Addendum sur le traitement de données Open Text
Addendum sur le traitement de données Open Text
Le présent Addendum sur le traitement de données (« ATD ») est effectué entre :
(i) L’entité Open Text ayant conclu l’Accord principal (tel que défini ci-dessous) agissant pour son propre compte (« Open Text ») ; et
(ii) l’autre partie à l’Accord principal (le « Client »).
Open Text et le Client ci-après désignés individuellement la « Partie » et collectivement les
« Parties ».
Le présent ATD modifie ou complète les conditions en ligne ou tout autre accord passé entre Open Text et le Client en vertu duquel Open Text exécutera certains Services (l’« Accord principal »), à condition que les Services incluent le Traitement de Données personnelles par Open Text. La législation en matière de protection des données s’applique à l’utilisation des Services par le Client.
Le présent ATD ne saurait constituer une renonciation ou une modification à aucune des conditions générales de l’Accord principal, à condition que, en cas de conflit entre l’une quelconque des dispositions du présent ATD et les dispositions de l’Accord principal en ce qui concerne le Traitement des Données personnelles, les dispositions du présent ATD prévalent.
Les termes utilisés dans le présent ATD auront les significations énoncées dans le présent ATD. Les termes en majuscules non définis dans les présentes auront la signification qui leur est donnée dans l’Accord principal.
Le présent ATD ne s’applique pas lorsque le Client conclut un contrat ou traite des données en tant
que personne physique dans le cadre d’une activité exclusivement personnelle ou domestique.
1 Définitions et généralités
1.1 Dans le présent ATD, les termes suivants auront les significations indiquées ci-dessous et les termes apparentés seront interprétés en conséquence :
1.1.1. « Société affiliée » désigne une entité qui possède ou contrôle, est possédée ou contrôlée par, ou possédée ou contrôlée conjointement avec une société, le contrôle étant défini par la possession, directe ou indirecte, du pouvoir de diriger ou d’être à l’origine de l’orientation de la gestion et des politiques d’une entité, que ce soit par la détention de titres comportant un droit de vote, par contrat, ou autrement.
1.1.2. « Législation en matière de protection des données » désigne le RGPD et les lois mettant en œuvre ou complétant le RGPD et, dans la mesure applicable, les lois sur la protection des données ou de la vie privée (i) de l’Espace économique européen (« EEE »), (ii) du Royaume-Uni et
(iii) de la Suisse, dans la mesure applicable au Traitement des Données personnelles
en vertu de l’Accord principal ;
1.1.3. « Clauses types de l’UE » désigne les clauses contractuelles types de l’UE pour le transfert de Données personnelles aux Sous-traitants 2010/87/EU qui peuvent être modifiées ou remplacées de temps à autre, ou à leurs successeurs ;
1.1.4. « RGPD » désigne le Règlement général sur la protection des données de
l’UE 2016/679 ;
1.1.5. « Services » désigne les services et les autres activités à fournir à l’attention de ou à exécuter par ou au nom d’Open Text pour le Client en vertu de l’Accord principal ; et
1.1.6. « Sous-traitant ultérieur » désigne tout tiers (y compris une Société affiliée
d’OpenText) désigné par ou au nom d’OpenText en tant que sous-traitant pour Traiter des Données personnelles pour le compte d’un Client ou d’une Société affiliée du Client en rapport avec l’Accord principal.
1.2 Les expressions « Responsable de traitement », « Personne concernée », « État membre », « Données personnelles », « Violation de Données personnelles »,
« Traitement », « Sous-traitant », « Autorité de contrôle » et « Union » auront la même signification que celle qui leur est attribuée dans la Législation en vigueur en matière de protection des données. Le terme « y compris » signifie y compris, sans limitation. Rien dans le présent ATD ne doit être interprété comme prévalant sur une clause conflictuelle des Clauses types de l’UE. Pour lever toute ambigüité, lorsque le présent ATD spécifie plus en détail les règles de sous-traitement et d’audit dans les clauses 4 et 13, ces spécifications s’appliquent également en relation avec les Clauses types de l’UE.
2 Responsable de traitement et Sous-traitant de Données personnelles, désignation du Sous-traitant et finalité du Traitement
2.1 Open Text se conformera à toutes les exigences en vigueur de la Législation en matière de protection des données et attend du Client qu’il se conforme également à la Législation en matière de protection des données. Le présent ATD s’ajoute aux obligations de l’une ou l’autre des Parties en vertu de la Législation en matière de protection des données, et n’allège, ne supprime ou ne remplace pas lesdites obligations.
