CONTRAT DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL POUR LES SERVICES
CONTRAT DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL POUR LES SERVICES
DE SUPPORT ET PROFESSIONNELS SAP
1. CONTEXTE
1.1 Objectif et application. Le présent document (« DPA ») est intégré au Contrat et fait partie d'un contrat écrit (y compris au format électronique) conclu entre SAP et le Client. Le présent DPA s'applique aux Données à caractère personnel fournies par le Client et chaque Responsable du traitement dans le cadre de l'exécution des services SAP définis dans le Contrat applicable (le ou les « Service(s) SAP ») auquel le présent DPA est joint, notamment :
(a) Les services de Support SAP définis dans le Contrat de droit d'utilisation et de maintenance ; et/ou
(b) Les Services professionnels décrits dans le contrat de services conclu entre SAP et le Client (le « Contrat de services »).
1.2 Structure. Les Appendices 1 et 2 sont intégrés au présent DPA et en font partie. Ils définissent l'objet convenu, la nature et l'objectif du traitement, le type de Données à caractère personnel, les catégories de données, les personnes concernées et les mesures organisationnelles et techniques applicables.
1.3 RGPD. SAP et le Client conviennent qu'il incombe à chaque partie d'examiner et d'adopter les exigences imposées aux Responsables du traitement et Sous-traitants par le Règlement général sur la protection des données 2016/679 (« RGPD »), en particulier en ce qui concerne les Articles 28, 32 et 36 du RGPD, si et dans la mesure applicable aux Données à caractère personnel du Client/des Responsables du traitement qui sont traitées dans le cadre du DPA. À titre d'exemple, l'Appendice 3 répertorie les exigences applicables du RGPD et les articles correspondants du présent DPA.
1.4 Gouvernance. SAP agit en qualité de Sous-traitant et Client, et les entités qu'il autorise à inclure des Données à caractère personnel dans les systèmes accessibles par SAP lors de l'exécution du Service SAP agissent en qualité de Responsables du traitement dans le cadre du DPA. Le Client sert de point de contact unique et c'est à lui qu'incombe exclusivement l'obtention des autorisations et consentements nécessaires pour le traitement des Données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation des Responsables du traitement pour avoir recours à SAP comme Sous-Traitant. Lorsque les autorisations, instructions ou consentements sont fournis par le Client, ils sont fournis non seulement pour le compte du Client mais aussi pour le compte de tout autre Responsable du traitement. Lorsque SAP informe ou notifie le Client, lesdites informations ou notifications sont réputées reçues par les Responsables du traitement autorisés par le Client à inclure les Données à caractère personnel. Il incombe au Client de transmettre lesdites informations et notifications aux Responsables du traitement concernés.
2. SECURITE DU TRAITEMENT
2.1 Mesures techniques et organisationnelles appropriées. SAP a implémenté et appliquera les mesures organisationnelles et techniques définies dans l'Appendice 2. Le Client a examiné lesdites mesures et convient que les mesures sont appropriées et tiennent compte de la technologie, des coûts de l'implémentation, de la nature, de l’étendue, du contexte et des objectifs du traitement des Données à caractère personnel.
L'Appendice 2 s'applique uniquement dans la mesure où lesdits Services SAP sont exécutés sur ou à partir d'un site SAP. Si SAP exécute les Services SAP sur le site du Client et qu'il a accès aux systèmes et données du Client, SAP doit alors se conformer aux conditions administratives, techniques et physiques raisonnables du Client pour sécuriser lesdites données et les protéger contre tout accès non autorisé. Dans le cadre d'un accès aux systèmes et données du Client, le Client est chargé de fournir au personnel de SAP les autorisations et mots de passe utilisateur pour accéder à ses systèmes et annuler lesdites autorisations et résilier ledit accès, lorsqu'il le jugera pertinent le cas échéant. Le Client n'accorde pas à SAP l'accès aux systèmes ou informations personnelles (du Client ou de tout tiers) sauf si ledit accès est essentiel pour
l'exécution des Services SAP. Le Client ne doit pas conserver des Données à caractère personnel dans des environnements non productifs.
2.2 Modifications. SAP applique les mesures techniques et organisationnelles définies dans l'Appendice 2 à l'ensemble des clients SAP bénéficiant du même Service SAP. SAP peut modifier les mesures définies dans l'Appendice 2 à tout moment sans préavis, tant qu'elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.
3. OBLIGATIONS DE SAP
3.1 Instructions du Client. SAP traitera les Données à caractère personnel exclusivement selon les instructions fournies par le Client. Le Contrat (comprenant le présent DPA), constitue lesdites instructions initiales fournies. Le Client peut fournir des instructions supplémentaires pendant l'exécution du Service SAP. SAP mettra en œuvre des efforts raisonnables pour suivre les instructions du Client, du moment qu'elles sont requises par la Loi en matière de protection des données, qu'elles sont techniquement faisables et qu'elles ne nécessitent aucune modification au niveau de l'exécution du Service SAP. Si l'une des exceptions mentionnées précédemment s'applique, ou si SAP n'est pas en mesure de respecter une instruction ou estime qu'une instruction enfreint la Loi en matière de protection des données, SAP informera immédiatement le Client (e-mail autorisé).
3.2 Traitement conforme aux obligations juridiques. SAP peut également traiter les Données à caractère personnel lorsque la loi applicable l'exige. Dans un tel cas, SAP informera le Client des obligations juridiques préalablement au traitement, sauf si ladite loi interdit de telles informations pour des raisons d'intérêt public.
3.3 Personnel. Pour traiter les Données à caractère personnel, SAP et ses Sous-traitants ultérieurs doivent uniquement accorder un accès au personnel autorisé qui s'est engagé à respecter la confidentialité. SAP et ses Sous-traitants ultérieurs formeront régulièrement le personnel ayant accès aux Données à caractère personnel aux mesures applicables liées à la sécurité et à la confidentialité des données.
3.4 Coopération. À la demande du Client, SAP coopérera raisonnablement avec le Client et les Responsables du traitement pour répondre aux requêtes émanant de Personnes concernées ou d'une autorité de réglementation à l'égard du traitement des Données à caractère personnel par SAP ou de toute Violation des Données à caractère personnel. SAP est tenu d'informer le Client dès que raisonnablement possible des demandes reçues de la part d'une Personne concernée en rapport avec le traitement des Données à caractère personnel, sans répondre lui-même à ladite demande avant d'avoir obtenu des instructions supplémentaire du Client, le cas échéant. SAP corrigera ou supprimera les Données à caractère personnel en sa possession (le cas échéant), ou limitera leur traitement, conformément à l'instruction du Client et à la Loi en matière de protection des données.
