de Doodle, pour lesquels le rôle d'administration a été approuvé et accordé par le biais de procédures de contrôle des changements.

C. Disponibilité et résilience

(Article 32, paragraphe 1, point c), du RGPD ou son équivalent dans les lois sur la protection des données applicables)

a. Contrôle de la disponibilité: Mesures visant à protéger les données contre la destruction ou la perte accidentelle :

• En tant qu'organisation privilégiant le cloud, toutes les données sont hébergées sur une infrastructure cloud à haute disponibilité avec une redondance intégrée dans plusieurs zones de disponibilité.

b. Récupérabilité rapide : Mesures visant à permettre une restauration rapide des données en cas d'incident physique ou technique.

• Doodle effectue quotidiennement des sauvegardes complètes de son infrastructure en nuage.

• Les sauvegardes internes sont cryptées en transit et au repos. Pour le transit, Doodle utilise au minimum TLS 1.2 et pour le cryptage au repos, Doodle utilise un algorithme de cryptage AES-256 standard de l'industrie.

c. Sécurité des systèmes : Mesures visant à adapter les systèmes d'exploitation et les logiciels d'application aux nouvelles normes de sécurité et à résoudre les vulnérabilités critiques :

• La politique de gestion des correctifs de Doodle régit un écosystème centralisé dans lequel les terminaux sont corrigés via l'application d'automatisation de la gestion des appareils mobiles et l'application de gestion en nuage, l'infrastructure est gérée via le gestionnaire de correctifs de l'application de l'environnement en nuage et les versions sont déployées via l'outil App - Dev, en intégrant idéalement des tests de pré-production pour évaluer les correctifs avant le déploiement complet.

• Doodle analyse fréquemment son infrastructure interne et publique pour détecter les vulnérabilités et les expositions courantes.

D. Procédures d'examen, d'évaluation et de contrôle réguliers

(Article 32, paragraphe 1, point d), du GDPR ou son équivalent dans les lois sur la protection des données applicables)

a. Gestion de la protection des données :

• Doodle dispose de politiques, de procédures et de normes visant à ce que les données personnelles des clients soient traitées de manière responsable et dans le respect des principes de protection des données, des lois et des règlements applicables à Doodle.

• Doodle a publié et mis en œuvre une politique de classification des informations qui traite de la classification et du cryptage des informations. Les données personnelles des collaborateurs et des clients sont cryptées conformément à cette politique.

• Tous les ordinateurs portables des collaborateurs sont cryptés à l'aide de l'application File Storage.

• Doodle dispense régulièrement des formations de sensibilisation à la protection de la vie privée à l'ensemble de son personnel et, lorsque cela est autorisé, enregistre les formations suivies.

• Doodle examine et enregistre où et comment ses produits et services collectent, utilisent, conservent et éliminent les données personnelles. Les risques sont identifiés, enregistrés et atténués.

• Doodle est transparent sur la manière dont il collecte, traite, conserve et supprime les données personnelles. Les données personnelles que Doodle collecte, utilise, traite et partage dépendent des services demandés et/ou des activités réalisées. Pour plus d'informations, veuillez consulter notre politique de confidentialité.

• Doodle utilise les données personnelles qu'elle recueille conformément aux règles de protection des données qui lui sont applicables. Doodle indique clairement les raisons pour lesquelles elle collecte et utilise des données personnelles et ce, de manière cohérente avec ces objectifs.

• Les données des clients sont en outre sécurisées par un processus SDLC qui met en œuvre les meilleures pratiques et contrôles de sécurité pour ses applications, tels que le cryptage AES 256 bits pour les données au repos, la surveillance et la journalisation, la gestion de la vulnérabilité et le durcissement du système.

• Doodle utilise une plateforme intégrée pour la formation de sensibilisation à la sécurité combinée à des attaques de phishing simulées sur une base régulière pour tous ses employés.

• Chaque année, Doodle fait l'objet d'un audit externe indépendant basé sur les exigences des principes des services de confiance de l'AICPA's SOC 2 Type II. Doodle a également atteint le niveau 3 de MSP Alliance Cyber Verify, ce qui signifie que les domaines critiques de nos opérations de services cloud, y compris la confidentialité des données, la sécurité du réseau, la disponibilité et le temps de fonctionnement, les plans de reprise après sinistre, l'évolutivité et la conformité ont été audités et jugés conformes aux réglementations de l'industrie.

• Pour répondre aux exigences du GDPR, Doodle a officiellement nommé un délégué à la protection des données (DPO) externe pour assurer une surveillance indépendante et l'intégrité continue de ses activités de traitement des données personnelles.

• Doodle dispose d'un processus formalisé pour traiter les demandes des personnes concernées afin de permettre le respect des droits d'accès, de rectification et d'effacement légaux applicables dans les délais réglementaires prescrits.

b. Gestion de la réponse aux incidents :

• Doodle dispose d'un plan de continuité des activités, d'un plan de réponse aux incidents de sécurité, d'une procédure de réponse aux incidents de sécurité et d'une politique et d'une procédure de gestion des violations de données qui sont testées chaque année.