ACCORD RELATIF À LA PROTECTION DES DONNÉES FOURNISSEUR
ACCORD RELATIF À LA PROTECTION DES DONNÉES FOURNISSEUR
Le présent Accord relatif à la Protection des Données (dénommé l’« APD ») est établi entre Cepheid pour son propre compte et, dans la mesure exigée en vertu des Règlementations et Xxxx sur la Protection des Données au nom et pour le compte de ses sociétés affiliées, si et dans la mesure où le Fournisseur traite des Données à Caractère Personnel pour lesquelles lesdites sociétés affiliées autorisées sont considérées comme le Responsable du Traitement, et le Fournisseur (ci-après dénommés le « Fournisseur »). Cepheid et le Fournisseur sont ci-après dénommés individuellement une
« Partie » ou collectivement les « Parties ».
Le présent Accord est signé dans le cadre de la relation commerciale, et en fait partie, entre Cepheid et le Fournisseur (dénommé l’« Accord ») afin de garantir des normes minimales en matière de protection des données et de cybersécurité et les exigences correspondantes, et est établi et entre en vigueur dès le début de tout transfert de Données à Caractère Personnel.
Les dispositions de l’APD s’appliquent lorsque et dans la mesure où elles sont exigées par la Loi Applicable (définie ci- dessous).
DÈS LORS, moyennant toute contrepartie valable et satisfaisante, dont la réception et la suffisance sont reconnues par les présentes, les Parties conviennent ce qui suit :
1. Définitions.
(A) « Loi Applicable » désigne toute loi (y compris toutes les lois et réglementations internationales sur la vie privée et la protection des données applicables aux Données à Caractère Personnel en question, xxxxxxxxx, x’xx y a lieu, la Loi sur la Protection des Données de l’UE ou la POPIA (Protection of Personal Information Act - Loi sur la Protection des Informations Personnelles [en Afrique du Sud]), tout règlement ou toute réglementation applicables à l’Accord, aux Services ou aux Parties, ainsi que toutes normes applicables dans le secteur d’activité relativement à la vie privée, la protection des données, la confidentialité, la sécurité des informations, la disponibilité et l’intégrité, ou la manipulation ou le Traitement (y compris la conservation et la divulgation) des Données à Caractère Personnel, tels que modifiés, réglementés, révisés ou remplacés de temps à autre.
(B) « Cepheid » désigne Cepheid et chacune de ses filiales auxquelles le Fournisseur fournit ou est chargé de fournir des Services.
(C) « Informations Protégées » désigne, sous toute forme ou tout format ou sur tout support, (i) toutes informations confidentielles de Cepheid, et/ou (ii) toutes Données à Caractère Personnel, dans chaque cas assorties de toute clé de chiffrement utilisée pour chiffrer lesdites informations ou données.
(D) « Indicent de Sécurité relatif aux Données » désigne (i) la perte ou l’utilisation abusive (par tous moyens) des Informations Protégées ; (ii) la divulgation, la modification, la corruption, le transfert, la vente, la location, la destruction ou l’utilisation des Informations Protégées ou l'accès auxdites informations, de manière involontaire, non autorisée et/ou illégale ; ou (iii) toute autre action ou omission compromettant ou susceptible de compromettre la sécurité, la confidentialité ou l'intégrité des Informations Protégées ou d’un Système, ou (iv) toute violation des garanties de sécurité.
(E) « Demande de Personne Concernée » désigne tout demande faite par une personne physique afin de mettre à jour, réviser, corriger, accéder ou s’opposer au Traitement ou de supprimer des Données à Caractère Personnel, ou toute demande similaire, qu’elle soit ou non faite en vertu de la Loi Applicable.
