CONTRAT DE TRAITEMENT DES DONNÉES POUR LES SERVICES SAP (« DPA »)
CONTRAT DE TRAITEMENT DES DONNÉES POUR LES SERVICES SAP (« DPA »)
1. DÉFINITIONS
1.1. Le terme « Rapports de vérification et Certifications » désigne les documents disponibles à l'adresse xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx-xxxxxxxxxx/xxxxxxxxxx-xxxxxx.xxxx ou sur un autre site Web ultérieur indiqué au Client.
1.2. Le terme « Service Cloud » désigne toute solution à la demande, distincte, basée sur un abonnement, hébergée, maintenue et exploitée telle que définie dans le Contrat.
1.3. Le terme « Responsable du traitement » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul(e) ou associé(e) à d'autres personnes, détermine les finalités et les méthodes de traitement des Données à caractère personnel; aux fins du présent DPA, lorsque le Client agit en qualité de sous-traitant pour un autre responsable du traitement, il doit, en relation avec SAP, être considéré comme un Responsable du traitement supplémentaire et indépendant qui dispose des droits et obligations relatifs aux responsables du traitement en vertu du présent DPA.
1.4. Le terme « Loi en matière de protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes physiques et leur droit à la vie privée concernant le traitement des Données à caractère personnel en vertu du Contrat.
1.5. Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable, telle que définie par la Loi en matière de protection des données.
1.6. Le terme « EEE » désigne l'Espace économique européen, à savoir les États membres de l'Union européenne ainsi que l'Islande, le Liechtenstein et la Norvège.
1.7. Le terme « RGPD » désigne le Règlement général sur la protection des données 2016/679.
1.8. Le terme « Liste des Sous-traitants ultérieurs » désigne une compilation des noms, adresses et rôles de chacun des Sous-traitants ultérieurs auxquels SAP a recours pour fournir les Services SAP, laquelle est en général publiée à l'adresse xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx/xxxxxxxxxxxxx.xxxx ou sur un autre site Web ultérieur indiqué au Client.
1.9. Le terme « My Trust Center » désigne les informations disponibles sur le SAP Support Portal (voir: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou le site Web dédié aux contrats SAP (voir: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou tout autre site Web ultérieur mis à la disposition du Client par SAP.
1.10. Le terme « Transfert relevant des nouvelles CCT » désigne un transfert (ou un transfert ultérieur) vers un Pays tiers de Données à caractère personnel soumises au RGPD ou à la Loi applicable en matière de protection des données, lorsqu’une garantie adéquate requise en vertu du RGPD ou de la Loi applicable en matière de protection des données peut être satisfaite en concluant les Nouvelles clauses contractuelles types.
1.11. Le terme « Nouvelles clauses contractuelles types » désigne les clauses contractuelles types inchangées, publiées par la Commission européenne (référence 2021/914) ou toute version finale ultérieure telle qu’adoptée par SAP. Pour fins de clarifications, les Modules 2 et 3 s'appliquent conformément à la Section 8.3.
1.12. Le terme « Données à caractère personnel » désigne tout renseignement lié à une Personne concernée. Aux fins du DPA, le terme recouvre uniquement les données à caractère personnel qui sont:
a) traitées par SAP dans le cadre du Service Cloud, ou
b) fournies à ou obtenues par SAP ou ses Sous-traitants ultérieurs en vue d’apporter des services de support en vertu du Contrat applicable ou en connexion avec les Services SAP.
1.13. Le terme « Violation des Données à caractère personnel » désigne tout événement confirmé recensé ci- dessous:
a) la destruction, la perte ou l'altération accidentelle ou illicite ou la divulgation non autorisée de Données à caractère personnel ou l'accès non autorisé de tiers à de telles données; ou
b) un incident similaire impliquant des Données à caractère personnel pour lequel le Responsable du traitement est tenu d'informer les autorités de protection des données compétentes ou les Personnes concernées, en vertu de la Loi en matière de protection des données.
1.14. Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement, que ce soit de façon directe en tant que Sous-traitant d'un Responsable du traitement ou de façon indirecte en tant que Sous-traitant ultérieur d'un Sous-traitant qui traite des Données à caractère personnel pour le compte du Responsable du traitement.
1.15. Le terme « Support SAP » désigne les services de support tels que définis dans le Contrat applicable.
1.16. Le terme « Annexe » désigne l'Appendice portant le numéro correspondant joint aux Clauses contractuelles types (2010) et l'Annexe portant le numéro correspondant jointe aux Nouvelles clauses contractuelles types.
