Addendum Sur Le Traitement Des Données - V2 Cloud

Data Processing Addendum

Cet addendum sur le traitement des données (« ATD ») complète l’Entente entre V2 Cloud Solutions, Inc. et le Client et est conclu à la date de conclusion de l’Entente. Le présent ATD incorpore l’Entente et tous les termes en majuscules utilisés mais non définis dans le présent ATD ont la signification indiquée dans l’Entente. Aux fins du présent ATD, le Client est le Contrôleur de données et V2 Cloud Solutions, Inc. est le Processeur de données.

1. Interprétation

Les termes et expressions utilisés dans le présent ATD ont le sens suivant :

1.1 « Entente » désigne le contrat conclu entre les Parties pour l’achat des Services Cloud.

1.2 Les termes « Contrôleur de données », « Processeur de données », et « traitement » ont le sens qui leur est donné dans le GDPR.

1.3 « Lois sur la protection des données » désigne toutes les lois, réglementations et autres exigences légales ou d’autoréglementation applicables dans toute juridiction concernant la vie privée, la protection des données, la sécurité des données, la notification des violations ou le traitement des Données à caractère personnel, y compris, mais sans s’y limiter, dans la mesure où cela est applicable, le Règlement général sur la protection des données, Règlement (UE) 2016/679 (« GDPR »), la loi britannique sur la protection des données de 2018 (« UK Privacy Act »), la loi fédérale suisse sur la protection des données (« FADP »), la loi californienne sur la protection de la vie privée des consommateurs, Cal. Civ. Code § 1798.100 et seq. et les règlements associés (« CCPA »), et les textes suivants, lorsqu’ils seront en vigueur et avec tous les règlements associés : le California Privacy Rights Act (« CPRA »), le Colorado Privacy Act (« CPA »). Pour éviter toute ambiguïté, si les activités de traitement du Prestataire de Services impliquant des Données à caractère personnel n’entrent pas dans le champ d’application d’une des Lois sur la protection des données, cette loi n’est pas applicable aux fins du présent Addendum.

1.4 « Données à caractère personnel » désigne toutes les données relatives à des individus qui sont traitées par le Processeur de données pour le compte du Contrôleur de données, conformément au présent ATD. 

1.5 « Violation de Données à caractère personnel » désigne un incident de sécurité impliquant des informations personnelles qui nécessite une notification conformément aux Lois sur la Protection des Données.

1.6 « Sous-traitant » désigne tout tiers que le Processeur de données engage pour traiter les Données à caractère personnel pour le compte du Processeur de données afin de fournir les Services Cloud.

2. Catégories de Données à caractère personnel couvertes par l’ATD

2.1 Les coordonnées (y compris le nom, les adresses électroniques, le numéro de téléphone, le titre, l’employeur) et l’adresse IP utilisée pour se connecter aux Services Cloud, des utilisateurs du Contrôleur de données qui sont ajoutés en tant qu’utilisateurs des Services Cloud dans le Compte Client.

3. Traitement et utilisation des Données à caractère personnel

3.1 Le Processeur de données doit traiter les Données à caractère personnel reçues du Contrôleur de données (a) conformément aux instructions fournies par le Contrôleur de données comme indiqué dans le présent ATD (b) exclusivement dans le but de fournir les Services Cloud prévus dans l’Entente ou (c) tel que notifié par écrit conformément aux dispositions sur la notification de l’Entente par le Contrôleur de données au Processeur de données au cours de la durée de l’Entente. 

3.2 Le Processeur de données se conformera en tout temps aux Lois sur la protection des données et n’exécutera pas ses obligations en vertu de cet ATD, ou de l’Entente, de manière à amener le Contrôleur de données à enfreindre l’une de ses obligations applicables en vertu des Lois sur la protection des données. 

3.3 Le Processeur de données accepte de se conformer à toutes les mesures raisonnables requises par le Contrôleur de données pour s’assurer que ses obligations en vertu du présent ATD sont exécutées de manière satisfaisante conformément aux Lois sur la protection des données en vigueur de temps à autre.

4. Sécurité des Données à caractère personnel

4.1 Le Processeur de données s’engage à mettre en œuvre et à maintenir un programme de sécurité de l’information approprié comportant des mesures techniques et organisationnelles pour protéger la sécurité des Données à caractère personnel à un niveau de sécurité approprié au risque ; en particulier, contre le traitement non autorisé ou illégal et contre la perte, la destruction, l’endommagement, l’altération ou la divulgation accidentels.

4.2 e Processeur de données, à la demande du Contrôleur de données, fournira des détails sur les systèmes techniques et organisationnels en place pour garantir la sécurité des Données à caractère personnel détenues et pour empêcher l’accès non autorisé.

4.3 Toutes les Données à caractère personnel fournies au Processeur de données par le Contrôleur de données ou obtenues par le Processeur de données dans le cadre de son travail avec le Contrôleur de données sont confidentielles et ne peuvent être copiées, divulguées ou traitées de quelque manière que ce soit sans l’autorisation expresse du Contrôleur de données.

5. Sous-traitants et employés

5.1 Lorsque le Processeur de données traite des Données à caractère personnel (qu’elles soient stockées sous forme d’enregistrements physiques ou électroniques) pour le compte du Contrôleur de données, il doit prendre des mesures raisonnables pour garantir la fiabilité de tous les employés et Sous-traitants.