(F) « Loi de l’Union européenne / du Royaume-Uni / de la Suisse sur la Protection des Données » désigne (i) le Règlement n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données (le « RGDP de l’UE »)) ; (ii) le RGPD de l’UE tel que sauvegardé dans la loi du Royaume-Uni en vertu de la section 3 de la Loi de 2018 sur le Retrait de l’Union européenne du Royaume-Uni (le « RGDP du R.-U. ») ; (iii) en Suisse, la Loi fédérale sur la Protection des Données du 19 juin 1992 (version révisée) (la « LPD ») ; (iv) la Directive européenne Vie privée et Communications Électroniques (Directive 2002/58/CE) ; et
(v) toutes lois nationales applicables sur la protection des données adoptées en vertu ou aux termes des textes visés aux points (i), (ii) or (iii) ; dans chaque cas, tel(le) que modifié(e) ou remplacé(e) de temps à autre.
(G) « Données à Caractère Personnel » désigne toutes les données ou informations obtenues par le Fournisseur de la part ou pour le compte de Cepheid, sous toute forme ou tout format, permettant d’identifier, concernant, décrivant, pouvant raisonnablement être associées ou liées, de manière directe ou indirecte, à une personne physique identifiée ou identifiable. Dans un souci de clarté, par Données à Caractère Personnel il est également entendu les Informations Personnelles.
(H) « POPIA » désigne la Protection of Personal Information Act (Loi sur la Protection des Informations Personnelles) d’Afrique du Sud, à savoir la Loi qui traite de la protection et de la réglementation du traitement des informations personnelles au sein du territoire de la République d’Afrique du Sud, approuvée le 13 novembre 2013 et entrée en vigueur au 1er juillet 2020.
(I) « Traiter » (comprenant également « Traitement » ou « Traité(e)(s) ») désigne toute opération ou ensemble d’opérations exécutée(s) sur toutes Informations Protégées, que ce soit ou non par des moyens automatisés, comprenant, sans pour autant s’y limiter, la collecte, l’enregistrement, l’organisation, le stockage, l’accès, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la divulgation, la diffusion, la mise à disposition, le rapprochement, l’interconnexion, le verrouillage, la suppression, l’effacement ou la destruction.
(J) « Transfert Soumis à Restriction » désigne (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à Caractère Personnel vers un pays situé hors de l’Espace économique européen qui ne fait pas l’objet d’une décision d’adéquation par la Commission européenne ; (ii) lorsque le RGPD du R.-U. s’applique, un transfert de Données à Caractère Personnel vers tout autre pays qui ne s’appuie pas sur des réglementations en matière d’adéquation aux termes de la Section 17A de la Loi de 2018 du Royaume-Uni sur la Protection des Données ; (iii) lorsque la LPD s’applique, une divulgation transfrontalière en l’absence de législation garantissant une protection adéquate aux termes de l’Article 6 de la LPD ; et (iv) lorsque la POPIA s’applique, un transfert ou une divulgation transfrontalier(-ière) ou un échange d’informations hors de la République d’Afrique du Sud.
(K) « Clauses Contractuelles Types » désigne (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la Décision de mise en œuvre de l’Union européenne 2021/914 du 4 juin 2021 sur les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers aux termes du Règlement (UE) 2016/679 du Parlement européen et du Conseil (les « CCT de l’UE »); (ii) lorsque le RGPD du R.-U. s’applique, l’« Avenant aux Clauses Contractuelles Types de la Commission de l’UE sur les Transferts de Données Internationaux » publié par le Commissaire à l’Information aux termes de l’alinéa s.119A(1) de la Loi de 2018 sur la Protection des données (l’ « Avenant du R.-U. ») ; (iii) lorsque la LPD s’applique, les modèles de contrats et les clauses contractuelles types reconnus par le Préposé Fédéral à la Protection des Données et à la Transparence de la Suisse (le « PFPDT ») aux termes de l’Article 6, paragraphe, 2 alinéa a de la LPD conformément au communiqué du PFPDT en date du 27 août 2021 (initialement disponible à l’adresse suivante : xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000000000.xxx.xx
wnload.pdf/Paper%20SCC%20def.en%2024082021.pdf) (l’ « Avenant Suisse ») ; et (iv) lorsque la POPIA s’applique, les clauses contractuelles relatives à la protection, au traitement et au transfert des informations personnelles, signées par deux ou plusieurs parties à l’égard desdites informations.
