CONDITIONS GÉNÉRALES (« CG ») POUR LES SERVICES DE CLOUD DE QUALTRICS

Entre Qualtrics, LLC

(une société de SAP America Inc.) 000 X. Xxxxx Xxxx Xxxxx

Xxxxx, Xxxx 00000 (« Qualtrics »)

Et Nom du client]

[Adresse du client] (« Client »)

1. DÉFINITIONS

Les termes en majuscules utilisés dans ce document sont définis dans le glossaire.

2. DROITS ET RESTRICTIONS D'UTILISATION

2.1 Octroi des droits.

Qualtrics accorde au Client un droit non exclusif, non transférable et mondial d'utiliser le Service de Cloud (y compris sa mise en œuvre et sa configuration), les matériaux de Cloud (le cas échéant) et la documentation uniquement pour les opérations commerciales internes du Client et de ses affiliés. Les utilisations et restrictions autorisées du Service de Cloud s'appliquent également aux matériaux de Cloud et à la documentation.

2.2 Utilisateurs autorisés.

Le Client peut autoriser les utilisateurs autorisés à utiliser le Service de Cloud. L'utilisation est limitée aux paramètres d'utilisation et aux volumes indiqués dans le formulaire de commande. Les identifiants d'accès au Service de Cloud ne peuvent pas être utilisés par plus d'une personne, mais peuvent être transférés d'une personne à une autre si l'utilisateur initial n'est plus autorisé à utiliser le Service de Cloud. Le Client est responsable des violations du Contrat causées par les Utilisateurs autorisés.

2.3 Politique d'utilisation acceptable.

En ce qui concerne le Service de Cloud, le Client ne doit pas :

(a) désassembler, décompiler, faire de l'ingénierie inverse, copier, traduire ou créer des œuvres dérivées,

(b) transmettre tout contenu ou toute donnée qui est illégal ou qui enfreint les droits de propriété intellectuelle, ou

2.4 Vérification de l'utilisation.

Le Client surveillera sa propre utilisation du Service de Cloud et signalera toute utilisation dépassant les paramètres d'utilisation et le volume. Qualtrics peut surveiller l'utilisation afin de vérifier le respect des paramètres d'utilisation, du volume et du Contrat.

2.5 Suspension du Service de Cloud.

Qualtrics peut suspendre ou limiter l'utilisation du Service de Cloud si la poursuite de cette utilisation peut entraîner un préjudice important pour le Service de Cloud ou ses utilisateurs. Qualtrics informera rapidement le Client de la suspension ou de la limitation. Qualtrics limitera la durée et la portée de la suspension ou de la limitation dans la mesure où cela est raisonnablement possible compte tenu des circonstances.

2.6 Services Web de tiers.

Le Service de Cloud peut inclure des intégrations avec des services Web mis à disposition par des tiers (autres que les affiliés de Qualtrics) accessibles par le biais du Service de Cloud et qui sont soumis à des conditions générales avec ces tiers. Ces services Web de tiers ne font pas partie du Service de Cloud et le contrat ne s'applique pas à eux.

2.7 Accès mobile aux Services de Cloud.

Le cas échéant, les Utilisateurs autorisés peuvent accéder à certains Services de Cloud par le biais d'applications mobiles obtenues sur des sites Web tiers tels que l’application Google Play

or l’App Store. L'utilisation d'applications mobiles peut être régie par les conditions générales présentées lors du téléchargement/accès à l'application mobile et non par les conditions du Contrat.

3. RESPONSABILITÉS DE QUALTRICS

3.1 Approvisionnement.

Qualtrics fournit l'accès au Service de Cloud tel que décrit dans le Contrat.

3.2 Assistance.

Qualtrics fournit une assistance pour le Service de Cloud tel que référencé dans le formulaire de commande.

3.3 Sécurité.

Qualtrics mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel traitées par Qualtrics dans le cadre du Service de Cloud, comme décrit dans le contrat de traitement des données joint aux présentes en tant qu'Annexe A (« DPA ») pour les services Cloud incorporé au formulaire de commande, conformément à la législation applicable en matière de protection des données.

3.4 Modifications.

(a) Le Service de Cloud et les politiques de Qualtrics peuvent être modifiés par Qualtrics. Qualtrics informera le Client des modifications par courrier électronique, sur le portail d'assistance, dans les notes de mise à jour, dans la documentation ou sur le Service de Cloud. Les informations seront fournies par courrier électronique si la modification n'est pas uniquement une amélioration. Les modifications peuvent inclure de nouvelles fonctionnalités optionnelles pour le Service de Cloud, que le Client peut utiliser sous réserve du Supplément et de la Documentation alors en vigueur.

(b) Si le Client établit qu'une modification n'est pas uniquement une amélioration et qu'elle réduit matériellement le Service de Cloud, le Client peut résilier ses abonnements au Service de Cloud concerné en fournissant une notification écrite à Qualtrics dans les trente jours suivant la réception de la notification informative de Qualtrics.

3.5 Analyses.

Qualtrics ou les affiliés de Qualtrics peuvent créer des analyses en utilisant, en partie, les Données du Client et les informations dérivées de l'utilisation par le Client du Service de Cloud et des Services de conseil, comme indiqué ci-dessous (« Analyses »). Les Analyses rendront anonymes et agrégeront les informations et seront traitées comme des Documents du Cloud.

Sauf accord contraire, les données à caractère personnel contenues dans les Données du Client sont uniquement utilisées pour fournir le Service de Cloud et les Services de conseil. Les analyses peuvent être utilisées aux fins suivantes :

a) l'amélioration des produits (en particulier, les caractéristiques et les fonctionnalités des produits, les flux de travail et les interfaces utilisateur) et le développement de nouveaux produits et services Qualtrics,

b) l’amélioration de l'allocation des ressources et le support,

c) la planification de la demande interne,

d) la formation et le développement d'algorithmes d'apprentissage automatique,

e) l’amélioration des performances des produits,

f) la vérification de la sécurité et de l'intégrité des données

g) l'identification des tendances et des évolutions du secteur, la création d'indices et le benchmarking anonyme

4. CLIENTS ET DONNÉES PERSONNELLES

4.1 Données du Client.

Le Client est responsable des Données du Client et de leur saisie dans le Service de Cloud. Le Client accorde à Xxxxxxxxx (y compris aux affiliés et Sous-traitants de Qualtrics) un droit non exclusif de traiter les Données du Client uniquement pour fournir et prendre en charge le Service de Cloud.

4.2 Données personnelles.

Le Client collectera et conservera toutes les données à caractère personnel contenues dans les Données du Client conformément aux lois applicables en matière de confidentialité et de protection des données.

4.3 Sécurité.

Le Client maintiendra des normes de sécurité raisonnables pour l'utilisation du Service de Cloud par ses utilisateurs autorisés. Le Client ne réalisera pas ou n'autorisera pas de tests de pénétration du Service de Cloud sans l'accord préalable de Qualtrics.

4.4 Accès aux données des clients.

(a) Pendant la durée de l'abonnement, le Client peut accéder à ses Données du Client à tout moment. Le Client peut exporter et récupérer ses Données du Client dans un format standard. L'exportation et la récupération peuvent être soumises à des limitations techniques, auquel cas, Qualtrics et le Client trouveront une méthode raisonnable pour permettre au Client d'accéder à ses Données du Client.

(b) Avant l'expiration de la période d'abonnement, si elle est disponible, le Client peut utiliser les outils d'exportation en libre-service de Qualtrics (selon la disponibilité) pour effectuer une exportation finale des Données Client à partir du Service de Cloud. Le Client peut également demander l'exportation de données par le biais d'un ticket d'assistance.

(c) À la fin du Contrat, Qualtrics supprimera les Données du Client restant sur les serveurs hébergeant le Service de Cloud, sauf si la loi applicable exige leur conservation. Les données conservées sont soumises aux dispositions de confidentialité du Contrat.

(d) Dans l'éventualité d'une action en justice intentée par un tiers concernant les Données du Client, Qualtrics coopérera avec le Client et se conformera à la législation applicable (dans les deux cas aux frais du client) en ce qui concerne le traitement des Données du Client.

5. FRAIS ET TAXES

5.1 Xxxxx et paiement.

Le Client paiera les frais tels qu'indiqués dans le formulaire de commande. Après notification écrite préalable, Qualtrics peut suspendre l'utilisation du Service de Cloud par le Client jusqu'à ce que le paiement soit effectué. Le Client ne peut retenir, réduire ou compenser les frais dus ni réduire les mesures d'utilisation pendant la durée de l'abonnement. Tous les formulaires de commande sont non résiliables et les frais sont non remboursables.

5.2 Taxes.

Les frais et autres charges imposés en vertu d'un bon de commande ne comprennent pas les taxes, qui sont toutes à la charge du Client. Le Client est responsable de toutes les taxes, autres que les impôts sur le revenu et les salaires de Qualtrics. Le Client doit fournir à Qualtrics toute autorisation de paiement direct ou tout certificat d'exonération fiscale valide avant de signer un bon de commande. Si Qualtrics est tenue de payer des taxes (autres que ses impôts sur le revenu et les salaires), le Client remboursera ces montants à Qualtrics et l'indemnisera pour tous les taxes et frais connexes payés ou à payer par Qualtrics en raison de ces taxes.

