Data Protection Addendum
Data Protection Addendum
Cet Addendum sur la protection des données (« Addendum ») fait partie intégrante des conditions générales (« Accord principal ») entre vous agissant en tant que fournisseur, consultant ou vendeur (« Vendeur ») pour son propre compte et en tant qu'agent pour chaque filiale ; et (ii) EH Europe GmbH, agissant pour son propre compte et pour chaque filiale européenne, y compris, mais sans s'y limiter, EnerSys Ltd, EnerSys S.A.R.L., EnerSys A.D., EnerSys S.R.L., EnerSys A/S, EnerSys Europe Oy, Hawker GmbH, EnerSys Hungaria KFT, EnerSys sp z.o.o.o., Accumladores Industriales EnerSys SA, EnerSys AB, EnerSys AS, Xxxxxxx Systems International, AB et ABSL Power Solutions Ltd. (collectivement dénommée la
« Société »).
Les termes utilisés dans cet Addendum ont le sens qui leur est donné dans cet addendum. Les termes en majuscules qui ne sont pas autrement définis dans ce document ont le sens qui leur est donné dans l'Accord Principal ou le Règlement général sur la protection des données (RGPD)/(GDPR). Sauf tel que modifié ci-dessous, les modalités de l'entente principale demeurent pleinement en vigueur.
Compte tenu des obligations mutuelles énoncées aux présentes, les parties conviennent par les présentes que les modalités et conditions énoncées ci-dessous seront ajoutées à l'Accord principal. Sauf lorsque le contexte exige le contraire, les dispositions du présent Addendum sont celles de l`Accord principal tel que modifié par et y compris le présent Addendum.
1. Définitions
1.1 Dans le présent Addendum, les termes suivants ont le sens qui leur est donné ci-dessous et les termes apparentés doivent être interprétés en conséquence :
1.1.1 « Lois Applicables » signifie (a) les lois de l'Union européenne ou des États membres en ce qui concerne toute donnée personnelle de la Société à l'égard duquel toute Société du Groupe est soumise aux lois de l'UE sur la protection des données ; et (b) toute autre loi applicable à l'égard de toute donnée personnelle de la Société à l'égard duquel toute Société du Groupe est soumise à toute autre loi sur la protection des données ;
1.1.2 « Société Affiliée » désigne une entité qui possède ou contrôle, est détenue ou contrôlée par ou est contrôlée par ou est sous contrôle ou sous contrôle commun ou propriété commune avec la Société, où le contrôle est défini comme la détention, directement ou indirectement, du pouvoir de diriger ou de faire en sorte que la direction de la gestion et des politiques d'une entité, que ce soit par la détention de titres avec droit de vote, par contrat ou autrement ;
1.1.3 « Société du Groupe » signifie la Société ou toute Société Affiliée ;
1.1.4 « Données personnelles de la Société » signifie toute donnée personnelle traitée par un sous-traitant pour le compte d'un membre du groupe de la Société en conformité ou en relation avec l'accord principal ;
1.1.5 « Transformateur sous contrat » signifie un fournisseur ou un Sous-traitant ;
1.1.6 « Lois sur la protection des données » signifie les lois de l'UE sur la Protection des Données et, dans la mesure du possible, les lois sur la protection des données ou de la vie privée de tout autre pays ;
1.1.7 « EEE » signifie l'Espace Économique Européen ;
1.1.8 « « Lois de l'UE sur la Protection des Données » signifie la Directive 95/46/CE de l'UE, telle que transposée dans la législation nationale de chaque État membre et tel que modifiée, remplacée ou supplantée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;
1.1.9 « RGPD » signifie le Règlement général de protections des données de l'UE 2016/679 ;
1.1.10 « Données Personnelles » désigne toute information fournie au Vendeur concernant une personne physique identifiée ou identifiable et pour laquelle le Vendeur fournit des biens ou des services dans le cadre de l'Accord principal ; une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, économique, culturelle ou sociale de cette personne physique.
