Version du 1er juin 2024

ACCORD DE SOUS-TRAITANCE DU TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

Version du 1er juin 2024

Le présent Accord de Sous-traitance (ci-après « l’Accord de sous-traitance » ou « DPA » en référence au terme anglais « Data Processing Agreement ») fait partie intégrante du contrat portant sur les prestations de Services de Scaleway conclu entre Scaleway et le Client (ci-après « le Contrat »).

Le présent Accord de sous-traitance a pour objet de définir les conditions dans lesquelles Scaleway s’engage à effectuer, aux seules fins de la stricte exécution du Contrat, pour le compte du Client, les opérations de Traitement des Données à Caractère Personnel. Les Parties s’engagent dès à présent à respecter la Réglementation relative à la Protection des Données.

Le présent Accord est applicable aux prestations objets du Contrat pour lesquelles le Client agit en qualité de responsable du traitement ou de sous-traitant au sens du RGPD, en ce qui concerne les Données à Caractère Personnel et Scaleway agit en qualité de sous-traitant ou sous-traitant ultérieur au sens du RGPD. Les traitements de Données à Caractère Personnel effectués par Scaleway en qualité de responsable de traitement sont gérés dans le cadre de sa politique de confidentialité.

ARTICLE 1. DÉFINITIONS

En sus des termes et expressions définis dans le présent Accord de Sous-traitance, les termes et expressions suivants ont la même signification que celle qui leur est attribuée dans le RGPD:

● « Données à Caractère Personnel »,

● « Traitement »,

● « Responsable de traitement »,

● « Sous-traitant »,

● « Organisation Internationale »,

● « Délégué à la Protection des Données »,

● « Autorité de contrôle »,

● « Personne concernée », et

● « Violation des Données à Caractère Personnel ».

En outre, les termes et expressions suivants ont la signification indiquée ci-après, qu’ils soient employés au singulier ou au pluriel :

● « Analyse d’Impact » désigne l’analyse qui doit être menée lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ;

● « Clauses contractuelles types » désigne les modèles de clauses contractuelles adoptés par la Commission Européenne permettant d’encadrer les transferts de Données à Caractère Personnel effectués par un Responsable de traitement ou par un Sous-traitant vers des destinataires situés hors de l’Union Européenne (Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021) ;

● « Mesures de Sécurité » désigne les mesures de sécurité prévues par la Réglementation relative à la Protection des Données ainsi que toute autre obligation prévue par ladite Réglementation afin de garantir la sécurité et la confidentialité des Données à caractère personnel, y compris les activités devant être exécutées en cas de Violation des Données à Caractère Personnel, notamment afin d’éviter ou de réduire les effets néfastes de la Violation des Données à Caractère Personnel sur les Personnes concernées ;

● « Pays tiers » désigne tout pays en dehors de l’Espace Economique Européen (EEE) et non reconnu comme garantissant un niveau de protection des Données à Caractère Personnel adéquat à celui de l’Union Européenne par la Commission Européenne ;

● « Préposé » désigne les salariés, personnes mandatées ou toute autre personne physique habilitée à exécuter des opérations de Traitement des Données à Caractère Personnel communiquées ou mises à disposition par Scaleway et/ou ses éventuels Sous-traitants Ultérieurs ;

● « Réglementation relative à la Protection des Données » désigne le RGPD, la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et ses évolutions successives (« Loi Informatique et Libertés »), la Directive 2002/58/CE du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électronique du 12 juillet 2002, ainsi que l’ensemble des dispositions législatives, réglementations, lignes directrices, opinions, certifications, agréments, recommandations ou décisions de justice définitives relative à la protection des données à caractère personnel applicable au Traitement des Données à Caractère Personnel, déjà en vigueur ou qui entrera en vigueur pendant la durée du présent Accord de Sous-traitance, et de toute autre autorité compétente. En cas de contradiction entre la Loi Informatique et Libertés, le RGPD et/ou les mesures adoptées par les autorités compétentes dans la

mise en œuvre de ceux-ci, les dispositions du RGPD et les mesures adoptées aux fins de sa mise en œuvre prévaudront ;

● « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

● « Sous-traitant Ultérieur » désigne, selon les cas, Scaleway ou tout sous-traitant engagé par Xxxxxxxx ou par tout autre sous-traitant ultérieur de celui-ci, et traitant les données du Client dans le cadre des services prévus au Contrat ;

Si une définition n’est pas mentionnée au sein de cet Accord de Sous-traitance, les mots ou expressions commençant par une majuscule auront la signification leur étant donnée dans le Contrat.

ARTICLE 2. TRAITEMENT(S) FAISANT L’OBJET DE LA SOUS-TRAITANCE

2.1 Les Traitements effectués par Scaleway aux fins du présent Accord de Sous-traitance portent uniquement sur les types de Données à Caractère Personnel et les catégories de Personnes Concernées définies par le Client et sous sa responsabilité.

2.2 Le Client est également responsable du choix des Services utilisés et en particulier de leur compatibilité avec les traitements de données qu’il met en œuvre. Lorsque Scaleway propose des Services adaptés à des typologies de traitements particuliers, le Client devra utiliser les Services concernés, notamment lorsque ces traitements font l’objet de réglementations ou normes spécifiques (et plus particulièrement, mais sans s’y limiter, dans le cadre de traitements de données de santé ou de données bancaires).

2.3 Le Client s’engage à fournir à Scaleway les données visées au présent Accord de Sous-traitance pour les besoins de l’exécution du Contrat et, si le Client est Responsable de traitement, à documenter par écrit toute instruction concernant le Traitement des Données à Caractère Personnel opéré par Scaleway. Par ailleurs, le Client reste seul responsable de sélectionner des Services étant adaptés à ses besoins et de mettre en place des mesures techniques et organisationnelles suffisantes afin de protéger ses Données à Caractère Personnel, notamment en cas de Traitement susceptible d'entraîner un risque élevé pour les droits et libertés des Personnes concernées.

2.4 Scaleway s’engage à (i) garantir la confidentialité des Données à Caractère Personnel et (ii) garantir à ce que tous Préposés et Sous-traitants Ultérieurs autorisés à traiter les Données à Caractère Personnel en vertu du présent Accord de Sous-traitance respectent la confidentialité des Données à Caractère Personnel. L’obligation de confidentialité des Données à Caractère Personnel restera en vigueur cinq (5) ans à compter de l’expiration du Contrat.

2.5 Description des traitements de données

● Objet : Données du Client ;

● Durée du traitement : la durée de conservation des données dépend du choix du Client sauf en cas de demande légitime notamment d’une autorité judiciaire ou administrative, auquel cas la durée de conservation des données dépendra du délai de prescription légal ;

● Nature et finalité du traitement : le Service fourni peut comprendre des opérations de stockage, de calcul de données ou tout autre service défini au sein du Contrat ;

● Type de données : ensemble des données téléversées par le Client grâce à son compte et dans le cadre de l’utilisation d’un Service fourni par Scaleway ;

● Catégories de personnes concernées : Client, utilisateurs finaux, employés ou Sous-traitants Ultérieurs de Scaleway, selon le cas.

ARTICLE 3. OBLIGATIONS DU SOUS-TRAITANT

3.1. Scaleway, en qualité de Sous-traitant ou de Sous-traitant Ultérieur du Traitement, s’engage à :

3.1.1. traiter les Données à Caractère Personnel dans le but d’exécuter le Contrat dans les limites et selon les modalités stipulées dans celui-ci, le présent Accord de Sous-traitance et la Réglementation relative à la Protection des Données ;

3.1.2. traiter les Données à Caractère Personnel exclusivement selon les instructions documentées du Client et l’informer si une de ces instructions est susceptible d’enfreindre la Réglementation relative à la Protection des Données ou, plus généralement, la législation applicable ;