6. DURÉE ET RÉSILIATION

6.1 Terme.

La durée de l'abonnement est celle indiquée dans le formulaire de commande.

6.2 Résiliation.

Une Partie peut résilier l'accord :

(a) sur notification écrite de trente jours de la violation substantielle par l'autre Partie, à moins que la violation ne soit corrigée pendant cette période de trente jours,

(b) comme le permettent les sections 3.4(b), 7.3(b), 7.4(c) ou 8.1(c) (la résiliation prenant effet trente jours après la réception de l'avis dans chacun de ces cas), ou

(c) immédiatement si l'autre Partie dépose son bilan, devient insolvable, fait une cession au profit de ses créanciers ou enfreint de manière substantielle les articles 11 ou 12.6.

6.3 Remboursement et paiements.

En cas de résiliation par le Client ou de résiliation en vertu de l'article 8.1(c), le Client aura le droit à :

(a) un remboursement au prorata de la partie non utilisée des frais prépayés pour l'abonnement résilié, calculé à la date effective de la résiliation, et à

(b) une libération de l'obligation de payer les frais dus pour les périodes postérieures à la date effective de la résiliation.

6.4 Effet de l'expiration ou de la résiliation.

À la date effective d'expiration ou de résiliation du Contrat :

(a) le droit du client d'utiliser le Service de Cloud et toutes les informations confidentielles de Qualtrics prendra fin,

(b) les informations confidentielles de la Partie qui les divulgue seront renvoyées ou détruites comme l'exige l'accord, et

6.5 La survie.

Les sections 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11 et 12 survivront à l'expiration ou à la résiliation du Contrat.

7. GARANTIES

7.1 Respect de la loi.

Chaque Partie garantit son respect actuel et continu de toutes les lois et réglementations qui lui sont applicables dans le cadre de :

(a) dans le cas de Qualtrics, l'exploitation de l'activité de Qualtrics en rapport avec le Service de Cloud, et

(b) dans le cas du client, les Données du Client et l'utilisation du Service de Cloud par le Client.

7.2 Bonnes pratiques industrielles.

Qualtrics garantit qu'elle fournira le Service de Cloud :

(a) en conformité substantielle avec la documentation, et

(b) avec le degré de compétence et de soin que l'on peut raisonnablement attendre d'un fournisseur mondial qualifié et expérimenté de services sensiblement similaires à la nature et à la complexité du Service de Cloud.

7.3 Remède.

Les seuls et uniques recours du Client et l'entière responsabilité de Qualtrics en cas de violation de la garantie en vertu de la section 7.2 seront :

(a) la ré-exécution du Service de Cloud déficient, et

(b) si Xxxxxxxxx ne parvient pas à fournir de nouvelles performances, le Client peut résilier son abonnement au Service de Cloud concerné. Toute résiliation doit intervenir dans les trois mois suivant l'échec de Qualtrics à fournir de nouvelles performances.

7.4 Disponibilité du système.

(a) Qualtrics garantit le maintien d'une disponibilité mensuelle moyenne du système pour le système de production du Service de Cloud, tel que défini dans le contrat de niveau de service ou le supplément (« SLA ») applicable.

(b) Le seul et unique recours du Client en cas de violation de l'ANS par Qualtrics est l'octroi d'un crédit du montant décrit dans l'ANS. Le Client suivra la procédure de demande de crédit publiée par Qualtrics. Lorsque la validité du crédit de service est confirmée par Qualtrics par écrit (courrier électronique autorisé), le Client peut appliquer le crédit à une future facture pour le Service de Cloud ou demander un remboursement du montant du crédit si aucune future facture n'est due.

(ii) pendant cinq mois ou plus au cours d'une période de douze mois, ou (iii) à un niveau de disponibilité du système d'au moins 95 % pendant un mois civil, le Client peut résilier ses abonnements au Service de Cloud affecté en fournissant à Qualtrics une notification écrite dans les trente jours suivant la défaillance.

7.5 Exclusions de la garantie.

Les garanties des sections 7.2 et 7.4 ne s'appliqueront pas si :

(a) le Service de Cloud n'est pas utilisé conformément au contrat ou à la documentation,

(b) toute non-conformité est causée par le Client, ou par tout produit ou service non fourni par Qualtrics, ou

7.6 Avis de non-responsabilité.

Sauf disposition expresse dans le Contrat, ni Qualtrics ni ses Sous-traitants ne font de déclaration ou de garantie, expresse ou implicite, légale ou autre, concernant toute question, y compris la qualité marchande, la pertinence, l'originalité ou l'adéquation à une utilisation ou un objectif particulier, la non-violation ou les résultats à tirer de l'utilisation ou de l'intégration de tout produit ou service fourni dans le cadre du Contrat, ou que le fonctionnement de tout produit ou service sera sécurisé, ininterrompu ou sans erreur. Le Client convient qu'il ne se fie pas à la livraison de fonctionnalités futures, à des commentaires publics ou à des publicités de Qualtrics ou à des feuilles de route de produits pour obtenir des abonnements à tout Service de Cloud.

8. RÉCLAMATIONS DE TIERS

8.1 Réclamations contre le Client.

(a) Xxxxxxxxx défendra le Client contre toute plainte déposée à l'encontre du Client et de ses affiliés par un tiers alléguant que l'utilisation par le Client et ses affiliés du Service de Cloud enfreint ou détourne une revendication de brevet, un droit d'auteur ou un droit de secret commercial. Qualtrics indemnisera le Client pour tous les dommages et intérêts finalement accordés au Client (ou le montant de tout règlement conclu par Qualtrics) en ce qui concerne ces réclamations.

(b) Les obligations de Qualtrics en vertu de la section 8.1 ne s'appliqueront pas si la réclamation résulte (i) d'une violation de la section 2 par le Client, (ii) de l'utilisation du Service de Cloud en conjonction avec tout produit ou service non fourni par Qualtrics, ou (iii) de l'utilisation du Service de Cloud fourni gratuitement.

(c) Dans le cas où une réclamation est faite ou susceptible d'être faite, Qualtrics peut (i) procurer au Client le droit de continuer à utiliser le Service de Cloud selon les termes du Contrat, ou (ii) remplacer ou modifier le Service de Cloud pour qu'il ne soit pas contrefaisant sans diminution matérielle des fonctionnalités. Si ces options ne sont pas raisonnablement disponibles, Qualtrics ou le Client peut résilier l'abonnement du Client au Service de Cloud affecté, après notification écrite à l'autre Partie.

8.2 Réclamations contre Qualtrics.

Le Client défendra Qualtrics contre toute plainte déposée contre Qualtrics, ses affiliés et ses Sous-traitants par un tiers en rapport avec les Données du Client.

Le Client indemnisera Qualtrics de tous les dommages et intérêts finalement accordés à Qualtrics et à ses affiliés et Sous-traitants (ou du montant de tout règlement conclu par le Client) en ce qui concerne ces réclamations.

8.3 Procédure de réclamation des tiers.

(a) La Partie contre laquelle une plainte de tiers est déposée notifiera en temps utile et par écrit à l'autre Partie toute plainte, coopérera raisonnablement à la défense et pourra comparaître (à ses propres frais) par l'intermédiaire d'un avocat raisonnablement acceptable pour la Partie assurant la défense.

(b) La Partie qui est obligée de défendre une réclamation aura le droit de contrôler entièrement la défense.

(c) Tout règlement d'une réclamation ne comprendra pas d'obligation financière ou d'exécution spécifique de la part de la Partie contre laquelle la réclamation est présentée, ni de reconnaissance de sa responsabilité.

8.4 Remède exclusif.

Les dispositions de la section 8 énoncent la responsabilité unique, exclusive et entière des Parties, de leurs affiliés, partenaires commerciaux et Sous-traitants envers l'autre Partie, et constituent le seul recours de l'autre Partie, en ce qui concerne les réclamations de tiers couvertes et la violation ou le détournement des droits de propriété intellectuelle de tiers.

9. LIMITATION DE LA RESPONSABILITÉ

9.1 Responsabilité illimitée.

Aucune des Parties n'exclura ou ne limitera sa responsabilité pour les dommages résultant de :

(a) les obligations des Parties en vertu des sections 8.1(a) et 8.2,

(b) l'utilisation ou la divulgation non autorisée d'informations confidentielles,

(c) la violation par l'une ou l'autre des Parties de ses obligations en matière de protection et de sécurité des données, qui entraîne une utilisation ou une divulgation non autorisée de données à caractère personnel,

(d) le décès ou les dommages corporels résultant d'une négligence grave ou d'une faute intentionnelle de l'une ou l'autre des Parties, ou

(e) tout défaut de paiement par le Client de toute redevance due en vertu du Contrat.

9.2 Plafond de responsabilité.

Sous réserve des sections 9.1 et 9.3, la responsabilité globale maximale de l'une ou l'autre Partie (ou de ses affiliés respectifs ou des Sous-traitants de Qualtrics) à l'égard de l'autre ou de toute autre personne ou entité pour tous les événements (ou séries d'événements liés) survenant au cours d'une période de douze mois ne dépassera pas les frais d'abonnement annuels payés pour le Service de Cloud applicable causant directement le dommage pour cette période de douze mois. Toute « période de douze mois » commence à la date de début de la période d'abonnement ou à l'un de ses anniversaires annuels.