1.1.11 « Traitement » désigne tout opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, le rapprochement ou la combinaison, la restriction, la suppression ou la destruction ;
1.1.12 « Transfert restreint » signifie :
un transfert de Données Personnelles de la Société de tout Membre du Groupe de la Société à un Transformateur sous contrat ; ou
un transfert ultérieur de données personnelles de l'entreprise d'un sous-traitant à un sous-traitant, ou entre deux établissements d'un sous-traitant,
dans chaque cas, lorsque ce transfert serait interdit par les Lois sur la Protection des Données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des lois sur la protection des données) en l'absence des clauses contractuelles types qui seront établis ci- après ;
1.1.13 « Services » signifie les services et autres activités à fournir au Vendeur ou à effectuer par ou pour le compte du Vendeur pour les Membres du Groupe de la Société conformément à l'Accord Principal ;
1.1.14 « Clauses Contractuelles Types » signifie les clauses contractuelles requises en vertu de l'article 28, ou celles que la Commission européenne et les autorités de contrôle peuvent établir ou adopter pour satisfaire à ces exigences, et en vertu de la section 13.4 ;
1.1.15 « Sous-Traitant » fait référence à toute personne (y compris tout tiers et tout affilié du Vendeur, mais à l'exclusion d'un employé du Vendeur ou de l'un de ses sous-traitants) nommée par ou au nom du Vendeur ou de tout affilié du Vendeur pour traiter les
Données Personnelles au nom de tout Membre du Groupe de la Société dans le cadre de l'Accord Principal ; et
1.1.16 « Vendeur Affilié » signifie une entité qui possède ou contrôle, est possédée ou contrôlée par le vendeur ou est ou est sous contrôle ou sous contrôle commun ou propriété commune avec le vendeur, où le contrôle est défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire en sorte que la direction de la gestion et des politiques d'une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement.
1.2 Les termes « Commission », « Contrôleur », « Personnes Concernées », « État Membre », « Violation des Données Personnelles » et « Autorité de Surveillance » ont la même signification que dans le RGPD, et leurs termes apparentés doivent être interprétés en conséquence.
1.3 Le mot « inclure » doit être interprété comme signifiant inclure sans limitation, et les termes apparentés doivent être interprétés en conséquence.
2. Autorité
Le Vendeur garantit et déclare qu'avant qu'un Vendeur Affilié traite des Données Personnelles de la Société au nom d'un Membre du Groupe de la Société, l'entrée du Vendeur dans le présent Addendum en tant qu'agent pour et au nom de ce Vendeur Affilié aura été dûment et effectivement autorisée (ou ratifiée ultérieurement) par ce Vendeur Affilié.
3. Traitement des Données Personnelles de l'Entreprise
3.1 Le Vendeur et chaque Vendeur affilié doivent :
3.1.1 se conformer à toutes les lois applicables en matière de protection des données dans le traitement des données personnelles de l'entreprise ; et
3.1.2 ne pas Traiter les Données Personnelles de la Société autrement que sur les instructions documentées du Membre du Groupe de la Société concerné à moins que le Traitement ne soit requis par les Lois Applicables auxquelles le Transformateur sous Contrat concerné est soumis, auquel cas le Vendeur ou Vendeur Affilié concerné devra, dans la mesure permise par les Lois Applicables, informer le Membre du Groupe de la Société concerné de cette exigence légale avant le Traitement concerné de ces Données Personnelles.
3.2 Chaque Société du Groupe
3.2.1 donne des instructions au Vendeur et à chaque Vendeur affilié (et autorise le Vendeur et chaque Vendeur affilié à donner des instructions à chaque Sous- traitant Ultérieur) :
3.2.1.1 Traiter les données personnelles de la Société; et
3.2.1.2 en particulier, transférer les Données Personnelles de la Société vers n'importe quel pays ou territoire,
raisonnablement nécessaires pour assurer la prestation des services et conformes à l'entente principale ; et
3.2.2 garantit et déclare qu'il est et restera à tout moment dûment et effectivement autorisé à donner les instructions énoncées à la section 3.2.1 au nom de chaque Société Affiliée concernée.
