Cet Accord de Traitement de Données (ci-après dénommé « ATD ») est conclu entre MyScript, société par action simplifiée de droit français, dont le siège social est situé au 3 rue de la Rainière à Nantes (ci-après dénommée « MyScript » ou le « Sous-traitant ») et vous (ci-après dénommé « Vous », « Votre » ou le « Responsable du traitement »), ci-après dénommés conjointement les « Parties ».
Le présent ATD constitue une partie intégrante des Mentions Légales et Conditions d'utilisation de MyScript et est juridiquement engageant pour toute personne créant un compte MyScript. Si Vous ne créez pas de compte MyScript, le présent ATD n'est pas applicable.
Le présent ATD est conforme aux exigences du cadre juridique actuel en matière de traitement des données et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
1.1 Sauf indication contraire dans le présent ATD, les termes et expressions en majuscules utilisés dans le présent ATD auront la signification suivante :
« Dispositions Relatives à la Protection des Données » désigne les lois et règlements de l'Union européenne, de l'EEE et de leurs États membres, de la Suisse et du Royaume-Uni, applicables au traitement de données à caractère personnel, y compris le RGPD ;
« Transfert de données » désigne :
- un transfert de Données Personnelles de l'Utilisateur de Votre part au Sous-traitant; ou
- un transfert ultérieur de Données Personnelles de l'Utilisateur du Sous-traitant à un Sous-traitant Ultérieur, ou entre deux établissements du Sous-traitant, et où, dans les deux cas, un tel transfert serait interdit par les Dispositions Relatives à la Protection des Données (ou par les modalités des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des Dispositions Relatives à la Protection des Données) ;
« ATD » désigne le présent Accord de Traitement de Données, y compris toutes les Annexes ;
« EEE » désigne l'Espace économique européen ;
« RGPD » désigne le Règlement général sur la protection des données 2016/679 de l'UE ;
« Utilisateur Final » désigne la ou les personnes physiques à qui Vous avez donné l'accès pour utiliser la reconnaissance MyScript Cloud via le portail développeur ;
« Services » désigne les services fournis par MyScript soit (i) via la plateforme de stockage et de partage cloud Nebo, soit (ii) en gérant et répondant aux demandes de support Nebo, soit (iii) via le portail MyScript développeur pour la reconnaissance de texte. Ces Services ne sont accessibles que si Vous avez créé un compte MyScript ;
« Sous-traitant Ultérieur » désigne toute personne physique ou morale nommée par le Sous-traitant pour traiter les Données Personnelles de l’Utilisateur pour Votre compte dans le cadre de la fourniture des Services ou du présent ATD ;
« Données Personnelles de l'Utilisateur » désigne les Données Personnelles contenues dans les fichiers, notes ou documents que Vous téléchargez/envoyez au Sous-traitant Ultérieur par le biais des Services, telles que Vos cahiers que Vous téléchargez sur le cloud Nebo. (Cela peut inclure Vos propres Données Personnelles, mais aussi celles de toute autre personne physique que Vous partagez avec le Sous-traitant par le biais du Service.)
1.2 Les termes « Responsable du traitement », « Personnes Concernées », « État membre », « Données à caractère personnel », « Violation de données à caractère personnel », « Traitement » et « Sous-traitant Ultérieur » ont la même signification que dans le RGPD et les termes associés doivent être interprétés en conséquence.
2.1 Aux fins du présent ATD, et conformément aux définitions du RGPD, MyScript agit en tant que Sous-traitant et Vous agissez en tant que Responsable du traitement.
2.2 Le Sous-traitant doit :
- se conformer à toutes les Dispositions Relatives à la Protection des Données dans le Traitement des Données Personnelles de l'Utilisateur ; et
- ne pas traiter les Données Personnelles de l'Utilisateur autrement que selon Vos instructions documentées.
2.3 Par le présent ATD, Vous donnez instruction au Sous-traitant de traiter les Données Personnelles de l'Utilisateur afin de fournir les Services.