1.17. Le terme « Services » désigne les services d'implémentation, services-conseils et/ou autres services connexes tels que définis dans le Contrat et peut également apparaître sous le terme « Services-conseils » ou « Services professionnels » dans le Contrat.
1.18. Le terme « Clauses contractuelles types (2010) » désigne les Clauses contractuelles types (sous-traitants) publiées par la Commission européenne, référence 2010/87/UE.
1.19. Le terme « Sous-traitant ultérieur » désigne les Sociétés affiliées de SAP, SAP SE, les Sociétés affiliées de SAP SE et les tiers engagés par SAP, SAP SE ou les Sociétés affiliées de SAP SE en relation avec les Services SAP et qui traitent les Données à caractère personnel conformément au présent DPA.
1.20. Le terme « Mesures techniques et organisationnelles » désigne les mesures techniques et organisationnelles pour le Service SAP concerné, publiées sur My Trust Center (voir: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx/xxxxx/xxxxx- services.html?search=Technical%20Organizational%20Measures).
1.21. Le terme « Pays tiers » désigne tout pays, organisation ou territoire non reconnu par l'Union européenne en vertu de l'Article 45 du RGPD comme étant un pays sûr disposant d'un niveau adéquat de protection des données.
2. CONTEXTE
2.1. Application
2.1.1. Le présent document (« DPA ») est intégré à un Contrat et fait partie d'un Contrat relatif aux Services SAP conclu entre SAP et le Client. Aux fins du présent DPA, les Services SAP désignent les Services Cloud, les Services et le Support SAP référencés dans le Contrat, et sont soumis aux conditions dudit Contrat.
2.1.2. Le présent DPA énonce les conditions relatives au traitement des Données à caractère personnel par SAP et ses Sous-Traitants ultérieurs en relation avec l'exécution des Services SAP.
2.1.3. Le présent DPA ne s'applique pas aux environnements non productifs des Services SAP mis à disposition par SAP. Le Client ne doit pas conserver de Données à caractère personnel dans de tels environnements.
2.2. Structure
Les Annexes 1 et 2 sont intégrées au présent DPA. Elles définissent l'objet convenu, la nature et l'objectif du traitement, le type de Données à caractère personnel, les catégories de personnes concernées et les mesures organisationnelles et techniques applicables.
2.3. Gouvernance
2.3.1. SAP agit en qualité de Sous-traitant et Client, et les entités auxquelles il autorise l'utilisation des Services SAP agissent en qualité de Responsables du traitement dans le cadre du DPA.
2.3.2. Le Client sert de point de contact unique et se chargera d’obtenir les autorisations et consentements nécessaires pour le traitement des Données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation des Responsables du traitement pour avoir recours à SAP comme Sous-Traitant. Lorsque les autorisations, instructions ou consentements sont fournis par le Client, ils sont fournis non seulement pour le compte du Client mais aussi pour le compte de tout autre Responsable du traitement. Lorsque SAP transmet des informations ou notifications au Client, lesdites informations ou notifications sont réputées reçues par les Responsables du traitement autorisés par le Client à utiliser les Services SAP ou à fournir des Données à caractère personnel. Le Client est tenu de transmettre lesdites informations et notifications aux Responsables du traitement concernés.
3. SÉCURITÉ DU TRAITEMENT
3.1. Applicabilité des Mesures techniques et organisationnelles
SAP a mis en œuvre et appliquera les Mesures techniques et organisationnelles. Le Client a examiné le caractère approprié desdites mesures avant l'exécution d'un Contrat qui intègre le présent DPA.
3.2. Modifications
3.2.1. SAP applique les Mesures techniques et organisationnelles à l'ensemble des clients SAP hébergés sur le même centre de données ou bénéficiant des mêmes Services SAP. SAP examinera les Mesures techniques et organisationnelles au besoin et peut les modifier à tout moment sans préavis, tant qu'elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.
3.2.2. SAP publiera les versions mises à jour des Mesures techniques et organisationnelles sur My Trust Center et, là où cette option est disponible, le Client pourra s'inscrire pour recevoir une notification par courriel desdites versions mises à jour.