5.2 Le Processeur de données prendra des mesures raisonnables pour informer et former ses employés sur la législation pertinente en matière de protection de la vie privée et de sécurité des données et s’assurera que les personnes autorisées à traiter les Données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité, et s’assurera que tous les employés et Sous-traitants sont informés de la nature confidentielle des Données à caractère personnel et sont conscients des devoirs du Processeur de données en vertu du présent ATD et de leurs devoirs et obligations personnels en vertu des Lois sur la protection des données.

5.3 Le Contrôleur des données approuve l’utilisation des Sous-traitants énumérés à https://v2cloud.com/fr/politique-de-confidentialite. Le Processeur de données doit informer le Contrôleur de données par écrit de tout nouveau Sous-traitant avant que le Sous-traitant n’ait accès aux Données à caractère personnel en utilisant l’adresse électronique fournie dans le Compte Client.

5.4 Le Processeur de données ne doit pas divulguer, transférer et/ou accorder l’accès aux Données à caractère personnel à un Sous-traitant à moins que le Processeur de données : (i) signe une entente écrite avec ce Sous-traitant qui contient des obligations de protection des données substantiellement similaires à celles imposées au Processeur de données en vertu du présent ATD, y compris la mise en œuvre de mesures techniques et organisationnelles appropriées ; et (ii) demeure responsable du manquement du Sous-traitant à ses obligations en ce qui concerne le traitement des Données à caractère personnel comme si le Processeur de données avait lui-même manqué à ces obligations.

6. Audit

Le Processeur de données accepte, moyennant un préavis raisonnable d’au moins 30 jours et au maximum une fois par année civile, de permettre aux personnes autorisées par le Contrôleur de données d’accéder à tous les locaux dans lesquels les Données à caractère personnel fournies par le Contrôleur de données au Processeur de données sont traitées et d’inspecter les systèmes du Processeur de données afin de s’assurer qu’ils sont conformes à la présente entente. Le Contrôleur des données reconnaît que les obligations du Processeur de données en vertu de cette clause peuvent être satisfaites en tout ou en partie par la fourniture au Contrôleur des données d’informations appropriées, de dossiers, de certifications et de rapports d’audit émis par des tiers indépendants de bonne réputation, à condition qu’il n’y ait pas eu de changements importants dans les contrôles utilisés par le Processeur de données depuis la délivrance de la certification ou du rapport d’audit.

7. Incident de sécurité

7.1 Le Processeur de données doit notifier le Contrôleur de données s’il reçoit une demande d’une personne concernée par les données d’accéder aux Données à caractère personnel de cette personne ou une plainte ou une demande relative aux obligations du Contrôleur de données en vertu des Lois sur la protection des données.

7.2 Le Processeur de données doit coopérer pleinement avec le Contrôleur de données et l’aider dans le cadre de toute plainte ou demande, y compris en fournissant au Contrôleur de données tous les détails de la plainte ou de la demande et en se conformant à une demande d’accès aux données dans les délais pertinents prévus par les Lois sur la protection des données et en conformité avec les instructions du Contrôleur de données.

7.3 Si le Processeur de données prend connaissance d’une Données à caractère personnel, corrompue ou inutilisable ou prend connaissance de toute violation de la sécurité, le Processeur de données doit, à ses propres frais, notifier immédiatement (et dans tous les cas dans les 48 heures) le Contrôleur des données (« Avis ») et coopérer pleinement avec le Contrôleur des données et l’aider à traiter la violation de la sécurité et à assurer le respect de ses obligations en vertu des Lois sur la protection des données en ce qui concerne la sécurité, les notifications de violation, les évaluations d’impact et les consultations avec les autorités de surveillance ou les régulateurs, dès que cela est raisonnablement possible.

7.4 L’Avis doit comprendre, dans la mesure où le Processeur de données en a connaissance à ce moment-là, a) une description de la nature de l’incident, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, b) une description des conséquences probables de l’incident et c) une description des mesures prises ou à prendre par le Processeur de données pour remédier à l’incident.

8. Transfert international de données

8.1 Dans la mesure où des Données à caractère personnel sont consultées par le Processeur de données, ou transférées au Processeur de données, le(s) transfert(s) s’effectura(ont) conformément aux exigences des Lois sur la protection des données, y compris le chapitre V du GDPR.

8.2 Dans la mesure où les Données à caractère personnel comprennent des Données à caractère personnel provenant de l’UE et de l’EEE, en concluant l’Entente et le présent ATD, les Parties sont réputées avoir signé les Clauses contractuelles standard de l’UE Module 2 (les (« CCS »), y compris leurs annexes, jointes à la présente.

8.2.1 Dans la mesure où des CCS sont conclus, les options suivantes pour le module 2 des CCS seront utilisées :

8.2.1.1 Clause 7. L’arrimage facultatif ne s’applique pas.

8.2.1.2 Clause 9. Utilisation de sous-traitants Option 2 : l’autorisation générale écrite est sélectionnée et le délai minimum de notification préalable pour les changements de sous-traitants est d’au moins 30 jours.

8.2.1.3 Clause 11. Le langage optionnel ne s’applique pas.

8.2.1.4 Clause 17. L’option 2 est sélectionnée et les Parties conviennent que l’Entente sera régie par cette loi.

8.2.1.5 Clause 18 (b). Les Parties conviennent que tout litige découlant des présentes clauses sera réglé par les tribunaux du pays convenu dans l’Entente.