3.5 Notification d'une Violation des Données à caractère personnel. À compter de la découverte d'une Violation des Données à caractère personnel, SAP en informera le Client dans les meilleurs délais et fournira les informations raisonnables en sa possession pour aider le Client à respecter son obligation de signaler une violation des Données à caractère personnel, conformément à la Loi en matière de protection des données. SAP peut fournir lesdites informations en plusieurs phases, au fur et à mesure qu'elles sont mises à disposition. Une telle notification ne saurait être interprétée ou considérée comme une admission de faute ou de responsabilité par SAP.
3.6 Analyse d'impact relative à la protection des données. Si, conformément à la Loi en matière de protection des données, le Client (ou ses Responsables du traitement) est tenu d'effectuer une analyse d'impact relative à la protection des données ou une consultation préalable avec un régulateur, SAP fournira, à la demande du Client, les documents qui sont généralement disponibles pour le Service SAP (par exemple, le présent DPA, le Contrat, les
4. SUPPRESSION DES DONNEES
Le Client donne l'ordre à SAP par les présentes de supprimer les Données à caractère personnel restant en sa possession (le cas échéant) dans un délai raisonnable, conformément à la Loi en matière de protection des données (sans dépasser six mois) dès lors qu'elles ne sont plus requises aux fins de la signature du Contrat, à moins que la loi applicable n'exige de les conserver.
5. CERTIFICATIONS ET AUDITS
5.1 Audit client. Le Client ou son auditeur tiers indépendant convenant à SAP (qui ne doit pas inclure d'auditeur tiers qui soit un concurrent de SAP, qui ne dispose pas des qualifications nécessaires, ou dont le statut d'indépendant n'a pas été dûment reconnu) peut effectuer un audit des centres d'exécution des services et de support et des pratiques de sécurité informatique de SAP relativement aux Données à caractère personnel traitées par SAP, seulement si :
(a) SAP n'a pas présenté de justificatifs suffisants attestant de sa conformité aux mesures techniques et organisationnelles en fournissant une certification de conformité à la norme ISO 27001 et à d'autres normes (étendue définie dans le certificat). Les certifications sont disponibles à l'adresse : xxxxx://xxx.xxx.xxx/xxxxxxxxx/xx/xxxxxxx/xxxxxxx.xxxx#xxxxxxxxxxxx ou, si ce n'est pas le cas, sur demande.
(b) Une Violation des Données à caractère personnel s'est produite.
(c) Un audit est requis par l'autorité de protection des données du Client.
(d) La Loi obligatoire en matière de protection des données accorde au Client un droit d'audit direct à condition que le Client effectue un seul audit sur une période de douze mois, sauf si la Loi obligatoire en matière de protection des données exige des audits plus fréquents.
5.2 Audit d'un autre Responsable du traitement. Un autre Responsable du traitement peut effectuer des audits de l'environnement de contrôle et des pratiques de sécurité de SAP relativement aux Données à caractère personnel traitées par SAP, conformément à l'article 5.1 seulement si l'un des cas définis à l'article 5.1 s'applique à un autre Responsable de traitement. Ledit audit doit être effectué par le Client tel que défini dans l'article 5.1, sauf si l'audit doit être effectué par l'autre Responsable du traitement lui-même conformément à la Loi en matière de protection des données. Si plusieurs Responsables du traitement dont les Données à caractères personnel sont traitées par SAP conformément au Contrat requièrent un audit, le Client doit utiliser tous les moyens raisonnables pour combiner les audits et éviter d'en effectuer plusieurs.
5.3 Étendue de l'audit. Le Client doit fournir un préavis d'au moins soixante jours pour les audits, sauf si la Loi obligatoire en matière de protection des données ou une autorité de protection des données compétente exige un préavis plus court. La fréquence, les délais et l’étendue des audits doivent être convenus d'un commun accord entre les parties qui agissent de manière raisonnable et de bonne foi. Les audits des Clients sont limités à des audits à distance, dans la mesure du possible. Si un audit sur site est requis, il ne pourra pas excéder un jour ouvrable. Au-delà desdites restrictions, les parties utiliseront les certifications actuelles ou d'autres rapports d'audit pour éviter ou minimiser la répétition des audits. Le Client doit fournir les résultats des audits à SAP.
5.4 Coût des audits. Le Client doit assumer les frais de l'audit, sauf si ledit audit révèle un manquement substantiel de SAP au présent DPA. Dans ce cas, SAP devra assumer ses propres frais relatifs à l'audit. S'il est établi, suite à un audit, que SAP a manqué à ses obligations en vertu du présent DPA, SAP corrigera le manquement immédiatement et à ses propres frais.
6. SOUS-TRAITANTS ULTÉRIEURS
6.1 Utilisation autorisée. Une autorisation générale est accordée à SAP pour sous-traiter le traitement des Données à caractère personnel auprès des Sous-traitants ultérieurs, à condition que :
(a) SAP ou SAP SE pour son compte engage les Sous-traitants ultérieurs dans le cadre d'un contrat écrit (y compris au format électronique), conformément aux conditions du présent DPA en rapport avec le traitement des Données à caractère personnel par le Sous-traitant ultérieur. SAP soit tenu responsable des violations par le Sous-traitant ultérieur, conformément aux conditions du Contrat.
(b) SAP évalue les pratiques de sécurité, de protection et de confidentialité d'un Sous-traitant ultérieur préalablement à la sélection afin d'établir sa capacité à offrir le niveau de protection des Données à caractère personnel requis par le présent DPA.
(c) S'agissant du Support SAP, la liste des Sous-traitants ultérieurs établie par SAP en place à la date d'entrée en vigueur du Contrat soit publiée par SAP (sous xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxxxxxxxxxx.xxxx) ou que SAP la mette à disposition du Client à la demande, y compris le nom, l'adresse et le rôle de chaque Sous- traitant ultérieur auquel SAP a recours pour fournir le Service SAP.
(d) S'agissant des Services professionnels, SAP mette, à la demande du Client, la liste à disposition ou qu'il identifie lesdits Sous-traitants ultérieurs avant le début des Services SAP concernés.
6.2 Nouveaux Sous-traitants ultérieurs. SAP décide à son entière discrétion de recourir à des Sous-traitants ultérieurs, à condition que :
(a) SAP informe le Client à l'avance des ajouts ou remplacements souhaités sur la liste des Sous-traitants ultérieurs, y compris le nom, l'adresse et le rôle du nouveau Sous-traitant ultérieur (i) dans le cadre du Support SAP, par le biais d'une publication sur le SAP Support Portal, ou par e-mail, lors de l'enregistrement du Client sur le portail SAP et (ii) dans le cadre des Services professionnels, par le biais d'une publication similaire sur le SAP Support Portal, ou par e-mail, ou sous toute autre forme écrite.
(b) Le Client puisse s'opposer à de telles modifications, tel que défini dans l'article 6.3.