4. Vendeur et Personnel des Vendeurs affiliés
Le Vendeur et chaque Vendeur affiliés doivent prendre des mesures raisonnables pour assurer la fiabilité de tout employé, agent ou sous-traitant d'un sous-traitant qui peut avoir accès aux Données Personnelles de la Société, en s'assurant dans chaque cas que l'accès est strictement limité aux personnes qui ont besoin de connaître / accéder aux Données Personnelles de la Société concernées, dans la mesure où cela est strictement nécessaire aux fins de l'Accord Principal, et pour se conformer aux Lois Applicables dans le contexte des devoirs de cette personne envers le Transformateur Sous-traitant, en s'assurant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité.
5. Sécurité
5.1 En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des buts du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Vendeur et chaque Vendeur affilié met en œuvre, en relation avec les Données personnelles de la Société, des mesures techniques et administratives appropriées pour assurer un niveau de sécurité approprié à ce risque, y compris, le cas échéant, les mesures visées à l'article 32(1) du Règlement sur la protection du RGPD.
5.2 En évaluant le niveau de sécurité approprié, le Vendeur et chaque Vendeur Affilié tiendront compte en particulier des risques présentés par le Traitement, en particulier d'une Violation des Données Personnelles
6. Sous-traitance
6.1 Chaque Société du Groupe autorise le Vendeur et chaque Vendeur affilié à nommer (et permets à chaque Sous-Traitant nommé conformément à xx xxxxxxxx xxxxxxx 0 xx xxxxxx) xxx Xxxx-Xxxxxxxxx conformément à la présente section 6 et à toute restriction de l'Accord Principal.
6.2 Le Vendeur et chaque Vendeur affilié peuvent continuer à utiliser les Sous-Traitants déjà engagés par le Vendeur ou tout Vendeur affilié à la date du présent Addendum, sous réserve du Vendeur et de chaque Vendeur affilié dans chaque cas dès que possible pour satisfaire aux obligations énoncées à l'article 6.4.
6.3 Le Vendeur devra donner à la Société un préavis écrit de la nomination de tout nouveau Sous-Traitant, y compris les détails complets du Traitement à entreprendre par le Sous- Traitant Ultérieur.
6.4 En ce qui concerne chaque Sous-Traitant Ultérieur, le Vendeur ou l'Affilié du Vendeur concerné devra :
6.4.1 avant que le Sous-Traitant ultérieur traite pour la première fois les données personnelles de la Société (ou, le cas échéant, conformément à la section 6.2), faire preuve d'une diligence raisonnable pour s'assurer que le Sous-Traitant est capable d'assurer le niveau de protection des données personnelles de la Société requis par l'Accord principal ;
6.4.2 s'assurer que l'arrangement entre d'une part (a) le Vendeur, ou (b) l'Affilié du Vendeur concerné, ou (c) le Sous-Traitant Ultérieur intermédiaire concerné ; et d'autre part le Sous-Traitant Ultérieur, sont régies par un contrat écrit incluant des clauses offrant au moins le même niveau de protection des Données Personnelles de la Société que celles énoncées dans le présent Addendum et répondant aux exigences de l'article 28(3) du RGPD ;
6.4.3 si cet arrangement implique un transfert restreint, s'assurer que les clauses contractuelles types sont incorporées à tout moment pertinent dans l'accord entre d'une part (a) le Vendeur, ou (b) Vendeur Affilié concerné, ou (c) le Sous-traitant intermédiaire concerné ; et d'autre part, le Sous-traitant ultérieur, ou avant que le Sous-traitant Ultérieur traite les Données Personnelles de la Société, s'assure qu'il conclut un accord incorporant les Clauses Contractuelles Types avec Société du Groupe concerné(s) (et la Société doit s'assurer que chaque Société Affilié coopère avec la population et à l'exécution de ces Clauses Contractuelles Types) ; et
6.4.4 fournir à la Société pour examen les copies des ententes des Transformateurs Sous Contrat avec les sous-traitants (qui peuvent être censurées pour supprimer les renseignements commerciaux confidentiels non pertinents aux exigences du présent Addendum) que la Société peut demander de temps à autre.