(L) « Sous-traitant Ultérieur » désigne toute entité ou personne qui Traite les Données à Caractère Personnel pour le compte du Fournisseur.
(M) « Système » désigne tout système, tout réseau, toute plateforme, toute base de données, tout ordinateur, tout système de télécommunication ou tout autre système d’information qui sont la propriété de, ou sont contrôlés ou exploités par ou au nom de, l’une des Parties ou l’une quelconque de ses Sociétés Affiliées aux fins du Traitement des Informations Protégées.
Tous termes et expressions utilisés dans le présent Avenant et non définis préalablement ont la signification qui leur est attribuée par la Loi Applicable.
2. Exigences générales. Si le Fournisseur Traite des Informations Protégées pour le compte de Cepheid, le Fournisseur devra :
(A) Traiter les Informations Protégées uniquement dans la mesure nécessaire pour fournir les Services à Cepheid, et en conformité avec la Loi Applicable et les instructions données par écrit par Xxxxxxx. Il est expressément interdit au Fournisseur de vendre des Informations Protégées et de conserver, utiliser ou divulguer des Données à Caractère Personnel à toute autre fin commerciale que la fourniture des Services ou de toute autre manière en dehors de la relation commerciale directe entre le Fournisseur et Cepheid ;
(B) veiller au respect de la confidentialité de toutes les Informations Protégées ;
(C) être responsable du fait que son personnel se conforme aux dispositions du présent APD ;
(D) ne pas divulguer des Informations Protégées à des tiers (y compris des Sous-traitants Ultérieurs) :
(1) sans l’accord écrit préalable de Cepheid, et à condition en outre que le Fournisseur demeure pleinement responsable dudit tiers vis-à-vis de Cepheid et conclue un accord écrit exécutoire avec ledit tiers qui inclura des modalités qui ne seront pas moins restrictives que les obligations applicables au Fournisseur en vertu du présent APD ; ou
(2) sauf si la Loi Applicable l’exige, et en pareil cas, le Fournisseur devra dès que possible (a) avertir Cepheid sans délai par écrit avant de se conformer à toute exigence de divulgation, (b) se conformer à toutes directives raisonnables de Cepheid relativement à ladite divulgation, et (c) informer sans délai Cepheid de toutes Informations Protégées ainsi divulguées ;
(E) notifier sans délai à Cepheid :
(1) toute demande, requête, plainte, notification ou communication reçue de la part de tout tiers, y compris une personne concernée ou une autorité de contrôle, relativement à toutes Informations Protégées et se conformer aux instructions de Cepheid dans le cadre de la réponse à ladite demande, requête, plainte, notification ou communication. Sans limiter le caractère général de ce qui précède, le Fournisseur devra notifier à Cepheid par écrit, dans un délai de cinq (5) jours ouvrés suivant sa réception, toute Demande de Personne Concernée relative à des Données à Caractère Personnel Traitées par le Fournisseur en vertu du présent APD et il apportera à Cepheid son assistance raisonnable pour répondre à ladite Demande de Personne Concernée (reçue directement ou non par le Fournisseur) ;
(2) toute instruction donnée par Cepheid que le Fournisseur estime être en violation de la Loi Applicable ; et
(3) toutes modifications substantielles apportées aux notifications, politiques ou procédures du Fournisseur qui entraveraient la capacité du Fournisseur à remplir les conditions du présent APD concernant la protection des Données à Caractère Personnel ;
(F) à la demande raisonnable de Cepheid, soumettre à un audit les installations que le Fournisseur utilise pour Traiter les Informations Protégées et/ou les Données à Caractère Personnel, ledit audit devant être mené par des représentants de Cepheid ou un organisme d’audit convenu entre les deux Parties ;
(G) tenir des registres qui démontrent son respect des obligations lui incombant en vertu du présent APD et les mettre à la disposition de Cepheid dans le cadre de tout audit mentionné au paragraphe (F) ci-dessus ;
(H) apporter son assistance et sa coopération à Cepheid, dans une mesure raisonnable, y compris en fournissant les informations demandées par Xxxxxxx, afin de permettre à Cepheid de se conformer aux obligations lui incombant en vertu de la Loi Applicable ;
