Accord en ligne TAAP - Accord entre responsables du traitement (y compris les CCT)
Accord en ligne TAAP - Accord entre responsables du traitement (y compris les CCT)
La version originale en anglais du présent Accord entre responsables du traitement peut avoir été
traduite dans d’autres langues. En cas d’incohérence ou de divergence entre la version anglaise et la version dans une autre langue du présent Accord, la version anglaise prévaudra.
CHAMP D’APPLICATION : lorsqu’Expedia et vous-même traitez des données à caractère personnel dans le cadre d’un accord (qui peut prendre la forme de conditions avec accord par clic en ligne) conclu avec l’autre partie (en vertu duquel vous avez été nommé partenaire marketing en vertu du TAAP, et toutes les activités pertinentes liées à cette activité désignées dans les présentes comme les « Activités
pertinentes »), alors cet accord global entre responsables du traitement (« Accord entre responsables du traitement ») est complémentaire et s’applique à cet accord conclu entre les parties dans le cadre des Activités pertinentes (l’« Accord ») et énonce les termes, exigences et conditions supplémentaires selon lesquels Expedia et vous traiterez chacun les données à caractère personnel dans le cadre de l’Accord. Dans le présent Accord entre responsables du traitement, « Expedia » et « nous » font référence à Expedia, Inc. et/ou à toute autre société d’Expedia Group partie à l’Accord. « Vous » fait référence à l’entité nommée indiquée sur la Candidature telle que décrite dans l’Accord (et toutes les références à Expedia ou à vous seront interprétées comme des termes au pluriel dans la mesure requise par l’Accord).
1. DÉFINITIONS ET INTERPRÉTATION
1.1 Le présent Accord entre responsables du traitement est soumis aux conditions de l’Accord et est intégré à celui-ci. Les interprétations et les termes définis énoncés dans l’Accord s’appliquent à l’interprétation du présent Accord entre responsables du traitement, sauf indication contraire dans le présent Accord entre responsables du traitement ; et :
a. chacun des termes « mesures techniques et organisationnelles appropriées »,
« responsable du traitement », « données à caractère personnel », « violation de données à caractère personnel », « traiter »/« traitement » et « autorité de contrôle » (ou des termes raisonnablement équivalents) ont les significations qui leur sont données dans les Lois applicables en matière de protection des données ;
b. Loi(s) applicable(s) en matière de protection des données désigne toutes les lois et réglementations applicables dans toute juridiction concernée, relatives à l’utilisation ou au traitement des données à caractère personnel ;
c. Fin autorisée signifie aux fins suivantes : (i) accomplissement de Réservations ; (ii) assistance pour les Réservations ; (iii) administration des inscriptions et comptes TAAP ;
(iv) paiement des Commissions et autres montants en vertu du présent Accord ; (v) création de rapports pour vous et tout autre traitement requis pour la réconciliation, la gestion des réclamations et autres activités similaires associées à l’exécution de l’Accord ; (vi) assistance aux comptes TAAP ; (vii) communications aux Membres et aux Sous-utilisateurs TAAP ; (viii) amélioration de nos services, y compris l’optimisation de l’expérience de réservation ; (ix) création de rapports pour les analyses, l’intelligence économique et le reporting d’entreprise ; (x) prévention des fraudes ; (xi) réponse aux
demandes pour l’application des lois et aux demandes d’audit des autorités fiscales ; (xii) facilitation des transactions d’actifs d’entreprises (pouvant s’étendre à toute fusion, acquisition ou vente d’actifs) ; et (xiii) toute autre façon de remplir nos obligations en vertu du présent Accord, de la politique sur la protection des données d’Expedia et de la
législation en vigueur ; et (xiv) pour la détermination, le calcul, la déclaration des Taxes de voyage et d’autres fins de taxation applicables pouvant être requises de temps à autre ;
d. DPF désigne une certification du Data Privacy Framework (cadre de protection des données) UE-États-Unis auprès du Département américain du commerce ou tout mécanisme de certification de remplacement ou supplémentaire approuvé par la Commission européenne (ou toute autre autorité nationale compétente) de temps à autre ; et comprend toutes les décisions d’adéquation supplémentaires émises par tout autre pays qui permettent l’extension du DPF entre les États-Unis et ce pays tiers (par exemple, sans s’y limiter, le Royaume-Uni et la Suisse) ;
e. Pays de transfert restreint désigne tout pays de l’Espace économique européen, la Suisse, le Royaume-Uni et le Brésil ;
f. Données à transfert restreint désigne les Données client relatives à une Réservation effectuée via un point de vente destiné par nous à être accessible aux Clients dans un Pays de transfert restreint ;
g. Clauses contractuelles types/ CCT désigne les clauses contractuelles types approuvées de la Commission européenne pour le transfert de données à caractère personnel de l’Union européenne vers des pays tiers, telles que publiées le 4 juin 2021, telles que modifiées, remplacées ou complétées de temps à autre, et dont la version actuelle complète peut être consultée en suivant ce lien :
xxxxx://xxxxxxxxxx.xxxxxx.xx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard-contractual-clauses-scc_en ; et
h. Données personnelles TAAP signifie les données à caractère personnel que vous nous fournissez par l’intermédiaire du Site Internet TAAP ou traitée de toute autre façon relativement à TAAP ou facilitant les Réservations effectuées en utilisant le Site Internet TAAP.
