AVENANT RELATIF AU TRAITEMENT DES DONNÉES
AVENANT RELATIF AU TRAITEMENT DES DONNÉES
Le présent Avenant sur le traitement des données (« Avenant ») est conclu par et entre l'entité contractante Symantec conformément à l'Accord (« Symantec »), et la société identifiée ci-dessous, en son nom et, au besoin, au nom et pour le compte de ses sociétés affiliées (« Client »).
ATTENDU QUE le Client a obtenu certains Services fournis par Symantec impliquant le Traitement de Données à caractère personnel soumis à la Législation applicable.
ATTENDU QUE cet Avenant sert de contrat contraignant visé à l'article 28 paragraphe (3) du RGPD, qui définit l’objet, la durée du traitement, la nature et les finalités du traitement, le type de Données à caractère personnel et les catégories de Personnes concernées, ainsi que les obligations et les droits du Responsable du traitement, ceux-ci pouvant être complétés par les conditions générales applicables aux Services fournis par Symantec au Client (l’« Accord »).
ATTENDU QUE, dans lecadredela fourniture de Services par Symantec au Client conformément à l’Accord, le Client agit en tant que Responsable du traitement et Symantec agit en tant que Sous-traitant concernant les Données à caractère personnel ou, selon le cas, le Client agit en tant que Sous-traitant pour ses clients utilisateurs finaux, y compris les sociétés affiliées deces clients utilisateurs finaux (en tant que Responsables du traitement ultimes), et Symantec agira en tant que Sous-traitant ultérieur agissant surinstruction du Client vis-à-vis deses clients utilisateurs finaux.
Les Parties conviennent de ce qui suit :
1. Définitions. Sauf indication contraire dans l’Accord, tous les termes en majuscules utilisés dans le présent Avenant auront lesens qui leurest donné aux présentes.
« Législation applicable » désigne : (i) le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatifà la protection des personnes physiques à l'égard du traitement des données à caractèrepersonnel et à la libre circulationdeces données, et abrogeant la Directive 95/46/CE (« RGPD ») ; (ii) dans la mesure applicable aux Services, toute autre législation de l'UE ou d'un État membre de l'UE sur la protection des Données à caractère personnel qui seraient traitées dans le cadre du présent Avenant ; et (iii) à compter de la date de sortie de l'UE du Royaume-Uni, y compris en l'absence d'un accord entre l'EEE et le Royaume-Uni (le « Brexit sans accord»), la loi anglaise sur la protection des données (Data Protection Act) de 2018 (« Loi anglaise sur la protectiondes données de 2018 »).
« Responsable du traitement » a le sens qui lui est donné dans la Législation applicable et, aux fins du présent Avenant, désigne le Client, y compris lorsqu'il agit pour le compte de son client final.
« Personne concernée » a le sens qui lui est donné dans la Législation applicable.
« EEE » désigne l'Espace économique européen.
« Données à caractère personnel » a le sens qui lui est donné dans la Législation applicable et, aux fins du présent Avenant, désigne les Données à caractère personnel traitées par Symantec, tel que décrit dans la section 4.
« Violation de Données àcaractèrepersonnel » a le sens qui lui est donné dans la Législation applicable.
« Traitement » a le sens qui lui est donné dans la Législation applicableet les termes « traitement », « traite »,
« traité» et leurs variantes seront interprétés en conséquence.
« Sous-traitant » a le sens qui lui est donné dans la Législation applicable et, aux fins du présent Avenant, désigne Symantec.
« Services » désigne le ou les Services en ligne et les autres Services fournis par Symantec au Client.
« Clauses contractuelles types » désigne les Clauses contractuelles types conformément à la décision de la Commission européenne du 5 février 2010 relative aux Clauses contractuelles types pour le transfert de Données à caractère personnel aux Sous-traitants établis dans des pays tiers en vertu de la directive mentionnée dans l'Annexe 1 et faisant partie du présent Avenant.
2. Conformité avec les Lois. Chaque partie se conformera à la Législation applicable qui lui est applicable. En particulier, le Client se conformera à ses obligations de Responsable du traitement (ou pour le compte du Responsable du traitement) et Symantec se conformera à ses obligations de Sous-traitant.
