Vision Critical
Vision Critical
« Data Protection Addendum » du RGPD
En vigueur à compter du 25 mai 2018, ce Data Protection Addendum (« DPA ») est inclus par référence au Programme de protection des données (« DPS ») disponible sur la page xxx.xxxxxxxxxxxxxx.xxx/xxxxx/xxxxx/ et s'applique dans la mesure où :
i. Vision Critical traite des Données personnelles de citoyens de l'UE dans le cadre de la fourniture de Services au Client ; et
ii. Vision Critical est considéré comme Responsable du traitement des données du Client en vertu du Règlement général sur la protection des données 2016/679 (« RGPD »).
En cas de conflit entre les termes du présent document et les termes du Contrat (définis ci-dessous), les termes de ce DPA prévalent.
Sauf indication contraire dans le présent document, les termes portant une majuscule utilisés dans ce DPA s'entendent tels que définis dans le RGPD et le DPS, selon le cas. En cas de conflit ou d'ambiguïté entre les définitions du DPA, du DPS et du RGPD, la définition du RGPD prévaut.
« Contrat » : contrat-cadre client ou tout contrat similaire conclu entre Vision Critical et le Client pour la fourniture de Services par Vision Critical au Client avec tous les Programmes, Ordres de mission et amendements associés conformément aux termes définis ici.
« Responsable du traitement » : entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des Données à caractère personnel.
« EEE » : Espace économique européen.
« UE » : Union européenne.
« Données à caractère personnel » ou « Données personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
« Sous-traitant » : entité qui traite des données à caractère personnel pour le compte du Responsable du traitement.
« Clauses contractuelles types » : clauses s'appliquant aux transferts de données entre les pays de l'UE et les pays hors UE, adoptées par la Commission européenne.
« Sous-traitant ultérieur » : sous-traitant du Sous-traitant du responsable de traitement, engagé pour effectuer des activités de traitement de données spécifiques.
« Autorité de contrôle » : autorité publique indépendante instituée par un État membre en vertu de l'article 51 du RGPD.
2 Traitement de données à caractère personnel
L'objet du traitement dans le cadre de ce DPA correspond aux Données personnelles de citoyens de l'UE collectées ou fournies d'une autre façon par le Client dans le cadre de l'utilisation des Services.
La durée du traitement des Données personnelles est définie dans le Contrat.
2.1.3 Nature et finalité du traitement
La nature et la finalité du traitement sont la fourniture des Services tels que définis dans le Contrat, le DPS et tout Ordre de mission applicable.
2.1.4 Type de données personnelles
Le type de Données personnelles traitées par Vision Critical sera uniquement déterminé par le Client et sous la responsabilité de ce dernier pendant l'utilisation des Services.
2.1.5 Catégories de Personnes concernées
Les Personnes concernées sont les utilisateurs autorisés du Client ou tout autre individu dont les Données personnelles sont collectées par ou introduites dans les Services par le Client.
Vision Critical traitera les Données personnelles conformément aux instructions du Client telles que convenues dans le Contrat, le DPS, ce DPA ou tout autre Ordre de mission applicable. Vision Critical complètera le traitement des Données personnelles conformément aux instructions raisonnablement données par le Client de façon régulière, dans le cas où ces instructions seraient requises pour que le Client se conforme au RGPD. Le Client comprend et accepte que Vision Critical facture selon ses tarifs en vigueur l'exécution de services ou la fourniture d'une fonctionnalité requise pour mener à bien les instructions décrites dans une fiche technique ou un document similaire et énoncées dans un amendement au Contrat, selon le cas. À des fins de clarification, bien que le Client puisse être considéré comme Responsable du traitement ou Sous-traitant des Données personnelles, dans le cadre de ce DPA le Client est considéré comme Responsable du traitement et Vision Critical comme Sous-traitant du Client. Le Client doit à tout moment se conformer à ses obligations dans le cadre du RGPD, ce qui implique qu'il doit veiller à ce que toutes les instructions qu'il donne à Vision Critical soient conformes au RGPD et ne conduisent pas Vision Critical à agir en violation du RGPD. Si Vision Critical a des raisons de penser qu'une instruction reçue constitue une violation du RGPD (« Instruction non conforme »), Vision Critical en avertira rapidement le Client et ne sera pas tenu de suivre cette instruction.
Vision Critical protégera les Données personnelles en mettant en œuvre des mesures de sécurité techniques et organisationnelles commercialement raisonnables décrites plus en détail dans le DPS. Le Client mettra en place ses propres mesures de sécurité techniques et organisationnelles, y compris, mais
sans s'y limiter, celles énoncées dans le DPS, afin de s'assurer que son utilisation des Services garantit la protection des Données personnelles.
Si le Client souhaite réaliser une analyse d’impact sur la protection des données et/ou consulter au préalable une Autorité de contrôle, Vision Critical devra s'y soumettre conformément aux modalités d'Audit définies dans le DPS.
2.4 Violation de données à caractère personnel
En cas de Faille de sécurité impliquant les Données personnelles du Client, Vision Critical en informera rapidement le Client et prendra les mesures nécessaires conformément à la section Failles de sécurité du DPS.
