CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL POUR LES SERVICES DE OCLC
CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL POUR LES SERVICES DE OCLC
PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES
La présente convention de traitement des données à caractère personnel (" CTD ") est conclue entre OCLC AG (" OCLC " ou " Sous-traitant ") et " Client " ou " Responsable du traitement " (conjointement " les Parties ") à la date de la dernière signature ci-dessous. | This Data Processing Agreement (“DPA”) is entered into between OCLC AG (“OCLC” or “Processor”) and “Customer” or “Controller” (jointly “the Parties”) as of the date of last signature below. |
Client
Nom de l'organisation | |
Adresse postale | |
Téléphone/Fax | |
Personne de contact pour notifications |
Le Client conclut la présente CTD en son nom et, dans la mesure requise par les lois et réglementations applicables en matière de protection des données à caractère personnel, au nom et pour le compte de ses Sociétés Affiliées Autorisées, si et dans la mesure où OCLC traite des Données à caractère personnel pour lesquelles ces Sociétés Affiliées Autorisées sont qualifiés en tant que Responsables du traitement. OCLC conclut la présente CTD en son nom et au nom et pour le compte de celles Sociétés Affiliées d’OCLC qui traitent des Données à caractère personnel. Aux fins de la présente CTD uniquement, et sauf indication contraire, le terme : (i) "Client" ou "Responsable du traitement" comprend le Client et les Sociétés Affiliées Autorisées; et (ii) "OCLC" ou "Sous-Traitant" comprend OCLC ou la Société Affiliée d’OCLC concernée qui entreprend le traitement des Données à caractère personnel concernées. Dans le cadre de la fourniture des Services Couverts au Client conformément à la convention de prestation de services existante entre les parties (la " Convention de prestation de services "), OCLC peut traiter des Données à | Customer enters into this DPA on behalf of itself and, to the extent required under applicable Data Protection Laws and Regulations, in the name and on behalf of its Authorised Affiliates, if and to the extent OCLC processes Personal Data for which such Authorised Affiliates qualify as the Controller. OCLC enters into this DPA on behalf of itself and in the name and on behalf of those OCLC Affiliates that process Personal Data. For the purposes of this DPA only, and except where indicated otherwise, the term; (i) “Customer” or “Controller” shall include Customer and Authorised Affiliates; and (ii) “OCLC” or “Processor” shall mean OCLC or the relevant OCLC Affiliate that is undertaking the processing of the Personal Data concerned. In the course of providing the Covered Services to Customer pursuant to the existing services agreement between the parties (the “Services Agreement”), OCLC may Process Personal Data on behalf of Customer, and the Parties agree to comply with the following provisions with respect to any Personal Data, each acting reasonably and in good faith. |
caractère personnel au nom du Client, et les Parties conviennent de respecter les dispositions suivantes concernant les Données à caractère personnel, chacune agissant raisonnablement et de bonne foi. Pour toute question sur cette CTD, veuillez contacter votre contact OCLC ou envoyer un courriel à XX_xxxxxxx@XXXX.xxx | To ask questions about this DPA, please contact your OCLC contact or email XX_xxxxxxx@XXXX.xxx. |
CONDITIONS DE LA CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL | DATA PROCESSING AGREEMENT TERMS |
L'objet du traitement des données en vertu de la présente CTD sont les Données à caractère personnel, telles que définies à l'annexe 1, et le but et la nature du traitement des données en vertu de la présente CTD est la fourniture des Services Couverts initiés par le Client en vertu de la Convention de prestation de services. En conséquence, la durée du traitement des données en vertu de la présente CTD sera déterminée par la Convention de prestation de services du Client pour ces Services Couverts. La présente CTD prendra fin ou expirera à la même date que celle à laquelle la Convention de prestation de services prend fin ou expire, sauf que la présente CTD continuera à s'appliquer au traitement qui est envisagé après la résiliation ou l'expiration de la Convention de prestation de services (comme la mise à disposition des Données à caractère personnel au Client pendant une période limitée avant la suppression), et toute prolongation de la Convention de prestation de services prolongera également la durée de cette CTD. | The subject matter of the data processing under this DPA is Personal Data, as defined in Appendix 1, and the purpose and nature of the data processing under this DPA is the provision of the Covered Services initiated by Customer under the Services Agreement. Accordingly, the duration of the data processing under this DPA shall be determined by Customer’s Services Agreement for such Covered Services. This DPA shall terminate or expire on the same date that the Services Agreement terminates or expires, except that this DPA shall continue with respect to Processing that is contemplated to occur after the termination or expiration of the Services Agreement (such as making Personal Data available to Customer for a limited time period prior to deletion), and any extension of the Services Agreement shall also extend the term of this DPA. |
Aux fins du Règlement Général sur la Protection des Données à caractère personnel et des Lois Suisses relatives à la Protection des Données (telles que définies ci-dessous), pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en dehors de l'Espace Economique Européen (" EEE ") et la Suisse qui ne sont pas reconnus par la Commission Européenne ou le Préposé Fédéral à la Protection des Données et à la Transparence (selon le cas) comme assurant un niveau adéquat de protection des données à caractère personnel (" Destinataire dans un Pays Tiers "), les entités du Client qui transfèrent des Données à caractère personnel en dehors de l'EEE ou la Suisse et celles d'OCLC qui sont Destinataires dans un Pays Tiers acceptent que les clauses contractuelles types de protection des données (les " Clauses ") par les présentes, liées ici et incorporées dans la présente CTD par référence (complétées dans le paragraphe suivant), s’appliquent à de tels transferts afin d'offrir des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel visées à l'annexe 1. | For the purposes of the General Data Protection Regulation and Swiss Data Protection Laws (as defined below), for the transfer of personal data to processors established in third countries outside the European Economic Area ("EEA") and Switzerland that are not recognized by the European Commission or the Swiss Federal Protection and Information Commissioner (as applicable) as ensuring an adequate level of data protection for personal data ("Third Country Recipient"), those entities of Customer who are transferring Personal Data outside of the EEA or Switzerland and those entities of OCLC who are Third Country Recipients hereby agree that the Standard Contractual Clauses (the “Clauses”), linked here and incorporated into this DPA by reference (as supplemented in the next paragraph below), shall apply to such transfers in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1. |
