Accord de traitement des données

Parties et définitions: Cet Accord de traitement des données est conclu entre Click & Speak Pte. Ltd. (le 'Sous-traitant') et votre organisation (le 'Responsable du traitement') lorsque vous achetez un abonnement organisationnel à Gliglish (tel que Gliglish for Education, Gliglish for Business, ou tout autre plan organisationnel). En achetant un abonnement organisationnel, votre organisation conclut automatiquement ce DPA. Ce DPA régit la façon dont nous traitons les données personnelles pour le compte de votre organisation conformément aux lois applicables en matière de protection des données, y compris le Règlement général sur la protection des données (RGPD), le RGPD du Royaume-Uni et la loi britannique sur la protection des données de 2018, et la loi sur les droits éducatifs et la vie privée des familles (FERPA). Dans ce DPA, 'personne concernée' désigne la personne physique dont les données personnelles sont traitées — généralement les étudiants, employés ou membres du personnel de votre organisation qui utilisent Gliglish.

Données personnelles que nous traitons: En fournissant les Services, nous traitons des données personnelles comprenant, sans s'y limiter : les informations de compte utilisateur (noms, adresses e-mail) ; les enregistrements vocaux et leurs transcriptions ; les interactions avec l'intelligence artificielle ; les données d'utilisation et les métriques du système ; et les informations sur les appareils. Nous traitons ces données uniquement pour fournir et améliorer les Services tels qu'autorisés par votre organisation.

Limitation des finalités: Nous traiterons les données personnelles principalement dans le but de fournir et d'améliorer le service Gliglish, comme indiqué dans ce DPA et dans nos Conditions d'utilisation. Votre organisation contrôle l'accès administratif aux comptes utilisateurs. Nous pouvons également traiter les données personnelles des utilisateurs individuels conformément à notre Politique de confidentialité, notamment aux fins de communiquer les mises à jour de service, d'analyser les modèles d'utilisation et d'améliorer nos services de manière plus générale. Sauf si nous recevons des instructions documentées de votre organisation, nous ne traiterons pas les données administratives organisationnelles (telles que les informations de facturation et les paramètres spécifiques à l'organisation) à des fins non liées à la fourniture de l'abonnement organisationnel.

Nos engagements en matière de traitement des données: En tant que Sous-traitant, nous nous engageons à : (1) Traiter les données personnelles pour fournir le service Gliglish aux utilisateurs de votre organisation comme décrit dans nos Conditions d'utilisation ; (2) Veiller à ce que les personnes autorisées à traiter les données se soient engagées à respecter la confidentialité ; (3) Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées ; (4) Maintenir la transparence concernant nos sous-traitants ultérieurs ; (5) Aider votre organisation à répondre aux demandes des personnes concernées ; (6) Aider votre organisation à assurer le respect des obligations en matière de sécurité, de notification de violation, d'évaluation d'impact et de consultation ; (7) Lors de la résiliation de l'abonnement organisationnel, supprimer l'accès administratif organisationnel aux comptes utilisateurs tout en permettant aux utilisateurs individuels de conserver le contrôle de leurs propres données personnelles conformément à nos Conditions d'utilisation standard ; (8) Mettre à la disposition de votre organisation toutes les informations nécessaires pour démontrer le respect de ces obligations.

Mesures de sécurité: Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment : le chiffrement en transit et au repos ; des contrôles d'accès sécurisés ; des évaluations régulières de sécurité ; la formation des employés à la protection des données ; et la surveillance des tentatives d'accès non autorisées. Ces mesures sont conçues pour assurer un niveau de sécurité adapté au risque impliqué dans le traitement de vos données. Les mesures spécifiques comprennent : la pseudonymisation des données lorsque cela est approprié ; HTTPS/SSL pour la transmission des données ; des systèmes d'authentification solides ; des sauvegardes régulières ; une journalisation complète ; et une configuration sécurisée du système.

Sous-traitants ultérieurs: Nous engageons des sous-traitants ultérieurs pour nous aider à fournir les Services. Tous les sous-traitants ultérieurs sont liés par des accords écrits qui exigent qu'ils fournissent une protection appropriée pour les données personnelles. Nous maintenons une liste des sous-traitants ultérieurs actuels ci-dessous. Nous fournirons des mises à jour de cette liste si des changements significatifs se produisent.