2.2 Le présent ATD ne s’applique que dans la mesure où le Client est le Responsable de traitement et Open Text, le Sous-traitant. Cela s’applique également dans la mesure où le Client est un Sous-traitant et Open Text agit en tant que Sous-traitant ultérieur. Lorsque le Client est un Sous-traitant, il confirme que ses instructions, y compris la désignation d’Open Text en tant que Sous-traitant ou Sous-traitant ultérieur, ont été autorisées par le Responsable de traitement concerné.
2.3 L’Annexe 2 des présentes définit la portée, la nature et l’objectif du Traitement par Open Text, la durée du Traitement, les types de Données personnelles et les catégories de Personnes concernées.
2.4 Pour les services auxiliaires tels que l’accès aux ressources Open Text en ligne ou aux services d’assistance, lorsqu’Open Text détermine l’objectif et les moyens de Traitement des Données personnelles, Open Text devient le Responsable de traitement d’un tel Traitement, et est par conséquent responsable de la légalité dudit Traitement en tant que Responsable de traitement en vertu de la Législation en vigueur en matière de protection de données. Pour lever toute ambigüité, le présent ATD ne s’applique pas à Open Text agissant en tant que Responsable de traitement.
3 Obligations d’Open Text vis-à-vis du Client
3.1 Pour toutes les Données personnelles qu’elle sera amenée à traiter dans le cadre de l’Accord
principal et du présent ATD, Open Text :
3.1.1 traitera lesdites Données personnelles uniquement dans le but de fournir les Services ;
3.1.2 traitera lesdites Données personnelles conformément aux instructions documentées et commercialement raisonnables du Client, sous réserve et conformément aux dispositions de l’Accord principal ;
3.1.3 s’assurera que les personnes qu’elle autorise à traiter de telles Données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité et ont reçu une formation appropriée concernant leurs responsabilités.
3.2 Le Client accepte que l’Accord principal (y compris le présent ATD) constitue ses instructions complètes et définitives documentées à l’attention d’Open Text pour le Traitement des Données personnelles. Pour toute instruction supplémentaire, le cas échéant, le consentement
écrit préalable doit être obtenu entre les Parties, y compris un accord concernant des frais supplémentaires à payer par le Client à Open Text pour exécuter de telles instructions. Si Open Text estime qu’une instruction du Client enfreint la Législation en matière de protection des données, elle en informe le Client (mais cette communication ne constituera pas un avis juridique d’Open Text). Toutefois, une telle obligation ne dégagera pas le Client de sa responsabilité quant au respect de la Législation en matière de protection des données.
3.3 Lorsqu’Open Text est tenue, en vertu de la loi applicable ou d'une ordonnance valide et contraignante émanant d’un organisme gouvernemental, de traiter des Données personnelles autrement que selon les instructions documentées du Client, y compris pour les transferts de Données personnelles vers un pays tiers ou une organisation internationale, Open Text informe le Client de cette obligation légale avant le Traitement, sauf si ces informations sont interdites par la loi pour des motifs importants d’intérêt public.
4 Externalisation
4.1 Le Client fournit à Open Text une autorisation générale d’engager des Sous-traitants ultérieurs. Les Sous-traitants ultérieurs peuvent comprendre : (i) les Sociétés affiliées mondiales d’Open Text (et leurs fournisseurs) ; et/ou
(ii) un sous-traitant pour réaliser certaines activités de Traitement. Avant de désigner un nouveau Sous-traitant ultérieur ou avant de remplacer un Sous-traitant ultérieur existant, Open Text doit en informer le Client afin de lui permettre de s’opposer de manière raisonnable aux changements. L’objection doit concerner le cas où le Sous-traitant ultérieur ne parvient pas de manière manifeste à offrir le même niveau de protection ou un niveau de protection raisonnablement comparable à celui qui était précédemment applicable au Traitement concerné des Données personnelles. Open Text doit recevoir l’avis d’objection du Client par écrit dans un délai de 14 jours à compter de sa notification au Client des modifications proposées. Le terme « Informer » comprend la publication de la mise à jour sur un site Web et la fourniture au Client d’un mécanisme pour obtenir une notification de cette mise à jour, par e-mail ou sous une autre forme écrite.