3.1.3. traiter les Données à Caractère Personnel qui sont strictement nécessaires à l’exécution du Contrat ou au respect des obligations légales ;

3.1.4. ne pas traiter les Données à Caractère Personnel à d’autres fins que celles nécessaires à l’exécution des Services proposés par Scaleway ;

3.1.5. assister le Client dans le cadre de l’élaboration d’une Analyse d’Impact sur la protection des données, si l’un des Services proposés par Scaleway entre dans périmètre de l’analyse ;

3.1.6. assister le Client et collaborer avec lui en cas de demande formulée par les autorités compétentes ou des Personnes Concernées et afin de se conformer aux obligations nées de la Réglementation relative à la Protection des Données ;

3.1.7. en cas de demande d’une autorité provenant d’un Pays tiers à l’Union Européenne concernant les Données à Caractère Personnel du Client, Scaleway s’engage à ne divulguer aucune information sauf si lesdites données sont situées en dehors de l’Union Européenne, si cette demande est conforme à un accord international ou si celle-ci fait partie des exceptions prévues à l’article 49 du RGPD ;

3.1.8. maintenir les mesures techniques et organisationnelles afin de sécuriser les Traitements de données effectuées dans le cadre des Services proposés (pour plus de détails, se référer à l’article 8 “Mesures de sécurité” ainsi qu’à la Documentation) ;

3.1.9. mettre à la disposition du Client toutes les informations en sa possession, nécessaires, dans le cadre de l’exécution du Contrat, afin de démontrer que celle-ci respecte les obligations visées par la Réglementation relative à la Protection des Données.

ARTICLE 4. REGISTRE DES ACTIVITÉS RELATIVES AU TRAITEMENT

4.1. Scaleway s’engage à tenir un registre générique (Registre du Sous-traitant) concernant toutes les catégories d'activités relatives au Traitement des Données à Caractère Personnel effectuées pour le compte du Client. Celui-ci comportera :

4.1.1. le nom et les coordonnées de Scaleway, ses Sous-traitants Ultérieurs, ainsi que les coordonnées du Délégué à la Protection des Données de Scaleway ;

4.1.2. les catégories des Traitements effectués pour le compte du Client ;

4.1.3. le cas échéant, les transferts de Données à Caractère Personnel vers un pays tiers ou à une organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, du RGPD, les documents attestant de l'existence des garanties appropriées imposées par l’article 49 du RGPD ;

4.1.4. une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1, du RGPD. Ces mesures de sécurité figurent également dans la Politique de Sécurité des Systèmes d’Information (PSSI) et/ou la Documentation de Scaleway, mises à disposition du Client sur le Site Internet Scaleway.

4.2. Scaleway s’engage à fournir dans les meilleurs délais au Client une copie du registre visé à la clause 4.1 à la demande de celui-ci et/ou des autorités compétentes.

4.3. Scaleway s’engage à fournir au Client toutes les informations relatives aux Traitements des Données à Caractère Personnel le concernant, dans le cadre de l’exécution du Contrat, dont celui-ci a raisonnablement besoin afin de pouvoir établir son propre registre des activités, relatives aux Traitements visés à l’article 30, paragraphe 1, du RGPD.

ARTICLE 5. OBLIGATIONS DU CLIENT

5.1. Le Client est seul responsable des Données à Caractère Personnel et de leur contenu qui transitent par les Services de Scaleway. Xxxxxxxx ne peut assurer aucune vérification du contenu desdites données et ne saurait être responsable de leur éventuel caractère illégal ou illicite, ce que le Client reconnaît expressément.

5.2. Tout(e) collecte, traitement, transmission, diffusion ou représentation d'informations ou données via les Services par le Client, en qualité de Responsable du Traitement ou de Sous-traitant, sont effectués sous sa seule et entière responsabilité et dans le strict respect de la Réglementation relative à la Protection des Données applicable.