6.3 Oppositions aux nouveaux Sous-Traitants ultérieurs.
(a) Support SAP : si le Client a un motif valable en vertu de la Loi en matière de protection des données de s'opposer au traitement par le nouveau Sous-traitant ultérieur des Données à caractère personnel, le Client peut résilier le Support SAP sur notification écrite adressée à SAP, ladite notification devant être envoyée à SAP au plus tard trente jours après la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur. Si le Client ne notifie pas SAP de son intention de résilier le Support SAP au cours de ladite période de trente jours, il est réputé avoir accepté le nouveau Sous-traitant ultérieur. Au cours de ladite période de trente jours à compter de la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur, le Client peut demander à ce que les parties se réunissent de bonne foi pour négocier une résolution à l'opposition. Lesdites négociations ne prolongent pas la période de préavis de résiliation et n'affectent pas le droit de SAP d'utiliser le nouveau Sous-traitant ultérieur après la période de trente jours.
(b) Services professionnels : si le Client a un motif valable en vertu de la Loi en matière de protection des données lié au traitement des Données à caractère personnel par les Sous- traitants ultérieurs, le Client peut s'opposer au recours par SAP à un Sous-traitant ultérieur, en informant SAP par écrit dans les cinq jours ouvrables qui suivent la réception de l'avis de SAP décrit à l'article 6.2. Si le Client s'oppose au recours d'un Sous-traitant ultérieur, les parties se réuniront de bonne foi pour négocier une résolution. SAP peut choisir : (i) de ne pas recourir au Sous-traitant ultérieur ou (ii) de prendre les mesures correctives demandées par le Client dans son objection puis recourir au Sous-traitant ultérieur. Si aucune des présentes options ne peut raisonnablement être choisie et que le Client maintient son objection pour un motif légitime, chacune des parties est autorisée à résilier les services concernés moyennant un préavis écrit de cinq jours. Si le Client ne fait
pas objection dans les cinq jours qui suivent la réception de l'avis, le Client est réputé avoir accepté le Sous-traitant ultérieur. Si l'objection du Client n'est pas résolue dans les trente jours qui suivent son dépôt et que SAP n'a pas reçu de préavis de résiliation, le Client est réputé avoir accepté le Sous-traitant ultérieur.
(c) Toute résiliation en vertu du présent article 6.3 ne doit pas être considérée comme étant une faute de l'une ou l'autre des parties et doit être soumise aux conditions du Contrat.
6.4 Remplacement d'urgence. SAP peut remplacer un Sous-traitant ultérieur sans préavis lorsque le motif du changement échappe au contrôle raisonnable de SAP et que le remplacement rapide est requis pour des raisons de sécurité ou d'urgence. Dans un tel cas, SAP informera le Client du remplacement du Sous-traitant ultérieur le plus rapidement possible suite à sa nomination. L'article 6.3 s'applique en conséquence.
7. TRAITEMENT INTERNATIONAL
7.1 Conditions pour le traitement international. SAP est autorisé à traiter les Données à caractère personnel, y compris en ayant recours à des Sous-traitants ultérieurs, conformément au présent DPA, en dehors du pays dans lequel le Client est situé tel qu'autorisé par Loi en matière de protection des données.
7.2 Clauses contractuelles types. Lorsque (i) les Données à caractère personnel d'un Responsable du traitement situé dans l’EEE ou en Suisse sont traitées dans un pays en dehors de l'EEE, de la Suisse et d'un pays, organisation ou territoire reconnu par l'Union européenne comme un pays qui assure un niveau adéquat de protection des données en vertu de l'Art. 45 du RGPD, ou lorsque (ii) les Données à caractère personnel d'un autre Responsable du traitement sont traitées à l'échelle internationale, et que ledit traitement international nécessite des moyens adéquats en vertu des lois du pays du Responsable du traitement et que les moyen adéquats peuvent être satisfaits en signant les Clauses contractuelles types, alors :
(a) SAP et le Client concluent les Clauses contractuelles types.
(b) Le Client signe les Clauses contractuelle types avec chaque Sous-traitant ultérieur concerné, comme suit : soit (i) le Client adhère aux Clauses contractuelles types signées par SAP ou SAP SE et le Sous-traitant ultérieur en tant titulaire indépendant de droits et d'obligations (« Modèle d'adhésion »), soit (ii) le Sous-traitant ultérieur (représenté par SAP) signe les Clauses contractuelles types avec le Client (« Modèle de procuration »). Le Modèle de procuration s'applique uniquement si et lorsque SAP a confirmé qu'un Sous- traitant ultérieur y est éligible via la liste des Sous-traitants ultérieurs fournie conformément à l'article 6.1(c) ou (d), ou en informant le Client.
(c) Et/Ou les autres Responsables du traitement autorisés par le Client à inclure des Données à caractère personnel en vertu du Contrat peuvent également signer des Clauses contractuelles types avec SAP et/ou les Sous-traitants ultérieurs concernés de la même manière que le Client conformément aux articles 7.2 (a) et (b) ci-dessus. Dans un tel cas, le Client signera les Clauses contractuelles types pour le compte des autres Responsables du traitement.
7.3 Lien entre les Clauses contractuelles types et le Contrat Rien dans le présent Contrat ne saurait être interprété comme prévalant sur une clause divergente des Clauses contractuelles types. Pour ne laisser subsister aucun doute, lorsque le présent DPA apporte davantage de spécifications sur les règles liées aux audits et Sous-traitants ultérieurs dans les articles 5 et 6, lesdites spécifications s'appliquent en relation aux Clauses contractuelles types.
7.4 Droit applicable des Clauses contractuelles types. Les Clauses contractuelles types sont régies par la loi du pays dans lequel le Responsable du traitement concerné est établi.
8. DOCUMENTATION ; ENREGISTREMENTS DU TRAITEMENT
Chaque partie est tenue de se conformer aux exigences en matière de documentation qui lui sont propres, notamment la gestion des enregistrements du traitement lorsque la Loi en matière de protection des données l'exige. Chaque partie doit apporter une assistance raisonnable à l'autre partie concernant ses exigences en matière de documentation, y compris fournir les renseignements
dont elle a besoin et de la façon dont elle a raisonnablement fait la demande (via un système électronique par exemple) afin que l'autre partie soit en mesure de respecter toute obligation relative à la gestion des enregistrements du traitement.
9. DÉFINITIONS
Les termes débutant par une majuscule non définis dans les présentes ont la signification qui leur est affectée dans le Contrat.
9.1 Le terme « Utilisateurs autorisés » désigne toute personne physique à qui le Client donne l'autorisation d'utiliser le Service SAP dans le cadre d'une licence de progiciel SAP et qui est un employé, un agent, un prestataire ou un représentant (i) du Client, (ii) des Sociétés Affiliées du Client, et/ou (iii) d'une Tierce partie d'affaires du Client et de ses Sociétés Affiliées (tels que définis dans le Contrat de droit d'utilisation et de maintenance).
