CONTRAT DE TRAITEMENT DES DONNÉES POUR LES SERVICES CLOUD
CONTRAT DE TRAITEMENT DES DONNÉES POUR LES SERVICES CLOUD
1. DÉFINITIONS
1.1. Le terme « Responsable du traitement » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul(e) ou associé(e) à d'autres personnes, détermine les finalités et les méthodes de traitement des Données à caractère personnel ; aux fins du présent DPA, lorsque le Client agit en qualité de Sous-traitant pour un autre Responsable du traitement, il doit, en relation avec SAP, être considéré comme un Responsable du traitement supplémentaire et indépendant qui dispose des droits et obligations dévolus aux responsables du traitement en vertu du présent DPA.
1.2. Le terme « Loi en matière de protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes et leur droit à la vie privée concernant le traitement des Données à caractère personnel en vertu du Contrat.
1.3. Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable, telle que définie par la Loi en matière de protection des données.
1.4. Le terme « EEE » désigne l'Espace économique européen, à savoir les États membres de l'Union européenne ainsi que l'Islande, le Liechtenstein et la Norvège.
1.5. Le terme « RGPD » désigne le Règlement général sur la protection des données 2016/679.
1.6. Le terme « My Trust Center » désigne les informations disponibles sur le SAP Support Portal (voir : xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou le site Web dédié aux contrats SAP (voir : xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou tout autre site Web ultérieur mis à la disposition du Client par SAP.
1.7. Le terme « Transfert relevant des nouvelles CCT » désigne un transfert (ou un transfert ultérieur) vers un Pays tiers de Données à caractère personnel soumises au RGPD ou à la Loi applicable en matière de protection des données, lorsqu’une garantie adéquate requise en vertu du RGPD ou de la Loi applicable en matière de protection des données peut être satisfaite en concluant les Nouvelles clauses contractuelles types.
1.8. Le terme « Nouvelles clauses contractuelles types » désigne les clauses contractuelles types inchangées, publiées par la Commission européenne (référence 2021/914) ou toute version finale ultérieure, qui s'appliquera automatiquement. Pour lever toute ambiguïté, les Modules 2 et 3 s'appliquent conformément à l'article 8.
1.9. Le terme « Données à caractère personnel » désigne les informations relatives à une Personne concernée qui sont protégées par la Loi en matière de protection des données. Aux fins du DPA, le terme recouvre uniquement les données à caractère personnel qui sont :
a) saisies par le Client ou ses Utilisateurs autorisés dans le Service Cloud ou obtenues via leur utilisation du Service Cloud ; ou
b) fournies à ou obtenues par SAP ou ses Sous-traitants ultérieurs en vue d’apporter des services de maintenance en vertu du Contrat. Les Données à caractère personnel constituent un sous-ensemble de Données Client (tel que défini dans le Contrat).
1.10. Le terme « Violation des Données à caractère personnel » désigne tout événement confirmé recensé ci- dessous :
a) la destruction, la perte ou l'altération accidentelle ou illicite ou la divulgation non autorisée de Données à caractère personnel ou l'accès non autorisé de tiers à de telles données ; ou
b) un incident similaire impliquant des Données à caractère personnel pour lequel le Responsable du traitement est tenu d'informer les autorités de protection des données compétentes ou les Personnes concernées, en vertu de la Loi en matière de protection des données.
1.11. Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement, que ce soit de façon directe en tant que Sous-traitant d'un Responsable du traitement ou de façon indirecte en tant que Sous-traitant ultérieur d'un Sous-traitant qui traite des Données à caractère personnel pour le compte du Responsable du traitement.
1.12. Le terme « Annexe » désigne l'Appendice portant le numéro correspondant joint aux Clauses contractuelles types (2010) et l'Annexe portant le numéro correspondant jointe aux Nouvelles clauses contractuelles types.
1.13. Le terme « Clauses contractuelles types (2010) » désigne les Clauses contractuelles types (sous-traitants) publiées par la Commission européenne, référence 2010/87/UE.