Minimisation des données: Nous collectons et traitons uniquement les données personnelles nécessaires à la fourniture des Services. Cela inclut la limitation de la collecte de données aux informations nécessaires et la garantie que les fournisseurs tiers ne reçoivent que la quantité minimale de données nécessaires au fonctionnement du service.

Notification de violation de données: En cas de violation de données personnelles affectant les données de votre organisation, nous vous en informerons sans retard indu et au plus tard 72 heures après en avoir pris connaissance. La notification comprendra : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées affectées ; les conséquences probables de la violation ; les mesures prises ou proposées pour remédier à la violation ; et les mesures pour atténuer les effets négatifs potentiels.

Transferts internationaux de données: Nous stockons les données sur des serveurs situés au Royaume-Uni et en Irlande. Pour les transferts de données personnelles de l'EEE vers des pays tiers qui n'assurent pas un niveau adéquat de protection des données selon la Commission européenne, nous nous appuyons sur les Clauses contractuelles types (CCT) comme mécanisme de transfert, comme détaillé dans la section 'Clauses contractuelles types de l'UE' ci-dessous. Pour les transferts de données personnelles du Royaume-Uni vers des pays tiers qui n'ont pas de réglementations d'adéquation du Royaume-Uni, nous nous appuyons sur l'Accord de transfert international de données (IDTA) du Royaume-Uni ou l'Addendum de transfert international de données aux CCT de l'UE, comme détaillé dans la section 'Transferts de données du Royaume-Uni' ci-dessous.

Données sensibles: Si le transfert implique des données personnelles sensibles (révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne, ou les données relatives aux condamnations pénales), nous appliquons des restrictions spécifiques et des garanties supplémentaires comme l'exige la loi applicable.

Conditions spécifiques aux établissements d'enseignement: Lorsque nous fournissons des services aux établissements d'enseignement du monde entier, nous mettons en œuvre les protections suivantes : (1) Pour les établissements américains, nous agissons en tant que 'représentant scolaire' ayant des intérêts éducatifs légitimes tels que définis par FERPA ; pour les établissements en dehors des États-Unis, nous assumons des responsabilités équivalentes en vertu des lois applicables sur la confidentialité de l'éducation ; (2) Nous traitons les données personnelles des étudiants uniquement à des fins éducatives légitimes, pour fournir et améliorer les Services, et pour remplir nos obligations en vertu de ce DPA ; (3) Nous mettons en œuvre des garanties de niveau industriel spécifiquement conçues pour les environnements éducatifs ; (4) Nous nous conformons rapidement aux demandes raisonnables des établissements d'enseignement pour l'accès aux données des étudiants ou leur suppression ; (5) Nous limitons la divulgation des données des étudiants à des tiers à ce qui est nécessaire pour fournir les Services. Pour les établissements d'enseignement aux États-Unis, ces engagements sont conçus pour satisfaire à nos obligations de conformité en vertu de FERPA. Pour les établissements d'enseignement dans d'autres juridictions, ces protections sont conçues pour se conformer aux exigences locales de protection des données éducatives.

Droits des personnes concernées: Nous informerons rapidement votre organisation de toute demande reçue directement des personnes concernées concernant leurs données personnelles lorsque ces demandes concernent leur utilisation du service via votre abonnement organisationnel. Dans la plupart des cas, les utilisateurs peuvent directement accéder, modifier et supprimer leurs propres données via l'interface utilisateur. Pour les demandes nécessitant une approbation organisationnelle (telles que les demandes affectant les dossiers éducatifs couverts par FERPA), nous ne mettrons pas en œuvre ces demandes sans l'autorisation de votre organisation. Les utilisateurs individuels conservent leurs droits en matière de données personnelles tels que décrits dans notre Politique de confidentialité, y compris lors de la transition entre les abonnements individuels et organisationnels.

