STATS PERFORM - CONTROLLER-TO-PROCESSOR DATA PROCESSING ADDENDUM TO TEAM PERFORMANCE MASTER LICENCE AGREEMENT
Le présent addenda relatif au traitement des données entre le contrôleur et le sous-traitant, y compris les appendices, annexes et appendices joints (ensemble, le "DPA"), le cas échéant, fait partie du contrat de licence principal de Team Performance ("MLA") et y est incorporé, l'Ordre de Travail et/ou (le cas échéant) tout autre accord (ensemble le "Contrat") en relation avec certains services des Services Accédés à la Plateforme (tels que désignés dans l'Ordre de Travail et l'Ordre de Travail) qui vous sont fournis (désignés par "Licencié", "vous" ou "votre") conformément au Contrat où vous êtes le contrôleur des données et soit Perform Content Limited soit l'Affilié concerné qui est partie au Contrat (la partie concernée désignée par "Stats Perform").Stats Perform"ou "nous", "notre" ou "nos") agit en tant que processeur de données.
En cas de conflit entre les dispositions de l'AML et celles du présent DPA, ces dernières prévalent. Sous réserve de ce qui précède, l'AML restera par ailleurs pleinement en vigueur.
Ilest donc convenu ce qui suit :
1. DÉFINITIONS
1.1. Dans le présent DPA, les termes en majuscules ont la signification indiquée ci-dessous ou, le cas échéant, ailleurs dans l'accord :
| Affiliation | désigne toute entité qui, directement ou indirectement, contrôle une partie, est contrôlée par elle ou est sous contrôle commun avec elle pendant la durée du contrat. |
| Loi sur la protection des données | désigne tous les statuts, lois, actes de droit dérivé et règlements relatifs à la vie privée et/ou à la protection des données à caractère personnel qui sont applicables aux parties, y compris, le cas échéant : (i) en ce qui concerne l'UE, le Règlement général sur la protection des données (UE) 2016/679 (" RGPDUE ") et toutes les lois ou réglementations pertinentes des États membres donnant effet, remplaçant ou complétant ce dernier ; (ii) en ce qui concerne le Royaume-Uni, la loi sur la protection des données 2018 ("UK DPA"), le GDPR britannique (qui a le sens qui lui est donné dans le UK DPA) (" GDPRbritannique ") et les règlements sur la vie privée et les communications électroniques (directive CE) 2003 (SI 2003/2426) ; et (iii) toutes les lois et réglementations applicables qui mettent en œuvre, modifient, étendent, réadoptent, remplacent, consolident ou complètent les mêmes de temps à autre. |
| CCN de l'UE | désigne les Clauses contractuelles types de la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers conformément au GDPR de l'UE, telles qu'elles figurent à l'annexe de la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 (et disponibles ici par le biais d'un lien), dont les annexes pertinentes figurent dans le présent DPA, ou tout ensemble de clauses approuvé par la Commission européenne qui les modifie, les remplace ou les annule. |
| Addendum ICO UK | désigne l'addendum sur le transfert international de données aux CSC de l'UE publié par le commissaire à l'information du Royaume-Uni en vertu de la section 119A du DPA britannique, qui est entré en vigueur le 21 mars 2022 (et qui est disponible ici par le biais d'un lien). |
| Transfert international | désigne un transfert couvert par le chapitre V du GDPR de l'UE ou du GDPR du Royaume-Uni (selon le cas). |
| Clauses de transfert international | désigne les CSC de l'UE et, le cas échéant, l'addendum d'ICO UK. |
| Données personnelles du licencié | désigne toutes les données à caractère personnel contenues dans les Données du Licencié (telles que définies dans la LBA) que nous traitons dans le cadre des Services et telles que définies dans l'Annexe à ce DPA. Conformément à la clause 2.2 de ce DPA, ces données peuvent inclure les données à caractère personnel d'un licencié affilié. |
| Services | désigne les services fournis par la plate-forme en vertu de l'accord. |
1.2. Les termes "personne concernée", "données à caractère personnel", "traitement" et leurs variations, "responsable du traitement" et "sous-traitant" ont la signification qui leur est attribuée dans la loi sur la protection des données.