1.14. Le terme « Sous-traitant ultérieur » désigne les Sociétés Affiliées de SAP, SAP SE, les Sociétés Affiliées de SAP SE et les tiers engagés par SAP, SAP SE ou les Sociétés Affiliées de SAP SE en relation avec le Service Cloud et qui traitent des Données à caractère personnel conformément au présent DPA.
1.15. Le terme « Mesures techniques et organisationnelles » désigne les mesures techniques et organisationnelles pour le Service Cloud concerné, publiées sur My Trust Center (voir : xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx/xxxxx/xxxxx- services.html?search=Technical%20Organizational%20Measures).
1.16. Le terme « Pays tiers » désigne tout pays, organisation ou territoire non reconnu par l'Union européenne en vertu de l'Article 45 du RGPD comme étant un pays sûr disposant d'un niveau adéquat de protection des données.
2. CONTEXTE
2.1. Objectif et application
2.1.1. Le présent document (« DPA ») est intégré au Contrat et fait partie d'un accord écrit (la forme écrite incluant le format électronique) conclu entre SAP et le Client.
2.1.2. Le présent DPA s'applique aux Données à caractère personnel traitées par SAP et ses Sous-traitants ultérieurs en lien avec sa fourniture du Service Cloud.
2.1.3. Le présent DPA ne s'applique pas aux environnements non productifs du Service Cloud si de tels environnements sont mis à disposition par SAP. Le Client ne doit pas conserver de Données à caractère personnel dans de tels environnements.
2.2. Structure
Les Annexes 1 et 2 sont intégrées au présent DPA et en font partie intégrante. Elles définissent l'objet convenu, la nature et l'objectif du traitement, le type de Données à caractère personnel, les catégories de Personnes concernées (Annexe 1) et les Mesures organisationnelles et techniques applicables (Annexe 2).
2.3. Gouvernance
2.3.1. SAP agit en qualité de Sous-traitant et Client, et les entités auxquelles il autorise l'utilisation du Service Cloud agissent en qualité de Responsables du traitement dans le cadre du DPA.
2.3.2. Le Client sert de point de contact unique et se chargera d’obtenir les autorisations et consentements nécessaires pour le traitement des Données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation des Responsables du traitement pour avoir recours à SAP comme Sous-Traitant. Lorsque les autorisations, instructions ou consentements sont fournis par le Client, il s sont fournis non seulement pour le compte du Client mais aussi pour le compte de tout autre Responsable du traitement qui utilise le Service Cloud. Lorsque SAP transmet des informations ou notifications au Client, lesdites informations ou notifications sont réputées reçues par les Responsables du traitement autorisés par le Client à utiliser le Service Cloud. Le Client est tenu de transmettre lesdites informations et notifications aux Responsables du traitement concernés.
3. SECURITE DU TRAITEMENT
3.1. Applicabilité des Mesures techniques et organisationnelles
SAP a mis en œuvre et appliquera les Mesures techniques et organisationnelles. Le Client a examiné lesdites mesures et convient qu'en ce qui concerne le Service Cloud sélectionné par le Client dans le Bon de commande, les mesures sont appropriées et tiennent compte de la technologie, des coûts de l'implémentation, de la nature, du périmètre, du contexte et des objectifs du traitement des Données à caractère personnel.
3.2. Modifications
3.2.1. SAP applique les Mesures techniques et organisationnelles à l'ensemble des clients SAP hébergés sur le même centre de données ou bénéficiant du même Service Cloud. SAP peut modifier à tout moment sans préavis les Mesures techniques et organisationnelles, tant qu'elles conservent un niveau de sécurité comparable ou renforcé. Des mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.
3.2.2. SAP publiera les versions mises à jour des Mesures techniques et organisationnelles sur My Trust Center et, là où cette option est disponible, le Client pourra s'inscrire pour recevoir une notification par e-mail desdites versions mises à jour.