4. OBLIGATIONS
4.1. Instructions du Client
SAP traitera les Données à caractère personnel exclusivement selon les instructions fournies par le Client. Le Contrat (comprenant le présent DPA), constitue lesdites instructions fournies. SAP mettra en œuvre des efforts raisonnables pour suivre toutes instructions supplémentaires du Client jugées raisonnable, du moment qu'elles sont techniquement faisables. Si SAP n'est pas en mesure de respecter une instruction ou estime qu'une instruction enfreint la Loi en matière de protection des données, SAP informera immédiatement le Client (courriel autorisé).
4.2. Traitement conforme aux obligations juridiques
SAP peut également traiter les Données à caractère personnel lorsque la loi applicable l'exige. Dans un tel cas, SAP informera le Client des obligations juridiques préalablement au traitement, sauf si ladite loi interdit de tels renseignements pour des raisons d'intérêt public.
4.3. Personnel
Pour traiter les Données à caractère personnel, SAP et ses Sous-traitants ultérieurs doivent uniquement accorder un accès au personnel autorisé qui s'est engagé à respecter la confidentialité. SAP et ses Sous- traitants ultérieurs formeront régulièrement le personnel ayant accès aux Données à caractère personnel aux mesures applicables liées à la sécurité et à la confidentialité des données.
4.4. Coopération
4.4.1. À la demande du Client, SAP coopérera raisonnablement avec le Client et les Responsables du traitement pour répondre aux requêtes émanant de Personnes concernées ou d'une autorité de réglementation à l'égard du traitement des Données à caractère personnel par SAP ou de toute Violation des Données à caractère personnel. Si SAP reçoit une demande de la part d'une Personne concernée en relation avec le traitement de Données à caractère personnel en vertu des présentes, SAP en informera rapidement le Client (lorsque la
Personne concernée a fourni des renseignements identifiant le Client) par courriel et ne répondra pas à une telle demande mais priera la Personne concernée d’adresser sa demande au Client.
4.4.2. En cas de litige avec une Personne concernée concernant le traitement de Données à caractère personnel par SAP dans le cadre du présent DPA, les parties doivent se tenir informées et, le cas échéant, coopérer raisonnablement en vue de résoudre le litige à l'amiable avec la Personne concernée.
4.4.3. SAP est tenue de doter les systèmes de production d’une fonctionnalité qui permette au Client de corriger, supprimer ou rendre anonymes les Données à caractère personnel d'un Service Cloud, ou de limiter leur traitement, conformément à la Loi en matière de protection des données. Si ladite fonctionnalité n'est pas fournie, SAP corrigera, supprimera ou rendra anonymes les Données à caractère personnel, ou limitera leur traitement, conformément à l'instruction du Client et à la Loi en matière de protection des données.
4.5. Notification d'une Violation des Données à caractère personnel
À compter de la découverte d'une Violation des Données à caractère personnel, SAP en informera le Client dans les meilleurs délais et fournira les renseignements raisonnables en sa possession pour aider le Client à respecter son obligation de signaler une Violation des Données à caractère personnel, conformément à la Loi en matière de protection des données. SAP peut fournir lesdits renseignements en plusieurs phases, au fur et à mesure qu'ils sont mis à disposition. Une telle notification ne saurait être interprétée ou considérée comme une admission de faute ou de responsabilité par SAP.
4.6. Analyse d'impact relative à la protection des données
Si, conformément à la Loi en matière de protection des données, le Client (ou ses Responsables du traitement) est tenu d'effectuer une analyse d'impact relative à la protection des données ou une consultation préalable avec un régulateur, SAP fournira, à la demande du Client, les documents qui sont généralement disponibles pour les Services SAP (tels que le présent DPA, le Contrat, les Rapports de vérification et Certifications). Une assistance supplémentaire doit être convenue d'un commun accord entre les parties.
5. EXPORTATION ET SUPPRESSION DES DONNÉES
5.1. Exportation et récupération
Si et dans la mesure où SAP héberge des Données à caractère personnel dans un Service Cloud, pendant la Durée d'abonnement dudit Service Cloud et conformément au Contrat, le Client peut accéder à ses Données à caractère personnel à tout moment. Le Client est autorisé à utiliser les outils d'exportation en libre- service de SAP et à récupérer ses Données à caractère personnel dans un format structuré, couramment utilisé et lisible par un système informatique.
5.2. Suppression
5.2.1. Avant l'expiration de la Durée d'abonnement du Service Cloud, le Client exécutera une exportation finale des données, qui constitue un renvoi des Données à caractère personnel depuis le Service Cloud.
