ADDENDA RELATIF À LA PROTECTION DES DONNÉES
ADDENDA RELATIF À LA PROTECTION DES DONNÉES
Cet ADDENDA RELATIF À LA PROTECTION DES DONNÉES (l'« Addenda ») est par les présentes ajouté pour faire partie intégrante du contrat concernant les produits et/ou services (le « Contrat ») conclu entre (l'« Abonné ») et l'entité Xxxxxxx contractante concernée en vertu des termes du Contrat (« Xxxxxxx »). L'Abonné et Xxxxxxx sont appelés individuellement « une Partie » et collectivement « les Parties ». Les termes commençant par une majuscule, utilisés dans le présent Addenda relatif à la protection des données sans y être définis, revêtiront la signification qui leur est donnée dans le Contrat. En cas de conflit entre les termes du présent Addenda relatif à la protection des données et les termes du Contrat, les termes du présent Addenda relatif à la protection des données prévaudront en ce qui concerne ce conflit. Le Contrat inclut toutes les pièces, calendriers, annexes, énoncés de travaux ou autres documents joints faisant partie intégrante du Contrat ou intégrés dans ce dernier, y compris le présent Addenda.
1. DÉFINITIONS
1.1. « Législation en vigueur » désigne la réglementation (UE) 2016/679 ainsi que les exigences légales applicables en vertu de toute loi nationale d'un État membre de l'UE adoptée conformément à la réglementation (UE) 2016/679, de la loi fédérale suisse sur la protection des données du 19 juin 1992 et de la loi britannique sur la protection des données de 2018, en leur version modifiée ou remplacée.
1.2. « Violation de données » désigne une violation de sécurité entraînant la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisés aux Données personnelles transmises, stockées ou traitées par Xxxxxxx en vertu du Contrat.
1.3. « Contrôleur des données » désigne l'entité qui détermine les objectifs et les moyens de traitement des Données personnelles, seule ou de façon conjointe. Les Parties conviennent que l'Abonné agira en tant que Contrôleur des données pour les Données personnelles traitées en vertu du Contrat.
1.4. « Responsable du traitement des données » désigne l'entité qui est chargée du traitement des Données personnelles pour le compte du Contrôleur des données. Les Parties conviennent que Xxxxxxx agira en tant que Responsable du traitement des données pour les Données personnelles traitées en vertu du Contrat.
1.5. L'acronyme « EEE » désigne l'Union européenne (ses États membres), le Royaume-Uni, l'Islande, la Norvège, le Liechtenstein et la Suisse.
1.6. « Données personnelles » désigne toutes les informations relatives à une personne physique identifiée ou identifiable (directement ou indirectement) qui sont Traitées par Xxxxxxx pour le compte de l'Abonné en vertu du Contrat, le traitement en question étant soumis à la Législation en vigueur.
1.7. Le terme « Traiter » (ainsi que ses variantes, notamment « traité » et « traitement », que ces termes commencent ou non par une majuscule, sauf en cas de contexte ou de signification contraire) désigne toute opération ou tout ensemble d'opérations effectuées sur les Données personnelles, notamment la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, l'extraction, la consultation, l'utilisation, la divulgation, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
2. UTILISATION ET DIVULGATION DES DONNÉES PERSONNELLES
2.1. Périmètre du traitement. L'Annexe 1 identifie (i) l'objet et la durée du traitement effectué dans le cadre du Contrat ; (ii) la nature et l'objectif du traitement ; (iii) le type de Données personnelles et les catégories de personnes concernées ; et (iv) les droits et obligations de l'Abonné (en tant que contrôleur des données). Xxxxxxx et l'Abonné devront se conformer aux conditions générales énoncées dans le Contrat (y compris celles stipulées dans le présent Addenda) en toutes circonstances lors de la collecte, du transfert, de l'accès, du stockage ou du traitement de Données personnelles en vertu du Contrat.
2.2. Limitation de la finalité. L'Abonné devra transférer les Données personnelles nécessaires uniquement à Xxxxxxx, qui les traitera uniquement aux fins stipulées dans le Contrat (notamment pour fournir les services identifiés dans les présentes). Xxxxxxx devra traiter les Données personnelles uniquement conformément aux instructions documentées de l'Abonné, sauf exigences contraires de la Législation en vigueur ; auquel cas le Responsable du traitement des données devra informer le Contrôleur des données de ces exigences légales avant tout Traitement, sauf si la Législation en vigueur interdit cette communication.
2.3. Respect de la Législation en vigueur. Les deux Parties acceptent de se conformer à la Législation en vigueur dans le cadre de l'exécution du présent Addenda.
3. ASSISTANCE EN MATIÈRE DE PROTECTION DES DONNÉES
3.1. Évaluations des effets de la protection des données ; consultation préalable. Xxxxxxx s'engage à coopérer rapidement et à fournir une assistance à l'Abonné pour toute évaluation des effets de la protection des données et/ou consultation préalable pouvant être nécessaire par rapport au traitement effectué dans le cadre du Contrat.
3.2. Notification d'inspection. Xxxxxxx s'engage à informer l'Abonné de tout audit ou toute inspection réalisé(e) par une autorité de supervision concernant le respect de la Législation en vigueur dans la mesure où elle est liée aux services fournis dans le cadre du Contrat. Xxxxxxx devra coopérer avec les Autorités gouvernementales compétentes sur demande de l'Abonné.
