Cybersécurité et Addenda relatif à la protection des données (ACD) de PTC.

Cybersécurité et Addenda relatif à la protection des données (ACD) de PTC.

Le présent ACD fait partie du Contrat entre le Client et PTC (tel que défini dans le Contrat). Le Client conclut le présent ACD en son nom et, dans la mesure où la Loi applicable l’exige, au nom et pour le compte de ses sociétés affiliées. Aux fins du présent ACD uniquement, sauf indication contraire, le terme « Client » inclut le Client et ses sociétés affiliées. Tous les termes commençant par une majuscule qui ne sont pas définis dans le présent ACD ont la signification qui leur est donnée dans le Contrat.

1. Objectif et champ d’application

Les parties conviennent que le présent ACD s’applique à tous les Traitements des Données relatives au Client, y compris les Informations personnelles, entrepris par PTC pour le compte du Client et qu’il s’ajoute aux conditions du Contrat. En cas de conflit entre les conditions du Contrat et le présent ACD, les conditions de l’ACD prévaudront.

2. Interprétation

2.1. Contrat désigne tout accord entre PTC et le Client aux conditions desquelles PTC fournit des Services au Client, y compris, mais sans s’y limiter, les Conditions générales du service Cloud/SaaS de PTC ; le Contrat client de PTC (Contrat de licence) ; le Contrat de services global.

2.2. Loi applicable désigne le RGPD, le RGPD britannique, la CCPA, le LGDP et toute autre loi ou réglementation concernant le traitement des Informations personnelles et/ou la protection du droit à la vie privée d’un individu ou le traitement des données à caractère personnel.

2.3. CCPA désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) (telle que modifiée par la loi californienne sur les droits à la vie privée de 2020) [Code civ. de Code 1798.100, et seq.] et toute réglementation ou orientation connexe fournie par le procureur général de Californie.

2.4. Responsable du traitement désigne l’entité qui détermine l’objet et les moyens du Traitement des Informations personnelles.

2.5. Données relatives au Client désigne les données et informations électroniques soumises par le Client aux Services, à l’exclusion des Applications non-PTC, ou autrement traitées par PTC pour le compte du Client, à l’exclusion des Données relatives au compte Client et des Données d’utilisation du Client.

2.6. Données relatives au compte Client désigne les données à caractère personnel relatives à la relation du Client avec PTC, y compris les noms ou les coordonnées des personnes (telles que l’adresse électronique, le numéro de téléphone, le titre), autorisées par PTC à accéder au compte du Client et les informations de facturation (y compris l’adresse de facturation) que le Client a associées à son compte. Les Données relatives au compte Client comprennent également toutes les données que PTC peut avoir besoin de collecter aux fins de la gestion de sa relation avec le Client, de la vérification de l’identité, ou tel qu’autrement requis par les lois et réglementations applicables.

2.7. Données d’utilisation du Client désigne les données relatives à l’utilisation des Services collectées et traitées par la Société dans le cadre de la fourniture des Services, y compris, mais sans s’y limiter, l’activité des utilisateurs en relation avec les types de Services que le Client et ses utilisateurs utilisent, la configuration des ordinateurs des utilisateurs et les mesures de performance liées à leur utilisation des Services, les données utilisées pour identifier la source et la destination d’une communication, les journaux d’activité et les données utilisées pour optimiser et maintenir la performance des Services, et pour enquêter et prévenir les abus du système.

2.8. Violation des données désigne un incident qui a entraîné une atteinte à la sécurité, à la confidentialité, à la disponibilité ou à l’intégrité des Données relatives au Client, entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès illégal aux Données relatives au Client.

2.9. RGPD désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et les mises en œuvre spécifiques aux pays du règlement.

2.10. Individu désigne une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant ou à d’autres informations relatives à cette personne physique.

2.11. LGPD désigne la loi n° 13.709 du 14 août 2018, loi générale sur la protection des données à caractère personnel (telle que modifiée par la loi n° 13.853 du 8 juillet 2019) du Brésil.

2.12. Informations personnelles désigne toute information comprise dans les Données relatives au Client se rapportant ou étant liée ou pouvant raisonnablement être associée, directement ou indirectement, à un Individu particulier.

2.13. Traitement désigne toute opération ou ensemble d’opérations effectuées ou non à l’aide de moyens automatisés sur les Données relatives au Client, telles que l’accès, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l’effacement ou la destruction.

2.14. Services désigne tout Service défini dans le Contrat.

2.15. Clauses contractuelles types désigne la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, et les modifications approuvées applicables pour couvrir le transfert de données à caractère personnel depuis la Suisse.

2.16. Addendum du Royaume-Uni désigne l’Addendum international sur le transfert de données aux Clauses contractuelles types de la Commission européenne publié par le Commissaire à l’information du Royaume- Uni, version B1.0, en vigueur le 21 mars 2022.

2.17. RGPD britannique désigne le RGPD tel qu’enregistré dans le droit britannique en vertu de l’article 3 de la loi de 2018 sur l’Union européenne (retrait) du Royaume-Uni.