5.3. Le Client s’engage notamment à :

5.3.1. fournir l’information aux Personnes Concernées par les opérations de Traitement au moment de la collecte des Données à Caractère Personnel et leur permettre d’exercer leurs droits ;

5.3.2. fournir à Scaleway les instructions de Traitement des Données à Caractère Personnel et tenir à jour l’intégralité des données du compte client;

5.3.3. tenir un registre des activités de Traitement mentionnant Scaleway comme Sous-traitant ou Sous-traitant Ultérieur pour les activités de Traitement concernées ;

5.3.4. procéder ou faire procéder sous sa responsabilité aux Analyses d’Impact, le cas échéant, consulter l’Autorité de contrôle compétente, lorsque le Traitement envisagé sera susceptible d’engendrer un risque élevé pour les droits et libertés des Personnes Concernées ;

5.3.5. fixer la durée de conservation, les modalités d’archivages et d’effacement des Données à Caractère Personnel traitées ;

5.3.6. mettre en place les mesures techniques et organisationnelles relatives à la protection, la sécurité et la confidentialité des Données à Caractère Personnel traitées qui ne relèvent pas du périmètre des Services fournis par Scaleway ou qui dépendent du choix du Client ;

5.3.7. mettre en place une procédure interne afin d’identifier et traiter les violations des Données à Caractère Personnel nécessitant une notification à l’Autorité́ de contrôle compétente et/ou aux Personnes Concernées.

ARTICLE 6. OBLIGATIONS RELATIVES AUX PRÉPOSÉS

6.1. Scaleway s’engage à faire en sorte que les Préposés aient exclusivement accès aux Données à Caractère Personnel qui sont strictement nécessaires à l’exécution du Contrat ou afin d’exécuter les obligations légales et traitent exclusivement ces Données à Caractère Personnel, dans tous les cas, dans les limites et les termes du présent Accord de Sous-traitance, du Contrat et de la Réglementation relative à la Protection des Données.

6.2. Scaleway s’engage également à n’autoriser le Traitement des Données à Caractère Personnel qu’aux Préposés qui :

6.2.1. de par leur expérience, leurs capacités et leur formation s’avèrent aptes à garantir le respect de la Réglementation relative à la Protection des Données et qui doivent y accéder afin d’exécuter le Contrat ;

6.2.2. doivent respecter des obligations de confidentialité strictes pendant la durée des Traitements des Données à Caractère Personnel et veiller à la bonne exécution des instructions reçues ainsi que des obligations leur incombant.

6.3. Scaleway s’engage, dans le périmètre des Services, à établir des mesures techniques et organisationnelles destinées à faire en sorte que :

6.3.1. chaque Préposé puisse avoir accès exclusivement aux Données à Caractère Personnel pouvant faire l’objet d’un Traitement en fonction de l’autorisation dont ce Préposé dispose ;

6.3.2. les éventuels Traitements de Données à Caractère Personnel constituant un manquement au regard du présent Accord de Sous-Traitance, du Contrat et/ou de la Réglementation relative à la Protection des Données soient promptement identifiés et signalés au Client, y compris selon la procédure et dans les délais visés à l’Article 8 en cas de Violation des Données à Caractère Personnel ; et

6.3.3. à l’extinction du Contrat ou de la mission confiée au Préposé, le Préposé cesse immédiatement le Traitement des Données à Caractère Personnel, dans le respect des contraintes légales lui incombant.

ARTICLE 7. SOUS-TRAITANTS ULTÉRIEURS

7.1. Le Client accorde au Sous-traitant une autorisation générale de sous-traitance d’une partie de ses obligations au titre du présent Accord à un autre sous-traitant (« Sous-traitant Ultérieur »). A ce titre, les Sous-traitants Ultérieurs sont amenés à prendre part aux traitements de données effectués par le Sous-traitant sur instruction du Responsable de traitement.

