ADDENDA AU RGPD

ADDENDA AU RGPD

Le présent addenda au Règlement général sur la protection des données (l'« addenda au RGPD ») est intégré par référence au Contrat de licence de l’utilisateur final (le « CLUF »), disponible ici xxxxx://xxx.xxxxxxxxx.xxx/xxxx.xxx, ainsi qu'à tout accord (défini ci-dessous) et aux commandes de services connexes (définis ci-dessous) conclus entre le client (défini ci-dessous) et l'entité Fieldwire qui a signé l'accord.

Le présent addenda au RGPD est conclu à la dernière des dates figurant sous les signatures des parties ci-dessous.

Le présent addenda au RGPD complète l'accord et énonce les conditions qui s'appliquent lorsque des données personnelles (définies ci-dessous) sont traitées (définies ci-dessous) par Fieldwire en vertu de l'accord en tant que responsable du traitement des données. L'objectif de l'addenda au RGPD est de garantir que ce traitement est effectué conformément aux lois applicables, y compris la législation de l'UE sur la protection des données (définie ci-dessous), et dans le respect des droits et libertés des personnes dont les données personnelles sont traitées.

En cas de conflit entre les termes du présent addenda au RGPD et d'autres sections relatives au traitement des données personnelles dans l'accord, l'addenda au RGPD prévaudra.

COMMENT EXÉCUTER CET ADDENDA AU RGPD

Lorsque Fieldwire reçoit l'addenda au RGPD complété et signé comme indiqué ci-dessous, l'addenda au RGPD deviendra un addenda juridiquement contraignant à l'accord. Pour que cet addenda au RGPD fasse partie de l'accord, le client doit :

A. Compléter les informations dans le bloc de signature Addendum GDPR dans l'ANNEXE I et retournez à xxxxxxx@xxxxxxxxx.xxx.

B. Si les signatures électroniques sont acceptées dans la juridiction du client et que le client choisit d'exécuter l'addenda au RGPD par le biais d'un mécanisme de signature électronique (par exemple DocuSign), suivez les invites pour fournir les informations requises et la signature électronique comme indiqué ci-dessus. En sélectionnant « Signer » à la fin, l'addenda au RGPD sera exécuté et soumis. Il est également possible d'imprimer l'addenda au RGPD, de le remplir et de le signer comme indiqué ci-dessus, puis de le renvoyer à Fieldwire par e-mail à l'adresse xxxxxxx@xxxxxxxxx.xxx.

COMMENT S'APPLIQUE L'ADDENDA AU RGPD

X. Xx l'entité client qui signe le présent addenda au RGPD est partie au contrat, l'entité de Fieldwire qui est partie au contrat est partie au présent addenda au RGPD.

B. Si l'entité client qui signe le présent addenda au RGPD a exécuté une ou plusieurs commandes dans le cadre de l'accord mais n'est pas partie à l'accord, le présent addenda au RGPD sera incorporé à cette ou ces commandes et l'entité Fieldwire qui est partie à cette ou ces commandes est partie au présent addenda au RGPD.

C. Si l'entité client qui signe le présent addenda au RGPD autorise légalement un affilié (défini ci-dessous) à utiliser les services, cet affilié client est partie au présent addenda au RGPD.

Le présent addenda au RGPD ne sera pas valide et juridiquement contraignant si l'entité client signataire n'est pas partie à l'accord ou aux commandes, n'est pas un client affilié légalement autorisé à utiliser les services, ou est un client indirect par le biais d'un revendeur autorisé. Un client indirect doit contacter le revendeur autorisé au sujet de son contrat avec ce revendeur.

CONDITIONS DE TRAITEMENT DES DONNÉES

En fournissant le service au client conformément au contrat, Fieldwire peut traiter des données personnelles pour le compte du client. Fieldwire se conformera aux dispositions du présent addenda au RGPD en ce qui concerne son traitement de toute donnée personnelle.

Tout traitement des données du client (tel que défini ci-dessous) effectué par Fieldwire en tant que responsable du traitement des données est régi par la politique de confidentialité de Fieldwire.

Les termes en majuscules utilisés mais non définis dans le présent addenda au RGPD ont la même signification que celle qui leur est donnée dans l'accord.

1. Définitions

1.1 Aux fins du présent addenda au RGPD :

(a) « Affilié(s) » a la même signification que celle qui lui est attribuée dans l'accord et, s'ils ne sont pas définis dans l'accord, les termes désignent toute entité juridique contrôlant directement ou indirectement, contrôlée par ou sous contrôle commun avec une partie, où le contrôle signifie la propriété d'une part majoritaire des actions, du capital ou des participations avec droit de vote de cette entité.

(b) « Accord » désigne les conditions générales de service ou le contrat d'abonnement conclu entre Fieldwire et le client.

(c) « Responsable du traitement » désigne l'entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données personnelles.

(d) « Client » désigne la partie autre que Fieldwire à la fois à l'accord et au présent addenda au RGPD qui a accès aux services.