4. OBLIGATIONS DE SAP
4.1. Instructions du Client
SAP traitera les Données à caractère personnel exclusivement selon les instructions fournies par le Client. Le Contrat (comprenant le présent DPA), constitue lesdites instructions initiales fournies et chaque utilisation du Service Cloud constitue alors des instructions supplémentaires. SAP mettra en œuvre des efforts raisonnables pour suivre les instructions du Client, du moment qu'elles sont requises par la Loi en matière de protection des données, qu'elles sont techniquement faisables et qu'elles ne nécessitent pas que des modifications soient apportées au Service Cloud. Si l'une des exceptions mentionnées précédemment s'applique, ou si SAP n'est pas en mesure de respecter une instruction ou estime qu'une instruction enfreint la Loi en matière de protection des données, SAP informera immédiatement le Client (e-mail autorisé).
4.2. Traitement conforme aux obligations juridiques
SAP peut également traiter les Données à caractère personnel lorsque la loi applicable l'exige. Dans un tel cas, SAP informera le Client des obligations juridiques préalablement au traitement, sauf si ladite loi interdit de telles informations pour des raisons d'intérêt public.
4.3. Personnel
Pour traiter les Données à caractère personnel, SAP et ses Sous-traitants ultérieurs doivent uniquement accorder un accès au personnel autorisé qui s'est engagé à respecter la confidentialité. SAP et ses Sous- traitants ultérieurs formeront régulièrement le personnel ayant accès aux Données à caractère personnel aux mesures applicables liées à la sécurité et à la confidentialité des données.
4.4. Coopération
4.4.1. À la demande du Client, SAP coopérera raisonnablement avec le Client et les Responsables du traitement pour répondre aux requêtes émanant de Personnes concernées ou d'une autorité de réglementation à l'égard du traitement des Données à caractère personnel par SAP ou de toute Violation des Données à caractère personnel.
4.4.2. Si SAP reçoit une demande de la part d'une Personne concernée en relation avec le traitement de Données à caractère personnel en vertu des présentes, SAP en informera rapidement le Client (lorsque la Personne concernée a fourni des informations identifiant le Client) par e-mail et ne répondra pas à une telle demande mais priera la Personne concernée d’adresser sa demande au Client.
4.4.3. En cas de litige avec une Personne concernée concernant le traitement de Données à caractère personnel par SAP dans le cadre du présent DPA, les parties doivent se tenir informées et, le cas échéant, coopérer raisonnablement en vue de résoudre le litige à l'amiable avec la Personne concernée.
4.4.4. SAP est tenue de doter les systèmes de production d’une fonctionnalité qui permette au Client de corriger, supprimer ou rendre anonymes les Données à caractère personnel d'un Service Cloud, ou de limiter leur traitement, conformément à la Loi en matière de protection des données. Si ladite fonctionnalité n'est pas fournie, SAP corrigera, supprimera ou rendra anonymes les Données à caractère personnel, ou limitera leur traitement, conformément à l'instruction du Client et à la Loi en matière de protection des données.
4.5. Notification d'une Violation des Données à caractère personnel
À compter de la découverte d'une Violation des Données à caractère personnel, SAP en informera le Client dans les meilleurs délais et fournira les informations raisonnables en sa possession pour aider le Client à respecter son obligation de signaler une Violation des Données à caractère personnel comme l’exige la Loi en matière de protection des données. SAP peut fournir lesdites informations en plusieurs phases, au fur et à mesure qu'elles sont mises à disposition. Une telle notification ne saurait être interprétée ou considérée comme une admission de faute ou de responsabilité par SAP.
4.6. Analyse d'impact relative à la protection des données
Si, conformément à la Loi en matière de protection des données, le Client (ou ses Responsables du traitement) est tenu d'effectuer une analyse d'impact relative à la protection des données ou une consultation préalable avec un régulateur, SAP fournira, à la demande du Client, les documents qui sont généralement disponibles pour le Service Cloud (tels que le présent DPA, le Contrat, les rapports d'audit ou les certifications). Une assistance supplémentaire doit être convenue d'un commun accord entre les parties.