6.5 Le Vendeur et chaque Vendeur Affilié doivent s'assurer que chaque Sous-Traitant s'acquitte des obligations prévues aux sections 3.1, 4, 5, 7.1, 8.2, 9 et 11.1, telles qu'elles s'appliquent au traitement des données personnelles de la Société effectué par ce Sous- Traitant Ultérieur, comme s'il faisait partie du présent Addendum à la place du Vendeur..
7. Les Droits des Personnes Concernées
7.1 Compte tenu de la nature du Traitement, le Vendeur et chaque Vendeur affilié assisteront chaque Membre du Groupe de la Société en mettant en œuvre les mesures techniques et administratives appropriées, dans la mesure du possible, pour l'accomplissement des obligations des Sociétés du Groupe, telles qu'elles sont raisonnablement comprises par la Société, de répondre aux demandes d'exercice des droits de Personnes Concernées en vertu des Lois Relatives à la Protection des Données.
7.2 Le vendeur doit:
7.2.1 informer rapidement la Société si un transformateur sous contrat reçoit une demande d'un sujet de données en vertu d'une loi sur la protection des données concernant les données personnelles de la Société ; et
7.2.2 s'assurer que le transformateur sous contrat ne répond pas à cette demande, sauf sur les instructions documentées de la Société ou de la Société Affiliée concernées ou selon les Lois Applicables auxquelles le Transformateur Sous contrat est assujetti, auquel cas le Vendeur doit, dans le cadre des Lois Applicables, informer la Société de cette exigence légale avant que le Transformateur sous contrat ne réponde à la demande.
8. Violation des Données Personnelles
8.1 Le Vendeur doit informer la Société dans un délai raisonnable après que le Vendeur ou tout Sous-traitant prennent connaissance d'une violation de données personnelles affectant les données personnelles de la Société, en fournissant à la Société suffisamment d'informations pour permettre à chaque Membre du Groupe de la Société de remplir toute obligation de signaler ou d'informer les sujets de données de la violation de données personnelles en vertu des Lois sur la protection des données.
8.2 Le Vendeur coopérera avec la Société et chaque Société du Groupe et prendra les mesures commerciales raisonnables selon les directives de la Société pour aider à l'enquête, à l'atténuation et à la correction de chacune de ces violations des données personnelles.
9. Évaluation de l'impact sur la protection des données et consultation préalable
Le Vendeur et chaque Vendeur Affilié fournira une assistance raisonnable à chaque Société du Groupe pour toute évaluation d'impact sur la protection des données, et des consultations préalables avec les autorités de contrôle ou autre autorités compétente en matière de confidentialité des données, que la Société considère raisonnablement comme étant exigées des Sociétés du Groupe de la par les articles 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre Loi Relative a la Protection des données, dans chaque cas uniquement en relation avec le traitement des Données Personnelles de la Société, en tenant compte de la nature du traitement et des informations disponibles pour les Transformateurs sous-contrat.
10. La Suppression ou retour des Données Personnelles de la Société
10.1 Sous réserve des articles 10.2 et 10.3, le Vendeur et chaque Vendeur affilié doivent rapidement et en tout état de cause dans les trente (30) jours suivant la date de cessation de tout Service impliquant le Traitement des Données Personnelles de la Société (la « Date de cessation » ), supprimer et faire supprimer toutes les copies de ces Données Personnelles de la Société.
10.2 Sous réserve de l'article 10.3, la Société peut, à son entière discrétion, en avisant par écrit le Vendeur dans les trente (30) de la Date de cessation, demander au Vendeur et à chaque
Vendeur affilié de (a) retourner une copie complète de toutes les Données personnelles de la Société à la Société par transfert sécurisé de fichiers dans le format qui est raisonnablement notifié par la Société au Vendeur ; et (b) supprimer et faire supprimer toutes les autres copies des Données personnelles de la Société traitées par tout Transformateur sous contrat. Le Vendeur et chaque Vendeur affilié doivent se conformer à une telle demande écrite dans les trente (30) jours suivant la Date de cessation.
10.3 Chaque Transformateur Sous-contrat peut conserver les Données Personnelles de la Société dans la mesure requise par les Lois Applicables et seulement dans la mesure et pour la période requise par les lois applicables et toujours à condition que le Vendeur et chaque Vendeur affilié assure la confidentialité de toutes ces données personnelles de l'entreprise et s'assure que ces Données Personnelles de la Société sont traitées uniquement aux fins spécifiées dans les lois applicables exigeant leur stockage et à aucune autre fin.