9.3 Exclusion des dommages et intérêts.

Sous réserve de la section 9.1 :

(a) aucune Partie (ni ses affiliés respectifs ou les Sous-traitants de Qualtrics) ne sera responsable envers l'autre Partie de tout dommage spécial, accessoire, consécutif ou indirect, de toute perte de bonne volonté ou de bénéfices commerciaux, de tout arrêt de travail ou de tout dommage exemplaire ou punitif, et

(b) Xxxxxxxxx ne sera pas responsable des dommages causés par un Service de Cloud fourni à titre gracieux.

9.4 Répartition des risques.

Le Contrat répartit les risques entre Qualtrics et le Client. Les frais pour le Service de Cloud et les Services de conseil reflètent cette répartition des risques et les limitations de responsabilité.

10. DROITS DE PROPRIÉTÉ INTELLECTUELLE

10.1 Propriété de QUALTRICS.

Qualtrics, les affiliés de Qualtrics ou les concédants de licence détiennent tous les droits de propriété intellectuelle relatifs au Service de Cloud, aux matériaux de Cloud, à la documentation, aux Services de conseil, aux contributions à la conception, aux connaissances ou aux processus connexes, ainsi qu'à toute œuvre dérivée de ceux-ci. Tous les droits non expressément accordés au Client sont réservés à Qualtrics et à ses concédants de licence.

10.2 Propriété du client.

Le Client conserve tous les droits relatifs aux Données du Client. Qualtrics peut utiliser les marques commerciales fournies par le Client uniquement pour fournir et prendre en charge le Service de Cloud.

10.3 Non-affirmation des droits.

Le Client s'engage, en son nom et au nom de ses successeurs et ayants droit, à ne pas faire valoir à l'encontre de Xxxxxxxxx et de ses affiliés ou concédants de licence, tout droit, ou toute revendication de droits, sur tout Service de Cloud, matériel de cloud, documentation ou Services de conseil.

11. CONFIDENTIALITÉ

11.1 Utilisation des informations confidentielles.

(a) La Partie réceptrice protégera toutes les Informations confidentielles de la Partie divulgatrice comme strictement confidentielles dans la même mesure qu'elle protège ses propres Informations confidentielles, et pas moins qu'une norme de diligence raisonnable. La Partie réceptrice ne divulguera aucune information confidentielle de la Partie divulgatrice à toute personne autre que son personnel, ses représentants ou ses utilisateurs autorisés dont l'accès est nécessaire pour lui permettre d'exercer ses droits ou d'exécuter ses obligations en vertu du Contrat et qui sont soumis à des obligations de confidentialité essentiellement similaires à celles de la section 11. Le Client ne divulguera pas le Contrat ou la tarification à une tierce partie.

(b) Les informations confidentielles de l'une ou l'autre Partie divulguées avant la signature du Contrat seront soumises à la section 11.

(c) En cas de procédure judiciaire relative aux informations confidentielles, la Partie réceptrice coopérera avec la Partie divulgatrice et se conformera à la loi applicable (le tout aux frais de la Partie divulgatrice) en ce qui concerne le traitement des informations confidentielles.

11.2 Exceptions.

Les restrictions relatives à l'utilisation ou à la divulgation d'informations confidentielles ne s'appliqueront pas à toute information confidentielle qui :

(a) est développée de manière indépendante par la Partie réceptrice sans référence aux informations confidentielles de la Partie divulgatrice,

(b) est généralement accessible au public sans que la Partie réceptrice ne viole le Contrat,

(d) la Partie divulgatrice convient par écrit qu'elle est libre de toute restriction de confidentialité.

11.3 Publicité.

Aucune des Parties n'utilisera le nom de l'autre Partie dans le cadre d'activités publicitaires sans le consentement écrit préalable de l'autre Partie, à l'exception du fait que le Client accepte que Qualtrics utilise le nom du client dans les listes de clients ou les appels trimestriels avec ses investisseurs ou, à des moments convenant aux Parties, dans le cadre des efforts de marketing de Qualtrics (y compris les appels et les histoires de référence, les témoignages dans la presse, les visites de sites, la participation à SAPPHIRE). Le Client accepte que Xxxxxxxxx partage des informations sur le Client avec ses affiliés à des fins de marketing et à d'autres fins commerciales et qu'il a obtenu les autorisations appropriées pour partager les coordonnées des employés du client avec Qualtrics.

12. DIVERS

12.1 Divisibilité.

Si une disposition du Contrat est jugée invalide ou inapplicable, cette invalidité ou inapplicabilité n'affectera pas les autres dispositions du Contrat.

12.2 Renonciation.

La renonciation à une quelconque violation du Contrat n'est pas considérée comme une renonciation à toute autre violation.

12.3 Signature électronique.

Les signatures électroniques conformes à la législation applicable sont considérées comme des signatures originales.

12.4 Questions réglementaires.

Les informations confidentielles de Qualtrics sont soumises aux lois sur le contrôle des exportations de divers pays, y compris les lois des États-Unis et de l'Allemagne. Le Client ne soumettra pas les informations confidentielles de Qualtrics à une agence gouvernementale pour l'obtention d'une licence ou toute autre approbation réglementaire, et n'exportera pas les informations confidentielles de Qualtrics vers des pays, des personnes ou des entités si les lois sur l'exportation l'interdisent.

12.5 Avis.

Tous les avis seront écrits et donnés lorsqu'ils sont livrés à l'adresse indiquée dans un formulaire de commande avec copie au service juridique. Les notifications de Qualtrics relatives à l'exploitation ou à l'assistance du Service de Cloud et celles relevant des sections 3.4 et 5.1 peuvent prendre la forme d'une notification électronique adressée au représentant ou à l'administrateur autorisé du Client identifié dans le formulaire de commande.

12.6 Affectation.

Sans l'accord écrit préalable de Qualtrics, le Client ne peut céder ou transférer le Contrat (ou l'un de ses droits ou obligations) à aucune Partie. Qualtrics peut céder le Contrat aux affiliés de Qualtrics.

12.7 Sous-traitance.

Qualtrics peut sous-traiter des parties du Service de Cloud ou des Services de conseil à des tiers. Qualtrics est responsable des violations du Contrat causées par ses Sous-traitants.

12.8 Relations entre les Parties.

Les Parties sont des contractants indépendants et aucune relation de partenariat, de franchise, de coentreprise, d'agence, de fiduciaire ou d'emploi entre les Parties n'est créée par le présent accord.

12.9 Force Majeure.

Tout retard dans l'exécution (autre que pour le paiement des sommes dues) causé par des conditions échappant au contrôle raisonnable de la Partie exécutante ne constitue pas une violation du contrat. Le délai d'exécution sera prolongé d'une période égale à la durée des conditions empêchant l'exécution.

12.10 Loi applicable.

Le Contrat et toute réclamation relative à son objet seront régis par et interprétés selon les lois du Commonwealth de Pennsylvanie, sans référence à ses principes de conflits de lois. Tous les litiges seront soumis à la compétence exclusive des tribunaux situés à Philadelphie, en Pennsylvanie. La Convention des Nations Unies sur les contrats de vente internationale de marchandises et le Uniform Computer Information Transactions Act (lorsqu'il est promulgué) ne s'appliqueront pas au contrat. L'une ou l'autre des Parties doit introduire une cause d'action pour toute réclamation relative au Contrat et à son objet dans un délai d'un an à compter de la date à laquelle la Partie a eu connaissance, ou aurait dû avoir connaissance après une enquête raisonnable, des faits à l'origine de la ou des réclamations.

12.11 Contrat intégral.

Le Contrat constitue l'énoncé complet et exclusif du Contrat entre Qualtrics et le Client dans le cadre de la relation commerciale des Parties liée à l'objet du Contrat. Toutes les déclarations, discussions et écrits antérieurs (y compris les accords de confidentialité) sont fusionnés et remplacés par le Contrat et les Parties rejettent toute confiance en eux. Le Contrat ne peut être modifié que par un écrit signé par les deux Parties, sauf dans les cas prévus par la section 3.4. Le Contrat prévaudra sur les termes et conditions de tout bon de commande émis par le Client, qui n'aura aucune force et aucun effet, même si Xxxxxxxxx accepte ou ne rejette pas le bon de commande.

12.12 Accord sur le traitement des données.

Lorsque le Client traite des données à caractère personnel en utilisant les Services, la LPD régit le traitement de ces données à caractère personnel.

Glossaire

1.1 « Affilié » d'une Partie désigne toute entité juridique dans laquelle une Partie détient, directement ou indirectement, plus de cinquante pour cent (50 %) des actions ou des droits de vote de l'entité. Toute entité juridique sera considérée comme un affilié aussi longtemps que cet intérêt sera maintenu.

1.2 « Contrat » désigne un bon de commande et les documents incorporés à un bon de commande.

1.3 « Utilisateur autorisé » désigne toute personne à qui le Client accorde une autorisation d'accès pour utiliser le Service de Cloud et qui est un employé, un agent, un entrepreneur ou un représentant.

(a) du Client,

(b) des affiliés du client, et/ou

1.4 « Partenaire commercial » désigne une entité juridique qui nécessite l'utilisation d'un service de Cloud dans le cadre des opérations commerciales internes du Client et de ses affiliés. Il peut s'agir de clients, de distributeurs, de prestataires de services et/ou de fournisseurs du Client.