Le présent ACD ne doit pas être interprété de manière à aller à l’encontre des droits et obligations prévus par la Loi applicable ou de manière à porter atteinte aux droits ou libertés fondamentaux des personnes.

3. Limitation de la finalité

PTC traitera les Données relatives au Client uniquement dans la mesure où cela est nécessaire à la fourniture des Services et comme indiqué dans le Contrat et le présent ACD. PTC (i) ne vendra pas les Données relatives au Client ; (ii) ne conservera pas, n’utilisera pas ou ne divulguera pas les Données relatives au Client à des fins commerciales autres que la fourniture des Services ou comme décrit dans le présent ACD ; et (iii) ne conservera pas, n’utilisera pas ou ne divulguera pas les Données relatives au Client en dehors du Contrat. PTC ne possédera ni ne fera valoir aucun privilège, charge ou autre intérêt à l’égard de toute Donnée relative au Client (et ne permettra à aucun tiers de le faire).

4. Durée du traitement

Le traitement des Données relatives au Client par PTC n’a lieu que pour la durée du Contrat (y compris le présent ACD).

5. Sécurité du traitement

5.1 PTC a mis en place et maintiendra pendant la durée du Contrat les mesures techniques et organisationnelles spécifiées à l’Annexe II pour assurer la sécurité des Données relatives aux Clients et les protéger contre une Violation des données. L’évaluation du niveau approprié de sécurité tient compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du Traitement ainsi que des risques encourus.

5.2 PTC n’accordera l’accès aux Données relatives aux Clients aux membres de son personnel et à ses sous-traitants que dans la mesure strictement nécessaire à la fourniture des Services. PTC s’assure que les personnes autorisées à traiter les Données relatives aux Clients se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. PTC formera régulièrement le personnel ayant accès aux Données relatives aux Clients aux mesures applicables en matière de cybersécurité et de protection des données.

5.3 Sans préjudice de tout arrangement contractuel existant entre les Parties, PTC traitera toutes les Données relatives aux Clients comme strictement confidentielles et informera tous ses employés, agents et/ou sous-traitants agréés engagés dans le traitement des Données relatives aux Clients de leur nature confidentielle.

6. Audit

6.1 PTC fait régulièrement l’objet d’audits par des auditeurs tiers indépendants et/ou des auditeurs internes pour vérifier l’adéquation de ses mesures techniques et organisationnelles en matière de cybersécurité et de

protection des données à caractère personnel. Sur demande, PTC (i) fournira une copie résumée de son ou ses rapports d’audit au Client ; et (ii) fournira des réponses écrites à toutes les demandes raisonnables d’informations faites par le Client concernant son Traitement des Données relatives aux Clients, y compris les réponses aux questionnaires de sécurité des informations et d’audit, qui sont nécessaires pour confirmer la conformité de PTC avec le présent ACD et la Loi applicable, à condition que le Client n’exerce pas ce droit plus d’une fois par année civile. Lorsque PTC a obtenu des certifications ISO 27001 et des rapports SSAE 18 Service Organization Control (SOC) 2 pour un Service particulier tel que décrit dans la Documentation, PTC s’engage à maintenir ces certifications ou normes, ou leurs successeurs appropriés et comparables, pendant la durée du Contrat.

6.2 Lorsque la Loi applicable l’exige et uniquement dans la mesure où, de l’avis raisonnable du Client, la conformité au présent ACD et à la Loi applicable n’a pas été démontrée par l’exercice de ses droits en vertu de la Section 6.1 ci-dessus, le Client et ses représentants autorisés peuvent effectuer des audits, y compris des inspections, pendant la durée du Contrat afin d’établir la conformité de PTC aux conditions du présent ACD, tout audit (ou inspection) de ce type devant être effectué pendant les heures de bureau habituelles de PTC, moyennant un préavis raisonnable. PTC et le Client conviennent de la portée de l’audit, y compris le calendrier et la durée, de l’audit et du taux de remboursement dont le Client est responsable. Tous les taux de remboursement doivent être raisonnables, compte tenu des ressources dépensées par PTC ou en son nom.

6.3 La présente Section 6 est soumise à la signature par le Client et ses contrôleurs indépendants, le cas échéant, d’un accord de non-divulgation afin de protéger la confidentialité de toutes les informations divulguées et mises à disposition dans le cadre de la démonstration du respect du présent ACD et de la Loi applicable.

7. Notification de la violation des données

7.1 PTC a mis en place des contrôles et des politiques conçus pour détecter et répondre rapidement aux incidents qui peuvent constituer une Violation des données. PTC définira rapidement des voies d’escalade pour enquêter sur de tels incidents afin de confirmer si une violation de données s’est effectivement produite, et de prendre des mesures raisonnables conçues pour identifier la ou les causes profondes de la Violation de données, atténuer tout effet négatif possible et empêcher une récurrence. En cas de Violation des données et compte tenu de la nature du Traitement et des informations disponibles, PTC coopérera avec le Client et l’aidera à se conformer à ses obligations en vertu de la Loi applicable.