7.2. Dans l’hypothèse où Xxxxxxxx a recours à un Sous-traitant Ultérieur, Xxxxxxxx veillera à imposer contractuellement à chaque Sous-traitant Ultérieur le même niveau de garanties que dans le présent Accord de sous-traitance et s’assure que chaque Sous-traitant Ultérieur cesse immédiatement le Traitement des Données à Caractère Personnel si ces garanties viennent à faire défaut. Si un Sous-traitant Ultérieur ne remplit pas ses obligations en matière de protection des Données à Caractère Personnel, Scaleway demeure pleinement responsable devant le Client de l’exécution par le Sous-traitant Ultérieur de ses obligations.

7.3. La liste des Sous-traitants Ultérieurs utilisés par Scaleway dans le cadre des services fournis au Client est disponible sur la page dédiée du site internet de Scaleway.

7.4. En cas de changement ou de modification de ladite liste, Scaleway s’engage à le notifier au Client, préalablement abonné aux mises à jour grâce à la fonctionnalité disponible sur la page dédiée. Le Client dispose alors du droit d’émettre des objections durant un délai de trente (30) jours à compter de la date de notification en justifiant en quoi l’ajout ou la modification contestée est contraire à la Réglementation relative à la Protection des Données. Les parties s’engagent alors à trouver une solution amiable qui réponde à la réglementation. Dans l’impossibilité de trouver une solution satisfaisante pour les deux parties, le Client pourra alors : (i) résilier le Contrat conformément aux conditions générales ou particulières, (ii) cesser d’utiliser le service concerné par ce Sous-traitant ou (iii) si celle-ci existe, choisir une offre similaire qui n’est pas concernée par ce Sous-traitant.

ARTICLE 8. MESURES DE SÉCURITÉ

8.1. Scaleway s’engage à mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des Données à Caractère Personnel, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la « Violation de Données à Caractère Personnel »)

notamment en mettant en place les mesures suivantes (plus de détails sur le Site Internet de Scaleway) :

8.1.1. Stockage des données critiques des comptes de manière sécurisée ;

8.1.2. mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitements ;

8.1.3. procédure de tests, d’analyse et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles ;

8.1.4. mesures visant à garantir la sécurité physique des lieux où les Données à Caractère Personnel sont traitées ;

8.1.5. mesures visant à garantir la journalisation des événements ;

8.1.6. mesures pour la gouvernance et la gestion de l’informatique interne ainsi que la sécurité du SI ;

8.1.7. mesures de certifications ;

8.1.8. mesures d’identification et d'autorisation des utilisateurs ;

8.1.9. mesures permettant la mise à jour des données par le Client ;

8.1.10. mesures garantissant la minimisation des données ;

8.1.11. mesures permettant de garantir le respect du principe de la protection des données dès la conception et par défaut ;

8.1.12. mesures garantissant une conservation limitée des données ;

8.1.13. mesures de sensibilisation de son personnel à la sécurité et à la protection des données;

8.1.14. mesures permettant au Client d’exercer ses droits (notamment son droit d’accès, de rectification, de suppression ou encore de portabilité des données).

8.2. Ces mesures de sécurité techniques et organisationnelles sont détaillées sur la page dédiée du site internet de Scaleway.

8.3. Conformément à l’article 8.3 des Conditions Générales de Services, le Client assume seul les risques inhérents aux Services et logiciels et devra s’assurer que les

mesures de sécurité qu’il aura mis en place sont adéquates (notamment les mesures de sauvegarde, de durée de conservation, de contrôle d’accès aux services actifs ou encore de chiffrement des données le nécessitant).

8.4. Le Client reste seul responsable de l’adéquation des Services souscrits avec les activités qu’il exerce grâce auxdits Services et avec la réglementation applicable à ces activités. Cela comprend également les Contenus, auxquels Scaleway n’a pas accès.