Par souci de clarté, les Clauses s'appliquent au Client et à chacune de ses Sociétés Affiliées Autorisées qui, aux fins des Clauses, agissent chacun en tant qu'" exportateur de données ", et chacune des Sociétés Affiliées d’OCLC (et OCLC, si OCLC est ou devient Destinataire dans un Pays Tiers) peut agir en tant qu'" importateur de données " aux fins des Clauses aux termes de la présente CTD. Le Client reconnaît que le Sous-Traitant établi dans l'EEE, la Suisse ou le Royaume-Uni peut utiliser ses Sociétés Affiliées qui sont des Destinataires dans un Pays Tiers, et en ce qui concerne un tel transfert de Données à caractère personnel à de tels Destinataires dans un Pays Tiers, ce transfert sera couvert par les Clauses et considéré comme une exportation directe par le Client à un Destinataire dans un Pays Tiers. Tous les termes pertinents des annexes 1 et 2, ci-jointes, sont par les présentes incorporés dans les Clauses convenues par les parties (en tant qu'annexes 1 et 2 des Clauses, respectivement). Dans les clauses 9 et 11(3) des Clauses, le droit applicable est le droit du pays d'établissement du Client. Aucune disposition de la présente CTD ou de la Convention de prestation de services n'est destinée par les parties à être interprétée comme prévalant sur les Clauses. | For the sake of clarity, the Clauses apply to Customer and each of its Authorised Affiliates who, for the purposes of the Clauses, each act as ‘data exporter’, and each OCLC Affiliate (and OCLC, if OCLC is or becomes a Third Country Recipient) as each, for the purposes of the Clauses may act as ‘data importer’ under this DPA. Customer acknowledges that Processor established in the EEA, Switzerland or UK may utilize its Affiliates who are Third Country Recipients, and with respect to any such transfer of Personal Data to such Third Country Recipients, such transfer shall be covered by the Clauses and deemed a direct export by Customer to the Third Country Recipient. All relevant terms from Appendices 1 and 2, attached hereto, are hereby incorporated into the Clauses agreed to by the parties (as Appendices 1 and 2 of the Clauses, respectively). In clauses 9 and 11(3) of the Clauses, the governing law is the laws of the country of Customer’s establishment. Nothing in this DPA or in the Services Agreement is intended by the parties to be construed as prevailing over the Clauses. |
1. DÉFINITIONS | DEFINITIONS |
1.1. "Société Affiliée Autorisée " désigne les Sociétés Affiliées du Client qui (a) sont soumises aux lois et réglementations en matière de protection des données de l'UE, de l'EEE et/ou de leurs États membres, de la Suisse et/ou du Royaume-Uni ; (b) sont autorisées à utiliser les Services Couverts conformément à la Convention de prestation de services entre le Client et OCLC ; et (c) n'ont pas signé leur propre convention de prestation de services avec OCLC. | “Authorised Affiliate” means Customer's Affiliates that (a) are subject to the data protection laws and regulations of the EU, the EEA and/or their member states, Switzerland and/or the United Kingdom; (b) are permitted to use the Covered Services pursuant to the Services Agreement between Customer and OCLC; and (c) have not signed their own Services Agreement with OCLC. |
1.2. "Société Affiliée " désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une partie. Aux fins de la présente définition, le terme " contrôle " désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité visée. | “Affiliate” means any entity that directly or indirectly controls, is controlled by or is under common control with a party. “Control,” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity. |
1.3. "Services Couverts " désigne les services OCLC qui sont commandés par le Client auprès d'OCLC et qui impliquent le Traitement de Données à caractère personnel pour le compte du Client, comme stipulé dans la Convention de prestation de services applicable. | “Covered Services” means the OCLC services that are ordered by the Customer from OCLC involving the Processing of Personal Data on behalf of the Customer, as set forth in the applicable Services Agreement. |
1.4. "Lois et réglementations relatives à la protection des données " désigne toutes les | “Data Protection Laws and Regulations” means all applicable laws that govern the use of data |
lois applicables qui régissent l'utilisation des données relatives aux personnes concernées, y compris le Règlement Général sur la Protection des Données de l'Union européenne (" UE "), tel que modifié ou remplacé de temps à autre, et toute autre loi étrangère ou nationale dans la mesure où elle est applicable à une partie dans le cadre de l'exécution de la Convention de prestation de services. | relating to Data Subjects, including the European Union (“EU”) General Data Protection Regulation (“GDPR”), as amended or replaced from time to time, and any other foreign or domestic laws to the extent that they are applicable to a party in the course of the performance of the Services Agreement. |
1.5. "Données à caractère personnel " désigne toutes les données à caractère personnel, telles que définies dans le RGPD, qui sont fournies par le Client ou en son nom et traitées par le Sous-Traitant conformément à la Convention de prestation de services. Un aperçu des catégories de Données à caractère personnel et des finalités pour lesquelles les Données à caractère personnel sont traitées est fourni à l'annexe 1. | “Personal Data” means any personal data, as defined in the GDPR, which is provided by or on behalf of Customer and Processed by the Processor pursuant to the Services Agreement. An overview of the categories of Personal Data and purposes for which the Personal Data are being Processed is provided in Appendix 1. |
1.6. "Régulateur" désigne toute autorité de contrôle habilitée en vertu des Lois et réglementations relatives à la protection des données à fournir ou à recevoir les Services Couverts ou le Traitement des données à caractère personnel, en tout ou en partie. | “Regulator” means any supervisory authority with authority under Data Protection Laws and Regulations over all or any part of the provision or receipt of the Covered Services or the Processing of Personal Data. |