(I) conserver les Informations Protégées uniquement aussi longtemps que nécessaire aux fins d’exécuter les Services et, à l’issue de la prestation des Services, au gré de Cepheid, supprimer ou restituer à Cepheid les Informations Protégées conformément à ce qui figure à l’Annexe 1 ci-dessous, à moins que la Loi Applicable ne l’exige expressément autrement. Sans limiter le caractère général de ce qui précède et la durée définie à l’Annexe 1 ci- dessous, le Fournisseur devra, dans un délai de cinq (5) jours ouvrés à compter de toute demande applicable de la part de Cepheid, supprimer ou détruire toutes les copies des Données à Caractère Personnel conformément aux directives de Cepheid, et fournir une copie desdites données dans un format portable et d’utilisation facile conformément aux directives de Cepheid ; et
(J) si le Fournisseur a lieu de suspecter ou a connaissance d’un Incident de Sécurité relatif aux Données :
(1) fournir à Cepheid une notification écrite dans les meilleurs délais et au plus tard dans les vingt-quatre (24) heures suivant le moment où il a eu connaissance dudit Incident de Sécurité, présumé ou confirmé, relatif aux Données ;
(2) mener une enquête sur ledit Incident de Sécurité relatif aux Données et coopérer dans une mesure raisonnable avec Cepheid, ses organismes de règlementation et agences d’application des lois ;
(3) ne faire aucune annonce publique concernant ledit Incident de Sécurité relatif aux Données sans l'approbation préalable écrite de Cepheid, approbation qui ne devra pas être refusée sans motif raisonnable ; et
(4) prendre toutes les mesures correctives raisonnables en temps opportun, aux frais du Fournisseur, afin de remédier audit Incident de Sécurité relatif aux Données et d’en éviter la récidive.
3. Cybersécurité et Sécurité des Informations. Le Fournisseur déclare et garantit qu’il devra établir, maintenir et respecter :
(A) des garanties administratives, techniques et physiques visant à assurer la sécurité, la confidentialité, la fiabilité et l’intégrité des Informations Protégées, ainsi que de tous Systèmes, installations ou logiciels auxquels le Fournisseur a accès ou dont il assure le support. Lesdites garanties devront :
(1) être proportionnées par rapport au type et à la quantité d’Informations Protégées Traitées par le Fournisseur, eu égard à l’état des connaissances et aux normes de l’industrie, et devront au minimum protéger les Informations Protégées et les Systèmes contre toutes menaces ou tous risques raisonnablement prévus, y compris contre tout accès non autorisé, tout perte, tout vol, toute destruction, toute utilisation, toute modification, toute collecte, toute attaque ou toute divulgation ;
(2) traiter des contrôles de sécurité stipulés dans les normes de la série XXX 00000 et dans le document Critical Security Controls (Contrôles critiques de sécurité) du Center for Internet Security (CIS - Centre pour la Sécurité Internet), auparavant connu sous le nom de SANS Top 20 ; et
(3) se conformer aux Normes de Sécurité des Données de l’Industrie des Cartes de Paiement (PCI DSS) si le Fournisseur Traite des données de titulaires de cartes ou toutes autres données financières ;
(B) une politique et un programme de sécurité écrits répondant ou allant au-delà des exigences imposées par la Loi Applicable et étant en conformité avec les pratiques établies dans l’industrie. Ladite politique et ledit programme de sécurité devront traiter au minimum de ce qui suit :
(1) l’identification de rôles organisationnels dûment définis relativement à la sécurité des informations ;
(2) des contrôles en matière d’emploi et d’accès aux Informations Protégées par les employés, agents et sous- traitants du Fournisseur, y compris des vérifications d’antécédents, des habilitations de sécurité attribuant des privilèges d’accès spécifiques à certaines personnes, et des formations relatives à la manipulation des Informations Protégées ;
(3) un programme approprié de sécurité du réseau comprenant, sans s’y limiter, le chiffrement et partitionnement du réseau et des applications ;
(4) l’authentification et identification en matière d’accès ;
(5) la maintenance et l’élimination des supports ;
(6) l’audit et l’obligation de rendre compte ;
(7) la protection physique et environnementale ;
(8) la sécurité des systèmes et communications ;
(9) la planification et la réponse relativement aux incidents ; et
(10) l’intégrité et la fiabilité des installations, systèmes et services, y compris l’identification des actifs critiques, la gestion de la configuration et la gestion des modifications apportées aux systèmes logiciels, et la redondance/planification d’urgence.