Relation entre les parties
1.2 Vous vous engagez et nous nous engageons à collecter et à traiter des données à caractère personnel pour remplir nos droits et obligations respectifs en vertu du présent Accord, ainsi que nos responsabilités respectives en vertu de la législation en vigueur. De ce fait, chaque partie s’engage à : (i) traiter les données à caractère personnel en tant que responsable du traitement indépendant et autonome ; (ii) respecter la Loi applicable en matière de protection des données ; et (iii) être responsable de chacun de ses actes ou omissions en violation de la Loi applicable en matière de protection des données.
Vos responsabilités
1.3 Vous êtes tenu :
a. de respecter une base juridique pour mettre à notre disposition toute Donnée personnelle TAAP, en vue de notre traitement aux Fins autorisées ;
b. de vous assurer que les Clients sont informés, par l’intermédiaire de votre politique sur la protection des données et de tout autre moyen approprié, que leurs données à caractère personnel sont partagées avec nous aux Fins autorisées ;
c. d’orienter les Clients vers notre politique sur la protection des données pour qu’ils obtiennent plus d’informations sur notre traitement de leurs données à caractère personnel ; et
d. de coopérer avec nous et de nous apporter une assistance raisonnable pour nous aider à respecter les Lois applicables en matière de protection des données au cours de notre traitement des Données personnelles TAAP en vertu du présent Accord.
Nos responsabilités
1.4 Nous (et les Membres de notre groupe, le cas échéant) nous engageons à :
a. traiter les Données personnelles TAAP uniquement aux Fins autorisées ;
b. ne divulguer à personne les Données personnelles TAAP, en totalité ou en partie, sauf aux Fins autorisées ;
c. coopérer avec vous et vous apporter une assistance raisonnable pour vous aider à respecter les Lois applicables en matière de protection des données au cours de votre Traitement des Données personnelles TAAP en vertu du présent Accord ; et
d. afficher et respecter notre notification légale et à jour sur les cookies (le cas échéant) et notre politique sur la protection des données sur le Site Internet TAAP.
Clients et tierces parties
1.5 Vous reconnaissez que :
a. nous pouvons envoyer des e-mails aux Clients concernant les Réservations ;
b. nous pouvons transférer des Données personnelles TAAP (y compris des données bancaires) à nos prestataires de service tiers aux fins suivantes :
i. administration, gestion et assistance pour votre Compte TAAP, ainsi que les Comptes TAAP de vos Représentants et Sous-utilisateurs ;
ii. assistance pour les Réservations ; et
iii. paiement de Commissions et d’autres montants en vertu du présent Accord.
Sécurité des données
1.6 Les deux parties, en leur capacité de responsables du traitement, s’engagent à :
a. respecter des mesures techniques et organisationnelles appropriées pour protéger contre toute violation les données à caractère personnel qu’elles traitent chacune ; et
b. en cas de violation confirmée de données à caractère personnel dans des systèmes détenus ou contrôlés par la partie concernée, informer rapidement l’autre partie si ladite violation (i) affecte des Données personnelles TAAP également traitées par l’autre partie en vertu du présent Accord ; et (ii) doit être signalée à une autorité de contrôle en fournissant tous les détails de ladite violation. Dans ce cas, les deux parties s’engagent à coopérer raisonnablement et de bonne foi pour remédier aux effets de la violation de données à caractère personnel ou les limiter, et les coûts raisonnables de ladite coopération doivent être supportés par la partie ayant subi la violation de données à caractère personnel.