1.7. "Données sensibles " désigne les catégories particulières de Données à caractère personnel décrites à l'article 9 du RGPD et les Données à caractère personnel relatives aux condamnations pénales et aux infractions décrites à l'article 10 du RGPD. | “Sensitive Data” means the special categories of Personal Data as described in Article 9 of the GDPR, and Personal Data relating to criminal convictions and offences as described in Article 10 of the GDPR. |
1.8. "Clause Contractuelles Types" désigne les clauses contractuelles types de la Commission européenne pour le transfert de Données à caractère personnel de l’Union européenne vers des sous-traitants établis dans des pays tiers (transferts entre le responsable du traitement et le sous-traitant), telles qu’énoncées à l’Annexe de la Décision 2010/87/UE de la Commission. | “Standard Contractual Clauses” means European Commission’s Standard Contractual Clauses for the transfer of Personal Data from the European Union to processors established in third countries (controller-to-processor transfers), as set out in the Annex to Commission Decision 2010/87/EU. |
1.9. "Sous-Traitant Ultérieur " désigne tout sous-traitant ultérieur de données engagé pour traiter des Données à caractère personnel pour le compte d'OCLC et/ou de ses Sociétés Affiliées. Pour éviter tout doute, les installations du centre de données de colocation d'OCLC ne sont pas considérées comme des sous-traitants ultérieurs en vertu de la présente CTD. | “Subprocessor” means any data Processor engaged to Process Personal Data on behalf of OCLC and/or its Affiliates. For the avoidance of doubt, OCLC’s colocation data centre facilities are not considered Subprocessors under this DPA. |
1.10. "Lois Suisses relatives à la Protection des Données" désigne toutes les lois applicables relatives à la protection des données et à la vie privée, en vigueur de temps en temps en Suisse, y compris la Loi Fédérale sur la | “Swiss Data Protection Laws” means all applicable data protection and privacy laws in force from time to time in Switzerland, including the Swiss Federal Data Protection Xxx 0000, as amended or replaced from time to time. |
Protection des Données de 1992, telle que modifiée ou remplacée de temps à autre. | |
1.11. Des termes tels que "personne concernée", "atteinte à la protection des données à caractère personnel", "traitement", "responsable du traitement", "responsable du traitement", "sous-traitant" et "autorité de contrôle" ont le sens qui leur est attribué dans les lois et règlements relatifs à la protection des données. | Terms such as “Data Subject”, “Personal Data Breach”, “Processing”, “Controller”, “Processor” and “Supervisory Authority” shall have the meaning ascribed to them in the Data Protection Laws and Regulations. |
2. CONVENTION DE PRESTATION DE SERVICES | SERVICES AGREEMENT |
2.1. La présente CTD est complète et intégrée à la Convention de prestation de services et, en cas de conflit entre les modalités de la présente CTD et celles de la Convention de prestation de services, les modalités de la présente CTD prévalent et la régissent, mais seulement en ce qui concerne l'objet de la présente CTD. | This DPA supplements and is incorporated into the Services Agreement, and in the event of any conflict between the terms of this DPA and the terms of the Services Agreement, the terms of this DPA shall prevail and control, but only with respect to the subject matter of this DPA. |
3. OBLIGATIONS DU CLIENT | OBLIGATIONS OF THE CUSTOMER |
3.1. Instructions. La présente CTD et la Convention de prestation de services constituent les instructions complètes et définitives du Client, au moment de la signature de la CTD, à OCLC pour le traitement des Données à caractère personnel. Les parties doivent convenir mutuellement par écrit de toute directive supplémentaire ou de toute autre directive, à moins que la loi ne l'exige. Le Client garantit que les instructions qu'il fournit à OCLC en vertu de la présente CTD sont conformes aux Lois et règlements sur la protection des données. | Instructions. This DPA and the Services Agreement are Customer’s complete and final instructions, at the time of signature of the DPA, to OCLC for the Processing of Personal Data. Any additional or alternate instructions must be agreed upon mutually by the Parties in writing, unless such instructions are required by law. Customer warrants that the instructions it provides to OCLC pursuant to this DPA comply with Data Protection Laws and Regulations. |
3.2. Demandes de la personne concernée et de l'autorité de contrôle. Le Client est responsable des communications et des efforts qu'il déploie pour se conformer à toutes les demandes faites par les Personnes Concernées en vertu des Lois et règlements relatifs à la protection des données et à toutes les communications de tout Régulateur qui ont trait aux Données à caractère personnel, conformément aux Lois et règlements relatifs à la protection des données. | Data Subject and Supervisory Authority Requests. Customer shall be responsible for communications and leading any efforts to comply with all requests made by Data Subjects under Data Protection Laws and Regulations and all communications from any Regulator(s) that relate to the Personal Data, in accordance with Data Protection Laws and Regulations. |
3.3. Avis, consentement et autres Autorisations. Le Client est responsable de l'exactitude, de la qualité et de la légalité des Données à caractère personnel et des moyens par lesquels le Client a acquis les Données à caractère personnel qu'il fournit à OCLC pour traitement en vertu de la Convention de prestation de services. Le Client est | Notice, Consent, and Other Authorisations. Customer is responsible for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired the Personal Data that it provides to OCLC for Processing under the Services Agreement. Customer is responsible for providing any notice to the Data Subjects and for obtaining and demonstrating evidence that it has |