(e) « Données du client » désigne toute donnée, information ou matériel provenant du client que celui-ci soumet à Fieldwire, recueille par son utilisation des services ou fournit à Fieldwire dans le cadre de l'utilisation des services, y compris toute donnée personnelle appartenant aux employés, clients, sous-traitants ou affiliés du client.

(f) « Personne concernée » désigne la personne physique à laquelle se rapportent les données personnelles.

(g) « EEE » désigne l'Espace économique européen, qui constitue les États membres de l'Union européenne et la Norvège.

(h) « Législation de l'UE sur la protection des données » désigne le Règlement européen sur la protection des données 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« Règlement général sur la protection des données » ou « RGPD »), tel que modifié, remplacé ou annulé de temps à autre, et (iii) toute loi et réglementation applicable en matière de protection des données des États membres de l'EEE, de la Suisse et du Royaume-Uni.

(i) « Fieldwire » désigne l'entité appartenant à Fieldwire qui est partie à la fois à l'accord et au présent addenda au RGPD, qui peut être FieldWireLabs, Inc, une société constituée dans l'État du Delaware, ou une société affiliée de Fieldwire, y compris, le cas échéant, Fieldwire France, une société immatriculée en France.

(j) « Données personnelles » désigne toute donnée client relative à une personne physique identifiée ou identifiable. Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

(k) « Responsable du traitement » désigne une entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

(l) « Traitement » signifie toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction, l'effacement ou la destruction.

(m) « Services » désigne le service de coordination de chantier basé sur le cloud de Fieldwire et tous les autres services connexes énoncés dans l'accord.

(n) « Autorité de contrôle » désigne une autorité publique indépendante établie par un État membre de l'UE conformément à la législation européenne sur la protection des données.

2. Applicabilité de l'addenda au RGPD

2.1 Applicabilité. Le présent addenda au RGPD s'applique uniquement dans la mesure où (i) le cllient est établi dans l'EEE, en Suisse ou au Royaume-Uni et (ii) dans la mesure où Fieldwire traite les données personnelles des personnes concernées situées dans l'EEE ou en Suisse pour le compte du client ou d'une société affiliée du client conformément à l'accord.

3. Détails du traitement

3.1 Types de données personnelles traitées. Les catégories de données personnelles sont déterminées par le client à sa seule discrétion et peuvent inclure, sans s'y limiter, le nom et le prénom, l'employeur, le rôle dans l'entreprise, le titre professionnel, les coordonnées (par exemple, l'adresse e-mail, le numéro de téléphone, l'adresse physique), le réseau d'affaires, l'expérience professionnelle, les intérêts commerciaux, les données de localisation et les données d'identification de l'appareil.

3.2 Catégories spéciales de données personnelles. Les catégories spéciales de données personnelles, le cas échéant, sont déterminées par le client à sa seule discrétion et peuvent inclure, sans s'y limiter, des informations révélant l'origine raciale/ethnique, les convictions politiques, religieuses ou philosophiques, l'appartenance syndicale ou les données de santé. Le client s'engage à ne pas partager avec Fieldwire les catégories spéciales de données personnelles.

3.3 Catégories de personnes concernées. Les catégories de personnes concernées dont les données personnelles peuvent être traitées dans le cadre du service sont déterminées et contrôlées par le client à sa seule discrétion et peuvent inclure, sans s'y limiter, les clients, les employés, les sous-traitants et les sociétés affiliées (y compris les employés et les sous-traitants des sociétés affiliées) du client.

3.4 Nature des opérations de traitement. Fieldwire traitera les données personnelles nécessaires à l'exécution du service conformément à l'accord. Le traitement dépendra de l'étendue du service souscrit par le client. Le traitement des données personnelles nécessaire à Fieldwire pour fournir le service peut comprendre les opérations suivantes : collecte, enregistrement, organisation, stockage, utilisation, modification, divulgation, transmission, combinaison, récupération, consultation, archivage ou destruction.

3.5 Durée. Le traitement sera effectué par Fieldwire dans les conditions prévues par le présent document tant que l'accord est en vigueur.

3.6 Dossiers de traitement. Lorsque la législation européenne sur la protection des données l'exige, Fieldwire s'engage à tenir un registre des traitements effectués dans le cadre de l'exécution de l'accord et à le mettre à la disposition du client ou de l'autorité de contrôle sur demande.

4. Rôles et responsabilités

4.1 Rôles des parties. Fieldwire traite les données du client pour le compte du client et des clients du client en tant que responsable du traitement ; et le client ou les clients du client sont les responsables du traitement de ces données. Afin d'éviter tout doute, le client reconnaît que Fieldwire peut, en tant que responsable du traitement, traiter les données personnelles relatives au fonctionnement, au support ou à l'utilisation du service à des fins commerciales propres, telles que la facturation, la gestion des comptes, l'analyse des données, l'analyse comparative, l'assistance technique et le développement de produits. Tout traitement des données du client effectué par Fieldwire en tant que responsable du traitement est régi par la politique de confidentialité.

