Charte de traitement des données des partenaires économiques de Mozzaik365

1. DÉFINITION

Cette charte de protection des données personnelles vous informe sur les engagements de Mozzaik365 quand des informations personnelles vous concernant sont collectées via son site Web et l'utilisation que Mozzaik365 en fait.

## TABLE

2. PRÉAMBULES

La présente charte (ci-après la " Charte ") permet d'encadrer le Traitement des Données à caractère personnel dans le cadre des relations de Mozzaik365 avec ses Partenaires économiques.

Mozzaik365, soucieuse de la protection des Données à caractère personnel, s'engage à respecter laRéglementation en vigueur applicable au Traitement de Données à caractère personnel et notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le " RGPD ") ainsi que toute Réglementation nationale applicable (ci-après la " Réglementation ").

Tout Partenaire économique de Mozzaik365 s'engage à lire et à prendre pleinement connaissance de l'ensemble des engagements listés dans la présente Charte, ainsi qu'à respecter l'ensemble de ses principes et accepter que leur non-respect pourra être considéré comme un manquement grave à ses obligations contractuelles.

Tout Partenaire économique s'engage à informer tous ses partenaires directs et les encourager fortement à suivre ces mêmes principes et règles de bonne conduite.

3. PRINCIPES RELATIFS AU TRAITEMENT DES DONNÉES

Dans le cadre de ses relations d'affaires avec ses Partenaires économiques, Mozzaik365 met tout en œuvre pour être en conformité permanente avec les principes essentiels du RGPD et assure l'ensemble de ses Partenaires économiques que les Données à caractère personnel qui lui sont communiquées sont traitées de manière licite, loyale et transparente.

Les Données à caractère personnel sont recueillies à des fins déterminées, explicites et légitimes etMozzaik365 s'engage à ne pas les traiter à des fins incompatibles avec ces finalités.

Mozzaik365 respecte le principe de minimisation des Données, conformément à l'article 5-c du RGPDstipulant que seules sont traitées des Données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités ci-après définies.

4. FINALITÉS ET BASE JURIDIQUE DES TRAITEMENTS DE DONNÉES PAR MOZZAIK365

## TABLE

POUR TOUT TRAITEMENT SPÉCIFIQUE, NOTAMMENT EN LIEN AVEC LA SÉCURITÉ(VIDÉOSURVEILLANCE, BADGE, ...) OU AVEC L'UTILISATION D'UN MOYEN INFORMATIQUE MIS À LA DISPOSITION D'UN PARTENAIRE ÉCONOMIQUE PAR MOZZAIK365 (LOGICIEL, MATÉRIEL, ...), LES PERSONNES CONCERNÉES RECEVRONT UNE MENTION D'INFORMATION SPÉCIFIQUE LES INFORMANT DE LA MANIÈRE DONT LEURS DONNÉES À CARACTÈRE PERSONNEL SONT TRAITÉES.

5. DONNÉES À CARACTÈRE PERSONNEL TRAITÉES

Dans le cadre de nos relations commerciales avec nos Partenaires économiques, ces derniers peuvent communiquer à Mozzaik365 les Données de personnes concernées, entre autres les Données de leurs collaborateurs, mentionnées dans le tableau ci-dessus. Pour plus d'information concernant le traitement de vos Données, nous vous laissons le soin de consulter la politique de protection desDonnées du Partenaire économique concerné.

## TABLE

6. DESTINATAIRES

Mozzaik365 s'engage à préserver la confidentialité et la sécurité de vos Données à caractère personnel conformément à la réglementation en vigueur et à vérifier que chacun des Destinataires respecte des garanties de sécurité et de confidentialité appropriées.

Les Destinataires pouvant recevoir vos Données à caractère personnel sont, dans les entités de Mozzaik365 :

- Les personnels habilités au sein de Mozzaik365 pour traiter les Données ;
- Les personnes chargées du contrôle (commissaires aux comptes, expert comptables) ;
- Les entreprises extérieures liées contractuellement pour l'exécution d'un contrat ;
- Les organismes publics et financiers, exclusivement pour répondre aux obligations légales ;

- En cas de litige, les Données à caractère personnel sont susceptibles d'être transmises le cas échéant, aux personnes travaillant à la résolution du conflit ; aux auxiliaires de justice et aux officiers ministériels dans le cadre de leur mission de recouvrement de créances ou pour toutes autres actions en justice ; aux juridictions de l'ordre judiciaire ou administratif pour faire établir, exercer ou défendre les droits de Mozzaik365 ; aux juridictions de l'ordre judiciaire ou administratif en exécution d'une décision de justice exécutoire opposable à Mozzaik365 ; à toute personne physique ou morale en exécution d'une décision de justice exécutoire opposable à Mozzaik365.

