Get a Demo

ATD

Dernière mise à jour et entrée en vigueur au 6 janvier 2026 (la « Date d’entrée en vigueur de l’ATD »).

Les versions archivées de l’Addendum sur le Traitement des Données de 3Play Media sont disponibles sur notre site internet.

Le présent Addendum sur le Traitement des Données (« ATD ») fait partie intégrante de l’Entente de prestation de services de 3Play Media ou de tout autre Entente de prestation de services applicable (selon le cas, l’« Entente »), conclue entre 3Play Media, Inc., ainsi que ses sociétés affiliées (collectivement, la « Société » ou « 3Play Media »), et l’entité ayant engagé la Société pour la fourniture des Services (le « Client »). Les termes en majuscule, utilisés et non définis dans le présent Addendum sur le Traitement des Données, ont la signification qui leur est attribuée dans l’Entente. En cas de conflit entre les dispositions du présent ATD et toute autre stipulation de l’Entente, les dispositions du présent ATD prévaudront. La Société et le Client sont désignés individuellement comme une « Partie » et collectivement comme les « Parties ». En concluant l’Entente, les Parties sont réputées avoir signé l’ensemble des pièces jointes, annexes, avenants, tableaux et appendices, y compris ceux incorporés par référence, au présent Addendum sur le Traitement des Données (ATD), lorsqu’ils sont applicables.