9.2 Le terme « Responsable du traitement » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul(e) ou associé(e) à d'autres personnes, détermine les finalités et les méthodes de traitement des Données à caractère personnel ; aux fins du présent DPA, lorsque le Client agit en qualité de Sous-traitant pour un autre Responsable du traitement, il doit, en relation avec SAP, être considéré comme un Responsable du traitement supplémentaire et indépendant qui dispose des droits et obligations relatifs aux responsables du traitement en vertu du présent DPA.
9.3 Le terme « Loi en matière de protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes et leur droit à la vie privée concernant le traitement des Données à caractère personnel en vertu du Contrat (et comprend, en ce qui concerne la relation entre les parties à l'égard du traitement des Données à caractère personnel par SAP pour le compte du Client, le RGPD comme norme minimale, que les Données à caractère personnel y soient soumises ou non).
9.4 Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable, tel que défini par la Loi en matière de protection des données.
9.5 Le terme « Données à caractère personnel » désigne les informations relatives à une Personne concernée qui sont protégées par la Loi en matière de protection des données. Pour les besoins du présent DPA, il inclut uniquement les données à caractère personnel fournies à ou accessibles par SAP ou ses Sous-traitants ultérieurs aux fins de l'exécution du Service SAP dans le cadre du Contrat.
9.6 Le terme « Violation des Données à caractère personnel » désigne (1) la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès d'un tiers non autorisé, de façon accidentelle ou illégale, aux Données à caractère personnel, ou (2) un incident similaire impliquant des Données à caractère personnel pour lequel le Responsable du traitement est tenu d'informer les autorités de protection des données compétentes ou les Personnes concernées en vertu de la Loi en matière de protection des données.
9.7 Le terme « Services professionnels » désigne les services d'implémentation, les services de conseil et/ou les services tels que les Services de support SAP Premium Engagement, les Services de développement de solutions de gestion innovantes et les Services de support de développement de solutions de gestion innovantes.
9.8 Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite les Données à caractère personnel pour le compte du Responsable du traitement, que ce soit de façon directe en tant que Sous-traitant d'un Responsable du traitement ou de façon indirecte en tant que Sous-traitant ultérieur d'un Sous-traitant qui traite les Données à caractère personnel pour le compte du Responsable du traitement.
9.9 Le terme « Clauses contractuelles types », parfois également appelé « Clauses du modèle UE », désigne les (Clauses contractuelles types (sous-traitants)) ou toute version ultérieure qui en est publiée par la Commission européenne (laquelle s'appliquera automatiquement). Les Clauses contractuelles types en vigueur à la date d'entrée en vigueur du Contrat sont jointes aux présentes dans l'Appendice 4.
9.10 Le terme « Sous-traitant ultérieur » désigne les Sociétés Affiliées de SAP, SAP SE, les Sociétés Affiliées de SAP SE et les tiers engagés par SAP, SAP SE ou les Sociétés Affiliées de SAP SE en relation avec le Service SAP et qui traitent les Données à caractère personnel conformément au présent DPA.
Appendice 1 au présent DPA et, si applicable, aux Clauses contractuelles types
Exportateur de données
L'Exportateur de données désigne le Client ayant conclu un Contrat de droit d'utilisation et de maintenance et/ou un Contrat de services avec SAP en vue de l'acquisition du Service SAP décrit dans le Contrat applicable. L'Exportateur de données autorise les autres Responsables du traitement à utiliser également le Service SAP ; lesdits autres Responsables du traitement sont aussi des Exportateurs de données.
Importateur de données
SAP et ses Sous-traitants ultérieurs fournissent le Service SAP tel que défini dans le Contrat applicable conclu avec l'Exportateur de données, lequel inclut notamment le Service SAP suivant :
- S'agissant du Contrat de droit d'utilisation et de maintenance : SAP et/ou ses Sous-traitants ultérieurs fournissent une maintenance lorsqu'un Client soumet une demande de maintenance car le Progiciel n'est pas disponible ou ne fonctionne pas comme prévu. Ils fournissent une réponse par téléphone, apportent des corrections basiques aux erreurs et gèrent les messages de maintenance dans un système de suivi.
- S'agissant du Contrat de services spécifique aux Services professionnels : SAP et/ou ses Sous-traitants ultérieurs fournissent les Services régis par le Bon de commande et le Périmètre des Services correspondant.
Personnes concernées
Sauf décision contraire de l'Exportateur de données, les Données à caractère personnel transférées s'appliquent aux catégories de Personnes concernées suivantes : employés, prestataires, Tierces parties d'affaires ou autres individus ayant des Données à caractère personnel transmises à, mises à la disposition de ou obtenues par l'Importateur de données.
Catégories de données
Les Données à caractère personnel transférées concernent les catégories de données suivantes :
Le Client détermine les catégories de données et/ou les champs de données pouvant être transféré(e)s par Service SAP tel qu'indiqué dans le Contrat applicable. Les Données à caractère personnel transférées concernent généralement les catégories de données suivantes : nom, numéro de téléphone, adresse électronique, fuseau horaire, données liées à l'adresse, données concernant l'accès aux systèmes, les utilisations et autorisations correspondantes, nom de la société, données contractuelles, données de facturation et données spécifiques à l'application transférées par les Utilisateurs autorisés qui peuvent inclure des données financières telles que des données liées à des comptes bancaires et cartes de crédit ou de débit.
Catégories spéciales de données (le cas échéant)
Les Données à caractère personnel transférées concernent les catégories spéciales de données suivantes, telles que définies dans le Contrat (y compris le Bon de commande), le cas échéant.
Objectifs/Opérations de traitement
Les Données à caractère personnel transférées sont soumises aux activités de traitement de base définies dans le Contrat, notamment :
• utilisation des Données à caractère personnel pour fournir le Service SAP ;
• stockage des Données à caractère personnel ;
• traitement informatique de Données à caractère personnel pour la transmission de données ;
• exécution des instructions du Client conformément au Contrat.
Appendice 2 au présent DPA et, si applicable, aux Clauses contractuelles types – Mesures techniques et organisationnelles
1. MESURES TECHNIQUES ET ORGANISATIONNELLES
Les articles suivants définissent les mesures techniques et organisationnelles actuelles de SAP. SAP peut les modifier à tout moment sans préavis, tant qu'elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.
1.1 Contrôle des accès physiques. Les personnes non autorisées ne doivent pas être en mesure d'accéder physiquement aux bâtiments, locaux ou pièces où sont situés les systèmes de traitement de données qui traitent et/ou utilisent les Données à caractère personnel.
Mesures :
• SAP protège ses biens et ses installations en recourant aux moyens adaptés, conformément à la Politique de sécurité de SAP.
• En règle générale, les bâtiments sont sécurisés par des systèmes de contrôle des accès (par exemple, système d'accès par carte à puce).