responsable de fournir tout avis aux Personnes Concernées et d'obtenir et de démontrer la preuve qu'il a obtenu tous les consentements, autorisations et permissions nécessaires des Personnes Concernées d'une manière valide pour qu'OCLC puisse fournir les Services Couverts. Le Client fournira à OCLC les preuves qu'OCLC peut raisonnablement demander si OCLC a besoin de ces informations pour se conformer aux Lois sur la protection des données ou à la demande d'un Régulateur. Le Client comprend que les champs personnalisés et autres champs de texte libre dans le logiciel fourni dans le cadre des Services Couverts (tels que les champs "notes") ne sont pas conçus pour le Traitement des Données Sensibles et garantit qu'il n'entrera pas de Données Sensibles dans ces champs ou autrement en utilisant les Services Couverts. | obtained any necessary consents, authorisations, and permissions from the Data Subjects in a valid manner for OCLC to perform the Covered Services. Customer will provide OCLC with such evidence of this as OCLC may reasonably request if OCLC needs this information to comply with Data Protection Laws or the request of any Regulator. Customer understands that custom fields and other free text fields in the software provided as a part of the Covered Services (such as “notes” fields) are not designed for the Processing of Sensitive Data and warrants that it will not enter Sensitive Data in such fields or otherwise when using the Covered Services. |
4. OBLIGATIONS DU SOUS-TRAITANT | OBLIGATIONS OF THE PROCESSOR |
4.1. Étendue du Traitement. OCLC traitera les Données à caractère personnel selon les instructions documentées données par le Client conformément à la présente CTD, y compris en ce qui concerne les transferts de Données à caractère personnel vers un pays tiers ou une organisation internationale, et de la manière nécessaire à la fourniture de Services Couverts en vertu de la Convention de prestation de services, sauf si cela est nécessaire pour satisfaire à une obligation légale à laquelle OCLC est soumise. OCLC informera le Client si, à son avis, l'exécution d'une instruction relative au Traitement des Données à caractère personnel pourrait enfreindre les lois et règlements en matière de protection des données. Dans le cas où OCLC doit traiter des Données à caractère personnel dans le but de se conformer à une obligation légale, OCLC informera le Client de cette obligation légale avant le Traitement, sauf si la notification est interdite par la loi. | Scope of Processing. OCLC will Process the Personal Data on documented instructions from Customer given in accordance with this DPA, including with regard to transfers of Personal Data to a third country or an international organisation, and in such manner as is necessary for the provision of Covered Services under the Services Agreement, except as required to comply with a legal obligation to which OCLC is subject. OCLC shall inform Customer if, in its opinion, the execution of an instruction relating to the Processing of Personal Data could infringe on any Data Protection Laws and Regulations. In the event that OCLC must Process Personal Data for the purpose of complying with a legal obligation, OCLC will inform the Customer of that legal requirement before Processing, unless notification is prohibited by the law. |
4.2. Demandes des Personnes Concernées. Compte tenu de la nature du traitement, OCLC a mis en place des mesures techniques et organisationnelles appropriées pour aider le Client à remplir son obligation de répondre aux demandes d'exercice des droits de la Personne Concernée énoncés au chapitre III du RGPD, y compris les processus de réception et de réponse aux demandes des Personnes Concernées. En particulier, si OCLC reçoit une demande d'une Personne Concernée faite dans le cadre du RGPD et | Data Subject Requests. Taking into account the nature of the processing, OCLC has established appropriate technical and organizational measures to assist Customer in its fulfillment of its obligation to respond to requests for exercising the data subject rights laid down in Chapter III of the GDPR, including processes for receiving and responding to requests from Data Subjects. In particular, if OCLC receives a request from a Data Subject made under the GDPR and determines that OCLC is not the controller and that the controller is Customer, OCLC will assist Customer by |
détermine qu'OCLC n'est pas le responsable du traitement et que le responsable est le Client, OCLC aidera le Client en référant la Personne Concernée au Client comme l'entité à qui une demande doit être faite (spécifiquement ou généralement). À la demande du Client, et à condition que le Client ne soit pas en mesure de répondre à une demande par le biais de la fonctionnalité des Services Couverts eux-mêmes ou autrement, OCLC fournira une assistance supplémentaire raisonnable (en tenant compte de la nature du traitement) au Client pour l'aider à remplir ses obligations liées aux droits de la Personne Concernée conformément au Chapitre III de RGPD. | referring the Data Subject to Customer (either specifically or generally) as the entity to whom a request should be made. At Customer’s request, and provided that Customer is unable to fulfill a request through functionality of the Covered Services themselves or otherwise, OCLC will provide additional, reasonable assistance (taking into account the nature of the processing) to Customer to assist Customer in fulfilling its obligations related to Data Subject rights under Chapter III of GDPR. |
4.3. Demandes des Régulateurs. En ce qui concerne son rôle de sous-traitant du Client, OCLC fournira une assistance raisonnable au Client pour adresser toute communication et tout conseil ou ordre d'un Régulateur concernant les Données à caractère personnel. | Regulator Requests. With respect to its role as a processor of Customer, OCLC will provide reasonable assistance to Customer to address any communications and advice or orders from any Regulator relating to the Personal Data. |
4.4. Rétention. OCLC conservera les Données à caractère personnel aussi longtemps que le Client le jugera nécessaire aux fins autorisées, telles que déterminées par les options de configuration mises à disposition par OCLC et sélectionnées par le Client pour les Services Couverts de temps à autre, ou tel que requis par les lois applicables. À la résiliation de la Convention de Prestation de Services, OCLC détruira ou retournera, au choix du Client, les Données à caractère personnel au Client, à moins que les obligations légales n'obligent OCLC à conserver les Données à caractère personnel, conformément aux procédures alors en vigueur d'OCLC pour la destruction ou le retour des Données à caractère personnel. | Retention. OCLC will retain Personal Data only for as long as Customer deems it necessary for the permitted purpose as determined by configuration options made available by OCLC and selected by Customer for Covered Services from time to time, or as required by applicable laws. At the termination of the Services Agreement, OCLC will either, at the choice of Customer, destroy or return the Personal Data to Customer, unless legal obligations require OCLC to retain Personal Data, in accordance with OCLC’s then-existing procedures for the destruction or return of Personal Data. |