10.4 Le Vendeur doit fournir à la Société une attestation écrite attestant qu'il s'est pleinement conformé au présent article 10 dans les soixante (60) de la Date de cessation.
11. Droits de Vérification
11.1 Sous réserve de l'article 11.2, le Vendeur et chaque Vendeur affilié met à la disposition de chaque Société du Groupe, sur demande, toutes les informations nécessaires pour démontrer la conformité au présent Addendum, et permet et contribue aux audits, y compris les inspections, par toute Société du Groupe ou un auditeur mandaté par toute Société du Groupe en relation avec le traitement des Données Personnelles de la Société par les sous-traitants.
11.2 Les droits d'information et d'audit des Sociétés du Groupe ne naissent en vertu de l'article
11.1 que dans la mesure où l'Accord principal ne leur donne pas autrement des droits d'information et d'audit répondant aux exigences pertinentes a la Loi relative a la protection des données (y compris, le cas échéant, l'article 28(3) (h) du RGPD)
12. Transferts Restreints
12.1 Sous réserve de la section 12.3, chaque membre du groupe de sociétés (en tant
« qu'exportateur de données ») et chaque Transformateur sous-contrat, selon le cas (en tant « qu'importateur de données »), concluent par les présentes les Clauses Contractuelles Types en ce qui concerne tout Transfert Restreint de ces Sociétés du Groupe vers le Transformateur sous-contrat.
12.2 Les clauses Contractuelles Types entrent en vigueur conformément à l'article 12.1, dans le cas :
12.2.1 l'exportateur de données devient partie prenante auprès d'eux;
12.2.2 l'importateur de données devient partie prenante auprès d'eux; et
12.2.3 au début du transfert restreint concerné.
12.3 Les parties conviennent de conclure, de signer et de respecter les clauses contractuelles types, incluses dans la présente Pièce 1, qui régissent tout transfert de données personnelles.
12.4 L'article 12.1 ne s'applique pas à un transfert restreint à moins que son effet, ainsi que d'autres mesures de conformité raisonnablement réalisables (qui, pour éviter tout doute, ne comprennent pas l'obtention du consentement des sujets de données), n'ait pour effet de permettre que le transfert restreint pertinent ait lieu sans violation de la loi applicable en matière de protection des données.
13. Conditions Générales
Droit applicable et Juridiction compétente
13.1 Sans préjudice des clauses 7 (Médiation et Juridiction) et 9 (Loi Applicable) des Clauses Contractuelles Types :
13.1.1 les parties au présent Addendum se soumettent par les présentes au choix de juridiction stipulé dans l'Accord Principal à l'égard de tout différend ou réclamation découlant de quelque façon que ce soit en vertu du présent Addendum, y compris les contestation concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité ; et
13.1.2 Cet Addendum et toutes les obligations non contractuelles ou autres qui en découlent ou qui s'y rapportent sont régis par les lois du pays ou du territoire stipulées à cette fin dans l`Accord principal.
Ordre de préséance
13.2 Rien dans le présent Addendum ne réduit les obligations du Vendeur ou d'un Vendeur Affilié en vertu de l'Accord principal en ce qui concerne la Protection des Données Personnelles ou permet au Vendeur ou à un Vendeur Affilié de traiter (ou de permettre le traitement) des Données Personnelles d'une manière qui est interdite par l'Accord principal. En cas de conflit ou d'incompatibilité entre le présent Addendum et les Clauses contractuelles Types, les Clauses Contractuelles Types prévaudront.
13.3 Sous réserve de l'article 13.2, en ce qui concerne l'objet du présent Addendum, en cas d'incohérence entre les dispositions du présent Addendum et toute autre entente entre les parties, y compris l'Accord principal et incluant (sauf entente contraire explicite par écrit, signée au nom des parties) les ententes conclues ou censées être conclues après la date du présent Addendum, les dispositions du présent Addendum prévaudront.
