AVENANT RELATIF AU TRAITEMENT DES DONNÉES

Dernière mise à jour le 28 mai 2026

Le présent Avenant relatif au traitement des données (« DPA ») fait partie intégrante et est incorporé par référence dans les Conditions d'utilisation ainsi que dans tout autre accord écrit ou électronique conclu entre OneCal SHPK (« OneCal », « nous ») et le client identifié dans le Compte (« Client », « vous ») en vertu duquel nous fournissons le Service (ensemble, l'« Accord »).

Le présent DPA régit le traitement des Données à caractère personnel par OneCal en qualité de Sous-traitant pour le compte du Client en qualité de Responsable du traitement, dans le cadre de l'utilisation du Service par le Client. Il reflète l'accord des parties concernant le Traitement des Données à caractère personnel et s'applique dans la mesure où les Lois sur la protection des données de l'UE/du Royaume-Uni/de la Suisse ou d'autres Lois sur la protection des données applicables s'appliquent à ce Traitement.

Le présent DPA prend effet lorsque vous acceptez les Conditions d'utilisation. En utilisant le Service, vous acceptez le présent DPA en votre nom propre et, le cas échéant, au nom de l'entité Client que vous représentez. Aucune contresignature n'est requise, mais les Clients ayant besoin d'un exemplaire contresigné peuvent en faire la demande à l'adresse contact@onecal.io.

En cas de conflit entre le présent DPA et l'Accord concernant le Traitement des Données à caractère personnel, le présent DPA prévaut. Les Annexes font partie intégrante du présent DPA.

1. Définitions

Les termes en majuscules non définis dans le présent DPA ont la signification qui leur est attribuée dans l'Accord. Aux fins du présent DPA :

  • « Données à caractère personnel du Client » désigne les Données à caractère personnel que OneCal Traite pour le compte du Client dans le cadre de la fourniture du Service, telles que décrites plus en détail à l'Annexe 1.
  • « Lois sur la protection des données » désigne l'ensemble des lois et règlements applicables au Traitement des Données à caractère personnel dans le cadre de l'Accord, notamment (i) le Règlement (UE) 2016/679 (« RGPD »), (ii) le UK Data Protection Act 2018 et le RGPD du Royaume-Uni (« UK GDPR »), (iii) la Loi fédérale suisse sur la protection des données (« FADP »), (iv) le California Consumer Privacy Act tel qu'amendé par le CPRA (« CCPA »), et (v) toute autre loi équivalente ou successeur applicable.
  • « Responsable du traitement », « Sous-traitant », « Personne concernée », « Données à caractère personnel », « Traitement » et « Catégories particulières de données à caractère personnel » ont la signification qui leur est attribuée dans le RGPD.
  • « Sous-traitant ultérieur » désigne tout tiers engagé par OneCal qui Traite des Données à caractère personnel du Client pour le compte de OneCal dans le cadre du Service.
  • « Incident de sécurité » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de, ou l'accès à, des Données à caractère personnel du Client Traitées par OneCal ou ses Sous-traitants ultérieurs. Un Incident de sécurité n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données à caractère personnel du Client, telles que les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service ou d'autres attaques réseau sur les pare-feu ou les systèmes en réseau.
  • « Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du RGPD, telles qu'établies dans la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
  • « UK Addendum » désigne l'International Data Transfer Addendum to the EU Commission Standard Contractual Clauses publié par l'UK Information Commissioner, version B1.0, en vigueur depuis le 21 mars 2022.
  • « Utilisateur final » a la signification qui lui est attribuée dans les Conditions d'utilisation : toute personne qui interagit avec le contenu publié par le Client via le Service, y compris les invités des Pages de réservation du Client et les spectateurs des Flux de calendrier public du Client.