4.5. Divulgation à des tiers. OCLC ne divulguera pas les Données à caractère personnel à des tiers, sauf dans les cas autorisés par la présente CTD ou la Convention de prestation de services ou selon les instructions du Client ou comme prévu par les Services Couverts (comme la mise à disposition de Données à caractère personnel limitées à une autre bibliothèque pour faciliter une demande de prêt entre bibliothèques), sauf si OCLC est tenue de divulguer les Données à caractère personnel par les lois applicables, auquel cas OCLC devra (dans la mesure autorisée par la loi) informer le Client par écrit et contacter le Client avant de répondre à cette demande. Ce qui précède ne s'applique pas aux Données à Caractère Personnel figurant dans la | Disclosure to Third Parties. OCLC will not disclose the Personal Data to third parties except as permitted by this DPA or the Services Agreement or as otherwise directed by Customer or as contemplated by the Covered Services (such as making limited Personal Data available to another library to facilitate an inter-library loan request), unless OCLC is required to disclose the Personal Data by applicable laws, in which case OCLC shall (to the extent permitted by law) notify Customer in writing and liaise with Customer before complying with such disclosure request. The foregoing shall not apply to Personal Data reflected in Customer’s holdings (such as the names of authors). |
collection du Client (tels que les noms des auteurs). | |
4.6. Confidentialité. OCLC traitera toutes les Données à caractère personnel comme strictement confidentielles et informera tous ses employés, agents et Sous-Traitants Ultérieurs agréés engagés dans le Traitement des Données à caractère personnel de la nature confidentielle de ces informations. OCLC s'assurera que le personnel autorisé à traiter les Données à caractère personnel est soumis à des obligations de confidentialité appropriées. | Confidentiality. OCLC will treat all Personal Data as strictly confidential and will inform all of its employees, agents, and approved Subprocessors engaged in Processing the Personal Data, of the confidential nature of such information. OCLC will ensure that personnel authorised to Process the Personal Data are subject to appropriate confidentiality obligations. |
4.7. Sécurité. OCLC mettra en œuvre et maintiendra des mesures de protection administratives, physiques, techniques et organisationnelles pour la sécurité, la confidentialité et l'intégrité des Données à caractère personnel telles que détaillées à l'Annexe 2 (y compris des protections contre la perte accidentelle ou illégale, la destruction, l'altération, les dommages, la divulgation non autorisée des Données à caractère personnel transmises, enregistrées ou autrement traitées, ou l'accès à ces dernières). OCLC disposera d'une procédure d'essai, d'inspection, d'évaluation et de contrôle réguliers de l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement. | Security. OCLC will implement and maintain administrative, physical, technical and organisational safeguards for the security, confidentiality and integrity of Personal Data as detailed in Appendix 2 (including protections against accidental or unlawful loss, destruction, alteration, damage, unauthorised disclosure of, or access to, Personal Data transmitted, stored or otherwise Processed). OCLC will have a procedure for the regular testing, inspection, assessment and evaluation of the effectiveness of the technical and organisational measures in order to ensure the security of the processing. |
4.8. Articles 32-36 du RGPD. Compte tenu de la nature du Traitement et des informations dont OCLC dispose, OCLC fournira une assistance raisonnable au Client pour lui permettre de se conformer à ses obligations en vertu des articles 32-36 du RGDP (inclus) (qui traitent des obligations relatives à la sécurité, aux notifications de violation, aux analyses d'impact relatives à la protection des données et aux consultations préalables). | GDPR Articles 32-36. Taking into account the nature of the Processing and the information available to OCLC, OCLC will provide reasonable assistance to Customer in complying with its obligations under GDPR Articles 32-36 (inclusive) (which address obligations with regard to security, breach notifications, data protection impact assessments, and prior consultation). |
5. VÉRIFICATION | AUDIT |
5.1. Processus. Le Sous-Traitant fournira au Client, sur demande, toute(s) certification(s) tierce(s) existante(s) pertinente(s) à la conformité du Sous-Traitant à ses obligations en vertu de la présente CTD (par exemple, la certification ISO). Dans la mesure où de telles certifications de tiers ou d'autres informations fournies par le Sous-Traitant sont jugées inadéquates par le Client pour démontrer la conformité à l'article 28, le Client peut faire inspecter les politiques et les dossiers du Sous- Traitant relatifs au traitement des Données à caractère personnel par le Sous-Traitant par un tiers indépendant et digne de confiance (l’ " Auditeur ") afin d'assurer la conformité du | Process. Processor will provide to Customer, upon request, any then-existing, third-party certification(s) pertinent to Processor’s compliance with its obligations under this DPA (for example, ISO certification). To the extent that such third-party certifications or other information provided by Processor are deemed inadequate by Customer to demonstrate compliance to Article 28, Customer may have a reputable, independent third party or auditor with expertise in data security (the "Auditor") inspect Processor’s policies and records relating to the Processing of Personal Data by Processor to ensure Processor's compliance with Article 28 of the GDPR, provided |
Sous-Traitant à l'article 28 du RGPD, à condition que cet Auditeur soit raisonnablement acceptable pour le Sous- Traitant. | that such Auditor is reasonably acceptable to Processor. |
5.2. Calendrier et coûts. Le Client doit fournir au Sous-Traitant un préavis écrit d'au moins un (1) mois avant tout audit. Avant le début d'une vérification, les Parties conviendront d'un délai, d'une durée, d'un lieu, d'une méthode et de conditions raisonnables pour l’audit. Le Client assume les frais de tout audit demandé en vertu du présent article 5. Sauf exigence contraire d'un Régulateur (ou si l'audit révèle une violation importante de la présente CTD), un seul audit par période de 12 mois peut être entrepris. | Timing and Costs. Customer will provide Processor with at least one (1) month’s written notice of any audit. Prior to the start of an audit, the Parties will agree to reasonable time, duration, place, manner, and conditions for the audit. Customer shall bear the cost of any audit requested pursuant to this Section 5. Unless otherwise required by a Regulator (or if the audit reveals a material breach of this DPA), no more than one audit may be undertaken in any 12-month period. |