3. Obligations du Client. Le Client en tant que Responsable du traitement (ou pour le compte du Responsable du traitement ultime) s'engage à ce que toutes les instructions relatives au Traitement des Données à caractère personnel en vertu de l’Accord, du présent Avenant, ou telles qu'autrement convenues ou configurées, soient conformes à la Législation applicable, et en aucun cas ces instructions n’entraîneront uneviolation par Symantec de toute Législation applicable. Il incombe au seul Client deveillerà l'exactitude, à la qualité et à la légalité des Données à caractèrepersonnel traitées par Xxxxxxxx, y compris des moyens parlesquels le Client a acquis des Données à caractèrepersonnel.
4. Traitement des données. Symantec traitera les Données à caractère personnel dans le seul but d'exécuter, d'optimiser et de fournir les Services et/ou aux fins indiquées dans l’Accord et le présent Avenant. Symantec traitera les Données à caractère personnel comme décrit dans le tableau ci -dessous, conformément aux instructions du Client telles qu'elles sont indiquées dans l’Accord et le présent Avenant pour la durée de l’Accord. Symantec n’accédera, n'utilisera et ne traitera pas ces Données à caractère personnel, sauf si nécessairepour fournir les Services.
Sauf si la loi applicable l'interdit, Symantec informera le Client si, à son avis, une instruction constitue une violationd’uneloi d’un État membredel'UE à laquelleelleest soumise, auquel cas Xxxxxxxx sera en droit de suspendre l'exécution de cette instruction jusqu'à ce que le Client confirme par écrit que cette instruction est valable en vertu dela loi del'État membredel'UE.
Toute instructionsupplémentaire relative à la manière dont Symantec traite les Données à caractère personnel nécessitera un accordécrit préalable entre Symantec et le Client, y compris, le cas échéant, les éventuels frais supplémentaires à la charge du Client.
Dans le cadre de la configuration des Services, certaines fonctionnalités de sécurité et de traitement de données sont mises à la disposition du Client. Le Client est responsable de la configuration correcte des Services pour répondre à ses exigences spécifiques en matière de Traitement et de sécurité, ce qui peut inclure l'utilisation d'une technologie de pseudonymisation ou de chiffrement pour protéger les Données à caractère personnel contre tout accès non autorisé.
Symantec nedivulguera pas de Données à caractèrepersonnel à tout gouvernement, sauf si cela est nécessaire pour seconformer à la loi applicable ou à uneordonnance valide et exécutoire d'un organisme d'application de la loi (commeuneassignationà comparaîtreou uneordonnance d'untribunal). Dans l'éventualité où Symantec
reçoit une ordonnance contraignante de la part d'un organisme d'application de la loi au sujet des Données à caractèrepersonnel, et qu’il nesoit pas légalement interdit à Symantec dele faire, Symantec informera le Client de la demande qu'il a reçue.
Symantec veillera à ce que les personnes chargées de traiter les Données à caractère personnel se soient engagées à en respecter la confidentialité et/ou soient soumises à des obligations qui leur incombent en vertu de la Législation applicable ou à d'autres dispositions de droit commun.
Catégories de Données à caractère personnel (*) | (a) Les coordonnées, y compris mais sans s'y limiter, le nom, l'intitulé et le niveau du poste, les adresses de courriel professionnelles, les numéros de téléphone et les adresses de bureau ; (b) Les adresses de courriel, les adresses IP et autres informations d'identification de réseauet d'appareils ou de logiciels ; (c) Les données en ligne (par exemple, utilisation de sites web, activités et préférences de navigationet autres données concernant le trafic web) ; (d) Les données du journal pouvant inclure des adresses IP source et de destination, des noms d'hôtes, des identifiants d'utilisateurs, des URL, des noms de politiques, des adresses de courriel, des horodatages, des volumes de données, des activités et des contenus de courriel ; (e) Toute Donnée à caractère personnel pouvant être contenue dans (i) des communications par courriel et web (y compris leurs pièces jointes) envoyées à ou par un employé ou un utilisateur du réseau du Client, (ii) toute Donnée à caractère personnel pouvant être partagée par les employés du Client ou les utilisateurs disposant d'applications dématérialisées (cloud) utilisées dans le réseau de l’exportateur de données ; et (iii) les demandes techniques et d'assistance formulées par ou pour le compte du Client ; et (f) Toute autre Donnée à caractère personnel liée à des activités de messagerie ou web requise pour la prestationdes Services. |
Catégories de Personnes concernées (*) | Les employés, représentants, cl ients, fournisseurs et/ou tout autres contacts professionnels du Client, y compris les expéditeurs et les destinataires de courriels, le cas échéant. |
(*) Une description complémentaire des catégories de Données à caractère personnel et de Personnes concernées est disponible à l'adresse suivante : xxx.xxxxxxxx.xxx (xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx)
5. Mesures techniques etorganisationnelles. Comptetenu du niveautechnologique et du coût demise en œuvre et de la nature, dela portée, du contexte et des finalités du Traitement, ainsi quedu risquedevariation et de gravitédes droits et des libertés des personnes physiques, Symantec devra, concernant les Données à caractère personnel, mettre en œuvredes mesures techniques et d’organisation appropriées pour assurerun niveau de sécuritédes Données à caractèrepersonnel approprié au risquetel quedocumenté dans la Pièce 2 del’Avenant et/ou à l’adressehttps://xxx.xxxxxxxx.xxx/xxxxx/xxxxxxxx-xxxxx-xxxxxx ou tout siteweb qui lui succède.
