ASSISTANCE

Addendum relatif à la protection des données

Le règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD) est un règlement de l'Union européenne (UE) relatif à la protection des données et à la vie privée de toutes les personnes physiques au sein de l'UE. Il est entré en vigueur le 25 mai 2018 et s'applique à toutes les organisations qui collectent, stockent et/ou traitent des données à caractère personnel de l'UE.

Chez Konveio LLC, nous accordons une grande importance à la confidentialité et à la transparence, et nous tenons à informer nos clients que Konveio a pris toutes les mesures nécessaires pour se conformer à ces réglementations. À cette fin, nous avons créé le présent addendum relatif au traitement des données (« DPA ») qui décrit nos pratiques en matière de traitement des données.

Vous avez besoin d'un exemplaire signé ? Contactez-nous.

Addendum relatif à la protection des données

Le présent addendum relatif à la protection des données («Addendum ») fait partie intégrante des conditions généralesContrat principal », «Contrat ») conclues entre : (i) Konveio LLC («Fournisseur ») agissant en son nom propre et en tant qu'agent pour chaque filiale du Fournisseur ; et (ii) vous, le Client («Société »), agissant en votre nom propre et en tant qu'agent pour chaque filiale de la Société.

Les termes utilisés dans le présent addendum ont la signification qui leur est donnée dans le présent addendum. Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans le contrat principal. Sauf modification ci-dessous, les termes du contrat principal restent pleinement en vigueur.

Compte tenu des obligations mutuelles énoncées dans les présentes, les parties conviennent par la présente que les conditions générales énoncées ci-dessous seront ajoutées en tant qu'addendum à l'accord principal. Sauf si le contexte exige une interprétation différente, les références à l'accord principal dans le présent addendum renvoient à l'accord principal tel que modifié par le présent addendum et incluant celui-ci.

1. Définitions

1.1 Dans le présent addendum, les termes suivants ont la signification indiquée ci-dessous et les termes apparentés doivent être interprétés en conséquence :

1.1.1 «Lois applicables » désigne (a) les lois des États-Unis ou de l'Union européenne ou des États membres relatives à toute donnée à caractère personnel de la société pour laquelle tout membre du groupe de sociétés est soumis aux lois européennes sur la protection des données ; et (b) toute autre loi applicable relative à toute donnée à caractère personnel de la société pour laquelle tout membre du groupe de sociétés est soumis à toute autre loi sur la protection des données ;

1.1.2 «Filiale de la société » désigne une entité qui détient ou contrôle, est détenue ou contrôlée par, ou est sous contrôle ou propriété communs avec la société, le contrôle étant défini comme la possession, directe ou indirecte, du pouvoir de diriger ou de faire diriger la gestion et les politiques d'une entité, que ce soit par la détention de titres avec droit de vote, par contrat ou autrement ;

1.1.3 «Membre du groupe de sociétés » désigne la Société ou toute société affiliée à la Société ;

1.1.4 «Données personnelles de l'entreprise » désigne toutes les données personnelles traitées par un sous-traitant mandaté pour le compte d'un membre du groupe d'entreprises conformément à l'accord principal ou en relation avec celui-ci ;

1.1.5 «Sous-traitant » désigne le Fournisseur ou un Sous-traitant secondaire ;

1.1.6 «Lois sur la protection des données » désigne les lois européennes sur la protection des données, les lois américaines sur la protection des données et, dans la mesure où elles sont applicables, les lois sur la protection des données ou la confidentialité de tout autre pays ;

1.1.7 «EEE » désigne l'Espace économique européen ;

1.1.8 «Lois européennes sur la protection des données » désigne la directive européenne 95/46/CE, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou supplantée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;

1.1.9 «RGPD » désigne le règlement général sur la protection des données 2016/679 de l'Union européenne ;

1.1.10 «Transfert restreint » signifie :

1.1.10.1 un transfert de Données personnelles de l'entreprise depuis tout Membre du groupe de l'entreprise vers un Sous-traitant ; ou