7.2 En cas de Violation des données, PTC notifiera le Client sans retard excessif et, en tout état de cause, dans les 72 heures suivant la prise de connaissance par PTC de la Violation des données. Dans la mesure du possible, ladite notification indiquera, au minimum :

(a) « Ce qui s’est passé », une description de la nature de la Violation des données, la date et l’heure auxquelles elle a été identifiée pour la première fois, et ses conséquences probables dans la mesure où elles sont connues ;

(b) « Quelles informations ont été impliquées », si possible, la nature des Données relatives aux Clients affectées, les catégories et le nombre approximatif d’Individus et d’enregistrements de données concernés lorsqu’ils sont connus ;

(c) « Ce que nous faisons », les mesures prises ou proposées pour faire face à la Violation des données, y compris pour atténuer ses éventuels effets négatifs ;

(d) « Ce que vous pouvez faire », à savoir les mesures que PTC recommande au Client de prendre pour atténuer l’effet de la Violation des données ;

(e) « Pour de plus amples informations », les coordonnées d’un point de contact où de plus amples informations concernant la Violation des données peuvent être obtenues.

7.3 Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes ces informations en même temps, des informations supplémentaires seront fournies, dès qu’elles seront disponibles, sans retard excessif.

7.4 À moins que la Loi applicable ne l’exige, PTC ne notifiera pas à une personne ou à un tiers autre que les forces de l’ordre, les enquêteurs judiciaires, les fournisseurs d’assurance ou les conseillers juridiques le nom ou l’identité du Client en association avec toute Violation des données sans avoir préalablement consulté et obtenu le consentement écrit du Client, qui ne sera pas refusé sans raison valable. Dans la mesure où la Violation des données affecte d’autres clients de PTC, une déclaration publique générale peut être faite tant que l’identité du Client n’est pas divulguée.

8. Traitement des Informations personnelles

8.1 Les parties conviennent expressément que le traitement des Informations personnelles n’est pas en soi

l’objet des Services. Toutefois, les parties reconnaissent qu’il ne peut être totalement exclu que PTC puisse recevoir des Informations personnelles dans une certaine mesure. Les conditions du présent ACD régissent ainsi le traitement des Informations personnelles effectué par PTC pour le compte du Client, du fait de la divulgation de ces Informations personnelles. En ce qui concerne les Informations personnelles, le Client est responsable (i) de la vérification de la base juridique du Traitement, (ii) de l’assurance que les individus reçoivent tous les avis de confidentialité applicables et (iii) de l’obtention de tous les consentements requis par la Loi applicable. Le Client doit prendre des mesures raisonnables pour s’assurer que les Informations personnelles ne comprennent pas d’informations sensibles telles que des données relatives à la santé, des identifiants émis par le gouvernement, des informations sur les cartes de crédit ou de paiement, ou des données de catégorie spéciale telles que définies par la Loi applicable. Les détails des opérations de Traitement, notamment les catégories d’Informations personnelles et les finalités du Traitement pour lesquelles les Informations personnelles sont traitées pour le compte du Client, sont précisés à l’Annexe I.

8.2 PTC ne traitera les Informations personnelles que sur instructions documentées du Client. Le Contrat (y compris le présent ACD) constitue de telles instructions documentées initiales. PTC s’efforcera raisonnablement de suivre toutes les autres instructions du Client, pour autant qu’elles soient requises par la Loi applicable, techniquement réalisables et ne nécessitent pas de modifications de l’exécution des Services. Si l’une des exceptions susmentionnées s’applique, ou si PTC ne peut pas se conformer à une instruction ou est d’avis qu’une instruction enfreint la Loi applicable, PTC en informera immédiatement le Client (par courrier électronique autorisé).

8.3 PTC peut également traiter les Informations personnelles lorsque la Loi applicable l’exige. Dans ce cas, PTC informera le Client de cette exigence légale avant le traitement, à moins que cette loi ne l’interdise pour des raisons importantes d’intérêt public.

8.4 Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Informations personnelles et de la manière dont il les a acquises. Il incombe donc au Client de s’assurer que les Informations personnelles sont collectées et transmises à PTC conformément aux Lois applicables, notamment de disposer d’une base légale pour le Traitement et d’informer correctement les Individus de la collecte et du traitement de leurs Informations personnelles.

9. Utilisation de sous-traitants ultérieurs

9.1 PTC a l’autorisation générale du Client pour l’engagement de sous-traitants ultérieurs pour traiter les Informations personnelles lorsque cela est strictement nécessaire pour l’exécution des Services. Le Client approuve les sous-traitants ultérieurs indiqués à l’adresse suivante xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxx- agreements/data-processing-terms-and-conditions. PTC informera le Client, par écrit, de toute modification prévue de ladite liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins 30 jours à l’avance, donnant ainsi au Client suffisamment de temps pour pouvoir s’opposer à ces modifications avant l’engagement du ou des sous-traitants ultérieurs concernés. PTC fournira au Client les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

9.2 Lorsque PTC fait appel à un sous-traitant ultérieur, elle le fera par le biais d’un contrat qui impose au sous- traitant ultérieur, en substance, les mêmes obligations en matière de traitement et de cybersécurité que les obligations de PTC en vertu du présent ACD.