  1. Définitions.
    1. « Société affiliée » désigne toute personne morale, société en nom collectif ou autre entité commerciale en exercice ou constituée ultérieurement qui, directement ou indirectement, contrôle une partie, est contrôlée par elle ou se trouve sous contrôle commun avec elle. Aux fins de la présente définition, on entend par « contrôle » la possession directe de la majorité des titres avec droit de vote en circulation d’une entité. À la Date d’entrée en vigueur de l’ATD, les sociétés affiliées de 3Play Media, Inc. comprennent notamment 3Play Media Canada, Inc. et Captionmax, LLC.
    2. « CCPA » désigne, dans la mesure où elle est applicable, la loi sur la protection des Données personnelles du consommateur en Californie (California Consumer Privacy Act) de 2018, telle que modifiée par la loi sur la confidentialité des données à l’échelle de l’État (California Privacy Rights Act) de 2020, ainsi que l’ensemble des règlements pris pour son application.
    3. « Données du Client » désigne toute information traitée ou générée par la Société exclusivement pour le compte du Client, y compris, sans limitation, les données à caractère personnel de l’Union européenne, les données à caractère personnel du Royaume-Uni, les données à caractère personnel de Californie et/ou les Données relevant des législations des États.
    4. « Législations européennes sur la protection des données » désigne collectivement le RGPD et les lois britanniques relatives à la protection des données, selon le cas.
    5. « RGPD » désigne le Règlement général sur la protection des données (UE) 2016/679.
    6. « Données à caractère personnel » désigne toute information se rapportant à une personne physique, un ménage ou un appareil identifié ou identifiable, ou pouvant raisonnablement être rattachée à ceux-ci.
    7. « Traitement » (y compris toute forme grammaticale dérivée) désigne toute opération ou tout ensemble d’opérations effectuées sur des données ou des ensembles de données, par des moyens automatisés ou non, y compris, sans limitation, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’accès, l’extraction, la consultation, l’utilisation, la divulgation (y compris par transmission), l’analyse, la suppression, la modification, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, y compris les actions consistant pour une personne à demander à un tiers de traiter des données pour son compte.
    8. « Législations des États sur la protection des données » désigne (dans chaque cas dans la mesure où elles sont en vigueur et applicables, et y compris les règlements pris pour leur application) : (i) le Colorado Privacy Act; (ii) le Connecticut Act Concerning Personal Data Privacy and Online Monitoring; (iii) l’Utah Consumer Privacy Act; (iv) le Virginia Consumer Data Protection Act; (v) le Delaware Personal Data Privacy Act; (vi) l’Indiana Consumer Data Protection Act; (vii) l’Iowa Consumer Data Protection Act; (viii) le Montana Consumer Data Privacy Act; (ix) l’Oregon Consumer Privacy Act; (x) le Tennessee Information Protection Act; (xi) le Texas Data Privacy and Security Act; (xii) la loi du New Jersey SB 332; (xiii) la loi du New Hampshire SB 255; (xiv) le Nebraska Data Privacy Act; (xv) le Kentucky Consumer Data Protection Act; (xvi) le Maryland Online Data Privacy Act; (xvii) le Minnesota Consumer Data Privacy Act; (xviii) le Rhode Island Data Transparency and Privacy Protection Act; et/ou (xix) toute autre loi étatique des États-Unis substantiellement similaire, à tous égards, aux textes visés aux points (i) à (xviii), susceptible d’entrer en vigueur ultérieurement.
    9. « Données relevant des législations des États » désigne toute Donnée à caractère personnel régie par une ou plusieurs législations des États sur la protection des données et traitée par la Société exclusivement pour le compte du Client.
    10. « R.-U. » désigne le Royaume-Uni.
    11. « Législation britannique sur la protection des données » désigne le RGPD britannique ainsi que la loi britannique sur la protection des données de 2018.
    12. « RGPD britannique » désigne l’équivalent britannique du RGPD européen, tel que défini à l’article 3(10) et complété par l’article 205(4) de la loi britannique sur la protection des données 2018.
  2. Responsable du traitement des données à caractère personnel de l’Union européenne. Dans la mesure où la Société traite des Données à caractère personnel régies par le RGPD exclusivement pour le compte du Client (« Données à caractère personnel de l’Union Européenne »), et dans la mesure où le Client agit en qualité de responsable du traitement (au sens du RGPD) et la Société en qualité de Sous-traitant (au sens du RGPD) pour ces Données à caractère personnel de l’Union Européenne, alors, dans la mesure requise par le RGPD, les Clauses contractuelles types relatives au transfert de données à caractère personnel du Module 2, telles qu’adoptées par la Décision 2021/914/UE de la Commission européenne, disponibles à l’adresse suivante : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN (les « Clauses contractuelles types entre Responsable du traitement et Sous-traitant »), s’appliqueront au transfert de ces Données à caractère personnel de l’Union Européenne du Client vers la Société ainsi qu’au Traitement de ces Données à caractère personnel de l’Union Européenne par la Société. Les Parties conviennent de se conformer auxdites Clauses contractuelles types entre Responsable du traitement et Sous-traitant, lesquelles sont intégralement incorporées à l’Entente, telles que reproduites à l’Annexe A. En cas de conflit entre les dispositions de l’Entente et celles des Clauses contractuelles types entre Responsable du traitement et Sous-traitant, ces dernières prévaudront dans la mesure où elles sont applicables aux Données à caractère personnel de l’Union Européenne concernées.
  3. Sous-traitant des données à caractère personnel de l’Union européenne. Dans la mesure où la Société traite des Données à caractère personnel de l’Union Européenne, et dans la mesure où le Client agit en qualité de Sous-traitant (au sens du RGPD) pour le compte d’un tiers concernant ces Données à caractère personnel de l’Union Européenne, et que la Société agit en qualité de Sous-traitant pour le compte du Client à l’égard de ces mêmes Données à caractère personnel de l’Union Européenne, alors, dans la mesure requise par le RGPD, les Clauses contractuelles types relatives au transfert de données à caractère personnel du Module 3, telles qu’adoptées par la Décision 2021/914/UE de la Commission européenne, disponibles à l’adresse suivante : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN (les « Clauses contractuelles types entre Sous-traitants »), s’appliqueront au transfert de ces Données à caractère personnel de l’Union Européenne du Client vers la Société ainsi qu’au Traitement de ces Données à caractère personnel de l’Union Européenne par la Société. Les Parties conviennent de se conformer auxdites Clauses contractuelles types entre Sous-traitants, qui sont intégralement incorporées à l’Entente, telles que reproduites à l’Annexe B. En cas de conflit entre les dispositions de l’Entente et celles des Clauses contractuelles types entre Sous-traitants, ces dernières prévaudront dans la mesure où elles sont applicables aux Données à caractère personnel de l’Union Européenne concernées.
  4. Données à caractère personnel du Royaume-Uni. Dans la mesure où la Société traite des Données à caractère personnel régies par la législation britannique sur la protection des données exclusivement pour le compte du Client (« Données à caractère personnel du Royaume-Uni »), alors, dans la mesure requise par cette législation, l’Addendum britannique sur le transfert international de données aux Clauses contractuelles types de la Commission européenne, Version B1.0, en vigueur depuis le 21 mars 2022, disponible à l’adresse suivante : https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf (ci-après l’« Addendum britannique relatif aux transferts internationaux de données ») s’appliquera au transfert de ces Données à caractère personnel du Royaume-Uni du Client vers la Société ainsi qu’au Traitement de ces Données à caractère personnel du Royaume-Uni par la Société. Les Parties conviennent de se conformer à l’Addendum britannique relatif aux transferts internationaux de données, qui est intégralement incorporé à l’Entente, tel que reproduit à l’Annexe C. En cas de conflit entre les dispositions de l’Entente et l’Addendum britannique relatif aux transferts internationaux de données, ce dernier prévaudra dans la mesure où il est applicable aux Données à caractère personnel du Royaume-Uni concernées.