2. NOMINATION
2. 1. Dans le cadre de la fourniture des Services par Stats Perform au Licencié, le Licencié peut fournir ou introduire dans les Services des Données Personnelles du Licencié en vue de leur traitement. A ces fins, le Licencié est le responsable du traitement et Stats Perform est le sous-traitant, et le présent DPA s'applique dans ces circonstances. L'objet du traitement des Données Personnelles du Licencié à effectuer par Stats Perform pour le compte du Licencié (y compris la nature, la finalité, la durée et d'autres aspects) est défini dans l'Annexe à ce DPA.
2.2. Les Données Personnelles du Licencié peuvent contenir des données personnelles pour lesquelles les Affiliés du Licencié sont responsables du traitement. Le Licencié confirme qu'il est autorisé à communiquer à Stats Perform toute instruction ou autre exigence au nom des Affiliés du Licencié en ce qui concerne le traitement des Données Personnelles du Licencié par Stats Perform dans le cadre des Services.
2.3. Stats Perform est désigné par le Licencié pour traiter les Données Personnelles du Licencié au nom du Licencié et/ou des Affiliés du Licencié, selon le cas, dans la mesure où cela est nécessaire pour fournir les Services ou selon ce qui a été convenu par écrit entre les parties.
2.4. Le Licencié reconnaît qu'il est seul responsable, avec ses Sociétés affiliées, de s'assurer, et le Licencié garantit et déclare, que, conformément à la Loi sur la protection des données, tout traitement des Données personnelles du Licencié est effectué sur la base d'un motif légal approprié, que les avis appropriés relatifs au traitement de ces données sont fournis aux personnes concernées, que les Données personnelles du Licencié sont exactes et à jour, et que des périodes de conservation des données appropriées sont définies et mises en œuvre en ce qui concerne ces données.
3. DURÉE
Le présent DPA s'applique à compter de la date d'entrée en vigueur et reste pleinement en vigueur jusqu'à la résiliation ou l'expiration de l'accord ou des services (la "durée").
4. RESPECT DE LA PROTECTION DES DONNÉES
4.1. En ce qui concerne le traitement des Données Personnelles du Licencié en tant que sous-traitant pendant la Durée, sauf disposition contraire de la loi, Stats Perform s'engage à :
4.1.1. se conformer à la législation applicable en matière de protection des données en ce qui concerne le traitement des données personnelles du Licencié ;
4.1.2. traiter les Données Personnelles du Licencié uniquement dans le cadre de la provision Services, conformément aux instructions légales documentées du Licencié raisonnablement données dans le contexte des Services de temps à autre, et pour son analyse commerciale interne des données anonymes. Stats Perform peut être tenu de traiter les données personnelles du Licencié conformément à la législation applicable à laquelle il est soumis et, dans ce cas, il informera le Licencié de cette obligation légale avant le traitement, à moins que cette législation n'interdise une telle information pour des raisons importantes d'intérêt public. Le Licencié garantit et déclare en permanence que ses instructions ne mettront pas Stats Perform en infraction avec la loi ;
4.1.3. informer le licencié si, à son avis, une instruction enfreint la loi sur la protection des données, et si Stats Perform a le droit de ne pas tenir compte de cette instruction ;
4.1.4. s'assurer que tout le personnel autorisé par Stats Perform à traiter les données personnelles des licenciés s'est engagé à respecter la confidentialité ou est soumis à une obligation légale appropriée de confidentialité ;
4.1.5. mettre en œuvre les mesures techniques et organisationnelles appropriées (conformément aux mesures énoncées dans l'annexe de ce DPA) pour sauvegarder de manière appropriée les données personnelles du Licencié en tenant compte de la nature des données personnelles du Licencié qui doivent être protégées et du risque de préjudice qui pourrait résulter d'une violation de la sécurité (telle que définie ci-dessous) ;