8.2.1.6 Clause 13. Tous les crochets sont ainsi supprimés.

8.2.1.7 L’annexe I du présent ATD contient les informations requises à l’annexe I des CCS;

8.2.1.8 L’annexe II du présent ATD contient les informations requises à l’annexe II des CCS; et

8.2.1.9 L’annexe III du présent ATD contient les informations requises à l’annexe III des CCS.

8.3 Dans la mesure où les Données à caractère personnel comprennent des données à caractère personnel provenant de la Suisse, la Clause 8.2 et l’addendum pour les transferts provenant de la Suisse s’appliquent.

8.4 Dans la mesure où les Données à caractère personnel comprennent des Données à caractère personnel provenant du Royaume-Uni, l’addendum sur le transfert de données au Royaume-Uni s’applique.

8.5 Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act). Si le Contrôleur des données ou les personnes concernées par les données sont des résidents de la Californie, veuillez consulter l’addendum du vendeur prévu par la CCPA pour obtenir des informations sur vos droits en matière de protection de la vie privée en Californie.

9. Retour ou élimination

Le Processeur de données détruira ou transférera toutes les Données à caractère personnel au Contrôleur de données à la demande du Contrôleur de données dans les formats, aux moments et en conformité avec les exigences notifiées par écrit par le Contrôleur de données au Processeur de données. Les Données à caractère personnel du Contrôleur des données seront détruites au plus tard six (6) mois après l’expiration ou la résiliation de l’Entente.

10. Indemnisation

Dans la mesure où les Lois sur la protection des données l’exigent, le Processeur de données indemnisera et maintiendra indemnisé le Contrôleur de données contre les dommages directs, les réclamations et les pertes subies par le Contrôleur de données qui découlent directement des activités de traitement de données du Processeur de données dans le cadre du présent ATD. Les limitations de responsabilité convenues entre les Parties dans l’Entente s’appliquent au présent ATD.

11. Clauses générales

11.1 Conflit. En cas de conflit entre les dispositions des GTC et le présent ATD, les dispositions du présent ATD prévalent.

11.2 Droit applicable et règlement des litiges. Le présent ATD est régi par le droit applicable à l’Entente. Tous les litiges découlant du présent ATD ou en rapport avec celui-ci seront définitivement réglés par l’organe de règlement des litiges convenu dans l’Entente.

11.3 Validité. Le présent ATD est valide tant que l’Entente est en vigueur.

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données :

Nom: Le Client tel que défini dans l’Entente
Adresse: L’adresse du Client telle que définie dans l’Entente
Nom, fonction et coordonnées de la personne à contacter : La personne de contact du Client telle que définie dans l’Entente
Activités en rapport avec les données transférées en vertu des présentes clauses : L’utilisation des Services Cloud tels que définis dans l’Entente
Rôle (contrôleur/processeur) : Contrôleur

 

Importateur(s) de données :

Nom: L’entité contractante telle que définie dans l’Entente
Adresse: L’adresse de l’entité contractante telle que définie dans l’Entente
Nom, fonction et coordonnées de la personne à contacter : La personne de contact de l’entité contractante telle que définie dans l’Entente
Activités en rapport avec les données transférées en vertu des présentes clauses : La fourniture de Services Cloud tels que définis dans l’Entente
Rôle (contrôleur/processeur) : Processeur

 

B. DESCRIPTION DU TRANSFERT

 

Catégories de personnes concernées dont les Données à caractère personnel sont transférées Les employés du Contrôleur de données autorisés à utiliser les Services Cloud.
Catégories de Données à caractère personnel transférées Nom, nom d’utilisateur, adresse électronique, adresse IP, numéro de téléphone.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. Aucune donnée sensible n’est transférée.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue). Base continue.
Nature du traitement Transfert, copie, utilisation, suppression, correction, ajustement.
Finalité(s) du transfert et du traitement ultérieur des données Les Données à caractère personnel seront transférées du Contrôleur de données au Processeur de données pour que le Processeur de données puisse fournir le service SaaS de surveillance des médias.
La période pendant laquelle les Données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période. La durée de l’Entente.

 

C. L’AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identification de l’autorité/des autorités de contrôle compétente(s) conformément à la Clause 13

Les Parties conviennent de l’autorité de surveillance irlandaise.

ANNEXE II : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT A ASSURER LA SECURITE DES DONNÉES

I. Confidentialité : Contrôle des accès physiques

Le Processeur de données veillera à ce qu’aucune personne non autorisée n’ait accès au bureau, au serveur ou aux salles d’archives. Cela se traduira par :

  • Bureaux :
    • Listes d’accès limitées 
    • Portes sécurisées 
  • Partenaires des centres de données et du Cloud (où les données des clients sont stockées) : 
    • Listes d’accès limitées 
    • Portes sécurisées 
    • Biométrie 
    • Armoires verrouillées contenant les équipements de hosting  
    • Enregistrements vidéo 
    • Accès accompagné uniquement

II. Confidentialité : Contrôles d’entrée

Le Processeur de données empêchera l’utilisation des systèmes informatiques par des personnes non autorisées. Cela se traduira par :

  • Listes d’accès limité 
  • Portes sécurisées 
  • Processus par lequel l’octroi d’un accès à un utilisateur requiert un examen par les pairs.