  5. Données personnelles du consommateur en Californie. Dans la mesure où le Client met à la disposition de la Société des Données à caractère personnel régies par le CCPA dans un but commercial conformément à l’Entente et/ou dans la mesure où la Société traite des Données à caractère personnel régies par le CCPA exclusivement pour le compte du Client (ci-après collectivement les « Données personnelles du consommateur en Californie »), alors, dans la mesure requise par le CCPA, l’Annexe Données personnelles du consommateur en Californie (ci-après l’« Annexe Données personnelles du consommateur en Californie »), jointe comme Annexe D, s’appliquera au Traitement par la Société de ces Données personnelles du consommateur en Californie. Les Parties conviennent de se conformer à ladite Annexe Données personnelles du consommateur en Californie, qui est intégralement incorporée à l’Entente. En cas de conflit entre les dispositions de l’Entente et l’Annexe Données personnelles du consommateur en Californie, cette dernière prévaudra dans la mesure où elle est applicable aux Données personnelles du consommateur en Californie.
  6. Données relevant des législations des autres États. Dans la mesure où la Société traite des Données relevant des législations des États, alors, dans la mesure requise par ces législations des États sur la protection des données, l’Annexe Données relevant des législations des autres États (ci-après l’« Annexe Données relevant des législations des autres États »), jointe à l’Entente comme Annexe E, s’appliquera au Traitement par la Société de ces Données relevant des législations des États. Les Parties conviennent de se conformer à ladite Annexe Données relevant des législations des autres États, qui est intégralement incorporée à l’Entente. En cas de conflit entre les dispositions de l’Entente et l’Annexe Données relevant des législations des autres États, cette dernière prévaudra dans la mesure où elle est applicable aux Données relevant des législations des États.
  7. Données du Client. Le Client déclare, garantit et s’engage à ce que : (i) il a (et aura) traité, collecté et divulgué toutes les Données du Client conformément aux lois applicables et fourni toutes les notifications ainsi qu’obtenu tous les consentements et droits requis par la loi applicable afin de permettre à la Société de traiter légalement les Données du Client comme autorisé par l’Entente et/ou le présent ATD; (ii) il détient (et continuera de détenir) l’intégralité des droits et pouvoirs nécessaires pour mettre les Données du Client à la disposition de la Société en vertu de l’Entente et du présent ATD; et (iii) le traitement par la Société des Données du Client, conformément à l’Entente, au présent ATD et/ou aux instructions du Client, ne viole et ne violera aucune loi applicable ni aucun droit de tiers. Le Client s’engage à indemniser, défendre et garantir la Société contre toute réclamation, action, procédure, dépense, dommage et responsabilité (y compris, sans limitation, toute enquête, plainte ou action gouvernementale) ainsi que contre les honoraires raisonnables d’avocats résultant de la violation par le Client de la présente Section 7. Nonobstant toute disposition contraire de l’Entente, les obligations d’indemnisation du Client prévues à la présente Section 7 ne seront soumises à aucune limitation de responsabilité stipulée dans l’Entente.
  8. Récupération des Données du Client. La récupération des Données du Client sera soumise aux procédures d’accès aux systèmes et aux politiques de conservation des documents de la Société (sauf interdiction par la loi applicable); les Données du Client seront soumises à destruction conformément à ces procédures et politiques; et le Client demande par la présente à la Société de détruire ces Données du Client conformément à ces procédures et politiques.
  9. CCPA. Nonobstant toute disposition contraire de l’Entente (y compris le présent ATD), le Client reconnaît que la Société aura le droit d’utiliser et de divulguer les données relatives à l’exploitation, au support et/ou à l’utilisation des Services à des fins légitimes de l’entreprise, telles que le développement de produits ainsi que les activités de vente et de marketing. Dans la mesure où ces données sont considérées comme des Données à caractère personnel (telles que définies et régies par les législations européennes sur la protection des données), alors, dans la mesure où la Société est soumise à ces législations en tant que responsable du traitement, la Société est le responsable du traitement de ces données et, en conséquence, traitera ces données conformément aux législations européennes sur la protection des données. Dans la mesure où ces données sont considérées comme des informations personnelles (telles que définies et régies par la California Consumer Privacy Act – CCPA), alors, dans la mesure où la Société est soumise au CCPA en tant qu’entreprise (tel que défini par le CCPA), la Société est l’entreprise (tel que défini par le CCPA) à l’égard de ces données et, en conséquence, traitera ces données conformément au CCPA.
  10. Intégralité de l’Entente. Le présent ATD (conjointement avec l’Entente) constitue l’intégralité de l’Entente entre les Parties et remplace tous les engagements et Ententes antérieures entre les Parties, qu’ils soient écrits ou oraux, concernant l’objet du présent ATD. La Société se réserve le droit, à sa seule discrétion, de modifier, remplacer, compléter, ajouter ou supprimer toute condition du présent ATD à tout moment en publiant une version mise à jour de l’ATD sur cette page web, étant toutefois entendu que la Société déploiera des efforts raisonnables pour notifier le Client de tout changement matériel (tel que déterminé à la seule discrétion de la Société) par courrier électronique, courrier postal, publication sur le site web, fenêtre pop-up ou notification dans le service.
  11. Conflits. Dans le présent ATD, sauf indication claire contraire : (i) lorsqu’elles ne sont pas incohérentes avec le contexte, les expressions au présent incluent le futur et vice versa, et les expressions au pluriel incluent le singulier et vice versa; (ii) toute mention d’une personne inclut ses successeurs et ayants droit, mais, le cas échéant, uniquement si ces successeurs et ayants droit ne sont pas interdits par l’Entente; (iii) toute mention d’un genre inclut tous les autres genres; (iv) toute mention de contrat, document ou instrument désigne ce contrat, document ou instrument tel que modifié ou amendé et en vigueur de temps à autre conformément à ses termes, et inclut tous ses addenda, annexes et calendriers; (v) les titres et sous-titres utilisés dans le présent ATD sont fournis uniquement pour des raisons de commodité et ne doivent pas être pris en compte pour l’interprétation du présent ATD; (vi) les termes « en vertu des présentes », « des présentes », « ci-joint » et les mots de sens similaire sont considérés comme des références au présent ATD dans son ensemble et non à une Section ou Sous-section particulière; (vii) le terme « y compris » (y compris sous toutes ses formes grammaticales) signifie « incluant » sans limiter la portée générale de toute description précédant ce terme; (viii) toutes les références à des « jours » désignent des jours calendaires; et (ix) le mot « ou » n’est pas exclusif. Le présent ATD a été rédigé en anglais, et la version anglaise prévaudra en cas de divergences avec toute traduction du présent ATD.