4.1.6. informer, sans délai injustifié, le Licencié de toutes les demandes de personnes concernées qu'il reçoit en vertu de la loi sur la protection des données ou des demandes réglementaires ou d'application de la loi concernant les données personnelles du Licencié. Stats Perform peut accuser réception de chaque demande d'une personne concernée. En accord avec le Licencié, Stats Perform peut, aux frais du Licencié, assister le Licencié par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de l'obligation du Licencié de répondre aux demandes des personnes concernées formulées en vertu de la Loi sur la protection des données ;
4.1.7. aux frais du Licencié, fournir l'assistance dont le Licencié peut raisonnablement avoir besoin pour garantir le respect par le Licencié de la loi sur la protection des données en ce qui concerne la sécurité des données, les notifications de violation des données, les évaluations de l'impact sur la protection des données et les consultations préalables avec les autorités de contrôle compétentes en matière de protection de la vie privée et des données ;
4.1.8. au choix et aux frais du Licencié, supprimer les Données personnelles du Licencié ou retourner toutes les Données personnelles du Licencié au Licencié après la fin de la provision des Services, et supprimer les copies existantes de toutes les Données personnelles du Licencié, à l'exception des données anonymisées du Licencié conservées à des fins commerciales légitimes ou des Données personnelles du Licencié devant être conservées en permanence en vertu de la loi applicable ; et
4.1.9. aux frais du Licencié, mettre à la disposition du Licencié les informations raisonnablement nécessaires pour démontrer la conformité de Stats Performavec le présent DPA et permettre des audits et des inspections effectués par un tiers indépendant, moyennant un préavis raisonnable dont les parties peuvent convenir. Lorsqu'il exerce son droit d'audit conformément à la présente clause, le Licencié doit, et doit s'assurer qu'une partie effectuant un audit doit, sous réserve de la clause 5 : (a) effectuer des audits uniquement pendant les heures d'ouverture du site de Stats Performou de sa société affiliée où l'audit est effectué ; (b) faire preuve de toute la diligence raisonnable pour garantir des opérations commerciales non perturbées lors de l'exécution des audits, en particulier pour s'assurer que les risques pour l'environnement d'un autre client (par exemple, l'impact sur les niveaux de service, la disponibilité des données, la qualité de l'information, etc. impact sur les niveaux de service, la disponibilité des données, les aspects de confidentialité) soient évités ou atténués ; (c) respecter toutes les dispositions applicables de la loi sur la protection des données et les exigences raisonnables de Stats Perform; (d) exercer les droits d'audit de manière proportionnelle, en tenant compte de la complexité des services, des risques découlant des services, de la criticité ou de l'importance des services, et de l'impact potentiel des services sur la continuité des activités du Licencié ; (e) respecter les normes d'audit nationales et internationales pertinentes et communément acceptées ; (f) s'assurer que ses employés ou tout auditeur tiers possèdent les compétences et les connaissances appropriées et pertinentes pour réaliser l'audit ; et (g) traiter toutes les informations partagées en vertu de la présente clause comme des informations confidentielles.
5. AUDIT
En ce qui concerne la clause 4.1.9 ci-dessus, en relation avec ses Sous-Traitants, Stats Perform exercera ses droits d'audit (conformément aux exigences de l'article 28(3)(h) du GDPR de l'UE ou du GDPR du Royaume-Uni (selon le cas)) sous réserve de son accord avec ses Sous-Traitants. A sa propre discrétion, mais en tenant compte des obligations légales du Licencié, Stats Perform aura le droit de ne pas divulguer des informations si ces informations sont sensibles pour les affaires de Stats Performou si Stats Perform violerait des obligations statutaires ou contractuelles en divulguant ces informations. En particulier, Stats Perform n'accordera au Licencié l'accès à aucune donnée ou information sur les Licenciés de Stats Perform, sur les coûts de Stats Perform, sur les rapports de qualité et de gestion des contrats ou sur toute autre information qui n'est pas strictement nécessaire aux fins de l'inspection convenue.