III. Confidentialité : Contrôle de l’accès

Le Processeur de données garantit que les personnes autorisées à utiliser un système de traitement des données ne pourront accéder qu’aux données soumises à leur autorisation d’accès et que les données personnelles ne pourront être lues, copiées, modifiées ou supprimées au cours du traitement ou de l’utilisation ou après le stockage sans autorisation. Cela se traduira par :

  • Processus par lequel l’octroi d’un accès à un utilisateur requiert un examen par les pairs
  • Examen des journaux d’accès

IV. Confidentialité : Contrôles de séparation

Le Processeur de données garantit que les données collectées à des fins différentes peuvent être traitées séparément.  Il n’est pas nécessaire de procéder à une séparation physique ; une séparation logique des données étant suffisante. Cela se traduira par :

  • Séparation logique pour tous les clients

V. Intégrité : Contrôles de divulgation

Le Processeur de données garantit que les Données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur des supports de données, et qu’il sera possible de vérifier et de déterminer à quels moments les Données à caractère personnel doivent être transmises au moyen d’un équipement de transmission de données. Cela se traduira par :

  • Chiffrement des données lorsqu’elles sont en transit

VI. Intégrité : Contrôle des entrées

Le Processeur de données garantit qu’il sera possible de vérifier ultérieurement et de déterminer si et par qui des Données à caractère personnel ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données. Cela se traduira par :

  • Journaux de bord

VII. Disponibilité et résilience : Contrôle de la disponibilité

Le Processeur de données garantit que les Données à caractère personnel seront protégées contre la destruction ou la perte accidentelle ou intentionnelle. Cela se traduira par :

  • Journaux de bord
  • Accès à moindre privilège 
  • Sauvegardes

VIII. Disponibilité et résilience : capacité de récupération

Le Processeur de données garantit la capacité de rétablir rapidement la disponibilité des Données à caractère personnel et l’accès aux données en cas d’incident physique ou technique grâce aux mesures suivantes :

  • Plans pour la récupération et la continuation des activités en cas de désastre

IX. Évaluation : Gestion de la protection des données

Le Processeur de données a mis en place un processus permettant d’examiner et d’évaluer régulièrement l’efficacité des mesures de protection techniques et organisationnelles afin de garantir la sécurité du traitement. Cela comprend :

  • Des contrôles aléatoires des mesures

ANNEXE III : LISTE DES SOUS-TRAITANTS

Le Contrôleur des données a autorisé l’utilisation des Sous-traitants énumérés dans la Politique de confidentialité.

ADDENDUM POUR LES TRANSFERTS EN PROVENANCE DE LA SUISSE

  1. Afin d’adapter les CCS au droit suisse, les Parties conviennent de ce qui suit :
    1. Les Parties adoptent le standard du GDPR pour tous les transferts de données, ou le standard du droit suisse s’il est plus élevé. 
    2. Les Parties conviennent que les références aux dispositions du GDPR dans les CCS doivent être comprises comme étant des références aux dispositions correspondantes de la loi fédérale suisse sur la protection des données (Swiss Federal Data Protection Act) dans la version applicable au moment de l’initiation de toute dispute.
    3. Le terme « État membre » figurant dans les CCS s’applique également à la Suisse. En particulier, cela garantit que les personnes concernées par les données ne sont pas exclues de la possibilité d’intenter une action pour faire valoir leurs droits dans leur pays de résidence habituelle.
    4. Clause 13 et Annexe I(C) : Les autorités compétentes en vertu de la Clause 13 et de l’Annexe I(C) sont le Préposé fédéral à la protection des données et à la transparence et, simultanément, l’autorité de l’État membre de l’EEE susmentionnée.
    5. Clause 17 : Les Parties conviennent que la juridiction compétente est l’État membre dans lequel l’exportateur de données est établi pour les réclamations en vertu du GDPR et les lois substantielles de la Suisse pour les réclamations en vertu de la Loi fédérale suisse sur la protection des données.
    6. Clause 18:
          1. Toute dispute découlant des présentes Clauses sera résolue par les tribunaux de Zurich, en Suisse.
          2. Une personne concernée par les données peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
          3. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.
    7. Les Parties conviennent d’interpréter les CCS de manière à ce que les « personnes concernées par les données » incluent les personnes morales jusqu’à l’entrée en vigueur de la loi fédérale suisse sur la protection des données révisée. 

ADDENDUM POUR LES TRANSFERTS EN PROVENANCE DU ROYAUME-UNI

1. Afin d’adapter les CCS au droit britannique, les Parties conviennent de ce qui suit :

Les Parties conviennent que les CCS sont réputées amendées dans la mesure nécessaire pour qu’elles s’appliquent aux transferts du Royaume-Uni vers un pays tiers et fournissent des Garanties Appropriées pour les transferts conformément à l’article 46 du GDPR du Royaume-Uni. Ces amendements comprennent le remplacement des références au GDPR par le GDPR britannique et le remplacement des références aux États membres de l’UE par le Royaume-Uni.

Partie 1 : Tableaux

Tableaux 1: Parties

Date de début La date de signature de l’ATD
Les Parties L’Exportateur et l’Importateur conformément à l’Entente interentreprises auquel sont annexés les CCS approuvés de l’UE et le présent addendum.