Annexe A
Module 2 – Clauses contractuelles types entre Responsable du traitement et Sous-traitant

Aux fins des Clauses contractuelles types entre Responsable du traitement et Sous-traitant :

  1. Clause 7. Les Parties conviennent que le texte optionnel de la Clause 7 est inclus.
  2. Clause 9(a). Les Parties conviennent qu’en vertu de l’Option 2, la Société dispose de l’autorisation générale du Client pour sous-traiter ses activités de traitement à la liste de Sous-traitants figurant à la Section (a)(11)(i). La Société informera le Client par écrit de tout changement prévu concernant la liste des Sous-traitants mentionnée à la Section (a)(11)(i) au moins 10 jours avant de faire appel à un autre Sous-traitant.
  3. Clause 11. Les Parties conviennent que le texte optionnel de la Clause 11 est exclu.
  4. Clause 13. Les Parties conviennent que les crochets sont retirés dans les dispositions de la Clause 13(a), de sorte que la disposition appropriée s’applique selon le cas.
  5. Clause 17. L’Option 1 s’applique, et les Clauses contractuelles types entre Responsable du traitement et Sous-traitant sont régies par le droit irlandais.
  6. Clause 18. Les Parties conviennent que tout litige découlant des Clauses contractuelles types entre Responsable du traitement et Sous-traitant sera soumis à la compétence exclusive des tribunaux irlandais.
  7. Annexe I.A.
    1. Le nom et l’adresse du Client, ainsi que le nom, la fonction et les coordonnées de la personne de contact du Client (qui est l’exportateur de données), sont les suivants :
      1. Nom : Client
      2. Adresse : L’adresse indiquée dans le compte Services du Client ou, si aucune adresse n’est spécifiée dans le compte Services du Client, l’adresse indiquée dans la commande applicable.
      3. Nom, fonction et coordonnées de la personne de contact : Le contact de facturation indiqué dans le compte Services du Client ou, si aucun contact de facturation n’est spécifié dans le compte Services du Client, le contact indiqué dans la commande applicable.
    2. Le nom et l’adresse de la Société, ainsi que le nom, la fonction et les coordonnées de la personne de contact de la Société (qui est l’importateur de données), sont les suivants :
      1. Nom : 3Play Media
      2. Adresse : 255 State St, Floor 6, Boston, MA 02109
      3. Nom, fonction et coordonnées de la personne de contact : Asya Calixto, Conseillère Juridique Asya@3PlayMedia.com
    3. Les activités liées aux données transférées concernent la prestation et la réception des Services tels que décrits dans l’Entente.
    4. La signature et la date sont celles figurant dans l’Entente.
    5. Les rôles des Parties sont les suivants : La Société est Sous-traitante et le Client est responsable du traitement.
  8. Annexe I.B.
    1. Les catégories de personnes concernées et de données transférées sont :
      1. Les représentants de l’exportateur de données; et
      2. Les personnes dont les données sont contenues dans les Documents Sources, comme précisé dans l’Entente.
    2. Les catégories de données à caractère personnel transférées sont :
      1. Les représentants de l’exportateur de données :
        1. Nom, adresse postale, adresse électronique et, le cas échéant, confirmation d’authentification via Facebook.
      2. Les personnes dont les données sont contenues dans les Documents Sources :
        1. Toutes les données à caractère personnel téléchargées sur le Portail 3Play Media ou autrement fournies par l’exportateur de données à l’importateur de données, par l’exportateur ou ses représentants, pour le compte de l’exportateur et/ou de ses clients, ainsi que tout autre tiers pour lequel l’exportateur soumet des documents à utiliser dans le cadre des Services, y compris les données contenues dans des vidéos, contenus, fichiers, données et autres documents.
        2. À la demande de l’exportateur, dans le cadre des Services de doublage, les clones vocaux générés par l’importateur de données pour le compte de l’exportateur.
    3. Les catégories de données sensibles comprennent toutes les données sensibles incluses dans les vidéos, contenus, fichiers, données et autres documents téléchargés sur le Portail 3Play Media ou autrement fournis par l’exportateur de données ou ses représentants, dont l’étendue est déterminée et contrôlée à la seule discrétion de l’exportateur de données, y compris, sans limitation, les données à caractère personnel révélant l’origine géographique ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que le traitement de données génétiques, de données biométriques permettant d’identifier de manière unique une personne physique, de données concernant la santé, de données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ou de données relatives à des condamnations pénales ou infractions.
    4. La fréquence du transfert sera continue.
    5. La nature du traitement est telle que les données à caractère personnel feront l’objet de traitements de base, incluant, sans limitation, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’accès, l’extraction, la consultation, l’utilisation, la divulgation par transmission, l’analyse, la suppression, la modification, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, dans le but de fournir les Services par l’importateur de données à l’exportateur de données conformément aux termes de l’Entente.
    6. La finalité du transfert et du traitement ultérieur est la fourniture des Services par l’importateur de données à l’exportateur de données.
    7. La durée du traitement au titre de ces Clauses contractuelles types entre Responsable du traitement et Sous-traitant se poursuivra tant que l’importateur de données effectuera des opérations de traitement des données à caractère personnel pour le compte de l’exportateur de données ou jusqu’à la résiliation de l’Entente (et après que toutes les données à caractère personnel ont été restituées ou supprimées conformément aux Clauses contractuelles types entre Responsable du traitement et Sous-traitant et à la Section 8 de l’ATD).
    8. En ce qui concerne les transferts à des Sous-traitants, les données à caractère personnel seront transférées aux Sous-traitants afin que l’importateur de données fournisse les Services à l’exportateur de données. La nature du traitement par ces Sous-traitants est telle que les données à caractère personnel feront l’objet de traitements de base, incluant, sans limitation, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’accès, l’extraction, la consultation, l’utilisation, la divulgation (y compris par transmission), l’analyse, la suppression, la modification, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, dans le but de fournir les Services à l’exportateur de données conformément aux termes de l’Entente. La durée du traitement par ces Sous-traitants se poursuivra tant que ces Sous-traitants effectueront des opérations de traitement des données à caractère personnel pour le compte de l’importateur de données.
  9. Annexe I.C. L’autorité de contrôle compétente de l’exportateur de données sera déterminée conformément au RGPD.
  10. Annexe II.
