Accord de traitement des données de Revial
1. le contexte
Le présent Accord sur le traitement des données (" ATD ") est incorporé par référence dans les Conditions et constitue une partie intégrante et à part entière de l'Accord entre Revial (le Prestataire de services) et le Client. Les présentes CGU définissent les conditions dans lesquelles le Prestataire de services traite les Données à caractère personnel pour le compte du Client dans le cadre de l'Accord.
2. champ d'application
Dans la mesure où le client introduit des données à caractère personnel dans les services ou les traite d'une autre manière dans le cadre de la fourniture du service, les parties reconnaissent que le client est le responsable du traitement et que le prestataire de services est le sous-traitant, qui traite les données à caractère personnel pour le compte du client dans le but de fournir les services.
En cas de conflit entre les présentes CGU et tout autre accord, les présentes CGU prévalent.
3. Définitions
Sauf définition contraire dans les présentes CGU ou dans l'Accord, les termes utilisés dans les présentes CGU, tels que "responsable du traitement", "sous-traitant", "personne concernée" et "données à caractère personnel", ont la même signification que dans le règlement général sur la protection des données (UE) 2016/679 et les autres dispositions applicables en matière de protection des données.
4. Traitement des données à caractère personnel
Le traitement des données à caractère personnel dans le cadre des présentes CGS a pour but de fournir les services au client. Le traitement des données à caractère personnel dans ce contexte se réfère au stockage, à la maintenance et aux opérations de traitement nécessaires pour le service. Le traitement, les catégories de personnes concernées et les types de données à caractère personnel traitées sont indiqués à l'annexe 1 (Détails du traitement).
Les données à caractère personnel peuvent être traitées aussi longtemps que les services sont fournis dans le cadre de l'accord et, par la suite, si le droit applicable ou les obligations contractuelles ou les droits de l'une ou l'autre partie l'exigent.
5. les instructions et les responsabilités du client
Le Prestataire traitera les données à caractère personnel conformément aux instructions écrites du Client énoncées dans les présentes CGU. Les parties conviennent que les présentes CGU constituent l'intégralité des instructions écrites du client au prestataire de services en sa qualité de responsable du traitement des données. Les instructions supplémentaires font l'objet d'un accord écrit distinct entre les parties.
Il vous incombe de veiller à ce que le traitement de vos données à caractère personnel dans le cadre du service soit conforme à la législation applicable en matière de protection des données.
6. obligations générales du prestataire de services
Le prestataire de services aidera le client, sur demande écrite de ce dernier et à ses frais exclusifs, à répondre aux demandes des personnes concernées ou des autorités de contrôle ou à d'autres questions pour lesquelles le sous-traitant est tenu d'aider le responsable du traitement en vertu du GDPR. À moins qu'une autre base de tarification ne soit convenue, le prestataire de services est en droit de facturer cette assistance conformément à ses tarifs de personnel alors en vigueur.
Le prestataire de services informera le client dans les meilleurs délais après avoir reçu une demande de la personne concernée d'exercer ses droits en vertu du GDPR.
Le prestataire de services tiendra un registre des activités de traitement dont il est responsable afin de garantir sa conformité au GDPR en tant que responsable du traitement des données. Sur demande écrite du Client, le Prestataire fournira au Client des informations suffisantes dans la mesure nécessaire pour démontrer le respect par le Prestataire de ses obligations en vertu des présentes CGU et du Règlement sur la protection des données.
7. la sécurité de l'information
Le Prestataire met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat des données à caractère personnel et pour protéger les données à caractère personnel contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction, les dommages, l'altération ou la divulgation pour les besoins des Services. La sécurité du service est décrite à l'annexe 2 : Mesures de sécurité techniques et organisationnelles de Revial. Le prestataire de services a le droit de développer et de modifier les mesures de sécurité du service à sa seule discrétion et conformément à l'évolution de la technologie, à condition que la sécurité du service ne soit pas matériellement dégradée. Une description actualisée des mesures de sécurité est mise à la disposition du client sur demande et/ou sur le site web du prestataire de services.