Les modifications des Lois Relatives à la Protection des Données, etc.
13.4 La société peut :
13.4.1 par un préavis écrit d'au moins 30 (trente) jours calendaires au Vendeur de temps à autre, apporter des modifications aux Clauses Contractuelles Types (y compris toute Clause Contractuelle Type conclue en vertu de la section 12.1),
telles qu'elles s'appliquent aux Transferts Restreints qui sont soumis à une Loi particulière Relative à la Protection des données, qui sont requis, suite à toute modification ou décision d'une autorité compétente en vertu de cette Loi relative à la protection des Données, pour permettre que ces Transferts Restreints soient effectués (ou continuent à être effectués) sans violation de cette Loi de Protection des Données ; et
13.4.2 proposer toute autre modification au présent Addendum que la Société juge raisonnablement nécessaire pour satisfaire aux exigences de toute Loi sur la Protection des Données.
13.5 Si la Société donne un avis en vertu de l'article 13.4.1 :
13.5.1 Le Vendeur et chaque Vendeur Affilié doivent coopérer rapidement (et s'assurer que tous les Sous-traitant Ultérieurs coopèrent rapidement) pour s'assurer que des variations équivalentes sont apportées à tout accord mis en place en vertu de l'article 6.4.3 ; et
13.5.2 La Société ne doit pas refuser ou retarder de façon déraisonnable toute modification corrélative au présent Addendum proposée par le Vendeur afin de protéger les Transformateurs sous-contrat contre les risques additionnels associés aux modifications apportées en vertu du présent article.
13.6 Si la Société donne un avis en vertu de l'article 13.4.2, les parties discutent rapidement des modifications proposées et négocient de bonne foi en vue de convenir et de mettre en œuvre ces modifications ou d'autres modifications conçues pour répondre aux exigences identifiées dans l'avis de la Société dès que cela est raisonnablement possible.
13.7 Ni la Société ni le Vendeur n'auront besoin du consentement ou de l'approbation d'une Société affiliée ou d'une Société affiliée ou d'une Société affiliée du Vendeur pour modifier le présent Addendum conformément au présent article 13.5 ou autrement.
Rupture
13.8 Si une disposition du présent Addendum est jugée invalide ou inapplicable, le reste du présent Addendum demeure valide et en vigueur. La disposition invalide ou non exécutoire sera soit (i) modifiée au besoin pour assurer sa validité et son caractère exécutoire, tout en préservant le plus fidèlement possible les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou non exécutoire n'y avait jamais été incluse.
Pièce 1
Clauses Contractuelles Types (transformateurs)
Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données..
Nom de l'organisation exportatrice de données :
Addresse:
Téléphone : ; télécopieur: ; Courriel : Autres informations nécessaires pour identifier l'organisation
…………………………………………………………… (l'exportateur de données)
Et
Nom de l'organisation importatrice de données :
Addresse :
Téléphone : ; télécopieur : ; Courriel : Autres informations nécessaires pour identifier l'organisation :
………………………………………………………………… (l'importateur de données)
individuellement une « partie » ; ensemble « les parties »,
ONT CONVENUES des clauses contractuelles suivantes (les clauses) afin d'apporter des garanties adéquates en ce qui concerne la protection de la vie privée et les droits et libertés fondamentaux des individus pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées dans l'Annexe.
Contexte
L'exportateur de données a conclu un addendum sur le traitement des données (« DPA ») avec l'importateur de données. Selon les termes de la DPA, il est envisagé que les services fournis par l'importateur de données impliqueront le transfert de données personnelles à l'importateur de données. L'importateur de données est situé dans un pays qui ne garantit pas un niveau adéquat de protection des données. Afin d'assurer le respect de la Directive 95/46/CE et de la législation applicable en matière de protection des données, le responsable du traitement accepte la fourniture de ces services, y compris le traitement des données à caractère personnel y afférent, sous réserve de l'exécution et du respect par l'importateur de données des présentes Clauses. .