4.2 Limitation de l'objet. Fieldwire traitera les données personnelles aux fins énoncées dans l'accord et uniquement conformément aux instructions légales et documentées du client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union européenne ou d'un État membre auquel le processeur est soumis l'exige ; dans ce cas, Fieldwire informera le client de cette exigence légale avant le traitement, à moins que ce droit n'interdise une telle information pour des raisons importantes d'intérêt public (la « finalité autorisée »), sauf si la loi applicable en dispose autrement. L'accord et le présent addenda au RGPD définissent les instructions complètes du client à Fieldwire en ce qui concerne le traitement des données personnelles et tout traitement requis en dehors de la portée de la finalité autorisée (y compris les droits et obligations énoncés dans l'accord) nécessitera un accord écrit préalable des parties. Fieldwire s'engage à informer le client si, à son avis, une instruction enfreint la législation de l'UE sur la protection des données.

4.3 Formation. Fieldwire veille à ce que ses employés, agents et sous-traitants concernés reçoivent une formation appropriée concernant leurs responsabilités et obligations en matière de traitement, de protection et de confidentialité des données personnelles.

4.4. Conformité. Fieldwire, en tant que responsable du traitement, s'est conformé et continuera de se conformer à l'ensemble de la législation européenne sur la protection des données.

Le client, en tant que responsable du traitement, est tenu de s'assurer que, en ce qui concerne les données du client et le service :

(a) il s'est conformé et continuera de se conformer à toute la législation de l'UE en matière de protection des données ; et

(b) il a, et continuera d'avoir, le droit de transférer les données personnelles à Fieldwire, ou de lui donner accès à celles-ci, en vue de leur traitement conformément aux termes de l'accord et du présent addenda au RGPD.

Lorsque le client agit en tant que sous-traitant de ses clients, il garantit à Fieldwire que ses instructions, y compris la désignation de Fieldwire en tant que sous-traitant ou sous-processeur, ont été autorisées par le responsable du traitement concerné.

5. Sécurité

5.1 Sécurité. Fieldwire mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées en tenant compte des coûts de mise en œuvre, et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes concernées. Ces mesures seront conçues pour garantir un niveau de sécurité adapté au risque afin de protéger les données personnelles contre la destruction, la perte, l'altération, la divulgation, l'accès ou l'utilisation non autorisés (chacun étant un « incident de sécurité ») de manière accidentelle ou illégale et conformément aux normes de sécurité de Fieldwire.

5.2 Confidentialité du traitement. Fieldwire s'assure que toute personne qu'elle autorise à traiter les données personnelles (y compris son personnel, ses agents, ses sous-traitants et ses soustraitants) est soumise à un devoir de confidentialité (qu'il s'agisse d'un devoir contractuel ou légal) et à des conditions de protection des données au moins aussi restrictives que celles énoncées dans le présent addenda au RGPD, qui survivront à la fin de leur emploi ou de leur relation contractuelle.

5.3 Incidents de sécurité. Dès qu'elle aura connaissance d'un incident de sécurité, Fieldwire prendra des mesures pour identifier et remédier immédiatement à la cause de cet incident de sécurité. Fieldwire notifiera le client sans délai excessif, cette notification comprenant au moins une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données), les coordonnées d'un point de contact où de plus amples informations concernant l'Incident de sécurité peuvent être obtenues, ainsi que les conséquences probables et les mesures prises ou proposées pour remédier à l'incident de sécurité, y compris pour atténuer ses éventuels effets négatifs.

Dans la mesure où ces informations ne peuvent être fournies dans le cadre de la notification initiale, d'autres informations seront fournies par la suite, dès qu'elles seront disponibles, sans retard excessif.

Fieldwire fera également des efforts raisonnables pour aider le client à remplir toute obligation de déclaration de violation de données en vertu de la législation européenne sur la protection des données, y compris la notification d'un tel incident de sécurité à l'autorité de surveillance compétente et aux personnes

concernées. Fieldwire prendra des mesures pour identifier et remédier immédiatement à la cause d'un tel incident de sécurité.

6. Transferts de données internationaux

Fieldwire peut transférer, stocker et traiter les données du client aux États-Unis ou dans tout autre pays dans lequel Fieldwire ou ses sous-traitants opèrent. Le client autorise un tel transfert des données du client afin de fournir le service.

Tout transfert de données du client et de toute donnée personnelle en dehors de l'EEE et de la Suisse pour fournir le service sera régi par les Clauses Contractuelles Types n°2021/914/UE de la Commission publiées le 4 juin 2021 (les « CCT ») en annexe 1.

7. Sous-traitement

7.1 Sous-traitants. Le client accepte que Fieldwire fasse appel à des sociétés affiliées de Fieldwire et à des tiers sous-traitants (collectivement, les « sous- traitants secondaires ») pour traiter les données personnelles pour le compte de Fieldwire aux fins autorisées, à condition que Fieldwire (i) tienne à jour une liste de ses sous-traitants secondaires (sur la base de la liste convenue ci-dessous),

(ii) impose à tous les sous-traitants secondaires qu'elle désigne des conditions contractuelles de protection des données au moins aussi restrictives que celles énoncées dans le présent addenda au RGPD, et mette ces conditions à la disposition du client sur demande, et (iii) demeure responsable de toute violation de l'addenda au RGPD causée par un sous-traitant secondaire.