4. Droits du Tiers. Les Parties au présent APD expressément confirment et reconnaissent que, lorsque le Fournisseur exécutera des Services au nom ou pour le compte de Cepheid, Cepheid jouira du bénéfice non exclusif des droits découlant du présent APD. Par conséquent, Xxxxxxx pourra prendre toute mesure afin d’exécuter les droits et obligations qui découlent du présent APD.
5. Transferts Internationaux.
(A) Les Parties conviennent que lorsque le transfert de Données à Caractère Personnel de Cepheid au Fournisseur est un Transfert soumis à Restriction, il sera soumis aux Clauses Contractuelles Types concernées telles que stipulées à l’Annexe 3.
(B) Le Fournisseur ne prendra pas part (ni ne permettra à un Sous-traitant Ultérieur de prendre part ) à tous autres Transferts soumis à Restriction de Données à Caractère Personnel (que ce soit en tant qu’exportateur ou qu’importateur de Données à Caractère Personnel) à moins que : (i) il ait d’abord obtenu le consentement préalable écrit de Cepheid, consentement qui lorsque Xxxxxxx est un sous-traitant pour le compte d’un responsable du traitement tiers, sera le reflet des instructions du responsable du traitement ; et que (ii) le Transfert soumis à Restriction soit effectué dans le respect total de la Loi Applicable et conformément aux Clauses Contractuelles Types mises en œuvre entre l’exportateur et l’importateur concernés des Données à Caractère Personnel.
6. Dispositions diverses. S’il y a lieu, les Clauses Contractuelles Types, y compris les Annexes 1 à 5, s’appliqueront et prévaudront en cas de conflit ou d’incohérence entre les dispositions du présent APD et celles des Clauses Contractuelles Types.
Annexe 1 de l’APD
Description du Traitement des Données
Liste des Parties Responsable du Traitement :
1. | Nom : | Cepheid |
Adresse : | Telle que définie dans l’Accord principal entre les Parties | |
Nom, fonction et coordonnées de la personne de contact : | Tels que définis dans l’Accord principal entre les Parties | |
Activités applicables aux données transférées en vertu des présentes Clauses : | Décrites dans la présente Annexe 1 | |
Fonction : | Responsable du Traitement |
Sous-Traitant :
1. | Nom : | Fournisseur |
Adresse : | Telle que définie dans l’Accord principal entre les Parties | |
Nom, fonction et coordonnées de la personne de contact : | Tels que définis dans l’Accord principal entre les Parties | |
Activités applicables aux données transférées en vertu des présentes Clauses : | Décrites dans la présente Annexe 1 | |
Fonction : | Sous-Traitant |
Description du transfert Objet du Traitement
Les Données à Caractère Personnel sont traitées aux fins suivantes :
Les données seront utilisées selon les besoins pour fournir les Services et toutes instructions supplémentaires écrites de Cepheid.
Durée du Traitement
Les Données à Caractère Personnel seront traitées jusqu’à :
L’achèvement de la prestation de Services, sauf disposition contraire convenue par écrit. À l’issue du Traitement, le Fournisseur devra exécuter l’une des actions suivantes :
• Restituer à Cepheid les Données à Caractère Personnel
• Désidentifier/anonymiser les Données à Caractère Personnel
• Éliminer/détruire les Données à Caractère Personnel
Fréquence du transfert
Les Données à Caractère Personnel seront traitées soit sur une base ponctuelle soit sur une base continue.