2. Portée et rôles des parties

Le Client est le Responsable du traitement et OneCal est le Sous-traitant pour les Données à caractère personnel que le Client soumet ou génère via le Service, y compris les Données à caractère personnel des Utilisateurs finaux du Client que le Client collecte via les Pages de réservation, la synchronisation de calendriers et d'autres fonctionnalités que le Client met à la disposition de ces Utilisateurs finaux (« Données à caractère personnel du Client »). Lorsque le Client est lui-même un Sous-traitant agissant pour le compte d'un Responsable du traitement tiers (par exemple, lorsque le Client est une organisation utilisant le Service pour traiter des Données à caractère personnel pour le compte de ses propres clients), OneCal agit en qualité de Sous-traitant ultérieur et le Client garantit qu'il dispose de l'autorité du Responsable du traitement sous-jacent pour conclure le présent DPA.

OneCal Traitera les Données à caractère personnel du Client uniquement sur la base d'instructions documentées du Client, y compris en ce qui concerne les transferts internationaux, sauf lorsque la loi applicable l'exige. L'Accord (y compris le présent DPA, la documentation du Service, la configuration du Service par le Client et toutes les instructions données via les contrôles administratifs du Service) constitue les instructions documentées complètes et définitives du Client à OneCal pour le Traitement des Données à caractère personnel du Client. Toute instruction supplémentaire ou alternative doit faire l'objet d'un accord écrit.

OneCal informera le Client si, à son avis, une instruction enfreint les Lois sur la protection des données applicables, sans obligation de contrôler la conformité du Client à ces lois.

Le présent DPA s'applique uniquement au Traitement par OneCal des Données à caractère personnel du Client pour le compte du Client en qualité de Sous-traitant. OneCal Traite séparément des Données à caractère personnel en qualité de Responsable du traitement indépendant, notamment les informations relatives au Compte, à la facturation et aux coordonnées du Client ; les métadonnées d'authentification, de sécurité et de prévention de la fraude utilisées pour exploiter et sécuriser le Service ; les analyses produit que OneCal utilise pour exploiter et améliorer le Service ; ainsi que les communications marketing propres à OneCal envoyées avec le consentement séparé du destinataire. Ce Traitement séparé est décrit dans, et régi par, la Politique de confidentialité de OneCal, et non par le présent DPA.

OneCal n'utilisera pas les Données à caractère personnel du Client pour entraîner ou affiner des modèles d'intelligence artificielle ou d'apprentissage automatique sans l'autorisation préalable expresse du Client.

3. Obligations du Client

Le Client est responsable de la licéité des Données à caractère personnel du Client et des moyens par lesquels le Client les a acquises. Le Client garantit qu'il dispose de tous les droits, bases légales, consentements et autorisations nécessaires pour Traiter les Données à caractère personnel du Client et pour donner instruction à OneCal de Traiter les Données à caractère personnel du Client pour le compte du Client, comme décrit dans l'Accord et le présent DPA, y compris en lien avec les événements de calendrier synchronisés depuis des fournisseurs de calendrier tiers et les Données à caractère personnel des Utilisateurs finaux tels que les invités à des réservations.

Le Client est responsable de la fourniture de toutes les informations requises aux, et de l'obtention de tous les consentements requis des, Personnes concernées (y compris les Utilisateurs finaux) concernant le Traitement par le Client de leurs Données à caractère personnel via le Service.

Le Client ne soumettra pas, et fera tous les efforts raisonnables pour empêcher ses Utilisateurs finaux de soumettre, des Catégories particulières de données à caractère personnel ou des données soumises à des régimes juridiques particuliers que le Service n'est pas conçu pour traiter, comme décrit dans les Conditions d'utilisation (y compris, sans s'y limiter, les données soumises à HIPAA ou GLBA). OneCal n'est pas responsable du Traitement de telles données soumises au Service en violation de cette restriction.

Le Client reconnaît que le Service dépend de fournisseurs de calendrier tiers et que l'autorisation par le Client de ces fournisseurs, les données qu'ils mettent à disposition et leur disponibilité continue échappent au contrôle de OneCal.

4. Sous-traitants ultérieurs

Le Client donne à OneCal une autorisation écrite générale d'engager des Sous-traitants ultérieurs pour Traiter les Données à caractère personnel du Client dans le cadre de la fourniture du Service.

OneCal tient à jour une liste actualisée de ses Sous-traitants ultérieurs, incluant le nom, le rôle et la localisation principale de chaque Sous-traitant ultérieur, sur la page Sous-traitants ultérieurs. Le Client peut consulter cette liste à tout moment. Voir la page Sous-traitants ultérieurs.