Les prestataires autorisés peuvent également avoir accès à vos Données à caractère personnel dans le cadre des prestations qu'ils peuvent effectuer entre autres en lien avec les solutions logicielles ou les moyens informatiques utilisés pour traiter vos Données à caractère personnel (maintenance, support, hébergement, sécurité et contrôle des Moyens informatiques,...).

7. DURÉE DE CONSERVATION

La durée de conservation de vos Données à caractère personnel est déterminée en fonction des délais légaux et règlementaires de conservation et en fonction du type de Données concernées.

A titre indicatif et non exhaustif, les durées de conservations des principaux documents relatifs auxPartenaires économiques sont les suivantes :

## TABLE

MOZZAIK365 NE CONSERVERA PAS DE DONNÉES À CARACTÈRE PERSONNEL SOUS UNE FORME QUI PERMET L'IDENTIFICATION DES PERSONNES CONCERNÉES PENDANT UNE PÉRIODE PLUS LONGUE QUE NÉCESSAIRE, EU ÉGARD AU BUT POURSUIVI POUR LEQUEL LES DONNÉES ONT ÉTÉ ÀL'ORIGINE COLLECTÉES.

Mozzaik365 peut stocker des Données pendant des périodes plus longues si les Données à caractère personnel sont traitées aux fins d'archivage dans l'intérêt public, de recherche scientifiques ou historiques ou à des fins statistiques, sous réserve de l'application de mesures techniques et organisationnelles appropriées pour sauvegarder les droits et les libertés de la personne concernée.

8. SÉCURITÉ ET CONFIDENTIALITÉ

Mozzaik365 met en œuvre toutes les mesures techniques et organisationnelles qu'elle juge appropriées, conformément à l'article 32 du RGPD afin de garantir la sécurité et la confidentialité de vos Données à caractère personnel.

Nous vérifions que chacun des Destinataires respecte des garanties de sécurité et de confidentialité appropriées. Mozzaik365 sensibilise les membres de son personnel à la sécurité des Données à caractère personnel. Pour plus d'informations concernant la sécurité de vos Données à caractère personnel, nous vous invitons à contacter notre Data Protection Officer (DPO).

9. TRANSFERT DES DONNÉES VERS UN PAYS TIERS

En cas de transfert de vos Données à caractère personnel vers un destinataire situé dans un Etat non membre de la Communauté européenne, des garanties appropriées seront mises en place, conformément aux dispositions du RGPD et Mozzaik365 vous en informera par tout moyen.

Les transferts de Données à caractère personnel au sein des entités de Mozzaik365 non couverts par une décision d'adéquation de la Commission européenne le sont généralement par la signature de clauses contractuelles types.

Mozzaik365 a mis en place une politique de transfert des Données. Notre DPO se tient à votre disposition pour plus d'informations.

10. DROITS DES PERSONNES CONCERNÉES

Selon la Réglementation, vous pouvez accéder aux Données à caractère personnel vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d'opposition, d'un droit à la limitation du Traitement de vos Données à caractère personnel et d'un droit à la portabilité de vos Données à caractère personnel, le cas échéant. Vous pouvez prendre une connaissance complète de ces droits et des moyens de les exercer en envoyant vos questions et/ou vos requêtes à notre Délégué à la protection des Données (DPO) par :

• Courrier à MOZZAIK365 SA - 155 rue Anatole France - 92300 LEVALLOIS-PERRET, en indiquant en objet " Données personnelles "
• Mail à dpo@mozzaik365.com Vous disposez également du droit d'introduire une réclamation auprès de la CNIL en tant qu'autorité de contrôle dont l'adresse actuelle est : 3 place de Fontenoy, 75007 Paris.