9.3 PTC reste entièrement responsable vis-à-vis du Client de l’exécution des obligations du sous-traitant ultérieur conformément au présent ACD.

10. Transferts internationaux d’Informations personnelles

10.1 En tant que société internationale, PTC peut avoir besoin de traiter des Informations personnelles en dehors du pays où se trouvent le Client ou les Individus. Tous ces transferts d’Informations personnelles doivent être conformes à la Loi applicable, et PTC doit s’assurer que des garanties appropriées sont maintenues, que les droits des Individus sont exécutoires et que des recours juridiques efficaces sont disponibles.

10.2 Informations personnelles de l’EEE et de la Suisse : Les parties conviennent que dans la mesure où le Client transfère des Informations personnelles hors de l’EEE ou de la Suisse à PTC, soit directement, soit par le biais

d’un transfert ultérieur, vers tout pays ou destinataire en dehors de l’EEE ou de la Suisse qui n’est pas reconnu par la Commission européenne (ou, dans le cas de transferts à partir de la Suisse, par l’autorité compétente applicable) comme assurant un niveau de protection adéquat des données à caractère personnel, les Clauses contractuelles types s’appliqueront à de tels transferts. Pour les transferts d’Informations personnelles à partir de l’EEE qui sont soumis aux Clauses contractuelles types de l’UE, celles-ci seront réputées conclues (et incorporées au présent ACD par cette référence) et réalisées conformément à l’Xxxxxx XXX.

10.3 Lorsque les Règles d’entreprise contraignantes : Politique relative aux sous-traitants de PTC s’appliquent, toutes ses dispositions seront intégrées au présent ACD par référence et seront contraignantes et applicables par le Client comme si elles étaient énoncées dans le présent ACD dans leur intégralité. En cas de conflit ou d’incohérence entre le présent ACD et les Règles d’entreprise contraignantes : Politique relative aux sous- traitants, les Règles d’entreprise contraignantes : Politique relative aux sous-traitants prévaudra.

Ordre de préséance. Lorsque plus d’un mécanisme de transfert s’applique entre le Client et PTC, le transfert des Informations personnelles sera soumis à un seul mécanisme de transfert conformément à l’ordre de préséance suivant : (i) les Règles d’entreprise contraignantes : Politique relative aux sous-traitants, et (ii) les Clauses contractuelles types.

10.4 Addendum du Royaume-Uni. Les parties conviennent que dans la mesure où le Client transfère des Informations personnelles hors du Royaume-Uni à PTC, soit directement, soit par transfert ultérieur, vers tout pays ou destinataire en dehors du Royaume-Uni qui n’est pas reconnu par l’autorité réglementaire ou l’organisme gouvernemental britannique compétent du Royaume-Uni comme assurant un niveau adéquat de protection des données à caractère personnel, l’Addendum du Royaume-Uni s’appliquera à ces transferts et sera réputé conclu (et intégré au présent ACD par cette référence) et exécuté conformément à l’Xxxxxx XXX.

10.5 Autres transferts internationaux : Lorsque PTC est susceptible de traiter des Informations personnelles pour le compte d’un Client établi dans un pays non membre de l’EEE, en Suisse ou au Royaume-Uni, PTC s’assure que le transfert s’effectue conformément à la Loi applicable. Cela comprend le transfert des Informations personnelles à un destinataire qui a établi des règles d’entreprise contraignantes conformément à la Loi applicable, ou à un destinataire qui a exécuté des clauses contractuelles types telles qu’adoptées ou approuvées par l’autorité de protection des données applicable.

11. Assistance au Client en matière d’obligations de protection des données

11.1 PTC informera rapidement le Client de toute demande qu’elle a reçue d’un Individu pour exercer ses droits en vertu de la Loi applicable. Elle ne répondra pas elle-même à cette demande, sauf si le Client l’y autorise.

11.2 En tenant compte de la nature du Traitement et des informations dont elle dispose, PTC aidera (a) le Client à remplir ses obligations de répondre aux demandes d’un Individu pour exercer ses droits, et (b) le Client à respecter les obligations suivantes en vertu de la Loi applicable ;

(a) l’obligation de procéder à une évaluation des risques concernant le Traitement des Informations personnelles, et/ou à une évaluation de l’impact des opérations de Traitement envisagées sur la protection des Informations personnelles (une « évaluation d’impact sur la protection des données ») ;

(b) l’obligation de consulter la ou les autorités de contrôle compétentes avant le Traitement des Informations personnelles lorsqu’une évaluation d’impact sur la protection des données indique que le Traitement entraînerait un risque élevé en l’absence de mesures prises par le Client pour atténuer le risque ;

(c) l’obligation de s’assurer que les Informations personnelles sont exactes et à jour, en informant le Client sans délai si PTC se rend compte que les Informations personnelles qu’elle traite sont inexactes ou sont devenues obsolètes ;

(d) l’obligation d’aider le Client à assurer le respect des obligations relatives à la sécurité du Traitement des Informations personnelles.