5.2.2. À la fin du Contrat, le Client donne l'ordre à SAP par les présentes de supprimer les Données à caractère personnel restantes côté SAP dans un délai raisonnable, conformément à la Loi en matière de protection des données (sans dépasser 6 mois), à moins que la loi applicable n'exige de les conserver.
6. CERTIFICATIONS ET VÉRIFICATIONS
6.1. Ressources SAP.
SAP fournit gratuitement des Rapports de vérification et Certifications en ligne ou sur demande. Les vérifications supplémentaires qui exigent des ressources SAP sont limitées et régies par les sections suivantes.
6.2. Limitations
6.2.1. Le Client ou son vérificateur tiers indépendant (vérificateur tiers convenant à SAP, qui ne doit pas être un concurrent de SAP et qui doit disposer des qualifications nécessaires) peut être autorisé à mener une vérification en vertu des Sections 6.3 et 6.4. Le Client doit fournir un préavis d'au moins 60 jours pour les
vérifications, sauf si une clause contraignante de la Loi en matière de protection des données ou une autorité de protection des données compétente exige un délai de préavis plus court.
6.2.2. La fréquence (une fois tous les 12 mois au maximum), les délais et le périmètre des vérifications doivent être convenus d'un commun accord entre les parties qui agissent de manière raisonnable et de bonne foi. Les vérifications des Clients sont limitées à des vérifications à distance, dans la mesure du possible. Le Client doit fournir les résultats des vérifications à SAP. Le Client doit assumer les frais de la vérification effectuée à son initiative, sauf si ladite vérification révèle un manquement substantiel de SAP au présent DPA. Dans ce cas, SAP devra assumer ses propres frais relatifs à la vérification. S'il est établi, suite à une vérification, que SAP a manqué à ses obligations en vertu du présent DPA, SAP corrigera le manquement immédiatement et à ses propres frais.
6.3. Vérification Client des Services Cloud
6.3.1. Le Client peut vérifier l'environnement de contrôle et les pratiques de sécurité informatique de SAP relativement aux Données à caractère personnel traitées par SAP, qui exigent des ressources SAP équivalentes à 3 jours ouvrables au maximum si:
a) SAP n'a pas présenté de justificatifs suffisants attestant de sa conformité aux Mesures techniques et organisationnelles en fournissant une certification de conformité à xx xxxxx XXX 00000 ou à d'autres normes (périmètre défini dans le certificat), comme une certification XXXX00/XXXX0000 xx/xx XXXX0000 (ex: SOC2 ou C5) valide, ou bien une certification ou attestation régionale ou locale acceptée au même titre.
b) une Violation des Données à caractère personnel s'est produite; ou
c) Une vérification est requise par l'autorité de protection des données du Client ou en vertu de la Loi en matière de protection des données.
6.4. Vérification Client des Services et du Support SAP
Le Client peut vérifier les centres d'exécution des services et du support et les pratiques de sécurité informatique de SAP relativement aux Données à caractère personnel traitées par SAP, qui exigent des ressources SAP équivalentes à 1 jour ouvrable au maximum si:
a) SAP n'a pas présenté de justificatifs suffisants attestant de sa conformité aux mesures techniques et organisationnelles en fournissant une certification de conformité à xx xxxxx XXX 00000 ou à d'autres normes (périmètre défini dans le certificat).
b) une Violation des Données à caractère personnel s'est produite; ou
c) Une vérification est requise par l'autorité de protection des données du Client ou en vertu de la Loi en matière de protection des données.
6.5. Vérification d'un autre Responsable du traitement
Tout autre Responsable du traitement peut jouir des droits du Client en vertu de la présente Section 6 uniquement s'il s'applique directement au Responsable du traitement et si ladite vérification est autorisée et coordonnée par le Client. Le Client doit utiliser tous les moyens raisonnables pour combiner les vérifications des autres Responsables du traitement, afin d'éviter d'effectuer plusieurs vérifications.