1.1.10.2 un transfert ultérieur des Données personnelles de l'Entreprise d'un Sous-traitant à un autre Sous-traitant, ou entre deux établissements d'un Sous-traitant,

dans chaque cas, lorsque ce transfert serait interdit par les lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions en matière de transfert de données prévues par les lois sur la protection des données) en l'absence des clauses contractuelles types à établir en vertu des sections 6.4.3 ou 12 ci-dessous ;

1.1.11 «Services » désigne les services et autres activités à fournir ou à réaliser par ou pour le compte du Vendeur pour les Membres du Groupe de la Société conformément au Contrat principal ;

1.1.12 «Clauses contractuelles types » désigne les clauses contractuelles énoncées à l'annexe 2, telles que modifiées (entre crochets et en italique) dans cette annexe et à la section 13.4 ;

1.1.13 «Sous-traitant » désigne toute personne (y compris tout tiers et toute société affiliée au Vendeur, à l'exclusion des employés du Vendeur ou de ses sous-traitants) désignée par ou pour le compte du Vendeur ou de toute société affiliée au Vendeur pour traiter des Données à caractère personnel pour le compte de tout Membre du groupe de sociétés dans le cadre du Contrat principal ; et

1.1.14 «Affilié du fournisseur » désigne une entité qui détient ou contrôle, est détenue ou contrôlée par, ou est sous contrôle ou propriété communs avec le fournisseur, le contrôle étant défini comme la possession, directe ou indirecte, du pouvoir de diriger ou de faire diriger la gestion et les politiques d'une entité, que ce soit par la détention de titres avec droit de vote, par contrat ou autrement.

1.2 Les termes «Commission », «responsabledu traitement », «personne concernée », «État membre », «données à caractère personnel », «violation de données à caractère personnel », «traitement » et «autorité de contrôle » ont la même signification que dans le RGPD, et leurs termes apparentés doivent être interprétés en conséquence.

1.3 Le terme «inclure » doit être interprété comme signifiant « inclure sans limitation », et les termes apparentés doivent être interprétés en conséquence.

2. Autorité

Le fournisseur garantit et déclare qu'avant que toute société affiliée au fournisseur ne traite des données personnelles de la société pour le compte d'un membre du groupe de sociétés, l'adhésion du fournisseur au présent addendum en tant qu'agent pour le compte et au nom de cette société affiliée au fournisseur aura été dûment et effectivement autorisée (ou ratifiée ultérieurement) par cette société affiliée au fournisseur.

3. Traitement des données personnelles de l'entreprise

3.1 Le fournisseur et chaque filiale du fournisseur doivent :

3.1.1 se conformer à toutes les lois applicables en matière de protection des données lors du traitement des données personnelles de l'entreprise ; et

3.1.2 ne pas traiter les données personnelles de la société autrement que selon les instructions documentées du membre concerné du groupe de sociétés, sauf si le traitement est requis par les lois applicables auxquelles le sous-traitant concerné est soumis, auquel cas le fournisseur ou la filiale concernée du fournisseur doit, dans la mesure permise par les lois applicables, informer le membre concerné du groupe de sociétés de cette exigence légale avant le traitement concerné de ces données personnelles.

3.2 Chaque membre du groupe de sociétés :

3.2.1 donne instruction au Fournisseur et à chaque Affilié du Fournisseur (et autorise le Fournisseur et chaque Affilié du Fournisseur à donner instruction à chaque Sous-traitant) de :

3.2.1.1 Traiter les données personnelles de l'entreprise ; et

3.2.1.2 en particulier, transférer les Données personnelles de l'entreprise vers tout pays ou territoire,

dans la mesure où cela est raisonnablement nécessaire pour la fourniture des Services et conforme au Contrat principal ; et

3.2.2 garantit et déclare qu'elle est et restera à tout moment dûment et effectivement autorisée à donner les instructions énoncées à la section 3.2.1 au nom de chaque société affiliée concernée.

3.3 L'annexe 1 du présent addendum contient certaines informations concernant le traitement des données personnelles de la société par les sous-traitants, conformément à l'article 28, paragraphe 3, du RGPD (et, éventuellement, aux exigences équivalentes d'autres lois sur la protection des données). La société peut apporter des modifications raisonnables à l'annexe 1 en adressant de temps à autre une notification écrite au fournisseur, si elle le juge nécessaire pour satisfaire à ces exigences. Aucune disposition de l'annexe 1 (y compris telle que modifiée conformément à la présente section 3.3) ne confère de droit ni n'impose d'obligation à l'une des parties au présent addendum.