Nature du traitement :
Opérations de traitement
Les Données à Caractère Personnel seront soumises aux activités de Traitement de base suivantes :
Selon les besoins pour l’exécution des Services et conformément aux instructions supplémentaires de Cepheid, lesdites activités comprenant notamment l’archivage, le stockage, la consultation, l’utilisation, la divulgation par transmission, l’interconnexion, la restriction, l’effacement ou la destruction, l’anonymisation, l’analyse, les rapports.
Catégories de personnes concernées
Les Données à Caractère Personnel à Traiter peuvent comprendre les catégories suivantes de personnes concernées : Les employés ou personnes de contact de l’une ou l’autre des Parties, les contractants indépendants, les clients, les patients et d’autres tiers
Catégories de Données à Caractère Personnel
Les Données à Caractère Personnel à Traiter peuvent comprendre les catégories de données suivantes :
Coordonnées de contact, informations relatives à l’emploi, identification personnelle, données de santé, données démographiques et renseignements sur les patients, disposition des patients
Catégories Particulières de Données (s’il y a lieu)
Les Données à Caractère Personnel à Traiter peuvent comprendre les catégories particulières de données suivantes : Informations biométriques, numéro de sécurité sociale, informations relatives à la santé
Autorité compétente
L’Autorité compétente sera l’autorité de contrôle de l’État membre de l’UE où l’exportateur est établi, le Commissaire à l’Information si l’exportateur est établi au Royaume-Uni (« R.-U. ») ou le PFPDT si l’exportateur est établi en Suisse. Lorsque l’exportateur n’est pas établi dans un État membre de l’UE ou au Royaume-Uni ou en Suisse mais est soumis à la Loi de l’UE/du R.-U/de la Suisse sur la Protection des Données, l’autorité compétente sera l’autorité de contrôle de la juridiction où le représentant de Cepheid est établi (tel qu’imposé par la Loi de l’UE/du R.-U./de la Suisse sur la Protection des Données). Lorsque la nomination d’un représentant n’est pas requise aux termes de la Loi de l’UE/du R.-U./de la Suisse sur la Protection des Données, l’autorité de contrôle sera la CNIL en France si les personnes dont les données sont transférées sont établies au sein de l’UE, le Commissaire à l’information si les personnes sont établies au Royaume-Uni ou le PFPDT si les personnes sont établies en Suisse. Si les Données à Caractère Personnel proviennent du Canada, l’autorité de contrôle compétente sera l’un des Commissaires ayant compétence en la matière conformément à ce que définira la Loi sur la Protection des Données Applicable.
Annexe 2 de l’ADP
Mesures de sécurité techniques et organisationnelles
Le Sous-Traitant garantit qu’il a mis et continuera de mettre en œuvre pendant la durée du présent APD les mesures techniques et opérationnelles appropriées de façon à ce que son Traitement des Données à Caractère Personnel dans le cadre du présent APD réponde aux exigences de la Loi sur la Protection des Données Applicable et assure la protection des droits des Personnes Concernées.