Conservation et suppression des données: Lorsqu'un utilisateur est couvert par un abonnement organisationnel, nous traitons ses données conformément à ce DPA. Si un utilisateur avait un compte individuel avant de rejoindre votre abonnement organisationnel (principalement les utilisateurs ayant des comptes gratuits), ou continue à utiliser les Services après la fin de votre abonnement organisationnel, ses données seront régies par nos Conditions d'utilisation standard et notre Politique de confidentialité. À la résiliation de votre abonnement organisationnel, nous : (1) Supprimerons l'accès administratif et le contrôle de votre organisation sur les comptes utilisateurs ; (2) Supprimerons les données administratives de votre organisation (informations de facturation, comptes administrateurs, paramètres, etc.) sauf si leur conservation est requise par la loi ; et (3) Sur demande, fournirons une suppression en masse des comptes étudiants associés à votre organisation. Cette suppression en masse est optionnelle — par défaut, les comptes utilisateurs individuels seront automatiquement rétrogradés en comptes gratuits, permettant aux étudiants de continuer à utiliser le service en tant qu'utilisateurs individuels gratuits s'ils choisissent de le faire. Dans les cas où votre organisation demande la suppression des comptes utilisateurs, nous informerons les utilisateurs concernés et leur fournirons l'option de convertir leur compte en compte individuel gratuit au lieu d'être supprimé. Pendant que les comptes sont sous un abonnement organisationnel actif, les demandes de suppression de compte doivent passer par les administrateurs de votre organisation. Après la fin de l'abonnement et la rétrogradation des comptes en comptes individuels gratuits, les utilisateurs peuvent alors supprimer indépendamment leur propre compte et leurs données personnelles à tout moment via notre interface ou en nous contactant.

Droits d'audit: Sur préavis raisonnable et pas plus d'une fois par an, votre organisation peut examiner notre conformité à ce DPA. Ces audits seront effectués à vos frais, pendant les heures normales de bureau et d'une manière qui n'interfère pas déraisonnablement avec nos opérations. Alternativement, nous pouvons fournir des certifications, des rapports d'audit ou d'autres documentations pour démontrer la conformité.

Non-conformité et résiliation: Si nous ne sommes pas en mesure de nous conformer à ce DPA pour une raison quelconque, nous en informerons rapidement votre organisation. En cas de violation de ce DPA, votre organisation peut suspendre le transfert de données personnelles jusqu'à ce que la conformité soit rétablie ou résilier l'accord. Les données personnelles transférées avant la résiliation seront retournées ou supprimées au choix de votre organisation, sauf si la loi applicable l'interdit.

Relation avec la Politique de confidentialité: Ce DPA fonctionne parallèlement à notre Politique de confidentialité. La Politique de confidentialité continue de s'appliquer à tous les utilisateurs, y compris ceux couverts par des abonnements organisationnels. Bien que ce DPA impose certaines restrictions sur la façon dont nous traitons les données pour le compte de votre organisation, nous pouvons toujours traiter les données des utilisateurs conformément à notre Politique de confidentialité à des fins telles que l'amélioration des Services, la communication des mises à jour de produits, et l'utilisation de cookies ou de technologies similaires pour les fonctionnalités essentielles et les diagnostics. Pour plus de clarté, nous pouvons continuer à examiner les conversations et les enregistrements vocaux pour améliorer notre service pour tous les utilisateurs, y compris ceux sous abonnements organisationnels.

Transitions freemium et organisationnelles: Les utilisateurs peuvent passer des comptes individuels aux abonnements organisationnels. Cela se produit couramment dans deux scénarios : (1) Lorsque des utilisateurs avec des comptes individuels gratuits rejoignent un abonnement organisationnel, et (2) Lorsque des utilisateurs organisationnels passent à des comptes individuels gratuits après la fin d'un abonnement organisationnel. Lorsqu'un utilisateur ayant un compte individuel existant est ajouté à votre abonnement organisationnel, ses données précédentes continuent d'être traitées conformément à notre Politique de confidentialité, et votre organisation obtient un contrôle administratif sur le compte de l'utilisateur pour la durée de l'abonnement. Lorsque votre abonnement organisationnel prend fin, sauf si une suppression en masse est demandée, les utilisateurs individuels seront automatiquement rétrogradés en comptes gratuits où ils conservent le contrôle de leurs propres données selon nos Conditions d'utilisation standard et notre Politique de confidentialité. Votre organisation et les utilisateurs individuels ont tous deux un contrôle sur ce processus — votre organisation peut demander une suppression en masse, tandis que les utilisateurs individuels conservent l'option de convertir leur compte en compte individuel gratuit. Cette approche équilibrée garantit que les utilisateurs conservent le contrôle ultime sur leurs données personnelles tout en respectant les exigences administratives de votre organisation.