4. Personnel du fournisseur et des sociétés affiliées au fournisseur

Le fournisseur et chaque filiale du fournisseur doivent prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant de tout Sous-traitant qui pourrait avoir accès aux Données personnelles de la Société, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de connaître/d'accéder aux Données personnelles de la Société concernées, dans la mesure strictement nécessaire aux fins du Contrat principal, et à se conformer aux Lois applicables dans le cadre des fonctions de ces personnes auprès du Sous-traitant, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.

5. Sécurité

5.1 Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Fournisseur et chaque Affilié du Fournisseur doivent, en ce qui concerne les Données à caractère personnel de la Société, mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du RGPD.

5.2 Pour évaluer le niveau de sécurité approprié, le Fournisseur et chaque Affilié du Fournisseur doivent tenir compte en particulier des risques liés au Traitement, notamment ceux liés à une Violation des Données à Caractère Personnel.

6. Sous-traitance

6.1 Chaque membre du groupe de sociétés autorise le fournisseur et chaque filiale du fournisseur à désigner (et à permettre à chaque sous-traitant désigné conformément à la présente section 6 de désigner) des sous-traitants conformément à la présente section 6 et à toute restriction prévue dans le contrat principal.

6.2 Le Fournisseur et chaque Affilié du Fournisseur peuvent continuer à utiliser les Sous-traitants déjà engagés par le Fournisseur ou tout Affilié du Fournisseur à la date du présent Addendum, sous réserve que le Fournisseur et chaque Affilié du Fournisseur, dans chaque cas, remplissent dès que possible les obligations énoncées à la section 6.4.

6.3 Le Fournisseur s'efforcera d'informer préalablement la Société par écrit de la nomination de tout nouveau Sous-traitant, en fournissant tous les détails relatifs au Traitement qui sera effectué par le Sous-traitant. Si, dans les 14 jours suivant la réception de cette notification, la Société informe le Fournisseur par écrit de toute objection (fondée sur des motifs raisonnables) à la nomination proposée :

6.3.1 Le Fournisseur collaborera de bonne foi avec la Société afin d'apporter une modification commercialement raisonnable à la fourniture des Services qui évite le recours au Sous-traitant proposé ; et

6.3.2 Si une telle modification ne peut être apportée dans les 31 jours suivant la réception par le Vendeur de la notification de la Société, nonobstant toute disposition contraire dans le Contrat principal, la Société peut, par notification écrite adressée au Vendeur, résilier avec effet immédiat le Contrat principal dans la mesure où il concerne les Services qui nécessitent le recours au Sous-traitant proposé.

6.4 En ce qui concerne chaque sous-traitant, le fournisseur ou la filiale concernée du fournisseur doit :

6.4.1 avant que le sous-traitant ne traite pour la première fois les données personnelles de l'entreprise (ou, le cas échéant, conformément à la section 6.2), effectuer une vérification préalable adéquate afin de s'assurer que le sous-traitant est en mesure d'assurer le niveau de protection des données personnelles de l'entreprise requis par le contrat principal ;

6.4.2 veiller à ce que l'accord entre, d'une part, (a) le Vendeur, ou (b) la Filiale du Vendeur concernée, ou (c) le Sous-traitant intermédiaire concerné ; et, d'autre part, le Sous-traitant, soit régi par un contrat écrit comprenant des conditions qui offrent au moins le même niveau de protection des Données personnelles de l'Entreprise que celles énoncées dans le présent Addendum et qui satisfont aux exigences de l'article 28(3) du RGPD ;

6.4.3 fournir à la Société, pour examen, les copies des accords conclus entre les Sous-traitants chargés du traitement et les Sous-traitants secondaires (qui peuvent être expurgées afin de supprimer les informations commerciales confidentielles non pertinentes au regard des exigences du présent Addendum) que la Société peut demander de temps à autre.