• Une exigence minimale impose que les points d’entrée externes du bâtiment soient équipés d'un système certifié de clés incluant une gestion moderne et active des clés.
• En fonction de la classification de la sécurité, certains bâtiments, certaines zones précises et leurs environs peuvent être protégés par des mesures supplémentaires. Il peut s'agir notamment de profils d'accès spécifiques, de vidéo-surveillance, de systèmes d'alarme en cas d'intrusion et de systèmes de contrôle d'accès biométriques.
• Des droits d'accès sont conférés aux collaborateurs autorisés, au cas par cas, selon le Système et les Mesures de contrôle des accès aux données (voir article 1.2 et 1.3 ci-dessous). Cela vaut également pour l'accès des visiteurs. Les invités et visiteurs qui pénètrent dans des locaux de SAP doivent enregistrer leur nom à l'accueil et doivent être accompagnés d'un membre du personnel autorisé de SAP.
• Les employés SAP et le personnel extérieur doivent porter leur badge d'identification dans tous les locaux SAP.
Mesures supplémentaires pour les Centres de données :
• Tous les Centres de données mettent en œuvre des procédures de sécurité strictes, et disposent de gardiens, caméras de surveillance, capteurs de mouvement, mécanismes de contrôle des accès et autres mesures visant à prévenir les intrusions dans les équipements et installations du Centre de données. Seuls des représentants autorisés ont accès aux systèmes et à l'infrastructure présents dans les installations du Centre de données. Pour assurer son bon fonctionnement, l'équipement de sécurité physique (par exemple, les capteurs de mouvement, caméras, etc.) fait l'objet d'un entretien régulier.
• SAP et tous les prestataires tiers de Centres de données consignent les noms et temps de présence du personnel autorisé qui pénètre dans les zones privées de SAP au sein des Centres de données.
1.2 Contrôle des accès au système. Les systèmes de traitement des données utilisés pour fournir le Service SAP ne doivent pas pouvoir être utilisés sans autorisation.
Mesures :
• Des niveaux d'autorisation multiples sont utilisés lors de la concession de l'accès aux systèmes sensibles, notamment ceux utilisés pour stocker et traiter les Données à caractère personnel. Les autorisations sont gérées par le biais de processus définis conformément à la Politique de sécurité de SAP.
• L'ensemble du personnel accède au système SAP par le biais d'un identifiant propre (identifiant d'utilisateur).
• SAP a mis en place des procédures afin que les changements d'autorisation demandés soient mis en œuvre uniquement en accord avec la Politique de sécurité de SAP (par exemple, aucun droit n'est conféré sans autorisation). Si un membre du personnel quitte la société, ses droits d'accès sont révoqués.
• SAP a établi une politique en matière de mots de passe qui interdit le partage de mots de passe, impose les mesures à prendre en cas de divulgation d'un mot de passe, et exige que les mots de passe soient modifiés périodiquement et les mots de passe par défaut remplacés. Des identifiants d'utilisateur personnalisés sont assignés à des fins d'authentification. Tous les mots de passe doivent être conformes à des exigences minimales définies et sont stockés sous forme chiffrée. Dans le cas des mots de passe de domaine, le système impose un changement tous xxx xxx mois et le choix de mots de passe complexes. Chaque ordinateur dispose d'un économiseur d'écran protégé par mot de passe.
• Le réseau de l'entreprise est protégé du réseau public par des pare-feux.
• SAP utilise un logiciel antivirus actualisé aux points d'accès au réseau de la société (pour les comptes de messagerie électronique) ainsi que sur l'ensemble des serveurs de fichiers et des postes de travail.
• La gestion des correctifs de sécurité est mise en œuvre pour assurer le déploiement régulier et périodique des mises à jour de sécurité pertinentes. L'accès à distance à l'intégralité du réseau interne de SAP et à son infrastructure critique est protégé par un système d'authentification robuste.
1.3 Contrôle des accès aux données. Les personnes autorisées à utiliser des systèmes de traitement de données peuvent accéder uniquement aux Données à caractère personnel auxquelles elles ont le droit d'accéder. Les Données à caractère personnel ne doivent pas être consultées, copiées, modifiées ou supprimées sans autorisation dans le cadre de leur traitement, utilisation ou stockage.
Mesures :
• Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des informations « confidentielles », conformément à la norme de classification des informations de SAP.
• L'accès aux Données à caractère personnel est accordé s'il existe un besoin d'accéder auxdites données. Le personnel a accès aux informations dont il a besoin pour pouvoir remplir ses obligations. SAP utilise des concepts d'autorisation qui documentent les processus d'autorisation et les rôles affectés par compte (identifiant d'utilisateur). L'ensemble des Données Client sont protégées conformément à la Politique de sécurité de SAP.
• Tous les serveurs de production sont exploités dans les Centres de données ou des salles de serveurs sécurisées. Les mesures de sécurité qui protègent les applications utilisées pour traiter les Données à caractère personnel sont régulièrement contrôlées. À cette fin, SAP réalise des contrôles de sécurité internes et externes ainsi que des tests de pénétration sur ses systèmes informatiques.
• SAP n'autorise pas l'installation de logiciels qui n’ont pas été approuvés par SAP.
• Une norme de sécurité SAP régit les modalités de suppression ou de destruction des données et des supports de données dès lors qu’ils ne sont plus requis.
1.4 Contrôle des transmissions de données. Excepté en cas de nécessité pour la prestation des Services SAP conformément au Contrat pertinent, les Données à caractère personnel ne doivent pas être consultées, copiées, modifiées ou supprimées sans autorisation pendant leur transfert. Lorsque des supports de données sont transportés physiquement, des mesures adaptées sont mises en œuvre chez SAP pour garantir les niveaux de service convenus (par exemple, chiffrement et conteneurs doublés de plomb).
Mesures :
• Les transferts de Données à caractère personnel via les réseaux internes de SAP sont protégés conformément à la Politique de sécurité de SAP.
• Lorsque des données sont transférées entre SAP et ses clients, les mesures de protection requises pour le transfert des données sont convenues par les présentes par SAP et son client et intégrées au Contrat. Cela vaut autant pour un transfert physique que pour un transfert de données via un réseau. Dans tous les cas, le Client assume la responsabilité de tout transfert de données dès lors qu'il sort du cadre des systèmes contrôlés par SAP (par exemple, données transmises au-delà du pare-feu du Centre de données SAP).
1.5 Contrôle des saisies de données. Il sera possible d'examiner et établir rétrospectivement si des Données à caractère personnel ont été saisies, modifiées ou supprimées dans les systèmes de traitement de données SAP et qui sont les personnes ayant effectué lesdites actions.
Mesures :
• L'accès aux Données à caractère personnel est concédé par SAP uniquement au personnel autorisé, en fonction des besoins pour accomplir ses obligations.