Description des mesures de sécurité techniques et organisationnelles devant être mises en œuvre par le Fournisseur :
• Normes établies que tous les utilisateurs doivent accepter et qui imposent quels ordinateurs peuvent ou non être utilisés
• Exécution d’évaluations des risques pour les nouvelles sociétés intégrées qui interagissent avec les données de Cepheid, ainsi que lorsque des changements significatifs sont effectués
• Contrôle des logiciels que les utilisateurs sont en mesure d’installer et utiliser et mise en place d’un processus d’approbation des nouveaux logiciels
• Exécution de plusieurs versions de la formation de sécurité annuelle, des lettres d’information sur la sécurité et des tests mensuels de « phishing » (hameçonnage)
• Processus établis et éprouvés pour identifier et répondre aux incidents de sécurité
• Processus établis et éprouvés pour l’exécution des sauvegardes et la récupération des données et systèmes
• Règles de création, suppression et modification des accès pour les utilisateurs
• Obligation pour les mots de passe qu’ils se composent de 12 caractères, soient complexes et modifiés tous les 90 jours
• Normes relatives à la manière dont les services de cloud sont achetés et configurés
• Norme relative à la manière dont les ordinateurs et les systèmes sont suivis en un seul et unique lieu
• Exécution de réunions de gestion des changements pour analyse avant d’effectuer tous changements
• Normes relatives au mode de configuration, connexion et maintenance des périphériques réseau
• Normes de sécurité de base minimales pour tous les types de systèmes définis
o Les ordinateurs portables/ordinateurs de bureau (PC) doivent être équipés d’un logiciel de protection contre les « malwares » (programmes malveillants), un logiciel d’accès au réseau et une protection USB
• Normes relatives à l’envoi des journaux des événements à un système de suivi centralisé (SIEM - système de gestion des informations et des événements de sécurité)
• Processus d’identification et élimination des vulnérabilités en matière de sécurité et correctifs de sécurité sur une base régulière
Annexe 3 de l’APD
Dispositions de Transfert applicables au Royaume-Uni, à l’Union européenne et la Suisse
1. Lorsque les Clauses Contractuelles Types sont réputées conclues et incorporées dans le présent APD par référence entre les Parties, les Clauses Contractuelles Types seront complétées comme suit :
(a) le Module Deux « Transfert de Responsable du Traitement à Sous-Traitant » s’appliquera dans la mesure où Cepheid est un Responsable du Traitement des Données à Caractère Personnel ;
(b) dans la Clause 7, la clause de « docking » (adhésion) facultative ne s’appliquera pas ;
(c) dans la Clause 9, l’Option 1 s’appliquera et le délai de préavis concernant les changements de Sous- Traitant Ultérieur sera de (15) jours ;
(d) dans la Clause 11, la mention de langue facultative ne s’appliquera pas ;
(e) dans la Clause 17, l’Option 2 s’appliquera, et les CCT de l’UE seront régies par la loi de la juridiction de l’établissement de l’exportateur de données, s’il y a lieu et si ladite loi prévoit des droits des tiers, et à défaut la loi de la France ;
(f) dans la Clause 18(b), les litiges seront réglés auprès des tribunaux du pays de l’exportateur de données et à défaut les tribunaux de la France ;
(i) Partie A : avec les informations stipulées dans l’Annexe 1 au présent APD ;
(iii) Partie C : conformément aux critères stipulés dans la Clause 13 (a) des CCT de l’UE ;
(h) Annexe II : avec les Mesures de sécurité minimales ; et
(i) Xxxxxx XXX : avec l’Annexe 5 au présent APD.
3. Lorsque l’Avenant Suisse est réputé conclu et incorporé dans le présent APD par référence entre les Parties, l’Avenant Suisse sera complété comme suit :
(a) Les CCT de l’UE, complétées ainsi que stipulé ci-dessus à l’article 1 de la présente Annexe 3, s’appliqueront également aux transferts de ces Données à Caractère Personnel, sous-réserve du sous-alinéa 3.b de la présente Annexe 3 ci-dessous ;
(b) Les Clauses Contractuelles Types incorporées par référence protégeront les Données à Caractère Personnel des entités légales en Suisse jusqu’à l’entrée en vigueur de la LPD révisée.