En évaluant leniveaudesécuritéapproprié, Xxxxxxxx doit notamment prendre en compteles risques présentés par le Traitement, notamment la destruction fortuite ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès non autorisé aux Données à caractère personnel transmises, stockées ou autrement traitées.
Il incombe au seul Client d’évaluer de la conformité des mesures de sécurité mises en œuvre par Xxxxxxxx, conformément à la présente Section 5 concernant la fourniture des Services, à ses propres normes et exigences.
6. Droits des Personnes concernées. Compte tenu de la nature du Traitement et des informations dont dispose Symantec, Symantec assistera leclient aumoyen demesures techniques et d’organisation appropriées, dans la mesuredu possible, pourrépondre auxdemandes des Personnes concernées exerçant leurs droits en vertu de la Législation applicable. A cet effet, Symantec : (i) dans la mesure permise par la loi applicable, informera rapidement le Client detoutedemande reçuedirectement dela part des Personnes concernées pouraccéder, corriger ou supprimerleurs Données à caractèrepersonnel sans répondreà cettedemande ; et (ii) surdemande écritedu Client, fournir auClient les informations dont dispose Symantec pour aider raisonnablement le Client à remplirses obligations derépondre aux Personnes concernées exerçant leurs droits en vertu dela Législation applicable.
7. Analyses d'impact relatives à la protection des données. Dans l’éventualité où le Client est tenu par la Législationapplicable d’effectuer une Analysed'impact relative à la protection des données, Symantec aidera le Client, si cela lui est demandé parle Client par écrit, dans la mesuredu possible, sous réservedela nature du Traitement et des informations dont dispose Symantec, dans la réalisation de l'obligation du Client relative à l'utilisation des Services par le Client, dans la mesure où le Client n'a pas autrement accès aux informations pertinentes. Si cela est requis par la Législation applicable, Symantec fournira une assistance raisonnable au Client dans le cadre de la coopération avec ou de la consultation préalable des Autorités de protection des données en cequi concernetoute Analyse d'impact relative à la protectiondes données applicable.
8. Audit des mesures techniques et organisationnelles. À la demande du Client, Xxxxxxxx s'engage à mettre à disposition toutes les informations nécessaires pour démontrer sa conformité aux politiques et procédures de protectiondes données mises en œuvredans lecadredes Services. Le Client est informé que Xxxxxxxx effectue régulièrement des audits internes conformes aux normes reconnues par l'industrie telles que ISO 27001 ou toute autrecertification desécurité en vigueurà la seulediscrétion de Symantec.