    1. L’importateur de données met en œuvre les mesures techniques et organisationnelles suivantes :
      En tenant compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variable pour les droits et libertés des personnes physiques, l’importateur de données a mis en œuvre des mesures techniques et organisationnelles appropriées destinées à assurer un niveau de sécurité adapté au risque, comme suit :
      1. Pseudonymisation. La pseudonymisation constitue une mesure technique et organisationnelle pouvant être mise en œuvre par 3Play Media de la manière suivante :
        1. Le chiffrement des informations supplémentaires permettant l’identification; et
        2. La gestion et documentation des autorisations différenciées concernant les informations supplémentaires permettant l’identification.
      2. Mesures de chiffrement.
        1. Le chiffrement des ordinateurs portables;
        2. Le chiffrement des fichiers;
        3. Le chiffrement des systèmes/plateformes;
        4. Le stockage chiffré des mots de passe;
        5. Le partage sécurisé des données (par exemple, SSL, FTPS, TLS); et
        6. La sécurisation des réseaux sans fil (WLAN).
      3. Mesures visant à garantir la confidentialité.
        1. Mesures garantissant que les personnes non autorisées n’ont pas accès aux données :
          1. Système de contrôle d’accès, lecteur de documents (carte magnétique / puce);
          2. Protections des portes (ouverture électrique, verrou à code, etc.);
          3. Portes et fenêtres de sécurité;
          4. Gestion des clés et documentation de l’attribution des clés;
          5. Protection des locaux, gardiennage;
          6. Système d’alarme;
          7. Vidéosurveillance;
          8. Mesures de protection particulières pour la salle des serveurs;
          9. Mesures de protection particulières pour le stockage des sauvegardes et/ou autres supports de données;
          10. Documents relatifs aux employés et aux autorisations; et
          11. Zones interdites.
        2. Mesures empêchant les personnes non autorisées d’utiliser les systèmes de traitement :
          1. Identification personnelle et individuelle des utilisateurs pour l’accès aux systèmes ou au réseau de l’entreprise;
          2. Processus d’autorisation pour les accès;
          3. Limitation du nombre d’utilisateurs autorisés;
          4. Authentification unique (single sign-on);
          5. Authentification à deux facteurs;
          6. Journalisation des accès;
          7. Connexion système supplémentaire pour certaines applications; et
          8. Pare-feu.
        3. Mesures garantissant que seules les personnes autorisées ont accès aux systèmes de traitement et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou retirées sans autorisation :
          1. Gestion et documentation des autorisations différenciées;
          2. Profils et rôles; et
          3. Séparation des fonctions (« segregation of duties »).
        4. Mesures garantissant que les données collectées à des fins différentes peuvent être traitées séparément :
          1. Autorisations d’accès selon la responsabilité fonctionnelle;
          2. Traitement des données séparé par différenciation des règles d’accès; et
          3. Séparation des environnements de développement et de production.
      4. Mesures visant à garantir l’intégrité.
        1. Droits d’accès;
        2. Journalisation côté système;
        3. Logiciels de sécurité et de journalisation; et
        4. Responsabilités fonctionnelles, responsabilités spécifiées au niveau organisationnel.
      5. Mesures visant à garantir et restaurer la disponibilité.
        1. Concept de sécurité pour les logiciels et applications informatiques;
        2. Procédures de sauvegarde;
        3. Garantie du stockage des données sur un réseau sécurisé;
        4. Installation des mises à jour de sécurité selon les besoins;
        5. Mise en place d’une alimentation électrique ininterrompue;
        6. Protection par extincteur de la salle des serveurs;
        7. Protection par extincteur des locaux d’archivage;
        8. Salle des serveurs climatisée;
        9. Protection antivirus;
        10. Pare-feu;
        11. Plan d’urgence;
        12. Exercices d’urgence réussis; et
        13. Stockage redondant des données, séparé localement (stockage hors site).
      6. Mesures visant à garantir la résilience.
        1. Plan d’urgence en cas de panne de machines / Plan de reprise d’activité;
        2. Alimentation électrique redondante;
        3. Capacité suffisante des systèmes et infrastructures informatiques;
        4. Systèmes / infrastructures redondants; et
        5. Résilience et gestion des erreurs.
      7. Procédure de révision, d’évaluation et d’appréciation régulière de l’efficacité des mesures techniques et organisationnelles.
        1. Procédures de contrôles / audits réguliers;
        2. Concept de révision, d’évaluation et d’appréciation régulière;
        3. Système de reporting;
        4. Tests d’intrusion; et
        5. Tests d’urgence.
      8. « Contrôle des instructions / contrôle de l’exécution ».
        1. Processus d’émission et/ou de suivi des instructions;
        2. Contrôle / vérification que les instructions sont exécutées conformément aux directives;
        3. Engagement des employés à respecter la confidentialité;
        4. Responsable / coordinateur de la protection des données;
        5. Tenue des registres des activités de traitement, comme exigé par l’art. 30, paragraphe 2 du RGPD;
        6. Processus de documentation et d’escalade en cas de violation de données à caractère personnel;
        7. Directives / instructions garantissant les mesures techniques et organisationnelles pour la sécurité du traitement; et
        8. Processus de transmission des demandes des personnes concernées.
    2. En outre, conformément à la Clause 10(b), et compte tenu de la nature du traitement, l’importateur de données mettra en œuvre, aux frais de l’exportateur de données, tous les efforts commercialement raisonnables, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour assister l’exportateur de données dans l’exécution de son obligation de répondre aux demandes d’exercice des droits des personnes concernées concernant leurs données à caractère personnel au titre du RGPD.
  11. Annexe III.
    1. Le Client autorise par la présente le recours aux Sous-traitants listés au lien suivant : https://www.3PlayMedia.com/account-terms/DPA/Subprocessors/
    2. L’exportateur de données peut s’inscrire afin de recevoir des notifications par courrier électronique concernant toute modification relative aux Sous-traitants à l’adresse suivante : https://Go.3PlayMedia.com/Subprocessor-Change-Notification. Sous réserve que l’exportateur de données soit inscrit pour recevoir ces notifications, l’importateur de données informera l’exportateur de données par courrier électronique de toute modification envisagée concernant l’ajout ou le remplacement de Sous-traitants au moins dix (10) jours avant que le nouveau Sous-traitant ne commence à traiter des données à caractère personnel.