ARTICLE 9. VIOLATION DES DONNÉES À CARACTÈRE PERSONNEL

9.1. En cas de Violation des Données à Caractère Personnel, d’incidents susceptibles de compromettre la sécurité des Données à Caractère Personnel (par exemple : perte, dommage ou destruction des Données à Caractère Personnel, quel que soit le support ou format (papier, électronique ou autre), accès non autorisé de tiers aux Données à Caractère Personnel ou toute autre Violation des Données à Caractère Personnel), y compris de Violations des Données à Caractère Personnel découlant de la conduite des éventuels Sous-traitants Ultérieurs et/ou des Préposés de Scaleway, Scaleway :

9.1.1. informera dans les meilleurs délais le Client après en avoir pris connaissance, au moyen d’une notification écrite au Client et lui fournira les informations utiles afin de lui permettre, en tant que responsable de cette obligation de notification, si nécessaire, de notifier cette violation à l’Autorité de contrôle compétente ou aux Personnes Concernées conformément aux articles 33 et 34 du RGPD ; et

9.1.2. en collaboration avec le Client, adoptera immédiatement et, quoi qu'il en soit, sans retard injustifié, toute mesure s’avérant nécessaire afin de minimiser les risques de toute nature pesant sur les Données à Caractère Personnel et atténuer les possibles effets néfastes et de participer dans la limite du périmètre des Services à la détermination de la cause.

9.2. Scaleway fournira, dans l’hypothèse ou il n’est pas possible de fournir toutes les informations en même temps, une notification initiale contenant les informations disponibles à la date de la connaissance de la violation et une ou plusieurs notifications complémentaires contenant les informations complémentaires, dès lors que celles-ci sont disponibles.

9.3. Xxxxxxxx s’engage à tenir un registre énumérant les Violations de Données à Caractère Personnel relatives aux Données à Caractère Personnel objets du présent Accord de Sous-traitance, les circonstances associées, leurs conséquences, les

mesures adoptées afin d’y remédier ainsi que tout manquement commis au regard du présent Accord de Sous-traitance.

ARTICLE 10. DROITS DES PERSONNES CONCERNÉES

10.1. Scaleway s’engage à collaborer avec le Client dans une mesure raisonnable afin de garantir la satisfaction, dans les délais et selon les modalités fixées par la Réglementation relative à la Protection des Données, des demandes d’exercice de droits des Personnes Concernées. À cet égard, Xxxxxxxx s’engage à informer le Client, de toutes demandes d’exercice de droits formulées par les Personnes Concernées en question.

10.2. Les demandes de droits du Client sont traitées via le service dédiée de sa Console de Gestion de Compte. Toute demande d’une personne tierce ou concernant un sujet non pris en charge par la console peut être envoyée via l’adresse xxxxxxx@xxxxxxxx.xxx

ARTICLE 11. COMMUNICATION ET TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL

11.1. Les Services de Scaleway sont localisés par défaut au sein de l’Union Européenne. Lorsque les Services sont proposés dans plusieurs régions ou zones de disponibilités (Availability Zone), le choix est effectué par le Client lors de la commande.

11.2. Scaleway s’engage, dans le cadre du Traitement objet du présent Accord de Sous-traitance:

11.2.1. à s’abstenir de diffuser ou de communiquer les Données à Caractère Personnel à des tiers, à moins que la Réglementation relative à la Protection des Données ou le Contrat ne le prévoie expressément ou que le Client l’y autorise par écrit ; et

11.2.2. à s’abstenir de transmettre, diffuser ou stocker des Données à Caractère Personnel dans un Pays tiers à l’Union Européenne, sans en avoir informé expressément le Client à l’avance; sauf si le droit de l’Union ou le droit de l’État membre auquel Scaleway est soumis interdit une telle information pour des motifs importants d'intérêt public.

11.2.3. en cas de transfert de Données à Caractère Personnel hors de l’Union Européenne ou vers un pays ne bénéficiant pas de décision d’adéquation à :

i. appliquer les Clauses Contractuelles Types conformément à la Réglementation relative à la Protection des Données ;

ii. prendre toutes les mesures techniques et organisationnelles nécessaires à la garantie de la protection et de la confidentialité des informations transmises conformément à la Réglementation relative à la Protection des Données.