5. EXPORTATION ET SUPPRESSION DES DONNEES
5.1. Exportation et extraction par le Client
Pendant la Durée d'abonnement et conformément au Contrat, le Client peut accéder à ses Données à caractère personnel à tout moment. Le Client peut exporter et extraire ses Données à caractère personnel dans un format standard. L'exportation et l'extraction peuvent être sujettes à des limitations techniques. Dans ce cas, SAP et le Client rechercheront une méthode raisonnable permettant au Client d'accéder à ses Données à caractère personnel.
Avant l'expiration de la Durée d'abonnement, le Client est autorisé à utiliser les outils d'exportation en libre- service de SAP (s’ils sont disponibles) pour effectuer une exportation finale des Données à caractère personnel depuis le Service Cloud (qui constitue un « renvoi » des Données à caractère personnel). À la fin de la Durée d'abonnement, le Client donne l'ordre à SAP par les présentes de supprimer les Données à caractère personnel encore présentes sur les serveurs qui hébergent le Service Cloud, dans un délai raisonnable en accord avec la Loi en matière de protection des données (sans dépasser 6 mois), à moins que la loi applicable n'exige de les conserver.
6. CERTIFICATIONS ET AUDITS
Le Client ou son auditeur tiers indépendant agréant à SAP (ce qui exclut tout auditeur tiers qui serait un concurrent de SAP ou qui ne disposerait pas des qualifications ou du statut indépendant requis) peut effectuer un audit de l'environnement de contrôle et des pratiques de sécurité de SAP relativement aux Données à caractère personnel traitées par SAP, seulement si :
a) SAP n'a pas présenté de justificatifs suffisants attestant de la mise en œuvre de Mesures techniques et organisationnelles qui protègent les systèmes de production du Service Cloud en fournissant : (i) une certification de conformité à la norme ISO 27001 et à d’autres normes (périmètre défini dans le certificat) ; ou (ii) un rapport d’attestation valide ISAE3402 ou ISAE3000 ou SOC1-3. Sur demande du Client, l'auditeur tiers ou SAP devra fournir les rapports d'audit et les certifications ISO ;
b) une Violation des Données à caractère personnel s'est produite ;
c) un audit est officiellement demandé par l'autorité de protection des données du Client ; ou
d) à condition qu’une disposition contraignante de la Loi en matière de protection des données accorde au Client un droit d'audit direct, étant précisé que le Client ne peut effectuer qu’un seul audit sur une période de 12 mois, à moins qu’une disposition contraignante de la Loi en matière de protection des données n’exige des audits plus fréquents.
6.2. Audit d'un autre Responsable du traitement
Tout autre Responsable du traitement peut jouir des droits du Client en vertu du présent article 6.1 uniquement si l’un des cas prévus s'applique directement au Responsable du traitement et si ledit audit est autorisé et coordonné par le Client. Le Client doit utiliser tous les moyens raisonnables pour regrouper les audits de plusieurs autres Responsables du traitement afin d'éviter une multiplication des audits, sauf si l'audit doit être effectué par l'autre Responsable du traitement lui-même en vertu de la Loi en matière de protection des données. Si plusieurs Responsables du traitement dont les Données à caractères personnel sont traitées par SAP conformément au Contrat requièrent un audit, le Client doit utiliser tous les moyens raisonnables pour regrouper les audits et éviter d'en effectuer plusieurs.
6.3. Périmètre de l'audit
Le Client doit fournir un préavis d'au moins 60 jours pour les audits, sauf si une disposition contraignante de la Loi en matière de protection des données ou une autorité de protection des données compétente exige un délai de préavis plus court. La fréquence et le périmètre des audits doivent être convenus d'un commun accord entre les parties qui agissent de manière raisonnable et de bonne foi. Les audits des Clients ont une durée maximale limitée à 3 jours ouvrables. Au-delà desdites restrictions, les parties utiliseront les certifications actuelles ou d'autres rapports d'audit pour éviter ou minimiser la répétition des audits. Le Client doit fournir les résultats des audits à SAP.