Sur demande écrite (pas plus d'une fois paran), Symantec fournira au Client les informations del'audit leplus récent effectué par Symantec en relation avec les Services. Si un audit effectué par Xxxxxxxx identifie des problèmes desécuritéconsidérés commeprésentant un risqueélevéselon les normes del'industrie, Symantec informera le Client des actions correctives qu’ellemet en œuvrepour remédierà ces problèmes et confirmera au Client en temps voululeretour à un état deconformité approprié. Si, après avoir examinéles informations susmentionnées fournies par Symantec, le Client a des raisons sérieuses et justifiées de croire que des problèmes de sécurité matériels existent dans le cadre des Services, le Client peut, à ses seuls frais, vérifier la conformité de Symantec à ses obligations deprotection des données commespécifiédans leprésent Avenant en :(i) soumettant un questionnaire d'évaluation dela sécuritéà Symantec ; et (ii) si les réponses de Symantec au questionnaire ne résolvent pas les préoccupations du Client, le Client peut réaliser un audit en ligne ou (si cela est jugé nécessaire) sur site sous la forme de réunions avec des experts en sécurité informatique de Symantec, moyennant un préavis écrit d’un minimum de trente (30) jours ouvrables. Sous réserve de ce qui précède, les deux parties conviennent quetoutevérification desuivi sera limitéeà une fois paran et effectuée avec un minimum de perturbation des opérations commerciales normales de Symantec et sous réserve de l'accord de Symantec concernant la portée et les délais. Le Client peut effectuer la vérificationdécrite ci-dessus lui-même ou par le biais d’un auditeur tiers dont il a été mutuellement convenu, à condition que le Client ou son auditeur autorisé conclue un accord de non-divulgation mutuellement convenu (« NDA »). Le Client sera responsable de toutes les mesures prises par son auditeur autorisé. Toutes les informations divulguées par Symantec en vertu de la présente Section 8 seront considérées comme des Informations confidentielles de
Symantec et le Client nedoit pas divulguerunrapport d'audit à un tiers, sauf si la loi, uneordonnance du tribunal ou un ordreadministratif d’une agencegouvernementale l'exige.
9. Notification de Violation de Données à caractère personnel. Dans l'éventualité où Xxxxxxxx prend connaissance d'une violationde Données à caractèrepersonnel entraînant un accès illégal ou non autorisé, la perte, la divulgation ou la modification des Données à caractèrepersonnel traitées par Symantec dans le cadre de la fourniture des services, qui est susceptible de porter atteinte aux droits et libertés fondamentaux des Personnes concernées, Symantec informera le Client sans retardinjustifié après avoir pris connaissancedecette violation des Données à caractère personnel et coopérera avec le Client et prendra toutes les mesures commerciales raisonnables convenues avecle Client pourcoopérer dans lecadredel’enquête, del'atténuation et de la remédiation detelles Violations de Données à caractèrepersonnel. Symantec fournira tout lesoutien et la coopération raisonnablement nécessaires pour permettre au Client de se conformer à ses obligations légales en cas de Violation de Données à caractèrepersonnel ausens des articles 33 et 34 du RGPD, ou lecas échéant des dispositions de la loi anglaise sur la protection des données de 2018 applicables au Royaume-Uni après le Brexit.
10. Sous-traitance ultérieure. Le Client accepteque Xxxxxxxx puisse engagersoit des sociétés affiliées à Symantec, soit des fournisseurs tiers en tant que Sous-traitants ultérieurs en vertu del’Accord et du présent Avenant (les
« Sous-traitants ultérieurs ») et fournit par les présentes à Symantec une autorisation écrite générale pour l'engagement deces Sous-traitants ultérieurs pour la fourniture des Services. Symantec limitera les activités de Traitement effectuées par les Sous-traitants ultérieurs à ce qui est strictement nécessaire pour fournir les Services au Client conformément à l’Accord et au présent Avenant. Symantec imposera des obligations contractuelles appropriées par écrit aux Sous-traitants ultérieurs qui ne seront pas moins protectrices que le présent Avenant et Symantec restera responsabledu respect parles Sous-traitants ultérieurs des obligations au titredu présent Avenant.
Symantec met à la disposition du Client unelistedetous les Sous-traitants ultérieurs utilisés par Symantec pour la fourniture des Services à l’adresse xxx.xxxxxxxx.xxx/xxxxxxx. Symantec peut modifier la liste des Sous- traitants ultérieurs en ajoutant ou en remplaçant des Sous-traitants ultérieurs à tout moment et toute modification importante de la liste des Sous-traitants ultérieurs sera publiée à l'emplacement pertinent à l’adresse xxx.xxxxxxxx.xxx/xxxxxxx moyennant un préavis de trente (30) jours ouvrables avant que les modifications ne prennent effet. Le Client aura le droit de s'opposer à un nouveau Sous-traitant ultérieur en notifiant par écrit à Symantec les raisons de son opposition dans le délai de trente (30) jours mentionné ci- dessus et, dans cecas, le Client aura ledroit demettre fin aux Services applicables.