1.5 « Service de Cloud » désigne toute solution à la demande distincte, basée sur un abonnement, hébergée, soutenue et exploitée, fournie par Qualtrics dans le cadre d'un bon de commande.

1.6 « Matériel de Cloud » désigne tout matériel fourni ou développé par Qualtrics (indépendamment ou avec la coopération du Client) dans le cadre de l'exécution du Contrat, y compris dans le cadre de la fourniture de tout service d'assistance ou de conseil au Client. Les matériaux de Cloud ne comprennent pas les Données du Client, les informations confidentielles du Client ou le Service de Cloud.

1.7 « Informations confidentielles » signifie

(a) en ce qui concerne le Client : (i) les Données Client, (ii) les besoins marketing et commerciaux du Client, (iii) les plans de mise en œuvre du Client, et/ou (iv) les informations financières du Client, et

(b) en ce qui concerne Qualtrics : (i) le Service de Cloud, la documentation, les matériaux de Cloud e et les analyses prévus à la section 3.5, et (ii) les informations concernant la recherche et le développement, les offres de produits, les prix et la disponibilité de Qualtrics.

(c) Les informations confidentielles de Qualtrics ou du Client comprennent également les informations que la Partie divulgatrice protège contre une divulgation sans restriction à des tiers et (i) que la Partie divulgatrice ou ses représentants désignent comme confidentielles au moment de la divulgation ou (ii) qui devraient raisonnablement être considérées comme confidentielles étant donné la nature des informations et les circonstances entourant leur divulgation.

1.8 « Services de conseil » désigne les services professionnels, tels que la mise en œuvre, la configuration, le développement personnalisé et la formation, réalisés par les employés ou les Sous-traitants de Qualtrics, tels que décrits dans tout bon de commande et qui sont régis par le Supplément pour les Services de conseil ou un accord similaire.

1.9 « Données Client » désigne tout contenu, matériel, données et informations que les Utilisateurs autorisés saisissent dans le système de production d'un Service de Cloud ou que le Client tire de son utilisation et stocke dans le Service de Cloud (par exemple, des rapports spécifiques au Client). Les Données Client et leurs dérivés n'incluront pas les Informations confidentielles de Qualtrics.

1.10 « Documentation » désigne la documentation technique et fonctionnelle alors en vigueur de Qualtrics, ainsi que toute description des rôles et responsabilités, le cas échéant, pour le Service de Cloud, qui est mise à la disposition du client avec le Service de Cloud.

1.11 « Bon de commande » désigne le document de commande d'un Service de Cloud qui fait référence aux CG.

1.12 « Politiques de Qualtrics » désigne les directives et politiques opérationnelles appliquées par Qualtrics pour fournir et prendre en charge le Service de Cloud, telles qu'incorporées dans un formulaire de commande.

1.13 « Durée d'abonnement » désigne la durée d'un abonnement au Service de Cloud identifié dans le formulaire de commande applicable, y compris tous les renouvellements.

1.14 « Supplément » désigne, le cas échéant, les conditions générales supplémentaires qui s'appliquent au service de Cloud et qui sont incorporées dans un formulaire de commande.

1.15 « Métrique d'utilisation » désigne la norme de mesure permettant de déterminer l'utilisation autorisée et de calculer les frais dus pour un Service de Cloud, comme indiqué dans un formulaire de commande.

Les parties concluent le PRÉSENT accord en date de la DERNIÈRE DATE DE SIGNATURE CI-DESSOUS (« Date d'entrée en vigueur des CGV »).

CLIENT :	QUALTRICS, LLC
Par :	Par :
Nom :	Nom :
Titre :	Titre :
Date :	Date :

Annexe A

Accord sur le traitement des données

ACCORD SUR LE TRAITEMENT DES DONNÉES PERSONNELLES POUR LES SERVICES DE CLOUD DE QUALTRICS

Le présent addendum au traitement des données (« DPA ») est conclu ENTRE

(1) le Client ; et

(2) Qualtrics.

1. CONTEXTE

1.1 Objet et application. Le présent document est intégré au Contrat et fait partie d'un contrat écrit (y compris sous forme électronique) entre Qualtrics et le Client. Le présent DPA s'applique aux données à caractère personnel traitées par Xxxxxxxxx et ses Sous-traitants dans le cadre de sa fourniture du Service de Cloud. Le présent DPA ne s'applique pas aux environnements de non-production du Service de Cloud si ces environnements sont mis à disposition par Qualtrics, et le Client ne stockera pas de données à caractère personnel dans ces environnements.

1.2 Structure. Les Annexes 1 et 2 sont intégrées au présent DPA et en font partie. Elles exposent l'objet convenu, la nature et la finalité du traitement, le type de Données personnelles, les catégories de personnes concernées et les mesures techniques et organisationnelles applicables.

1.3 RGPD. Qualtrics et le Client conviennent qu'il incombe à chaque Partie d'examiner et d'adopter les exigences imposées aux Contrôleurs et aux Processeurs par le Règlement général sur la protection des données 2016/679 (« RGPD »), notamment en ce qui concerne les articles 28 et 32 à 36 du RGPD, si et dans la mesure où elles sont applicables aux données à caractère personnel du Client/Contrôleur qui sont traitées dans le cadre du DPA. À titre d'illustration, l'Annexe 3 énumère les exigences pertinentes du RGPD et les sections correspondantes du présent DPA.

1.4 Gouvernance. Qualtrics agit en tant que Processeur et le Client et les entités qu'il autorise à utiliser le Service de Cloud agissent en tant que Contrôleurs en vertu du DPA. Le Client agit en tant que point de contact unique et est seul responsable de l'obtention de toutes les autorisations, tous les consentements et toutes les permissions pertinents pour le traitement des données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation par les Contrôleurs de l'utilisation de Qualtrics en tant que Processeur. Lorsque des autorisations, des consentements, des instructions ou des permissions sont fournis par le Client, ceux-ci sont fournis non seulement au nom du Client mais également au nom de tout autre Contrôleur utilisant le Service de Cloud. Lorsque Xxxxxxxxx informe ou notifie le Client, ces informations ou notifications sont réputées reçues par les contrôleurs autorisés par le Client à utiliser le Service de Cloud et il incombe au Client de transmettre ces informations et notifications aux contrôleurs concernés.

2. SÉCURITÉ DU TRAITEMENT

2.1 Mesures techniques et organisationnelles appropriées. Qualtrics a mis en œuvre et appliquera les mesures techniques et organisationnelles énoncées à l'Annexe 2. Le Client a examiné ces mesures et convient qu'en ce qui concerne le Service de Cloud sélectionné par le Client dans le formulaire de commande, les mesures sont appropriées compte tenu de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des objectifs du traitement des données à caractère personnel.

2.2 Changements. Qualtrics applique les mesures techniques et organisationnelles énoncées à l'Annexe 2 à l'ensemble de la clientèle de Qualtrics hébergée dans le même centre de données et recevant le même Service de Cloud. Qualtrics peut modifier les mesures énoncées à l'Annexe 2 à tout moment et sans préavis, tant qu'elle maintient un niveau de sécurité

comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les Données personnelles.

3. OBLIGATIONS DE QUALTRICS

3.1 Instructions du client. Qualtrics traitera les données à caractère personnel uniquement conformément aux instructions documentées du Client. Le Contrat (y compris le présent DPA) constitue de telles instructions initiales documentées et chaque utilisation du Service de Cloud constitue ensuite des instructions supplémentaires. Qualtrics déploiera des efforts raisonnables pour suivre toute autre instruction du Client, pour autant qu'elle soit exigée par la loi sur la protection des données, qu'elle soit techniquement réalisable et qu'elle ne nécessite pas de modifications du Service de Cloud. Si l'une des exceptions susmentionnées s'applique, si Qualtrics ne peut pas se conformer à une instruction ou si elle estime qu'une instruction enfreint la loi sur la protection des données, Qualtrics en informera immédiatement le Client (courrier électronique autorisé).

3.2 Traitement sur exigence légale. Qualtrics peut également traiter des données à caractère personnel lorsque la loi applicable l'exige. Dans ce cas, Xxxxxxxxx informera le Client de cette exigence légale avant le traitement, à moins que cette loi n'interdise une telle information pour des raisons importantes d'intérêt public.

3.3 Personnel. Pour traiter les données à caractère personnel, Qualtrics et ses Sous-traitants n'accorderont l'accès qu'au personnel autorisé qui s'est engagé à respecter la confidentialité. Qualtrics et ses Sous-traitants formeront régulièrement le personnel ayant accès aux données à caractère personnel aux mesures applicables en matière de sécurité et de confidentialité des données.

3.4 Coopération. À la demande du Client, Qualtrics coopérera raisonnablement avec le Client et les Contrôleurs pour traiter les demandes des personnes concernées ou des autorités réglementaires concernant le traitement des données à caractère personnel par Qualtrics ou toute violation de données à caractère personnel. Qualtrics informera le Client dès que raisonnablement pratique de toute demande qu'elle a reçue d'une personne concernée en rapport avec le traitement des données à caractère personnel, sans répondre elle-même à cette demande sans instructions supplémentaires du Client, le cas échéant. Qualtrics doit fournir une fonctionnalité qui prend en charge la capacité du Client à corriger ou à supprimer les données à caractère personnel du Service de Cloud, ou à restreindre leur traitement conformément à la Loi sur la protection des données. Lorsqu'une telle fonctionnalité n'est pas fournie, Qualtrics corrigera ou supprimera toute Donnée personnelle, ou limitera son traitement, conformément aux instructions du Client et à la Loi sur la protection des données.