En cas de violation de données à caractère personnel, le prestataire de services notifiera le client dans un délai raisonnable après avoir pris connaissance de la violation et prendra des mesures raisonnables pour atténuer les dommages causés par la violation. La notification contiendra les informations que le prestataire de services peut raisonnablement fournir au client, y compris les suivantes :
(a) une description de la nature de la violation de données à caractère personnel, y compris, si possible, les catégories de personnes concernées et les données à caractère personnel en question ;
b) le nom et les coordonnées du point de contact pour de plus amples informations ;
c) une description des conséquences probables de la violation de données à caractère personnel ; et
d) une description des mesures prises ou proposées pour remédier à la violation de données à caractère personnel.
Les informations peuvent être fournies par étapes s'il n'est pas possible de fournir toutes les informations en même temps.
Le prestataire de services coopérera et assistera le client dans une mesure commercialement raisonnable à la demande écrite du client et dans la notification des violations de données à caractère personnel à l'autorité de surveillance, comme l'exige le GDPR. Le prestataire de services documentera les violations de données à caractère personnel et tiendra la documentation à la disposition du client sur demande écrite.
8. les sous-rapporteurs
Le prestataire de services a le droit de faire appel à des sous-traitants pour fournir le service. Le Prestataire fournit des informations sur ses sous-traitants dans l'Annexe 3 (Sous-prestataires) et sur son site Internet, où des informations actualisées sur les sous-traitants sont toujours disponibles. Le Prestataire informera le Client par écrit (y compris par e-mail) de toute modification future des Sous-prestataires au moins quatorze (14) jours à l'avance afin de donner au Client suffisamment de temps pour s'opposer à la modification. Le Client consent à ce que le Prestataire utilise les Sous-préposés comme décrit dans cette section.
Le prestataire de services est tenu de s'assurer que ses sous-traitants sont soumis à des obligations de protection des données substantiellement équivalentes à celles décrites dans les présentes CGU. Le prestataire de services est responsable de ses sous-traitants et de leur respect des obligations des présentes CGU.
9. Transferts de données à caractère personnel
Le Service utilise des sous-traitants, dont certains sont situés et traitent des données à caractère personnel dans l'Espace économique européen ("EEE"), et pour ces sous-traitants, les données à caractère personnel sont stockées dans l'EEE. Comme décrit à l'annexe 3 (Sous-traitants), certains des Sous-traitants peuvent également être situés en dehors de l'EEE, ce que le Client accepte, à condition que le Sous-traitant (i) effectue le transfert international de données à caractère personnel conformément aux clauses contractuelles types (CCN) de l'UE applicables ou ; (ii) le transfert de données à caractère personnel est effectué en utilisant une autre garantie en vertu de la réglementation applicable en matière de protection des données, telle que le cadre du bouclier de protection de la vie privée UE-États-Unis ou une décision d'adéquation.
10. audits
Sur demande écrite du client et à ses frais exclusifs, le client a le droit de contrôler le respect par le prestataire de services de ses obligations au titre du règlement sur la protection des données et des présentes CGU une fois tous les douze (12) mois. Le rapport d'audit et les informations connexes sont considérés comme des informations confidentielles du prestataire de services.
11. la confidentialité des informations
Le prestataire de services est tenu de s'assurer que les personnes et les entités qui traitent des données à caractère personnel dans le cadre des présentes CGS sont liées par une obligation de confidentialité appropriée. À tous autres égards, la confidentialité et le secret sont ceux convenus dans les CGS.
12. autres conditions, validité et résiliation
Pour le reste, les dispositions contractuelles des conditions (y compris, par souci de clarté, les conditions relatives à la responsabilité et aux limitations de responsabilité en cas de dommages) s'appliquent à la présente STC.
Les présentes CGS entrent en vigueur en même temps que le reste de l'accord et restent en vigueur jusqu'à l'expiration de l'accord ou aussi longtemps que le prestataire de services traite des données à caractère personnel pour le compte du client.
Sauf instruction contraire du client par écrit et à moins que la conservation des données à caractère personnel ne soit nécessaire en vertu du droit applicable, le prestataire de services efface et détruit les données à caractère personnel traitées sur la base des CT au plus tard dans les délais fixés à la clause 4.4 des conditions, pendant lesquels le client peut récupérer les données, y compris les données à caractère personnel qu'elles contiennent, à partir du service.
Annexe 1 : Détails du traitement
Les informations suivantes complètent le présent DPA et décrivent les parties au traitement, la nature, la finalité, la durée, les types de données à caractère personnel et les catégories de personnes concernées conformément aux exigences de l'article 28 du GDPR.