• SAP a mis en œuvre un système de journalisation des saisies, modifications, suppressions et blocages de Données à caractère personnel par SAP ou ses Sous-traitants ultérieurs dans le Service SAP dans la mesure où cela est techniquement possible.
1.6 Contrôle des tâches. Le contrôle des tâches est nécessaire et permet de garantir que les Données à caractère personnel traitées pour le compte d'autrui le sont conformément aux instructions du Client.
Mesures :
SAP utilise des contrôles et des procédures pour assurer le respect des contrats conclus entre SAP et ses clients, sous-traitants ultérieurs ou autres prestataires de services.
Dans le cadre de la Politique de sécurité de SAP, les Données à caractère personnel doivent faire l'objet d'un niveau de protection au moins égal à celui des informations « confidentielles », conformément à la norme de classification des informations de SAP.
• Tous les employés et les sous-traitants ultérieurs contractuels ou autres prestataires de services sont tenus par contrat à respecter la confidentialité de l'ensemble des informations sensibles, notamment les secrets commerciaux de clients et partenaires de SAP.
S'agissant du Support SAP, les clients SAP ont à tout moment le contrôle de leurs connexions de maintenance à distance. Les employés de SAP ne peuvent accéder à un système client sans que le client en question n'en soit informé et n'y consente. Pour le Support SAP, SAP fournit une installation sécurisée spécialement conçue pour la prise en charge des demandes de maintenance, dans laquelle SAP met à disposition une zone de sécurité surveillée à accès contrôlé pour transférer les mots de passe et les données d'accès. Les clients SAP ont à tout moment le contrôle de leurs connexions de maintenance à distance. Les employés de SAP ne peuvent accéder à un système client sur site sans que le client en question n'en soit informé et ne participe activement à cette fin.
1.7 Contrôle de la disponibilité. Les Données à caractère personnel seront protégées contre les destructions accidentelles ou non autorisées et contre les risques de perte.
Mesures :
• SAP emploie des procédures de sauvegarde régulières visant à assurer une restauration des systèmes essentiels aux activités en cas de besoin.
• SAP utilise des systèmes d'alimentation sans coupure (par exemple UPS, batteries, générateurs, etc.) pour garantir l'alimentation continue des Centres de données.
• SAP a défini des plans de continuité des activités pour les processus de gestion critiques.
• Les procédures et systèmes d'urgence sont régulièrement mis à l'essai.
1.8 Contrôle de la séparation des données. Les Données à caractère personnel recueillies à des fins différentes peuvent être traitées séparément.
Mesures :
• SAP utilise des commandes techniques appropriées pour assurer une séparation des Données à tout moment.
• Le Client (et ses Responsables du traitement approuvés) a accès à ses propres Données uniquement, grâce à une authentification sécurisée et à des autorisations.
• Si des Données à caractère personnel sont requises pour la gestion d'un incident de maintenance émanant du Client, les données sont affectées audit message afin de traiter ledit message. Il est impossible d'y accéder afin de traiter un autre message. Lesdites données sont stockées dans des systèmes d'aide dédiés.
1.9 Contrôle de l'intégrité des données. Les Données à caractère personnel demeurent intactes, complètes et actualisées dans le cadre des activités de traitement.
Mesures :
SAP a mis en œuvre une stratégie de défense sur plusieurs niveaux pour garantir une protection
contre les modifications non autorisées.
SAP utilise les éléments suivants pour mettre en œuvre les articles relatifs aux contrôles et aux
mesures décrits précédemment, notamment :
• Pare-feu
• Centre de contrôle de la sécurité
• Logiciel antivirus
• Sauvegarde et récupération
• Tests d'intrusion externe et interne
• Audits externes réguliers pour démontrer la mise en œuvre des mesures de sécurité
Appendice 3 au DPA
Le tableau suivant définit les Articles applicables du RGPD et les termes correspondants au DPA, à titre d'exemple uniquement.
Article du RGPD | Article du DPA | Cliquez sur le lien pour accéder à l'article |
28(1) | 2 et Appendice 2 | Sécurité du traitement et Appendice 2, Mesures |
28(2), 28(3) (d) et 28 (4) | SOUS-TRAITANTS ULTÉRIEURS. | |
28 (3), première phrase | 1.1 et Appendice 1, 1.2 | Objectif et application. Structure. |
28(3) (a) et 29 | Instructions du Client. Traitement conforme aux | |
28(3) (b) | Personnel. | |
28(3) (c) et 32 | 2 et Appendice 2 | Sécurité du traitement et Appendice 2, Mesures |
28(3) (e) | ||
28(3) (f) et 32-36 | 2 et Appendice 2, 3.5, | Sécurité du traitement et Appendice 2, Mesures techniques et organisationnelles. Notification d'une Violation des Données à caractère personnel. Analyse d'impact relative à la protection des données. |
28(3) (g) | Suppression des données. | |
28(3) (h) | CERTIFICATIONS ET AUDITS. | |
28(4) | SOUS-TRAITANTS ULTÉRIEURS. | |
30 | Documentation ; enregistrements du traitement. | |
46(2) (c) | Clauses contractuelles types. |
Appendice 4
CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANTS)1
Au sens de l'Article 26(2) de la Directive 95/46/CE (ou, après le 25 mai 2018, l'Article 44 et suivants du Règlement 2016/79) concernant le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers ne pouvant pas garantir un niveau adéquat de protection des données,
Client agissant également pour le compte des autres Responsables du traitement
(désigné dans les Clauses ci-après sous le terme « exportateur de données »)
et
SAP
(désigné dans les Clauses ci-après sous le terme « importateur de données ») désignés séparément en tant que « partie » ; conjointement en tant que « parties »,
ONT CONCLU les Clauses contractuelles suivantes (les Clauses) afin de fournir une protection adéquate conformément à la protection de la confidentialité et des droits et libertés fondamentaux des personnes physiques pour le transfert des données à caractère personnel de l'exportateur de données vers l'importateur de données, comme indiqué dans l'Appendice 1.
Clause 1
Définitions
Au sens des présentes Clauses :
(a) Les termes « données à caractère personnel », « catégories spéciales de données »,
« traiter/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » revêtent la même signification que dans la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données et à la libre circulation desdites données ;
(b) le terme « exportateur de données » désigne le responsable du traitement transférant les données à caractère personnel ;
(c) le terme « importateur de données » désigne le responsable approuvant la réception des données à caractère personnel transférées par l'exportateur de données et destinées au traitement pour son compte après le transfert conformément à ses instructions et aux termes des Clauses. Il n'est pas soumis à un système de pays tiers, garantissant ainsi une protection adéquate au sens de l'Article 25(1) de la Directive 95/46/CE ;
(d) le terme « sous-traitant ultérieur » désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de l'importateur de données acceptant de recevoir de ce dernier, ou de tout autre sous-traitant ultérieur de l'importateur de données, des données à caractère personnel destinées exclusivement à la réalisation des activités de
1 Conformes à la décision de la Commission européenne du 5 février 2010 (2010/87/EU)
traitement pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes des contrats de sous-traitance écrits ;
(e) "loi applicable en matière de protection des données" désigne la législation protégeant les droits et libertés fondamentaux des personnes physiques et, en particulier, le droit à la confidentialité conformément au traitement des données à caractère personnel applicable à un contrôleur de données dans l'État membre dans lequel l'exportateur de données est établi ;
(f) le terme « mesures de sécurité techniques et organisationnelles » désigne les mesures visant à protéger les données à caractère personnel contre toute destruction accidentelle ou illégale ou perte accidentelle, altération, divulgation ou accès non autorisés, en particulier dans le cas où le traitement implique la transmission de données sur un réseau, ainsi que contre toute autre forme illégale de traitement.