Tableau 2 : Choix des CCS, modules et clauses sélectionnées

Addendum CCS de l’UE La version des CCS approuvées de l’UE à laquelle le présent addendum est annexé, détaillée ci-dessous, y compris les informations relatives à l’Annexe : Date : Version des CCS publiée le 4 juin 2021, telle qu’en vigueur le 1er juillet 2022

Tableaux 3: Informations sur l’Annexe

« Informations sur l’Annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés, telles qu’elles figurent dans l’Annexe des CCS de l’UE approuvées (autres que les Parties), et qui, pour le présent Addendum, figurent dans les annexes suivantes des CCS de l’UE approuvées auxquelles le présent Addendum est annexé :

Annexe 1A : Liste des Parties
Annexe 1B : Description du transfert
Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données
Annexe III : Liste des sous-traitants (modules 2 et 3 seulement)

Tableaux 4: Fin du présent Addendum en cas de modification de l’Addendum approuvé

Mettre fin au présent Addendum en cas de modification de l’Addendum approuvé Les Parties peuvent mettre fin au présent Addendum conformément aux dispositions de l’Article 19 : Importateur Exportateur

Partie 2 : Clauses obligatoires

Conclusion du présent Addendum

1. Chaque Partie accepte d’être liée par les conditions énoncées dans le présent Addendum, en échange de quoi l’autre Partie accepte également d’être liée par le présent Addendum.

2.Bien que l’annexe 1A et la Clause 7 des CCS approuvées de l’UE requièrent la signature des Parties, aux fins de la réalisation de Transferts Restreints, les Parties peuvent conclure le présent Addendum de toute manière qui les rende juridiquement contraignantes pour les Parties et qui permette aux personnes concernées de faire valoir leurs droits tels qu’ils sont énoncés dans le présent Addendum. La conclusion du présent Addendum aura le même effet que la signature des CCS approuvées de l’UE et de toute partie des CCS approuvées de l’UE.

Interprétation du présent Addendum

3. Lorsque le présent Addendum utilise des termes qui sont définis dans les CCS approuvées de l’UE, ces termes ont la même signification que dans les CCS approuvées de l’UE. De plus, les termes suivants ont la signification suivante :

 

Addendum Le présent Addendum sur le transfert international de données, qui se compose du présent Addendum incorporant l’Addendum sur les CCS de l’UE.
Addendum sur les CCS de l’UE La ou les versions des CCS approuvées de l’UE auxquelles le présent Addendum est annexé, tel qu’indiqué dans le tableau 2, y compris les informations relatives à l’Annexe.
Informations sur l’Annexe Tel qu’indiqué dans le Tableau 3.
Mesures de sauvegarde appropriées Le niveau de protection des Données à caractère personnel et des droits des personnes concernées par les données, requis par les Lois britanniques sur la protection des données lorsque vous effectuez un Transfert Restreint en vous appuyant sur des clauses standard de protection des données en vertu de l’article 46(2)(d) du GDPR britannique.
Addendum approuvé Le modèle d’Addendum publié par l’ICO et déposé devant le Parlement conformément à l’article 119A de la Loi sur la protection des données du 2 février 2022, tel que révisé en vertu de l’Article 18.
CCS de l’UE approuvés Les clauses contractuelles standard figurant à l’Annexe de la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021.
ICO Le commissaire à l’information du Royaume-Uni.
Transfert Restreint Un transfert couvert par le chapitre V du GDPR britannique.
ROYAUME-UNI Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord.
Lois britanniques sur la protection des données Toutes les lois relatives à la protection des données, au traitement des Données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le GDPR et le UK Data Protection Act 2018.
GDPR DU ROYAUME-UNI Telle que définie dans l’Article 3 de la Loi britannique sur la protection des données de 2018 (UK Data Protection Act 2018).

 

4. Le présent Addendum doit toujours être interprété d’une manière compatible avec les Lois britanniques sur la protection des données et de manière à ce qu’il remplisse l’obligation des Parties de fournir les Garanties Appropriées.

5. Si les dispositions incluses dans l’Addendum sur les CCS de l’UE modifient les CCS approuvées d’une manière qui n’est pas autorisée par les CCS de l’UE approuvées ou l’Addendum approuvé, ces modifications ne seront pas incorporées dans le présent Addendum et la disposition équivalente des CCS de l’UE approuvées les remplacera.

6. En cas d’incohérence ou de conflit entre les Lois britanniques sur la protection des données et le présent Addendum, les Lois britanniques sur la protection des données sont appliquées.

7. Si le sens du présent Addendum n’est pas clair ou s’il y a plus d’un sens, le sens qui s’aligne le plus étroitement avec les Lois britanniques sur la protection des données s’appliquera.

8. Toute référence à une législation (ou à des dispositions spécifiques d’une législation) désigne cette législation (ou disposition spécifique) telle qu’elle peut évoluer dans le temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réadoptée et/ou remplacée après la conclusion du présent Addendum.

Hiérarchie

9. Bien que la Clause 5 des CCS approuvées de l’UE stipule que les CCS approuvées de l’UE prévalent sur tous les ententes connexes entre les Parties, les Parties conviennent que, pour les Transferts Restreints, la hiérarchie de  l’Article 10 prévaudra.