11. Transferts de Données à caractère personnel à des Sous-traitants ultérieurs. Le Client reconnaît et accepte que Xxxxxxxx puisse traiter des Données à caractère personnel dans le cadre de la facilitation ou de la fourniture des Services soit dans l'EEE et/ou dans des pays qui peuvent avoirdifférentes lois surla protection des données (le ou les « Pays tiers »). Dans l'éventualité où Symantec a l'intention de transférer des Données à caractère personnel à des Sous-traitants ultérieurs établis dans un Pays tiers et si la Législation applicable le requiert, Symantec conclura au nom du Client et en sa qualitéd'exportateurdedonnées, les Clauses contractuelles types fournies à l’Annexe 1 avec le ou les Sous-traitants ultérieurs en tant qu'importateurs de données, sauf si le transfert de Données à caractère personnel se fait par un autre moyen autorisé par la Législation applicable. Pour éviter toute ambiguïté, en cas de Brexit sans accord : (a) le Royaume-Uni sera considéré comme un Pays tiers au sens du RGPD aux fins de la présente section 11 ; et (b) tous les pays autres que le Royaume-Uni et les États membres de l'UE seront considérés comme des Pays tiers au sens de la loi anglaise sur la protection des données de 2018.
12. Retour ou suppression de Données à caractère personnel. Dans la mesure où la suppression des Données à caractèrepersonnel n'est pas spécifiéedans l’Accord, Symantec, à la réceptiondela demande écritedu Client, supprimera ou retournera, selon la solution la plus simple à la seule discrétion de Symantec, les Données à caractèrepersonnel dans un délai raisonnable à confirmer par Xxxxxxxx.
13. Intégralité de l’Accord ; Conflit. Sauf dans la mesure où le présent Avenant le modifie, l'Accord restera pleinement en vigueur. Si un conflit survient entre l'Accord et le présent Avenant, les conditions du présent Avenant prévaudront.
14. Exemplaires et télécopie ou envoi par courrier électronique. Le présent Avenant peut être signé en deux exemplaires ouplus, dont chacun, lorsqu'ilest ainsi signé, sera considérécommeun original et ils constitueront collectivement un seul et même instrument. Les signatures peuvent être échangées par télécopie ou courrier électronique, chacune d'entreelles ayant valeurd'original.
15. Signataire autorisé. Les signataires des présentes déclarent être dûment autorisés à signer l'Avenant pour le compte de leurs sociétés respectives.
Annexe(s) : Annexe 1 : Clauses contractuelles types
Annexe 2 : Description des mesures techniques et organisationnelles
Xx et approuvé à compter de la date de signature ci-dessous :
Signature du Client
Nom du Client : Adresse : |
Signature : |
Nom en toutes lettres et fonction : |
Date de signature : |
Signature de Symantec
Symantec Limited Xxxxxxxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxxxx, Xxxxxx 00, Xxxxxxx |
Signature : |
Nom en toutes lettres et fonction : Xxxx XxXxxxxxx - Customer Service Specialist |
Date de signature : 29-July-2019 |
ANNEXE 1
[Xxxxxx xxxxxx à titre d’information comme indiqué à la section 11. Ne pas compléter.]
Décision de la Commission C(2010)593
relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous- traitants établis dans des pays tiers
Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveauadéquat de protection des données
Nom de l’organisationexportant les données:.........................................................................................................
Adresse:......................................................................................................................................................................
Téléphone.:................................................ ; Fax:...........................................; Courrier électronique:...................
Autres informations nécessaires pour identifier l’organisation:
……………………………………………………………
(ci-après dénommée l’«exportateur de données»)
d’une part, et
Nom de l’organisation important les données:...........................................................
Adresse:........................................................................................................................
Téléphone.:................................................ ; Fax:...........................................; Courrier électronique:...................
Other information needed to identifythe organisation:
…………………………………………………………………
(ci-après dénommée l’«importateur de données»)
d’autre part, ci-après dénommés individuellement une «partie» et collectivement les «parties»
SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées «les clauses») afin d’offrir des
garanties adéquates concernant la protectionde la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées à l’appendice 1.
Clause première
Définitions
Au sens des clauses:
(a) «données à caractère personnel», «catégories particulières de données», «traiter/traitement»,
«responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1);
(b) l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel;
(c) l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE;
(d) le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit;
(e) le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à unresponsable dutraitement dans l’État membre où l’exportateur de données est établi;
(f) les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.
Clause 2
Détails du transfert
Les détails dutransfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel,
sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses.
Clause 3
Clause du tiers bénéficiaire
1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparuou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.
3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, ausuccesseur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
4. Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.