Clause 1
Définitions
Aux fins des clauses :
(a) « données à caractère personnel », « catégories particulières de données », « processus/traitement »,
« responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
(b) « l'exportateur de données » : le responsable du traitement qui transfère les données à caractère personnel ;
(c) « l'importateur de données » : le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;
(d) « le transformateur sous-contrat » : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées à des
activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;
(e) la législation applicable en matière de protection des données" : la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;
(f) « mesures techniques et organisationnelles de sécurité » : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.
.
Clause 2
Détails du transfert
Les détails du transfert et en particulier les catégories particulières de données à caractère personnel, le cas échéant, sont précisés à l'Appendice 1 qui fait partie intégrante des clauses.
Clause 3
Clause du tiers bénéficiaire
1. La personne concernée peut opposer à l'exportateur de données la présente Clause, la Clause 4, points
(b) à (i), la Clause 5, points (a) à (e) et (g) à (j), la Clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut opposer à l'importateur de données la présente Xxxxxx, la Clause 5, points
(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, sauf si une entité successeur a assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par effet de la loi, ce qui lui confère les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité.
3. La personne concernée peut opposer au sous-traitant cette clause, la clause 5, points (a) à (e) et (g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé toutes les obligations légales de l'exportateur de données par contrat ou par effet de la loi, ce qui lui permet d'assumer les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.
Clause 4
Les Obligations de l'exportateur de données
L'exportateur de données accepte et garantit :
(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;
(b) qu'il a chargé l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses, et ce, pendant toute la durée des services de traitement des données à caractère personnel ;
(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures techniques et organisationnelles de sécurité spécifiées à l'appendice 2 du présent contrat ;
(d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures garantissent un niveau de sécurité adapté aux risques présentés par le
traitement et à la nature des données à protéger, compte tenu de l’avancée technologique et du coût de leur mise en œuvre ;
(e) qu'il veillera au respect des mesures de sécurité ;
(f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sens de la Directive 95/46/EC ;
(g) transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à l'article 5, point (b), et à l'article 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
(h) mettre à la disposition des personnes concernées, sur demande, une copie des clauses, à l'exception de l'Appendice 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, sauf si les clauses ou le contrat contiennent des informations commerciales.
(i) que, en cas de traitement partiel, l'activité de traitement est effectuée conformément à la Clause 11 par un sous-traitant assurant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données au titre des clauses ; et
(j) qu'il veillera au respect de la Clause 4, points (a) à (i).
Clause 5
Les Obligations de l'importateur de données
L'importateur de données est d'accord et garantit ce qui suit
(a) traiter les données à caractère personnel uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; si, pour quelque raison que ce soit, il ne peut assurer cette conformité, il accepte d'informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche d'exécuter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en a connaissance, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'appendice 2 avant de traiter les données à caractère personnel transférées ;
(d) qu'il informera rapidement l'exportateur de données :
(i) toute demande juridiquement contraignante de divulgation de données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction pénale visant à préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi,
(ii) tout accès accidentel ou non autorisé, et
(iii) toute demande reçue directement des personnes concernées sans réponse à cette demande, à moins qu'elle n'y ait été autrement autorisée ;
(e) de traiter rapidement et correctement toutes les demandes de l'exportateur de données relatives au traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
(f) à la demande de l'exportateur de données, soumettre ses installations de traitement de données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises liées par un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
(g) de mettre à la disposition de la personne concernée, sur demande, une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'appendice 2 qui est remplacé par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;
(h) qu'en cas de traitement partiel, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;
(i) que les services de traitement par le sous-traitant seront effectués conformément à la Clause 11 ;
(j) d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des clauses.
Clause 6
Responsabilité
1. Les parties conviennent que toute personne concernée qui a subi un préjudice du fait d'une violation des obligations visées à Clause 3 ou à Clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.
2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, à la suite d'une violation par l'importateur de données ou son sous-traitant ultérieur de l'une quelconque de leurs obligations visées à la Clause 3 ou à la Clause 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse présenter une réclamation contre l'importateur de données comme si elle était l'exportateur de données, à moins qu'une entité successeur n'ait assumé toutes les obligations légales de l'exportateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité.
L'importateur de données ne peut pas invoquer un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.
3. Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur de données ou l'importateur de données visé aux paragraphes 1 et 2, à la suite d'une violation par le sous-traitant de l'une quelconque de leurs obligations visées à la Clause 3 ou à la Clause 11 parce que l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse introduire une réclamation à l'encontre du sous-traitant en ce qui concerne ses propres opérations de traitement en vertu des clauses comme si elle était l'exportateur de données ou l'importateur de données, à moins qu'une entité successeur ait assumé toutes les obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
Clause 7
Médiation et juridiction
1. L'importateur de données accepte que si la personne concernée invoque contre elle les droits de tiers bénéficiaires et/ou réclame des dommages-intérêts en vertu des clauses, l'importateur de données accepte la décision de la personne concernée :
a) de soumettre le litige à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;
b) de saisir les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
2. Les parties conviennent que le choix fait par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.
Clause 8
Coopération avec les autorités de surveillance
1. L'exportateur de données accepte de déposer une copie du présent contrat auprès de l'autorité de contrôle si elle en fait la demande ou si un tel dépôt est exigé en vertu de la législation applicable en matière de protection des données.
2. Les parties conviennent que l'autorité de contrôle a le droit d'effectuer un audit de l'importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
3. L'importateur de données informe sans délai l'exportateur de données de l'existence de la législation qui lui est applicable ou de tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est habilité à prendre les mesures prévues à l'article 5, point (b).
Clause 9
Loi applicable
Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
Clause 10
Modification du contrat
Les parties s'engagent à ne pas modifier les clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions liées à l'entreprise, le cas échéant, dans la mesure où elles ne contredisent pas la Clause.
Clause 11
Sous-traitement
1. L'importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il ne le fait qu'au moyen d'un accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à l'importateur de données en vertu des clauses. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de cet accord.
2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant prévoit également une clause de tiers bénéficiaire tel que prévu à la Clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la Clause 6 contre l'exportateur de
données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité remplaçante n'assume par contrat ou de plein droit les obligations légales de l'exportateur de données ou importateur de données ou par effet de la loi. Cette responsabilité civile du sous-traitant est limitée à ses propres opérations de traitement en vertu des clauses.
3. Les dispositions relatives aux aspects relatifs à la protection des données pour le traitement partiel du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5 (j), qui est mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.
Clause 12
Obligation après la cessation des services de traitement des données à caractère personnel
1. Les parties conviennent qu'en cas de cessation de la fourniture de services de traitement de données, l'importateur de données et le sous-traitant doivent, au choix de l'exportateur de données, renvoyer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'il l'a fait, à moins que la législation imposée à l'importateur de données ne l'empêche de retourner ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et ne traitera plus activement les données à caractère personnel transférées.
2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, il soumettra ses installations de traitement de données a une vérification des mesures mentionnées au paragraphe 1.
Au nom de l'exportateur de données :
Nom (écrit au complet) :
Position :
Adresse :
Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) :
Signature……………………………………….
Au nom de l'importateur de données :
Nom (écrit au complet) :
Position :
Adresse :
Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) :
Signature……………………………………….
APPENDICE 1 AUX CLAUSES CONTRACTUELLES TYPES
La présente annexe fait partie des clauses et doit être remplie et signée par les parties. Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans le présent appendice.
Exportateur de données
L'exportateur de données est :
Importateur de données
L'importateur de données est :
Personnes concernées
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées :
Catégories de données
Les données personnelles transférées concernent les catégories de données suivantes :
Catégories particulières de données (le cas échéant)
Les données personnelles transférées concernent les catégories particulières de données suivantes :
Opérations de traitement
Les données personnelles transférées feront l'objet des activités de traitement de base suivantes : EXPORTATEUR DE DONNÉES
Nom :……………………………… Signature(s) autorisée(s) ……………………
IMPORTATEUR DE DONNÉES
Name:……………………………… Signature(s) autorisée(s) ……………………
APPENDICE 2 AUX CLAUSES CONTRACTUELLES TYPES
La présente annexe fait partie des clauses et doit être remplie et signée par les parties. Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux Clauses 4, point (d), et 5, point (c) :
APPENDICE 3 : LISTE DES VÉRIFICATEURS MANDATÉS