6. SOUS-PROCESSEURS
6.1. Stats Perform engagera tous les sous-traitants impliqués dans le traitement des Données à caractère personnel du Licencié dans le cadre de ce DPA (chacun étant un "Sous-traitant") conformément à la présente clause 6.
6.2. La liste actuelle des Sous-traitants engagés dans le traitement des Données personnelles du Licencié pour l'exécution de certaines activités de traitement des données dans le cadre de ce DPA figure dans l'Annexe (telle que mise à jour de temps à autre). À compter de la Date d'entrée en vigueur, le Licencié consent par la présente à l'utilisation de ces Sous-traitants en ce qui concerne les Données à caractère personnel du Licencié.
6.3. Stats Perform informera dûment le Licencié de tout nouveau Sous-Traitant ou de tout Sous-Traitant de remplacement qui diffère de la liste des Sous-Traitants figurant dans l'Annexe et qui affecte le traitement des Données Personnelles du Licencié. Si le Licencié s'oppose à un tel changement pour des motifs raisonnables, il doit le notifier à Stats Perform dans un délai de 14 jours à compter de la date à laquelle il en a été informé par Stats Perform conformément à la présente clause, faute de quoi le changement sera réputé accepté. En cas d'objection raisonnablement soulevée conformément à la présente clause, les parties entameront des discussions de bonne foi afin de convenir d'une solution de contournement. Toutefois, si aucune solution de contournement n'est convenue, de l'avis raisonnable de Stats Perform sera en droit de mettre fin aux Services relatifs au changement de Sous-Traitant.
6.4. Lorsqu'il fait appel à un sous-traitant, Stats Perform :
6.4.1. faire preuve d'une diligence raisonnable ;
6.4.2. conclure un contrat dont les termes, dans la mesure du possible, sont substantiellement équivalents à ceux du présent DPA, et qui peut inclure des clauses de transfert international (ou similaires) si nécessaire, afin de fournir des garanties adéquates en ce qui concerne le traitement des données à caractère personnel du Licencié ; et
6.4.3. rester entièrement responsable vis-à-vis du Licencié de l'exécution par le Sous-traitant de ses obligations en matière de traitement des données en vertu du présent DPA.
7. INCIDENTS DE SÉCURITÉ
7.1. "Violation de la sécurité" : une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données personnelles du licencié transmises, stockées ou traitées d'une autre manière par Stats Perform
7.2. Stats Perform notifiera sans délai au Licencié s'il a connaissance d'une violation de la sécurité. Dans la mesure du possible, Stats Perform procédera à des notifications échelonnées.
7.3. Stats Perform enquêtera sur la violation de la sécurité et prendra des mesures raisonnables pour identifier, prévenir et atténuer les effets de la violation de la sécurité. Aux frais du Licencié, Stats Perform prendra les mesures supplémentaires que le Licencié peut raisonnablement demander afin de se conformer à la loi sur la protection des données.
7.4. Sous réserve des exigences de la loi sur la protection des données, le preneur de licence ne peut pas publier ou diffuser un dossier, une communication, un avis, un communiqué de presse ou un rapport concernant une violation de la sécurité sans l'accord écrit préalable de Stats Perform; cet accord ne sera pas refusé de manière déraisonnable.
8. TRANSFERTS INTERNATIONAUX DE DONNÉES
8.1. Le Licencié reconnaît que Stats Perform peut procéder à des Transferts Internationaux de Données Personnelles du Licencié. Stats Perform s'assurera que tout transfert international, dans la mesure où il a lieu, est fondé sur des garanties appropriées en vertu de la Loi sur la protection des données applicable, y compris, si nécessaire, en concluant les Clauses de transfert international appropriées (ou d'autres clauses contractuelles standard) avec l'importateur concerné.
