Contract
A. Dispositions générales
ACCORD DE TRAITEMENT DES DONNÉES
1. Parties, Contrat de prestation de services. Le présent Accord de traitement des données (l’« ATD ») est conclu entre l’entité identifiée ci-dessous comme le Responsable du traitement (le « Responsable du traitement », le « Client » ou l’« Exportateur de données »), et Proofpoint, Inc., 000 X. Xxxxx Xxxxxx, Xxxxxxxxx, XX 00000, Xxxxx-Xxxx (le « Sous-traitant », « Proofpoint » ou l’« Importateur de données ») et est joint, selon le cas, aux éléments suivants : (1) les Conditions générales de Proofpoint, le Contrat-Cadre d’abonnement et l’Annexe/les Annexes relative(s) aux produits concernée(s), (2) le contrat de licence pour utilisateur final (CLUF-EULA, ou contrat en ligne dit « clickwrap » ou « clickthrough ») accepté par le Responsable du traitement lors de l’enregistrement du produit ou service Proofpoint et de l’accès initial du Responsable du traitement à celui-ci, ou
(3) tout autre accord de licence rédigé et signé entre les parties au titre duquel le Sous-traitant fournit les produits ou services au Responsable du traitement (ci-après dénommés individuellement le « Contrat de prestation de services »).
2. Définitions. Les termes et expressions employés dans le présent ATD mais non définis, y compris, sans s’y limiter,
« activité », « finalité commerciale », « consommateur », « responsable du traitement », « personne concernée »,
« données à caractère personnel », « informations personnelles », « traitement », « sous-traitant », « vente », « données sensibles », « prestataire de services », « sous-traitant ultérieur » et leurs termes dérivés respectifs, auront la signification qui leur est attribuée dans les lois, réglementations et décisions relatives à la protection des données et à la vie privée applicables à une partie au présent ATD (la « Loi applicable en matière de protection des données »), qui peuvent inclure, sans s’y limiter (i) le Règlement général sur la protection des données de l’UE (2016/679) (le « RGPD »), (ii) la Loi générale brésilienne sur la protection des données de 2018, la Loi fédérale brésilienne 13.709/2018, Lei Geral de Proteção de Dados, (iii) la Loi japonaise sur la protection des informations personnelles n° 57 de 2003 telle que modifiée, et ses réglementations applicables, et (iv) la Loi californienne sur la protection de la vie privée des consommateurs de 2018, Code civil de Californie §1798.100 et suivants et ses règlements d’application, dans chaque cas tels que modifiés ou remplacés de temps à autre.
3. Traitement des données du Responsable du traitement. La nature et l’objet du traitement effectué par Proofpoint pour le compte du Responsable du traitement et les instructions du Responsable du traitement à Proofpoint sont décrits dans le Contrat de prestation de services. Les types de Données à caractère personnel et les catégories de Personnes concernées, y compris, sans s’y limiter, les opérations de traitement, sont indiqués à l’Appendice 1 au présent ATD.
4. Droits des personnes concernées. Sous réserve de la Loi applicable en matière de protection des données, le Sous-traitant informera rapidement le Responsable du traitement, dans la mesure où la loi le permet, s’il reçoit une demande d’une Personne concernée d’exercer ses droits en vertu de la Loi applicable en matière de protection des données, et aidera raisonnablement le Responsable du traitement à répondre à cette demande.
5. Violation de sécurité. Sous réserve de la Loi applicable en matière de protection des données, en cas d’utilisation, de divulgation ou d’acquisition non autorisée par un tiers de Données à caractère personnel avérée compromettant la sécurité, la confidentialité ou l’intégrité des Données à caractère personnel conservées par le Sous-traitant (une
« Violation de sécurité »), le Sous-traitant informera le Responsable du traitement par écrit de la violation dans les meilleurs délais et fournira des mises à jour périodiques, y compris toute information requise par la Loi applicable en matière de protection des données. Si le Responsable du traitement estime qu’il est approprié d’informer une Autorité de contrôle, une Personne concernée ou une autre partie, dans la mesure où cette notification fait référence au Sous-traitant, que ce soit explicitement par son nom ou autrement, le Responsable du traitement en informera le Sous-traitant à l’avance et examinera de bonne foi toute modification demandée par le Sous-traitant.