Clause 2
Détails du transfert
Les détails du transfert et en particulier les catégories spéciales de données à caractère personnel, le cas échéant, sont indiqués dans l'Appendice 1 qui fait partie intégrante des Clauses.
Clause 3
Clause concernant le tiers bénéficiaire
1. La personne concernée peut faire appliquer la présente Clause, la Clause 4(b) à (i), la Clause 5(a) à (e) et (g) à (j), la Clause 6(1) à (2), la Clause 7, la Clause 8(2) et les Clauses 9 à 12 à l'encontre de l'exportateur de données en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2) et les Clauses 9 à 12 à l'encontre de l'importateur de données, dans les cas où l'exportateur de données a matériellement disparu, a cessé d'exister en droit à moins que l'ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l'exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites Clauses.
3. La personne concernée peut faire appliquer la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2) et les Clauses 9 à 12 à l'encontre du sous-traitant, dans les cas où l'exportateur et l'importateur de données ont tous les deux matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables à moins que l'ensemble des obligations juridiques de l'exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle revient par conséquent les droits et les obligations de l'exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites Clauses. Ladite responsabilité du sous-traitant ultérieur en tant que tiers doit être limitée à ses propres activités de traitement conformément auxdites Clauses.
4. Les parties ne s'opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si la législation nationale l'autorise.
Clause 4
Obligations de l'exportateur de données
L'exportateur de données consent et s'engage comme suit :
(a) le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera à être réalisé conformément aux dispositions pertinentes des lois applicables en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes dudit État ;
(b) l'exportateur de données a chargé et, pendant toute la durée des services de traitement de données à caractère personnel, chargera l'importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l'exportateur de données et conformément aux lois applicables en matière de protection des données et aux Clauses ;
(c) l'importateur de données offrira suffisamment de garanties en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées dans l'Appendice 2 au présent contrat ;
(d) après vérification des exigences des lois applicables en matière de protection des données, l'exportateur de données s'assurera que les mesures de sécurité sont aptes à protéger les données à caractère personnel contre toute destruction accidentelle ou illégale ou perte accidentelle, altération, divulgation ou accès non autorisés, en particulier dans le cas où le traitement implique la transmission de données sur un réseau, ainsi que contre toute autre forme illégale de traitement ; et que lesdites mesures garantissent un niveau de sécurité adéquat eu égard aux risques présentés par le traitement et à la nature des données à protéger, en tenant compte des dernières avancées technologiques et du coût de leur implémentation ;
(e) il garantira la conformité aux mesures de sécurité ;
(f) si le transfert implique les catégories spéciales de données, la personne concernée a été informée ou sera informée, avant ou dès que possible après le transfert, que ses données pourraient être transmises à un pays tiers ne présentant pas de protection adéquate au sens de la Directive 95/46/CE ;
(g) il transmettra toute notification reçue de l'importateur de données ou tout sous- traitant dans le cadre de la Clause 5(b) et de la Clause 8(3) à l'autorité de contrôle de protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
(h) il met à la disposition des personnes concernées une copie des présentes Clauses sur demande, à l'exception de l'Appendice 2 et une description succincte des mesures de sécurité, ainsi qu'une copie de tout contrat concernant les services de sous-traitance ayant été effectués conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas de telles informations commerciales peuvent être supprimées ;
(i) en cas de sous-traitance, l'activité de traitement est réalisée conformément à l'article 11 des Clauses par un sous-traitant ultérieur fournissant au moins le même niveau de
protection pour les données à caractère personnel et les droits de la personne concernée que celui fourni par l'importateur de données conformément auxdites Clauses ; et
(j) il garantit la conformité avec la Clause 4(a) à (i).
Clause 5
Obligations de l'importateur de données
L'importateur de données consent et s'engage comme suit :
(a) il traite les données à caractère personnel uniquement pour le compte de l'exportateur de données et conformément aux instructions et aux Clauses ; s'il ne lui est pas possible d'assurer une telle conformité pour quelque raison que ce soit, il accepte d'informer dans les plus brefs délais l'exportateur de données de son incapacité de conformité, auquel cas l'exportateur de données est autorisé à suspendre le transfert de données et/ou à résilier le présent contrat ;
(b) il n'a aucune raison de croire que la législation applicable l'empêche de répondre aux instructions reçues de l'exportateur de données et à ses obligations en vertu du contrat. En cas de modification apportée à la législation étant susceptible d'avoir des effets indésirables importants sur les garanties et obligations fournies par lesdites Clauses, il avertira l'exportateur de données dans les plus brefs délais de la modification dès qu'il en aura pris connaissance, auquel cas l'exportateur de données est autorisé à suspendre le transfert de données et/ou à résilier le présent contrat ;
(c) il a implémenté les mesures de sécurité techniques et organisationnelles mentionnées dans l'Appendice 2 avant de traiter les données à caractère personnel transférées ;
(d) il avertira dans les plus brefs délais l'exportateur de données de :
(i) toute requête juridiquement contraignante demandant la divulgation de données à caractère personnel et émanant d'une autorité chargée de l'application des lois, à moins qu'il lui soit interdit de procéder à un tel avertissement, notamment en cas d'interdiction découlant du droit pénal dans le but de préserver la confidentialité d'une enquête judiciaire ;
(ii) tout accès accidentel ou non autorisé ; et
(iii) toute requête reçue directement des personnes concernées sans répondre à ladite requête, à moins qu'une autre autorisation n'ait été prononcée ;
(e) il traitera correctement et dans les plus brefs délais toutes les demandes de l'exportateur de données relatives au traitement des données à caractère personnel faisant l'objet du transfert et se rangera à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
(f) à la demande de l'exportateur de données, il soumettra ses installations de traitement de données à un audit des activités de traitement couvertes par les présentes Clauses qui devra être réalisé par l'exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité et sélectionnés par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
(g) il mettra à la disposition de la personne concernée une copie des présentes Clauses ou tout contrat de sous-traitance existant sur demande, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas de telles informations commerciales peuvent être supprimées, à l'exception de l'Appendice 2 qui doit être remplacé par une description succincte des mesures de sécurité dans les cas où la personne concernée se trouve dans l'incapacité d'obtenir une copie de l'exportateur de données ;
(h) en cas de sous-traitance, il veillera au préalable à informer l'exportateur de données et à obtenir l'accord écrit de ce dernier ;
(i) les services de traitement fournis par le sous-traitant seront conformes à la Clause 11 ;
(j) il enverra dans les plus brefs délais une copie de tout contrat de sous-traitance conclu avec l'exportateur de données en vertu des présentes Clauses.