8.2. Dans le cas où le Licencié est soumis au GDPR de l'UE et transfère les Données à caractère personnel du Licencié à Stats Perform pour traitement en dehors de l'Espace économique européen, et que le transfert est un Transfert international et n'est pas fondé sur une décision d'adéquation telle que décrite à l'article 45 du GDPR de l'UE, les parties se conformeront à la version du Module 2 (ou, le cas échéant, du Module 3) des CCAP de l'UE, qui sont réputées incorporées dans le présent DPA et en font partie intégrante, et qui sont complétées de la manière suivante :
8.2.1. La clause 7 des CCAP de l'UE (la clause d'amarrage) ne s'appliquera pas ;
8.2.2. l'option 2 s'applique à la clause 9(a) des CCAP de l'UE lorsque la "liste convenue" est établie dans l'annexe et que le délai est de 14 jours ;
8.2.3. la clause de recours optionnelle prévue à la clause 11(a) des CCN de l'UE ne s'appliquera pas ;
8.2.4. le cas échéant, l'autorité de contrôle compétente conformément à la clause 13 des CSC de l'UE est la Commission irlandaise de protection des données ;
8.2.5. l'option 2 s'applique à la clause 17 des CCAP de l'UE et le droit applicable est celui de la République d'Irlande ;
8.2.6. les tribunaux de la République d'Irlande ont été choisis comme forum et juridiction en vertu de la clause 18(b) des CSC de l'UE ; et
8.2.7. Les annexes I et II des CSC de l'UE sont réputées être complétées par les informations figurant dans le tableau ci-dessous.
8.3. Dans le cas où le Licencié est soumis au GDPR britannique et transfère les Données à caractère personnel du Licencié à Stats Perform pour traitement en dehors du Royaume-Uni, et que le transfert est un Transfert international et n'est pas fondé sur une décision d'adéquation telle que décrite à l'article 45 du GDPR britannique, les CCN de l'UE s'appliqueront conformément à la clause 8.2 ci-dessus et seront réputées modifiées comme spécifié par l'addendum de l'ICO UK, qui sera réputé exécuté par les parties et incorporé dans le présent DPA, dont il fera partie intégrante. Lorsque l'addendum d'ICO UK s'applique conformément à la présente clause 8.3 :
8.3.1. Les tableaux 1 et 3 de la partie 1 de l'addendum de l'ICO UK sont réputés complétés par les informations pertinentes figurant dans l'appendice aux CSC de l'UE et (par conséquent) dans l'annexe ci-dessous ;
8.3.2. dans le tableau 2 de la partie 1, les "CSC UE de l'addendum" sont réputées être les CSC UE incorporées dans le présent DPA (conformément à la clause 8.2 ci-dessus), y compris les informations de l'appendice (telles que définies dans l'addendum de l'ICO UK) ;
8.3.3. Le tableau 4 de la partie 1 est réputé rempli en sélectionnant "aucune des parties" ; et
8.3.4. tout conflit entre les conditions des CSC de l'UE et l'addendum d'ICO UK sera résolu conformément aux sections 9, 10 et 11 de l'addendum d'ICO UK.
8.4. Lorsque les Clauses de transfert international s'appliquent, leurs dispositions respectives remplacent les obligations de Stats Performen matière de traitement des données (y compris celles énoncées dans les clauses 4 à 7) du présent DPA. En cas de conflit entre les dispositions des Clauses de transfert international et le présent DPA ou l'Accord, les Clauses de transfert international prévaudront. Les termes de l'accord et les termes de ce DPA ne modifient pas, et ne cherchent pas à modifier, les clauses de transfert international de quelque manière que ce soit.