La liste actuelle des sous-traitants de Fieldwire dans le cadre du présent addenda au RGPD est la suivante : Amazon Web Services, Inc, Sendgrid, Heroku, Google, Inc, Papertrail, New Relic, Fabric, Mixpanel, Rollbar,Filestack, Auth0, Box, Dropbox, OneDrive, Kahua, Stripe, Marketo et Salesforce.

7.2 Changements concernant les sous-traitants secondaires. Fieldwire peut, moyennant un préavis d'au moins trente (30) jours au client, ajouter ou modifier la liste des sous-traitants secondaires spécifiée ci-dessus, et fournir au client les informations nécessaires pour lui permettre d'exercer son droit d'opposition. Le client peut s'opposer au remplacement ou à l'ajout de la liste des sous-traitants secondaires dans un délai de quatorze (14) jours calendaires à compter de cette notification pour des motifs raisonnables liés à la protection des données personnelles. Dans ce cas, Fieldwire aura le droit de remédier à l'objection par l'une des options suivantes (à choisir à la seule discrétion de Fieldwire) : (a) annuler son projet de recourir au sous-traitant secondaire en ce qui concerne les données personnelles ou proposer une alternative pour fournir le service sans ce sous-traitant secondaire ; ou (b) prendre les mesures correctives demandées par le client dans son objection (qui lèvent l'objection du client) et continuer à recourir au sous-traitant secondaire en ce qui concerne les données personnelles ; ou (c) cesser de fournir ou le client peut accepter de ne pas utiliser (temporairement ou définitivement) l'aspect particulier du service compte tenu de la portée réduite du service qui impliquerait l'utilisation d'un tel sous-traitant secondaire en ce qui concerne les données personnelles, sous réserve d'un accord mutuel des parties pour ajuster la rémunération du service en conséquence. Les objections à l'égard d'un sous-traitant secondaire doivent être soumises à Fieldwire par e-mail à l'adresse xxxxxxx@xxxxxxxxx.xxx. Si aucune des options ci-dessus n'est raisonnablement disponible et que l'objection n'a pas été résolue à la satisfaction mutuelle des parties dans les trente (30) jours suivant la réception par Fieldwire

de l'objection du client, l'une ou l'autre des parties peut résilier l'accord et le client aura droit à un remboursement au prorata des frais prépayés pour le service non exécuté à la date de la résiliation.

7.3 Remplacement d'urgence. Fieldwire peut remplacer un sous-traitant secondaire si le besoin de ce changement est urgent et nécessaire à la fourniture du service et si la raison de ce changement est indépendante de la volonté de Fieldwire. Dans ce cas, Fieldwire informera le client du remplacement dès qu'il sera raisonnablement possible de le faire, et le client conservera le droit de s'opposer au remplacement du sous-traitant secondaire conformément à l'article 6.2 ci- dessus.

7.4 Responsabilité : Fieldwire reste responsable des sous-traitants secondaires et de leurs actes et omissions dans la même mesure que Fieldwire serait responsable de ces actes ou omissions en vertu de l'accord, dans toute la mesure autorisée par la législation européenne sur la protection des données.

8. Coopération

8.1 Précision. Fieldwire informera le client sans délai dès qu'elle se rendra compte que les données personnelles qu'elle traite sont inexactes ou obsolètes.

8.2 Droits de la personne concernée. Fieldwire fournira une assistance raisonnable, y compris par des mesures techniques et organisationnelles appropriées dans la mesure du possible, pour permettre au client de répondre à toute demande, communication ou requête d'une personne concernée visant à exercer l'un de ses droits en vertu de la législation européenne sur la protection des données, y compris les droits d'accès, de correction, de restriction, d'objection, d'effacement ou de portabilité des données, selon le cas. Dans le cas où une telle demande, communication ou requête est faite directement à Fieldwire, Fieldwire informera rapidement le client en fournissant les détails complets de la demande. Afin d'éviter toute ambiguïté, le client est responsable de la réponse aux demandes d'accès, de correction, de restriction, d'objection, d'effacement ou de portabilité des données concernant les données personnelles de la personne concernée.

8.3 Respect de la législation européenne sur la protection des données : Fieldwire aidera raisonnablement le client à se conformer aux obligations découlant de la législation européenne sur la protection des données, à savoir : mettre en œuvre des mesures de sécurité appropriées, notifier les violations de données à caractère personnel, réaliser des analyses d'impact sur la protection des données et procéder à des consultations préalables avec les autorités de contrôle, en tenant compte de la nature du traitement et des informations dont dispose Fieldwire.

8.4 Autorité de contrôle. Fieldwire informera le client sans délai excessif si une autorité de contrôle ou une autorité chargée de l'application de la loi effectue une enquête ou une demande de divulgation concernant des données personnelles.

8.5 Études d'impact sur la protection des données et consultation préalable. Fieldwire fournira au client, dans la mesure où la législation européenne sur la protection des données l'exige, une assistance raisonnable pour les évaluations d'impact sur la protection des données (aux frais du client) ou les consultations préalables avec l'autorité de contrôle que le client est tenu d'effectuer en vertu de la législation européenne sur la protection des données.