10. En cas d’incohérence ou de conflit entre l’Addendum approuvé et l’Addendum sur les CCS de l’UE (le cas échéant), l’Addendum approuvé prévaudra sur l’Addendum sur les CCS de l’UE, sauf si (et dans la mesure où) les termes incohérents ou conflictuels de l’Addendum sur les CCS de l’UE offrent une plus grande protection aux personnes concernées par le traitement des données, auquel cas ces termes prévaudront sur l’Addendum approuvé.

11. Lorsque le présent Addendum intègre des CCS de l’UE qui ont été conclus pour protéger les transferts soumis au règlement général sur la protection des données (UE) 2016/679, alors les Parties reconnaissent que rien dans le présent Addendum n’a d’incidence sur ces CCS de de l’Addendum de l’UE.

Incorporation et modification des CCS de l’UE

12. Le présent Addendum incorpore les CCS de l’Addendum de l’UE qui sont modifiées dans la mesure requise afin que :

  1. ensemble, ils s’appliquent aux transferts de données effectués par l’exportateur de données vers l’importateur de données, dans la mesure où les Lois britanniques sur la protection des données s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert de données, et qu’ils prévoient des Garanties Appropriées pour ces transferts de données ;
  2. les articles 9 à 11 l’emportent sur la Clause 5 (Hiérarchie) de l’Addendum sur les CCS de l’UE ; et
  3. le présent Addendum (y compris les CCS de l’UE qui y sont incorporés) est (1) régi par les lois de l’Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l’Angleterre et du Pays de Galles, dans chaque cas à moins que les lois et/ou les tribunaux d’Écosse ou d’Irlande du Nord n’aient été expressément choisis par les Parties.

13. À moins que les Parties n’aient convenu d’autres modifications conformes aux exigences de l’Article 12, les dispositions de la l’Article 15 seront applicables.

14. Aucune modification ne peut être apportée aux CCS de l’UE approuvées sauf pour satisfaire aux exigences de l’Article 12.

15. Les modifications suivantes sont apportées aux CCS de l’Addendum de l’UE (aux fins de l’Article 12) :

  1. Les références aux « Clauses » désignent le présent Addendum, qui intègre les CCS de l’Addendum de l’UE ;
  2. À la Clause 2, supprimer les mots :
    « et, en ce qui concerne les transferts de données des contrôleurs vers les processeurs et/ou des processeurs vers les processeurs, des clauses contractuelles standard conformément à l’Article 28, paragraphe 7, du règlement (UE) 2016/679 »;
  3. La Clause 6 (Description du ou des transferts) est remplacée par le texte suivant :
    « Les détails des transferts (et en particulier les catégories de Données à caractère personnel qui sont transférées et les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l’Annexe I.B lorsque les Lois britanniques sur la protection des données s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert » ;
  4. La Clause 8.7(i) du Module 1 est remplacée par le texte suivant
    « c’est vers un pays bénéficiant de règles d’adéquation en vertu de la l’Article 17A du GDPR britannique qui couvre le transfert ultérieur » ;
  5. La Clause 8.8 i) des Modules 2 et 3 est remplacée par le texte suivant :
    « le transfert ultérieur est effectué vers un pays bénéficiant de règles d’adéquation conformément à l’Article 17A du GDPR britannique qui couvre le transfert ultérieur » ;
  6. Les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) » et à « ce Règlement » sont toutes remplacées par « Lois britanniques sur la protection des données ». Les références à des articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l’article ou la section équivalente des Lois britanniques sur la protection des données ;
  7. Les références au règlement (UE) 2018/1725 sont supprimées ;
  8. Les références à « l’Union européenne », à « l’Union », à « l’UE », à « l’État membre de l’UE », à « l’État membre » et à « l’UE ou l’État membre » sont toutes remplacées par le « Royaume-Uni » ;
  9. La référence à la « Clause 12(c)(i) » à la Clause 10(b)(i) du Module un est remplacée par la « Clause 11(c)(i) » ;
  10. La Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées ;
  11. Les termes « autorité de surveillance compétente » et « autorité de surveillance » sont tous deux remplacés par « Commissaire à l’information » ;
  12. À la Clause 16e), la t-section i) est remplacée par le texte suivant
    « le secrétaire d’État établit des règlements en vertu de la l’Article 17A de la Loi sur la protection des données de 2018 (Data Protection Act) qui couvrent le transfert de Données à caractère personnel auquel ces clauses s’appliquent » ;
  13. La Clause 17 est remplacée par le texte suivant :
    « Les présentes Clauses sont régies par les lois de l’Angleterre et du Pays de Galles » ;
  14. La Clause 18 est remplacée par le texte suivant :
    « Tout litige découlant des présentes Clauses sera résolu par les tribunaux d’Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de n’importe quel pays du Royaume-Uni. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux » ; et
  15. Les notes de bas de page des CCS approuvées de l’UE ne font pas partie de l’Addendum, à l’exception des notes de bas de page 8, 9, 10 et 11.

Modifications au présent Addendum

16. Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 de l’Addendum sur les CCS de l’UE afin de faire référence au droit et/ou aux juridictions d’Écosse ou d’Irlande du Nord.

17. Si les Parties souhaitent modifier le format des informations figurant dans la Partie 1 : Tableaux de l’Addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que cette modification ne réduise pas les Garanties Appropriées.