Le Sous-traitant doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant du Sous-traitant qui peut avoir accès aux Données Personnelles de l'Utilisateur, en s'assurant dans chaque cas que l'accès est strictement limité aux personnes qui ont besoin d'accéder aux Données Personnelles concernées de l'Utilisateur pour la fourniture des Services ou pour remplir leur rôle au sein de l'organisation du Sous-traitant, et de se conformer aux lois applicables dans le cadre des devoirs de cette personne envers le Sous-traitant, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires de confidentialité.
4.1 Responsabilités du Sous-traitant en matière de sécurité
4.1.1 Compte tenu de la technologie, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Sous-traitant doit, en concernant les Données Personnelles de l'Utilisateur, mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.
4.1.2 Lors de l'évaluation du niveau de sécurité approprié, le Sous-traitant doit tenir compte, en particulier, des risques présentés par le Traitement, en particulier d'une Violation de données à caractère personnel.
4.1.3 Les mesures de sécurité du Sous-traitant sont détaillées dans l'Annexe 2 du présent ATD.
4.2 Vos responsabilités en matière de sécurité
4.2.1 Vous acceptez que, sans préjudice des obligations du Sous-traitant en vertu de la Section 4.1 (Mesures de sécurité) et de la Section 7 (Violation de données à caractère personnel) :
4.2.1.1 Vous êtes seul responsable de Votre utilisation du Service, notamment (i) en Vous assurant d'avoir obtenu toutes les autorisations nécessaires de toute personne physique dont les Données Personnelles sont traitées via le Service, et (ii) en conservant tous Vos identifiants de connexion et mots de passe en toute sécurité et en les changeant régulièrement.
4.2.1.2. Le Sous-traitant n'a aucune obligation de protéger les Données Personnelles de l'Utilisateur que Vous choisissez de stocker ou de transférer en dehors des systèmes du Sous-traitant (ou des Sous-traitants Ultérieurs).
4.2.2. Vous êtes seul responsable de l'examen des mesures de sécurité et de l'évaluation par Vous-même si le Service, les mesures de sécurité, les informations de sécurité supplémentaires et les engagements du Sous-traitant en vertu de la présente Section 4 (Sécurité des données) répondront à Vos besoins, y compris en ce qui concerne les obligations de sécurité des lois applicables en matière de protection des données de Votre juridiction.
5.1 Le Sous-traitant ne doit pas transférer les Données Personnelles de l'Utilisateur à des tiers et ne doit pas nommer (ni divulguer de Données Personnelles de l'Utilisateur à) un Sous-traitant ultérieur, sauf si cela est requis ou autorisé par Vous.
5.2 Vous autorisez par la présente les Sous-traitants ultérieurs répertoriés à l'Annexe 1 du présent ATD à recevoir et à traiter les Données Personnelles de l'Utilisateur nécessaires à la fourniture des Services. Le Sous-traitant Vous informera de toute modification de l'Annexe 1 avant le Traitement de toute Donnée Personnelle de l'Utilisateur par tout nouveau Sous-traitant Ultérieur et Vous pourrez cesser d'utiliser les Services.
5.3 Le Sous-traitant sera responsable des actes et omissions de ses Sous-traitants Ultérieurs dans la même mesure que le Sous-traitant serait responsable s'il exécutait les services de chaque Sous-traitant Ultérieur directement en vertu des termes du présent ATD et des Mentions légales et Conditions d'utilisation.
6.1 Compte tenu de la nature du Traitement, le Sous-traitant Vous assistera en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de Vos obligations, telles que raisonnablement comprises par le Sous-traitant, à répondre aux demandes d'exercice des droits de la Personne Concernée en vertu des Dispositions Relatives à la Protection des Données, à savoir le droit d'accès, le droit de rectification, la limitation du Traitement, l'effacement, la portabilité des données, l'opposition au Traitement, ou son droit de ne pas faire l'objet d'une prise de décision individuelle automatisée (ci-après « Demande de la Personne concernée »).