Si le Client a un motif raisonnable et légitime de s’opposer au nouveau Sous-traitant ultérieur, en appliquant les critères établis dans la troisième phrase du premier paragraphe de la présente clause 4.1, et qu’Open Text n’est pas en mesure de fournir un Sous-traitant ultérieur alternatif, ou que les Parties ne sont pas autrement en mesure, de bonne foi, de trouver une autre solution, le Client peut résilier la partie concernée des Services pour laquelle le nouveau Sous-traitant ultérieur est requis en donnant un avis écrit à Open Text au plus tard 30 jours à compter de la date de réception par Open Text de l’avis d’objection du Client et cette résiliation prend effet au plus tard 90 jours après la réception par Open Text de l’avis de résiliation du Client. Si le Client ne résilie pas dans ce délai de 30 jours, le Client est réputé avoir accepté le nouveau Sous-traitant ultérieur. Toute résiliation en vertu de la présente clause sera réputée exempte de toute faute de l’une ou l’autre des Parties et sera soumise aux conditions de l’Accord principal (y compris tout document convenu en vertu de celui-ci).
4.2 Open Text confirme qu’elle a adhéré ou (selon le cas) va adhérer à un accord écrit avec les Sous-traitants ultérieurs de sa société tierce incorporant des conditions sensiblement analogues à celles énoncées dans le présent ATD.
4.3 Entre le Client et Open Text, Open Text reste entièrement responsable de tous les actes ou de toutes les omissions de tout Sous-traitant ultérieur qu’elle désigne en vertu de la présente clause, à moins que le Sous-traitant ultérieur n’ait agi conformément aux instructions reçues directement ou indirectement de la part du Client.
5 Transferts internationaux
5.1 Les Données personnelles peuvent être traitées dans l’EEE, le Royaume-Uni et la Suisse (individuellement, un « Pays désigné ») et dans des pays en dehors d’un Pays désigné (les
« Autres pays ») par Open Text ou ses Sous-traitants ultérieurs. Le transfert vers d’Autres pays doit être effectué conformément à la Législation en matière de protection des données (dans la mesure où elle s’applique) : qui peut inclure une décision d’adéquation (y compris la certification du Bouclier de protection des données) ou des garanties appropriées. Les garanties appropriées peuvent inclure : (i) l’adhésion par Open Text aux Clauses types de l’UE au nom
du Client ou (ii) lorsqu’Open Text se trouve en dehors d’un Pays désigné et que les Clauses types de l’UE servent de garantie appropriée, celles-ci seront réputées s’appliquer entre Open Text agissant en tant qu’importateur de données et le Client agissant en tant qu’exportateur de données.
6 Droit à l’information des Personnes concernées
6.1 Il incombe au Client (ou à la Partie agissant en tant que Responsable de traitement) d’informer la ou les Personne(s)concernée(s) des finalités et de la base juridique pour lesquelles leurs Données personnelles seront traitées au moment de la collecte des Données personnelles.
7 Exercice des droits des Personnes concernées
7.1 Selon la nature du Traitement, Open Text assistera le Client, (i) dans la mesure où cela est possible et raisonnable et (ii) aux frais du Client, pour que, en vertu de la Législation en matière de protection des données, celui-ci s’acquitte de son obligation de répondre aux demandes de l’exercice de la part de la Personne concernée des droits : d’accès, de rectification, d’effacement et d’object, de restriction du traitement, de portabilité des données, pour ne pas être soumis à une décision individuelle automatisée (y compris le profilage).
7.2 Lorsque les Personnes concernées soumettent des demandes à Open Text pour exercer leurs droits, Open Text les transmettra par e-mail à une adresse e-mail du Client enregistrée auprès d’Open Text. Si le Client souhaite qu’Open Text transfère les demandes de la Personne concernée à une adresse e-mail spécifique, il informera Open Text de ladite adresse. Open Text ne répondra pas à une demande de Personne concernée à moins que le Client le demande, et dans ce cas, dans la mesure demandée par le Client.
8 Notification de violation de Données personnelles
8.1 Open Text informera le Client d’une violation de Données personnelles sans retard excessif, généralement au plus tard 48 heures après en avoir pris connaissance, par e-mail à l’adresse e-mail du Client enregistrée auprès d’Open Text ou à toute adresse e-mail que le Client recommande à Open Text d’utiliser pour de telles notifications, ainsi que toute documentation nécessaire pour permettre au Client, le cas échéant, de notifier ladite violation à la Personne concernée et/ou l’Autorité de surveillance compétente.
8.2 Si elle est disponible et selon la nature du Traitement, la notification conformément à la clause 8.1 s’attachera au moins :
8.2.1 à décrire la nature de la violation de Données personnelles, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de Données personnelles concernés ;
8.2.2 à communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact où davantage d’informations peuvent être obtenues ;
8.2.3 à décrire les conséquences probables de la violation de Données personnelles ;
8.2.4 à décrire les mesures prises ou envisagées par Open Text pour remédier à la violation des Données personnelles, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets néfastes.