12. PTC en tant que Responsable du traitement :

Le Client reconnaît et accepte qu’en ce qui concerne les Données relatives au compte Client et les Données d’utilisation du Client, PTC agit en tant que Responsable du traitement indépendant et non en tant que Responsable du traitement conjoint avec le Client. PTC traitera les Données relatives au compte Client et les Données d’utilisation du Client en tant que Responsable du traitement (i) pour gérer la relation avec le Client ; (ii) pour mener à bien les activités commerciales principales de la Société, telles que la comptabilité, et à des fins de conformité et pour gérer sa relation avec le Client ;

(iii) pour surveiller, enquêter, prévenir et détecter les fraudes, les incidents de sécurité et autres utilisations abusives des Services, et pour empêcher tout préjudice au Client et aux Données relatives au Client ; (iv) à des fins de vérification d’identité ; (v) pour se conformer aux obligations légales ou réglementaires applicables au traitement et à la conservation des Informations personnelles auxquelles PTC est soumise ; et (vi) dans la mesure où les Lois applicables le permettent et conformément au présent ACD et au Contrat. PTC peut également traiter les Données d’utilisation du Client en tant que Responsable du traitement afin de fournir, d’optimiser, d’améliorer et de maintenir les Services, y compris le dépannage des problèmes et le développement, l’information sur le développement de nouveaux produits et fonctionnalités, dans la mesure autorisée par les Lois applicables. Tout traitement effectué par PTC en tant que Responsable du traitement sera conforme à la politique de confidentialité de PTC disponible à l’adresse suivante xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxxxxx/xxxxxxx.

13. Disposition de la CCPA

Entre le Client et PTC, aux fins de la CCPA, le Client est une « entreprise » et PTC est un « fournisseur de services » et reçoit des Informations personnelles à des fins commerciales. PTC ne « vendra » ni ne « partagera » pas d’Informations personnelles à un « tiers » et ne conservera, n’utilisera ni ne divulguera aucune Information personnelle, sauf si cela est nécessaire dans la finalité spécifique de l’exécution des Services pour le Client conformément au Contrat, ou autrement comme prévu dans le Contrat ou comme autorisé par la CCPA. À ces fins, les termes « entreprise », « fournisseur de services », « tiers », « vendra » et « partagera » ont la signification qui leur est attribuée à l’article 1798.140 de la CCPA. PTC certifie qu’elle comprend les restrictions de la présente Section 13 et qu’elle s’y conformera.

14. Non-respect du présent ACD et résiliation

La responsabilité de chaque partie et des sociétés affiliées de chaque partie en vertu du présent ACD est soumise aux exclusions et limitations de responsabilité énoncées dans le Contrat. Toute réclamation à l’encontre de PTC ou de ses sociétés affiliées en vertu du présent ACD ne peut être présentée que par l’entité du Client qui est partie au Contrat. En aucun cas, le présent ACD ou l’une de ses parties ne restreint ou ne limite les droits d’un Individu ou d’une autorité de contrôle compétente.

15. Récupération et suppression des Données relatives au Client

À la résiliation ou à l’expiration du Contrat, le Client peut exporter les Données relatives au Client comme décrit dans le Contrat, ou lorsque celles-ci ne peuvent être exportées, PTC renverra les Données relatives au Client au Client. PTC supprimera toutes les Données relatives aux Client environ 30 jours après la résiliation, conformément aux conditions du Contrat, à moins que la loi applicable n’exige que ces Données soient conservées. Jusqu’à ce que les Données relatives au Client soient supprimées ou restituées, PTC continuera de veiller au respect du présent ACD.

16. Divers

16.1 Les parties conviennent que le présent ACD remplacera tout ACD existant que les parties auraient pu conclure antérieurement en rapport avec les Services.

16.2 Le présent ACD sera régi et interprété conformément aux dispositions relatives à la loi et à la juridiction applicables dans le Contrat, sauf si les Lois applicables en disposent autrement.

16.3 Le présent ACD et les Clauses contractuelles types prendront fin simultanément et automatiquement lors de la suppression par PTC des Données relatives au Client conformément à la Section 15 des présentes.

[le reste de la page est laissé intentionnellement en blanc]

ANNEXE I

Catégories de personnes concernées dont les Informations personnelles sont traitées

Le Client peut soumettre des Informations personnelles aux Services, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, sans s’y limiter, des Informations personnelles relatives aux catégories d’Individus suivantes :

o Employés, agents, conseillers, travailleurs indépendants du Client (qui sont des personnes physiques)

o Employés ou personnes-ressources des clients, clients potentiels, partenaires commerciaux et vendeurs du Client

o Les Utilisateurs du Client autorisés par le Client à utiliser les Services

Catégories d’Informations personnelles traitées

Le Client peut soumettre des Informations personnelles aux Services, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure, sans s’y limiter, les catégories suivantes d’Informations personnelles :

o Prénom et nom de famille

o Titre

o Position

o Employeur

o Coordonnées (société, adresse électronique, téléphone, adresse professionnelle physique)

o Données d’identification

o .