9. Rapports et audits de sécurité

Toute fourniture de rapports d'attestation de sécurité ou d'audit (tels que ISO 27001, SOC 2, Type II ou équivalent) se fera conformément aux droits du client en vertu de l'accord. Si l'accord ne comprend pas de disposition concernant les rapports d'attestation de sécurité ou les droits d'audit, Fieldwire fournira une copie de son rapport de sécurité le plus récent sur demande écrite du client et sous réserve des dispositions de confidentialité de l'accord. Si l'accord ne prévoit pas de droits d'audit, Fieldwire permettra au client (ou à l'auditeur tiers indépendant du client) d'effectuer un audit (y compris sur site) des procédures relatives à la protection des données personnelles et du traitement couvert par l'accord, sous réserve des dispositions de confidentialité de l'accord. Le client convient que l'auditeur ne peut être un concurrent de Fieldwire, et les parties discuteront et conviendront à l'avance de la date de début, de la portée et de la durée raisonnables de l'audit, ainsi que des contrôles de sécurité et de confidentialité applicables à celui-ci. Fieldwire se réserve le droit de facturer des frais (basés sur les coûts raisonnables de Fieldwire) pour un tel audit. Fieldwire fournira de plus amples détails sur les frais applicables et la base de leur calcul au client avant l'audit.

10. Suppression ou restitution des données des clients

À la résiliation ou à l'expiration de l'accord, Fieldwire doit, au choix du client, supprimer, et certifier l'avoir fait, ou mettre à la disposition du client pour récupération toutes les données personnelles pertinentes (y compris les copies) en possession de Fieldwire, à moins que Fieldwire ne soit tenu par toute loi applicable de conserver tout ou partie des données personnelles. Dans ce cas, Fieldwire étendra les protections de l'accord et de cet addenda au RGPD à ces données personnelles et limitera tout traitement ultérieur de ces données personnelles aux seules fins limitées qui exigent la conservation, tant que Fieldwire conserve les données personnelles.

11. Coordonnées

Si vous avez des questions ou des commentaires sur l'addenda au RGPD, sur nos pratiques d'utilisation et de divulgation, sur vos choix en matière de consentement, ou si vous souhaitez exercer vos droits, veuillez nous contacter par e-mail à l'adresse e-mail xxxxxxx@xxxxxxxxx.xxx ou nous écrire à l'adresse :

FieldWireLabs, Inc.

00 0xx Xxxxxx 0xx Xxxxx, Xxx Xxxxxxxxx, XX 00000, Xxxxx-Xxxx xxxxxxx@xxxxxxxxx.xxx

Vous pouvez également contacter Fieldwire France, qui est le représentant de Fieldwire pour la protection des données dans l'Espace économique européen, et ce représentant peut être contacté à l'adresse suivante :

Fieldwire France

00 Xxx x’Xxxxxxxxx

00000 Xxxxx, Xxxxxx xxxxxxx@xxxxxxxxx.xxx

12. Questions diverses

12.1 À l'exception des modifications apportées par le présent addenda au RGPD, l'accord restera pleinement en vigueur.

12.2 En cas de conflit entre l'accord et le présent addenda au RGPD, les termes du présent addenda au RGPD prévaudront. En ce qui concerne les transferts de données personnelles hors de l'EEE et de la Suisse, s'il existe un conflit entre le présent addenda au RGPD et les clauses contractuelles types de l'annexe 1, les clauses contractuelles types prévaudront.

12.3 Toute plainte déposée en vertu du présent addenda au RGPD sera soumise aux conditions, y compris, mais sans s'y limiter, aux exclusions et aux limitations énoncées dans l'accord.

CLAUSES CONTRACTUELLES TYPES POUR LE TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL VERS DES PAYS TIERS CONFORMÉMENT AU RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL

SECTION I

Clause 1

Objet et champ d'application

(a) (a) Les présentes clauses contractuelles types ont pour objet de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les parties :

(i) la ou les personnes physiques ou morales, l'autorité ou les autorités publiques, l'agence ou les autres organismes (ci-après dénommés « entité(s) ») qui transfèrent les données à caractère personnel, tels qu'énumérés à l'annexe I.A (ci-après dénommés « exportateurs de données »), et

(ii) l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, telle qu'énumérée à l'annexe I.A (ci-après dénommée « importateur de données »)

ont accepté les présentes clauses contractuelles types (ci-après : « clauses »).

(c) Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Clause 2

Xxxxx et invariabilité des clauses

(a) Les présentes clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l'annexe. Cette disposition n'empêche pas les parties d'inclure les clauses contractuelles standard établies dans les présentes clauses dans un contrat plus large ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données ou de l'importateur de données, avec les exceptions suivantes :

(i) Clause 1, Xxxxxx 2, Xxxxxx 3, Xxxxxx 6, Xxxxxx 7 ;

(1) (1) Lorsque l'exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organe de l'Union en tant que responsable du traitement, le recours aux présentes clauses lorsqu'il fait appel à un autre sous-traitant (sous-traitance secondaire) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions de l'Union, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°

45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21. 11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données telles que définies dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l'article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. C'est notamment le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types incluses dans la décision 2021/915.