6.4. Coût des audits
Le Client doit assumer les frais de l'audit, sauf si ledit audit révèle un manquement substantiel de SAP au présent DPA. Dans ce cas, SAP devra assumer ses propres frais relatifs à l'audit. S'il est établi, suite à un audit, que SAP a manqué à ses obligations en vertu du DPA, SAP corrigera le manquement immédiatement et à ses propres frais.
7. SOUS-TRAITANTS ULTÉRIEURS
7.1. Utilisation autorisée
Une autorisation générale est accordée à SAP pour sous-traiter le traitement des Données à caractère personnel auprès de Sous-traitants ultérieurs, en respectant les conditions suivantes :
a) SAP ou SAP SE pour son compte engagera les Sous-traitants ultérieurs dans le cadre d'un contrat écrit (y compris au format électronique), conformément aux conditions du présent DPA en relation avec le traitement des Données à caractère personnel par le Sous-traitant ultérieur ; SAP sera tenue responsable de toute violation commise par le Sous-traitant ultérieur, conformément aux conditions du présent Contrat ;
b) SAP évaluera les pratiques de sécurité, de protection et de confidentialité d'un Sous-traitant ultérieur préalablement à la sélection afin d'établir sa capacité à offrir le niveau de protection des Données à caractère personnel requis par le présent DPA ; et
c) La liste dressée par SAP des Sous-traitants ultérieurs en place à la date d'entrée en vigueur du Contrat doit être publiée par SAP sur My Trust Center ou mise à la disposition du Client à sa demande, une telle liste devant préciser le nom, l'adresse et le rôle de chaque Sous-traitant ultérieur auquel SAP a recours pour fournir le Service Cloud.
7.2. Nouveaux Sous-traitants ultérieurs
XXX décide à son entière discrétion de recourir à des Sous-traitants ultérieurs, en respectant les conditions suivantes :
a) SAP informera le Client à l'avance (par e-mail ou par message sur My Trust Center) des ajouts ou remplacements prévus sur la liste des Sous-traitants ultérieurs, en précisant le nom, l'adresse et le rôle du nouveau Sous-traitant ultérieur ; et
b) Le Client peut s'opposer à de telles modifications, tel que défini à l'article 7.3.
7.3. Opposition à de nouveaux Sous-Traitants ultérieurs
7.3.1. Si le Client a un motif valable en vertu de la Loi en matière de protection des données de s'opposer au traitement de Données à caractère personnel par le nouveau Sous-traitant ultérieur, le Client peut résilier le Contrat (limité au Service Cloud pour lequel il est prévu de faire appel au nouveau Sous-traitant ultérieur) en informant SAP par écrit. Ladite résiliation prend effet au moment défini par le Client, au plus tard 30 jours après la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur. Si le Client n'effectue pas de résiliation au cours dudit délai de 30 jours, il est réputé avoir accepté le nouveau Sous-traitant ultérieur.
7.3.2. Au cours dudit délai de 30 jours à compter de la date à laquelle SAP informe le Client du nouveau Sous- traitant ultérieur, le Client peut demander à ce que les parties négocient de bonne foi une résolution à l'opposition. Lesdites négociations ne prolongent pas le délai de résiliation et n'affectent pas le droit de SAP de faire appel au nouveau Sous-traitant ultérieur après le délai susvisé de 30 jours.
7.3.3. Toute résiliation en vertu du présent article 7.3 ne doit pas être considérée comme étant une faute de l'une ou l'autre des parties et doit être soumise aux conditions du Contrat.
7.4. Remplacement d'urgence
8. TRAITEMENT INTERNATIONAL
8.1. Conditions pour le traitement international
SAP est autorisée à traiter les Données à caractère personnel, y compris en ayant recours à des Sous- traitants ultérieurs, conformément au présent DPA, en dehors du pays dans lequel le Client est situé, ainsi que l’autorise la Loi en matière de protection des données.
8.2. Applicabilité des Clauses contractuelles types (2010)
a) SAP et le Client concluent les Clauses contractuelles types (2010) ;
c) d’autres Responsables du traitement dont l'utilisation des Services Cloud a été autorisée par le Client en vertu du Contrat peuvent également signer des Clauses contractuelles types (2010) avec SAP ou les Sous-traitants ultérieurs concernés de la même manière que le Client conformément aux articles 8.2.1 a) et b) ci-dessus. Dans un tel cas, le Client signera les Clauses contractuelles types (2010) pour le compte des autres Responsables du traitement.