6.5 Le Fournisseur et chaque Affilié du Fournisseur doivent s'assurer que chaque Sous-traitant sous-traitant remplit les obligations prévues aux sections 3.1, 4, 5, 7.1, 8.2, 9 et 11.1, dans la mesure où elles s'appliquent au Traitement des Données personnelles de l'Entreprise effectué par ce Sous-traitant sous-traitant, comme s'il était partie au présent Addendum à la place du Fournisseur.

7. Droits des personnes concernées

7.1 Compte tenu de la nature du Traitement, le Fournisseur et chaque Filiale du Fournisseur aideront chaque Membre du Groupe à mettre en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin que les Membres du Groupe puissent remplir leurs obligations, telles que raisonnablement comprises par la Société, pour répondre aux demandes d'exercice des droits des Personnes concernées en vertu des Lois sur la protection des données.

7.2 Le fournisseur doit :

7.2.1 informer rapidement la Société si un Sous-traitant contractuel reçoit une demande d'une Personne concernée en vertu d'une Loi sur la protection des données concernant les Données personnelles de la Société ; et

7.2.2 veiller à ce que le Sous-traitant ne réponde pas à cette demande, sauf sur instruction écrite de la Société ou de la Filiale concernée, ou si les Lois applicables auxquelles le Sous-traitant est soumis l'exigent, auquel cas le Fournisseur informera la Société de cette exigence légale dans la mesure permise par les Lois applicables avant que le Sous-traitant ne réponde à la demande.

8. Violation des données à caractère personnel

8.1 Le Fournisseur doit informer la Société sans délai dès que lui-même ou tout Sous-traitant secondaire a connaissance d'une Violation des Données à Caractère Personnel affectant les Données à Caractère Personnel de la Société, en fournissant à la Société des informations suffisantes pour permettre à chaque Membre du Groupe de la Société de remplir ses obligations de signaler ou d'informer les Personnes Concernées de la Violation des Données à Caractère Personnel en vertu des Lois sur la Protection des Données.

8.2 Le fournisseur doit coopérer avec la société et chaque membre du groupe de la société et prendre les mesures commerciales raisonnables indiquées par la société pour aider à l'enquête, à l'atténuation et à la correction de chaque violation des données à caractère personnel.

9. Évaluation de l'impact sur la protection des données et consultation préalable

Le fournisseur et chaque filiale du fournisseur doivent fournir une assistance raisonnable à chaque membre du groupe de sociétés pour toute évaluation de l'impact sur la protection des données et toute consultation préalable avec les autorités de contrôle ou autres autorités compétentes en matière de confidentialité des données, que la société considère raisonnablement comme requises de la part de tout membre du groupe de sociétés en vertu des articles 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles de la société par les sous-traitants et en tenant compte de la nature du traitement et des informations dont disposent les sous-traitants. aux sous-traitants.

10. Suppression des données personnelles de l'entreprise

10.1 Sous réserve des sections 10.2 et 10.3, le Vendeur et chaque Affilié du Vendeur doivent rapidement, et dans tous les cas dans les 14 jours suivant la date de cessation de tout Service impliquant le Traitement des Données personnelles de l'Entreprise (la «Date de cessation »), supprimer et faire supprimer toutes les copies de ces Données personnelles de l'Entreprise.

10.2 Sous réserve de la section 10.3, la Société peut, à sa seule discrétion, par notification écrite adressée au Vendeur dans les 30 jours suivant la Date de cessation, exiger du Vendeur et de chaque Affilié du Vendeur (a) qu'ils renvoient à la Société une copie complète de toutes les Données personnelles de la Société par transfert de fichiers sécurisé dans un format raisonnablement notifié par la Société au Vendeur ; et (b) qu'ils suppriment et obtiennent la suppression de toutes les autres copies des Données personnelles de la Société Traitées par tout Sous-traitant. Le Vendeur et chaque Affilié du Vendeur doivent se conformer à toute demande écrite de ce type dans les 30 jours suivant la Date de cessation.

10.3 Chaque Sous-traitant peut conserver les Données personnelles de l'Entreprise dans la mesure requise par les Lois applicables et uniquement dans la mesure et pendant la période requises par les Lois applicables, à condition que le Fournisseur et chaque Affilié du Fournisseur garantissent la confidentialité de toutes ces Données personnelles de l'Entreprise et veillent à ce que ces Données personnelles de l'Entreprise ne soient Traitées que dans la mesure nécessaire aux fins spécifiées dans les Lois applicables exigeant leur conservation et à aucune autre fin.