Clause 6
Responsabilité
1. Les parties consentent que toute personne concernée ayant subi un préjudice résultant de la violation des obligations désignées dans la Clause 3 ou la Clause 11 par une des parties ou par un sous-traitant a le droit d'obtenir de l'exportateur de données réparation au préjudice subi.
2. Si une personne concernée n'est pas en mesure d'intenter l'action de réparation conformément au paragraphe 1 contre l'exportateur de données, pour manquement par l'importateur de données ou du sous-traitant à l'une ou l'autre de ses obligations mentionnées dans la Clause 3 ou la Clause 11, car l'exportateur de données a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable à moins que l'ensemble des obligations juridiques de l'exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle revient par conséquent les droits et les obligations de l'exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites Clauses.
L'importateur de données ne peut se prévaloir d'un manquement par le sous-traitant ultérieur à ses obligations dans le but de ne pas assurer ses propres responsabilités.
3. Si une personne concernée n'est pas en mesure d'intenter une action conformément aux paragraphes 1 et 2 contre l'exportateur de données ou l'importateur de données, pour manquement par le sous-traitant à l'une ou l'autre de ses obligations mentionnées dans la Clause 3 ou la Clause 11, car l'exportateur et l'importateur de données ont tous les deux matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables à moins que l'ensemble des obligations juridiques de l'exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l'entité qui lui succède, à laquelle revient par conséquent les droits et les obligations de l'exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites Clauses. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément auxdites Clauses.
Clause 7
Médiation et juridiction
1. L'importateur de données consent que si la personne concernée invoque contre lui les droits de tiers bénéficiaire et/ou intente l'action de réparation pour les préjudices en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :
(a) de soumettre le litige à une médiation mise en œuvre par une personne indépendante
ou, le cas échéant, par l'autorité de contrôle ;
(b) de soumettre le litige aux tribunaux de l'État membre dans lequel l'exportateur de données est établi.
2. Les parties consentent que le choix fait de la personne concernée ne portera pas préjudice à ses droits matériels ou procéduraux pour chercher un recours conformément aux autres dispositions de la loi nationale ou internationale.
Clause 8
Coopération avec les autorités de contrôle
1. L'exportateur de données consent à déposer une copie du présent contrat auprès de l'autorité de contrôle si nécessaire ou si un tel dépôt est requis en vertu de la loi applicable en matière de protection des données.
2. Les parties conviennent que l'autorité de contrôle a le droit d'effectuer un audit de l'importateur de données et de chacun de ses sous-traitants ultérieurs, dans la même étendue et sous les mêmes conditions que ceux qui s'appliqueraient à un audit de l'exportateur de données en vertu des lois de protection des données applicables.
3. L'importateur de données s'engage à informer dans les meilleurs délais l'exportateur de données concernant l'existence d'une législation applicable à son activité ou celle de tout sous-traitant entravant la réalisation d'un audit de l'importateur de données ou sous-traitant conformément au paragraphe 2. Dans un tel cas, l'exportateur de données est autorisé à prendre les mesures prévues dans la Clause 5(b).
Clause 9
Droit applicable
Les Clauses sont régies par la loi de l'État membre dans lequel l'exportateur de données est établi.
Clause 10
Modifications du contrat
Les parties s'engagent à ne pas modifier les présentes Clauses. La présente condition n'empêche pas les parties d'ajouter des clauses concernant des problèmes relevant de l'activité commerciale si nécessaire, dans la mesure où elles ne contredisent pas la Clause.
Clause 11
Sous-traitance
1. L'importateur de données ne doit sous-traiter aucune de ses opérations de traitement réalisées pour le compte de l'exportateur de données en vertu des présentes Clauses sans le consentement écrit et préalable de l'exportateur de données. Dans le cas où l'importateur de données sous-traite ses obligations en vertu des présentes Clauses avec le consentement de l'exportateur de données, il doit le faire uniquement en concluant un accord écrit avec le sous- traitant ultérieur imposant les mêmes obligations au sous-traitant ultérieur que celles qui lui sont imposées dans les présentes Clauses. Dans le cas où le sous-traitant ultérieur manque à ses obligations de protection des données en vertu dudit accord écrit, l'importateur de données s'engage à rester totalement responsable envers l'exportateur de données concernant l'exécution des obligations du sous-traitant ultérieur en vertu dudit accord.
2. Le contrat écrit et préalable entre l'importateur de données et le sous-traitant ultérieur doit également prévoir une clause concernant les tiers bénéficiaires telle que définie dans la Clause 3 pour les cas où la personne concernée n'est pas en mesure d'intenter l'action de réparation mentionnée au paragraphe 1 de la Clause 6 contre l'exportateur de données ou l'importateur de données, car ils ont tous les deux matériellement disparu, ont cessé d'exister juridiquement ou sont devenus insolvables et aucune entité leur succédant n'assume l'ensemble des obligations juridiques de l'exportateur ou de l'importateur de données par l'effet d'un contrat ou de la loi. Ladite responsabilité du sous-traitant ultérieur en tant que tiers doit être limitée à ses propres activités de traitement conformément auxdites Clauses.
3. Les clauses relevant des aspects de la protection des données pour la sous-traitance du contrat mentionné au paragraphe 1 sont régies par la loi de l'État membre dans lequel l'exportateur de données est établi.
4. L'exportateur de données conservera une liste des contrats de sous-traitance conclus en vertu des présentes Clauses et notifiés par l'importateur de données conformément à la Clause 5(j) qui sera mise à jour au moins une fois par an. La liste sera mise à la disposition de l'autorité de contrôle de protection des données de l'exportateur de données.
Clause 12
Obligations après résiliation des services de traitement des données à caractère personnel
1. Les parties conviennent qu'au terme de la prestation de services de traitement des données, l'importateur de données et le sous-traitant ultérieur, à la convenance de l'exportateur de données, restitueront à ce dernier toutes les données à caractère personnel transférées et leurs copies ou détruiront toutes les données à caractère personnel et devront le certifier à l'exportateur de données, à moins que la législation qui s'applique à l'importateur de données ne l'empêche de restituer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et ne traitera plus activement lesdites données à caractère personnel transférées.
2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement de données à un audit des mesures mentionné au paragraphe 1.