3.5 Notification de violation de données à caractère personnel. Qualtrics informera le Client sans délai excessif après avoir pris connaissance de toute violation de données à caractère personnel et fournira les informations raisonnables en sa possession pour aider le Client à remplir ses obligations de signaler une violation de données à caractère personnel, comme l'exige la loi sur la protection des données. Qualtrics peut fournir ces informations par étapes au fur et à mesure qu'elles sont disponibles. Une telle notification ne doit pas être interprétée comme une reconnaissance de faute ou de responsabilité de la part de Qualtrics.

3.6 Évaluation d'impact sur la protection des données. Si, conformément à la loi sur la protection des données, le Client (ou ses Contrôleurs) est tenu d'effectuer une évaluation de l'impact sur la protection des données ou une consultation préalable auprès d'un régulateur, à la demande du Client, Qualtrics fournira les documents généralement disponibles pour le Service de Cloud (par exemple, le présent DPA, le Contrat, les rapports d'audit ou les certifications). Toute assistance supplémentaire fera l'objet d'un accord mutuel entre les Parties.

4. EXPORTATION ET SUPPRESSION DES DONNÉES

4.1 Exportation et récupération par le Client. Pendant la durée de l'abonnement et sous réserve du contrat, le Client peut accéder à ses données à caractère personnel à tout moment. Le Client peut exporter et récupérer ses données à caractère personnel dans un format standard. L'exportation et la récupération peuvent être soumises à des limitations techniques, auquel cas Qualtrics et le Client trouveront une méthode raisonnable pour permettre au Client d'accéder aux données à caractère personnel.

4.2 Suppression. Avant l'expiration de la durée de l'abonnement, le Client est tenu d'utiliser les outils d'exportation en libre-service de Qualtrics (tels qu'ils sont disponibles) pour effectuer une exportation finale des données à caractère personnel à partir du Service de Cloud (ce qui constitue un « retour » des données à caractère personnel). À la fin de la Période d'abonnement, le Client donne par la présente instruction à Qualtrics de supprimer les données à caractère personnel restant sur les serveurs hébergeant le Service de Cloud dans un délai raisonnable conformément à la Loi sur la protection des données (qui ne doit pas dépasser six mois), sauf si la loi applicable exige leur conservation.

5. CERTIFICATIONS ET AUDITS

5.1 Audit du client. Le Client ou son auditeur tiers indépendant raisonnablement acceptable pour Qualtrics (qui ne doit pas inclure d'auditeurs tiers qui sont soit un concurrent de Qualtrics, soit non qualifiés ou indépendants) peut auditer l'environnement de contrôle et les pratiques de sécurité de Qualtrics concernant les données à caractère personnel traitées par Qualtrics uniquement si :

(a) Qualtrics n'a pas fourni de preuves suffisantes de sa conformité aux mesures techniques et organisationnelles qui protègent les systèmes de production du Service de Cloud en fournissant soit : (i) une certification de conformité à xx xxxxx XXX 00000 ou à d'autres normes (portée définie dans le certificat) ; ou (ii) un rapport d'attestation ISAE3402 et/ou ISAE3000 ou autre SOC1-3 valide. À la demande du client, les rapports d'audit ou les certifications ISO sont disponibles auprès de l'auditeur tiers ou de Qualtrics ;

(b) une violation de données à caractère personnel a eu lieu ;

(d) la loi obligatoire sur la protection des données donne au Client un droit d'audit direct et prévoit que le Client ne doit effectuer qu'un seul audit par période de douze mois, à moins que la loi obligatoire sur la protection des données n'exige des audits plus fréquents.

5.2 Audit d'un autre contrôleur. Tout autre contrôleur peut auditer l'environnement de contrôle et les pratiques de sécurité de Qualtrics concernant les données à caractère personnel traitées par Qualtrics conformément à la section 5.1 uniquement si l'un des cas énoncés dans la section 5.1 s'applique à cet autre contrôleur. Cet audit doit être entrepris par le biais et par le Client comme indiqué dans la Section 5.1, à moins que l'audit ne doive être entrepris par l'autre Contrôleur lui-même en vertu de la Loi sur la protection des données. Si plusieurs Contrôleurs dont les données à caractère personnel sont traitées par Qualtrics sur la base du Contrat exigent un audit, le Client doit utiliser tous les moyens raisonnables pour combiner les audits et éviter les audits multiples.

5.3 Portée de l'audit. Le Client doit fournir un préavis d'au moins soixante jours pour tout audit, à moins que la loi sur la protection des données ou une autorité compétente en matière de protection des données n'exige un préavis plus court. La fréquence et la portée de tout audit seront convenues mutuellement entre les Parties agissant raisonnablement et de bonne foi. Les audits du Client seront limités dans le temps à un maximum de trois jours ouvrables. Au-delà de ces restrictions, les Parties utiliseront les certifications actuelles ou d'autres rapports d'audit pour éviter ou minimiser les audits répétitifs. Le Client fournira les résultats de tout audit à Qualtrics.

5.4 Coût des audits. Le Client prendra en charge les coûts de tout audit, à moins que cet audit ne révèle une violation substantielle de ce DPA par Qualtrics, auquel cas Qualtrics prendra en charge ses propres frais d'audit. Si un audit détermine que Qualtrics a violé ses obligations en vertu du DPA, Xxxxxxxxx remédiera rapidement à cette violation à ses propres frais.

6. SOUS-PROCESSEURS

6.1 Utilisation autorisée. Qualtrics bénéficie d'une autorisation générale pour sous-traiter le traitement des données à caractère personnel à des Sous-traitants, à condition que :

(a) Qualtrics engage des Sous-traitants secondaires dans le cadre d'un contrat écrit (y compris sous forme électronique) conforme aux conditions de la présente DPA en ce qui concerne le traitement des données à caractère personnel par le Sous-traitant secondaire. Qualtrics est responsable de toute violation par le Sous-traitant ultérieur conformément aux conditions du présent accord ;

(b) Qualtrics évalue les pratiques en matière de sécurité, de respect de la vie privée et de confidentialité d'un Sous-traitant ultérieur avant de le sélectionner, afin d'établir qu'il est capable d'assurer le niveau de protection des données à caractère personnel requis par le présent DPA ; et

(c) La liste des Sous-traitants secondaires de Qualtrics en place à la date d'entrée en vigueur du contrat est publiée par Qualtrics ou Qualtrics la mettra à la disposition du client, sur demande, y compris le nom, l'adresse et le rôle de chaque Sous-traitant secondaire que Qualtrics utilise pour fournir le Service de Cloud.

6.2 Nouveaux Sous-traitants. L'utilisation par Qualtrics de Sous-traitants est à sa discrétion, à condition que :

(a) Qualtrics informe le Client à l'avance (par courrier électronique ou par affichage dans le Service de Cloud) de tout ajout ou remplacement prévu à la liste des Sous-traitants secondaires, y compris le nom, l'adresse et le rôle du nouveau Sous-traitant secondaire ; et

(b) Le Client peut s'opposer à ces modifications comme indiqué à la section 6.3.

6.3 Objections aux nouveaux Sous-traitants.

(a) Si le Client a un motif légitime, en vertu de la Loi sur la protection des données, de s'opposer au traitement des données à caractère personnel par les nouveaux Sous-traitants, le Client peut résilier le Contrat (limité au Service de Cloud pour lequel le nouveau Sous-traitant est destiné à être utilisé) sur notification écrite à Qualtrics. Cette résiliation prendra effet au moment déterminé par le Client, qui sera au plus tard trente jours à compter de la date de la notification de Qualtrics au Client l'informant du nouveau Sous-traitant. Si le Client ne résilie pas dans ce délai de trente jours, il est réputé avoir accepté le nouveau Sous-traitant.

(b) Dans le délai de trente jours à compter de la date de la notification de Qualtrics au Client l'informant du nouveau Sous-traitant secondaire, le Client peut demander que les Parties se réunissent de bonne foi pour discuter d'une résolution de l'objection. Ces discussions ne prolongent pas la période de résiliation et n'affectent pas le droit de Qualtrics d'utiliser le(s) nouveau(x) Sous-traitant(s) secondaire(s) après la période de trente jours.

(c) Toute résiliation en vertu de la présente section 6.3 sera considérée comme étant sans faute de la part de l'une ou l'autre des Parties et sera soumise aux conditions du Contrat.

6.4 Remplacement d'urgence. Qualtrics peut remplacer un Sous-traitant secondaire sans préavis lorsque la raison du changement est hors du contrôle raisonnable de Qualtrics et qu'un remplacement rapide est nécessaire pour des raisons de sécurité ou d'autres raisons urgentes. Dans ce cas, Xxxxxxxxx informera le Client du remplacement du Sous-traitant secondaire le plus rapidement possible après sa nomination. La section 6.3 s'applique.

7. TRAITEMENT INTERNATIONAL

7.1 Conditions de traitement international. Qualtrics a le droit de traiter les données à caractère personnel, y compris en faisant appel à des Sous-traitants secondaires, conformément au présent DPA, en dehors du pays dans lequel le Client est situé, comme l'autorise la loi sur la protection des données.