Clause 4
Obligations de l’exportateur de données
L’exportateur de données accepte et garantit ce qui suit:
(a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État;
(b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses;
(c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat;
(d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égardau niveau technologique et au coût de mise en œuvre;
(e) il veillera aurespect des mesures de sécurité;
(f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ousera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiersn’offrant pas unniveau de protectionadéquat ausens de la directive 95/46/CE;
(g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à laclause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension;
(h) il mettra à la dispositiondes personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations;
(i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et
(j) il veillera au respect de la clause 4, points a) à i).
Clause 5
Obligations de l’importateur de données
L’importateur de données accepte et garantit ce qui suit:
(a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de sonincapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
(b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retardaprès en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
(c) il a mis en œuvre les mesures techniques et d’organisationliées à la sécurité spécifiées dans l’appendice
2 avant de traiter les données à caractère personnel transférées;
(d) il communiquera sans retard à l’exportateur de données:
(i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière;
(ii) tout accès fortuit ou non autorisé; et
(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à
moins qu’il n’ait été autorisé à le faire;
(e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées;
(f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle;
(g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exceptionde l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;
(h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier;
(i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11;
(j) il enverra dans les meilleurs délais une copie de tout accordde sous-traitance ultérieure conclupar lui en
vertu des présentes clauses à l’exportateur de données.
Clause 6
Responsabilité
1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation dupréjudice subi.
2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données oupar son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ouà la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à sonencontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.
L’importateur de données ne peut invoquer un manquement par un sous -traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.
3. Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ouà la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité dusous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
Clause 7
Médiation et juridiction
1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparationdu préjudice subi, il acceptera la décision de la personne concernée:
(a) de soumettre le litige à la médiationd’une personne indépendante ou, le cas échéant, de l’autorité
de contrôle;
(b) de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.
2. Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procéduralou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.
Clause 8
Coopération avec les autorités de contrôle
1. L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de
contrôle si celle-ci l’exige ou si ce dépôt est prévupar le droit applicable à la protection des données.
2. Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément audroit applicable à la protection des données.
3. L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous -traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b).
Clause 9
Droit applicable
Les clauses sont régies par le droit de l’État membre oùl’exportateur de données est établi.
Clause 10
Modification du contrat
Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à
caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.
Clause 11
Sous-traitance ultérieure
1. L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous -traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accordécrit concluavec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses (3). En cas de
manquement, par le sous-traitant ultérieur, aux obligations en matière de protectiondes données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.
2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile dusous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
3. Les dispositions relatives aux aspects de la sous-traitance ultérieure liésà la protection des données ducontrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi.
4. L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.
Clause 12
Obligation après la résiliation des services de traitement des données à caractère personnel
1. Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législationimposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.
2. L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.
Au nom de l’exportateur de données:
Nom (écrit en toutes lettres):
Fonction:
Adresse:
Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):
Signature……………………………………….
(sceau de l’organisation)
Au nom de l’importateurde données:
Nom (écrit en toutes lettres):
Fonction:
Adresse:
Autres informations nécessaires pour rendre le contrat contraignant (le cas échéant):
Signature……………………………………….
(sceau de l’organisation)
Les États membres peuvent compléter oupréciser, selonleurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans le présent appendice.
Exportateur de données
L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):
Tel que spécifié dans l’Avenant.
Importateur de données
L’importateur de données est (veuillezpréciser brièvement vos activités qui présentent un intérêt pour le transfert): Tel que spécifié dans l’Avenant.
Personnes concernées
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser):
Tel que spécifié dans l’Avenant.
Catégories de données
Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser):
Tel que spécifié dans l’Avenant.
Catégories particulières de données (le cas échéant)
Les données à caractère personnel transférées concernent les catégories particulières suivantes de données (veuillez préciser):
Tel que spécifié dans l’Avenant.
Processing operations
The personaldata transferred will be subject to the following basic processing activities (please specify): Prestationdes Services.
Description des mesures techniques et d’organisation liées à la sécurité mises en œuvre par l’importateur de
données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation jointe):
Comme spécifié à l’Annexe 2 de l’Avenant.
Mesures techniqueset d’organisation
Symantec a pris et maintiendra les mesures de sécurité administratives, techniques, physiques et procédurales appropriées, conformes aux pratiques internationales d'information, pour la protection de la sécurité, de la confidentialité et del'intégritédes données à caractèrepersonnel décrites surleportail Customer Trust de Symantec xxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxx/xxxxxxxx-xxxxx-xxxxx, ou autrement rendu raisonnablement disponible par Symantec.
* * *