7. SOUS-TRAITANTS
7.1. Utilisation autorisée
Une autorisation générale est accordée à SAP pour sous-traiter le traitement des Données à caractère personnel auprès de Sous-traitants ultérieurs, en respectant les conditions suivantes:
a) SAP ou SAP SE pour son compte engage les Sous-traitants ultérieurs dans le cadre d'un contrat écrit (y compris au format électronique), conformément aux conditions du présent DPA en rapport avec le traitement des Données à caractère personnel par le Sous-traitant ultérieur. SAP sera tenue responsable des violations par le Sous-traitant ultérieur, conformément aux conditions du Contrat.
b) SAP évalue les pratiques de sécurité, de protection de la vie privée et de confidentialité d'un Sous-traitant ultérieur préalablement à la sélection afin d'établir sa capacité à offrir le niveau de protection des Données à caractère personnel requis par le présent DPA.
c) SAP fournit au Client la Liste des Sous-traitants ultérieurs en la publiant sur My Trust Center ou en la mettant à la disposition du Client par écrit (courriel autorisé) sur demande écrite du Client.
7.2. Nouveaux Sous-traitants ultérieurs
SAP décide à son entière discrétion de recourir à des Sous-traitants ultérieurs, en respectant les conditions suivantes:
a) SAP informera le Client à l'avance (par courriel ou par message sur My Trust Center) des ajouts ou remplacements prévus sur la liste des Sous-traitants ultérieurs, en précisant le nom, l'adresse et le rôle du nouveau Sous-traitant ultérieur. Le Client accepte de s'inscrire sur le portail My trust Center et sur la Liste des Sous-traitants ultérieurs applicable et disponible. Si le Client ne formule pas d'objections, il est réputé avoir accepté le Sous-traitant ultérieur.
b) Le Client peut s'opposer au recours à un Sous-traitant ultérieur en informant SAP par écrit dans les 5 jours ouvrables qui suivent la réception de l'avis de SAP relatif aux Services et, dans le cas des Services Cloud et de Support SAP, dans les 30 jours civils, et en expliquant le(s) cause(s) raisonnable(s) justifiant son objection.
c) En cas d'objection du Client, SAP peut choisir: (i) de ne pas recourir au Sous-traitant ultérieur ou (ii) de prendre des mesures raisonnables pour remédier aux causes derrière l'objection du Client et de recourir au Sous-traitant ultérieur ou (iii) si ce n’est pas possible, de recourir au Sous-traitant ultérieur. Si le Client continue d'émettre une objection légitime, le Client pourra uniquement résilier le Service SAP concerné recourant au nouveau Sous-traitant ultérieur; toutefois, la résiliation du Support SAP devra également être conforme à la disposition relative à la résiliation telle qu'énoncée dans le Contrat de support SAP respectif. Ladite résiliation prend effet au moment défini par le Client dans son avis de résiliation écrit, étant entendu que le Client accepte le recours au Sous-traitant ultérieur proposé pour la durée restante du Contrat jusqu'à la date de prise d'effet de la résiliation.
d) Si le Client formule une objection, mais sans adopter l'une des options énoncées dans la Section 7.2.(c)
(i) ou (ii) et si SAP n'a pas reçu d'avis de résiliation, le Client est réputé avoir accepté le Sous-traitant ultérieur.
e) Toute résiliation en vertu de la présente Section ne doit pas être considérée comme étant une faute de l'une ou l'autre des parties et doit être soumise aux conditions du Contrat.
7.3. Remplacement d'urgence
8. TRAITEMENT INTERNATIONAL
8.1. Conditions pour le traitement international
SAP est autorisée à traiter les Données à caractère personnel, y compris en ayant recours à des Sous- traitants ultérieurs, conformément au présent DPA, en dehors du pays dans lequel le Client est situé, ainsi que l’autorise la Loi en matière de protection des données.
8.2. Applicabilité des Clauses contractuelles types (2010)
a) Le cas échéant, SAP et le Client concluent les Clauses contractuelles types (2010);
b) le Client adhère aux Clauses contractuelles types (2010) conclues par SAP ou SAP SE et le Sous-traitant ultérieur en tant que titulaire indépendant de droits et d’obligations; ou
c) les autres Responsables du traitement dont l'utilisation des Services SAP a été autorisée par le Client en vertu du Contrat peuvent également signer des Clauses contractuelles types avec SAP et/ou les Sous- traitants ultérieurs concernés de la même manière que le Client conformément aux Sections 8.2.1 a) et
(b) ci-dessus.
8.2.2. Les Clauses contractuelles types (2010) sont régies par la législation du pays dans lequel le Responsable du traitement concerné est établi.