2.5 Droits de la personne concernée
Vision Critical fournira une assistance raisonnable au Client si un individu demande à faire valoir ses droits au titre du RGPD selon les conditions suivantes :
i. Si Vision Critical reçoit une demande de ce type directement, Vision Critical devra : (i) directement accuser réception de la demande ; et (ii) transmettre cette demande au Client sans retard injustifié afin de lui permettre d'y répondre. Le client devra accuser réception de la demande et confirmer par écrit à Vision Critical qu'il a répondu à cette demande. Si le Client ne fournit pas cette confirmation sous quarante-huit (48) heures après avoir été averti par Vision Critical, Vision Critical invitera la personne qui a envoyé la demande à s'adresser directement au Client.
ii. Vision Critical coopérera, dans la mesure du raisonnable, avec le Client afin de l'aider à remplir ses obligations envers les personnes concernées, aux conditions tarifaires en vigueur de Vision Critical. À des fins de clarification, dans la plupart des cas, le Client remplira ses obligations envers les personnes concernées en utilisant directement les Services, conformément aux modalités du Contrat, qui comprennent la Documentation et les instructions de Vision Critical.
Le Client comprend et accepte que Vision Critical peut être conduit à traiter des Données personnelles dans des juridictions en dehors de l'EEE par l'intermédiaire de ses filiales et de ses Sous-traitants, comme expliqué plus en détail dans le DPS et/ou le Contrat. Le Client autorise Vision Critical ou ses Sous-traitants à transférer des Données personnelles en dehors de l'EEE, aux conditions suivantes :
i. Vision Critical et l'entité qui reçoit les Données personnelles ont signé les Clauses contractuelles types, et les Clauses contractuelles types sont reconnues par les autorités concernées de l'UE comme un dispositif légitime pour le transfert de Données personnelles ;
ii. L'entité qui reçoit les Données personnelles est établie dans un pays reconnu comme disposant d’un niveau de sécurité adéquat par la Commission européenne, ce qui inclut le Bouclier de Protection des Données UE – États-Unis (« Privacy Shield ») ou d'autres mécanismes de transferts approuvés par l’UE ;
iii. L'entité qui reçoit les Données personnelles est soumise à un autre mécanisme de transferts approuvé par les autorités européennes compétentes, tel que des Règles d’entreprise contraignantes (« Binding Corporate Rules » ou BCR) ; ou
iv. Le Client a donné son accord par écrit pour ces transferts.
2.7 Traitement par un sous-traitant ultérieur
Les Sous-traitants ultérieurs sont essentiels dans la fourniture des Services de Vision Critical. Vision Critical devra conclure tous les Contrats requis avec tous ses Sous-traitants afin d'assurer le respect des obligations définies dans ce DPA. Il sera en outre responsable du respect des modalités applicables de ce DPA par ses Sous-traitants. Vision Critical devra tenir à jour une liste de Fournisseurs et de Sous-traitants sur la page xxxxx://xxx.xxxxxxxxxxxxxx.xxx/xxxxx/xxxxx/ (« Page Subs »). Vision Critical devra mettre à jour la Page Subs au moins trente (30) jours avant d'utiliser les services d'un nouveau Sous-traitant ultérieur pour traiter des Données personnelles du Client (« Sous-traitant ultérieur proposé »). Si le Client s'oppose à l'utilisation d'un Sous-traitant ultérieur proposé, il devra en aviser Vision Critical par écrit sous quinze (15) jours à compter de la date de mise à jour de la Page Subs. Si aucune objection écrite n'est reçue pendant ce délai, Vision Critical considérera que le Client accepte l'utilisation du Sous- traitant ultérieur. Le Client peut demander à recevoir des notifications automatiques à chaque mise à jour de la Page Subs. Si le Client s'oppose à l'utilisation d'un Sous-traitant, Vision Critical devra coopérer raisonnablement avec le Client afin de trouver une solution raisonnable à l'objection. Si les parties ne parviennent pas à trouver une solution sous trente (30) jours, et que Vision Critical n'est pas en mesure de fournir ses Services en raison de l'objection du Client, le Client aura comme seul recours de résilier, dans les trente (30) jours qui suivent l'échec de la résolution, le contrat moyennant préavis à Vision Critical et de bénéficier du remboursement des frais déjà versés à Vision Critical pour la partie restante du Contrat qui n'aura pas pu être honorée.
Vision Critical demeure responsable des actes et des omissions de ses Sous-traitants au même titre que si ces actes ou omissions étaient de son fait, selon les modalités du plafond de responsabilité globale définies dans le Contrat.
Dès l'expiration du Contrat, Vision Critical supprimera ou retournera au Client toutes les Données personnelles stockées dans les Services conformément au DPS, sauf si la loi l'oblige à conserver les Données personnelles plus longtemps.
Vision Critical est susceptible de modifier les conditions générales de ce DPA à tout moment afin de se conformer aux lois applicables à la protection des données. Toute modification sera mise en ligne sur le site xxx.xxxxxxxxxxxxxx.xxx/xxxxx/xxxxx.