Personal data processor appendix

The purpose of this Appendix is to define the conditions under which FYGR, in its capacity as subcontractor and within the scope of the services defined in the document, undertakes to carry out, on behalf of its users, personal data processing operations in accordance with the applicable provisions on the protection of personal data, in particular the amended Act of January 6, 1978 on Data Processing, Data Files and Individual Liberties as well as Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 applicable since May 25, 2018 (hereinafter "GDPR").

For the purposes hereof, FYGR therefore acts as a "processor" in the following cases: when the customer stores or provides access to personal information relating to third parties via the use of the Budgea API, Bridge or Fintecture service.

The user, on the other hand, is presumed to be acting as a "data controller" within the meaning of the definitions given by the GDPR.

In the context of their contractual relationship, the parties thus undertake, each insofar as it is concerned, to comply with the regulations in force applicable to the processing of personal data.‍

For the purposes hereof, the following terms shall have the same meaning as given to them in the GDPR:

Personal data: any information relating to an identified or identifiable natural person (hereinafter referred to as "data subject"); an "identifiable natural person" is deemed to be a natural person who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, an identification number, location data, an online identifier, or to one or more factors specific to his or her physical, physiological, genetic, mental, economic, cultural or social identity.

Sensitive data or special categories of data: personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership, as well as genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation. (Article 9 of the GDPR)

Processing: any operation or set of operations which is performed upon personal data or sets of personal data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

Controller: the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing.Sub-processor: the natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.

Recipient: the natural or legal person, public authority, agency or other body which receives communication of personal data, whether a third party or not. However, public authorities which may receive personal data in the context of a particular investigation in accordance with EU law or the law of a User State are not considered as recipients; the processing of such data by the public authorities in question complies with the applicable data protection rules in relation to the purposes of the processing.

FYGR is authorized, as a Subcontractor acting under the instructions of the user, to process the Personal Data of the Data Controller to the extent necessary for the provision of the services.

The nature of the operations carried out by FYGR in relation to the Personal Data may be the storage of information and/or any other services as described in the TOU. The type of Personal Data and the categories of persons concerned are determined and controlled by the user, at its sole discretion. The processing activities are carried out by FYGR for the duration specified in the TOU.

La société FYGR  s’engage en qualité de sous-traitant à :

1. Traiter les Données à caractère personnel uniquement aux fins de réalisation des services ;
‍
2. Ne pas accéder ou utiliser les Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution des services ;
‍
3. Traiter les Données à caractère personnel conformément aux instructions documentées de l’utilisateur ;
‍
4. Informer l’utilisateur si à son avis et compte tenu des informations dont elle dispose, une des instructions constitue une violation au RGPD ou de toute autre disposition du droit de l’Union ou du droit des Etats Utilisateurs relative à la protection des données.
‍
5. Garantir la confidentialité des Données à caractère personnel traitées dans le cadre de l’exercice de ses missions ;
‍
6. Le cas échéant, veiller à ce que les utilisateurs de son personnel autorisés à traiter les Données à caractère personnel :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

7. Prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

8. Sous-traitants ultérieurs :
FYGR peut engager un autre sous-traitant pour traiter les Données personnelles dans le cadre de l’exécution des services (« Sous-traitant ultérieur »). L’utilisateur autorise expressément FYGR à engager ces sociétés en tant que Sous-traitants ultérieurs.

En tout état de cause, le Sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions de FYGR. Il appartient à FYGR de s’assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, FYGR  demeurerait pleinement responsable devant l’utilisateur de l’exécution par l’autre sous-traitant de ses obligations.

9. Droit d’information des personnes concernées :
L’utilisateur en tant que Responsable du traitement est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

10. Exercice des droits des personnes :
FYGR fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées.

L’utilisateur, en tant que Responsable du traitement, est seul responsable des réponses à ces demandes.

L’utilisateur reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de FYGR, cela pourra être facturé à l’utilisateur à condition de le lui notifier et d’obtenir son accord au préalable.