10.4 Le fournisseur doit fournir à la société une attestation écrite certifiant que lui-même et chacune de ses sociétés affiliées se sont pleinement conformés à la présente section 10 dans les 30 jours suivant la date de cessation.

11. Droits d'audit

11.1 Sous réserve de la section 11.2, le Vendeur et chaque Affilié du Vendeur mettront à la disposition de chaque Membre du Groupe de sociétés, sur demande, toutes les informations nécessaires pour démontrer la conformité au présent Addendum, et autoriseront et contribueront aux audits, y compris les inspections, effectués par tout Membre du Groupe de sociétés ou un auditeur mandaté par tout Membre du Groupe de sociétés en relation avec le Traitement des Données personnelles de la société par les Sous-traitants.

11.2 Les droits d'information et d'audit des membres du groupe de sociétés ne découlent de la section 11.1 que dans la mesure où le contrat principal ne leur accorde pas d'autres droits d'information et d'audit répondant aux exigences pertinentes de la législation sur la protection des données (y compris, le cas échéant, l'article 28(3)(h) du RGPD).

12. Transferts restreints

12.1 Sous réserve de la section 12.3, chaque membre du groupe de sociétés (en tant qu'« exportateur de données ») et chaque sous-traitant (en tant qu'« importateur de données »), selon le cas, conclut par les présentes les clauses contractuelles types relatives à tout transfert restreint de ce membre du groupe de sociétés vers ce sous-traitant.

12.2 Les clauses contractuelles types entreront en vigueur en vertu de la section 12.1 à la date la plus tardive entre :

12.2.1 l'exportateur de données devient partie à celles-ci ;

12.2.2 l'importateur de données devient partie à celles-ci ; et

12.2.3 début du transfert restreint concerné.

12.3 La section 12.1 ne s'applique pas à un transfert restreint, sauf si son effet, associé à d'autres mesures de conformité raisonnablement applicables (qui, pour éviter toute ambiguïté, n'incluent pas l'obtention du consentement des personnes concernées), permet au transfert restreint concerné d'avoir lieu sans enfreindre la législation applicable en matière de protection des données.

13. Conditions générales

LOI APPLICABLE ET JURIDICTION COMPÉTENTE

13.1 Sans préjudice des clauses 7 (Médiation et juridiction) et 9 (Loi applicable) des clauses contractuelles types :

13.1.1 Les parties au présent addendum se soumettent par les présentes au choix de juridiction stipulé dans le contrat principal en ce qui concerne tout litige ou toute réclamation découlant du présent addendum, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité ; et

13.1.2 Le présent addendum et toutes les obligations non contractuelles ou autres découlant de celui-ci ou en rapport avec celui-ci sont régis par les lois du pays ou du territoire stipulées à cet effet dans le contrat principal.

ORDRE DE PRIORITÉ

13.2 Aucune disposition du présent Addendum ne réduit les obligations du Vendeur ou de toute Filiale du Vendeur en vertu du Contrat principal en matière de protection des Données à caractère personnel, ni n'autorise le Vendeur ou toute Filiale du Vendeur à Traiter (ou à autoriser le Traitement) des Données à caractère personnel d'une manière interdite par le Contrat principal. En cas de conflit ou d'incohérence entre le présent Addendum et les Clauses contractuelles types, les Clauses contractuelles types prévaudront.

13.3 Sous réserve de la section 13.2, en ce qui concerne l'objet du présent addendum, en cas d'incohérence entre les dispositions du présent addendum et tout autre accord entre les parties, y compris l'accord principal et y compris (sauf accord contraire explicite par écrit, signé au nom des parties) les accords conclus ou censés être conclus après la date du présent addendum, les dispositions du présent addendum prévaudront.

MODIFICATIONS DES LOIS SUR LA PROTECTION DES DONNÉES, ETC.