Clauses contractuelles types de l'UE: Ce qui suit s'applique aux transferts de données personnelles de l'Espace économique européen (EEE) vers des pays en dehors de l'EEE. Ce DPA incorpore par référence les Clauses contractuelles types (CCT) adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne, disponible à https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32021D0914&from=FR. Plus précisément, le Module Deux (Responsable du traitement vers Sous-traitant) de ces CCT s'applique à notre relation de traitement lors du transfert de données de l'EEE. Les parties conviennent que : (a) Click & Speak Pte. Ltd. agit en tant qu''importateur de données' ; (b) votre organisation agit en tant qu''exportateur de données' ; (c) la loi applicable pour la Clause 17 sera la loi de l'Irlande, régissant uniquement ces CCT et non l'accord plus large. Aux fins des CCT et de leurs annexes requises : (1) Les informations requises pour l'Annexe I.A (Liste des parties) sont énoncées dans la section 'Parties et définitions' de ce DPA ; (2) Les informations requises pour l'Annexe I.B (Description du transfert) sont énoncées dans la section 'Données personnelles que nous traitons' de ce DPA ; (3) Les informations requises pour l'Annexe I.C (Autorité de contrôle compétente) sont la Commission irlandaise de protection des données, qui sera l'autorité de contrôle compétente conformément à la Clause 13, applicable uniquement pour les transferts de données de l'EEE ; (4) Les informations requises pour l'Annexe II (Mesures techniques et organisationnelles) sont énoncées dans la section 'Mesures de sécurité' de ce DPA ; et (5) Les informations requises pour l'Annexe III (Liste des sous-traitants ultérieurs) sont énoncées dans la section 'Sous-traitants ultérieurs' de ce DPA. En acceptant ce DPA, votre organisation est réputée avoir signé les CCT. Click & Speak Pte. Ltd. est réputée avoir signé et accepté les CCT en sa qualité d'importateur de données en mettant les Services à la disposition de votre organisation.

Transferts de données du Royaume-Uni: Pour les transferts de données personnelles du Royaume-Uni vers des pays en dehors du Royaume-Uni qui n'ont pas reçu de réglementations d'adéquation du gouvernement britannique, nous nous appuyons sur l'un des mécanismes de transfert suivants approuvés par le Bureau du Commissaire à l'information (ICO) du Royaume-Uni : (1) L'Accord de transfert international de données (IDTA) ; ou (2) L'Addendum de transfert international de données aux CCT de l'UE ('Addendum britannique'). Lorsque nous nous appuyons sur l'Addendum britannique, il complète les CCT de l'UE référencées dans la section 'Clauses contractuelles types de l'UE'. Pour les transferts de données du Royaume-Uni : (a) Click & Speak Pte. Ltd. agit en tant qu''importateur' ; (b) votre organisation agit en tant qu''exportateur' ; (c) la loi applicable est la loi de l'Angleterre et du Pays de Galles ; et (d) l'autorité de contrôle compétente est le Bureau du Commissaire à l'information du Royaume-Uni. Les informations sur les parties, les données traitées, les mesures de sécurité et les sous-traitants ultérieurs contenues ailleurs dans ce DPA s'appliquent également aux transferts de données du Royaume-Uni. Le mécanisme de transfert du Royaume-Uni s'applique en plus des CCT de l'UE pour les transferts de données du Royaume-Uni, et ne les remplace pas.

Contact: Si vous avez des questions ou des préoccupations concernant cet Accord de traitement des données, veuillez nous contacter via :

Cet Accord de traitement des données fait partie de nos Conditions d'utilisation et peut être mis à jour de temps à autre. L'utilisation continue de nos services après de telles mises à jour constitue une acceptation de l'accord révisé.