Transferts transfrontaliers
1.7 Data Privacy Framework (DPF) : vous et nous convenons qu’en ce qui concerne les transferts de Données à transfert restreint entre vous et nous vers les États-Unis ou vers un pays qui n’a pas été jugé « adéquat » en vertu des Lois applicables en matière de protection des données du Pays de transfert restreint d’origine (a) dans la mesure où et aussi longtemps que le DPF est une méthode de transfert reconnue par une autorité compétente, le DPF sera le mécanisme convenu pour les transferts transfrontaliers de données provenant d’un Pays de transfert restreint vers nous aux États-Unis, et (b) dans la mesure où et aussi longtemps que le DPF n’est pas une méthode de transfert valide (y compris pour les transferts de Données à transfert restreint vers un pays qui n’a pas été jugé « adéquat » en vertu des Lois applicables en matière de protection des données du Pays de transfert restreint d’origine), les CCT s’appliqueront à ces transferts et nous les conclurons sur la base énoncée à la Clause 1.11 ci-dessous. Lorsque vous détenez également une certification DPF en cours, les transferts de Données à transfert restreint vers vous peuvent également être effectués dans le cadre du DPF avec des CCT comme mécanisme de secours, comme indiqué ci-dessus.
1.8 Obligations de transfert du DPF : vous acceptez de fournir au moins le même niveau de protection pour les Données à transfert restreint que celui requis en vertu du DPF ; et vous devez nous informer rapidement si vous déterminez que vous ne pouvez plus fournir ce niveau de protection. Dans un tel cas, ou si nous pensons raisonnablement que vous ne protégez pas les Données à transfert restreint conformément à la norme requise par le DPF, nous pouvons : (a) vous demander de prendre des mesures raisonnables et appropriées pour arrêter et remédier à tout traitement non autorisé, auquel cas vous coopérerez rapidement avec nous de bonne foi pour identifier, accepter et mettre en œuvre ces mesures ; (b) convenir d’une autre garantie susceptible de s’appliquer au traitement en vertu de la Loi applicable en matière de protection des données ; ou (c) résilier le présent Accord entre responsables du traitement et l’Accord (ou, à notre discrétion, toute partie affectée de celui-ci) sans pénalité en vous donnant un préavis. Si vous détenez également une certification DPF en cours, les dispositions ci-dessus et celles de la clause 1.9 ci- dessous seront réputées s’appliquer comme si les obligations étaient réciproques.
1.9 Obligations de divulgation du DPF : vous reconnaissez que nous pouvons divulguer le présent Accord entre responsables du traitement et toutes les dispositions relatives à la protection des données pertinentes de l’Accord au département américain du commerce, à la Commission fédérale du commerce, à toute autorité européenne de protection des données ou à tout autre organisme judiciaire ou réglementaire américain ou européen sur leur demande et qu’une telle divulgation ne sera pas considérée comme une violation de la confidentialité.
1.10 Extension des CCT aux Pays de transfert non restreint : en ce qui concerne les transferts de Données personnelles TAAP entre vous et nous provenant d’un pays qui n’est pas un Pays de transfert restreint, mais qui est par ailleurs soumis à des garanties qui, conformément à la Loi applicable en matière de protection des données, doivent être appliquées avant qu’un transfert de ces Données personnelles TAAP puisse être effectué en dehors du pays d’origine (chacun un Pays de transfert non restreint), alors vous et nous convenons que (a) les CCT énoncés à la clause 1.11 ci-dessous seront réputés s’étendre à ces transferts supplémentaires dans la mesure où cette prolongation réputée satisferait aux garanties de ce pays particulier ; et/ou (b) lorsque les mesures énoncées à la Clause 1.11 sont insuffisantes ou nécessitent des mesures supplémentaires, les parties conviennent de prendre ces mesures supplémentaires, y compris, par exemple, la signature des documents pertinents, le recueil du consentement, la réalisation des documents comme cela peut être requis de temps à autre afin de satisfaire à la Loi applicable en matière de protection des données.