13.4 La société peut :

13.4.1 en adressant au Vendeur un préavis écrit d'au moins trente (30) jours calendaires, apporter de temps à autre des modifications aux clauses contractuelles types (y compris toute clause contractuelle type conclue en vertu de la section 12.1), dans la mesure où elles s'appliquent aux Transferts Restreints soumis à une loi particulière sur la protection des données, qui sont nécessaires, à la suite d'une modification ou d'une décision d'une autorité compétente en vertu de cette loi sur la protection des données, pour permettre que ces Transferts Restreints soient effectués (ou continuent d'être effectués) sans enfreindre cette loi sur la protection des données ; et

13.4.2 proposer toute autre modification au présent Addendum que la Société juge raisonnablement nécessaire pour répondre aux exigences de toute loi sur la protection des données.

13.5 Si la Société donne un préavis en vertu de la section 13.4.1 :

13.5.1 Le Fournisseur et chaque Affilié du Fournisseur doivent coopérer sans délai (et veiller à ce que tout Sous-traitant concerné coopère sans délai) afin de garantir que des modifications équivalentes soient apportées à tout accord mis en place en vertu de la section 6.4.3 ; et

13.5.2 La Société ne doit pas refuser ou retarder de manière déraisonnable son accord à toute modification consécutive au présent Addendum proposée par le Fournisseur afin de protéger les Sous-traitants contractuels contre les risques supplémentaires associés aux modifications apportées en vertu des sections 13.4.1 ou 13.5.1.

13.6 Si la Société donne un préavis en vertu de la section 13.4.2, les parties discuteront sans délai des modifications proposées et négocieront de bonne foi en vue de convenir et de mettre en œuvre ces modifications ou d'autres modifications destinées à répondre aux exigences identifiées dans le préavis de la Société dès que cela sera raisonnablement possible.

13.7 Ni la Société ni le Fournisseur ne doivent obtenir le consentement ou l'approbation d'une Filiale de la Société ou d'une Filiale du Fournisseur pour modifier le présent Addendum conformément à la section 13.5 ou autrement.

INDEMNITÉ DE DÉPART

13.8 Si une disposition du présent addendum est invalide ou inapplicable, les autres dispositions du présent addendum restent valides et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour garantir sa validité et son applicabilité, tout en préservant autant que possible les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'y figurait pas.

Annexe 1 : Clauses contractuelles types

CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANTS)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE, pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

CONTEXTE

L'exportateur de données a conclu un avenant relatif au traitement des données (« DPA ») avec l'importateur de données. Conformément aux termes du DPA, il est prévu que les services fournis par l'importateur de données impliquent le transfert de données à caractère personnel vers l'importateur de données. L'importateur de données est situé dans un pays qui n'assure pas un niveau adéquat de protection des données. Afin de garantir le respect de la directive 95/46/CE et de la législation applicable en matière de protection des données, le responsable du traitement accepte la fourniture de ces services, y compris le traitement des données à caractère personnel qui y est lié, sous réserve que l'importateur de données exécute et respecte les termes des présentes clauses.

CLAUSE 1

DÉFINITIONS

Aux fins des présentes clauses :

  • «« données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
  • « l'exportateur de données » désigne le responsable du traitement qui transfère les données à caractère personnel ;
  • « l'importateur de données » désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert, conformément à ses instructions et aux dispositions des clauses, et qui n'est pas soumis au système d'un pays tiers garantissant un niveau de protection adéquat au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;
  • « sous-traitant ultérieur » désigne tout sous-traitant engagé par le responsable du transfert ou par tout autre sous-traitant ultérieur du responsable du transfert qui accepte de recevoir du responsable du transfert ou de tout autre sous-traitant ultérieur du responsable du transfert des données à caractère personnel destinées exclusivement à des activités de traitement à effectuer pour le compte du responsable du transfert après le transfert, conformément à ses instructions, aux dispositions des clauses et aux termes du contrat de sous-traitance écrit ;
  • « la législation applicable en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des personnes physiques, et en particulier leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement dans l'État membre où l'exportateur de données est établi ;
  • « mesures techniques et organisationnelles de sécurité » : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

CLAUSE 2

DÉTAILS DU TRANSFERT

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'annexe 1, qui fait partie intégrante des clauses.