6.2 Le Sous-traitant doit :
- Vous notifier rapidement s'il reçoit une demande d'une Personne Concernée en vertu de toutes les Dispositions Relatives à la Protection des Données concernant les Données Personnelles de l'Utilisateur ; et
- s'assurer qu'il ne répond pas à cette demande, sauf sur Vos instructions documentées ou tel que requis par les lois applicables auxquelles le Sous-traitant est soumis, auquel cas le Sous-traitant doit, dans la mesure permise par les lois applicables, Vous informer de cette exigence légale avant que le Sous-traitant ne réponde à la demande.
6.3 Compte tenu de la nature du Traitement, le Sous-traitant Vous assistera par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de Votre obligation à répondre à une demande de Personne Concernée en vertu des Dispositions Relatives à la Protection des Données. En outre, dans la mesure où Vous, dans Votre utilisation du Service, n'avez pas la capacité de répondre à une demande de Personne Concernée, le Sous-traitant doit, sur Votre demande écrite, Vous fournir une coopération et une assistance raisonnables pour faciliter Votre réponse à cette demande de la Personne Concernée, dans la mesure où le Sous-traitant est légalement autorisé à le faire et la réponse à cette demande de la Personne Concernée est requise en vertu des Dispositions Relatives à la Protection des Données. Dans la mesure autorisée par la loi, Vous serez responsable de tous les coûts découlant de la fourniture d'une telle assistance par le Sous-traitant.
7.1 Le Sous-traitant doit Vous informer, ainsi que l'Autorité de contrôle compétente, sans retard indu dès qu'il prend connaissance d'une Violation de données à caractère personnel affectant les Données Personnelles de l'Utilisateur, en Vous fournissant des informations suffisantes pour Vous permettre de respecter toute obligation de signaler ou d'informer les Personnes Concernées de la Violation de données à caractère personnel en vertu des Lois sur la protection des données.
7.2 Le Sous-traitant doit coopérer avec Vous et prendre des mesures commerciales raisonnables selon Vos instructions pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces Violations de données à caractère personnel.
7.3 La ou les notification(s) de toute Violation de données à caractère personnel Vous seront transmises par communication directe. Vous êtes seul responsable de Vous assurer que toutes les informations de contact, y compris l'adresse e-mail de notification, fournies au Sous-traitant sont à jour et valides.
7.4 Le Sous-traitant n'évaluera pas le contenu des Données Personnelles de l'Utilisateur afin d'identifier les informations soumises à des exigences légales spécifiques. Vous êtes seul responsable du respect des lois applicables en matière de notification d'incident et de l'exécution de toute obligation de notification à un tiers liée à toute Violation de données à caractère personnel.
7.5 La notification ou la réponse du Sous-traitant à une Violation de données à caractère personnel en vertu de la présente Section 7.1 (Violation de données à caractère personnel) ne sera pas interprétée comme une reconnaissance par le Sous-traitant de toute faute ou responsabilité concernant la Violation de données à caractère personnel.
Le Sous-traitant doit Vous fournir une assistance raisonnable pour toute évaluation d'impact relative à la protection des données et des consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données, que Vous considérez raisonnablement comme requises par l'article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en ce qui concerne le Traitement des Données Personnelles de l'Utilisateur par le Sous-traitant, et en tenant compte de la nature du Traitement et des informations à la disposition du Sous-traitant.
9.1 À Votre demande expresse ou lors de la suppression de Votre compte par Vous-même, le Sous-traitant supprimera les Données Personnelles de l'Utilisateur qui ont été traitées ou sont en cours de Traitement par le Sous-traitant. La suppression est définitive et le Sous-traitant ne conservera aucune copie de ces Données Personnelles de l'Utilisateur.
9.2 À la cessation des Services, le Sous-traitant doit rapidement, et en tout état de cause dans les 12 mois suivant la date de cessation de tout Service impliquant le Traitement des Données Personnelles de l'Utilisateur, supprimer et obtenir la suppression de toutes les copies (le cas échéant) des Données Personnelles de l'Utilisateur qui ont été transférées au Sous-traitant (ou à tout Sous-traitant Ultérieur) lors de la fourniture du Service.
