Addendum sur le Traitement des Données

Cet addendum sur le traitement des données (« DPA ») fait partie de l'accord entre JYV STREAM LLC (« Processeur ») et le client (« Contrôleur ») pour JyvGaming. Elle régit le traitement des données personnelles au nom du contrôleur et s’applique uniquement lorsque le contrôleur est soumis au RGPD, au RGPD britannique ou à des lois comparables sur la protection des données.

Représentants au titre de l'article 27 : JYV STREAM LLC a nommé Prighter Group GmbH (Schellinggasse 3/10, 1010 Vienne, Autriche) comme son représentant du RGPD pour l'UE et Prighter Ltd (20 Mortlake High Street, Londres, SW14 8JN, Royaume-Uni) comme son représentant pour le Royaume-Uni du RGPD, conformément à l'article 27 du RGPD et à l'article 27 du RGPD du Royaume-Uni respectivement. Les personnes concernées et les autorités de contrôle peuvent contacter ces représentants à l'adresse https://app.prighter.com/portal/11199242890.

1. Définitions

Les termes en majuscules utilisés mais non définis ici ont la signification donnée dans le RGPD. « Traitement », « Responsable du traitement », « Sous-traitant », « Sous-traitant secondaire » et « Données personnelles » ont leur signification dans le RGPD. « Accord » désigne les conditions de service ou tout autre accord commercial entre les parties.

2. Rôles et portée

Le contrôleur est le contrôleur et le sous-traitant est le sous-traitant des données personnelles traitées dans le cadre du contrat. Chaque partie doit se conformer à ses obligations en vertu des lois applicables en matière de protection des données. L'annexe 1 définit l'objet, la nature, la finalité, la durée, les catégories de personnes concernées et les types de données personnelles.

3. Instructions de traitement

Le processeur doit traiter les données personnelles uniquement sur les instructions documentées du contrôleur (y compris celles contenues dans l'accord et le présent DPA), sauf si la loi l'exige autrement, auquel cas le processeur doit (lorsque la loi le permet) informer le contrôleur avant un tel traitement.

4. Confidentialité Le processeur

doit garantir que le personnel autorisé à traiter les données personnelles est lié par des obligations de confidentialité appropriées.

5. Mesures de sécurité

Le sous-traitant doit mettre en œuvre et maintenir les mesures techniques et organisationnelles décrites à l'annexe 2 pour garantir un niveau de sécurité approprié au risque, y compris le cryptage en transit et au repos, les contrôles d'accès, le SDLC sécurisé, la gestion des vulnérabilités, la journalisation et la réponse aux incidents.

6. Sous-traitants Le contrôleur

autorise l'utilisation par le processeur des sous-traitants répertoriés dans la liste des sous-traitants (incorporée par référence et publiée sur https://jyvgaming.gg/legal/subprocessors). Le sous-traitant doit : (a) imposer à chaque sous-traitant ultérieur des obligations de protection des données qui ne sont pas moins protectrices que celles du présent DPA ; et (b) informer les nouveaux sous-traitants ultérieurs au moins 30 jours à l'avance, permettant au contrôleur de s'opposer pour des motifs raisonnables de protection des données.

7. Spécificités du traitement AI/GPU

Pour l'inférence audio effectuée par Modal Labs, Inc. : (a) Les données personnelles sont anonymisées avant la transmission ; (b) l'inférence se produit dans la mémoire volatile et les entrées brutes sont supprimées dans les dix (10) minutes suivant leur achèvement ; (c) Les données personnelles de l'UE/du Royaume-Uni sont acheminées vers une infrastructure basée dans l'UE, y compris le traitement GPU et les services de support ; (d) Modal n'utilise pas de données personnelles pour former ses propres modèles ; et (e) seules les métadonnées opérationnelles (horodatages, identifiants de demande, journaux d'erreurs) sont conservées pendant une durée maximale de 30 jours.