11. Notification des violations de données à caractère personnel :
FYGR s’engage à notifier par tous moyens à l’utilisateur toute violation de données à caractère personnel dans un délai maximum de 72 (soixante-douze) heures après en avoir pris connaissance. Cette notification est accompagnée de toute documentation utile afin de permettre à l’utilisateur, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente (CNIL).

12. Aide de FYGR dans le cadre du respect par l’utilisateur de ses obligations :
FYGR  s’engage dans la mesure du possible et si cela s’avérait nécessaire à aider l’utilisateur, pour la réalisation d’analyses d’impact relative à la protection des données.

FYGR s’engage également, si cela était nécessaire, à aider l’utilisateur pour la réalisation de la consultation préalable de l’autorité de contrôle (CNIL).

13. Mesures de sécurité :
FYGR met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité, la confidentialité, l’intégrité des traitements de données et protéger les données contre la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

14. Sort des données :
À la fin du service (notamment en cas de résiliation des CGU), FYGR s’engage à supprimer tout contenu (notamment les données, fichiers, etc.) reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État Utilisateur de l’Union européenne, en exigent autrement.

L’utilisateur est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation ou l’expiration des services, et avant de procéder à toute opération de suppression, de mise à jour ou de réinstallation des services.

À cet égard, l’utilisateur est informé que la résiliation et l’expiration du service pour quelque raison que ce soit, ainsi que certaines opérations de mise à jour ou de réinstallation des services, peuvent automatiquement entraîner la suppression irréversible de tout contenu reproduit, stocké, hébergé ou autrement utilisé par l’utilisateur dans le cadre des services, ce compris toute sauvegarde potentielle.

15. Registre des catégories d’activités de traitement :
FYGR  déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte de l’utilisateur comprenant :
le nom et les coordonnées de l’utilisateur pour le compte duquel il agit, des éventuels sous-traitants et, le cas échéant, du délégué à la protection des données ;
les catégories de traitements effectués pour le compte de l’utilisateur ;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l’existence de garanties appropriées ;
dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

16. Documentation :
FYGR met à la disposition de ses utilisateurs la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’utilisateur ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.

Dans le cadre de tels audits, l’utilisateur ou l’auditeur mandaté par lui ne seront toutefois pas autorisés à accéder aux secrets des affaires de FYGR, aux informations stratégiques de cette dernière ou aux informations que FYGR s’est engagée à garder confidentielles à l’égard de ses autres clients et/ou partenaires. FYGR pourra s’opposer à toute mesure de contrôle de l’utilisateur ou de l’auditeur mandaté par lui qui serait susceptible de leur donner accès à de telles données ou informations. FYGR veillera par ailleurs en tout état de cause à ce que l’auditeur et, plus généralement, le personnel procédant à l’audit soient soumis à des obligations de confidentialité appropriées.

The user undertakes to comply with the obligations incumbent on it as data controller pursuant to the GDPR. In this respect, it is in particular responsible for ensuring that:
- the processing of personal data has an appropriate legal basis (for example, the consent of the data subject, the legitimate interest of the data controller or a legal provision, etc.);
- data processing registers are kept up to date;
- all required formalities and procedures (such as an impact assessment, notification or request for authorization from the supervisory authority or any other body) have been carried out where applicable;
- data subjects are informed about the processing of personal data in a concise, transparent, intelligible and easily accessible manner;
- data subjects are given the opportunity to exercise their rights, as provided for by the GDPR;
- technical and organizational measures are implemented within its own systems and operations that fall outside the scope of the services in order to ensure the security of personal data processing.

In addition, the user undertakes to:
- document in writing any instructions concerning the processing of data;
- ensure, beforehand and throughout the duration of the processing, that FYGR complies with the obligations set out in the RGPD;
- supervise the processing, including carrying out audits and inspections at FYGR, under the conditions described above.