OneCal informera le Client à l'avance de l'ajout ou du remplacement de tout Sous-traitant ultérieur en mettant à jour la page Sous-traitants ultérieurs au moins 30 jours avant que le changement ne prenne effet.

Le Client peut s'opposer à la désignation par OneCal d'un nouveau Sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données en notifiant OneCal par écrit à l'adresse contact@onecal.io dans un délai de 14 jours suivant la notification. Si le Client s'y oppose, les parties s'efforceront de résoudre l'objection de bonne foi. Si aucune résolution ne peut être trouvée dans un délai raisonnable, le Client peut, à titre de seul recours, résilier l'Abonnement concerné et recevoir un remboursement au prorata des Frais d'abonnement payés d'avance pour la période postérieure à la résiliation.

OneCal conclura un accord écrit avec chaque Sous-traitant ultérieur imposant des obligations en matière de protection des données qui ne seront pas moins protectrices des Données à caractère personnel du Client que celles imposées à OneCal en vertu du présent DPA. OneCal demeure responsable envers le Client de l'exécution des obligations de chaque Sous-traitant ultérieur en vertu d'un tel accord dans la mesure prévue par l'Accord.

5. Transferts internationaux de données

L'infrastructure principale de traitement des Données à caractère personnel du Client par OneCal est située aux États-Unis. OneCal peut également avoir besoin de Traiter les Données à caractère personnel du Client en tout autre endroit du monde où OneCal ou ses Sous-traitants ultérieurs exercent leurs activités. Voir la page Sous-traitants ultérieurs.

Lorsque OneCal Traite des Données à caractère personnel du Client soumises au RGPD dans un pays qui ne fait pas l'objet d'une décision d'adéquation de la Commission européenne, les parties incorporent les Clauses Contractuelles Types (Module Deux : Responsable du traitement vers Sous-traitant) au présent DPA par référence, avec les coordonnées des parties, la description du transfert et les mesures techniques et organisationnelles complétées comme indiqué à l'Annexe 3, et avec les choix suivants : (i) la clause d'adhésion facultative (Clause 7) s'applique ; (ii) pour les changements de sous-traitants ultérieurs, l'Option 2 (autorisation écrite générale) s'applique avec le délai de notification prévu à la Section 4 ; (iii) la Clause 17 (droit applicable) est régie par le droit irlandais ; (iv) le for et la juridiction au titre de la Clause 18 sont les tribunaux irlandais ; et (v) l'Annexe I.C identifie la Commission irlandaise de protection des données comme autorité de contrôle compétente.

Lorsque les Données à caractère personnel du Client sont soumises au UK GDPR, les parties incorporent le UK Addendum au présent DPA, avec les CCT ci-dessus en tant qu'« Approved EU SCCs » référencées dans le UK Addendum, et avec les Tableaux 1 à 3 complétés par référence à l'Annexe 3. Chacune des parties peut mettre fin au UK Addendum comme prévu à la Section 19 du UK Addendum.

Lorsque les Données à caractère personnel du Client sont soumises à la FADP, les CCT s'appliquent avec les modifications suivantes : (a) les références au RGPD sont lues comme des références à la FADP lorsque la FADP s'applique ; (b) le Préposé fédéral suisse à la protection des données et à la transparence est l'autorité de contrôle compétente pour les transferts soumis exclusivement à la FADP ; et (c) le terme « État membre » est interprété de manière à ne pas exclure les Personnes concernées en Suisse de l'exercice de leurs droits dans leur lieu de résidence habituel.

Si une autorité de contrôle ou un tribunal compétent invalide ou restreint les CCT, le UK Addendum ou tout autre mécanisme de transfert utilisé dans le cadre du présent DPA, OneCal et le Client coopéreront de bonne foi pour adopter un mécanisme de transfert de remplacement conforme aux Lois sur la protection des données applicables.

6. Sécurité

OneCal mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées visant à protéger les Données à caractère personnel du Client contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque pour les Personnes concernées. Un résumé actualisé de ces mesures figure à l'Annexe 2.