8.2.2. Les Clauses contractuelles types (2010) sont régies par la législation du pays dans lequel le Responsable du traitement concerné est établi.
8.3. Applicabilité des Nouvelles clauses contractuelles types
8.3.1. Les dispositions suivantes prennent effet à compter du 27 septembre 2021 et s'appliquent uniquement aux Transferts relevant des nouvelles CCT :
8.3.1.1. Lorsque SAP n'est pas située dans un Pays tiers et agit en qualité d'exportateur de données, SAP (ou SAP SE en son nom) a signé les Nouvelles clauses contractuelles types avec chaque Sous-traitant ultérieur en tant qu'importateur de données. Le Module 3 (Transfert de Sous-traitant à Sous-traitant) des Nouvelles clauses contractuelles types s'applique auxdits Transferts relevant des nouvelles CCT.
8.3.1.2. Lorsque SAP est située dans un Pays tiers :
SAP et le Client concluent par les présentes les Nouvelles clauses contractuelles types avec le Client en tant qu'exportateur de données et SAP en tant qu'importateur de données, l’application desdites clauses se faisant comme suit :
a) le Module 2 (Transfert de Responsable de traitement à Sous-traitant) s'applique lorsque le Client est un Responsable du traitement ; et
b) le Module 3 (Transfert de Sous-traitant à Sous-traitant) s'applique lorsque le Client est un Sous-traitant. Lorsque le Client agit en tant que Sous-traitant en vertu du Module 3 (Transfert de Sous-traitant à Sous- traitant) des Nouvelles clauses contractuelles types, SAP reconnaît que le Client agit en tant que Sous- traitant en vertu des instructions de son/ses Responsable(s) du traitement.
8.3.2. D’autres Responsables du traitement ou Sous-traitants dont l'utilisation des Services Cloud a été autorisée par le Client en vertu du Contrat peuvent également signer les Nouvelles clauses contractuelles types avec SAP de la même manière que le Client conformément à l’article 8.3.1.28.3.1.2 ci-dessus. Dans un tel cas, le Client signe les Nouvelles clauses contractuelles types pour le compte des autres Responsables du traitement ou Sous-traitants.
8.3.3. Dans le contexte d'un Transfert relevant des nouvelles CCT, si une Personne concernée adresse une telle demande au Client, le Client peut mettre à la disposition de Personnes concernées une copie du Module 2 ou 3 des Nouvelles clauses contractuelles types conclues entre le Client et SAP (y compris les Annexes pertinentes).
8.3.4. Le droit applicable aux Nouvelles clauses contractuelles types est le droit allemand.
8.4. Lien entre les Clauses contractuelles types et le Contrat
Rien dans le présent Contrat ne saurait être interprété comme prévalant sur une clause divergente des Clauses contractuelles types (2010) ou des Nouvelles clauses contractuelles types. Lorsque le présent DPA détaille les règles liées aux audits et aux Sous-traitants ultérieurs, lesdites spécifications s'appliquent également en relation avec les Clauses contractuelles types (2010) et les Nouvelles clauses contractuelles types.
8.5. Droit de tiers bénéficiaires en vertu des Nouvelles clauses contractuelles types
8.5.1. Lorsque le Client est situé dans un Pays tiers et agit en qualité d'importateur de données en vertu du Module 2 ou du Module 3 des Nouvelles clauses contractuelles types et que SAP agit en qualité de Sous-traitant ultérieur du Client en vertu du Module applicable, l'exportateur de données concerné dispose du droit de tiers bénéficiaire spécifié ci-après :
8.5.2. Si le Client a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable (dans chaque cas, sans qu’une entité lui ait succédé en assumant les obligations légales du Client en vertu de contrats ou de dispositions légales), l'exportateur de données concerné a le droit de résilier le Service Cloud concerné, uniquement dans la mesure où les Données à caractère personnel de l'exportateur de données sont traitées. Dans un tel cas, l'exportateur de données concerné demande également à SAP de supprimer ou de renvoyer les Données à caractère personnel.