9. INDEMNITÉ
9.1. Nonobstant toute exclusion ou limitation de responsabilité ou toute provision contraire de l'Accord, le Licencié s'engage par les présentes à indemniser Stats Perform et ses affiliés, ainsi que leurs dirigeants, employés, agents et sous-traitants (chacun étant une "Partie indemnisée") de toute réclamation, perte, demande, action, responsabilité, amendes, pénalités, dépenses raisonnables, dommages et montants de règlement (y compris les frais et coûts juridiques raisonnables) encourus par toute partie indemnisée à la suite d'une réclamation de tiers, d'une mesure d'exécution ou d'autres procédures découlant de ou en rapport avec le traitement des données personnelles du licencié conformément à l'accord et au présent DPA.
9.2. Sous réserve des clauses 9.1 et 10.2, la responsabilité de l'une ou l'autre partie au titre du présent DPA est soumise à toute disposition relative à la limitation de la responsabilité figurant dans l'accord.
10. DIVERS
10.1. Les titres des clauses et autres rubriques de ce DPA sont uniquement destinés à faciliter les références et ne constituent pas une partie ou n'affectent pas le sens ou l'interprétation de ce DPA.
10.2. Aucune disposition du présent DPA n'exclut ou ne limite la responsabilité de l'une ou l'autre partie qui ne peut être limitée ou exclue par le droit applicable. Sous réserve de la phrase précédente, (i) le présent DPA, y compris ses annexes et appendices, constitue l'intégralité de l'accord entre les parties concernant l'objet du présent DPA et remplace tous les accords, arrangements, négociations et discussions antérieurs des parties concernant cet objet ; et (ii) en concluant le présent DPA, aucune des parties ne s'est appuyée sur, et aucune des parties n'aura de droit ou de recours fondé sur, une déclaration, une représentation ou une garantie, qu'elle ait été faite par négligence ou innocemment, à l'exception de celles qui sont expressément énoncées dans le présent DPA.
10.3. Le licencié paiera à Stats Perform , dans un délai de 30 jours à compter de la date de facturation, tous les frais et dépenses, y compris, sans s'y limiter, les honoraires raisonnables d'avocat et les frais de préparation et d'envoi de la correspondance encourus par Stats Perform et/ou ses sociétés affiliées dans le cadre de l'exécution des tâches aux frais du licencié en vertu du présent DPA.
10.4. Tous les avis de résiliation ou de violation doivent être rédigés en anglais, par écrit et adressés à la personne de contact principale et au service juridique de l'autre partie. L'avis sera considéré comme donné dès sa réception, vérifiée par un reçu valide ou un journal électronique. Les avis postaux seront considérés comme reçus 48 heures après la date d'envoi par courrier recommandé.
10.5. Les dispositions du présent DPA sont divisibles. Si une phrase, une clause ou une provision est invalide ou inapplicable en tout ou en partie, cette invalidité ou inapplicabilité n'affectera que cette phrase, cette clause ou cette provision, et le reste du présent DPA restera pleinement en vigueur.
10.6. Le présent DPA est régi par le droit anglais et les parties se soumettent à la compétence exclusive des tribunaux anglais pour tout litige (contractuel ou non contractuel) concernant le présent DPA, à l'exception des litiges découlant de la section 8 qui prévoit d'autres moyens de recours, sauf que l'une ou l'autre des parties peut demander à un tribunal une injonction ou tout autre moyen de recours pour protéger ses biens, ses droits de propriété intellectuelle ou ses informations confidentielles.