Annexe 4 de l’APD
4.1 Exigences supplémentaires applicables au transfert de Données à Caractère Personnel hors de l’Espace économique européen
Les exigences supplémentaires suivantes s’appliqueront à tout Transfert Soumis à Restriction :
1. le Fournisseur mettra régulièrement à la disposition de Cepheid les informations concernant des demandes d’accès aux Données à Caractère Personnel émanant des autorités publiques et le mode de réponse fourni (si la loi le permet) ;
2. le Fournisseur garantit qu’il n’a pas à dessein créé des « back doors » (portes dérobées) techniques ou des processus internes visant à faciliter un accès direct par les autorités publiques aux Données à Caractère Personnel, et qu’il n’est pas contraint en vertu d’une pratique ou d’une loi applicable de créer ou maintenir des « back doors » ;
3. le Fournisseur se renseignera auprès de toute autorité publique faisant une demande d’accès concernant des Données à Caractère Personnel afin de savoir si elle coopère avec toutes autres autorités de l’état dans le cadre de l’affaire ;
4. le Fournisseur apportera toute l’assistance raisonnable aux personnes concernées exerçant leurs droits à l’égard des Données à Caractère Personnel dans la juridiction destinataire ;
5. le Fournisseur coopérera avec Xxxxxxx dans l’éventualité où une autorité de contrôle ou un tribunal ayant compétence déciderait qu’un transfert de Données à Caractère Personnel doit être soumis à des garanties de protection supplémentaires ;
6. le Fournisseur mettra en œuvre des mesures de chiffrement et/ou toutes autres mesures techniques suffisantes pour protéger de manière raisonnable les Données à Caractère Personnel contre toute interception au cours de leur transit, ou contre tout autre accès non autorisé, par les autorités publiques ; et
7. le Fournisseur devra avoir mis en place des procédures et politiques appropriées, comme par exemple une formation, de façon à ce que les demandes d’accès aux Données à Caractère Personnel émanant des autorités publiques soient acheminées vers le service concerné et traitées de manière appropriée.
4.2 Exigences supplémentaires applicables au transfert de Données à Caractère Personnel hors de la République d’Afrique du Sud
Les exigences supplémentaires suivantes s’appliqueront au transfert de Données à Caractère Personnel hors de la République d’Afrique du Sud :
1. Le transfert de Données à Caractère Personnel en dehors d’Afrique du Sud se conformera aux paramètres suivants :
(A) la Partie qui est le destinataire des informations est soumise à une loi, des règles d’entreprise contraignantes ou un accord exécutoire fournissant un niveau de protection adéquat qui :
(a) respecte(-ent) de manière efficace des principes de traitement raisonnable des informations qui sont dans l’ensemble similaires aux conditions de traitement légal des informations personnelles relatives à une personne concernée qui est une person (personne) physique et, s’il y a lieu, une person (personne) morale ; et
(b) comprend(-ennent) des dispositions relatives au transfert ultérieur d’informations personnelles du destinataire vers des tiers se trouvant dans un pays étranger ;
(B) la personne concernée donne son consentement à l’égard du transfert ;
(C) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et la partie responsable, ou à la mise en œuvre de mesures pré-contractuelles prises pour répondre à la demande d’une personne concernée ;
(D) le transfert est nécessaire à la conclusion ou l’exécution d’un contrat conclu dans l’intérêt d’une personne concernée entre la partie responsable et un tiers ; ou
(E) le transfert est effectué au profit de la personne concernée, et :
(a) il n’est pas raisonnablement possible d’obtenir le consentement de la personne concernée à l’égard dudit transfert ; et
(b) s’il était raisonnablement possible d’obtenir ledit consentement, la personne concernée serait disposée à le donner.
2. Aux fins du présent article :
(A) « règles d’entreprise contraignantes » désigne des politiques de traitement des informations personnelles, au sein d’un groupe d’entreprises, auxquelles une partie responsable ou un opérateur au sein dudit groupe d’entreprises se conforme lors du transfert d’informations personnelles à une partie responsable ou un opérateur au sein du même groupe d’entreprises dans un pays étranger ; et
(B) « groupe d’entreprises » désigne une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle.
Annexe 5 de l’APD
Liste des sous-traitants ultérieurs
Le Fournisseur devra maintenir des procédures documentées relatives à la sélection, l’évaluation, la qualification et la conservation des sous-traitants ultérieurs auxquels il a recours et des tiers prenant part à la fourniture des services à Cepheid. Le Fournisseur fournira à Cepheid une liste des sous-traitants ultérieurs actuels et informera Cepheid de tous changements prévus concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins 15 jours avant que l’ajout/le remplacement ne soit effectif. Cepheid a la possibilité de s’opposer à des changements de cette nature.