Common use of Notification des violations de données à caractère personnel Clause in Contracts

Notification des violations de données à caractère personnel. SPEEDINFO notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen d’échange électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, SPEEDINFO communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins : la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Notification des violations de données à caractère personnel. SPEEDINFO Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 48 heures après en avoir pris connaissance et à l’adresse de courrier électronique indiquée par le moyen d’échange électroniqueresponsable de traitement dans le contrat et/ou à l’adresse de courrier électronique indiquée dans son espace client. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; • la description des conséquences probables de la violation de données à caractère personnel ; • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, SPEEDINFO le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins : • la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; • le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; • la description des conséquences probables de la violation de données à caractère personnel ; • la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relative à la protection des données. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle. Ces prestations d’assistance seront indemnisées par le responsable de traitement au coût horaire applicable en vigueur (taux horaire actuel de 125 € HT), compte-tenu de la nécessité de mobiliser des ressources techniques et humaines pour l’exécution de ces prestations.

Notification des violations de données à caractère personnel. SPEEDINFO XXXXXXX notifie au responsable de traitement traitement, toute violation des DCP dans les plus brefs délais et au moyen d’un email signé. Par exception à ce qui précède, si TEHTRIS ne peut pas fournir toutes les informations dont il dispose en même temps, les informations peuvent être communiquées de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen d’échange électroniquemanière échelonnée sans retard indu. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 soixante-douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiquesconcernées. D’une manière générale, il appartient au responsable de traitement de communiquer directement aux personnes concernées la violation des Données à caractère personnel, lorsqu’elle est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. TEHTRIS s’engage à procéder à toute investigation utile sur les manquements aux règles de protection ci-dessus visées et/ou sur toute menace afin de remédier auxdits manquements et/ou menaces et éviter qu’ils se reproduisent à l’avenir. La notification contient documentation utile sera fournie au moins responsable de traitement au moyen d’un rapport écrit par TEHTRIS composé de : - La nature des manquements constatés aux règles de protection des DCP telles qu’elles sont définies au Contrat ; - La description des actions correctives prises ou que TEHTRIS propose de la nature de la violation de données à caractère personnel y comprisprendre pour remédier aux manquements constatés, si possibleou le cas échéant, les catégories et le nombre approximatif de personnes concernées par la violation et mesures pour en atténuer les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés éventuelles conséquences négatives ; le - Le nom et les coordonnées du délégué Délégué à la protection des données ou d'un d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description TEHTRIS est conscient que tout manquement aux règles de protection des conséquences probables de la violation de données à caractère personnel ; la description DCP peut imposer des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du obligations au responsable de traitement, SPEEDINFO communique, au nom et pour le compte du responsable traitement notamment de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins : la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de notification aux personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négativesainsi qu’aux autorités.

Notification des violations de données à caractère personnel. SPEEDINFO Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel telle que définie à l’article 4.12 du Règlement général sur la protection des données dans un délai maximum de 72 48 heures après en avoir pris connaissance et par le moyen d’échange électroniqueconnaissance. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; les éléments temporels (jour et heure) de survenue et de prise de connaissance de la violation de données à caractère personnel ; le nom et les coordonnées du délégué à la protection des données du sous-traitant ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que envisagées/proposées par le responsable du traitement propose de prendre sous-traitant pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, SPEEDINFO le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée ou les personnes concernées dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée ou les personnes concernées décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins : la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données du promoteur ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Aide du sous-traitant dans le cadre du respect par le responsable de traitement de ses obligations Le sous-traitant aide le responsable de traitement pour la réalisation d’analyses d’impact relatives à la protection des données (droits des personnes, sécurité du traitement, notification de violation, etc.), proportionnellement aux moyens dont il dispose. Le sous-traitant aide le responsable de traitement pour la réalisation de la consultation préalable de l’autorité de contrôle, le cas échéant.