(i) Clause 8.1(b), 8.9(a), (c), (d) et (e) ;

(ii) Clause 9(a), (c), (d) et (e) ;

(iii) Clause 12(a), (d) et (f) ;

(iv) Clause 13 ;

(v) Clause 15.1(c), (d) et (e) ;

(vi) Clause 16(e) ;

(vii) Clause 18(a) et (b) ;

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.

(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne doivent pas être interprétées de manière à entrer en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Clause 7

Clause d'amarrage

(a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, adhérer aux présentes clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité adhérente devient partie aux présentes clauses et a les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation à l'annexe I.A.

(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période précédant son adhésion.

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes clauses.

8.1 Instructions

(a) L'importateur de données traite les données à caractère personnel uniquement sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de l'objet

L'importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert, telles que définies à l'annexe I. B, sauf si l'exportateur de données lui donne des instructions supplémentaires.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel que complété par les parties. Dans la mesure où cette mesure est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II, ainsi que les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en communiquer une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des suppressions, dans la mesure du possible sans révéler les informations supprimées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Précision

Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou obsolètes, il en informe l'exportateur de données sans délai excessif. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de ce dernier et certifie à l'exportateur de données qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à assurer le respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne les traitera que dans la mesure et pour la durée requises par cette loi locale. Cette disposition ne porte pas atteinte à la clause 14, en particulier à l'obligation faite à l'importateur de données, en xxxxx xx xx xxxxxx 00, xxxxx x), x'xxxxxxxx l'exportateur de données pendant toute la durée de l'accord s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences de la clause 14(a).

8.6 Sécurité du traitement

(a) L'importateur de données et, lors de la transmission, également l'exportateur de données, mettent en œuvre

les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à ces données (ci-après « violation des données à caractère personnel »). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les personnes concernées. Les parties envisagent notamment de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être réalisée de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.

(b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi de l'accord. Il s'assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. L'importateur de données notifie également l'exportateur de données sans délai excessif après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et d'autres informations sont fournies par la suite, à mesure qu'elles sont disponibles, sans retard excessif.

(d) L'importateur de données coopère avec l'exportateur de données et l'assiste pour permettre à ce dernier de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert porte sur des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques ou des données biométriques permettant d'identifier une personne physique de manière unique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après dénommées « données sensibles »), l'importateur de données applique les restrictions spécifiques ou les garanties supplémentaires décrites à l'annexe I, partie B.

8.8 Transferts ultérieurs

L'importateur de données ne divulgue les données personnelles à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (4) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé « transfert ultérieur ») que si le tiers est ou accepte de se conformer aux présentes clauses, dans le cadre du module approprié, ou si :

(i) le transfert ultérieur est effectué vers un pays bénéficiant d'une décision d'adéquation conformément à l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii) le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de l'objectif.

(4) L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE que sont l'Islande, le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l'accord EEE et a été intégrée à son annexe XI. Par conséquent, toute divulgation par l'importateur de données à un tiers situé dans l'EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.

8.9 Documentation et conformité

(a) L'importateur de données traitera rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement prévu par les présentes clauses.

(b) Les parties doivent être en mesure de démontrer le respect des présentes clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

(c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes clauses, à intervalles raisonnables ou en cas d'indications de non-respect. En décidant d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de réaliser l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e) Les parties mettent les informations visées aux paragraphes b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente, sur demande.

Clause 9

Utilisation de sous-traitants secondaires

(a) L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants ultérieurs figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants secondaires au moins trente (30) jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants secondaires. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à ce dernier d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant secondaire pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées. (5) Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations en vertu de la clause 8.8. L'importateur de données veille à ce que le sous- traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu de ces clauses.

(c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie d'un tel accord de sous-traitance secondaire et de toute modification ultérieure à l'exportateur de données. Dans la mesure où cette communication est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut rédiger le texte de l'accord avant d'en partager une copie.

(d) L'importateur de données reste entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant secondaire en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant secondaire à ses obligations au titre dudit accord.

(e) L'importateur de données convient avec le sous-traitant secondaire d'une clause de tiers bénéficiaire en vertu de laquelle, dans le cas où l'importateur de données a disparu de facto, a cessé d'exister en droit ou est devenu insolvable, l'exportateur de données a le droit de résilier l'accord de sous-traitance secondaire et de demander au sous-traitant secondaire d'effacer ou de restituer les données à caractère personnel.

(5) Cette exigence peut être satisfaite par l'adhésion du sous-traitant ultérieur aux présentes clauses dans le cadre du module approprié, conformément à la Clause 7.

Droits des personnes concernées

(a) L'importateur de données notifie rapidement à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.

(b) L'importateur de données aide l'exportateur de données à remplir ses obligations de réponse aux demandes des personnes concernées pour l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance est fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) En s'acquittant de ses obligations au titre des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Clause 11

Correction

(a) L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d'une notification individuelle ou sur son site Web, d'un point de contact autorisé à traiter les réclamations. Il traite rapidement toute plainte reçue d'une personne concernée.