8.3 Dans les cas où, et dans la mesure où il n’est pas possible de fournir les informations en même temps, les informations peuvent être fournies par phases sans retard supplémentaire indu.
8.4 Le Client (ou la Partie agissant en tant que Responsable de traitement) est tenu de notifier la violation de Données personnelles à l’Autorité de surveillance et aux Personnes concernées lorsque cela est requis par la Législation en vigueur en matière de protection des données.
9 Assistance fournie par Open Text au Client en ce qui concerne le respect des obligations du Client en vertu de la Législation en matière de protection des données
9.1 À la demande du Client et dans la mesure requise par la Législation en matière de protection des données, Open Text fournira, aux frais du Client, une assistance raisonnable au Client :
9.1.1 dans la réalisation d’évaluations d’impact sur la protection des données ; ou
9.1.2 si le Client a besoin d’une consultation préalable avec une Autorité de surveillance.
10 Mesures de sécurité
10.1 Compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Client et Open Text sont tenus de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque.
10.2 Open Text s’engage à mettre en œuvre les mesures techniques et organisationnelles énoncées à l’Annexe 1 en ce qui concerne les Services.
10.3 Le Client est responsable de la mise en œuvre et du maintien des protections de confidentialité et des mesures de sécurité pour les composants que le Client ou toute Société affiliée du Client fournit ou contrôle. Le Client doit appliquer le principe de minimisation des données et limiter l’accès d’Open Text aux systèmes ou aux Données personnelles uniquement lorsque cela est essentiel pour l’exécution des Services. Lorsqu’Open Text exécute des Services dans les locaux du Client (ou de toute Société affiliée du Client ou tout sous-traitant, agent ou similaire) ou en relation avec l’accès à l’un de leurs systèmes et à leurs données, le Client est tenu de fournir au personnel d’Open Text les autorisations et mots de passe d’utilisateur pour accéder à ces systèmes et les résilier au besoin.
11 Retour ou destruction de données
11.1 Lorsqu’Open Text a stocké des Données personnelles dans le cadre des Services : à la fin du/des Service(s), sur instruction écrite du Client et à ses frais, Open Text peut proposer un service de retour de données et/ou confirmer par écrit qu’aucun autre Traitement de Données personnelles n’aura lieu en relation avec le(s)dit(s) Service(s) par effacement ou anonymisation, ou par des mesures similaires, à moins que la législation en vigueur ne nécessite la conservation ultérieure des Données personnelles.
12 Délégué à la protection des données
13 Inspections et audits
13.1 Le droit d’audit, y compris les inspections dont le Client peut faire l’objet en vertu de la Législation en matière de protection des données, est défini dans la présente clause 13.
13.1.1 Sur demande écrite du client, Open Text doit, le cas échéant, fournir une copie du dernier rapport d’audit SOC (contrôle d’organisation de service - Service Organization Control) et/ou d’autres rapports d’audit tiers ou des informations permettant de démontrer la conformité d’Open Text avec ses obligations en vertu du présent ATD.
13.1.2 Le Client peut demander des preuves des politiques appliquées par Open Text et d’autres documents connexes pour vérifier qu’Open Text se conforme à ses obligations en vertu du présent ATD.
13.2 Sauf indication contraire d’une Autorité de surveillance ou si les Parties en conviennent
autrement par écrit, le Client accepte qu’il pourra faire valoir son droit de mener un audit ou une inspection lorsqu’Open Text réalise les audits visés à la clause 13.1.1 et fournit les informations visées aux clauses 13.1.1 et 13.1.2.
13.3 Procédure :
13.3.1 Sauf indication contraire d’une Autorité de surveillance, le Client doit (a) donner à Open Text un préavis écrit d’au moins 30 jours indiquant son intention d’exercer ses droits en vertu de la clause 13.1.2 ; et (b) convenir avec Open Text de la fréquence et de la durée de toute demande en vertu de la clause 13.1 ou d’autres audits ou inspections requis par une Autorité de surveillance ou autrement convenus par écrit par les Parties, qui ne doivent pas s’étendre au-delà de deux jours ouvrables consécutifs et pour un maximum d’une fois par année contractuelle.