Notification des violations de données à caractère personnel. SPEEDINFO Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 24 heures après en avoir pris connaissance et par le moyen d’échange électroniquecourrier électronique à l’adresse renseignée pour l’accès aux services. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO le sous-traitant notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte du responsable de traitement, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La  la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;  le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;  la description des conséquences probables de la violation de données à caractère personnel ;  la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, SPEEDINFO le sous-traitant communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins :  la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;  le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;  la description des conséquences probables de la violation de données à caractère personnel ;  la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Notification des violations de données à caractère personnel. SPEEDINFO notifie au responsable Le Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par le moyen d’échange électronique. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord du responsable de traitement, SPEEDINFO notifie à l’autorité de contrôle compétente (la CNIL), au en son nom et pour le compte du responsable de traitementson compte, les violations de données Données à caractère personnel dans les meilleurs délais et, si possible, 72 soixante-douze (72) heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La - la description de la nature de la violation de données Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données Données à caractère personnel concernés ; - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; - la description des conséquences probables de la violation de données Données à caractère personnel ; - la description des mesures prises ou que le responsable Responsable du traitement propose de prendre pour remédier à la violation de données Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable Le Responsable de traitement, SPEEDINFO traitement communique, au en son nom et pour le son compte du responsable de traitement, la violation de données Données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La Le cas échéant, la communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données Données à caractère personnel et contient au moins : - la description de la nature de la violation de données Données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; - la description des conséquences probables de la violation de données Données à caractère personnel ; - la description des mesures prises ou que le responsable Responsable du traitement propose de prendre pour remédier à la violation de données Données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Notification des violations de données à caractère personnel. SPEEDINFO Le sous-traitant notifie au DPO Groupe ou DPO référent du responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 72 24 heures après en avoir pris connaissance et par le moyen d’échange électroniqueemail. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. Après accord Le sous-traitant met en place et maintient pendant toute la durée du Contrat, et obtient de chacun de ses sous-traitants qu’ils mettent en place et maintiennent pendant toute la durée du Contrat, un processus et des procédures de gestion des incidents de sécurité (y compris notamment des violations de données à caractère personnel) et de gestion de la continuité des prestations conformes aux standards de l’industrie. Le sous-traitant (i) communique au responsable de traitement le nom et les coordonnées de l’un de ses employés qui intervient comme principal interlocuteur du responsable de traitement en matière de sécurité et est disponible en cas de besoin 24h/24 et 7J/7 pour prendre en charge tout incident de sécurité. Toute demande du responsable de traitement relative à la sécurité doit être traitée avec diligence et de manière prioritaire par le sous-traitant. Sans limitation des autres droits et recours du responsable de traitement, SPEEDINFO notifie à l’autorité en cas d’incident de contrôle compétente (la CNIL), au nom et pour le compte du responsable sécurité ou de traitement, les violations violation de données à caractère personnel dans les meilleurs délais etavéré(e) ou présumé(e), si possible, 72 heures le sous- traitant en avisera le responsable de traitement sans délai et au plus tard dans les 24 heures après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La notification contient au moins : La description survenance de la nature l’incident de sécurité ou de la violation de données à caractère personnel y compris, si possiblepersonnel. Immédiatement après ladite notification, les catégories Parties coordonneront leurs actions afin d’enquêter sur l’incident de sécurité concerné. Le sous-traitant s’engage à coopérer pleinement, à ses frais, avec le responsable de traitement afin de l’aider à gérer la situation, notamment, sans que cela ne soit limitatif : (i) en l’aidant pour toute enquête ; (ii) en fournissant au responsable de traitement ou au tiers indépendant désigné par le responsable de traitement un accès physique aux installations et opérations concernées ; (iii) en organisant des entretiens avec les employés du responsable de traitement et toutes autres personnes appropriées ; et (iv) en fournissant tous les registres, journaux, dossiers, communications de données et autres documents pertinents nécessaires pour se conformer aux lois, réglementations et standards de l’industrie ou tels que requis par le nombre approximatif responsable de traitement. Le sous-traitant fournira également toute l’aide raisonnable nécessaire au responsable de traitement en cas de notification que ce dernier pourrait être contraint ou pourrait choisir de faire relativement à une violation de données à caractère personnel. Le sous-traitant s’engage à ne pas informer les tiers, y compris les personnes concernées par la concernées, de toute violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; sans avoir obtenu le nom consentement préalable et écrit du responsable de traitement, sauf dans les coordonnées du délégué à cas prévus par le règlement européen sur la protection des données ou d'un autre point données. Par ailleurs, le sous-traitant reconnait que le responsable de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de traitement est seul habilité à déterminer : (i) si la violation de données à caractère personnel doit ou non être notifiée à toute personne, autorité de régulation, autorité administrative ou à toute autre personne en vertu du règlement européen sur la protection des données ; et (ii) le contenu de ladite notification. Lorsque règlement européen sur la description protection des données exige du responsable de traitement qu’il notifie la violation de données à caractère personnel aux personnes concernées, il est entendu que le sous-traitant supporte l’ensemble des coûts associés à ladite notification. Le sous-traitant prend les mesures appropriées, à ses frais, pour atténuer les conséquences de tout incident de sécurité et y remédier, et apporte toutes les modifications jugées nécessaires afin d’éviter que pareil Incident ne se reproduise. Le sous-traitant aide, à ses frais, le responsable de traitement à restaurer les données du responsable de traitement en cas de perte de données occasionnée par tout manquement à ses obligations au titre du Contrat. Le sous-traitant coopère et fournit au responsable de traitement l’assistance nécessaire s’agissant de toute plainte formulée par une personne concernée ou de toute enquête ou requête émanant d’une autorité de régulation en vertu du règlement européen sur la protection des données ou de toute autre réglementation applicable. Le sous-traitant remboursera au responsable de traitement les coûts réellement encourus par celui-ci afin d’apporter une réponse à tout incident de sécurité et d’atténuer les dommages occasionnés par celui-ci, y compris, entre autres, le coût des enquêtes, des notifications et/ou des mesures prises ou que correctives. Lorsque le règlement européen sur la protection des données impose au responsable du de traitement propose de prendre pour remédier à la notifier une violation de données à caractère personnel, y compris, le sous-traitant prend en charge les frais liés à cette notification. Il est de convention expresse entre les Parties qu’en cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. Après accord du responsable de traitement, SPEEDINFO communique, au nom et pour le compte du responsable de traitement, la violation de données à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique. La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins : la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ; la description des conséquences probables de la violation de données à caractère personnel ; la description des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, les dommages suivants sont considérés comme directs : (i) les frais raisonnables et nécessaires d’enquête et de remédiation ; (ii) les couts raisonnables et nécessaires de notification lorsqu’un telle notification est requise par la réglementation applicable et (ii) les pénalités, dommages et intérêts, montants payés au titre de transaction, remboursements, compensation, et autres coûts liés au respect d’obligations résultant d’un jugement, d’une transaction ou de la réglementation applicable (les « Pertes ») dans la mesure où ces Pertes sont dues à un manquement du sous-traitant à ses obligations contractuelles. Le sous-traitant tient, et met à la disposition du responsable de traitement, un registre des incidents de sécurité y compris, le cas échéantcompris notamment des violations de données à caractère personnel et documente toute information pertinente concernant les circonstances de ces incidents et violations, les dommages et les mesures pour en atténuer correctives prises afin d’atténuer leurs effets, ainsi que les éventuelles conséquences négativesactions et mesures prises afin d’éviter toute répétition de pareils incidents ou violations.