Données sensibles traitées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une stricte limitation de la finalité, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

 Aucune

Nature du traitement

 la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, la restriction, l’effacement ou la destruction, dans la mesure où cela peut être nécessaire pour la fourniture des Services

Finalité(s) pour lesquelles les Informations personnelles sont traitées au nom du Client

 Fourniture des Services plus spécifiquement définis dans le Contrat

Durée du traitement

 La durée pendant laquelle PTC fournit les Services en vertu du Contrat et toute prolongation ou renouvellement de cette durée.

ANNEXE II

Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des Données relatives au Client

« Réseau » désigne un ensemble d’ordinateurs, de serveurs, d’unités centrales, de dispositifs de réseau, de périphériques ou d’autres dispositifs connectés les uns aux autres pour permettre le partage de données reliées entre elles par un réseau local (LAN), un réseau étendu (WAN).

« Contrôles de sécurité » désigne tout matériel, logiciel ou mécanisme administratif spécifique nécessaire à l’application de la norme NIST 800-53, conformément aux conditions du présent Contrat, en tant que méthodes de traitement des risques de sécurité des systèmes de technologie de l’information et des emplacements physiques pertinents ou de mise en œuvre des politiques connexes. Les Contrôles de sécurité précisent les technologies, les méthodologies, les procédures de mise en œuvre et autres facteurs détaillés ou autres processus à utiliser pour mettre en œuvre les éléments de la Politique de sécurité concernant des groupes, des individus ou des technologies spécifiques.

« Politiques de sécurité » désigne les déclarations d’orientation visant à sécuriser les informations de l’entreprise relatives à la sécurité et imposant le respect des lois et règlements applicables.

« Procédures de sécurité » désigne les mesures prises étape par étape pour atteindre et maintenir le respect de la certification NIST 800-53 et/ou ISO27001.

« Systèmes » désigne les logiciels informatiques, les micrologiciels, le matériel informatique (qu’il soit d’usage général ou spécial), les capacités de télécommunications (y compris tous les réseaux de voix, de données et de vidéo) et/ou d’autres éléments similaires ou apparentés, automatisés, informatisés et/ou logiciels.

Pour se conformer à ses obligations de sécurité en vertu du Contrat et de l’ACD, PTC devra à tout moment : (i) disposer de processus de sécurité conformes aux meilleures normes du secteur, telles que la certification ISO27001, ou avoir mis en œuvre les contrôles d’impact « modéré » des exigences de sécurité 800-53 du National Institute of Standards and Technology (NIST) ; (ii) respecter les exigences, obligations, spécifications et procédures de signalement des événements en matière de sécurité énoncées dans le présent ACD ;

1. Programme de sécurité et gouvernance

PTC maintiendra à tout moment un programme de sécurité qui comprend :

(a) un responsable de la sécurité informatique ou un délégué à la sécurité, gérant les exigences suivantes

(b) Les politiques de sécurité, les procédures de sécurité et les contrôles de sécurité ;

(c) un programme de gestion des incidents de sécurité ;

(d) un programme de sensibilisation et de formation à la sécurité pour tous les employés soutenant cet engagement ;

(e) un programme de gestion des changements en matière de sécurité visant à promouvoir la stabilité et la fiabilité de l’environnement de sécurité de PTC pendant le processus de changement lié à la sécurité ; et

(f) des plans de continuité des activités et de reprise après xxxxxxxx, y compris la réalisation régulière de tests.

(g) Un processus d’évaluation des risques liés à la sécurité pour identifier, évaluer, répondre et mettre en œuvre le traitement des risques.

(h) Si le Fournisseur développe et fournit un logiciel dans le cadre de cet engagement, le Fournisseur maintiendra un cycle de vie de développement de logiciel sécurisé aligné sur les normes de l’industrie telles que OWASP OPEN SAMM.

(i) Si le Fournisseur fournit des services en cloud (IaaS, PaaS, SaaS) dans le cadre de cet engagement, le Fournisseur alignera ses pratiques sur les normes CSA CCM et SOC2.

2. Sécurité dès la conception et réalisation de tests PTC maintiendra :

(a) une architecture de sécurité qui garantit raisonnablement l’alignement et la mise en œuvre de Contrôles de sécurité NIST 800-53 efficaces ;

(b) un système de pare-feu efficace(s) et de technologies de détection des intrusions nécessaires à la protection des

données ;

(c) des éléments de conception de la sécurité du Réseau appropriés qui prévoient la ségrégation des données ;

(d) des procédures pour chiffrer les informations lors de leur transmission et de leur conservation ;

(e) des procédures visant à garantir la réalisation régulière de tests des systèmes et processus de sécurité de PTC ;

(f) des processus de conception de la base de données et de la couche d’application qui garantissent que les applications du site Web sont conçues pour protéger les données relatives au Client qui sont collectées, traitées et transmises par de tels systèmes.