1.11 Sous réserve de la Clause 1.7 ci-dessus, vous et nous convenons par la présente de conclure les CCT sur une base inchangée, à l’exception des sélections suivantes :
a. lorsque vous vous trouvez dans un Pays de transfert restreint ou autrement dans un pays jugé « adéquat » conformément à l’article 45 du RGPD, seul le Module un (1) des CCT s’appliquera à sens unique en ce qui concerne les transferts de votre part vers Expedia. Sinon, les CCT du Module un s’appliquent dans les deux sens pour couvrir à la fois les transferts de nous vers vous et de vous vers nous.
b. Aux fins de l’article 11(a) des CCT, la langue facultative est supprimée.
c. Aux fins de l’article 13 des CCT, le paragraphe pertinent est « L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. »
d. Aux fins de l’article 17 des CCT, la loi applicable est celle de l’Irlande.
e. Aux fins de l’article 18(b) des CCT, la sélection est l’Irlande.
f. Une nouvelle clause 19 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel du Royaume-Uni vers l’extérieur du Royaume-Uni comme suit :
« Clause 19
RGPD et DPA 2018 au Royaume-Uni
Les parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application du RGPD au Royaume-Uni et du Data Protection Act 2018 (un Transfert depuis le Royaume-Uni). Aux fins d’un tel Transfert depuis le Royaume-Uni, les dispositions de l’addendum sur le transfert international de données aux clauses contractuelles types version B1.0 (telles que modifiées, remplacées ou complétées de temps à autre) s’appliqueront comme indiqué dans le formulaire ci-joint de l’addendum. »
h. Une nouvelle clause 20 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel de la Suisse vers l’extérieur de la Suisse comme suit :
« Clause 20
Suisse – LPD
Les parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de la Loi fédérale sur la protection des données (LPD) (désignés dans la présente clause comme un Transfert depuis la Suisse). Aux fins de ces Transferts depuis la Suisse, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’autorité de contrôle compétente. Les Parties conviennent en outre que les modifications
ultérieures seront interprétées comme étant apportées aux clauses relatives à un Transfert depuis la Suisse si elles sont jugées nécessaires par le PFPDT pour se conformer au RGPD du Royaume-Uni et à la LPD, et les clauses doivent être interprétées conformément aux exigences pour les Transferts depuis la Suisse découlant de ces lois ou autrement définies dans les
directives émises par le PFPDT, sans que les parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis la Suisse. Les Parties
accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la LPD lorsqu’elles s’engagent dans des Transferts depuis la Suisse. »
i. Une nouvelle clause 21 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel du Brésil vers l’extérieur du Brésil comme suit :
« Clause 21
Brésil – LGPD
Les Parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de la Loi brésilienne sur la protection générale des données N° 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (désignés dans la présente clause comme un Transfert depuis le Brésil). Aux fins de ces Transferts depuis le Brésil, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et l’autorité brésilienne chargée de la protection nationale des données (ANPD) est l’autorité de contrôle compétente.
Les Parties conviennent en outre que les modifications ultérieures seront interprétées comme étant apportées aux clauses relatives à un Transfert depuis le Brésil si elles sont jugées nécessaires par l’ANPD pour se conformer à la LGPD, et les clauses doivent être interprétées conformément aux exigences pour les Transferts depuis le Brésil découlant de ces lois ou
autrement définies dans les directives émises par l’ANPD ou une autre autorité brésilienne pertinente sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis le Brésil. Les Parties accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la LGPD lorsqu’elles s’engagent dans des Transferts depuis le Brésil. »
j. Une nouvelle clause 22 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel depuis tout autre pays non spécifié jusqu’ici, où les CCT peuvent être étendues pour assurer des garanties appropriées pour les transferts de données à caractère personnel en provenance de ce pays vers une partie située en dehors de ce pays comme suit :
« Clause 22
Autres transferts vers des pays tiers
Les Parties conviennent que les présentes Clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de toute autre loi et réglementation applicable dans toute juridiction concernée, relative à l’utilisation ou au traitement des données à caractère personnel (Lois applicables en matière de protection des données) nécessitant des conditions et des
protections largement équivalentes à ces Clauses afin de transférer des données à caractère personnel de ce pays vers un autre (appelé dans cette Clause Transfert depuis un pays tiers). Aux fins de ces Transferts ves un pays tiers, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et l’autorité chargée de la protection des données ou l’organisme réglementaire de ce pays est l’autorité de contrôle compétente. Les Parties conviennent en outre que les modifications ultérieures seront interprétées comme étant apportées aux Clauses relatives à un Transfert depuis un pays tiers si elles sont jugées nécessaires par l’autorité de contrôle concerné pour se conformer à la Loi applicable en matière de protection des données de ce pays, et les clauses doivent être
interprétées conformément aux exigences pour les transferts vers un pays tiers découlant de ces
xxxx ou autrement définies dans les directives émises par l’autorité de contrôle pertinente sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées
spécifiquement pour leurs Transferts depuis un pays tiers. Les Parties accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la ou des Lois applicables en matière de protection des données lorsqu’elles s’engagent dans des Transferts depuis un pays tiers. »
1.12 L’Annexe 1 (Aperçu du traitement des CCT) du présent Accord entre responsables du traitement constitue l’Annexe 1 des CCT. L’Annexe 2 (Mesures techniques et organisationnelles) du présent Accord entre responsables du traitement constitue l’Annexe 2 des CCT et s’applique uniquement à Expedia lorsque vous avez fourni, et que nous avons accepté, des mesures techniques et organisationnelles adéquates pour satisfaire aux exigences de l’Annexe 2 des CCT ou, lorsque ce n’est pas le cas, l’Annexe 2 sera interprétée comme s’appliquant aux deux parties et toutes les références à Expedia et Expedia Group seront interprétées comme faisant référence à l’une ou l’autre des parties en conséquence. L’Addendum au présent Accord entre responsables du
traitement constitue l’addendum britannique aux fins des CCT.