6. Coopération avec les Autorités de contrôle. Le Sous-traitant apportera une assistance raisonnable au Responsable du traitement lors la coopération ou de la consultation préalable avec l’Autorité de contrôle dans le cadre de l’exécution des obligations qui lui incombent en vertu de la Loi applicable sur la protection des données. En outre, dans le cadre de la demande de l’Autorité de contrôle, aux frais du Responsable du traitement, le Sous-traitant fera des efforts raisonnables pour obtenir le concours raisonnable des Sous-traitants ultérieurs en fournissant un accès aux informations pertinentes nécessaires pour exécuter les obligations qui incombent au Responsable du traitement en vertu du Loi applicable en matière de protection des données.
7. Confidentialité des données du Responsable du traitement. Le Sous-traitant ne divulguera à aucun(e) organisme gouvernemental tiers ou autorité publique tierce, les Données du Responsable du traitement, sauf si cela s’avère nécessaire pour respecter une loi ou un règlement applicable ou un ordre valide et contraignant d’un organisme gouvernemental (tel qu’une assignation à comparaître ou une ordonnance juridictionnelle). Si un organisme gouvernemental envoie au Sous-traitant une demande de Données sensibles du Responsable du traitement, le Sous-traitant tentera de rediriger l’organisme gouvernemental vers le Responsable du traitement afin que ledit organisme demande au Responsable du traitement directement ces données. À cette fin, le Sous-traitant pourra fournir les informations minimales relatives au Responsable du traitement à l’organisme gouvernemental. Si le Sous-traitant se trouve dans l’obligation de divulguer des Données du Responsable du traitement à un organisme
gouvernemental, il le notifiera au Responsable du traitement dans un délai raisonnable afin de lui permettre de demander une ordonnance de protection ou tout autre recours approprié, si la loi n’empêche pas le Sous-traitant de le faire. En vertu de la Loi américaine sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act, FISA), le Sous-traitant est un « service informatique à distance » et non un fournisseur de télécommunications. Il est donc peu probable (selon le Sous-traitant) que la société fasse l’objet d’une demande gouvernementale en vertu de ces lois.
8. Sécurité des Données à caractère personnel. Le Sous-traitant doit au minimum mettre en œuvre les mesures techniques et organisationnelles indiquées à l’Annexe 1 pour assurer la sécurité des Données à caractère personnel. Le Sous-traitant n’accordera l’accès aux Données à caractère personnel en cours de traitement aux membres de son personnel que dans la mesure nécessaire à la mise en œuvre, la gestion et le suivi du Contrat de prestation de services. Le Sous-traitant s’assurera que les personnes autorisées à traiter les Données à caractère personnel reçues se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
9. Vérification et audit. Le Sous-traitant mettra à la disposition du Responsable du traitement, sur demande écrite raisonnable et sous réserve de la signature d’un accord de confidentialité spécifique, les informations relatives au Traitement des Données à caractère personnel du Responsable du traitement nécessaires pour démontrer le respect par le Sous-traitant des obligations lui incombant en vertu du présent ATD. Le Sous-traitant autorisera les demandes d’inspection sur site par le Responsable du traitement ou par un auditeur indépendant en ce qui concerne le Traitement des Données à caractère personnel afin de vérifier le respect du présent ATD, si (a) le Sous-traitant n’a pas fourni de preuves écrites suffisantes du respect des mesures techniques et organisationnelles ; (b) une Violation de sécurité s’est produite ; (c) une inspection est officiellement demandée par l’Autorité de contrôle du Responsable du traitement ; ou (d) la Loi applicable en matière de protection des données confère au Responsable du traitement un droit d’inspection sur site obligatoire ; et à condition que le Responsable du traitement n’exerce pas ce droit plus d’une fois par an, à moins que la Loi applicable en matière de protection des données n’impose des inspections plus fréquentes. Ces inspections d’installations seront menées de façon à ne jamais compromettre la sûreté, la sécurité, la confidentialité, l’intégrité, la disponibilité, la continuité et la résilience des installations inspectées, ni à exposer ou compromettre d’une quelconque autre manière les données confidentielles qui y sont Traitées. Chaque partie prendra en charge les frais qu’elle a engagés dans le cadre d’un audit ou d’une inspection. Cette disposition s’applique également à toute communication d’information ou à tout audit réalisé conformément à l’Article 8.9 (c-e) des Clauses contractuelles types.