5.3. Divulgation. Avant un tel audit, l’Auditeur doit signer une convention de non-divulgation qui lui sera fournie par le Sous-Traitant. Les résultats de l’audit et tous les renseignements examinés au cours de cet audit seront considérés comme des renseignements confidentiels du Sous-Traitant et seront protégés par l’Auditeur conformément aux modalités de la convention de non-divulgation devant être signée entre l’Auditeur et le Sous- Traitant. Nonobstant toute autre condition, l'Auditeur ne peut divulguer au Client que les violations spécifiques de l'article 28, le cas échéant, et le fondement de ces constatations conformément aux termes de la présente CTD et ne peut divulguer aucun des dossiers ou informations examinés pendant l’audit. | Disclosure. Prior to any such inspection, the Auditor must sign a non-disclosure agreement which shall be provided to Auditor by Processor. The results of the inspection and all information reviewed during such inspection will be deemed Processor’s confidential information and shall be protected by Auditor in accordance with the terms of the non-disclosure agreement to be executed between Auditor and Processor. Notwithstanding any other terms, the Auditor may only disclose to Customer specific violations of Article 28, if any, and the basis for such findings in accordance with the terms of this DPA and shall not disclose any of the records or information reviewed during the inspection. |
6. LA PASSATION DE CONTRATS AVEC DES SOUS-TRAITANTS ULTERIEURS | CONTRACTING WITH SUBPROCESSORS |
6.1. Consentement du Client. Le Client consent, en son propre nom et au nom de ses Sociétés Affiliés Autorisées, à l'utilisation de Sous- Traitants Ultérieurs pour le Traitement des Données à caractère personnel dans le cadre de la Convention de prestation de Services. Une liste des Sous-Traitants Ultérieurs se trouve ici et peut être révisée de temps à autre. Si le Client a des motifs raisonnables de s'opposer à l'utilisation d'un nouveau Sous- Traitant Ultérieur, il doit en aviser le Sous- Traitant par écrit dans les quinze (15) jours suivant l'affichage d'un avis de nouveau Sous- Traitant Ultérieur. Si le Client s'y oppose raisonnablement conformément à la présente clause, OCLC fera des efforts commercialement raisonnables pour mettre à la disposition du Client une modification des Services Couverts concernés ou | Customer Consent. Customer consents, on its own behalf and on behalf of its Authorised Affiliates, to the use of Subprocessors for the Processing of Personal Data in relation to the Services Agreement. A listing of Subprocessors is found here and may be revised from time to time. If Customer has a reasonable basis to object to the use of a new Subprocessor, Customer will notify Processor promptly in writing within fifteen (15) days after the posting of a New Subprocessor Notice. If Customer reasonably objects in accordance with this clause, OCLC will use commercially reasonable efforts to make available to Customer a change in the affected Covered Services or recommend a commercially reasonable change to Customer's configuration or use of the affected Covered Services to avoid processing of Personal Data by the objected-to new Subprocessor without unreasonably burdening Customer. If |
recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des Services Couverts concernés par le Client pour éviter le traitement des Données à caractère personnel par le nouveau Sous-Traitant Ultérieur auquel il s'oppose sans imposer un fardeau déraisonnable au Client. Si OCLC n'est pas en mesure de rendre disponible un tel changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le Client peut résilier la Convention de prestation de services et la présente CTD et les Clauses en fournissant un avis écrit au Transformateur. En cas de résiliation de la Convention de prestation de services conformément à la présente section, OCLC remboursera la partie proportionnelle des frais pour le reste de la période d'abonnement annuel après la date de résiliation de la Convention de prestation de services. | OCLC is unable to make available such a change within a reasonable period of time, which will not exceed thirty (30) days, Customer may terminate the Services Agreement and this DPA and the Clauses by providing written notice to Processor. Upon termination of the Services Agreement pursuant to this Section, OCLC will refund the pro rata portion of the fees for the remainder of the annual subscription period after the termination date of the Services Agreement. |
6.2. Responsabilité. Le sous-traitant doit s'assurer que le Sous-Traitant Ultérieur est lié par contrat écrit ou autre acte juridique aux mêmes obligations de protection des données que le sous-traitant en vertu de la présente CTD et des Lois et règlements sur la protection des données. Le Sous-Traitant sera responsable des actes et omissions de ses Sous-Traitants Ultérieurs dans la même mesure que s'il fournissait les services de chacun de ces Sous-Traitants Ultérieurs directement aux termes de la présente CTD. | Liability. Processor shall ensure that the Subprocessor is bound by written contract or other legal act to the same data protection obligations of Processor under this DPA and the Data Protection Laws and Regulations. Processor will be liable for the acts and omissions of its Subprocessors to the same extent Processor would be liable if performing the services of each of those Subprocessors directly under the terms of this DPA. |
7. OBLIGATIONS D'INFORMATION ET GESTION D’INCIDENTS | INFORMATION OBLIGATIONS AND INCIDENT MANAGEMENT |
7.1. Notification. OCLC maintient les politiques et procédures de gestion d’incidents de sécurité spécifiées à l'Annexe 2, et informera le Client sans délai injustifié dès qu'OCLC aura connaissance d'une violation des Données à caractère personnel impliquant OCLC ou ses Sous-Traitants Ultérieurs applicables qui a un impact sur les Données à caractère personnel fournies à OCLC conformément à la présente CTD. Une telle notification peut être effectuée par tout moyen qu'OCLC aura établi pour une telle notification, y compris la notification par courrier électronique. Les notifications d'indisponibilité des Services Couverts peuvent être effectuées en fonction de l'état du système OCLC. | Notification. OCLC maintains security incident management policies and procedures specified in Appendix 2, and shall notify Customer without undue delay after OCLC becomes aware of a Personal Data Breach involving OCLC or its applicable Subprocessors that impacts Personal Data provided to OCLC pursuant to this DPA. Such notification may be by any means OCLC has established for such notification, including notification by email. Notifications of Covered Services unavailability may be by OCLC’s System Status. |