ANNEXE I – APERÇU DU TRAITEMENT DES CCT
MODULE UN : de responsable du traitement à responsable du traitement (de vous à nous)
A. LISTE DES PARTIES Exportateur(s) de données :
Partie | La ou les parties identifiées comme « vous », Membre TAAP ou terme équivalent |
Adresse | Comme spécifié dans l’Accord |
Nom, poste et coordonnées de toutes les parties d’Expedia Group | Gestionnaire de compte utilisant l’adresse e-mail notifiée à la personne de contact Expedia de temps à autre |
Activités pertinentes pour les données transférées dans le cadre des CCT | Les réservations effectuées via le Site Internet TAAP mises à votre disposition conformément à l’Accord |
Rôle | Responsable du traitement |
Importateur(s) de données :
Partie | Les parties extérieures à l’UE identifiées comme « nous » ou « Expedia » dans l’Accord |
Adresse | Comme spécifié dans l’Accord |
Nom, fonction et coordonnées de la personne de contact | Gestionnaire de compte utilisant l’adresse e-mail notifiée à la personne de contact du Membre TAAP de temps à autre |
Activités pertinentes pour les données transférées dans le cadre des présentes Clauses | Les réservations effectuées via le Site Internet TAAP mises à votre disposition conformément à l’Accord |
Rôle | Responsable du traitement |
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées | Clients et Membres TAAP et leurs Sous-utilisateurs |
Catégories de données à caractère personnel | Données d’identification : o nom et prénom (agent et voyageur) o date de naissance o genre o informations de connexion (agent) Coordonnées : |
o adresse postale o adresse e-mail o numéros de téléphone (fixe et mobile) o numéro de fax o autres informations de contact o date de naissance (pour les vols) o genre (pour les vols) o nationalité (du passeport) o informations relatives à la TSA Informations financières : o numéro de compte bancaire o coordonnées bancaires o détails de la carte de paiement Informations de voyage : historique des réservations et préférences de voyage Dans le cas des Agents fiscaux, uniquement : o N° d’identification fiscale Autres informations demandées par le membre TAAP et convenues avec lui, y compris, sans s’y limiter, les données à caractère personnel requises en relation avec les éléments suivants : • rapports, suivi et analyses • authentification unique, programmes de fidélité | |
Données sensibles | Aucune, sauf si elles sont fournies volontairement par une personne pour répondre à ses besoins d’accessibilité pour le voyage. |
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue). | De manière continue ou ponctuelle selon les besoins de l’activité du Membre TAAP |
Nature du traitement | Toutes les opérations de traitement nécessaires pour faciliter les finalités décrites ci-dessous |
Finalité(s) du transfert de données et traitement ultérieur | Fins autorisées, telles que définies dans l’Accord |
La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée | Conformément à la politique de conservation d’Expedia Group, à condition que dans la mesure où des Données personnelles TAAP sont conservées au-delà de la résiliation de l’Accord pour des raisons de sauvegarde ou légales, Expedia continuera à protéger ces données à caractère personnel conformément à l’Accord. |
Pour les transferts vers les sous- traitants des données, précisez également l’objet, la nature et la durée du traitement | xxxxx://xxxxxxx.xxx.xxx/xx/xx-xx/xxxxxxxx/000000000000- EAN-Data-Services-Vendor-List, tel que mis à jour de temps à autre |
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13 des CCT
Autorité irlandaise de protection des données
MODULE UN : de responsable du traitement à responsable du traitement (de nous à vous)
A. LISTE DES PARTIES Exportateur(s) de données :
La ou les Parties identifiées comme Importateurs de données sous le Module un (1) (de vous à nous) ci-dessus. Voir ci-dessus pour plus de détails.