10.1 Le Sous-traitant doit effectuer régulièrement des audits et s'assurer que tous les Sous-traitants Ultérieurs font de même, afin de garantir le respect du présent ATD et de leurs obligations en vertu des Dispositions Relatives à la Protection des Données.
10.2 Sous réserve de la présente Section 10, le Sous-traitant mettra à Votre disposition sur demande, et à condition qu'un accord de confidentialité suffisant soit en place, toutes les informations nécessaires pour démontrer la conformité avec le présent ATD, en ce qui concerne le Traitement des Données Personnelles de l'Utilisateur par le Sous-traitant et /ou Sous-traitants Ultérieurs.
10.3 Vous pouvez demander à effectuer tout type d’audit, y compris d’inspection. Vous avez le droit de demander ou de mandater en Votre nom, et au nom de Vos responsables de traitement lorsque Vous agissez en tant que sous-traitant, en vertu de la loi sur la protection des données applicable, en demandant au Sous-traitant d’effectuer l'audit décrit à la section 10.1.
10.4 Si Vous souhaitez modifier votre instruction concernant l'audit, Vous en avez le droit en envoyant au Sous-traitant un mail à legal@myscript.com. Si le Sous-traitant refuse de suivre toute demande et/ou instruction demandée par Vous concernant les audits, y compris les inspections, Vous avez le droit de résilier les Services immédiatement.
11.1 Le Sous-traitant ne peut pas transférer ou autoriser le transfert des Données Personnelles de l'Utilisateur vers des pays en dehors de l'UE et/ou de l'EEE sans votre consentement écrit préalable. Si les Données Personnelles traitées dans le cadre du présent ATD sont transférées d'un pays de l'Espace économique européen vers un pays hors de l'Espace économique européen, les Parties doivent s'assurer que les Données Personnelles de l'Utilisateur sont protégées de manière adéquate. Pour ce faire, les Parties s'appuient, sauf convention contraire, sur les clauses contractuelles types approuvées par l'UE pour le transfert des Données Personnelles.
11.2 Une liste des Sous-traitants ultérieurs qui reçoivent les Données Personnelles des Utilisateurs, ainsi que les pays dans lesquels ils sont basés, est fournie à l'Annexe 1 du présent ATD. Aux fins de la Section 11.1 ci-dessus, Vous consentez au transfert des Données personnelles de l'Utilisateur aux Sous-traitants Ultérieurs énumérés à l'Annexe 1.
12.1 Durée. Le présent ATD prend effet dès Votre acceptation des Mentions Légales et des Conditions d'utilisation et restera en vigueur aussi longtemps que le Sous-traitant Vous fournira les Services.
12.2 Avis. Tous les avis et communications donnés dans le cadre du présent ATD doivent être écrits et envoyés par e-mail à l'adresse utilisée pour créer un compte MyScript dans le cas où MyScript Vous contacte, et doivent être envoyés à legal@myscript.com si Vous souhaitez notifier MyScript.
12.3 Loi et juridiction. Le présent ATD est régi par les lois françaises. Tout litige découlant de ou en relation avec le présent ATD, que les Parties ne pourront pas résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux ou autorités françaises compétentes.
12.4 Divisibilité. Si une disposition du présent ATD est invalide ou inapplicable, le reste du présent ATD restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour assurer sa validité et son applicabilité, tout en préservant le plus possible les intentions des Parties, soit, si cela n'est pas possible, (ii) interprétée de manière à ce que la clause invalide ou partie inopposable n'y avait jamais été contenue.
12.5 L'Autorité de contrôle compétente à contacter en cas de réclamation, plainte ou demande est la Commission Nationale des Informations et des Libertés (CNIL) et peut être contactée via https://www.cnil.fr/fr/plaintes/.