[OPTION : L'importateur de données convient que les personnes concernées peuvent également déposer une plainte auprès d'un organe indépendant de règlement des litiges (6), sans frais pour la personne concernée. Il informe les personnes concernées, de la manière prévue au point a), de l'existence de ce mécanisme de correction et du fait qu'elles ne sont pas tenues de l'utiliser ou de suivre une séquence particulière pour demander réparation.]

(b) En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie fait ses meilleurs efforts pour résoudre le problème à l'amiable en temps utile. Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent à leur résolution.

(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l'importateur de données accepte la décision de la personne concernée de :

(i) déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou de l'autorité de contrôle compétente en vertu de la clause 13 ;

(ii) porter le litige devant les tribunaux compétents au sens de la clause 18.

(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L'importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l'UE ou des États membres.

(f) L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander des recours conformément aux lois applicables.

(6) L'importateur de données peut proposer un règlement indépendant des litiges par le biais d'un organisme d'arbitrage uniquement si celui-ci est situé dans un pays qui a ratifié la Convention de New York sur l'exécution des sentences arbitrales.

Responsabilité

(a) Chaque partie est responsable envers l'autre partie de tout dommage qu'elle cause à l'autre partie par une violation des présentes clauses.

(b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant secondaire cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant secondaire) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses. Cette disposition ne porte pas atteinte à la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, à la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l'importateur de données (ou son sous-traitant secondaire), il a le droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données dans le dommage.

(e) Lorsque plus d'une partie est responsable de tout dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces parties.

(f) Les parties conviennent que si une partie est tenue responsable en vertu du paragraphe (e), elle a le droit de réclamer à l'autre ou aux autres parties la partie de l'indemnisation correspondant à sa responsabilité dans le dommage.

(g) L'importateur de données ne peut invoquer le comportement d'un sous-traitant secondaire pour éviter sa propre responsabilité.

Clause 13

Supervision

(a) L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de surveillance compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Xxxx et pratiques locales affectant le respect des clauses

(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes clauses. Cette déclaration repose sur l'idée que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu'en fournissant la garantie prévue au paragraphe (a), elles ont dûment pris en compte, notamment, les éléments suivants :

(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

(ii) les lois et pratiques du pays tiers de destination – y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent l'accès de ces autorités – pertinentes au vu des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables (7) ;

(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et le traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, dans le cadre de l'évaluation visée au paragraphe (b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses.

(d) Les parties conviennent de documenter l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données accepte de notifier rapidement à l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée de l'accord, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a).

(f) À la suite d'une notification en vertu du paragraphe (e), ou si l'exportateur de données a d'autres raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour garantir la sécurité et la confidentialité) à adopter par l'exportateur de données ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée pour ce transfert ne peut être assurée, ou si l'autorité de contrôle compétente lui enjoint de le faire. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes clauses. Si l'accord implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque l'accord est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

(7) En ce qui concerne l'impact de ces lois et pratiques sur le respect des présentes clauses, différents éléments peuvent être pris en compte dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée de cas antérieurs de demandes de divulgation de la part des autorités publiques, ou l'absence de telles demandes, couvrant une période suffisamment représentative. Il s'agit en particulier de registres internes ou d'autres documents, établis de manière

continue conformément au principe de diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l'importateur de données ne sera pas empêché de se conformer aux présentes clauses, elle doit être étayée par d'autres éléments pertinents et objectifs, et il appartient aux parties d'examiner attentivement si ces éléments ont ensemble un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les parties doivent tenir compte du fait que leur expérience pratique est corroborée et non contredite par des informations fiables, accessibles au public ou par d'autres moyens, sur l'existence ou l'absence de demandes dans le même secteur ou l'application de la loi dans la pratique, telles que la jurisprudence et les rapports d'organes de contrôle indépendants.

Clause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a) L'importateur de données accepte de notifier rapidement (si nécessaire avec l'aide de l'exportateur de données) à l'exportateur de données et, si possible, à la personne concernée, s’il :

(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification doit inclure des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii) a connaissance d'un accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément aux lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l'importateur.

(b) S'il est interdit à l'importateur de données d'informer l'exportateur de données ou la personne concernée en vertu des lois du pays de destination, l'importateur de données accepte de faire ses meilleurs efforts pour obtenir une dérogation à l'interdiction, en vue de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin d'être en mesure de les démontrer sur demande de l'exportateur de données.

(c) Lorsque les lois du pays de destination le permettent, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités requérantes, si les demandes ont été contestées et le résultat de ces contestations, etc.)

(d) L'importateur de données accepte de conserver les informations visées aux points (a) à (c) pendant toute la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) ne portent pas atteinte à l'obligation de l'importateur de données, conformément à la clause 14(e) et à la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces clauses.

15.2 Examen de la légalité et de la minimisation des données

(a) L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer des voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences ne portent pas atteinte aux obligations de l'importateur de données en vertu de la clause 14, point e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre cette documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de

contrôle compétente sur demande.

(c) L'importateur de données accepte de fournir le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV – DISPOSITIONS FINALES

Clause 16

Inobservation des clauses et résiliation

(a) L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes clauses, pour quelque raison que ce soit.