Importateur(s) de données :
La ou les Parties identifiées comme Exportateurs de données sous le Module un (1) (de vous à nous) ci-dessus. Voir ci-dessus pour plus de détails.
B. DESCRIPTION DU TRANSFERT
• Catégories de personnes concernées • Catégories de données à caractère personnel • Données sensibles | Conformément au Module un (1) |
• Fréquence de transfert • Nature du traitement • Finalités | Conformément au Module un (1) |
La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée | Conformément à la politique de conservation du Membre TAAP |
Pour les transferts vers les sous- traitants des données, précisez également l’objet, la nature et la durée du traitement | Non applicable |
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Conformément au Module un (1)
ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES
Les mesures techniques et organisationnelles qui s’appliquent aux fins du Module un (1) sont décrites ci- dessous.
OBJET | MESURE |
Mesures de pseudonymisation et de chiffrement des données à caractère personnel | • Expedia Group prend en charge les protocoles de chiffrement standard de l’industrie pour la transmission de données selon la norme de classification et de traitement des informations d’Expedia Group. • Les exigences de traitement des données sont basées sur une base catégorielle. Selon les données traitées, différentes exigences de sécurité sont en place au sein d’Expedia Group. Par exemple, les données de carte de paiement sont considérées comme hautement sensibles et doivent être chiffrées à la fois en transit et au repos. • Les données à caractère personnel du client (et de ses employés) sont pseudonymisées (et anonymisées) par Expedia Group lorsque cela est possible et tel que requis conformément à la norme de classification et de traitement des informations d’Expedia Group. • Les numéros de carte de paiement sont tokenisés/pseudonymisés pour éliminer le traitement des numéros de carte de crédit en clair. • Expedia Group utilise des connexions chiffrées via VPN, SSL, etc. et utilise des mécanismes d’authentification multi- facteurs. |
Mesures pour assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement | • Expedia Group maintient des responsabilités et des procédures pour la gestion et le fonctionnement de toutes les infrastructures de traitement de l’information afin d’assurer un traitement complet, valide et précis des données. • La surveillance des principales infrastructures de traitement est en place, avec un programme SOX robuste où les contrôles sur le traitement et l’intégrité des données sont testés et attestés en continu. • La journalisation et la surveillance standard de l’industrie sont en place sur les systèmes d’Expedia Group pour garantir et protéger contre l’accès, la modification et/ou la suppression non autorisés. |
• Expedia Group maintient la résilience des services grâce à une architecture redondante, à la réplication des données et à la vérification de l’intégrité. | |
Mesures visant à garantir la capacité de rétablir la disponibilité et l’accès aux données à caractère personnel en temps opportun en cas d’incident physique ou technique | • Les systèmes d’Expedia Group sont spécifiquement conçus pour entraver ou prévenir les attaques courantes et assurer la disponibilité pour l’exploitation, la surveillance et la maintenance. À cette fin, Expedia Group effectue régulièrement des simulations de tests et des audits pour confirmer que ses systèmes maintiennent leur disponibilité. • Les serveurs sont corrigés conformément à la politique de correction robuste d’Expedia Group et protégés par des logiciels antivirus et anti-logiciels malveillants standard de l’xxxxxxxxx.Xx plus, des évaluations de vulnérabilité, des tests approfondis et des examens du réseau sont effectués pour s’assurer que les systèmes d’Expedia Group sont maintenus. • Une surveillance de la disponibilité et de la fiabilité est en place pour s’assurer que les sites Expedia restent en ligne, avec des interruptions de service minimales. • Expedia Group maintient un plan de reprise après sinistre qui tient compte des urgences et des plans d’urgence pour garantir que les services clients sont ininterrompus en fonction de la gravité et sont testés régulièrement pour garantir la viabilité. |
Processus de test, d’évaluation et d’analyse réguliers de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du traitement | • Les mesures techniques et organisationnelles d’Expedia Group sont auditées chaque année par des évaluateurs externes ainsi que par des tests internes rigoureux. • Expedia Group effectue des évaluations PCI annuelles à l’aide d’un évaluateur tiers et veille à ce que cette norme soit respectée en permanence. • La fonction de test interne complète d’Expedia Group comprend des tests de vulnérabilité trimestriels, des tests de pénétration internes et externes, des analyses et des examens du réseau, du système et du pare-feu. De plus, un service d’audit interne procède à des évaluations annuelles des risques afin de prioriser les audits opérationnels. |