11.ENGAGEMENT DES PARTENAIRES ÉCONOMIQUES ENVERS MOZZAIK365

Tout Partenaire économique effectuant un traitement de Données à caractère personnel en tant queSous-traitant au sens du RGPD pour le compte de Mozzaik365 ou en tant que Sous-traitant ultérieur pour le compte d'un de ses client s'engage à :

- signer le contrat de Traitement des Données à caractère personnel proposé par Mozzaik365, afin de respecter les dispositions de l'article 28 du RGPD

- respecter la Règlementation

- traiter les Données uniquement pour la ou les seule(s) finalité(s) définie(s) par le Responsable du traitement

- traiter les Données conformément aux instructions documentées du Responsable du traitement - Si le Partenaire économique considère qu'une instruction constitue une violation de laRèglementation, il l'en informe immédiatement - Si le Partenaire économique est tenu de procéder à un transfert de Données vers un pays tiers ou à une organisation internationale, en vertu du droit del'Union ou du droit de l'Etat membre auquel il est soumis, il doit informer le Responsable du traitement de cette obligation juridique avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public

- garantir la confidentialité et la sécurité des Données traitées

- veiller à ce que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité des Données et reçoivent la formation nécessaire en matière de protection des Données

- prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des Données dès la conception et de protection des Données par défaut

- Dans la mesure du possible, le Partenaire économique doit aider le Responsable du traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation duTraitement, droit à la portabilité des Données, droit de ne pas faire l'objet d'une décision individuelle automatisée.

- Si les personnes concernées exercent auprès du Partenaire économique des demandes d'exercice de leurs droits, le Partenaire économique notifiera par écrit ces demandes dès réception auResponsable du traitement

- Le Partenaire économique notifie immédiatement par écrit au Responsable du traitement toute violation de Données après en avoir pris connaissance. Cette notification est accompagnée de toute la documentation utile afin de permettre au Responsable du traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente

- Le cas échéant, le Partenaire économique fournira l'aide nécessaire (i) à la réalisation par leResponsable du traitement d'analyses d'impact relative à la protection des Données et (ii) à la réalisation par le Responsable du traitement de la consultation préalable de l'autorité de contrôle

- Le Partenaire économique s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées conformément au RGPD et à les communiquer à première demande

- Au terme des prestations, le Partenaire économique s'engage, au choix du Responsable du traitement, à (i) détruire toutes les Données ; ou (ii) à renvoyer toutes les Données à l'adresse qui lui sera communiquée. En cas de renvoi des Données, le Partenaire économique détruira toutes les copies existantes en sa possession et informera le Responsable du traitement de cette destruction

- Le Partenaire économique communique au Responsable du traitement le nom et les coordonnées de son délégué à la protection des Données, s'il en a désigné un conformément à l'article37 du RGPD

- Le Partenaire économique ne recrute pas un autre Sous-traitant sans l'autorisation écrite préalable du Responsable du traitement et/ou du Sous-traitant, s'il est Sous-traitant ultérieur. S'il est accepté qu'un Sous-traitant ultérieur mène des activités de Traitement spécifiques pour son compte, les mêmes obligations en matière de protection de Données que celles fixées dans le contrat signé avec le Responsable du traitement seront imposées à ce Sous-traitant ultérieur par contrat, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD. Le Partenaire économique demeure pleinement responsable de l'exécution par leSous-traitant ultérieur de ses obligations en matière de protection des Données

- Le Partenaire économique s'engage à ne traiter les Données qu'au sein de l'Union européenne.Si le Partenaire économique est autorisé par le Responsable du traitement à transférer les Données en dehors de l'Union européenne dans un pays non adéquat selon la Commission européenne, lePartenaire économique s'engage à mettre en œuvre des garanties appropriées pour ce transfert et à informer le Responsable du traitement des garanties appropriées prises

- Le Partenaire économique garantit d'assister le Responsable du traitement et le Sous-traitant, s'il est Sous-traitant ultérieur à la tenue de son registre de toutes les catégories d'activités de Traitement

- Le Partenaire économique met à disposition de Mozzaik365 la documentation nécessaire pour démontrer le respect de toutes ses obligations

- Le Partenaire économique accepte que le Responsable du traitement et/ou le Sous-traitant ,s'il est Sous-traitant ultérieur, puisse(nt) réaliser des audits, y compris des inspections, par lui-même ou un auditeur tiers qu'il aurait mandaté et garantit sa contribution à ces audits ou inspections

12. NULLITÉ DE CLAUSE

Si une ou plusieurs stipulations de la présente Charte sont tenues pour non valides ou déclarées comme telles en application d'une loi ou d'un autre texte législatif ou à la suite d'une décision définitive d'une juridiction compétente, les autres stipulations garderont toute leur force et leur portée.

13. ÉVOLUTION DE LA CHARTE

La Charte pourra être modifiée par la Direction de Mozzaik365 afin de tenir compte des recommandations de la CNIL, des évolutions relatives à la loi, de la jurisprudence, des techniques informatiques et plus généralement en fonction de toute évolution des technologies de l'information et de la communication.