Responsable du traitement : le client (l'organisation cliente telle que définie dans le contrat principal de Revial). Adresse : l'adresse enregistrée du Client (telle que spécifiée dans le contrat principal). Personne de contact : le représentant du Client (par exemple, le signataire ou le responsable de la protection des données).
Rôle : Responsable du traitement - Le client utilise le service Revial pour traiter des données à caractère personnel pour ses propres besoins (ventes et relations avec les clients) et détermine les finalités et les moyens du traitement.
Responsable du traitement des données à caractère personnel : Spinder Company Oy (numéro d'identification 3128583-8, société finlandaise à responsabilité limitée). Adresse : c/o Second Office, Kempeleentie 7, 90400 Oulu, Finlande. Personne de contact : le délégué à la protection des données de Revial ou la personne de contact (support@revial.com).
Rôle : Responsable du traitement des données personnelles - Revial fournit un service de logiciel de vente basé sur le cloud (y compris des fonctions d'intelligence artificielle) et traite les données personnelles du Client pour le compte de ce dernier afin de fournir le Service conformément aux termes de l'Accord principal.
Nature et finalité du traitement : le traitement des données à caractère personnel est nécessaire pour que Revial puisse fournir au client les fonctionnalités du service. Le traitement comprend, entre autres, le stockage de données dans le système de Revial basé sur le cloud (données et notes des clients à la manière d'un CRM), l'organisation et la recherche de données, la génération d'analyses et de résumés basés sur l'IA du contenu saisi par le Client (par exemple, résumé automatique des notes de réunion ou génération de projets d'emails), et les fonctionnalités de communication (par exemple, intégration d'emails, rappels). Le traitement est principalement automatisé et résulte des actions entreprises par le client dans le cadre du service. Revial ne traite les données que dans la mesure où elles sont nécessaires à la fourniture et à la maintenance technique du service.
La finalité du traitement est de permettre au Client d'améliorer l'efficacité de ses processus de vente : le Client peut stocker et gérer des pistes de vente, des données clients et des contacts, suivre les conversations de vente et utiliser des analyses et des suggestions générées par l'IA dans le cadre de ses efforts de vente.
Objet et durée du traitement : l'objet du traitement est constitué par les données à caractère personnel fournies par le client ou collectées pour son compte dans le cadre de ses activités de vente et de relation avec la clientèle. Le traitement commence lorsque le client télécharge pour la première fois des données à caractère personnel sur le service Revial et se poursuit pendant toute la durée du contrat principal. Le traitement des données à caractère personnel cessera à l'expiration du contrat principal et lorsque toutes les données à caractère personnel du client auront été renvoyées ou supprimées de l'environnement Revial conformément à la présente DPA. En règle générale, le traitement sera continu pendant toute la durée du contrat (des données à caractère personnel seront ajoutées, modifiées, analysées et supprimées régulièrement par le client dans le cadre de l'utilisation du service).
Types de données à caractère personnel : les principales catégories de données à caractère personnel traitées par le service sont les suivantes :
Informations de contact : noms des personnes, fonctions, nom de l'employeur ou de l'organisation, adresses électroniques professionnelles, numéros de téléphone, adresses postales et autres informations de contact similaires (par exemple, les coordonnées des affiliés commerciaux et des clients du client, les coordonnées professionnelles des employés du client).
Contenu des communications : le contenu des conversations et des messages liés aux ventes et aux contacts avec les clients. Il peut s'agir de notes de réunion, d'enregistrements et de transcriptions de réunions et d'appels, de messages et de chaînes de courriels, de discussions sur des plateformes de chat ou de messagerie, de devis et de projets de contrats, ainsi que d'autres documents contenant des commentaires, des opinions, des informations sur les horaires, etc.
Données relatives aux événements et au suivi : informations sur les actions et les interactions dans le cadre du processus de vente. Par exemple, les enregistrements des heures de réunion et des participants, les devis envoyés, les heures des appels ou des présentations et les résultats connexes (par exemple, "devis accepté/rejeté", "appel de suivi prévu à la date X"). Ces informations peuvent inclure le nom de la personne et d'autres informations.