OneCal veillera à ce que le personnel autorisé à Traiter les Données à caractère personnel du Client soit soumis à des obligations de confidentialité appropriées et ait reçu une formation sur ses responsabilités en matière de protection des données, et limitera l'accès aux Données à caractère personnel du Client au personnel qui en a besoin pour exercer ses fonctions.

OneCal peut mettre à jour ses mesures techniques et organisationnelles de temps à autre, à condition que les mesures actualisées ne réduisent pas substantiellement le niveau de protection des Données à caractère personnel du Client.

7. Notification d'Incident de sécurité

OneCal notifiera le Client sans retard injustifié et, si possible, au plus tard soixante-douze (72) heures après avoir pris connaissance d'un Incident de sécurité affectant les Données à caractère personnel du Client.

Chaque notification comprendra, dans la mesure où OneCal en a connaissance à ce moment-là : (a) une description de la nature de l'Incident de sécurité, y compris, lorsque cela est possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ; (b) les conséquences probables de l'Incident de sécurité ; (c) les mesures prises ou proposées pour remédier à l'Incident de sécurité et atténuer ses éventuels effets négatifs ; et (d) un point de contact chez OneCal auprès duquel des informations complémentaires peuvent être obtenues. Lorsque les informations ne peuvent pas être fournies en même temps, OneCal les fournira par étapes, sans nouveau retard injustifié.

OneCal fournira au Client une assistance raisonnable pour lui permettre de respecter ses propres obligations de notification en vertu des Lois sur la protection des données applicables (y compris les notifications aux autorités de contrôle et aux Personnes concernées affectées).

La notification ou la réponse de OneCal à un Incident de sécurité au titre de la présente Section ne constitue pas une reconnaissance par OneCal d'une faute ou d'une responsabilité quelconque concernant l'Incident de sécurité.

8. Demandes des Personnes concernées et coopération

Compte tenu de la nature du Traitement, OneCal apportera au Client une assistance raisonnable, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour lui permettre de s'acquitter de son obligation de répondre aux demandes des Personnes concernées exerçant leurs droits en vertu des Lois sur la protection des données applicables (notamment les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition).

Si une Personne concernée contacte directement OneCal pour une demande relative aux Données à caractère personnel du Client, OneCal informera, sans retard injustifié, la Personne concernée que la demande doit être adressée au Client, ou, lorsque les informations d'identification de la Personne concernée permettent à OneCal de le faire, transmettra la demande au Client. OneCal ne répondra pas à une telle demande pour le compte du Client, sauf sur instructions documentées du Client.

Compte tenu de la nature du Traitement et des informations à sa disposition, OneCal fournira au Client une assistance raisonnable pour les obligations prévues aux Articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact relatives à la protection des données et consultation préalable des autorités de contrôle), aux frais du Client pour tous les frais déboursés engagés par OneCal au-delà de ce qui est raisonnablement inclus dans le Service.

9. Registres et audits

OneCal tiendra des registres des activités de Traitement effectuées pour le compte du Client, comme l'exige l'Article 30(2) du RGPD.

OneCal mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et des obligations d'un Sous-traitant en vertu de l'Article 28 du RGPD. Dans un premier temps, le droit d'audit du Client est satisfait par la fourniture par OneCal : (a) du présent DPA et de la description des mesures techniques et organisationnelles figurant à l'Annexe 2 et sur la page Sécurité des données de OneCal ; (b) de copies des certifications, attestations, résumés de tests d'intrusion ou rapports d'audit tiers alors en vigueur de OneCal, lorsqu'ils sont disponibles ; et (c) de réponses écrites raisonnables à un questionnaire de sécurité standard couvrant les sujets exposés à l'Annexe 2, dans chaque cas sous réserve d'obligations raisonnables de confidentialité.