13.3.2 Toute inspection ou tout audit requis(e) par une Autorité de surveillance ou convenu(e) par écrit par les Parties, ou l’exercice des droits en vertu de la clause 13.1, (l’« inspection ou audit ») doit être effectué(e) pendant les heures d’ouverture locales, sans perturber indûment les activités commerciales d’Open Text et ne doit pas gêner la fourniture de services par Open Text à ses clients. Le Client doit limiter ses inspections ou audits à des contrôles à distance ou à des réunions avec des cadres supérieurs d’Open Text autant que possible et évitera ou minimisera la nécessité d’une inspection ou d’un audit, notamment en utilisant les certifications actuelles, d’autres rapports d’audit ou en combinant ces audits avec d’autres en vertu de l’Accord principal. De plus, toute inspection ou tout audit
sera soumis(e) aux restrictions énoncées dans l’Accord principal. Toute inspection ou tout
audit sera soumis(e) aux politiques et procédures applicables d’Open Text.
13.3.3 Les conditions de confidentialité et l’étendue d’une inspection ou d’un audit doivent être convenues au préalable entre Open Text et le Client. Le Client doit fournir à Open Text les résultats de toute inspection ou tout audit. Le Client prend en charge toutes les dépenses résultant des inspections ou audits, y compris le temps alloué aux employés d’Open Text pour veiller au bon déroulement de l’inspection ou de l’audit.
14 Informations client et restrictions associées
14.1 Les instructions du Client relatives au Traitement des Données personnelles doivent être fournies par écrit et dûment signées par un représentant autorisé du Client.
14.2 Le Client est tenu d’obtenir tous les consentements et avis nécessaires en place et confirme qu’il est autorisé à transférer légalement les Données personnelles à Open Text.
ANNEXE 1
MESURES TECHNIQUES ET ORGANISATIONNELLES
La présente Annexe 1 décrit les mesures de sécurité techniques et organisationnelles utilisées par Open Text dans la mesure où elle agit en tant que Sous-traitant et où, à ce titre, elle héberge ou stocke les Données personnelles du Client sur ses serveurs ou systèmes.
Open Text détermine la portée de ces mesures et peut mettre en œuvre des modifications de ces mesures à tout moment sans préavis, à condition que ces modifications n’entraînent pas une dégradation importante du niveau global de sécurité des Données personnelles.
CONTRÔLE D’ACCÈS PHYSIQUE
Les contrôles d’accès physiques sont les mesures à prendre pour réglementer l’accès aux centres de
données Open Text.
CONTRÔLE D’ACCÈS AU SYSTÈME
Les contrôles d’accès au système sont les mesures à prendre pour empêcher l’accès logique non autorisé aux systèmes de traitement de données Open Text.
CONTRÔLE D’ACCÈS AUX DONNÉES
Les contrôles d’accès aux données sont les mesures à prendre pour empêcher la lecture, la copie,
la modification ou la suppression des données sans autorisation.
CONTRÔLE DE LA DIVULGATION
Les contrôles de la divulgation permettent de garantir que les Données personnelles ne sont pas accessibles (pour la lecture, la copie, la modification ou la suppression) lorsqu’elles sont envoyées électroniquement sur des réseaux publics à d’autres parties ou stockées sur d’autres supports de données, sauf si cela est nécessaire pour la fourniture de Services conformément à l’Accord applicable.
CONTRÔLE DE SAISIE
Les contrôles de saisie permettent de vérifier quand, où et par qui les Données personnelles dans
les systèmes d’Open Text ont été saisies, modifiées ou supprimées.
Contrôle des modifications
Les modifications apportées au système doivent être enregistrées, vérifiées, testées et approuvées
à la suite d’un processus de gestion des modifications.
Contrôle de disponibilité.
Ce contrôle assure la protection contre la destruction ou la perte accidentelle de Données personnelles.
SÉPARATION DES DONNÉES
Les contrôles de séparation des données garantissent que les données collectées à des fins différentes peuvent être traitées séparément.
ANNEXE 2 : DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES DES CLIENTS
Objet et durée du Traitement des Données personnelles
L’objet et la durée du Traitement des Données personnelles sont définis dans l’Accord
principal (et la documentation régie par celui-ci) et le présent ATD.
Nature et finalité du Traitement des Données personnelles
Open Text propose des Services au Client ; pour fournir ces Services au Client, elle a besoin de traiter des Données personnelles.
Types de Données personnelles à traiter
Le Client détermine les catégories de Données personnelles traitées par Open Text en relation avec les Services conformément aux conditions de l’Accord principal (et de la documentation régie par celui-ci). Les Données personnelles peuvent inclure les catégories de Données suivantes : nom, numéros de téléphone, adresse e-mail, fuseau horaire, données d’adresse, nom de la société, ainsi que toutes les données spécifiques à l’application.
Catégories spéciales de données (le cas échéant)
Aucune.
Catégories de Personnes concernées auxquelles se rapportent les Données personnelles du Client
Les Personnes concernées peuvent inclure des employés du Client ainsi que d’autres
personnes physiques.