ANNEXE RELATIVE AU TRAITEMENT DES DONNÉES CONFORMÉMENT AU RGPD
La présente Annexe relative au traitement des données (« Annexe ») entre Data Innovations LLC (« DI » y compris ses filiales), et vous, un client identifié de DI (« Client »), (le Client et DI sont désignés conjointement aux présentes comme les « Parties ») exprime l'accord des Parties concernant le traitement de Données à caractère personnel par DI et s’applique à tous les accords entre les Parties, qu’ils soient oraux ou écrits, en vertu desquels DI offre des services professionnels et/ou des services de maintenance et de support au Client (les « Contrats sous-jacents »).
Les termes utilisés dans la présente Annexe ont les significations indiquées aux présentes. Les termes commençant par une majuscule et ne recevant pas d’autre définition aux présentes, ont la signification qui leur est attribuée dans les Contrats sous-jacents.
Sauf modification ci-après, les clauses des Contrats sous-jacents demeurent en vigueur et de plein effet. En cas de conflit entre les dispositions de la présente Annexe et celles des Contrats sous-jacents, les dispositions de cette Annexe prévaudront.
a) « Responsable des données » désigne l'entité chargée de définir les finalités et les moyens du traitement des Données à caractère personnel.
b) « Sous-traitant » désigne l'entité procédant au traitement des Données protégées pour le compte du Responsable des données.
c) « Lois sur la protection des données » désigne l'ensemble des lois et réglementations applicables au traitement des Données à caractère personnel en vertu des Contrats sous-jacents. Elles incluent les lois et réglementations de l'Union européenne, de l'Espace économique européen (EEE) et de leurs États membres.
d) « Personne concernée » désigne la personne identifiée ou identifiable, visée par les Données à caractère personnel.
e) « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
f) « Loi » désigne toute loi, législation d'application, arrêté, droit exécutoire, règlement, ordonnance, politique réglementaire, lignes directrices obligatoires ou code de pratique, jugement d'un tribunal compétent, directives ou exigences que DI est tenue d'observer.
g) « Données à caractère personnel » désigne toutes les informations relatives à (i) une personne physique identifiée ou identifiable et à (ii) une personne morale identifiée ou identifiable (lorsque ces informations sont protégées d'une manière similaire aux données à caractère personnel ou aux informations personnelles identifiables aux termes des Lois applicables sur la protection des données).
h) « Violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
i) « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.
j) « Données protégées » désigne les Données à caractère personnel reçues d'un Client ou au nom de ce dernier, ou obtenues sinon en lien avec l'exercice des obligations de DI en vertu des Contrats sous-jacents.
a) Les parties reconnaissent et conviennent que pour ce qui a trait aux Données protégées, le Client est le Responsable des données et DI est le Sous-traitant. Le Client reconnaît et convient qu'il doit obtenir l'ensemble des consentements nécessaires auprès des Personnes concernées quant au traitement de leurs Données protégées.
b) La finalité du traitement par DI des Données protégées est la prestation des Services en application des Contrats sous-jacents. Le traitement prendra fin lorsque les Contrats sous-jacents arriveront à leur terme. Les types de Données à caractère personnel et les catégories de Personnes concernées faisant l'objet d'un traitement sont stipulés dans les Contrats sous-jacents et/ou il en est fait mention dans le cadre des Services assurés par DI en application des Contrats sous-jacents.
c) Les Parties doivent observer l'ensemble des Lois sur la protection des données lors de l'exécution de leurs obligations mutuelles aux termes des Contrats sous-jacents.
d) DI ne doit pas procéder au traitement des Données protégées autrement que conformément aux instructions du Client, sauf si le traitement est imposé par les Lois sur la protection des données. En ce cas, DI est tenue, dans la mesure autorisée par lesdites Lois, d'effectuer un traitement des données qui soit conforme aux Lois applicables sur la protection des données.
a) DI doit veiller à ce que les membres de son personnel en charge du traitement des Données protégées soient informés de la nature confidentielle de ces dernières, qu'ils aient reçu une formation adéquate quant aux responsabilités leur incombant et aient signé des accords de confidentialité écrits. DI s'assurera que ces obligations de confidentialité demeurent en vigueur après que l'engagement par DI des membres du personnel soit arrivé à son terme.
b) DI doit veiller à ce que l'accès aux Données protégées soit limité à ces membres du personnel assurant la prestation des Services conformément aux clauses des Contrats sous-jacents.
4) Sous-traitants : DI ne doit pas engager un autre Sous-traitant (ou un remplaçant quelconque de ce dernier) pour exercer des activités quelconques de traitement relativement aux Données protégées, sans le consentement écrit et préalable du Client. Cependant, le Client convient par les présentes que DI est susceptible de fournir un accès aux Données protégées à InterSystems Corporation (« InterSystems »), afin de permettre à cette entreprise de lui apporter le cas échéant une assistance pour la prestation de Services de maintenance et de support. DI peut communiquer des Données protégées à l'intention de fournisseurs tiers de services courants, y compris sans toutefois s'y limiter ceux assurant un support opérationnel comme Xxxxxxxxxx.xxx, qui est un fournisseur de gestion de la relation clientèle de DI.