7.2. Coordination. Les Parties conviennent de coordonner de bonne foi l'élaboration du contenu de toute déclaration publique connexe | Coordination. The Parties agree to coordinate in good faith on developing the content of any related public statements and any required notices to the |
et de tout avis requis aux Personnes Concernées et/ou au(x) Régulateur(s) concerné(s) dans le cadre d'une violation des Données à caractère personnel impliquant OCLC ou ses Sous-Traitants Ultérieurs concernés, étant entendu que rien dans cette section ne peut empêcher une partie de respecter ses obligations en vertu des Lois et réglementations sur la protection des données. | affected data subjects and/or the relevant Regulator(s) in connection with a Personal Data Breach involving OCLC or its applicable Subprocessors, provided that nothing in this section shall prevent either party from complying with its obligations under Data Protection Laws and Regulations. |
8. DIVERS | MISCELLANEOUS |
8.1. Responsabilité et Indemnisation. Toute réclamation présentée en vertu de la présente CTD sera assujettie aux mêmes modalités et conditions, y compris les exclusions et les limitations de responsabilité, que celles qui sont énoncées dans la Convention de prestation de services. Afin d’éviter tout doute, toute limitation de responsabilité appliquée de la Convention de prestation de services s’applique à l’ensemble de toutes les entités d’OCLC, même si de telles entités ne sont pas mentionnées spécifiquement dans la Convention de prestation de services. | Liability and Indemnity. Any claims brought under this DPA will be subject to the same terms and conditions, including the exclusions and limitations of liability, as are set out in the Services Agreement. For avoidance of doubt, any such limitation of liability applied from the Services Agreement shall apply in the aggregate to all OCLC entities taken together, even if such entities are not referred to specifically in the Services Agreement. |
8.2. Règlement informel des différends. En cas de litige entre le Client et OCLC, ce litige sera soumis aux personnes responsables des questions de protection des données à caractère personnel pour chaque organisation, qui s'efforceront de le résoudre dans les trente (30) jours. | Informal Dispute Resolution. In the event of a dispute between Customer and OCLC, such dispute shall be referred to the individuals responsible for data protection issues for each organization, who shall endeavour to resolve the dispute within thirty (30) days. |
8.3. Obligations post-résiliation. La résiliation ou l'expiration de la présente CTD ne libère aucune des Parties de ses obligations qui sont censées survivre à la résiliation ou à l'expiration de la présente CTD. | Obligations Post-Termination. Termination or expiration of this DPA shall not discharge either Party from its obligations meant to survive the termination or expiration of this DPA. |
8.4. Modifications des Lois et règlements en matière de protection des données. Les parties conviennent de négocier des modifications à la présente CTD si des changements sont nécessaires pour continuer à se conformer aux Lois et règlements relatifs à la protection des données ou à l'interprétation juridique des Lois et règlements relatifs à la protection des données, y compris, mais sans s'y limiter, (a) remplacer les clauses contractuelles types de protection si elles sont invalidées, ou (b) si des changements au statut de membre d'un pays dans l'Union européenne ou l'Espace Economique Européen exigent une modification. | Changes in Data Protection Laws and Regulations. The Parties agree to negotiate modifications to this DPA if changes are required to continue to comply with the Data Protection Laws and Regulations or the legal interpretation of the Data Protection Laws and Regulations, including but not limited to (a) replace the Standard Contractual Clauses if they are invalidated, or (b) if changes to the membership status of a country in the European Union or the European Economic Area require such modification. |
8.5. Divisibilité. Si une disposition de la présente CTD est jugée invalide ou inapplicable par un tribunal compétent, l'invalidité ou l'inapplicabilité de cette disposition n'aura | Severability. If any provisions of this DPA shall be found by any court of competent jurisdiction to be invalid or unenforceable, the invalidity or unenforceability of such provision shall not affect |
aucune incidence sur les autres dispositions de la présente CTD. Les parties tenteront de convenir d'une disposition valide et exécutoire qui constitue un substitut raisonnable et incorporeront cette disposition de remplacement dans la présente CTD. | the other provisions of this DPA. The Parties will attempt to agree upon a valid and enforceable provision that is a reasonable substitute and shall incorporate such substitute provision into this DPA. |
Les signataires autorisés des parties ont dûment signé la présente convention au nom de la partie et, le cas échéant, de leurs Sociétés Affiliées. | The parties’ authorized signatories have duly executed this DPA on behalf of the party and, where relevant, their Affiliates. |
Signature | Signature |
Nom en caractères d'imprimerie Printed Name | Nom en caractères d'imprimerie Printed Name Xxxxxxxx Xxxxxxxxx |
Titre Title | Titre Title Chair of the Board |
Date | Date October 21, 2019 |
Client OCLC AG
ANNEXE 1
EXPORTATEUR DE DONNÉES L'exportateur de données est le Client. | DATA EXPORTER The data exporter is Customer. |
IMPORTATEUR DE DONNÉES L'importateur de données est OCLC, Inc. ou sa Société Affiliée qui est un Destinataire dans un Pays Tiers. | DATA IMPORTER The data importer is OCLC, Inc. or its Affiliate who is a Third Country Recipient. |
CATÉGORIES DE PERSONNES CONCERNÉES Les catégories seront déterminées par le Client et peuvent inclure, sans limitation, les utilisateurs, le personnel, le corps enseignant, les étudiants, les administrateurs, les employés, les visiteurs et les anciens élèves du Client, et les personnes dont les Données à caractère personnel sont reprises dans la collection du Client (tels que les noms d’auteurs). | CATEGORIES OF DATA SUBJECT The categories shall be determined by the Customer and may include, without limitation, patrons, staff, faculty, students, administrators, employees, visitors and alumni of Customer, and data subjects whose personal data are reflected in Customer’s holdings (such as the names of authors). |