18. De temps à autre, l’ICO peut publier un Addendum approuvé révisé qui

  1. a. apporte des modifications raisonnables et proportionnées à l’Addendum approuvé, y compris la correction d’erreurs dans l’Addendum approuvé ; et/ou
  2. b. reflète des changements apportés aux Lois britanniques sur la protection des données ;

L’Addendum approuvé révisé précisera la date à partir de laquelle les modifications apportées à l’Addendum approuvé prennent effet et si les Parties doivent revoir le présent Addendum, y compris les informations figurant à l’Annexe. Le présent Addendum est automatiquement modifié conformément à l’Addendum approuvé révisé à compter de la date d’entrée en vigueur spécifiée.

19. Si l’ICO publie un Addendum approuvé révisé en vertu de l’Article 18, si l’une des Parties sélectionnées dans le Tableau 4 « Fin de l’Addendum en cas de modification de l’Addendum approuvé » subit, comme conséquence directe des modifications apportées à l’Addendum approuvé, une augmentation substantielle, disproportionnée et démontrable:

  1. de ses coûts directs d’exécution de ses obligations au titre de l’Addendum ; et/ou 
  2. du risque qu’il encourt en vertu de l’Addendum,

et que, dans les deux cas, elle a d’abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu’ils ne soient pas substantiels et disproportionnés, cette Partie peut alors mettre fin au présent Addendum à l’issue d’une période de préavis raisonnable, en notifiant par écrit cette période à l’autre Partie avant la date d’entrée en vigueur de l’Addendum approuvé révisé.

20. Les Parties n’ont pas besoin du consentement d’un tiers pour apporter des modifications au présent Addendum. Toutefois, toute modification doit être effectuée conformément aux dispositions du présent Addendum.

Addendum CCPA

Le présent Addendum (« Addendum CCPA ») est conclu à la date indiquée ci-dessous et est incorporé à l’ATD et en fait partie intégrante.

Le présent Addendum CCPA énonce les conditions relatives au respect de la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act of 2018), Cal. Civil Code § 1798.100 et suivants, tel qu’amendé, et les règlements connexes, tels qu’ils peuvent être modifiés de temps à autre (collectivement, le « CCPA »). En cas de conflit entre le présent Addendum CCPA et l’ATD, le présent Addendum CCPA prévaudra.

Les Parties conviennent de ce qui suit :

1. Le présent Addendum CCPA ne s’applique qu’au Prestataire de Services : (a) dans la mesure où le Prestataire de Services est soumis au CCPA en vertu des services qu’il fournit au Client et/ou aux clients du Client ; (b) dans la mesure où le Prestataire de Services collecte des informations à caractère personnel pour le compte du Client et/ou des clients du Client ; ou (c) reçoit des informations à caractère personnel du Client et/ou des clients du Client en vertu de l’Entente (les « Données à caractère personnel »).

2. Tous les termes utilisés dans l’Addendum CCPA, à moins qu’ils ne soient spécifiquement définis dans le présent document, et qui sont définis dans le CCPA ont la même signification que celle qui leur est attribuée dans le CCPA.

3. Le Prestataire de Services certifie qu’il comprend le CCPA et qu’il s’y conformera, y compris, mais sans s’y limiter, en ce qui concerne toutes les Données à caractère personnel que le Prestataire de Services reçoit du Client et/ou par ou au nom des clients du Client dans le cadre de l’Entente, et que le Prestataire de Services a mis en œuvre des procédures et des pratiques de sécurité raisonnables conformes aux exigences du CCPA ou telles qu’exigées par la loi californienne en vigueur.  Le Prestataire de Services affirme qu’il est actuellement conforme au CCPA, ou qu’il le sera au moment où le CCPA s’appliquera au Prestataire de Services, que ce soit le 1er janvier 2023 ou à une autre date.

4. L’entité contractante est un « Prestataire de Services » et non un « Tiers » tel que décrit dans le CCPA.

5. Le Prestataire de Services ne doit pas (a) vendre ou partager les Données à caractère personnel ; (b) collecter, conserver, utiliser ou divulguer les Données à caractère personnel dans un but autre que celui de fournir les services spécifiés dans l’Entente, y compris conserver, utiliser ou divulguer les Données à caractère personnel dans un but commercial autre que celui de fournir les services spécifiés dans l’Entente, sauf dans les cas explicitement prévus par le CCPA ; (c) collecter, conserver, utiliser ou divulguer les Données à caractère personnel en dehors de la relation commerciale directe entre la personne à laquelle se rapportent les Données à caractère personnel et l’entreprise avec laquelle le Client contracte dans le cadre de l’Entente ; (d) collecter, conserver, utiliser, divulguer ou mettre à disposition les Données à caractère personnel à des fins commerciales propres au Prestataire de Services ou d’une manière non conforme au CCPA ; et/ou (e) combiner les Données à caractère personnel que le Prestataire de Services reçoit en vertu de l’Entente avec les Données à caractère personnel que le Prestataire de Services reçoit de ou au nom d’une autre personne ou d’autres personnes, ou que le Prestataire de Services peut collecter dans le cadre de sa propre interaction avec le consommateur sans rapport avec cette Entente.

6. Si le Prestataire de Services, conformément à l’Entente, collecte des Données à caractère personnel directement auprès des consommateurs pour le compte du Client ou des clients du Client, le Prestataire de Services fournira toutes les notifications requises conformes au CCPA au moment de la collecte des Données à caractère personnel.

7. Le Prestataire de Services convient que le Client peut contrôler la conformité du Prestataire de Services au présent Addendum CCPA par des mesures comprenant des évaluations ou des audits réguliers, au maximum une fois tous les douze (12) mois.