1.1 Services Nebo Cloud
| Sous-traitant Ultérieur | Finalité | Emplacement du centre de données |
|---|---|---|
| AWS | Fournisseur d'infrastructures Cloud | Union européenne |
| Freshworks | Reçoit et gère les demandes de support qui peuvent inclure le transfert de fichiers (cahiers) | Union européenne |
| Claranet | Fournisseur d'infrastructures | Union européenne |
1.2 Fonctionnalités d’intelligence artificielle générative de Nebo
| Sous-traitant Ultérieur | Finalité | Emplacement du centre de données |
|---|---|---|
| OpenAI | Fournisseur de services | Monde entier (CCT) |
| AWS | Hébergement API | Union européenne |
1.3 Reconnaissance MyScript Cloud via le portail développeur
| Sous-traitant Ultérieur | Finalité | Emplacement du centre de données |
|---|---|---|
| AWS | Fournisseur d'infrastructures Cloud | Oregon, États-Unis (CCT) |
| Claranet | Fournisseur d'infrastructures | Union européenne |
Le Sous-traitant mettra en œuvre et maintiendra les mesures de sécurité techniques et organisationnelles suivantes lors du Traitement des Données Personnelles de l'Utilisateur en Votre nom :
Contrôles d'accès physique
Le Sous-traitant doit prendre des mesures raisonnables pour empêcher l'accès physique, tels que des bâtiments sécurisés et des salles de serveurs sécurisées, pour empêcher les personnes non autorisées d'accéder aux Données Personnelles de l'Utilisateur, ou s'assurer que les Sous-traitants Ultérieurs qui exploitent des centres de données en son nom adhèrent à ces contrôles.
Contrôles d'accès au système
Le Sous-traitant doit prendre des mesures raisonnables pour empêcher que les Données Personnelles de l'Utilisateur soient utilisées sans autorisation. Ces contrôles varient en fonction de la nature du Traitement entrepris et peuvent inclure, entre autres, une authentification par mots de passe, combinée à une authentification multifacteur le cas échéant, des processus d'autorisation documentés, des pares-feux, des processus documentés de gestion des modifications et/ou une journalisation des accès à plusieurs niveaux et des mises à jour de sécurité automatiques.
Contrôles d'accès au système
Le Sous-traitant doit prendre des mesures raisonnables pour empêcher que les Données Personnelles de l'Utilisateur soient utilisées sans autorisation. Ces contrôles varient en fonction de la nature du Traitement entrepris et peuvent inclure, entre autres, une authentification par mots de passe, combinée à une authentification multifacteur le cas échéant, des processus d'autorisation documentés, des pares-feux, des processus documentés de gestion des modifications et/ou une journalisation des accès à plusieurs niveaux et des mises à jour de sécurité automatiques.
Contrôles d'accès aux données
Le Sous-traitant doit prendre des mesures raisonnables pour garantir que les Données Personnelles de l'Utilisateur ne sont accessibles et gérables que par du personnel dûment autorisé, que l'accès direct aux requêtes de la base de données est restreint et que les droits d'accès aux applications sont établis et appliqués pour garantir que les personnes autorisées à utiliser un système de traitement de données n'ont accès qu'aux Données Personnelles de l'Utilisateur pour lesquelles ils ont un privilège d'accès, et que les Données Personnelles de l'Utilisateur ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation au cours du Traitement.
Commandes de transmission
Le Sous-traitant doit prendre des mesures raisonnables pour s'assurer qu'il est possible de vérifier et d'établir à quelles entités le transfert des Données Personnelles de l'Utilisateur au moyen d'installations de transmission de données est envisagé, afin que les Données Personnelles de l'Utilisateur ne puissent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique ou le transport. Ces mesures incluent l'utilisation de connexions de serveur sécurisées certifiées et la limitation du partage de ressources d'origine croisée sur toutes les API.
Commandes d'entrée
Le Sous-traitant doit prendre des mesures raisonnables pour s'assurer qu'il est possible de vérifier et d'établir si des métadonnées ont été saisies dans des systèmes de traitement de données, modifiées ou supprimées. Le Sous-traitant doit utiliser les meilleures pratiques de l'industrie, ci-dessous les protocoles cryptographiques pour l'authentification et la journalisation de contrôle sécurisée.