11.3. Dans l’hypothèse où le transfert concerne des Données à Caractère Personnel du Client, auquel s’applique le RGPD, et un Pays tiers :

11.3.1. Si le Client est Responsable de traitement, les clauses contractuelles types “transfert de responsable du traitement à sous-traitant” s’appliquent.

11.3.2. Si le Client est sous-traitant, les clauses contractuelles types “transfert de sous-traitant à sous-traitant” s’appliquent.

ARTICLE 12. CONTRÔLE ET AUDITS

12.1. Scaleway s’engage à fournir au Client, sur demande de celui-ci, tout document raisonnablement nécessaire afin d’attester de sa conformité aux obligations nées du présent Accord de Sous-traitance.

12.2. Sous réserve d’en notifier au préalable Scaleway par écrit dans un délai minimum de trente (30) jours, le Client pourra faire évaluer à ses frais et au maximum une fois par an, les mesures organisationnelles, techniques et de sécurité adoptées par Scaleway dans le cadre du Traitement des Données à Caractère Personnel pour l’exécution des Services uniquement. Cette évaluation pourra être effectuée par le Client lui-même ou, par un tiers de confiance reconnu en tant qu’auditeur indépendant des Parties et ne présentant aucun conflit d’intérêt. L’évaluation devra être menée dans le respect des conditions et référentiels qui seront définies par Xxxxxxxx et le Client et dans la limite du respect de la confidentialité, de la sécurité et du maintien en condition opérationnelle des Services des autres clients de Scaleway.

12.3. Les informations et les résultats de l’audit seront considérés comme confidentiels et devront faire l’objet d’un accord préalable de confidentialité. Ces informations pourront être transmises à toute Autorité de contrôle qui en fait la demande, et après consultation de Xxxxxxxx, dans la limite de la réglementation applicable.

ARTICLE 13. FIN DU CONTRAT

13.1. Au terme du Contrat pour quelque motif que ce soit, Scaleway veillera à cesser immédiatement tout Traitement des Données à Caractère Personnel et à supprimer les Données à Caractère Personnel ainsi que les éventuelles copies de celles-ci, sauf si la conservation des Données à Caractère Personnel est imposée par la législation applicable ou l’intérêt légitime de Scaleway. Dans ce cas, cette conservation devra s’inscrire uniquement dans les limites strictement prévues par ces dernières.

13.2. Il incombe donc au Client, dans le périmètre des Services, de s’assurer de la conservation de ses Données à Caractère Personnel préalablement au terme du Contrat.

ARTICLE 14. STIPULATIONS DIVERSES

14.1. Le présent Accord de Sous-traitance est régi par le droit français. Les juridictions du ressort de la Cour d’Appel de Paris ont compétence exclusive pour connaître de tout litige découlant du présent Accord de Sous-traitance ou s’y rattachant.

14.2. Ledit Accord de Sous-traitance remplace tous les accords écrits et oraux antérieurs se rapportant aux données personnelles. Toute modification de ce dernier ne sera valable que si elle est établie par écrit et signée par les représentants habilités du Client et de Scaleway.

14.3. En cas de contradiction entre le présent Accord de Sous-traitance et les autres dispositions du Contrat, le présent Accord de Sous-traitance prévaudra en ce qui concerne les questions relatives au Traitement des Données à Caractère Personnel.

ARTICLE 15. CONTACT SCALEWAY

● DPO de Scaleway : xxx@xxxxx.xx

● Équipe Privacy de Scaleway : xxxxxxx@xxxxxxxx.xxx

● Notification de violation de données : xxxxxxxx@xxxxxxxx.xxx

● Politique de confidentialité de Scaleway : xxxxx://xxx.xxxxxxxx.xxx/xx/xxxxxxxxx-xxxxxxxxxxxxxxx/