Données relatives à l'utilisateur et au journal : informations de base relatives aux comptes des utilisateurs autorisés du client (par exemple, les employés) sur le service, telles que le nom, le nom d'utilisateur, l'adresse électronique, ainsi que les données de journal collectées lors de l'utilisation du service, telles que les heures de connexion, les actions clés effectuées par l'utilisateur (par exemple, l'ajout ou la modification de données), l'adresse IP de l'appareil de l'utilisateur et d'autres données relatives à des événements techniques. Ces informations peuvent être considérées comme des données à caractère personnel lorsqu'elles se rapportent à une personne identifiable (le client utilisateur).
Des catégories spécifiques de données à caractère personnel (par exemple, l'origine raciale/ethnique, les opinions politiques, les croyances religieuses, les données relatives à la santé ou biométriques, le casier judiciaire) ne sont pas destinées ou autorisées à être traitées dans le cadre du service.
Catégories de personnes concernées : les catégories de personnes suivantes peuvent être concernées par les données à caractère personnel traitées par le client dans le cadre du service :
Personnel du client : employés, agents ou autres utilisateurs du service dont les données à caractère personnel (principalement les coordonnées professionnelles et les détails du compte d'utilisateur) sont traitées dans le cadre de l'utilisation du service (par exemple, le personnel de vente ou les membres de l'équipe dont les activités sont enregistrées dans le système et dont les coordonnées peuvent apparaître dans les invitations à des réunions ou les communications).
Clients et prospects du client : personnes physiques (entrepreneurs individuels, contacts commerciaux, clients consommateurs) qui font l'objet d'activités de vente ou de marketing du client et dont les données sont stockées par le client dans le système. Cette catégorie comprend, par exemple, les clients potentiels ("leads"), les clients existants, les contacts des partenaires commerciaux et d'autres contacts commerciaux. Leurs données peuvent inclure des informations de contact et des contenus de communication, comme décrit ci-dessus.
Représentants de tiers : autres personnes pouvant figurer dans les données stockées par le client. Par exemple, si un représentant d'une autre société ou un recommandataire assiste à une réunion de vente avec le client, son nom et son discours peuvent figurer dans la note ou la transcription de la réunion. De même, si le client saisit les coordonnées d'une personne de contact du client final dans le cadre du processus de vente, cette personne sera enregistrée dans le service.
Durée et fin du traitement : le traitement des données à caractère personnel se poursuit pendant toute la durée de la relation contractuelle. La durée de la période de conservation des données restera inchangée pendant toute la durée de la relation contractuelle. Revial se conformera aux instructions du client concernant la suppression des données pendant la période contractuelle. À la fin du contrat, les données à caractère personnel seront soit restituées au client, soit définitivement effacées, conformément à la clause 12 du RGPD.
Annexe 2 : Mesures de sécurité techniques et organisationnelles pour Revial
Revial a mis en œuvre les principales mesures techniques et organisationnelles suivantes pour protéger les données à caractère personnel contre le traitement non autorisé ou illégal, la perte, la destruction ou les dommages. Ces mesures ont été conçues en tenant compte de l'état de l'art du traitement, du coût de la mise en œuvre, de la nature, de la portée et des finalités du traitement, ainsi que des risques pour les données à caractère personnel.
Contrôle d'accès : l 'accès aux données personnelles du client est limité aux personnes autorisées qui ont besoin de traiter les données dans le cadre de leur travail. Revial utilise des droits d'accès basés sur les rôles : les employés et les processus du système ne se voient accorder que des droits minimaux (principes du "besoin de savoir" et du "moindre privilège"). Une authentification forte est nécessaire pour se connecter au système ; au minimum, un nom d'utilisateur et un mot de passe sont requis pour les interfaces de gestion des services, et une authentification multifactorielle supplémentaire (MFA) pour les systèmes critiques lorsque cela est possible. Les mots de passe par défaut seront modifiés au cours de la phase de déploiement. Les droits d'accès sont régulièrement réexaminés et, lorsque le rôle d'un employé change ou que son emploi prend fin, son accès aux données à caractère personnel est supprimé ou bloqué sans délai. Toutes les personnes ayant des droits d'accès doivent s'engager à respecter la confidentialité (comme décrit à la section 11).