10.Résiliation. Le Responsable du traitement reconnaît et convient qu’en cas de suspension ou de résiliation de tout Traitement de données en vertu du présent ATD ou de la Clause 18 des Clauses contractuelles types, le délai dans lequel le Sous-traitant doit cesser tout Traitement et supprimer les Données à caractère personnel sera régi par le Contrat de prestation de services figurant à l’adresse xxx.xxxxxxxxxx.xxx/xxxxx/xxxxx/xxxxxxx_xxxxxxxxxx_xxxxxxxxxx.
B. Traitement et transfert des données dans l’UE
Les parties conviennent qu’en ce qui concerne les Données à caractère personnel collectées dans l’UE, tous les Traitements de données seront conformes au Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le « RGPD »). Proofpoint est certifiée par le Cadre de protection des données UE-États-Unis (le « CPD »), adhère aux principes du CPD et a étendu sa certification CPD au Data Bridge entre le Royaume-Uni et les États-Unis. Cette certification et cette extension sont disponibles sur xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx.
Uniquement dans le cadre de la prestation des Services au Responsable du traitement en vertu du Contrat de prestation de services, les Données à caractère personnel peuvent être transférées et stockées et/ou Traitées dans tout pays dans lequel le Sous-traitant ou ses Sous-traitants ultérieurs exercent leurs activités, ce qui peut inclure des pays tiers. Tous les transferts de Données à caractère personnel en dehors de l’Espace économique européen seront régis par les Clauses contractuelles types annexées à la Décision (UE) 2021/914 de la Commission européenne (les
« CCT »), Module 2 (Responsable du traitement à sous-traitant). Proofpoint offre à ses clients la possibilité de choisir l'un ou les deux mécanismes de transfert de données comme fondement juridique pour transférer des Données à caractère personnel de l'UE vers les États-Unis, et pour traiter ces Données à caractère personnel aux États-Unis. Si le Responsable du traitement choisit d’utiliser les CCT, les parties conviennent d’intégrer ces CCT par renvoi comme suit :
1. Clauses facultatives : aucune d’entre elles n’est reprise et applicable entre les parties, sauf disposition contraire ci-après.
2. La Clause 7, ou Clause d’adhésion, s’appliquera à toute Société affiliée du Responsable du traitement autorisée à accéder aux Services en vertu du Contrat de prestation de services.
3. Clause 9, option 2 : autorisation générale pour les Sous-traitants ultérieurs et les parties conviennent que le délai de notification des changements de Sous-traitants ultérieurs sera de 30 jours.
4. La Clause 13 (Surveillance) sera la suivante :
a. Lorsque le Responsable du traitement ou une société affiliée du Responsable du traitement est établi(e) dans un État membre de l’UE, l’Autorité de contrôle chargée de veiller au respect par le Responsable du traitement ou une société affiliée du Responsable du traitement des Lois applicables en matière de protection des données en ce qui concerne le transfert de données agira en tant qu’Autorité de contrôle compétente.
b. Lorsque le Responsable du traitement ou une société affiliée du Responsable du traitement n’est pas établi(e) dans un État membre de l’UE, l’Autorité de contrôle des Pays Bas agira en qualité d’Autorité de contrôle compétente.
5. Clause 17 (Droit applicable) : Les présentes Clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agira : (a) du droit du pays indiqué dans le Contrat de prestation de services si ledit Contrat est régi par le droit d’un État membre de l’UE, ou (b) du droit des Pays Bas si le Contrat de prestation de services est régi par le droit d’un pays tiers.
6. Clause 18 (Choix du for et attribution de compétence) : les parties conviennent qu’il s’agit des tribunaux
(i) indiqués dans le Contrat de prestation de services si celui-ci a désigné un tribunal d’un État membre de l’UE, ou (ii) des tribunaux d’Amsterdam si le Contrat de prestation de services a désigné un tribunal d’un pays tiers.
C. Transferts depuis d’autres pays :
Si les parties ont coché l’une des sections suivantes, les conditions supplémentaires respectives s’appliqueront au Traitement des Données pour les Personnes concernées dans ces pays :
Suisse
En ce qui concerne les Données à caractère personnel suisses, les CCT et les sélections énoncées à la Section B ci- dessus pour les Données à caractère personnel de l’UE s’appliquent, étant toutefois précisé que :
1. L’Autorité de contrôle compétente en vertu de la Clause 13 des CCT de l’UE est le Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
2. Le droit applicable aux réclamations contractuelles en vertu de la Clause 17 des CCT de l’UE sera le droit suisse et les tribunaux compétents pour les actions entre les parties en vertu de la Clause 18 (b) seront les tribunaux suisses.