8.3. Applicabilité des Nouvelles clauses contractuelles types
8.3.1. Les clauses suivantes prennent effet à compter du 27 septembre 2021 et s'appliquent uniquement aux Transferts relevant des nouvelles CCT:
8.3.1.1. Lorsque SAP n'est pas située dans un Pays tiers et agit en qualité d'exportateur de données, SAP (ou SAP SE en son nom) a signé les Nouvelles clauses contractuelles types avec chaque Sous-traitant ultérieur en tant qu'importateur de données. Le Module 3 (Transfert de Sous-traitant à Sous-traitant) des Nouvelles clauses contractuelles types s'applique auxdits Transferts relevant des nouvelles CCT.
8.3.1.2. Lorsque SAP est située dans un Pays tiers:
SAP et le Client concluent par les présentes les Nouvelles clauses contractuelles types avec le Client en tant qu'exportateur de données et SAP en tant qu'importateur de données, l’application desdites clauses se faisant comme suit:
a) le Module 2 (Transfert de Responsable de traitement à Sous-traitant) s'applique lorsque le Client est un Responsable du traitement; et
b) le Module 3 (Transfert de Sous-traitant à Sous-traitant) s'applique lorsque le Client est un Sous-traitant. Lorsque le Client agit en tant que Sous-traitant en vertu du Module 3 (Transfert de Sous-traitant à Sous- traitant) des Nouvelles clauses contractuelles types, SAP reconnaît que le Client agit en tant que Sous- traitant en vertu des instructions de son/ses Responsable(s) du traitement.
D’autres Responsables du traitement ou Sous-traitants dont l'utilisation des Services Cloud a été autorisée par le Client en vertu du Contrat peuvent également signer les Nouvelles clauses contractuelles types avec SAP de la même manière que le Client conformément à la Section 8.3.1.2 ci-dessus. Dans un tel cas, le Client signe les Nouvelles clauses contractuelles types pour le compte des autres Responsables du traitement ou Sous-traitants.
8.3.2. Dans le contexte d'un Transfert relevant des nouvelles CCT, si une Personne concernée adresse une telle demande au Client, le Client peut mettre à la disposition de Personnes concernées une copie du Module 2 ou 3 des Nouvelles clauses contractuelles types conclues entre le Client et SAP (y compris les Annexes pertinentes).
8.3.3. Le droit applicable aux Nouvelles clauses contractuelles types est le droit allemand.
8.4. Lien entre les Clauses contractuelles types et le Contrat
Rien dans le présent Contrat ne saurait être interprété comme prévalant sur une clause divergente des Clauses contractuelles types (2010) ou des Nouvelles clauses contractuelles types. Pour fins de clarifications, lorsque le présent DPA détaille les règles liées aux vérifications et aux Sous-traitants ultérieurs, lesdites spécifications s'appliquent également en relation avec les Clauses contractuelles types (2010) et les Nouvelles clauses contractuelles types.
8.5. Droit de tiers bénéficiaires en vertu des Nouvelles clauses contractuelles types
8.5.1. Lorsque le Client est situé dans un Pays tiers et agit en qualité d'importateur de données en vertu du Module 2 ou du Module 3 des Nouvelles clauses contractuelles types et que SAP agit en qualité de Sous-traitant ultérieur du Client en vertu du Module applicable, l'exportateur de données concerné dispose du droit de tiers bénéficiaire spécifié ci-après:
8.5.2. Si le Client a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable (dans chaque cas, sans qu’une entité lui ait succédé en assumant les obligations légales du Client en vertu de contrats ou de clauses légales), l'exportateur de données concerné a le droit de résilier le Service SAP concerné, uniquement dans la mesure où les Données à caractère personnel de l'exportateur de données sont traitées. Dans un tel cas, l'exportateur de données concerné demande également à SAP de supprimer ou de renvoyer les Données à caractère personnel.
9. DOCUMENTATION; ENREGISTREMENTS DU TRAITEMENT
Chaque partie est tenue de se conformer aux exigences en matière de documentation qui lui sont propres, notamment la gestion des enregistrements du traitement lorsque la Loi en matière de protection des données l'exige. Chaque partie doit apporter une assistance raisonnable à l'autre partie concernant ses exigences en matière de documentation. Le Client doit fournir et gérer les informations concernant tous les Responsables du traitement (ex: nom légal et adresse) utilisant les Services SAP au format électronique (ex: dans le Formulaire de commande), chaque fois que SAP émet une demande raisonnable en ce sens, afin que SAP soit en mesure de respecter toute obligation relative à la gestion des enregistrements du traitement.