9. DOCUMENTATION ; ENREGISTREMENTS DU TRAITEMENT
9.1. Chaque partie est tenue de se conformer aux exigences en matière de documentation qui lui sont propres, notamment la gestion des enregistrements du traitement lorsque la Loi en matière de protection des données l'exige. Chaque partie doit apporter une assistance raisonnable à l'autre partie concernant ses exigences en matière de documentation, y compris fournir les renseignements dont elle a besoin et de la façon dont elle a raisonnablement fait la demande (via un système électronique par exemple) afin que l'autre partie soit en mesure de respecter toute obligation relative à la gestion des enregistrements du traitement.
Annexe 1 Description du traitement
La présente Annexe 1 a pour objet de décrire le Traitement de Données à caractère personnel aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
1. A. LISTE DES PARTIES
1.1. En vertu des Clauses contractuelles types (2010)
1.1.1. Exportateur de données
L'exportateur de données en vertu des Clauses contractuelles types (2010) est le Client qui s'est abonné à un Service Cloud qui confère à ses Utilisateurs autorisés le droit de saisir, modifier, utiliser, supprimer ou traiter selon d'autres modalités des Données à caractère personnel. Lorsque le Client autorise les autres Responsables du traitement à utiliser également le Service Cloud, ceux-ci sont aussi des exportateurs de données.
1.1.2. Importateur de données
SAP et ses Sous-traitants ultérieurs qui fournissent et prennent en charge le Service Cloud sont des importateurs de données en vertu des Clauses contractuelles types (2010).
1.2. En vertu des Nouvelles clauses contractuelles types
1.2.1. Module 2 : Transfert de Responsable de traitement à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est le Responsable du traitement et que SAP est le Sous- traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
1.2.2. Module 3 : Transfert de Sous-traitant à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est un Sous-traitant et que SAP est un Sous-traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
2. B. DESCRIPTION DU TRANSFERT
2.1. Personnes concernées
Sauf décision contraire de l'exportateur de données, les Données à caractère personnel transférées concernent les catégories de Personnes concernées suivantes : employés, prestataires, tierces parties d'affaires ou autres personnes dont des Données à caractère personnel sont stockées dans le Service Cloud, ont été transmises à l’importateur de données, mises à sa disposition, obtenues ou traitées par ce dernier.
2.2. Catégories de données
Les Données à caractère personnel transférées concernent les catégories de données suivantes :
Le Client détermine les catégories de données par Service Cloud souscrit. Le Client peut configurer les champs de données lors de l'implémentation du Service Cloud ou selon d'autres modalités prévues par le Service Cloud. Les Données à caractère personnel transférées concernent généralement les catégories suivantes de données : nom, numéro de téléphone, adresse e-mail, adresse postale, données concernant l'accès aux systèmes, les utilisations et autorisations correspondantes, nom de la société, données contractuelles, données de facturation et données spécifiques à l'application saisies par les Utilisateurs
autorisés dans le Service Cloud, pouvant inclure des données liées à des comptes bancaires et cartes de crédit ou de débit.
2.3. Catégories spéciales de données (en cas d’accord à ce sujet)
2.3.1. Les Données à caractère personnel transférées peuvent comprendre des catégories spéciales de données à caractère personnel définies dans le Contrat (« Données sensibles »). SAP a pris les Mesures techniques et organisationnelles définies à l'Annexe 2 pour garantir un niveau de sécurité approprié de manière à protéger également les Données sensibles.
2.3.2. Le transfert de Données sensibles peut déclencher l'application des restrictions ou garanties supplémentaires suivantes si nécessaire pour prendre en compte la nature des données et le degré variable de probabilité et de gravité des risques pour les droits et libertés des personnes physiques (le cas échéant) :
a) formation du personnel ;
b) chiffrement des données en transit et au repos ;
c) journalisation des accès au système et journalisation des accès aux données générales.