3. La référence au RGPD dans les CCT s’entend comme une référence à la loi fédérale suisse sur la protection des données du 19 juin 1992 ou à toute loi qui lui succéderait.
4. L’expression « État membre » dans les CCT de l’UE ne doit pas être interprétée de manière à exclure les Personnes concernées en Suisse de la possibilité de faire valoir leurs droits à leur lieu de résidence habituelle (Suisse) conformément à la Clause 18 (c) des CCT de l’UE.
Royaume-Uni
En ce qui concerne les Données à caractère personnel collectées au Royaume-Uni, l’Avenant relatif au Royaume-Uni s’appliquera mais, comme l’autorise l’Article 17 dudit avenant, les Parties conviennent de modifier le format des informations énoncées dans la Partie 1 de l’avenant de sorte que :
1. les coordonnées des parties dans le tableau 1 soient celles figurant à l’Annexe I (sans qu’il soit nécessaire de signer) ;
2. aux fins du tableau 2, l’avenant soit annexé aux CCT de l’UE (y compris la sélection des modules et la non-application des clauses facultatives comme indiqué à la Section B ci-dessus) ; et
3. les informations de l’annexe énumérées dans le tableau 3 figurent aux Annexe I, II et III.
4. Pour le tableau 4, aucune des parties ne peut mettre fin à l’Avenant relatif au Royaume-Uni conformément à l’Article 19.
5. Le Bureau du Commissaire à l'information du Royaume-Uni agira en tant qu'Autorité de contrôle compétente.
Autres pays
Dans les pays où le CPD et/ou le RGPD ne s’applique(nt) pas, les parties se conformeront aux principes du CPD et aux conditions du présent ATD.
Proofpoint et le Client déclarent et garantissent mutuellement que la personne qui signe la présente Xxxxxx est autorisée à signer l’ATD au nom de leur partie respective.
Client : | Proofpoint, Inc. : |
Signature : | Signature : |
Signature individuelle : | Signature individKuyelllee :Chin |
Fonction : | Fonction : GVP, General Counsel |
Date de signature : | Date de signature : 1/17/2024 |
APPENDICE 1
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données : L’exportateur de données est désigné comme le Responsable du traitement à la page 1 du présent ATD.
Importateur(s) de données : L’importateur de données est Proofpoint, Inc., un prestataire de services de sécurité de messagerie et de réseaux sociaux, d’analyse des menaces, de formation à la sécurité et d’autres services de sécurité.
B. DESCRIPTION DU TRANSFERT
Les Personnes concernées sont les employés et prestataires du Responsable du traitement, ainsi que les employés et prestataires des clients et des fournisseurs du Responsable du traitement.
Catégories de données : Les catégories de données sont identifiées dans le tableau accessible à l’adresse xxx.xxxxxxxxxx.xxx/xxxxx/xxxxx/xxxxxxx_xxxxxxxxxx_xxxxxxxxxx.
Opérations de traitement : La fréquence du transfert, la nature et la finalité du traitement, ainsi que la durée de conservation sont identifiées dans le tableau accessible à l’adresse xxxxx://xxx.xxxxxxxxxx.xxx/xx/xxxxx/xxxxx/xxxxxxx-xxxxxxxxxx-xxxxxxxxxx.
C. AUTORITÉS DE CONTRÔLE COMPÉTENTES Indiquez l’Autorité ou les Autorités de contrôle compétente(s) conformément à la Clause 13
Comme indiqué à l’Article A.6 du présent ATD.
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Les mesures techniques et organisationnelles actuelles sont disponibles sur xxx.xxxxxxxxxx.xxx/xxxxx/xxxxx/xxxxxxxxx- and-organizational-measures
ANNEXE III
La liste actuelle des sous-traitants ultérieurs au titre du Service est disponible sur le site Trust de Proofpoint à l’adresse : xxxxx://xxx.xxxxxxxxxx.xxx/xx/xxxxx/xxxxx/xxxxxxxxxxxxx. Si le Sous-traitant apporte des modifications ou des ajouts à cette liste, dans la mesure où le Responsable du traitement s’est inscrit pour recevoir des notifications sur le Site Trust, le Sous-traitant l’informera de ces modifications par courrier électronique. Les parties conviennent que cette notification satisfait aux exigences de notification stipulées à l’Article 28.2 du RGPD et de la Clause 9 des CCT.