Annexe B
Module 3 – Clauses contractuelles types entre Sous-traitants

Aux fins des Clauses contractuelles types entre Sous-traitants :

  1. Clause 7. Les Parties conviennent que le texte optionnel de la Clause 7 est inclus.
  2. Clause 9(a). Les Parties conviennent qu’en vertu de l’Option 2, la Société dispose de l’autorisation générale du Client pour sous-traiter ses activités de traitement à la liste de Sous-traitants figurant à la Section (a)(11)(i). La Société informera le Client par écrit de tout changement prévu concernant la liste des Sous-traitants mentionnée à la Section (a)(11)(i) au moins 10 jours avant de faire appel à un autre Sous-traitant.
  3. Clause 11. Les Parties conviennent que le texte optionnel de la Clause 11 est exclu.
  4. Clause 13. Les Parties conviennent que les crochets sont retirés dans les dispositions de la Clause 13(a), de sorte que la disposition appropriée s’applique selon le cas.
  5. Clause 17. L’Option 1 s’applique, et les Clauses contractuelles types entre Sous-traitants sont régies par le droit irlandais.
  6. Clause 18. Les Parties conviennent que tout litige découlant des Clauses contractuelles types entre Sous-traitants sera soumis à la compétence exclusive des tribunaux irlandais.
  7. Annexe I.A.
    1. Le nom et l’adresse du Client, ainsi que le nom, la fonction et les coordonnées de la personne de contact du Client (qui est l’exportateur de données), sont les suivants :
      1. Nom : Client
      2. Adresse : L’adresse indiquée dans le compte Services du Client ou, si aucune adresse n’est spécifiée dans le compte Services du Client, l’adresse indiquée dans la commande applicable.
      3. Nom, fonction et coordonnées de la personne de contact : Le contact de facturation indiqué dans le compte Services du Client ou, si aucun contact de facturation n’est spécifié dans le compte Services du Client, le contact indiqué dans la commande applicable.
    2. Le nom et l’adresse de la Société, ainsi que le nom, la fonction et les coordonnées de la personne de contact de la Société (qui est l’importateur de données), sont les suivants :
      1. Nom : 3Play Media
      2. Adresse : 255 State St, Floor 6, Boston, MA 02109
      3. Nom, fonction et coordonnées de la personne de contact : Asya Calixto, Conseillère Juridique, Asya@3PlayMedia.com
    3. Les activités liées aux données transférées concernent la prestation et la réception des Services tels que décrits dans l’Entente.
    4. La signature et la date sont celles figurant dans l’Entente.
    5. Les rôles des Parties sont les suivants : La Société est Sous-traitante et le Client est responsable du traitement.
  8. Annexe I.B.
    1. Les catégories de personnes concernées et de données transférées sont :
      1. Les représentants de l’exportateur de données; et
      2. Les personnes dont les données sont contenues dans les Documents Sources comme précisé dans l’Entente.
    2. Les catégories de données à caractère personnel transférées sont :
      1. Les représentants de l’exportateur de données :
        1. Nom, adresse postale, adresse électronique et, le cas échéant, confirmation d’authentification via Facebook.
      2. Les personnes dont les données sont contenues dans les Documents Sources :
        1. Toutes les données à caractère personnel téléchargées sur le Portail 3Play Media ou autrement fournies par l’exportateur de données à l’importateur de données, par l’exportateur ou ses représentants, pour le compte de l’exportateur et/ou de ses clients, ainsi que tout autre tiers pour lequel l’exportateur soumet des documents à utiliser dans le cadre des Services, y compris les données contenues dans des vidéos, contenus, fichiers, données et autres documents; et
        2. À la demande de l’exportateur, dans le cadre des Services de doublage, les clones vocaux générés par l’importateur de données pour le compte de l’exportateur.
    3. Les catégories de données sensibles comprennent toutes les données sensibles incluses dans les vidéos, contenus, fichiers, données et autres documents téléchargés sur le Portail 3Play Media ou autrement fournis par l’exportateur de données ou ses représentants, dont l’étendue est déterminée et contrôlée à la seule discrétion de l’exportateur de données, y compris, sans limitation, les données à caractère personnel révélant l’origine géographique ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, ainsi que le traitement de données génétiques, de données biométriques permettant d’identifier de manière unique une personne physique, de données concernant la santé, de données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, ou de données relatives à des condamnations pénales ou infractions.
    4. La fréquence du transfert sera continue.
    5. La nature du traitement est telle que les données à caractère personnel feront l’objet de traitements de base, incluant, sans limitation, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’accès, l’extraction, la consultation, l’utilisation, la divulgation par transmission, l’analyse, la suppression, la modification, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, dans le but de fournir les Services par l’importateur de données à l’exportateur de données conformément aux termes de l’Entente.
    6. La finalité du transfert et du traitement ultérieur est la fourniture des Services par l’importateur de données à l’exportateur de données.
    7. La durée du traitement au titre de ces Clauses contractuelles types entre Sous-traitants se poursuivra tant que l’importateur de données effectuera des opérations de traitement des données à caractère personnel pour le compte de l’exportateur de données ou jusqu’à la résiliation de l’Entente (et après que toutes les données à caractère personnel ont été restituées ou supprimées conformément aux Clauses contractuelles types entre Sous-traitants et à la Section 8 de l’ATD).
    8. En ce qui concerne les transferts à des Sous-traitants, les données à caractère personnel seront transférées aux Sous-traitants afin que l’importateur de données fournisse les Services à l’exportateur de données. La nature du traitement par ces Sous-traitants est telle que les données à caractère personnel feront l’objet de traitements de base, incluant, sans limitation, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’accès, l’extraction, la consultation, l’utilisation, la divulgation (y compris par transmission), l’analyse, la suppression, la modification, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, dans le but de fournir les Services à l’exportateur de données conformément aux termes de l’Entente. La durée du traitement par ces Sous-traitants se poursuivra tant que ces Sous-traitants effectueront des opérations de traitement des données à caractère personnel pour le compte de l’importateur de données.
  9. Annexe I.C. L’autorité de contrôle compétente de l’exportateur de données sera déterminée conformément au RGPD.
  10. Annexe II. La Section 10 de l’Annexe A est incorporée aux présentes par référence.
  11. Annexe III. La Section 11 de l’Annexe A est incorporée aux présentes par référence.

Annexe C
Addendum britannique relatif aux transferts internationaux de données

Aux fins de l’Addendum britannique relatif aux transferts internationaux de données :

  1. Aux fins du Tableau 1 de l’Addendum britannique relatif aux transferts internationaux de données, la date de prise d’effet sera la date la plus tardive entre la Date d’Entrée en Vigueur de l’ATD et la date de conclusion de l’Entente par les Parties, et les noms des Parties, leurs rôles, ainsi que leurs coordonnées seront ceux indiqués respectivement à la Section 7 de l’Annexe A et à la Section7 de l’Annexe B;
  2. Aux fins des Tableaux 2 et 3 de l’Addendum britannique relatif aux transferts internationaux de données, les Clauses contractuelles types Responsable du traitement à Sous-traitant et les Clauses contractuelles types Sous-traitant à Sous-traitant, y compris les informations figurant respectivement aux Sections 8, 10, et 11 de l’Annexe A et aux Sections 8, 10 et 11 de l’Annexe B, s’appliquent;
  3. Aux fins du Tableau 4 de l’Addendum britannique relatif aux transferts internationaux de données, chacune des Parties peut mettre fin à l’Addendum britannique relatif aux transferts internationaux de données.