Sauvegarde de données
Les sauvegardes des bases de données du Service sont effectuées régulièrement, sont sécurisées et cryptées au repos pour garantir que les Données Personnelles de l'Utilisateur sont protégées contre la destruction ou la perte accidentelle. Les captures de données (snapshots) sont prises toutes les 12 heures (AWS). La sauvegarde cryptée a lieu tous les trois jours sur nos serveurs.
Nom:MyScript SAS
Adresse:3 rue de la Rainière 44339, Nantes, France
Nom, fonction et coordonnées de la personne de contact :
Emilie Fowell, DPO, legal@myscript.com
Activités concernées par les données transférées :Exécution des Services
Rôle (Responsable du traitement /sous-traitant) :Sous-traitant
3.1 Services Nebo Cloud
1. Catégories de personnes concernées dont les données personnelles sont transférées :
Vous pouvez soumettre des Données Personnelles d'Utilisateur aux Services, dont l'étendue est déterminée et contrôlée exclusivement par Vous.
2. Catégories de données personnelles transférées :
- Les Données Personnelles de l'Utilisateur non structurées contenues dans des cahiers envoyés par Vous au Sous-traitant via le Service pour partager avec MyScript ou pour le stockage sur le cloud Nebo.
3. Catégories particulières de données à caractère personnel :
MyScript ne collecte aucune catégorie particulière de données à caractère personnel (telles que l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques ou biométriques, la santé et la vie sexuelle). Cependant, le contenu des Données Personnelles de l'Utilisateur non structurées, tel que décrit ci-dessus, est inconnu de MyScript.
4. Fréquence du transfert
Les Données Personnelles de l'Utilisateur non structurées sont transférées à nos Sous-traitants énumérés à l'Annexe 1 et de manière continue en fonction de la fréquence de Votre utilisation du Service.
5. Nature du traitement
La nature du Traitement est l'exécution des Services.
6. Finalité(s) du transfert de données et traitement ultérieur
MyScript traitera les Données Personnelles de l'Utilisateur si nécessaire pour exécuter les Services que Vous avez demandés.
7. Durée de conservation des données personnelles ou, si cela n'est pas possible, critères utilisés pour déterminer cette durée
Les Données Personnelles de l'Utilisateur non structurées sont transférées aux Serveurs du Sous-traitant aussi longtemps que Vous décidez de stocker ou de partager les Données Personnelles de l'Utilisateur via Nebo Cloud. Si Vous supprimez Votre compte MyScript, toutes les Données Personnelles de l'Utilisateur sont automatiquement supprimées de tous les points de stockage.
8. Pour les transferts vers des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement
Le Sous-traitant Ultérieur traitera les Données Personnelles de l'Utilisateur si nécessaire pour exécuter les Services. Le Sous-traitant Ultérieur traitera les Données Personnelles de l'Utilisateur aussi longtemps que Vous disposerez d'un compte MyScript, sauf accord écrit contraire ou si Vous avez demandé une suppression préalable des Données Personnelles de l'Utilisateur. Les identités des Sous-traitants Ultérieurs utilisés pour la fourniture des Services et leur pays de localisation sont répertoriées à l'Annexe 1 du présent ATD.
3.2 Fonctionnalités d’intelligence artificielle générative de Nebo
1. Catégories de personnes concernées dont les données personnelles sont transférées :
Vous pouvez soumettre des Données Personnelles d'Utilisateur aux Services, dont l'étendue est déterminée et contrôlée exclusivement par Vous.
2. Catégories de données personnelles transférées :
- Données Personnelles non structurées de l'Utilisateur contenues dans des cahiers que Vous envoyez au Sous-traitant via le Service pour générer du contenu et l’importer dans Vos cahiers.
3. Catégories particulières de données à caractère personnel :
MyScript ne collecte aucune catégorie particulière de données à caractère personnel (telles que l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques ou biométriques, la santé et la vie sexuelle). Cependant, le contenu des Données Personnelles non structurées de l'Utilisateur, tel que décrit ci-dessus, est inconnu de MyScript.
4. Fréquence du transfert
Les Données Personnelles non structurées de l’Utilisateur sont transférées à nos Sous-traitants énumérés à l'Annexe 1 et de manière continue en fonction de Votre fréquence d'utilisation du Service.