7.2 Clauses contractuelles types. Lorsque (i) les données à caractère personnel d'un Contrôleur basé dans l'EEE ou en Suisse sont traitées dans un pays en dehors de l'EEE, de la Suisse et de tout pays, organisation ou territoire reconnu par l'Union européenne comme un pays sûr offrant un niveau adéquat de protection des données en vertu de l'art. 45 du RGPD, ou lorsque

(ii) les données à caractère personnel d'un autre Contrôleur sont traitées au niveau international et que ce traitement international nécessite un moyen adéquat en vertu des lois du pays du Contrôleur et que le moyen adéquat requis peut être satisfait par la conclusion de Clauses contractuelles types, alors :

(a) Qualtrics et le Client concluent les clauses contractuelles standard ;

(b) Le Client conclut les clauses contractuelles types avec chaque Sous-traitant concerné comme suit, soit (i) le Client adhère aux clauses contractuelles types conclues par Qualtrics et le Sous-traitant en tant que titulaire indépendant de droits et d'obligations (« Modèle d'Adhésion »), soit (ii) le Sous-traitant (représenté par Qualtrics) conclut les clauses contractuelles types avec le Client (« Modèle de procuration »). Le modèle de procuration s'applique si et quand Qualtrics a expressément confirmé qu'un

Sous-traitant ultérieur y est éligible par le biais de la liste des Sous-traitants ultérieurs fournie en vertu de la section 6.1(c), ou d'un avis au Client ; et/ou

(c) Les autres Contrôleurs dont l'utilisation des Services Cloud a été autorisée par le Client en vertu du Contrat peuvent également conclure des clauses contractuelles types avec Qualtrics et/ou les Sous-traitants concernés de la même manière que le Client conformément aux sections 7.2 (a) et (b) ci-dessus. Dans ce cas, le Client conclura les clauses contractuelles types au nom des autres Contrôleurs.

7.3 Relation entre les clauses contractuelles types et le Contrat. Aucune disposition du Contrat ne doit être interprétée comme prévalant sur une clause contradictoire des clauses contractuelles types. Pour éviter toute ambiguïté, lorsque le présent DPA précise les règles relatives à l'audit et au Sous-traitant ultérieur dans les sections 5 et 6, ces spécifications s'appliquent également aux clauses contractuelles types.

7.4 Droit applicable aux clauses contractuelles types. Les clauses contractuelles types sont régies par le droit du pays dans lequel le Contrôleur concerné est constitué.

8. DOCUMENTATION ; REGISTRES DE TRAITEMENT

Chaque Partie est responsable de son respect de ses exigences en matière de documentation, en

particulier la tenue de registres de traitement lorsque cela est requis par la loi sur la protection des données. Chaque Partie doit raisonnablement aider l'autre Partie dans ses exigences en matière de documentation, y compris en fournissant les informations dont l'autre Partie a besoin d'une manière

raisonnablement demandée par l'autre Partie (comme l'utilisation d'un système électronique), afin de permettre à l'autre Partie de se conformer à toutes les obligations relatives à la tenue de registres de traitement.

9. DÉFINITIONS

Les termes en majuscules non définis dans le présent document auront la signification qui leur est donnée dans le Contrat.

9.1 « Contrôleur » désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel ; aux fins du présent DPA, lorsque le Client agit en tant que Sous-traitant pour un autre contrôleur, il est considéré par rapport à Qualtrics comme un contrôleur supplémentaire et indépendant, avec les droits et obligations respectifs du contrôleur en vertu du présent DPA.

9.2 « Centre de données » désigne l'emplacement où l'instance de production du Service de Cloud est hébergée pour le Client dans la région convenue dans un bon de commande.

9.3 « Loi sur la protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes et leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel dans le cadre du Contrat (et comprend, dans la mesure où elle concerne la relation entre les Parties concernant le traitement des données à caractère personnel par Qualtrics pour le compte du Client, le RGPD en tant que norme minimale, que les données à caractère personnel soient soumises au RGPD ou non).

9.4 « Personne concernée » désigne une personne physique identifiée ou identifiable telle que définie par la loi sur la protection des données.

9.5 « EEE » désigne l'Espace économique européen, à savoir les États membres de l'Union européenne ainsi que l'Islande, le Liechtenstein et la Norvège.

9.6 « Données à caractère personnel » désigne toute information relative à une Personne concernée qui est protégée par la loi sur la protection des données. Aux fins de la LPD, elle comprend uniquement les données à caractère personnel qui sont (i) saisies par le Client ou ses Utilisateurs autorisés dans le Service de Cloud ou dérivées de leur utilisation de celui-ci, ou

(ii) fournies à Qualtrics ou à ses Sous-traitants ou auxquelles ils ont accès afin de fournir une assistance dans le cadre du Contrat. Les données à caractère personnel sont un sous-ensemble des Données du client (telles que définies dans le Contrat).

9.7 « Violation de données à caractère personnel » signifie une confirmation (1) de la destruction, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès non autorisé de tiers à des données à caractère personnel accidentelles ou illégales ou (2) d'un incident similaire impliquant des données à caractère personnel, dans chaque cas pour lequel un contrôleur est tenu, en vertu de la loi sur la protection des données, de fournir une

notification aux autorités compétentes de protection des données ou aux personnes concernées.

9.8 « Processeur » : une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement, que ce soit directement en tant que Sous-traitant d'un responsable du traitement ou indirectement en tant que Sous-traitant secondaire d'un Sous-traitant qui traite des données à caractère personnel pour le compte du responsable du traitement.

9.9 « Clauses contractuelles types » ou parfois également appelées « clauses types de l'UE » désigne les (Clauses contractuelles types (transformateurs)) ou toute version ultérieure de celles-ci publiées par la Commission européenne (qui s'appliqueront automatiquement). Les Clauses contractuelles types en vigueur à la date d'entrée en vigueur du Contrat sont jointes aux présentes en Annexe 4.

9.10 « Sous-traitant » désigne les affiliés de Qualtrics et les tiers engagés par Qualtrics dans le cadre du Service de Cloud et qui traitent les données à caractère personnel conformément au présent DPA.

Annexe 1 du DPA et, le cas échéant, les clauses contractuelles types.

Exportateur de données

L'Exportateur de données est le Client qui a souscrit à un Service de Cloud qui permet aux Utilisateurs autorisés d'entrer, de modifier, d'utiliser, de supprimer ou de traiter autrement des données à caractère personnel. Lorsque le Client permet à d'autres Contrôleurs d'utiliser également le Service de Cloud, ces autres Contrôleurs sont également des Exportateurs de Données.

Importateur de données

Qualtrics et ses Sous-traitants fournissent le Service de Cloud qui comprend le support suivant :

Qualtrics et ses affiliés assurent l'assistance des centres de données du Service de Cloud à distance depuis les sites de Qualtrics spécifiés dans le livre blanc sur la sécurité de Qualtrics (disponible sur demande). L'assistance comprend :

• Surveillance du Service de Cloud

• Sauvegarde et restauration des Données du Client stockées dans le service d'hébergement Cloud

• Publication et développement de correctifs et de mises à niveau du Service de Cloud

• Surveillance, dépannage et administration de l'infrastructure sous-jacente du Service de Cloud et de la base de données

• Surveillance de la sécurité, aide à la détection des intrusions en réseau, tests de pénétration

Qualtrics et ses affiliés fournissent une assistance lorsqu'un client en fait la demande parce que le Service de Cloud n'est pas disponible ou ne fonctionne pas comme prévu pour certains ou tous les utilisateurs autorisés. Qualtrics répond au téléphone, effectue un dépannage de base et gère les tickets d'assistance dans un système de suivi distinct de l'instance de production du Service de Cloud.

Sujets des données

L'Exportateur de données détermine seul les catégories de personnes concernées qui peuvent inclure : les employés, les Sous-traitants, les partenaires commerciaux ou d'autres personnes ayant des données à caractère personnel stockées dans le Service de Cloud.

Catégories de données

Le Client détermine seul les catégories de données par Service de Cloud souscrit. Le Client peut configurer les champs de données lors de la mise en œuvre du Service de Cloud ou tel que prévu par ailleurs par le Service de Cloud. Les données à caractère personnel transférées concernent généralement les catégories de données suivantes : nom, numéros de téléphone, adresse électronique, fuseau horaire, données d'adresse, données d'accès/d'utilisation/d'autorisation du système, nom de l'entreprise, données contractuelles, données de facturation, plus toute donnée spécifique à l'application que les Utilisateurs autorisés saisissent dans le Service de Cloud.

Catégories spéciales de données (le cas échéant)

Les données à caractère personnel transférées concernent les catégories particulières de données suivantes : comme indiqué dans le Contrat (y compris le formulaire de commande), le cas échéant.

Opérations de traitement/finalités

Les données à caractère personnel transférées sont soumises aux activités de traitement de base suivantes :

• l'utilisation des données à caractère personnel pour mettre en place, exploiter, surveiller et fournir le Service de Cloud (y compris l'assistance opérationnelle et technique) ;

• la fourniture de services ;

• la communication aux utilisateurs autorisés ;

• le stockage des données à caractère personnel dans des centres de données dédiés (architecture multi-locataires) ;

• le téléchargement de tout correctif ou toute mise à niveau du Service de Cloud ;

• la sauvegarde des données à caractère personnel ;

• le traitement informatique des données à caractère personnel, y compris la transmission, la récupération et l'accès aux données ;

• l'accès au réseau pour permettre le transfert de données à caractère personnel ;

• l'exécution des instructions du Client conformément au contrat.