Annexe D
Données personnelles du consommateur en Californie

  1. La présente Annexe Données personnelles du consommateur en Californie (la « Présente Annexe ») fait partie intégrante de l’ATD. Les termes en majuscules utilisés et non définis autrement dans la présente Annexe ont la signification qui leur est attribuée dans l’ATD ou dans l’Entente (selon le cas). Les types de Données personnelles du consommateur en Californie soumis au traitement en vertu de la présente Annexe sont ceux définis à l’Annexe A, Section 8(a) et à l’Annexe B, Section 8(a), selon le cas.
  2. Dispositions relatives au CCPA.
    1. Dans la présente Annexe, les termes suivants ont la signification qui leur est attribuée dans le California Consumer Privacy Act (CCPA) : « business purpose » (finalité commerciale), « personal information » (informations personnelles), « processing » (traitement), « service provider » (fournisseur de services), « contractor » (Sous-traitant), « person » (personne), « share », « sharing », « shared » (partager, partage, partagé), « sell », « selling », « sale », et « sold » (vendre, vente, vendu).
    2. Sauf si la loi applicable l’exige autrement ou si le CCPA le permet expressément, la Société s’engage à :
      1. Ne pas vendre ni partager les Données personnelles du consommateur en Californie;
      2. Ne pas conserver, utiliser ou divulguer les Données personnelles du consommateur en Californie à d’autres fins que celles liées à la fourniture des Services à des fins commerciales telles que spécifiées dans l’Entente de prestation de services pour le Client, et ne pas les conserver, utiliser ou divulguer à des fins commerciales autres que celles spécifiées dans l’Entente ou autrement permises par le CCPA;
      3. Ne pas conserver, utiliser ou divulguer les Données personnelles du consommateur en Californie en dehors de la relation commerciale directe entre les Parties;
      4. Ne pas combiner les Données personnelles du consommateur en Californie reçues par la Société en vertu de l’Entente ou de la part du Client, avec des informations personnelles reçues d’une autre personne ou collectées par la Société auprès de l’individu concerné, sauf si le CCPA l’autorise expressément;
      5. Coopérer raisonnablement avec le Client pour répondre à toute demande d’un individu concernant les Données personnelles du consommateur en Californie le concernant, y compris en assistant le Client dans la suppression, la correction ou la limitation de l’usage de ces données lorsque le CCPA l’exige, et en demandant aux prestataires de services et/ou Sous-traitants de la Société (le cas échéant) de coopérer raisonnablement à cette fin;
      6. Assister raisonnablement le Client, au moyen de mesures techniques et organisationnelles appropriées, dans le respect des obligations prévues aux subdivisions (d) à (f), inclusivement, de l’article 1798.100 du CCPA, en tenant compte de la nature du traitement des Données personnelles du consommateur en Californie effectué par la Société;
      7. Mettre en œuvre et maintenir des procédures et pratiques de sécurité commercialement raisonnables, adaptées à la nature des Données personnelles du consommateur en Californie, afin de protéger ces données contre tout accès, destruction, usage, modification ou divulgation non autorisés;
      8. Respecter l’ensemble des obligations applicables en vertu du CCPA et assurer un niveau de protection de la vie privée des Données personnelles du consommateur en Californie équivalent à celui requis par le CCPA; et
      9. Informer le Client si la Société détermine qu’elle ne peut plus respecter ses obligations au titre du CCPA.

Dans la mesure où la Société agit en tant que Sous-traitant, elle certifie comprendre les restrictions prévues aux Sections 2(b)(i), 2(b)(ii), 2(b)(iii) et 2(b)(iv) et s’engage à s’y conformer.

  1. La Société reconnaît et accepte que les Données personnelles du consommateur en Californie lui ont été communiquées pour les finalités limitées et spécifiées dans l’Entente et reconnaît en outre que le Client a le droit : (i) de prendre des mesures raisonnables et appropriées pour s’assurer que la Société utilise les Données personnelles du consommateur en Californie d’une manière conforme aux obligations du Client en vertu du CCPA; et (ii) à la suite d’une notification du Client à la Société, de prendre des mesures raisonnables et appropriées pour arrêter et corriger toute utilisation non autorisée des Données personnelles du consommateur en Californie.
  2. Dans la mesure requise par le CCPA et dans la mesure où la Société agit en tant que Sous-traitant, la Société devra permettre, sous réserve de l’Entente des Parties, au Client de contrôler le respect par la Société des dispositions de la présente Annexe au moyen de mesures incluant, sans s’y limiter, des contrôles manuels continus, des numérisations automatisées, ainsi que des évaluations régulières, audits ou autres tests techniques et opérationnels une fois tous les douze (12) mois (chacun, un « Audit »), sur notification préalable raisonnable du Client, à condition qu’aucun auditeur tiers (chacun, un « Auditeur ») ne soit concurrent de la Société, qu’aucun Auditeur ne soit rémunéré sur une base contingente, et qu’en aucun cas le Client ou un Auditeur n’ait accès aux informations d’un autre client de la Société. Les informations divulguées en vertu de la présente Section 2(d) (« Informations d’Audit ») devront être considérées comme des informations confidentielles de la Société et soumises à toute obligation de confidentialité prévue dans l’Entente. En outre, aucun Audit ne pourra être réalisé à moins que le Client ait préalablement demandé et que la Société ait fourni des informations sur ses pratiques de protection des données, et que le Client ait déterminé de manière raisonnable que l’Audit reste nécessaire pour démontrer le respect substantiel des obligations énoncées dans la présente Annexe. Sans limiter la portée de toute disposition de l’Entente, le Client s’engage à protéger les Informations d’Audit avec le même degré de soin qu’il utilise pour protéger ses propres informations confidentielles et exclusives et, en tout état de cause, avec un degré de soin raisonnable au regard des circonstances. Le Client sera responsable de toute divulgation ou utilisation inappropriée des Informations d’Audit par lui-même ou par ses agents.
  3. Si la Société engage une autre personne pour l’assister dans le traitement des Données personnelles du consommateur en Californie à des fins professionnelles pour le compte du Client, la Société devra en informer le Client, et cet engagement devra faire l’objet d’un contrat écrit obligeant cette personne à respecter des exigences substantiellement similaires à celles énoncées dans la présente Annexe. La Société informe par la présente le Client qu’elle peut engager les personnes énumérées à la Section 11 de l’Annexe A du présent ATD pour l’assister dans le traitement des Données personnelles du consommateur en Californie à des fins professionnelles pour le compte du Client.