Cryptage : Revial protège les données personnelles à l'aide de méthodes de cryptage puissantes, à la fois pendant la transmission et au repos. Tout le trafic réseau entre le navigateur de l'utilisateur (ou toute autre application client) et le serveur de Revial est crypté à l'aide du protocole TLS (Transport Layer Security) (version 1.2 ou supérieure), ce qui empêche l'interception non autorisée des données en transit. Les données sur les serveurs et les bases de données sont cryptées au repos à l'aide d'un algorithme de cryptage puissant (par exemple AES-256). Les clés de chiffrement sont gérées en toute sécurité (en utilisant les services de gestion des clés d'un fournisseur de services en nuage ou des mécanismes équivalents) et l'accès aux clés est limité à un petit nombre de personnes autorisées. Les sauvegardes et les supports amovibles contenant des données à caractère personnel sont également cryptés afin de garantir la protection des données en toutes circonstances.
Sécurité du réseau et des applications : l'infrastructure en nuage de Revial utilise des pare-feu et une segmentation du réseau pour protéger les données personnelles et celles des clients. Seuls les services et les ports essentiels sont ouverts à l'Internet ; sinon, l'accès aux bases de données et aux services internes est limité au réseau interne de Revial ou à des connexions VPN. Revial fait appel à des fournisseurs de services pour gérer le routage et la distribution de contenu, y compris la protection contre les attaques DDoS. Au niveau de la couche applicative, Revial a mis en place des mécanismes pour prévenir les événements malveillants courants (par exemple, restreindre les activités suspectes telles que les tentatives de connexion par force brute). Revial met continuellement à jour ses composants logiciels contre les vulnérabilités connues : les mises à jour de sécurité critiques sont installées rapidement, au plus tard quelques jours ouvrables après leur publication. Le code et l'infrastructure de Revial sont régulièrement analysés à l'aide d'outils automatisés pour détecter les vulnérabilités. En outre, Revial charge périodiquement des experts externes d'effectuer des tests de pénétration sur ses systèmes ; les résultats de ces tests sont examinés et les faiblesses identifiées sont corrigées sans délai.
Journalisation et surveillance : Revial surveille ses systèmes pour détecter les menaces et les erreurs de sécurité. Des journaux complets sont conservés pour les systèmes clés, y compris les connexions des utilisateurs, les opérations pertinentes (par exemple, l'ajout, la modification et la suppression d'enregistrements), les messages d'erreur du système et l'utilisation des ressources du serveur. Ces journaux sont protégés contre toute modification non autorisée et sont conservés pendant une période déterminée. Revial a mis en place des alertes automatiques - par exemple, les échecs répétés de connexion, les requêtes de base de données anormalement volumineuses ou les pics de performance du serveur sont signalés à l'équipe de maintenance. L'équipe de Revial surveille régulièrement les données des journaux et les alertes. Toute anomalie (par exemple, des tentatives de connexion non authentifiées ou des recherches inhabituelles dans les données) fait l'objet d'une enquête immédiate. Les journaux sont également utilisés à des fins médico-légales en cas de violation de la sécurité.
Formation et fiabilité du personnel : la sécurité et la protection des données font partie de la culture d'entreprise de Revial. Les nouveaux employés sont familiarisés avec les politiques de Revial en matière de sécurité de l'information et de protection des données, et l'ensemble du personnel reçoit au moins une fois par an une formation portant sur les principes du GDPR, les bonnes pratiques en matière de sécurité (par exemple, la détection des attaques de phishing) et les directives internes de l'entreprise sur le traitement des données à caractère personnel. Les employés occupant des fonctions critiques peuvent faire l'objet d'une vérification de leurs antécédents au stade du recrutement, dans la mesure où la loi applicable le permet. Tous les employés de Revial ont signé des accords de non-divulgation et ont accepté de se conformer aux politiques de l'entreprise en matière de sécurité des données et de protection de la vie privée. Revial a défini des mesures disciplinaires internes en cas de violation par un employé de ses obligations en matière de protection des données ou de sécurité.
Sauvegardes et continuité : Revial garantit la disponibilité et l'intégrité des données personnelles en effectuant des sauvegardes régulières. Les bases de données contenant des données personnelles sont sauvegardées quotidiennement (ou plus fréquemment si la continuité des activités l'exige). Les sauvegardes sont cryptées et conservées dans un lieu de stockage distinct (par exemple, chez un autre fournisseur de services ou dans une autre région), à l'abri des menaces physiques et logiques. Revial a défini des délais cibles pour la récupération des données : dans les cas critiques, l'objectif de délai de récupération (RTO) est généralement de 24 à 48 heures et l'objectif de point de récupération (RPO) est de 24 heures ou moins (c'est-à-dire que la fréquence des sauvegardes est telle que jusqu'à 24 heures de données peuvent être perdues dans le pire des cas). La récupération des sauvegardes est régulièrement testée pour s'assurer que les données peuvent être lues et restaurées comme prévu en cas de catastrophe réelle. Revial dispose d'un plan de reprise après sinistre : en cas de défaillance grave de l'infrastructure serveur primaire, Revial peut redémarrer son service dans un environnement de secours (éventuellement dans un autre centre de données ou dans le nuage) aussi rapidement que possible.