5. Nature du traitement
La nature du Traitement est l'exécution des Services.
6. Finalité(s) du transfert de données et traitement ultérieur
MyScript traitera les Données Personnelles de l'Utilisateur si nécessaire pour exécuter les Services que Vous avez demandés.
7. Durée de conservation des données personnelles ou, si cela n'est pas possible, critères utilisés pour déterminer cette durée
Les Données Personnelles non structurées de l’Utilisateur sont temporairement transférées aux serveurs de notre Sous-traitant lorsque Vous les incluez dans une requête de génération de contenu via les fonctionnalités d’intelligence artificielle.
8. Pour les transferts vers des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement
L’identité et la localisation des Sous-traitants Ultérieurs utilisés pour fournir des services sont énumérés à l’Annexe 1 du présent ATD. Les Sous-traitants Ultérieurs traiteront les Données Personnelles de l’Utilisateur si cela est nécessaire pour exécuter les services. Le Sous-traitant Ultérieur OpenAI conserve un enregistrement de toutes les requêtes (y compris les Données Personnelles de l’Utilisateur) pendant 30 jours, afin de surveiller les contenus illégaux et/ou abusifs, avant de les supprimer. Les requêtes (y compris les Données Personnelles de l’Utilisateur) ne font que transiter par les serveurs d’AWS, elles sont instantanément supprimées.
3.3 Reconnaissance de MyScript Cloud via le portail développeur
1. Catégories de personnes concernées dont les données personnelles sont transférées :
Vous pouvez soumettre des Données Personnelles d'Utilisateur aux Services, dont l'étendue est déterminée et contrôlée exclusivement par Vous.
2. Catégories de données personnelles transférées :
- Données Personnelles de l'Utilisateur non structurées contenues dans des documents que Vous envoyez au Sous-traitant via le Service pour transformation de notes manuscrites en texte dactylographié.
- Adresse IP de l'utilisateur final.
3. Catégories particulières de données à caractère personnel :
MyScript ne collecte aucune catégorie particulière de données à caractère personnel (telles que l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques ou biométriques, la santé et la vie sexuelle). Cependant, le contenu des Données Personnelles de l'Utilisateur non structurées, tel que décrit ci-dessus, est inconnu de MyScript.
4. Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue)
Toutes les catégories de données énumérées ci-dessus sont transférées à nos Sous-traitants énumérés à l'Annexe 1 et de manière continue en fonction de l'utilisation du Service.
5. Nature du traitement
La nature du Traitement est l'exécution des Services.
6. Finalité(s) du transfert de données et traitement ultérieur
MyScript traitera les données personnelles nécessaires pour exécuter les Services.
7. Durée de conservation des données personnelles ou, si cela n'est pas possible, critères utilisés pour déterminer cette durée
Les Données Personnelles de l'Utilisateur non structurées sont transférées aux serveurs du Sous-traitant le temps que le Traitement ait lieu, sont ensuite renvoyées à l'Utilisateur Final et ne sont pas stockées par le Sous-traitant. Les adresses IP sont conservées dans les journaux pendant 12 mois. Les Données Personnelles de l'Utilisateur non structurées ne sont pas stockées par le Sous-traitant, sauf demande spécifique & expresse de Votre part par écrit.
8. Pour les transferts vers des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement
Le Sous-traitant Ultérieur traitera les Données Personnelles de l'Utilisateur si nécessaire pour exécuter les Services. Le Sous-traitant Ultérieur traitera les Données Personnelles aussi longtemps que Vous utiliserez les Services, sauf accord écrit contraire. Les identités des Sous-traitants Ultérieurs utilisés pour la fourniture des Services et leur pays de localisation sont répertoriées à l'Annexe 1 du présent ATD.
Autorité de contrôle compétente
L'Autorité de contrôle compétente à contacter en cas de réclamation, plainte ou demande est la Commission Nationale des Informations et des Libertés (CNIL) et peut être contactée via https://www.cnil.fr/fr/plaintes/.