Si les informations fournies au titre du paragraphe précédent ne sont pas, selon l'évaluation raisonnable du Client, suffisantes pour démontrer le respect d'une obligation spécifique au titre du présent DPA, le Client peut soumettre une demande écrite à l'adresse contact@onecal.io identifiant le sujet à traiter et les informations supplémentaires requises. OneCal répondra par écrit dans un délai raisonnable et en tout état de cause dans les trente (30) jours suivant la réception, en fournissant des informations complémentaires, des clarifications ou des preuves raisonnablement à sa disposition, sous réserve d'obligations raisonnables de confidentialité et de toute restriction découlant des obligations de OneCal envers des tiers, de la protection des données d'autres clients ou de la protection des secrets commerciaux de OneCal.

Si, après l'accomplissement des étapes décrites aux paragraphes précédents, le Client estime raisonnablement que les informations fournies sont encore insuffisantes pour démontrer le respect d'une obligation spécifique au titre du présent DPA, le Client peut, à ses frais, mener un audit de la conformité de OneCal en matière de protection des données limité à ce sujet spécifique, au maximum une fois par période de douze mois (sauf lorsqu'une autorité de contrôle l'exige ou à la suite d'un Incident de sécurité), sous réserve : (a) d'un préavis écrit d'au moins soixante (60) jours ; (b) de la signature d'un accord de confidentialité raisonnablement acceptable pour OneCal ; (c) de la conduite de l'audit pendant les heures normales d'ouverture, d'une manière qui ne perturbe pas les opérations de OneCal, et sans s'étendre aux données d'un autre client, aux secrets commerciaux ou à tout système dont l'accès violerait les obligations de OneCal envers des tiers ; et (d) que l'auditeur soit un tiers indépendant réputé qui n'est pas un concurrent de OneCal et qui a signé l'accord de confidentialité mentionné ci-dessus. Les parties partageront les résultats de l'audit et discuteront de bonne foi de toute constatation.

10. Restitution et suppression des Données à caractère personnel du Client

Le Client peut supprimer les Données à caractère personnel du Client via les fonctionnalités du Service à tout moment pendant la durée de l'Accord. Pour les demandes d'exportation de données, le Client peut contacter OneCal à l'adresse contact@onecal.io.

À la résiliation ou à l'expiration de l'Accord, OneCal, au choix du Client, supprimera ou restituera au Client toutes les Données à caractère personnel du Client, et supprimera toutes les copies existantes, sauf dans la mesure où la loi applicable exige que OneCal conserve les Données à caractère personnel, ou lorsque les Données à caractère personnel sont conservées dans des sauvegardes chiffrées de routine qui sont éliminées et supprimées dans le cadre des pratiques habituelles de OneCal en matière de conservation des sauvegardes.

Lorsque l'Accord est résilié, y compris lorsque le Client supprime son compte via le Service, OneCal supprime rapidement les Données à caractère personnel du Client des systèmes de production actifs. Les copies de sauvegarde sont purgées au fur et à mesure que ces sauvegardes sont éliminées dans le cadre des pratiques habituelles de OneCal en matière de conservation des sauvegardes (généralement dans un délai de sept (7) jours). Les seules Données à caractère personnel que OneCal conserve concernant une Personne concernée supprimée sont un hachage unidirectionnel de l'adresse e-mail, conservé indéfiniment sur la base d'un intérêt légitime afin d'empêcher la réinscription de comptes bannis ou supprimés et de soutenir la prévention de la fraude et des abus. Les registres financiers de référence sont conservés par les marchands de référence de OneCal selon leurs propres durées de conservation légales, et ne sont pas conservés par OneCal.

11. Responsabilité

La responsabilité de chaque partie découlant de, ou liée au, présent DPA, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de la responsabilité, est soumise aux limitations de responsabilité prévues dans l'Accord, et toute référence dans l'Accord à la responsabilité d'une partie désigne la responsabilité globale de cette partie au titre de l'Accord et du présent DPA pris ensemble. Aucune disposition du présent DPA ne limite ou n'exclut une responsabilité qui ne peut être limitée ou exclue en vertu de la loi applicable, y compris la responsabilité au titre de l'Article 82 du RGPD.

Le Client n'introduira pas de réclamations en double au titre à la fois de l'Accord et du présent DPA pour la même perte.