Annexe 2 du RGPD et, le cas échéant, les clauses contractuelles types - Mesures techniques et organisationnelles

1. MESURES TECHNIQUES ET ORGANISATIONNELLES

Les sections suivantes définissent les mesures techniques et organisationnelles actuelles de Qualtrics. Qualtrics peut les modifier à tout moment sans préavis, à condition de maintenir un niveau de sécurité comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les données à caractère personnel.

1.1 Contrôle d'accès physique. Les personnes non autorisées ne peuvent accéder physiquement aux locaux, bâtiments ou pièces où se trouvent les systèmes de traitement des données qui traitent et/ou utilisent les Données à caractère personnel.

Mesures :

• Qualtrics protège ses actifs et ses installations en utilisant les moyens appropriés, conformément à la politique de sécurité de Qualtrics.

• En général, les bâtiments sont sécurisés par des systèmes de contrôle d'accès (par exemple, un système d'accès par carte à puce).

• Au minimum, les points d'entrée extérieurs du bâtiment doivent être équipés d'un système de clé certifié comprenant une gestion moderne et active des clés.

• En fonction de la classification de sécurité, les bâtiments, les zones individuelles et les locaux environnants peuvent être protégés par des mesures supplémentaires. Celles-ci comprennent des profils d'accès spécifiques, la vidéosurveillance, des systèmes d'alarme anti-intrusion et des systèmes de contrôle d'accès biométriques.

• Les droits d'accès sont accordés aux personnes autorisées sur une base individuelle, conformément aux mesures de contrôle d'accès au système et aux données (voir les sections 1.2 et 1.3 ci-dessous). Ceci s'applique également à l'accès des visiteurs. Les invités et les visiteurs des bâtiments de Qualtrics doivent s'inscrire à la réception et être accompagnés par des personnes autorisées de Xxxxxxxxx.

• Les employés de Qualtrics et le personnel externe doivent porter leur carte d'identité sur tous les sites Qualtrics.

Mesures supplémentaires pour les centres de données :

• Tous les centres de données adhèrent à des procédures de sécurité strictes appliquées par des gardes, des caméras de surveillance, des détecteurs de mouvement, des mécanismes de contrôle d'accès et d'autres mesures visant à empêcher que les équipements et les installations des centres de données ne soient compromis. Seuls les représentants autorisés ont accès aux systèmes et à l'infrastructure dans les installations du centre de données. Afin de préserver le bon fonctionnement, les équipements de sécurité physique (par exemple, les détecteurs de mouvement, les caméras, etc.) font l'objet d'une maintenance régulière.

• Qualtrics et tous les fournisseurs de centres de données tiers enregistrent les noms et les heures d'accès du personnel autorisé aux zones privées de Qualtrics dans les centres de données.

1.2 Contrôle de l'accès au système. Les systèmes de traitement des données utilisés pour fournir le Service de Cloud ne doivent pas être utilisés sans autorisation.

Mesures :

• Des niveaux d'autorisation multiples sont utilisés lors de l'octroi de l'accès aux systèmes sensibles, y compris ceux qui stockent et traitent les données à caractère personnel. Les autorisations sont gérées via des processus définis conformément à la politique de sécurité de Qualtrics.

• Tout le personnel accède aux systèmes de Qualtrics avec un identifiant unique (ID utilisateur).

• Qualtrics a mis en place des procédures afin que les changements d'autorisation demandés ne soient mis en œuvre que conformément à la politique de sécurité de Qualtrics (par exemple, aucun droit n'est accordé sans autorisation). Si le personnel quitte l'entreprise, ses droits d'accès sont révoqués.

• Qualtrics a établi une politique en matière de mots de passe qui interdit le partage des mots de passe, régit les réponses à la divulgation des mots de passe et exige que les mots de passe soient changés régulièrement et que les mots de passe par défaut soient modifiés. Des identifiants d'utilisateur personnalisés sont attribués pour l'authentification. Tous les mots de passe doivent répondre à des exigences minimales définies et sont stockés sous forme cryptée. Dans le cas des mots de passe de domaine, le système impose un changement de mot de passe tous xxx xxx mois, conformément aux exigences relatives aux mots de passe complexes. Chaque ordinateur dispose d'un économiseur d'écran protégé par un mot de passe.

• Le réseau de l'entreprise est protégé du réseau public par des pare-feu.

• Qualtrics utilise un logiciel antivirus à jour aux points d'accès au réseau de l'entreprise (pour les comptes de messagerie), ainsi que sur tous les serveurs de fichiers et tous les postes de travail.

• La gestion des correctifs de sécurité est mise en œuvre pour assurer le déploiement régulier et périodique des mises à jour de sécurité pertinentes. L'accès à distance complet au réseau d'entreprise et à l'infrastructure critique de Qualtrics est protégé par une authentification forte.

1.3 Contrôle de l'accès aux données. Les personnes autorisées à utiliser les systèmes de traitement des données n'ont accès qu'aux données à caractère personnel auxquelles elles ont le droit d'accéder, et les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement, de l'utilisation et du stockage.

Mesures :

• Dans le cadre de la politique de sécurité de Qualtrics, les données à caractère personnel nécessitent au moins le même niveau de protection que les informations « confidentielles » selon la norme de classification des informations de Qualtrics.

• L'accès aux données à caractère personnel est accordé selon le principe du « besoin d'en connaître ». Le personnel a accès aux informations dont il a besoin pour remplir sa mission. Qualtrics utilise des concepts d'autorisation qui documentent les processus d'octroi et les rôles attribués par compte (ID utilisateur). Toutes les Données du Client sont protégées conformément à la politique de sécurité de Qualtrics.

• Tous les serveurs de production sont exploités dans les centres de données ou dans des salles de serveurs sécurisées. Les mesures de sécurité qui protègent les applications traitant des données à caractère personnel sont régulièrement vérifiées. À cette fin, Xxxxxxxxx effectue des contrôles de sécurité internes et externes et des tests de pénétration sur ses systèmes informatiques.

• Une norme de sécurité Qualtrics régit la manière dont les données et les supports de données sont supprimés ou détruits lorsqu'ils ne sont plus nécessaires.

1.4 Contrôle de la transmission des données. Sauf si cela est nécessaire pour la fourniture des Services de Cloud conformément au Contrat, les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert. Lorsque des supports de données sont physiquement transportés, des mesures adéquates sont mises en œuvre chez Qualtrics pour fournir les niveaux de service convenus (par exemple, cryptage et conteneurs gainés de plomb).

Mesures :

• Les données à caractère personnel transférées sur les réseaux internes de Qualtrics sont protégées conformément à la politique de sécurité de Qualtrics.

• Lorsque des données sont transférées entre Qualtrics et ses Clients, les mesures de protection des données à caractère personnel transférées sont convenues d'un commun accord et font partie du Contrat correspondant. Cela s'applique au transfert de données tant physique que sur le réseau. Dans tous les cas, le Client assume la responsabilité de tout transfert de données dès lors qu'il se trouve en dehors des systèmes contrôlés par Qualtrics (par exemple, des données transmises en dehors du pare-feu du centre de données de Qualtrics).

1.5 Contrôle de l'entrée des données. Il sera possible d'examiner rétrospectivement et d'établir si et par qui les données à caractère personnel ont été saisies, modifiées ou supprimées des systèmes de traitement des données de Qualtrics.

Mesures :

• Qualtrics ne permet au personnel autorisé d'accéder aux données à caractère personnel que dans le cadre de leurs fonctions.

• Qualtrics a mis en place un système de journalisation de l'entrée, de la modification et de la suppression ou du blocage des données à caractère personnel par Qualtrics ou ses Sous-traitants au sein du Service de Cloud, dans la mesure où cela est techniquement possible.

1.6 Contrôle du travail. Les données à caractère personnel traitées sur commission (c'est-à-dire les données à caractère personnel traitées pour le compte d'un client) sont traitées uniquement conformément au Contrat et aux instructions connexes du client.

Mesures :

• Qualtrics utilise des contrôles et des processus pour surveiller le respect des contrats entre Qualtrics et ses Clients, Sous-traitants ou autres prestataires de services.

• Tous les employés de Qualtrics et les Sous-traitants contractuels ou autres prestataires de services sont contractuellement tenus de respecter la confidentialité de toutes les informations sensibles, y compris les secrets commerciaux des clients et partenaires de Qualtrics.

1.7 Contrôle de la disponibilité. Les données à caractère personnel seront protégées contre la destruction ou la perte accidentelle ou non autorisée.

Mesures :

• Qualtrics a recours à des processus de sauvegarde réguliers pour assurer la restauration des systèmes essentiels à l'entreprise en cas de besoin.

• Qualtrics utilise des systèmes d'alimentation sans interruption (par exemple : UPS, batteries, générateurs, etc.) pour assurer la disponibilité de l'électricité dans les centres de données.

• Qualtrics a défini des plans d'urgence pour les processus essentiels à l'entreprise et peut proposer des stratégies de reprise après sinistre pour les services essentiels à l'entreprise, comme indiqué plus en détail dans la documentation ou intégré dans le formulaire de commande du Service de Cloud concerné.