Gestion des incidents : Revial dispose d'un plan écrit de gestion des incidents. Ce plan définit les mesures et les responsabilités en cas de suspicion ou de détection de failles de sécurité (y compris le plan de communication, la voie d'escalade et la coopération avec les autorités). Le personnel de Revial est formé à l'identification et au signalement interne et immédiat des failles de sécurité. Lorsqu'une violation potentielle de données à caractère personnel est détectée, l'équipe de Revial chargée de l'incident lance une enquête : elle isole les systèmes concernés (en les mettant temporairement hors service si nécessaire), identifie la cause et l'étendue de la violation et prend des mesures correctives. Revial documentera chaque étape et procédera à un examen post-événement après l'incident afin de tirer les leçons de ce qui s'est passé. Revial informera le client de toute violation de données à caractère personnel conformément au RGPD et l'assistera dans ses démarches auprès des autorités réglementaires ou des déclarants.
Gestion des sous-traitants : Revial veille à ce que les sous-traitants auxquels elle fait appel (voir annexe 3) appliquent des mesures de sécurité au moins aussi strictes que celles qu'elle applique elle-même. Avant d'introduire un nouveau sous-traitant, Revial évaluera les pratiques de sécurité et les certifications du fournisseur (par exemple, certification ISO 27001, rapport SOC2) et s'assurera contractuellement de l'engagement du sous-traitant à respecter les obligations en matière de protection des données. Revial exige de ses sous-traitants qu'ils respectent la confidentialité, qu'ils assurent une formation adéquate du personnel, qu'ils garantissent la sécurité technique et qu'ils signalent sans délai à Revial toute atteinte à la sécurité. Revial contrôle le niveau de sécurité de ses principaux sous-traitants, par exemple en leur demandant régulièrement des rapports d'audit ou des notifications d'incidents de sécurité. En cas de défaillance du sous-traitant secondaire, Revial prendra des mesures (par exemple, exiger des mesures correctives ou changer de prestataire de services si nécessaire).
Annexe 3 : Sous-rapporteurs
Les sous-traitants auxquels Revial fait appel pour traiter les données à caractère personnel du Client dans le cadre de la fourniture des Services sont énumérés ci-dessous. Pour chaque sous-traitant, le service/rôle qu'il fournit et le lieu principal où les données personnelles sont traitées sont décrits. Si le lieu est situé en dehors de l'UE/EEE, la base de transfert utilisée (par exemple, la CSC) est indiquée.
| Porte-parole | Description (tâche) | Localisation |
|---|---|---|
| Supabase, Inc. | Base de données et plateforme d'authentification en nuage. Hébergée par le service Revial la base de données où sont stockées les données personnelles du Client (par exemple, contacts, notes, transcriptions). | UE (Francfort) |
| Vercel, Inc. | Infrastructure en nuage pour l'application Revial. Fournit le service l'hébergement de l'interface du service et des fonctions dorsales, et la distribution de contenu CDN (permettant la disponibilité globale de l'application). | UE (primaire) et CDN mondial(UE/US, SCC activé) pour les transferts, aucune donnée personnelle n'est transférée) |
| OpenAI, L.L.C. | Un fournisseur de services d'IA (modèle linguistique API). Gère le client (par exemple, notes de réunion, transcriptions, boîte de réception des messages) pour produire des résultats basés sur l'IA (résumé, suggestions) dans le service Revial. | UE (priorité) / USA(SCC) |
Revial tient à jour une liste des sous-traitants qu'elle utilise. Si Revial ajoute, modifie ou supprime des sous-traitants, elle en informera préalablement le client conformément à l'article 8. Le Client peut également demander des informations supplémentaires sur les mesures de sécurité ou les pratiques en matière de protection de la vie privée de chaque sous-traitant, et Revial fournira les informations raisonnablement demandées (sous réserve de confidentialité).