12. California Consumer Privacy Act

Lorsque OneCal Traite des Données à caractère personnel de résidents de Californie pour le compte du Client, OneCal agit en qualité de « service provider » (prestataire de services) du Client au sens du CCPA. OneCal s'engage à : (a) ne Traiter ces Données à caractère personnel qu'aux fins commerciales limitées et spécifiées prévues dans le présent DPA et l'Accord ; (b) ne pas Vendre ni Partager ces Données à caractère personnel (au sens donné à ces termes par le CCPA) ; (c) ne pas conserver, utiliser ou divulguer ces Données à caractère personnel en dehors de la relation commerciale directe entre le Client et OneCal, ou à toute fin commerciale autre que les finalités commerciales énoncées dans le présent DPA, sauf dans la mesure permise par le CCPA ; et (d) ne pas combiner ces Données à caractère personnel avec des Données à caractère personnel reçues de toute autre personne, sauf dans la mesure permise par le CCPA.

OneCal certifie qu'il comprend les restrictions énoncées dans la présente Section et s'engage à les respecter.

13. Dispositions générales

Le présent DPA prend effet à la date à laquelle le Client accepte l'Accord et demeure en vigueur aussi longtemps que OneCal Traite des Données à caractère personnel du Client, y compris après la résiliation de l'Accord dans la mesure de tout Traitement continu nécessaire à la mise en œuvre de la Section 10 (Restitution et suppression).

OneCal peut mettre à jour le présent DPA de temps à autre, notamment pour refléter les évolutions des Lois sur la protection des données applicables, des mécanismes de transfert ou des activités de OneCal. Nous notifierons les modifications substantielles comme décrit dans les Conditions d'utilisation. Les mises à jour requises par la loi applicable, par une autorité de contrôle, ou pour refléter un mécanisme de transfert de remplacement prennent effet à la date indiquée dans la notification, sans nécessiter d'action supplémentaire de la part du Client.

Si une disposition du présent DPA est jugée invalide ou inapplicable par un tribunal compétent, les autres dispositions demeurent pleinement en vigueur.

Les questions concernant le présent DPA, les demandes d'exemplaire contresigné, les demandes d'exemplaire signé des CCT ou les notifications requises au titre du présent DPA peuvent être envoyées à OneCal à l'adresse contact@onecal.io. Les Personnes concernées basées dans l'UE peuvent également utiliser les canaux indiqués à la section « Représentant RGPD UE/EEE » de la Politique de confidentialité de OneCal. Lire la Politique de confidentialité.

Annexe 1 — Description du Traitement

Objet

OneCal Processes Customer Personal Data as necessary to provide the Service in accordance with the Agreement and Customer's documented instructions, including any features and functionality made available to Customer from time to time.

Durée

Pendant la durée de l'Accord, plus la période de conservation post-résiliation prévue à la Section 10.

Nature et finalité

Processing activities include hosting, storing, transmitting, displaying, backing up, securing, and otherwise handling Customer Personal Data as reasonably necessary to deliver, support, and improve the Service in accordance with the Agreement and Customer's instructions.

Catégories de Personnes concernées

  • Customer's Authorized Users: account holders and other individuals authorized by Customer to use the Service.
  • Customer's End Users: booking attendees and schedulers, workspace invitees, and other persons who interact with content the Customer publishes through the Service or who are invited to scheduled events.

Catégories de Données à caractère personnel

  • Identification and contact data: such as name, email address, time zone, and similar contact details of Authorized Users and End Users.
  • Account and workspace data: account and team-membership information for Authorized Users, such as role and permission assignments, invitation status, and team affiliations.
  • Calendar data: Personal Data contained in connected calendar event details as exposed by Customer's connected calendar providers. Customer may minimize what is mirrored to destination calendars through the privacy controls available in the Service.
  • Booking data: Booking Page and per-link configuration, and booking event data, including times, attendee details, and custom-field responses, which may contain arbitrary Customer-defined Personal Data.
  • Customer-published content: text, images, links, and other content Customer publishes on Booking Pages and similar surfaces.
  • Communications data sent through the Service on Customer's behalf: outbound transactional and service email content to End Users (such as booking confirmations, reminders, and calendar invites).
  • Support communications: messages, transcripts, and attachments exchanged with OneCal's support channel.
  • Device and mobile-application data: data necessary to operate OneCal's mobile applications, such as push notification tokens and device-level preferences.
  • Integration data: payload contents of outbound webhooks delivered to Customer-provided endpoints, and other Personal Data transmitted through Customer's use of OneCal APIs.