TYPE DE DONNÉES À CARACTÈRE PERSONNEL Les types de Données à caractère personnel doivent être compatibles avec la fourniture des Services Couverts et peuvent inclure, mais sans s'y limiter : • Noms • Titres des postes • Coordonnées (y compris adresses physiques, numéros de téléphone et de télécopieur, adresses électroniques, etc.) • Identificateurs uniques, qu'ils soient attribués par le Client ou le Sous-Traitant (p. ex. numéros d'identification et codes à barres des utilisateurs, numéros d'identification des employés, etc.) • Noms d'utilisateur et mots de passe • Caractéristiques personnelles (p. ex. date de naissance, sexe, département, type d’utilisateur, etc.) • Photographies (via URL) • Informations relatives à l'utilisation par le personnel • Activités de recherche • Informations générales d'utilisation, y compris les données de connexion • Renseignements sur le fournisseur | TYPE OF PERSONAL DATA Types of Personal Data shall be consistent with the provision of the Covered Services and may include, but is not limited to: • Names • Job titles • Contact information (including physical addresses, telephone number(s), fax number(s), email address(es), etc.) • Unique identifiers, whether assigned by Customer or Processor (e.g., patron ID numbers and barcodes, employee ID numbers, etc.) • Usernames and passwords • Personal attributes (e.g., dates of birth, gender, department, patron type, etc.) • Photographs (via URL) • Staff-related usage information • Research activity • General usage information, including connection data • Supplier/vendor information |
CATÉGORIES PARTICULIÈRES DE DONNÉES Les Données à caractère personnel transférées ne comprendront pas de catégories particulières de données. | SPECIAL CATEGORIES OF DATA The personal data transferred will not include special categories of data. |
OPÉRATIONS DE TRAITEMENT Les Données à caractère personnel seront traitées dans le but de fournir les Services Couverts décrits dans la Convention de prestation de services, facilitant ainsi l'administration, le fonctionnement, la maintenance et l'utilisation de la bibliothèque du Client et l'accès à ses ressources. Cela | PROCESSING OPERATIONS Personal Data will be processed for the purpose of providing the Covered Services described in the Service Agreement, thus facilitating the administration, operations, maintenance, and patron use of the Customer library and access to its resources. This includes, without limitation, the following processing activities: |
comprend, sans s'y limiter, les activités de traitement suivantes : • Stockage, récupération, utilisation, modification et suppression des Données à caractère personnel nécessaires à la fourniture des Services Couverts ; • Copie et stockage des Données à caractère personnel pour le développement, les tests, la sauvegarde, la reprise après sinistre, les services Sandbox et d'autres fins non productives ; • Envoi des communications relatives aux Services Couverts aux utilisateurs finaux ; • Fournir des rapports au Client ; • Modifier, supprimer, copier ou transférer des Données à caractère personnel si nécessaire pour répondre aux demandes des Personnes Concernées individuelles ; • Enregistrer l'activité de l'utilisateur sur le système à des fins de dépannage, d'audit et à d'autres fins ; • Traitement nécessaire pour dépanner, déboguer et améliorer les Services Couverts ; • Traitement nécessaire pour fournir des services de soutien au Client et à ses employés ; • Patcher, mettre à jour, dépanner, administrer, configurer et autrement maintenir les systèmes de technologie de l'information et les bases de données utilisées pour fournir les Services Couverts; • Surveiller l'exécution des Services Couverts et dépanner et remédier à toute cause d'indisponibilité ou d'inaccessibilité des Services Couverts ; • Surveillance de la sécurité, prise en charge de la détection d'intrusion sur réseau, tests d'intrusion et autres contrôles et tests similaires ; • Assistance à la sauvegarde et à la restauration des Services Couverts • Traitement nécessaire pour satisfaire aux obligations légales, telles que le respect d'une ordonnance valide d'un tribunal et les exigences de conservation des dossiers imposées par la loi ; • Tout autre traitement légal et convenu nécessaire à l'exécution des instructions écrites du Client. | • Storing, retrieving, using, modifying, and deleting Personal Data as necessary to provide the Covered Services; • Copying and storing Personal Data for development, testing, backup, disaster recovery, sandbox services, and other non-production purposes; • Sending communications related to the Covered Services to end users; • Providing reports to Customer; • Modifying, deleting, copying, or transferring Personal Data as necessary to meet the requests of individual Data Subjects; • Logging user activity on the system for troubleshooting, auditing, and other purposes; • Processing that is necessary to troubleshoot, debug, and improve the Covered Services; • Processing necessary to provide customer support services to Customer and its employees; • Patching, upgrading, troubleshooting, administering, configuring, and otherwise maintaining information technology systems and databases used to provide the Services; • Monitoring the performance of the Covered Services and troubleshooting and remediating any causes of downtime or inaccessibility of the Covered Services; • Security monitoring, network-based intrusion detection support, penetration testing, and other similar monitoring and testing; • Assistance with backup and restoration of the Covered Services • Processing that is necessary to meet legal obligations, such as compliance with a valid court order, and record retention requirements that are imposed by law; • Any other lawful and agreed upon processing necessary to carry out the written instructions of Customer. |
DURÉE DU TRAITEMENT La durée du traitement sera la durée de la convention de prestation de services et une période raisonnable et limitée suivant l'expiration ou toute autre résiliation. | DURATION OF THE PROCESSING The duration of the processing shall be the term of the Services Agreement and a reasonable and limited period of time following expiration or other termination. |
ANNEXE 2
Les mesures de sécurité techniques et organisationnelles d'OCLC peuvent être consultées ici. Les mesures de sécurité peuvent être mises à jour de temps à autre ; toutefois, les changements n'entraîneront aucune réduction du niveau de protection offert. | OCLC’s Technical and Organizational Security Measures can be found here. Security measures may be updated from time-to-time; however, changes will not result in any reduction in the level of protection provided. |