CALENDRIER
INFORMATIONS SUR LE TRAITEMENT DES DONNÉES
| Partie A : Description des parties | |
|---|---|
| Contrôleur | Processeur |
| Le licencié, dont l'adresse, les coordonnées, les activités et la signature (le cas échéant) figurent dans l'accord. | Stats Perform, dont l'adresse, les coordonnées, les activités et la signature (le cas échéant) figurent dans l'accord. |
| L'adresse électronique de contact de Stats Performaux fins de la présente DPA est privacy@statsperform.com. | |
| Partie B : Description des services et des données personnelles du licencié | |
|---|---|
| Description des services : | Les services accrédités par la plate-forme, tels que définis dans l'accord. |
| Objet de la transformation : | Les Données Personnelles du Licencié qui sont téléchargées, saisies ou fournies par le Licencié sur la plateforme de Stats Performpour l'hébergement et les services connexes par Stats Perform pendant la Durée. |
| Fréquence et durée du traitement | De manière continue jusqu'à la résiliation ou l'expiration de l'Accord, ou, si cela se produit plus tôt, jusqu'à ce que le Licencié supprime les Données à caractère personnel du Licencié. |
| Nature et finalité du traitement : | Stats Perform effectue les activités de traitement suivantes en ce qui concerne les Données Personnelles du Licencié dans le cadre des Services, y compris : L'hébergement, le support de service ; et le logiciel interne et le support de processus opérationnel, y compris le stockage, la sauvegarde et la surveillance de la base de données. |
| Type de données personnelles : | Les données personnelles du Licencié varient en fonction du type de données du Licencié saisies, téléchargées ou fournies au Service, mais peuvent inclure, sans limitation : Coordonnées - courriel, nom, adresse, date de naissance, rôle, historique personnel (par exemple, informations sur les équipes précédentes et historique des performances), détails statistiques de la participation au sport, données de catégorie spéciale (par exemple, données de santé relatives aux blessures d'un joueur), évaluations/opinions et recommandations, résultats de tests, images et/ou images biographiques, séquences vidéo. |
| Catégories de personnes concernées : | Le personnel du licencié, les athlètes/sportifs et les professionnels du sport, les entrepreneurs (et leur personnel), les fournisseurs (et leur personnel). |
| Période de conservation des données à caractère personnel : | Aussi longtemps que nécessaire pour remplir les obligations des parties en vertu de l'accord. |
| Partie C : Liste des sous-traitants | ||
|---|---|---|
| Nom | Type de traitement | Lieu de traitement |
| Tiers | ||
| Google Cloud | Hébergement de données | Belgique |
| Amazon Web Services (AWS) | Hébergement de données | Soit les régions du Royaume-Uni, de l'Australie ou de l'Irlande. |
| K-Sport Universal S.R.L | Hébergement de données (en relation avec Dynamix) | Soit les régions du Royaume-Uni, de l'Australie ou de l'Irlande. |
| Stats Perform ates | ||
| Stats LLC | Hébergement de données | ÉTATS-UNIS |
| Perform Content Services Limited | Hébergement de données | ROYAUME-UNI |
| RunningBall GmbH | Hébergement de données | Suisse |
| RunningBall Informacao Desportiva Unipessoal, Lda. | Hébergement de données | Portugal |
| RunningBall SDN BHD | Hébergement de données | Malaisie |
| RunningBall Services and Consulting Limited | Hébergement de données | Chypre |
| RunningBall Sports Information GmbH | Hébergement de données | Autriche |
| Opta Sports Data Inc. | Hébergement de données | ÉTATS-UNIS |
| Opta Sports Data Limited | Hébergement de données | ROYAUME-UNI |
| Opta Sports Data Srl | Hébergement de données | Italie |
| OptaSports SA | Hébergement de données | Espagne |
| Partie D : Mesures techniques et organisationnelles | |
|---|---|
| Mesure de sécurité | Pratique |
| Cryptage | Des pratiques de cryptage acceptées par l'industrie sont appliquées aux services concernés afin de protéger les données et les communications ; les données sont cryptées en transit et au repos. |