3. Surveillance et gestion des correctifs

PTC a établi et, pendant la durée du Contrat, maintiendra :

(a) des mécanismes permettant de maintenir les correctifs de sécurité à jour ;

(b) des systèmes et des procédures de surveillance pour détecter les tentatives et les attaques réelles sur les données relatives au Client ou les intrusions dans celles-ci ;

(c) des procédures pour surveiller, analyser et répondre aux alertes de sécurité ;

(d) l’utilisation et la mise à jour régulière d’un logiciel antivirus et anti-programme malveillant commercial de pointe ; et

(e) des procédures pour vérifier régulièrement l’intégrité des logiciels installés.

4. Contrôle d’accès à distance par les utilisateurs autorisés de PTC PTC imposera :

(a) des mécanismes appropriés pour l’authentification et l’autorisation des utilisateurs, conformément à une politique du « besoin de savoir » ;

(b) des contrôles visant à appliquer des restrictions d’accès rigoureuses aux utilisateurs autorisés à distance, qu’il s’agisse de ceux de PTC ou des sous-traitants ultérieurs, le cas échéant ;

(c) une gestion opportune et précise des comptes des utilisateurs autorisés et de l’authentification ;

(d) des mécanismes pour chiffrer ou hacher tous les mots de passe ;

(e) des procédures visant à révoquer immédiatement les accès des utilisateurs autorisés dont le compte est inactif ou dont le compte est résilié ou transféré ;

(f) des procédures de maintien de la séparation des tâches ;

(g) des procédures pour assurer l’attribution d’identifiants uniques à chaque utilisateur autorisé ayant accès à un ordinateur ; et

(h) des procédures pour s’assurer que les valeurs par défaut fournies par PTC pour les mots de passe et les paramètres de sécurité sont modifiées et gérées de manière appropriée.

(i) Application raisonnable de l’authentification multifactorielle (MFA) pour les systèmes liés à l’Énoncé des travaux du Client

5. Contrôle d’accès aux installations

PTC a établi et, pendant la durée du Contrat, imposera :

(a) des mécanismes de protection physique pour tous les actifs et technologies de l’information afin de s’assurer que ces actifs et technologies sont stockés et protégés dans des centres de données appropriés ;

(b) des contrôles appropriés à l’entrée des installations afin de limiter l’accès physique aux Systèmes ;

(c) des procédures pour s’assurer que l’accès aux installations est surveillé et restreint selon le principe du « besoin de savoir » ;

(d) des mesures de protection contre la destruction, la perte ou l’endommagement des données relatives au Client et des Systèmes dépendant du Client en raison de risques environnementaux potentiels, tels que les incendies et les dégâts des eaux ou les défaillances technologiques ; et

(e) des contrôles pour sécuriser physiquement toutes les informations sensibles relatives au Client et pour détruire correctement ces informations lorsqu’elles ne sont plus nécessaires.

[Pour de plus amples informations concernant les Programmes de cybersécurité et de confidentialité de PTC, veuillez consulter le Centre de confiance PTC xxxxx://xxx.xxx.xxx/xx/xxxxx/xxxxx-xxxxxx où des copies des rapports ISO27001 et SOC2 Type II de PTC peuvent être obtenues. ]

ANNEXE III

Clauses contractuelles types

Les Modules suivants des Clauses contractuelles types s’appliquent et sont par les présentes conclus et intégrés par référence entre PTC Inc. (en tant qu’importateur de données) et le Client (y compris le Client agissant en tant que Responsable du traitement pour le compte de ses Sociétés affiliées et autres responsables du traitement auxquels le transfert se rapporte, le cas échéant) (en tant qu’exportateur de données).

MODULE UN – Transfert de Responsable du traitement à Responsable du traitement pour les transferts où le Client est un Responsable du traitement et PTC traite les Informations personnelles en tant que Responsable du traitement indépendant conformément à l’ACD

MODULE DEUX – Transfert du Responsable du traitement au Sous-traitant, pour les transferts d’Informations personnelles à PTC en tant que Sous-traitant et

MODULE TROIS – Transfert de Sous-traitant à Sous-traitant (où le Client est un Sous-traitant et PTC un sous-traitant ultérieur)

En ce qui concerne les Clauses contractuelles types, les dispositions suivantes s’appliquent :

 Clause 9 – Utilisation de sous-traitants ultérieurs.

o MODULE DEUX ET MODULE TROIS

▪ OPTION 2, Autorisation écrite générale,

▪ L’importateur de données informe spécifiquement l’exportateur de données par écrit de toute modification prévue de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs de PTC au moins 30 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour pouvoir s’opposer à ces modifications avant l’engagement du ou des sous-traitants ultérieurs de PTC.

 Clause 17 – Droit applicable

o MODULE UN, DEUX ET MODULE TROIS

▪ OPTION 1,

▪ Les présentes Clauses sont régies par le droit de l’un des États membres de l’UE, à condition que ce droit permette de reconnaître les droits des tiers bénéficiaires. Les Parties conviennent que la loi applicable est celle de la République d’Irlande.

 Clause 18, - Choix du forum et de la juridiction

o MODULE UN, DEUX ET MODULE TROIS

o (b) Les Parties conviennent que ce seront les tribunaux de la République d’Irlande.