8. Nonobstant toute disposition de l’Entente ou de tout autre document, les Parties reconnaissent et conviennent que l’échange de Données à caractère personnel entre les Parties ne fait pas partie et est explicitement exclu de l’échange de contrepartie, ou de toute autre chose de valeur, entre les Parties.

9. Le Prestataire de Services doit fournir une assistance rapide et raisonnable au Client afin de faciliter sa conformité avec toutes les exigences applicables en matière d’audit et d’évaluation des risques liées au CCPA (collectivement, les « Audits »), ainsi qu’avec les demandes des consommateurs en vertu du CCPA.  Cela inclut, sans s’y limiter :

(a) Répondre rapidement aux demandes raisonnables d’informations du Client relatives aux Audits et s’y conformer ; 

(b) Fournir les éléments spécifiques et/ou les catégories de Données à caractère personnel collectées auprès du consommateur demandeur et contribuer à toute obligation de portabilité des données en vertu de ces demandes ;

(c) Supprimer les Données à caractère personnel dont le consommateur demandeur demande la suppression ;

(d) Divulguer les objectifs professionnels ou commerciaux pour lesquels les Données à caractère personnel visées par la demande ont été collectées ;

(e) Divulguer les catégories de sources à partir desquelles les Données à caractère personnel visées par la demande ont été collectées ; 

(f) Divulguer les catégories de tiers avec lesquels les Données à caractère personnel visées par la demande ont été partagées ;

(g) Corriger toute Donnée à caractère personnel inexacte ; et

(h) Limiter l’utilisation des Données à caractère personnel sensibles.

10. Si le Prestataire de Services estime que le CCPA le dispense de devoir fournir l’une des informations demandées par un consommateur, ou de se conformer d’une autre manière à la demande d’un consommateur, le Prestataire de Services fournira rapidement et par écrit au Client le fondement spécifique de la conviction du Prestataire de Services.  Par ailleurs, si le Prestataire de Services estime qu’il est légalement tenu de divulguer des Données à caractère personnel dans un but ou pour une raison sans rapport avec l’objectif spécifique de fournir les services spécifiés dans l’Entente, le Prestataire de Services informera d’abord le Client par écrit de l’obligation légale et lui donnera une possibilité raisonnable de s’opposer ou de contester l’obligation, à moins que la loi n’interdise une telle notification.

11. Dans la mesure où le Prestataire de Services utilise ses propres vendeurs, affiliés, contractants, ou sous-traitants (collectivement dénommés « Sous-traitants ») pour fournir les services spécifiés dans l’Entente, le Prestataire de Services notifiera au Client chacun de ces Sous-traitants et exigera, dans un contrat écrit (ou dans un amendement écrit à toute entente existante), que tous ces Sous-traitants respectent toutes les exigences du CCPA relatives aux fournisseurs de services, et qu’ils aident le Prestataire de Services, le cas échéant, à se Addendum CCPA.

12. Si le Prestataire de Services détermine que le Prestataire de Services et/ou l’un de ses Sous-traitants ne peut plus respecter ses obligations au titre du CCPA, le Prestataire de Services en informera immédiatement le Client et, dès la réception de cette notification, le Client aura le droit de prendre immédiatement toutes les mesures raisonnables et appropriées pour résilier l’Entente; exiger du Prestataire de Services qu’il retourne et/ou détruise immédiatement toutes les Données à caractère personnel échangées en vertu de l’Entente ; et/ou prendre toute autre mesure raisonnable et appropriée pour mettre fin à toute utilisation non autorisée des Données à caractère personnel par le Prestataire de Services et/ou ses Sous-traitants, et y remédier.

13. Si l’une des Parties partage des Informations Dépersonnalisées (telles que définies dans le CCPA) avec l’autre Partie, la Partie destinataire garantit qu’elle : (i) mettra en œuvre des mesures de protection techniques qui interdisent la réidentification du consommateur auquel les informations peuvent se rapporter ; (ii) mettra en œuvre des procédures commerciales qui interdisent spécifiquement la réidentification des informations ; (iii) mettra en œuvre des procédures commerciales pour empêcher la diffusion par inadvertance des Informations Dépersonnalisées ; (iv) ne tentera pas de réidentifier les informations ; et (v) interdira contractuellement aux destinataires des informations en aval de tenter de réidentifier ces informations ou d’effectivement procéder à cette réidentification.

14. Le Prestataire de Services informera le Client immédiatement, et au plus tard dans les trois (3) jours ouvrables, s’il reçoit une plainte, une demande vérifiable d’un consommateur, un avis ou une communication concernant directement ou indirectement le respect du CCPA par l’une ou l’autre Partie, y compris toute demande d’un consommateur concernant des Données à caractère personnel ou d’autres actions relatives au CCPA.

15. Si l’une des Parties transfère à un tiers des Données à caractère personnel en tant qu’actif dans le cadre d’une fusion, d’une acquisition, d’une faillite ou d’une autre transaction dans laquelle le tiers prend le contrôle de tout ou d’une partie de cette Partie à l’Entente, ces informations ne seront utilisées ou partagées qu’en conformité avec la législation applicable, y compris le CCPA.

Retour au sommet

Laissez-nous vous aider à trouver la solution qui répond aux besoins de votre entreprise