CLAUSE 3

CLAUSE DE TIERS BÉNÉFICIAIRE

  1. La personne concernée peut faire valoir à l'encontre de l'exportateur de données la présente clause, la clause 4(b) à (i), la clause 5(a) à (e) et (g) à (j), la clause 6(1) et (2), la clause 7, la clause 8(2) et les clauses 9 à 12 en tant que tiers bénéficiaire.
  2. La personne concernée peut faire valoir à l'encontre du destinataire des données la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité remplaçante n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par application de la loi, et qu'elle ait ainsi repris les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité.
  3. La personne concernée peut faire valoir à l'encontre du sous-traitant secondaire la présente clause, la clause 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont disparu ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité remplaçante n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou en vertu de la loi, et qu'elle ait ainsi repris les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité. Cette responsabilité civile du sous-traitant secondaire est limitée à ses propres opérations de traitement en vertu des clauses.
  4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si cette personne le souhaite expressément et si la législation nationale le permet.

CLAUSE 4

OBLIGATIONS DE L'EXPORTATEUR DE DONNÉES

L'exportateur de données accepte et garantit :

  • que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;
  • qu'il a donné pour instruction et qu'il donnera pour instruction, pendant toute la durée des services de traitement des données à caractère personnel, à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses ;
  • que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;
  • qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures garantissent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de la technique et du coût de leur mise en œuvre ;
  • qu'il veillera au respect des mesures de sécurité ;
  • que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n'offrant pas de protection adéquate au sens de la directive 95/46/CE ;
  • transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant en vertu de la clause 5(b) et de la clause 8(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
  • mettre à la disposition des personnes concernées, sur demande, une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas ces informations commerciales peuvent être supprimées ;
  • que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant offrant au moins le même niveau de protection des données à caractère personnel et des droits des personnes concernées que l'importateur de données en vertu des clauses ; et
  • qu'il garantira le respect des dispositions de la clause 4(a) à (i).

CLAUSE 5

OBLIGATIONS DE L'IMPORTATEUR DE DONNÉES

L'importateur de données accepte et garantit :

  • de traiter les données à caractère personnel uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il ne peut garantir cette conformité pour quelque raison que ce soit, il s'engage à informer sans délai l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
  • qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de se conformer aux instructions reçues de l'exportateur de données et à ses obligations contractuelles et qu'en cas de modification de cette législation susceptible d'avoir un effet défavorable important sur les garanties et obligations prévues par les clauses, il informera rapidement l'exportateur de données de ce changement dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
  • qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;
  • qu'elle informera rapidement l'exportateur de données :
  • toute demande juridiquement contraignante de divulgation des données à caractère personnel émanant d'une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction prévue par le droit pénal visant à préserver la confidentialité d'une enquête policière,
  • tout accès accidentel ou non autorisé, et
  • toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf autorisation contraire ;
  • traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant le traitement des données à caractère personnel faisant l'objet du transfert et se conformer aux conseils de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
  • à la demande de l'exportateur de données, de soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises, liés par une obligation de confidentialité, sélectionnés par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
  • mettre à la disposition de la personne concernée, sur demande, une copie des clauses ou de tout contrat existant en matière de sous-traitance, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas ces informations commerciales peuvent être supprimées, à l'exception de l'annexe 2, qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;
  • qu'en cas de sous-traitance, il en a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;
  • que les services de traitement fournis par le sous-traitant seront effectués conformément à la clause 11 ;
  • envoyer rapidement à l'exportateur de données une copie de tout contrat de sous-traitance conclu en vertu des clauses.

CLAUSE 6

RESPONSABILITÉ

  1. Les parties conviennent que toute personne concernée qui a subi un préjudice résultant d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par l'une des parties ou un sous-traitant secondaire a le droit d'obtenir de l'exportateur de données une indemnisation pour le préjudice subi.
  2. Si une personne concernée n'est pas en mesure de présenter une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, résultant d'un manquement de l'importateur de données ou de son sous-traitant à l'une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu de fait ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse introduire une demande à l'encontre de l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité remplaçante n'ait repris l'ensemble des obligations légales de l'exportateur de données par contrat ou en vertu de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité.
    L'importateur de données ne peut invoquer le manquement d'un sous-traitant à ses obligations pour échapper à ses propres responsabilités.
  3. Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant à l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur et l'importateur de données ont disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse intenter une action contre le sous-traitant en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité remplaçante n'ait assumé l'ensemble des obligations légales de l'exportateur ou de l'importateur de données par contrat ou en vertu de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. La responsabilité du sous-traitant secondaire est limitée à ses propres opérations de traitement en vertu des clauses.