2.3.3. En outre, les Services Cloud prévoient des mesures pour la gestion des Données sensibles, qui sont décrites dans la Documentation.
2.4. Finalités du transfert de données et poursuite du traitement ; nature du traitement
2.4.1. Les Données à caractère personnel transférées sont soumises aux activités de traitement de base suivantes :
a) utilisation de Données à caractère personnel pour installer, exploiter, suivre et fournir le Service Cloud (y compris pour la maintenance opérationnelle et technique) ;
b) amélioration continue des caractéristiques et fonctionnalités fournies dans le cadre du Service Cloud, notamment l'automatisation, le traitement transactionnel et l'apprentissage automatique ;
c) mise à disposition de Services professionnels intégrés ;
d) communication avec les Utilisateurs autorisés ;
e) stockage de Données à caractère personnel dans des centres de données dédiés (architecture partagée) ;
f) lancement, développement et chargement de correctifs et de mises à niveau du Service Cloud ;
g) sauvegarde et restauration de Données à caractère personnel stockées dans le Service Cloud ;
h) traitement informatique de Données à caractère personnel, notamment la transmission de données, l'extraction de données et l'accès aux données ;
i) accès via un réseau pour permettre le transfert de Données à caractère personnel ;
j) suivi, correction et administration de la base de données et de l'infrastructure sous-jacentes du Service Cloud ;
k) gestion de la sécurité, aide à la détection des intrusions réseau, tests de pénétration ; et
l) exécution des instructions du Client conformément au Contrat.
2.4.2. L'objectif du transfert est de fournir et d'assurer la maintenance du Service Cloud. SAP et ses Sous-traitants ultérieurs peuvent prendre en charge les centres de données du Service Cloud à distance. SAP et ses Sous- traitants ultérieurs fournissent une assistance lorsqu'un Client soumet un message de maintenance tel que précisé dans le Contrat.
2.5. Description supplémentaire relative aux Nouvelles clauses contractuelles types :
2.5.1. Modules applicables des Nouvelles clauses contractuelles types
a) Module 2 : Transfert de Responsable de traitement à Sous-traitant
b) Module 3 : Transfert de Sous-traitant à Sous-traitant
2.5.2. Pour les transferts à des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement :
En ce qui concerne les Nouvelles clauses contractuelles types, les transferts aux Sous-traitants ultérieurs doivent s'effectuer selon les mêmes modalités que celles définies dans le DPA.
2.5.3. La fréquence des transferts (par exemple, si les données sont transférées de manière ponctuelle ou continue) :
Les transferts sont effectués en continu.
2.5.4. La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée :
Les Données à caractère personnel seront conservées pendant la durée du Contrat sous réserve de l’article 5.2 du DPA.
3. C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
3.1. Concernant les Nouvelles clauses contractuelles types :
3.1.1. Module 2 : Transfert de Responsable de traitement à Sous-traitant
3.1.2. Module 3 : Transfert de Sous-traitant à Sous-traitant
3.2. Lorsque le Client est l'exportateur de données, l'autorité de contrôle doit être l'autorité de contrôle compétente qui supervise le Client conformément à la Clause 13 des Nouvelles clauses contractuelles types.
Annexe 2 Mesures techniques et organisationnelles
La présente Annexe 2 a pour objet de décrire les Mesures techniques et organisationnelles applicables aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
SAP appliquera et gèrera les Mesures techniques et organisationnelles.
Dans la mesure où la mise à disposition du Service Cloud comprend des Transferts relevant des nouvelles CCT, les Mesures techniques et organisationnelles définies à l'Annexe 2 décrivent les mesures et garanties qui ont été mises en place pour prendre pleinement en compte la nature des données à caractère personnel et les risques associés. Si les lois locales risquent d'influer sur le respect des clauses, l'application de garanties supplémentaires au moment de la transmission et du traitement des données à caractère personnel dans le pays de destination pourra être déclenchée (le cas échéant : chiffrement des données en transit, chiffrement des données au repos, anonymisation, pseudonymisation).