Annexe E
Données relevant des législations des autres États

  1. Législations des États sur la protection des données. La présente Annexe Données relevant des législations des autres États fait partie intégrante de l’ATD. Les termes en majuscules utilisés et non définis autrement dans la présente Annexe ont la signification qui leur est attribuée dans l’ATD ou dans l’Entente (selon le cas).
    1. Instructions. Le Client donne par la présente instruction à la Société de traiter les Données relevant des législations des États dans la mesure nécessaire à la fourniture des Services.
    2. Nature du Traitement; Finalité du Traitement. La nature du Traitement des Données relevant des législations des États est telle que ces Données feront l’objet d’un traitement de base, incluant, sans s’y limiter, la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la consultation, l’utilisation, la divulgation par transmission, l’analyse, la suppression, la modification, la diffusion ou la mise à disposition sous toute autre forme, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction, y compris les actions d’une personne donnant instruction à un tiers de traiter les données pour son compte, dans le but de permettre à la Société de fournir les Services au Client conformément aux termes de l’Entente. La finalité du Traitement des Données relevant des législations des États dans le cadre de la présente Annexe est la fourniture des Services par la Société au Client.
    3. Types de Données relevant des législations des États. Les types de Données relevant des législations des États faisant l’objet du Traitement en vertu de la présente Annexe sont ceux énoncés à la Section 8(a)) de l’Annexe A du présent ATD et à la Section 8(a) de l’Annexe B du présent ATD, selon le cas.
    4. Durée du Traitement. La durée du Traitement des Données relevant des législations des États se poursuivra tant que la Société effectuera des opérations de Traitement de ces Données pour le compte du Client ou jusqu’à la résiliation de l’Entente (et après que toutes les Données relevant des législations des États aient été restituées ou supprimées conformément à la présente Annexe et à la Section 8 de l’ATD).
    5. Droits, devoirs et obligations. Sauf disposition contraire ou exigence de la législation applicable, la Société s’engage à :
      1. Veiller à ce que chaque personne traitant des Données relevant des législations des États pour le compte de la Société soit soumise à une obligation de confidentialité à l’égard de ces Données;
      2. À la demande et selon les instructions du Client, supprimer ou restituer toutes les Données relevant des législations des États au Client à la fin de la fourniture des Services, sauf si la conservation de ces Données est requise par la législation applicable;
      3. Mettre à disposition du Client toutes les informations nécessaires pour démontrer la conformité de la Société aux obligations prévues par les législations des États sur la protection des données à l’égard des Données relevant des législations des États;
      4. En tenant compte du contexte du Traitement, mettre en œuvre des mesures techniques et organisationnelles appropriées visant à garantir un niveau de sécurité des Données relevant des législations des États adapté au risque, conformément à l’Entente et au présent ATD;
      5. Permettre, contribuer et coopérer à des audits, inspections et/ou évaluations raisonnables (chacun, un « Audit des États ») réalisés par le Client ou par le représentant tiers désigné par le Client (chacun, un « Auditeur des États »), sous réserve, dans la mesure permise par les législations des États sur la protection des données, que le Client consente à ce que la Société puisse faire appel à un auditeur ou évaluateur qualifié et indépendant pour réaliser (au moins annuellement et aux frais du Client, sauf si la législation applicable exige que ces frais soient à la charge de la Société) un Audit des États des politiques et des mesures techniques et organisationnelles de la Société afin de garantir le respect des obligations prévues par les législations des États sur la protection des données, en utilisant une norme ou un cadre de contrôle approprié et reconnu ainsi qu’une procédure d’Audit des États adaptée, et la Société fournira, sur demande, un rapport de l’Audit des États (et de ses résultats) au Client. Aucun Auditeur des États tiers désigné par le Client ne pourra être un concurrent de la Société, et aucun de ces Auditeurs ne sera rémunéré sur une base conditionnelle. En aucun cas le Client ni un Auditeur des États ne pourra avoir accès aux informations d’un autre client de la Société et les informations divulguées conformément à la Section 1(e)(v) (« Informations relatives à l’Audit des États ») seront considérées comme des Informations Confidentielles de la Société et soumises aux obligations de confidentialité prévues dans l’Entente. En outre, aucun Audit des États prévu à la Section 1(e)(v) ne pourra être réalisé avant que le Client n’ait formulé une demande et que la Société ait fourni les informations relatives à ses pratiques de protection des données, et que le Client ait déterminé de manière raisonnable que cet Audit des États reste nécessaire pour démontrer le respect substantiel des obligations prévues par les législations des États sur la protection des données. Sans limiter la portée de toute disposition de l’Entente, le Client devra appliquer le même degré de soin pour protéger les Informations relatives à l’Audit des États qu’il utilise pour protéger ses propres informations confidentielles et exclusives et, en tout état de cause, un degré de soin raisonnable compte tenu des circonstances. Le Client sera responsable de toute divulgation ou utilisation inappropriée des Informations relatives à l’Audit des États par lui-même ou par ses agents. 
      6. La Société ne pourra engager un Sous-traitant pour traiter les Données relevant des législations des États pour son compte qu’après avoir donné au Client la possibilité de s’y opposer. La Société s’engage à lier chaque Sous-traitant à un contrat écrit conforme aux législations des États sur la protection des données, exigeant que ce Sous-traitant respecte les obligations légales applicables aux Sous-traitants (telles que définies par les législations des États sur la protection des données) et remplisse des obligations équivalentes concernant ces Données relevant des législations des États telles que prévues dans la présente Annexe Données relevant des législations des autres États. Le Client consent par les présentes à l’engagement par la Société des Sous-traitants listés à la Section 11 de l’Annexe A du présent ATD pour traiter les Données relevant des législations des États; et
      7. La Société doit cesser le Traitement des Données relevant des législations des États à la demande du Client effectuée conformément à la demande authentifiée d’un individu.