Mesures d’identification et d’autorisation des utilisateurs ; mesures de protection des données pendant la transmission : mesures de | • Les systèmes d’Expedia Group sont alignés sur les meilleures pratiques du secteur et des pratiques de communication telles que l’expiration de sessions, des protocoles de verrouillage et des contrôles de mot de passe et d’authentification robustes sont en place. |
protection des données pendant le stockage | • Expedia Group maintient des exigences en matière d’approvisionnement et de surveillance des comptes afin d’empêcher tout accès non autorisé ou toute mauvaise utilisation des informations d’Expedia Group et utilise les meilleures pratiques du secteur selon les besoins, telles que le principe du moindre privilège, des identifiants uniques et l’authentification multifacteur à des fins d’authentification forte. |
Mesures pour assurer la sécurité physique des lieux où les données à caractère personnel sont traitées | • Un centre d’opérations de sécurité (Security Operations Center) fournit une couverture 24 heures sur 24, 7 jours sur 7, avec un plan formel de réponse aux incidents revu et testé au moins une fois par an. • Tous les systèmes sont régulièrement contrôlés et testés par des prestataires externes. • Chaque client d’Expedia Group reçoit son propre identifiant client. Tous les ensembles de données du client concerné sont stockés sous cet identifiant et toutes les données client sont séparées logiquement. En raison des droits d’administration et des structures de base de données, le client ne peut accéder qu’aux ensembles de données qui sont attribués à cet identifiant utilisateur et aux centres de données/contrôles AWS. • Seules les personnes expressément autorisées par Expedia et ayant « besoin de savoir » ont accès aux données à caractère personnel. Des contrôles et une surveillance sont en place pour garantir l’accès selon le principe du moindre privilège et empêcher les tentatives d’accès non autorisées au système. |
Mesures pour garantir la journalisation des événements | Expedia Group maintient des exigences de journalisation et de surveillance solides pour déterminer la personne en cause, l’objet, le lieu, le moment, la cible, la source et la réussite ou l’échec de l’événement enregistré. |
Mesures pour garantir la configuration du système, y compris la configuration par défaut ; mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique ; mesures pour la certification/l’assurance des processus et des produits | • Le programme de sécurité des informations d’Expedia Group (EG) est aligné sur les cadres et les normes de l’industrie, en s’appuyant sur son programme de gestion des risques pour garantir une posture de sécurité solide et complète. Expedia Group maintient des processus opérationnels sécurisés pour assurer la sécurité, la disponibilité, l’intégrité et la confidentialité de l’environnement et des données des clients. • Les normes de construction d’Expedia Group autorisent uniquement les composants système, les services et les protocoles qui répondent à une exigence commerciale. Les systèmes d’exploitation, les bases de données et les |
applications prêtes à l’emploi doivent être détectables pour satisfaire aux exigences d’audit légales et réglementaires, prendre en charge les outils de gestion de la configuration ou déployer une gestion de la configuration qui applique avec succès les contrôles de sécurité, doivent permettre le chiffrement de tous les accès administratifs à distance à un système, et afficher l’utilisation correcte du système. Le système fait l’objet d’une surveillance pour détecter toute utilisation inappropriée et d’autres activités illicites ; il n’y a aucune attente de confidentialité lors de l’utilisation du système. • Expedia Group adopte une stratégie de sécurité en couches/défense en profondeur. Des capacités et des contrôles critiques sont en place dans toute l’entreprise (par exemple : anti-logiciels malveillants, WAF, segmentation du réseau, DLP, etc.), en utilisant une suite de politiques, d’opérations et de technologies pour garantir que l’environnement est surveillé via une organisation de sécurité centrale et qu’une réponse soit apportée aux alertes en conséquence. • Les systèmes d’Expedia sont hébergés sur Amazon Web Services (AWS) et dans des centres de données qui fournissent à Expedia Group des rapports annuels SOC 2 pour garantir la conformité. | |