Annexe I aux Clauses contractuelles types

A. LISTE DES PARTIES

 1 – L’Exportateur de données est le Client, pour son propre compte et pour le compte de Responsables du traitement situés dans l’Union européenne, au Royaume-Uni et en Suisse

 2 – L’Importateur de données est PTC Inc, 000 Xxxxxxx Xxxxxxxxx, Xxxxxx, XX 00000 et les coordonnées respectives du Client et de PTC dans le Contrat s’appliquent.

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

 Module 1 – De Responsable du traitement à Responsable du traitement :

o Les personnes autorisées par le Client à utiliser les produits PTC et/ou à accéder aux services PTC étant les employés, consultants, sous-traitants, fournisseurs, partenaires commerciaux et clients du Client.

 Module 2 – Du Responsable du traitement au Sous-traitant

o Les employés, consultants, sous-traitants, fournisseurs, partenaires commerciaux et clients

du Client. Autres individus dont les données à caractère personnel peuvent être téléchargées par le Client sur les Services

 Module 3 – De Processus à Sous-traitant

o Les employés, consultants, sous-traitants, fournisseurs, partenaires commerciaux et clients du Client. Autres individus dont les données à caractère personnel peuvent être téléchargées par le Client sur les Services

Catégories de personnes concernées dont les données à caractère personnel sont transférées :

Les Données à caractère personnel transférées peuvent concerner les catégories de données suivantes :

 Module 1 :

Nom, société, nom d’utilisateur, ID utilisateur, organisme, coordonnées professionnelles, interactions avec les produits et services de PTC telles que les fichiers journaux et les rapports d’incidents. Adresses IP, données de cookies, identifiants d’appareils et informations similaires liées aux appareils.

 Module 2 et Module 3 : Nom, société, organisme, coordonnées professionnelles, interactions avec les produits et services de PTC telles que les fichiers journaux et les rapports d’incidents, et données à caractère personnel téléchargées vers les services de PTC. Aucune donnée sensible ne sera transférée

La fréquence du transfert (p. ex. si les données sont transférées de façon ponctuelle ou continue).

En continu

Nature du traitement

L’Importateur de données Traitera les Données à caractère personnel selon les besoins pour fournir les Services tels que plus spécifiquement décrits dans le Contrat, et tel qu’autorisé par les conditions du Contrat (y compris l’ACD) et comprendra :

la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, la restriction, l’effacement ou la destruction, selon ce qui peut être nécessaire à l’Importateur de données pour fournir les Services.

La période pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période.

Les Données à caractère personnel seront supprimées du Service à la fin du Service, conformément aux termes du Contrat.

Pour les transferts vers (des sous-traitants ultérieurs) PTC, précisez également l’objet, la nature et la durée du traitement. Consulter : xxxxx://xxx.xxx.xxx/xx/xxxxxxxxx/xxxxx-xxxxxxxxxx/xxxx-xxxxxxxxxx-xxxxx-xxx-xxxxxxxxxx.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

 Identifier la ou les autorités de contrôle compétentes conformément à la Clause 13

o l’autorité de contrôle compétente est la Commission de protection des données de la République d’Irlande.

Xxxxxx XX aux Clauses contractuelles types - Mesures techniques et organisationnelles. L’Annexe II de l’ACD s’applique

Addendum du Royaume-Uni.

(a) Dans le tableau 1 de l’Addendum du Royaume-Uni, les coordonnées des parties et les principales coordonnées se trouvent au paragraphe A de la présente Xxxxxx XXX.

(b) Dans le tableau 2 de l’Addendum du Royaume-Uni, les informations relatives à la version des Clauses contractuelles types approuvés de l’UE, aux modules et aux clauses sélectionnées auxquels cet Addendum du Royaume-Uni est annexé se trouvent au paragraphe B de la présente Xxxxxx XXX.

(c) Dans le tableau 3 de l’Addendum du Royaume-Uni :

1. La liste des Parties figure au paragraphe A de la présente Xxxxxx XXX.

2. La description du transfert est présentée au paragraphe B (Nature du traitement) de l’Xxxxxx XXX.

3. L’Annexe II (Mesures de sécurité techniques et organisationnelles) s’applique en tant qu’Annexe II de l’Accord international de transfert de données du Royaume-Uni.

4. La liste des sous-traitants ultérieurs se trouve à l’adresse xxxxx://xxx.xxx.xxx/-/xxxxx/Xxxxx/XXXx/xxxxx- agreements/fy18/PTC-Inc-List-of-Sub-processors.pdf.

(d) Dans le tableau 4 de l’Addendum du Royaume-Uni, l’importateur et l’exportateur peuvent tous deux mettre fin à l’Addendum du Royaume-Uni conformément aux conditions de l’Addendum du Royaume-Uni.

2.5 Conflit. En cas de conflit ou d’incohérence entre les Clauses contractuelles types ou l’Addendum du Royaume-Uni et toute autre disposition du présent ACD ou du Contrat, les dispositions des Clauses contractuelles types ou de l’Addendum du Royaume-Uni, selon le cas, prévaudront.