Catégories particulières de Données à caractère personnel

Le Service n'est pas destiné à, et le Client garantit qu'il ne soumettra pas, de Catégories particulières de données à caractère personnel (Article 9 du RGPD) ni de données soumises à HIPAA ou GLBA. Dans la mesure où de telles données seraient soumises en violation de cette restriction, elles ne font pas partie du Traitement envisagé par le présent DPA.

Fréquence du Traitement

Continue, pendant la durée de l'Accord.

Conservation

Comme indiqué à la Section 10 du présent DPA et dans la Politique de confidentialité de OneCal.

Annexe 2 — Mesures techniques et organisationnelles

OneCal met en œuvre des mesures techniques et organisationnelles destinées à protéger les Données à caractère personnel du Client conformément à l'Article 32 du RGPD, notamment : le chiffrement des Données à caractère personnel en transit (TLS) et au repos ; des bases de données de production privées et isolées sur le réseau, hébergées sur AWS ; des contrôles d'accès basés sur les rôles et le principe du moindre privilège pour le personnel ; le hachage des identifiants à haut risque (clés API, identifiants de compte après suppression) ; la vérification des signatures de webhooks pour les événements entrants des fournisseurs ; des sauvegardes chiffrées automatisées ; la journalisation des actions administratives pertinentes pour la sécurité, y compris l'usurpation d'identité (impersonation) ; des contrôles de prévention des abus tels que la limitation de débit basée sur l'IP et les listes de blocage des e-mails jetables ; l'analyse automatisée des vulnérabilités des dépendances ; une procédure documentée de réponse aux incidents ; et la conclusion d'accords de traitement des données avec chaque Sous-traitant ultérieur.

Une description actuelle et plus détaillée des contrôles de sécurité de OneCal est publiée sur la page Sécurité des données de OneCal et fait partie intégrante des mesures techniques et organisationnelles appliquées aux Données à caractère personnel du Client en vertu du présent DPA. OneCal peut mettre à jour les contrôles qui y sont décrits de temps à autre, à condition que toute mise à jour ne réduise pas substantiellement le niveau global de protection des Données à caractère personnel du Client.

Annexe 3 — Annexes aux Clauses Contractuelles Types

La présente Annexe 3 complète les annexes aux Clauses Contractuelles Types lorsqu'elles sont incorporées au titre de la Section 5 du présent DPA.

A. Liste des Parties

Exportateur de données : le Client, identifié dans son Compte OneCal, agissant en qualité de Responsable du traitement, avec les coordonnées que le Client fournit dans son Compte.

Importateur de données : OneCal SHPK, Rruga Gjon Buzuku, Apartamenti nr.2, Kati 7, Tirana, Albania, agissant en qualité de Sous-traitant. Contact : contact@onecal.io. Représentant dans l'UE : Euverify Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork, T23 AT2P, Ireland. E-mail : gdpr@euverify.com.

B. Description du transfert

The categories of Data Subjects, categories of Personal Data, special categories of data (none, as set out in Annex 1), nature and purpose of the Processing, frequency, duration, and retention are set out in Annex 1.

C. Autorité de contrôle compétente

Pour les transferts soumis au RGPD : la Commission irlandaise de protection des données (21 Fitzwilliam Square South, Dublin 2, D02 RD28, Ireland). Pour les transferts soumis au UK GDPR : l'UK Information Commissioner's Office. Pour les transferts soumis uniquement à la FADP : le Préposé fédéral suisse à la protection des données et à la transparence.

II. Mesures techniques et organisationnelles

Les mesures techniques et organisationnelles appliquées par l'importateur de données figurent à l'Annexe 2.

III. Liste des Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs autorisés est publiée sur la page Sous-traitants ultérieurs de OneCal. Voir la page Sous-traitants ultérieurs.