5) Transferts internationaux de données : DI ne saurait transférer des Données protégées vers un pays quelconque en dehors de l'Espace économique européen sans le consentement préalable et écrit du Client. Le Client consent par les présentes au transfert par DI de Données protégées à destination des installations, systèmes ou employés de DI aux États-Unis et/ou au Canada sous réserve de la mise en œuvre par DI de politiques adéquates de transfert de données.
6) Sécurité : Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, DI doit mettre en œuvre des mesures techniques et organisationnelles appropriées relativement aux Données protégées afin de garantir un niveau de sécurité adéquat pour les risques en question, y compris selon le cas, les mesures énoncées par l'Article 32(1) du RGPD. DI est tenue dans le cadre de l'évaluation du niveau approprié de sécurité, de prendre notamment en compte les risques que présente le traitement au regard d'une Violation de données à caractère personnel.
a) DI est tenue dans la mesure des contraintes légales, de notifier rapidement le Client si elle reçoit de la part d'une Personne concernée une demande afin que cette dernière puisse exercer ses droits relatifs à l'accès, la rectification, la limitation du traitement, l'effacement, (« droit à l'oubli »), la portabilité des données et le droit d'opposition au traitement, ou le droit de ne pas faire l'objet d'une décision fondée sur un traitement automatisé (« Demande de la Personne concernée »).
b) En prenant en compte la nature du traitement, DI doit apporter une assistance au Client suivant des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, pour que ce dernier puisse s'acquitter de son obligation de donner suite à la demande d'une Personne concernée, conformément aux Lois sur la protection des données.
c) En outre, dans la mesure où le Client n'est pas capable de traiter la demande d'une Personne concernée relativement aux Données protégées, DI doit sur la requête du Client engager des efforts commerciaux raisonnables pour l'assister afin de donner suite à la demande d'une Personne concernée, sous réserve que DI soit légalement habilitée à le faire et qu'une réponse à cette demande d'une Personne concernée soit exigée en vertu des Xxxx sur la protection des données.
a) DI doit notifier le Client sans retard injustifié si elle-même ou un sous-traitant quelconque prend connaissance d'une Violation de données à caractère personnel affectant les Données protégées. Le Client se verra fournir des informations suffisantes afin qu'il puisse s'acquitter d'obligations quelconques lui imposant de notifier ou d'informer les Personnes concernées quant à la violation de Données à caractère personnel, en vertu des Lois sur la protection des données.
b) DI coopérera avec le Client et adoptera des mesures commerciales raisonnables conformément aux
instructions de celui-ci afin d'apporter une assistance dans le cadre de l'enquête, de l'atténuation et des actions correctives portant sur chaque violation de données à caractère personnel.
9) Analyse d'impact relative à la protection des données et consultation préalable : DI fournira une assistance raisonnable au Client pour l'exercice d'analyses d'impact relatives à la protection des données. Elle apportera également une aide dans le cadre de consultations auprès des autorités compétentes en charge de la confidentialité des données, dont le Client estime raisonnablement qu'elles sont requises par l'article 35 ou 36 du RGPD ou par les dispositions équivalentes de toute autre législation sur la protection des données. Dans chaque cas, elles auront trait uniquement au traitement de données protégées, et la nature du traitement ainsi que les informations à la disposition de DI seront prises en compte.
10) Droits relatifs à la conformité : DI mettra à la disposition du Client sur la demande de ce dernier, les informations nécessaires démontrant la conformité avec la présente Annexe. Elle donnera suite aux demandes d'informations du Client relativement au traitement des Données à caractère personnel.
11) Suppression ou restitution de Données protégées et de copies: Sur la demande écrite du Client et conformément aux Contrats sous-jacents, DI doit supprimer ou restituer de manière sécurisée l'ensemble des Données protégées au Client sous la forme dont ce dernier fait la demande raisonnable suite à (i) la résiliation des Contrats sous-jacents ; ou (ii) une fois que le traitement de Données protégées par DI n'est plus nécessaire afin que DI puisse exercer ses obligations en vertu des Contrats sous-jacents (la première occurrence étant retenue), sous réserve que la Loi n'impose pas à DI de conserver les Données à caractère personnel.
12) Clause de divisibilité : Si une disposition de la présente Annexe est jugée invalide ou inapplicable, les dispositions restantes de la présente Annexe resteront en vigueur et de plein effet. La disposition invalide ou inapplicable doit (i) être modifiée si nécessaire pour garantir sa validité et son caractère exécutoire, tout en préservant les intentions des parties autant que possible ou en cas d'impossibilité, (ii) être interprétée d'une manière impliquant que la disposition invalide ou inexécutoire ne faisait pas partie de l’Annexe.
13) Renonciation, Modification. La présente Xxxxxx ne peut faire l'objet d'une modification que suivant un écrit signé par les Parties. Le manquement par l'une ou l'autre Partie à exiger dans un ou plusieurs cas une stricte exécution par l'autre Partie de clauses quelconques de la présente Xxxxxx, ne saurait être interprété comme une renonciation à relever toute défaillance ultérieure ou successive quant à l'exécution ou au report de l'exécution d'une clause des présentes.