Annexe 1 Description du traitement
La présente Annexe 1 a pour objet de décrire le Traitement de Données à caractère personnel aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
1. A. LISTE DES PARTIES
1.1. En vertu des Clauses contractuelles types (2010)
1.1.1. Exportateur de données
L'exportateur de données désigne le Client ayant conclu avec SAP le Contrat pour la prestation des Services SAP décrits dans le Contrat applicable. Lorsque l’exportateur de données autorise d’autres Responsables du traitement à utiliser également le Service SAP, ceux-ci sont aussi des exportateurs de données.
1.1.2. Importateur de données
1.1.2.1. S’agissant des Services Cloud
SAP et ses Sous-traitants ultérieurs qui fournissent et prennent en charge le Service Cloud sont des importateurs de données en vertu des Clauses contractuelles types (2010).
1.1.2.2. S’agissant d’autres Services SAP
SAP et ses Sous-traitants ultérieurs qui fournissent le Service SAP tel que défini dans le Contrat applicable conclu avec l'exportateur de données, lequel comprend les Clauses contractuelles types (2010), sont des importateurs de données.
1.2. En vertu des Nouvelles clauses contractuelles types
1.2.1. Module 2: Transfert de Responsable de traitement à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est le Responsable du traitement et que SAP est le Sous- traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
1.2.2. Module 3: Transfert de Sous-traitant à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est un Sous-traitant et que SAP est un Sous-traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
2. B. DESCRIPTION DU TRANSFERT
2.1. Personnes concernées
Sauf décision contraire de l'exportateur de données, les Données à caractère personnel transférées concernent les catégories de Personnes concernées suivantes: employés, prestataires, Partenaires d'affaires ou autres personnes dont les Données à caractère personnel sont stockées par l’importateur de données, lui ont été transmises, ont été mises à sa disposition ou ont été obtenues ou traitées par ce dernier.
2.2. Catégories de données
Les Données à caractère personnel transférées concernent les catégories de données suivantes:
Le Client détermine les catégories de données et/ou les champs de données pouvant être transféré(e)s par Service SAP tel qu'indiqué dans le Contrat applicable. S'agissant des Services Cloud, le Client peut configurer les champs de données lors de l'implémentation du Service Cloud ou selon d'autres modalités prévues par le Service Cloud. Les Données à caractère personnel transférées concernent généralement les catégories de données suivantes: nom, numéro de téléphone, adresse électronique, données liées à l'adresse, données concernant l'accès aux systèmes, les utilisations et autorisations correspondantes, nom de la société, données contractuelles, données de facturation et données spécifiques à l'application transférées ou saisies dans le Service SAP par les Utilisateurs autorisés qui peuvent inclure des données financières telles que des données liées à des comptes bancaires et cartes de crédit ou de débit.
2.3. Catégories spéciales de données (en cas d’accord à ce sujet)
2.3.1. Les Données à caractère personnel transférées peuvent comprendre des catégories spéciales de données à caractère personnel définies dans le Contrat (« Données sensibles »). SAP a pris les Mesures techniques et organisationnelles définies à l'Annexe 2 pour garantir un niveau de sécurité approprié de manière à protéger également les Données sensibles.
2.3.2. Le transfert de Données sensibles peut déclencher l'application des restrictions ou garanties supplémentaires suivantes si nécessaire pour prendre en compte la nature des données et le degré variable de probabilité et de gravité des risques pour les droits et libertés des personnes physiques (le cas échéant):
a) formation du personnel;
b) chiffrement des données en transit et au repos;
c) journalisation des accès au système et journalisation des accès aux données générales.
2.3.3. En outre, les Services Cloud prévoient des mesures pour la gestion des Données sensibles, qui sont décrites dans la Documentation.