| Garantir la capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique | Stats Perform s'efforcera raisonnablement de veiller à ce que les services soient disponibles pour les utilisateurs du Licencié pendant les heures normales de travail, à ce qu'il soit remédié à tout défaut conformément à l'AML et à ce que (c) les données du Licencié téléchargées sur le service soient sauvegardées régulièrement. Des politiques et procédures appropriées de gestion des incidents de sécurité sont en place en cas d'incident. Le Licencié peut contacter Stats Perform à tout moment pendant les heures normales de travail pour signaler un défaut. Stats Perform s'efforcera raisonnablement de fournir un correctif ou une solution de contournement du défaut concerné conformément aux termes de l'AML. Stats Perform a mis en place et maintient un plan écrit de continuité des activités et de reprise après sinistre. |
| Confidentialité, intégrité, disponibilité et résilience permanentes | Les Services sont hébergés dans des centres de données sécurisés, principalement Amazon Web Services (AWS) et Google Cloud. Des méthodes et des mesures de protection commercialement raisonnables et appropriées sont utilisées pour protéger la confidentialité, la disponibilité et l'intégrité des Données du Licencié (y compris les Données Personnelles du Licencié). Stats Perform s'assure que le personnel autorisé à accéder aux Données du Licencié (y compris les Données Personnelles du Licencié) s'est engagé à respecter la confidentialité ou est soumis à une obligation légale appropriée de confidentialité. Tout le personnel de Stats Perform est dûment formé à la sécurité des données et doit se conformer aux pratiques et politiques de sécurité pertinentes. Les administrateurs de système, les développeurs et les autres utilisateurs disposant d'un accès privilégié reçoivent une formation spéciale et continue. Des contrôles anti-malware et anti-virus sont maintenus afin d'empêcher les logiciels malveillants de causer accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux données du Licencié (y compris les données personnelles du Licencié). L'accès physique à nos bureaux est contrôlé par des cartes d'accès, des porte-clés et/ou des données biométriques (reconnaissance digitale ou faciale). Notre technologie est configurée et adaptée pour se conformer à toute demande de droits sur les données émanant d'individus, afin de faciliter le respect des obligations de nos Licenciés et des nôtres en vertu des lois applicables en matière de protection de la vie privée. Nous sommes en mesure de récupérer et de supprimer les données personnelles d'un individu à la demande du licencié. |
| Tester, évaluer et apprécier régulièrement l'efficacité des mesures | Stats Perform effectue des tests continus trimestriels sur deux points d'extrémité simultanés, avec une rotation trimestrielle entre les points d'extrémité. Les processus d'intégration et de désintoxication des RH deStats Performgèrent le provisionnement et le dé-provisionnement des comptes et de l'accès. Lors de la sélection de tout fournisseur potentiel impliqué dans le traitement de données personnelles, nous procédons à une vérification appropriée de ces fournisseurs afin de nous assurer que les données personnelles, le cas échéant, qui sont traitées par ces tiers, le sont en conformité avec les lois applicables en matière de protection des données. Nous conservons et maintenons en interne des politiques appropriées en matière d'informatique, de sécurité et de protection des données qui traitent des rôles et des responsabilités du personnel, y compris le personnel technique et non technique, qui a accès aux données des licenciés (y compris les données personnelles des licenciés) dans le cadre de la fourniture de nos services. Il s'agit notamment de notre politique de protection des données du groupe et de notre manuel de sécurité de l'information. Lorsqu'il est nécessaire de transférer des données personnelles à un fournisseur basé en dehors du Royaume-Uni et/ou de l'EEE, et dans un pays n'ayant pas fait l'objet d'une décision d'adéquation de l'UE ou du Royaume-Uni, nous mettons en place les garanties appropriées pour assurer la protection de ces données personnelles et le respect des lois sur la protection de la vie privée. En outre, nous avons mis en place des processus solides qui contrôlent l'accès du personnel aux systèmes et répondent rapidement aux menaces de sécurité. Stats Perform maintient des contrôles commercialement raisonnables pour la gouvernance de l'information et la gestion des données en relation avec les services. Stats Perform fera des efforts raisonnables pour utiliser le minimum de données personnelles nécessaires pour fournir ses services. |