CLAUSE 7

MÉDIATION ET COMPÉTENCE

  1. L'importateur de données accepte que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou réclame une indemnisation au titre des clauses, l'importateur de données acceptera la décision de la personne concernée :
  2. de soumettre le litige à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;
  3. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
  4. Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

CLAUSE 8

COOPÉRATION AVEC LES AUTORITÉS DE CONTRÔLE

  1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la législation applicable en matière de protection des données.
  2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
  3. L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou de tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est en droit de prendre les mesures prévues à la clause 5 (b).

CLAUSE 9

LOI APPLICABLE

Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

CLAUSE 10

MODIFICATION DU CONTRAT

Les parties s'engagent à ne pas modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions commerciales si nécessaire, à condition qu'elles ne contredisent pas la clause.

CLAUSE 11

SOUS-TRAITANCE

  1. L'importateur de données ne sous-traite aucune des opérations de traitement qu'il effectue pour le compte de l'exportateur de données en vertu des clauses sans le consentement écrit préalable de ce dernier. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il le fait uniquement au moyen d'un accord écrit avec le sous-traitant qui impose à ce dernier les mêmes obligations que celles imposées à l'importateur de données en vertu des clauses. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données reste pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
  2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant doit également prévoir une clause de tiers bénéficiaire telle que définie à la clause 3 pour les cas où la personne concernée n'est pas en mesure de faire valoir le droit à réparation visé au paragraphe 1 de la clause 6 à l'encontre de l'exportconformément à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu de fait ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité remplaçante n'a repris l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité civile du sous-traitant secondaire est limitée à ses propres opérations de traitement au titre des clauses.
  3. Les dispositions relatives aux aspects liés à la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par la législation de l'État membre dans lequel l'exportateur de données est établi.
  4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5 (j), qui est mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

CLAUSE 12

OBLIGATION APRÈS LA FIN DES SERVICES DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

  1. Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant secondaire, au choix de l'exportateur de données, restitueront toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruiront toutes les données à caractère personnel et certifieront à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données s'engage à garantir la confidentialité des données à caractère personnel transférées et à ne plus traiter activement les données à caractère personnel transférées.
  2. L'importateur de données et le sous-traitant garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Annexe 1 aux clauses contractuelles types

Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans la présente annexe.

EXPORTATEUR DE DONNÉES

L'exportateur de données est : _________________

IMPORTATEUR DE DONNÉES

L'importateur de données est : Konveio, LLC

PERSONNES CONCERNÉES

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées :
Utilisateurs, responsables, administrateurs

CATÉGORIES DE DONNÉES

Les données personnelles transférées concernent les catégories de données suivantes :
Informations d'identification pertinentes pour la création d'un compte utilisateur, la soumission et la gestion de commentaires, telles que le nom, l'adresse e-mail, le numéro de téléphone (facultatif), les données de connexion, les données personnelles.

CATÉGORIES SPÉCIALES DE DONNÉES (LE CAS ÉCHÉANT)

Les données à caractère personnel transférées concernent les catégories particulières de données suivantes : n/a

OPÉRATIONS DE TRAITEMENT

Les données personnelles transférées feront l'objet des activités de traitement suivantes :
Fourniture de services pour la collecte et la gestion de commentaires et d'enquêtes.

Annexe 2 aux clauses contractuelles types

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) :

Pare-feu, certificats SSL, pare-feu d'applications Web, gestion sécurisée du cycle de vie du développement, pratiques de codage sécurisées, accès 2FA, fournisseur de services PCI de niveau 1, évaluations internes de la vulnérabilité, formation continue des employés, analyse antivirus/anti-malware, protection contre le phishing, etc.

Merci ! Votre demande a bien été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
© 2024 Konveio LLC. Tous droits réservés.