(b) Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition ne porte pas atteinte à la clause 14, point f).

(c) L'exportateur de données a le droit de résilier l'accord, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque :

(i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe (b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans le mois qui suit la suspension ;

(ii) l'importateur de données viole de manière substantielle ou persistante les présentes clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'une juridiction ou d'une autorité de contrôle compétente concernant ses obligations en vertu des présentes clauses.

Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque l'accord implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement.

(d) Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe

(c) doivent être immédiatement restituées à l'exportateur de données ou supprimées dans leur intégralité, au choix de ce dernier. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continuera de veiller au respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et pour la durée requises par cette loi locale.

(e) Chaque partie peut révoquer son accord d'être lié par les présentes clauses lorsque (i) la Commission européenne adopte une décision conformément à l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cette disposition ne porte pas atteinte aux autres obligations qui s'appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi. Si cette loi n'autorise pas les droits des tiers bénéficiaires, elles seront soumises à la loi d'un autre État membre de l'UE qui autorise les droits des tiers bénéficiaires. Les parties conviennent que ce sera le droit français.

Clause 18

Choix du forum et de la juridiction

(a) Tout litige découlant des présentes clauses sera résolu par les tribunaux d'un État membre de l'UE.

(b) Les parties conviennent que ces tribunaux seront les tribunaux français.

(c) Une personne concernée peut également engager des poursuites contre l'exportateur de données ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les parties conviennent de se soumettre à la juridiction de ces tribunaux.

APPENDICE

ANNEXE I

A. LISTE DES PARTIES Exportateur(s) de données :

1. Nom:

Adresse :

Nom, fonction et coordonnées de la personne de contact :

Signature:

Date :

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement

Importateur(s) de données :

1. Nom : FieldwireLabs, Inc.; Fieldwire France Adresse :

FieldwireLabs, Inc. 00 0xx Xxxxxx 0xx Xx,

Xxx Xxxxxxxxx, XX 00000

Fieldwire France

00 Xxx x’Xxxxxxxxx

00000 Xxxxx, Xxxxxx xxxxxxx@xxxxxxxxx.xxx

Nom, fonction et coordonnées de la personne de contact :

Xxxxx Xxxxxxxxx, General Manager xxxxx@xxxxxxxxx.xxx

Signature :

Date :

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données personnelles sont transférées

Les données relatives aux personnes fournies à Fieldwire via les Services, par (ou sous la direction du) Client ou des Utilisateurs finaux.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

Fieldwire traitera continuellement les données personnelles du client pendant la durée de leur contrat jusqu'à la suppression de toutes les données client par Fieldwire conformément à l'amendement relatif au traitement des données.

Nature et Finalité(s) du transfert et du traitement ultérieur des données

Fieldwire traitera les données personnelles du client dans le but de fournir les services au client conformément à l'amendement relatif au traitement des données.

La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période

La durée de l'accord applicable plus la période allant de l'expiration de la durée de l'accord jusqu'à la suppression de toutes les Données client par Fieldwire conformément à l'Avenant relatif au traitement des données.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifiez la ou les autorités de surveillance compétentes conformément à la clause 13

Xxxxxxx, le cas échéant : (a) une « autorité de surveillance » telle que définie dans le RGPD de l'UE ; et/ou (b) le « Commissaire » tel que défini dans le RGPD britannique.

ANNEXE II

LES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

FieldwireLabs, Inc. et Fieldwire France ont mis en place les mesures suivantes pour assurer la sécurité des données. Afin de préserver la sécurité, les mesures sont détaillées dans notre rapport SOC2 et notre rapport XXX/XXX 00000 qui peuvent être consultés via un NDA signé. Xxxxxxxx envoyer les demandes de rapports détaillés à xxxxxxx@xxxxxxxxx.xxx.

Mesures de pseudonymisation et de chiffrement des données à caractère personnel

Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.

Mesures visant à garantir la capacité de rétablir la disponibilité et l'accès aux données personnelles en temps utile en cas d'incident physique ou technique.

Processus permettant de tester, d'évaluer et de mesurer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement.

Mesures d'identification et d'autorisation des utilisateurs Mesures pour la protection des données lors de la transmission Mesures pour la protection des données lors du stockage

Mesures visant à assurer la sécurité physique des lieux où les données personnelles sont traitées Mesures visant à assurer la journalisation des événements

Mesures visant à assurer la configuration du système, y compris la configuration par défaut

Mesures relatives à la gouvernance et à la gestion de l'informatique interne et de la sécurité informatique Mesures pour la certification/assurance des processus et des produits

Mesures visant à assurer la minimisation des données Mesures visant à assurer la qualité des données

Mesures visant à assurer une conservation limitée des données Mesures visant à assurer la responsabilité

Mesures visant à permettre la portabilité et l'effacement des données

ANNEXE III

LISTE DES SOUS-TRAITANTS SECONDAIRES

Le responsable du traitement a autorisé l'utilisation des sous-traitants secondaires suivants, décrits à la section 7.1 de l’addenda au RGPD.

Addenda au RGPD de Fieldwire (Septembre 2021) 1