Avenant pour la Suisse concernant l’addendum sur la Protection des Données pour les Produits et Services Microsoft
Avenant pour la Suisse concernant l’addendum sur la Protection des Données pour les Produits et Services Microsoft
Le présent Avenant entre en vigueur dès son acceptation par le Client (l’« Acceptation ») et expire à la première des dates suivantes : (i) la date de résiliation du Contrat ou (ii) le dernier jour du 36e mois calendaire après l’Acceptation par le Client.
Le présent avenant clarifie et modifie des termes spécifiques de l’addendum relatif à la protection des données pour les produits et services Microsoft (« DPA ») comme suit :
Définitions
À des fins de clarification et à l’exclusion de l’Annexe 1 du DPA, « Microsoft » dans le DPA désigne l’Affilié Microsoft respectif qui a conclu (a) l’Accord en vertu duquel le Client souscrit aux Produits et Services dans chaque cas, ou selon le cas (b) l’Ordre de Services Entreprise correspondant.
La définition des « Exigences relatives à la protection des données » doit être remplacée par la suivante :
« Obligations de Protection des Données » désigne le RGPD, les Lois Locales de l’UE/EEE sur la Protection des Données, la loi suisse protection des données le cas échéant, et toutes les lois, réglementations et autres exigences légales applicables relatives à (a) la protection des Données à Caractère Personnel et la sécurité des données ; et à (b) l’utilisation, la collecte, la conservation, le stockage, la sécurité, la divulgation, le transfert, la destruction et tout autre traitement des Données à Caractère Personnel. »
La définition des « Données à Caractère Personnel » sera précisée comme suit :
La définition des « Données à Caractère Personnel » ainsi que les termes en minuscules « données à caractère personnel » utilisés dans le présent DPA englobent toutes les personnes concernées conformément à la loi fédérale Suisse sur la protection des données (LPD).
La définition des « Clauses Contractuelles Types 2021 » est remplacée par la suivante :
« Clauses Contractuelles Types 2021 » désigne les clauses de protection des données types (module de processeur à processeur) entre Microsoft Ireland Operations Limited et Microsoft Corporation pour le transfert de Données à Caractère Personnel depuis des sous-traitants de l’EEE vers des sous-traitants établis dans des pays tiers n’assurant pas un degré de protection des données adéquat, tel que défini à l’Article 46 du RGPD et approuvé par la décision 2021/914/CE de la Commission européenne, du 4 juin 2021, tel que modifié par Microsoft Ireland Operations Limited et Microsoft Corporation conformément aux recommandations du 27 août 2021 publiées par le préposé fédéral suisse à la protection des données et à la transparence pour les transferts de données soumis à la loi fédérale suisse sur la protection des données (recommandations du PFPDT).
Conditions de Protection des Données
Transferts et Emplacement des Données
Conformément aux recommandations du PFPDT, les Clauses Contractuelles Types de 2010 ne s’appliqueront pas aux transferts depuis la Suisse.
Références au RGPD
Les références au RGPD dans le DPA sont réputées être des références également à la loi suisse sur la protection des données et à ses dispositions correspondantes, et les Conditions du RGPD et la sous-section
du DPA « Traitement des Données à Caractère Personnel ; RGPD » s’appliqueront également lorsqu’un traitement de données est soumis à la loi suisse sur la protection des données.
Annexe C au DPA – Addendum sur les Mesures Complémentaires
Le préambule de l’Annexe C est remplacé par ce qui suit :
« Par le présent Addendum sur les Mesures Complémentaires au DPA (cet « Addendum »), Microsoft fournit des garanties supplémentaires au Client pour le traitement des données à caractère personnel, dans le cadre du RGPD ou de la LPD, par Microsoft pour le compte du Client et des recours supplémentaires aux personnes concernées auxquelles ces données personnelles se rapportent. »
Clause 1 : Contestation des Injonctions
Article 1.c : Si le Client est établi en Suisse, l’article sera remplacé par ce qui suit :
« déployer tous les efforts légaux pour contester l’injonction de divulgation sur la base de toute irrégularité juridique en vertu des lois de la partie requérante ou de tout conflit pertinent avec le droit Suisse, le droit de l’Union européenne ou le droit applicable de l’État membre. »
Clause 2 : Indemnisation des Personnes Concernées
Si le Client est établi en Suisse, la clause sera remplacée par ce qui suit :
« Sous réserve des Articles 3 et 4, Microsoft indemnisera la personne concernée pour tout dommage matériel ou non matériel causé à la personne concernée par la divulgation par Microsoft de données à caractère personnel la concernant qui ont été transférées en réponse à une injonction d’un organisme gouvernemental ou d’un service répressif extérieur à la Suisse en violation des obligations de Microsoft en vertu du chapitre V du RGPD ou de dispositions équivalentes de la LPD (une « Divulgation Pertinente »). Nonobstant ce qui précède, Microsoft n’aura aucune obligation d’indemniser la personne concernée en vertu du présent Article 2 dans la mesure où la personne concernée a déjà reçu une indemnisation pour le même dommage, que ce soit de la part de Microsoft ou d’une autre manière. »