• Les processus et systèmes d'urgence sont régulièrement testés.

1.8 Contrôle de la séparation des données.

Mesures :

• Qualtrics utilise les capacités techniques du logiciel déployé (par exemple : multi-locataires, paysages de systèmes) pour réaliser la séparation des données entre les données à caractère personnel provenant de plusieurs clients.

• Le Client (y compris ses Contrôleurs) n'a accès qu'à ses propres données.

1.9 Contrôle de l'intégrité des données. Les données à caractère personnel resteront intactes, complètes et actuelles pendant les activités de traitement.

Mesures :

Qualtrics a mis en place une stratégie de défense à plusieurs niveaux pour se protéger contre les modifications non autorisées.

En particulier, Xxxxxxxxx utilise les éléments suivants pour mettre en œuvre les sections de contrôle et de mesure décrites ci-dessus :

• pare-feu ;

• centre de surveillance de la sécurité ;

• logiciel antivirus ;

• sauvegarde et récupération ;

• tests de pénétration externes et internes ;

• audits externes réguliers pour prouver les mesures de sécurité.

Annexe 3 du DPA et, le cas échéant, les clauses contractuelles types.

Le tableau suivant présente les articles pertinents du RGPD et les termes correspondants du DPA à titre d'illustration uniquement.

Article de RGPD	Section de DPA	Cliquez sur le lien pour voir la section

28(1)	2 et Annexe 2	Sécurité du traitement et Annexe 2, Mesures techniques et organisationnelles.
28(2), 28(3) (d) et 28 (4)	6	SOUS-PROCESSEURS
28 (3) phrase 1	1.1 et Annexe 1, 1.2	Objectif et application. Structure.
28(3) (a) et 29	3.1 et 3.2	Instructions du Client. Traitement le Exigence légale.
28(3) (b)	3.3	Personnel.
28(3) (c) et 32	2 et Annexe 2	Sécurité du traitement et Annexe 2, Mesures techniques et organisationnelles.
28(3) (e)	3.4	Coopération.
28(3) (f) et 32-36	2 et Annexe 2, 3.5, 3.6	Sécurité du traitement et Annexe 2, Mesures techniques et organisationnelles. Notification des violations de données à caractère personnel. Évaluation de l'impact sur la protection des données.
28(3) (g)	4	Exportation et suppression des données
28(3) (h)	5	CERTIFICATIONS ET AUDITS
28 (4)	6	SOUS-PROCESSEURS
30	8	Documentation ; Registres de traitement
46(2) (c)	7.2	Clauses contractuelles types.

Annexe 4 - Clauses contractuelles types (transformateurs)

(conformément à la décision de la Commission du 5 février 2010 (2010/87/UE))

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE (ou, après le 25 mai 2018, des articles 44 et suivants du règlement 2016/79) pour le transfert de données à caractère personnel à des Sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

Le Client également pour le compte des autres Responsables du traitement

(ci-après dénommé « l'exportateur de données » dans les Clauses) et

Qualtrics, LLC

(ci-après dénommée « l'Importateur de données » dans les clauses), chacune étant une « Partie » ; ensemble, « les Parties ».

SONT CONVENUS des clauses contractuelles suivantes (les Clauses) afin d'offrir des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'Annexe 1.

Clause 1

Définitions

Aux fins des Clauses :

a) « Données à caractère personnel », « catégories particulières de données »,

« traitement/traitements », « responsable du traitement », « Sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

b) « Exportateur de données » : le responsable du traitement qui transfère les Données à caractère personnel ;

c) « Importateur de données » : le Sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert, conformément à ses instructions et aux termes des clauses, et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

d) « Sous-traitant ultérieur » : tout Sous-traitant engagé par l'importateur de données ou par tout autre Sous-traitant ultérieur de l'Importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre Sous-traitant ultérieur de l'importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;

e) « Législation applicable en matière de protection des données » : la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des Données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;

f) « Mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les Données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle,

l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement.

Clause 2

Détails du transfert

Les détails du transfert et notamment les catégories particulières de données à caractère personnel le cas échéant sont précisés dans l'Annexe 1 qui fait partie intégrante des Clauses.

Clause 3

Clause de tiers bénéficiaire

La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

La personne concernée peut faire valoir à l'encontre de l'importateur de données la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données a disparu dans les faits ou a cessé d'exister en droit, à moins qu'une entité qui lui succède n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par effet de la loi, de sorte qu'elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité.

3. La personne concernée peut opposer au Sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits ou cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité qui lui succède n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par effet de la loi, de sorte qu'elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité. Cette responsabilité civile du Sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Les Parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

b) qu'il a donné et donnera, pendant toute la durée des services de traitement des données à caractère personnel, des instructions à l'importateur de données pour qu'il traite les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 du présent Contrat ;

d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été ou sera informée avant, ou le plus tôt possible après, que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sens de la directive 95/46/CE ;

g) qu’il transmettra toute notification reçue de l'importateur de données ou de tout Sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

h) qu’il mettra à la disposition des personnes concernées, sur demande, une copie des clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

(i) qu’en cas de sous-traitement, l'activité de traitement sera effectuée conformément à la clause 11 par un Sous-traitant assurant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et

(j) qu'il assurera le respect de la clause 4 (a) à (i).

Clause 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

a) qu’il traitera les données à caractère personnel uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il

accepte d'informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et que, en cas de modification de cette législation susceptible d'avoir un effet négatif substantiel sur les garanties et obligations prévues par les clauses, il notifiera rapidement cette modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'Annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu'il en informera rapidement l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal pour préserver la confidentialité d'une enquête policière ;

(ii) tout accès accidentel ou non autorisé ; et

(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;

(e) qu’il traitera rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et se conformera à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;

f) à la demande de l'exportateur de données, qu’il soumettra ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisis par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

g) qu’il mettra à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'Annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;

h) qu'en cas de sous-traitement, il aura préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;

(i) que les services de traitement par le Sous-traitant ultérieur seront effectués conformément à la clause 11 ;

(j) qu’il enverra rapidement à l'exportateur de données une copie de tout accord de sous-traitance secondaire qu'il conclut en vertu des Clauses.

Clause 6

Responsabilité

1. Les Parties conviennent que toute personne concernée qui a subi un préjudice à la suite d'une violation des obligations visées à la clause 3 ou à la clause 11 par une Partie ou un Sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.

2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'une violation par l'importateur de données ou son Sous-traitant de l'une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu de fait ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données convient que la personne concernée peut émettre une réclamation à l'encontre de l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité qui lui succède n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité.

L'importateur de données ne peut se prévaloir d'un manquement d'un Sous-traitant ultérieur à ses obligations pour s'exonérer de ses propres responsabilités.

3. Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur de données ou l'importateur de données visé aux paragraphes 1 et 2, en raison d'une violation par le Sous-traitant ultérieur de l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits ou cessé d'exister en droit ou sont devenus insolvables, le Sous-traitant ultérieur convient que la personne concernée peut émettre une réclamation à l'encontre du Sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il était l'exportateur de données ou l'importateur de données, à moins qu'une entité qui lui succède n'ait assumé l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du Sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Clause 7

Médiation et juridiction

L'importateur de données convient que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou demande une indemnisation pour des dommages en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :

a) de soumettre le différend à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;

b) de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

Les Parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux d'exercer des recours conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de surveillance

L'exportateur de données accepte de déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé par la législation applicable en matière de protection des données.

Les Parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données, et de tout Sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la loi applicable sur la protection des données.

L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation applicable à lui-même ou à tout Sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données ou de tout Sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l'exportateur de données a le droit de prendre les mesures prévues à la clause 5, point b).

Clause 9

Droit applicable

Les Clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Clause 10

Modification du contrat

Les Parties s'engagent à ne pas varier ou modifier les Clauses. Cela n'empêche pas les Parties d'ajouter, le cas échéant, des clauses sur des questions liées aux affaires, pour autant qu'elles ne contredisent pas la Clause.

Article 11

Transformation secondaire

L'importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il ne doit le faire que par le biais d'un accord écrit avec le Sous-traitant ultérieur qui impose les mêmes obligations au Sous-traitant ultérieur que celles imposées à l'importateur de données en vertu des Clauses. Lorsque le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du Sous-traitant ultérieur en vertu dudit accord.

Le contrat écrit préalable entre l'importateur de données et le Sous-traitant ultérieur doit également prévoir une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu de fait ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité qui lui succède n'a assumé l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou de plein droit. Cette responsabilité civile du Sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Les dispositions relatives aux aspects de la protection des données pour le traitement secondaire du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

L'exportateur de données tient une liste des accords de sous-traitance secondaire conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Article 12

Obligation après la cessation des services de traitement des données à caractère personnel

Les Parties conviennent qu'à la fin de la prestation de services de traitement des données, l'importateur de données et le Sous-traitant ultérieur, au choix de l'exportateur de données, renverront toutes les données à caractère personnel transférées et les copies de celles-ci à l'exportateur de données ou détruiront toutes les données à caractère personnel et certifieront à l'exportateur de données qu'ils l'ont fait, sauf si la législation imposée à l'importateur de données l'empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.

L'importateur de données et le Sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Document Metadata

Table of Contents

CONDITIONS GÉNÉRALES (« CG ») POUR LES SERVICES DE CLOUD DE QUALTRICS

Document Metadata