8. Droits de la personne concernée

Compte tenu de la nature du traitement, le sous-traitant doit raisonnablement aider le contrôleur, par des mesures techniques et organisationnelles appropriées, à remplir l'obligation du contrôleur de répondre aux demandes des personnes concernées en vertu des articles 15 à 22 du RGPD.

9. Violation de données personnelles Le sous-traitant

informera le contrôleur sans délai injustifié (et dans les 72 heures si possible) après avoir pris connaissance d'une violation de données personnelles, y compris les informations raisonnablement disponibles nécessaires pour satisfaire aux obligations de déclaration du contrôleur en vertu des articles 33 et 34 du RGPD.

10. Audits et inspections

Le processeur doit mettre à disposition toutes les informations nécessaires pour démontrer la conformité au présent DPA et permettre et contribuer aux audits, y compris les inspections, menés par le contrôleur ou un auditeur indépendant. Les audits ne doivent pas être menés plus d’une fois par an (sauf suite à une infraction), avec un préavis d’au moins 30 jours, pendant les heures de bureau, sous réserve de confidentialité et aux frais du contrôleur, sauf si une non-conformité substantielle est identifiée.

11. Évaluations d'impact sur la protection des données

Le sous-traitant doit fournir une assistance raisonnable au responsable du traitement pour les DPIA et des consultations préalables avec les autorités de contrôle en vertu des articles 35 à 36 du RGPD.

12. Retour ou suppression

À la résiliation du Contrat, le Sous-traitant doit, au choix du Contrôleur, supprimer ou restituer toutes les Données personnelles et supprimer les copies existantes, à moins que la conservation ne soit requise par la loi.

13. Transferts internationaux

Les données personnelles UE/Royaume-Uni sont traitées dans les régions de l'UE dans le but de fournir le Service. Si un transfert en dehors de l’EEE/Royaume-Uni est requis, les parties s’appuieront sur des garanties appropriées : les clauses contractuelles types de la Commission européenne (Module Deux : Contrôleur vers processeur), complétées par l’Addendum britannique, dont les termes sont incorporés par référence. L'annexe 3 contient les détails des CSC, le cas échéant.

14. Responsabilité et ordre de préséance

En cas de conflit entre le Contrat et le présent DPA, ce DPA prévaut en matière de protection des données. La responsabilité de chaque partie en vertu du présent DPA est soumise aux limitations de responsabilité de l’accord.

15. Durée

Le présent DPA entre en vigueur à la date d'entrée en vigueur et se poursuit jusqu'à la fin de l'accord et de toute conservation applicable.

Annexe 1 — Objet et détails

Annexe 2 — Mesures de sécurité

• TLS 1.2+ en transit ; AES-256 au repos le cas échéant.
• Contrôle d'accès basé sur les rôles avec le moindre privilège ; MFA obligatoire pour l’accès à la production.
• Binaires signés ; constructions reproductibles ; contrôles de la chaîne d’approvisionnement (équivalent Dependabot/Snyk).
• Analyse continue des vulnérabilités ; SLA de correctifs documenté.
• Journalisation d'audit ; Conservation des journaux opérationnels pendant 30 jours ; Surveillance équivalente à SIEM.
• Vérification des antécédents du personnel ayant accès à la production ; formation annuelle en matière de sécurité.
• Plans documentés de réponse aux incidents et de continuité des activités.
• Chiffrement au repos pour les sauvegardes ; gestion des clés avec rotation.

Annexe 3 — SCC (le cas échéant) Module

UK : les tableaux 1 à 3 sont complétés à l'aide des détails du module deux ci-dessus ; Tableau 4 — L'importateur peut mettre fin à l'addendum si l'ICO publie un addendum approuvé révisé.

Contact

JYV STREAM LLC

7901 4th St N, Suite 33883, St. Petersburg, FL 33702, États-Unis

Général : support@jyvstream.com

Mentions légales : legal@jyvstream.com

Confidentialité / DPO : Privacy@jyvstream.com / dpo@jyvstream.com

Abus : abuse@jyvstream.com

Site Web : https://jyvgaming.gg