2.4. Finalités du transfert de données et poursuite du traitement; nature du traitement
2.4.1. S'agissant des Services Cloud
2.4.1.1. Les Données à caractère personnel transférées sont soumises aux activités de traitement de base suivantes:
a) utilisation de Données à caractère personnel pour installer, exploiter, suivre et fournir le Service Cloud (y compris pour le Support opérationnel et technique);
b) amélioration continue des caractéristiques et fonctionnalités fournies dans le cadre du Service Cloud, notamment l'automatisation, le traitement transactionnel et l'apprentissage automatique;
c) prestation des Services-conseils;
d) communication avec les Utilisateurs autorisés;
e) stockage de Données à caractère personnel dans des centres de données dédiés (architecture partagée);
f) lancement, développement et téléversement de correctifs et de mises à niveau du Service Cloud;
g) sauvegarde et restauration de Données à caractère personnel stockées dans le Service Cloud;
h) traitement informatique de Données à caractère personnel, notamment la transmission de données, l'extraction de données et l'accès aux données;
i) accès via un réseau pour permettre le transfert de Données à caractère personnel;
j) suivi, correction et administration de la base de données et de l'infrastructure sous-jacentes du Service Cloud;
k) gestion de la sécurité, aide à la détection des intrusions réseau, tests de pénétration; et
l) exécution des instructions du Client conformément au Contrat.
2.4.1.2. L'objectif du transfert est de fournir et d'assurer le support du Service Cloud. SAP et ses Sous-traitants ultérieurs peuvent prendre en charge les centres de données du Service Cloud à distance. SAP et ses Sous-traitants ultérieurs fournissent une assistance lorsqu'un Client soumet un message de support tel que précisé dans le Contrat.
2.4.2. S'agissant des autres Services SAP
Les Données à caractère personnel transférées sont soumises aux activités de traitement de base définies dans le Contrat, notamment:
a) accès aux systèmes contenant des Données à caractère personnel en vue de fournir les Services et le Support SAP;
b) utilisation de Données à caractère personnel pour fournir le Service SAP;
c) amélioration continue des caractéristiques et fonctionnalités fournies dans le cadre du Service SAP, notamment l'automatisation, le traitement transactionnel et l'apprentissage automatique;
d) stockage de Données à caractère personnel;
e) traitement informatique de Données à caractère personnel pour la transmission de données;
f) exécution des instructions du Client conformément au Contrat.
2.4.3. S'agissant du Support SAP: SAP ou ses Sous-traitants ultérieurs fournissent un support lorsqu'un Client soumet un message de support car le Progiciel n'est pas disponible ou ne fonctionne pas comme prévu. Ils fournissent une réponse par téléphone, apportent des corrections basiques aux erreurs et gèrent les messages de support dans un système de suivi.
2.4.4. S'agissant des Services: SAP ou ses Sous-traitants ultérieurs fournissent les Services régis par le Formulaire de commande et le Périmètre des Services correspondant.
2.5. L'objectif du transfert est de fournir et d'assurer le support du Service SAP concerné. SAP et ses Sous-traitants ultérieurs peuvent fournir ou assurer le support du Service SAP à distance.
2.6. La fréquence des transferts (par exemple, si les données sont transférées de manière ponctuelle ou continue): Les Données à caractère personnel seront transférées de façon continue pendant la durée du Contrat.
2.7. La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée:
Les Données à caractère personnel seront conservées par SAP tel que défini dans la Section 5 ci-dessus.
2.8. Pour les transferts à des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement:
SAP transférera les Données à caractère personnel aux Sous-traitants ultérieurs tel qu'indiqué dans la Liste des Sous-traitants ultérieurs applicable pendant la durée du Contrat.
3. C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
3.1. Concernant les Nouvelles clauses contractuelles types:
3.1.1. Module 2: Transfert de Responsable de traitement à Sous-traitant
3.1.2. Module 3: Transfert de Sous-traitant à Sous-traitant
3.2. Lorsque le Client est l'exportateur de données, l'autorité de contrôle doit être l'autorité de contrôle compétente qui supervise le Client conformément à la Clause 13 des Nouvelles clauses contractuelles types.
Annexe 2 Mesures techniques et organisationnelles
La présente Annexe 2 a pour objet de décrire les Mesures techniques et organisationnelles applicables aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
SAP appliquera et gèrera les Mesures techniques et organisationnelles.
Dans la mesure où la mise à disposition du Service Cloud comprend des Transferts relevant des nouvelles CCT, les Mesures techniques et organisationnelles définies à l'Annexe 2 décrivent les mesures et garanties qui ont été mises en place pour prendre pleinement en compte la nature des données à caractère personnel et les risques associés. Si les lois locales risquent d'influer sur le respect des clauses, l'application de garanties supplémentaires au moment de la transmission et du traitement des données à caractère personnel dans le pays de destination pourra être déclenchée (le cas échéant: chiffrement des données en transit, chiffrement des données au repos, anonymisation, pseudonymisation).