Mesures pour assurer la minimisation des données ; mesures pour assurer la qualité des données ; mesures pour assurer une conservation limitée des données ; mesures pour assurer la responsabilité | • Minimisation : Expedia Group s’assure qu’un minimum de données est collecté, traité et stocké. Nous n’utilisons un format identifiable que si nécessaire. • Conservation : la politique de conservation des données d’Expedia Group définit différentes périodes de conservation et sauvegardes en fonction de la catégorie de données, y compris toute obligation légale ou autre exemption qui exige que ces données soient conservées jusqu’à ce que certaines obligations légales, telles que des fins fiscales et comptables, aient expiré. • Qualité : Expedia Group dispose d’un programme formalisé de gestion de la qualité, le programme de gestion de l’expérience client (Customer Experience Management, CEM). Nous nous efforçons toujours d’améliorer l’environnement d’Expedia Group et cherchons à rationaliser les processus pour une plus grande efficacité, ce qui se traduit par des services et des interactions cohérents et de haute qualité avec nos partenaires, clients et voyageurs. • Responsabilité : Expedia Group assure la surveillance de la responsabilité avec une mise en œuvre cohérente des |
politiques, des réglementations/cadres du secteur et des exigences légales en maintenant un programme de gouvernance formalisé et un organe juridique/de confidentialité. | |
Mesures permettant la portabilité des données et garantissant leur effacement | • Expedia Group est directement responsable du respect des lois sur la protection des données (y compris en ce qui concerne les demandes des personnes concernées). Expedia Group répond à toutes les demandes, y compris relatives à l’accès, à la suppression et à la portabilité conformément à la loi applicable en matière de protection des données. • La politique de conservation des données d’Expedia Group définit différentes périodes de conservation et sauvegardes en fonction de la catégorie de données, y compris toute obligation légale ou autre exemption qui exige que ces données soient conservées jusqu’à ce que certaines obligations légales, telles que des fins fiscales et comptables, aient expiré. Dans le cas où Expedia Group ne serait pas en mesure de détruire les Données à caractère personnel, Expedia Group continuera à étendre les protections pertinentes de l’Accord entre les parties régissant ces données à caractère personnel et mettra fin à tout traitement ultérieur. |
Pour les transferts vers le sous- traitant des données, décrivez également les mesures techniques et organisationnelles spécifiques que le sous-traitant doit prendre pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d’un sous-traitant des données à un de ses propres sous-traitants, à l’exportateur de données | • Expedia Group exerce une diligence raisonnable sur les pratiques de sécurité des informations de ses fournisseurs et exige que les fournisseurs respectent des exigences de sécurité complètes, y compris les obligations exigeant des fournisseurs qu’ils mettent en place et maintiennent des mesures techniques et organisationnelles appropriées. • Expedia Group a formalisé un processus détaillé d’analyse d’impact sur la sécurité (« AIS »). Tous les nouveaux fournisseurs accédant à des données font l’objet d’une vérification avant l’engagement et pendant la durée du contrat, si nécessaire. • De plus, Expedia Group impose de solides conditions de sous- traitance des données à tous les fournisseurs, ce qui garantit le transfert des obligations à leurs propres sous-traitants. |
Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne (Addendum)
Cet Addendum a été publié par le Commissaire à l’information pour les parties effectuant des Transferts restreints. Le Commissaire à l’information considère que celui-ci fournit des garanties appropriées pour les Transferts restreints lorsqu’il est conclu en tant que contrat juridiquement contraignant.
Partie 1 Tableaux
Tableau 1 : parties | ||
Date de début | La date des CCT auxquelles elles sont liées (CCT de l’UE). | |
Parties Contact principal | Exportateur : conformément aux CCT de l’UE. | Importateur : conformément aux CCT de l’UE. |
Tableau 2 : CCT sélectionnées, modules et clauses sélectionnées | ||
Addendum CCT de l’UE | La version des CCT approuvées de l’UE à laquelle cet Addendum est annexé. | |
Tableau 3 : informations relatives à l’Appendice | ||
« Informations relatives à l’Appendice » désigne les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l’Appendice des CCT de l’UE approuvées (autres que les Parties), et qui, pour le présent Addendum, sont énoncées dans les sections suivantes : | ||
Annexe IA : liste des Parties Annexe IB : description du transfert Annexe II : mesures techniques et organisationnelles | Conformément aux CCT de l’UE | |
Tableau 4 : résiliation du présent Addendum en cas de modification de l’Addendum approuvé | ||
Parties pouvant résilier le présent Addendum comme indiqué à l’article 19 | Aucune des parties | |
Partie 2 : clauses obligatoires
Clauses obligatoires de l’Addendum approuvé, qui est le modèle d’addendum B.1.0 émis par l’ICO et déposé devant le Parlement conformément à l’article 119A du Data Protection Act 2018 le
2 février 2022, tel qu’il est révisé en vertu de l’article 18 de ces Clauses obligatoires.