4. PROGRAMME DE XXXXXXX EN MATIÈRE DE CONFIDENTIALITÉ ET DE SÉCURITÉ
Pendant toute la durée du Contrat, Xxxxxxx appliquera un programme de confidentialité et de sécurité consigné par écrit et destiné à garantir que le traitement des Données personnelles sera strictement conforme au présent Addenda et à la Législation en vigueur. Xxxxxxx mettra en œuvre les mesures techniques et organisationnelles appropriées pour protéger les Données personnelles et assurer un niveau de sécurité approprié au risque, conformément à la Législation en vigueur. Ces mesures devront inclure des garanties administratives, organisationnelles, techniques et physiques conçues pour protéger la confidentialité, l'intégrité et la disponibilité des Données personnelles, y compris des mesures de sécurité visant à protéger les Données personnelles contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisés, et contre toute autre forme de traitement non autorisée par la loi. Xxxxxxx s'engage à tester et évaluer régulièrement l'efficacité des mesures afin de garantir la sécurité du traitement des Données personnelles. Xxxxxxx devra, au minimum :
1. Adopter des politiques et des normes relatives à la sécurité des informations.
2. Confier la responsabilité de la gestion de la sécurité des informations à des personnes désignées.
3. Prévoir des employés dûment formés dédiés à la sécurité des informations.
4. Vérifier les références ou les antécédents des employés permanents qui auront accès aux Données personnelles, et si nécessaire, à des fins de contrôle de conformité (dans la mesure du possible et dans le respect de la loi dans chaque juridiction).
5. Exiger de tous les employés de Xxxxxxx qu'ils s'engagent à respecter une politique écrite en matière de Sécurité des informations.
6. Mettre en place des procédures visant à empêcher tout accès non autorisé aux Données personnelles par le biais de l'utilisation, le cas échéant, de contrôles d'entrée physiques et logiques, de zones sécurisées pour le traitement et d'outils de prévention de perte de données.
7. Garantir en permanence la conformité aux politiques et aux normes relatives à la protection des données.
Des informations supplémentaires concernant les mesures techniques et organisationnelles mises en place par Xxxxxxx sont disponibles dans le Trust Center de Xxxxxxx, celles-ci font l'objet d'une mise à jour occasionnelle.
5. SUPERVISION DU PERSONNEL
Xxxxxxx devra s'assurer que les membres de son personnel impliqués dans le traitement des Données personnelles ont reçu une formation appropriée concernant leurs responsabilités et se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale de confidentialité appropriée.
6. VIOLATIONS DE DONNÉES
Xxxxxxx s'engage à informer l'Abonné dans les plus brefs délais après avoir pris connaissance d'une violation de données avérée ou raisonnablement suspectée. Dans le cadre de la notification à l'Abonné, Xxxxxxx devra fournir à l'Abonné, dans la mesure du possible, suffisamment d'informations pour lui permettre d'envoyer les notifications nécessaires dans le délai prévu par la Législation en vigueur. Ces informations peuvent inclure, sans toutefois s'y limiter : (i) la nature de la violation des données, les catégories et le nombre approximatif de personnes et de dossiers de Données personnelles concernés ; (ii) les conséquences probables de la violation des données, dans la mesure où il est possible de déterminer des conséquences ; et (iii) toute mesure prise pour gérer la violation des données ou limiter ses répercussions.
7. DROITS DES PERSONNES CONCERNÉES
Si Xxxxxxx reçoit une demande d'une personne concernée désirant accéder à, modifier, transférer, bloquer ou supprimer des Données personnelles, Xxxxxxx s'engage à informer l'Abonné de cette demande dans les plus brefs délais et à suivre les instructions raisonnables de l'Abonné, à condition qu'elles respectent la Législation en vigueur. Xxxxxxx devra apporter son assistance à l'Abonné en utilisant les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour répondre à une telle demande tout en respectant les droits de la personne concernée en vertu de la Législation en vigueur.
8. TRANSFERTS TRANSFRONTALIERS
Xxxxxxx devra se conformer à la Législation en vigueur relative au transfert ultérieur des Données personnelles en dehors de l'EEE ou du Royaume-Uni. Si Xxxxxxx procède au transfert de Données personnelles vers un pays tiers au sujet duquel la Commission européenne n'a pas déterminé qu'il assure un niveau de protection adéquat des Données personnelles, Xxxxxxx peut utiliser tout mécanisme légal pour faciliter ces transferts, notamment : (i) le mécanisme d'autocertification de conformité au Bouclier de protection des données (Privacy Shield) UE-États-Unis et Suisse-États-Unis mis en place par le Ministère du Commerce des États-Unis ; (ii) des règles d'entreprise contraignantes pour les responsables du traitement des données et conformes à la Législation en vigueur ; (iii) des clauses contractuelles de protection des données approuvées par la Commission européenne et conformes à la Législation en vigueur ; (iv) un code de conduite approuvé incluant des engagements exécutoires contraignants conformes à la Législation en vigueur ; ou (v) une méthode de certification approuvée incluant des engagements exécutoires contraignants conformes à la Législation en vigueur.
9. CONSERVATION ; RETOUR/DESTRUCTION
Xxxxxxx s'engage à conserver les Données personnelles reçues de l'Abonné ou créées pour le compte de l'Abonné uniquement aussi longtemps que nécessaire pour l'exécution des services dans le cadre du Contrat ou aussi longtemps que la Législation en vigueur l'exige. Sur demande de l'Abonné, Xxxxxxx s'engage à restituer ou à détruire toutes les Données personnelles reçues ou créées en vertu du Contrat, dans la mesure permise par la Législation en vigueur.
10. DROIT DE VÉRIFICATION DE L'ABONNÉ
Pendant toute la durée de cet Addenda, sur demande de l'Abonné, au maximum une fois par année civile, et sous réserve d'un accord de non-divulgation, Xxxxxxx s'engage à fournir à l'Abonné le rapport d'audit le plus récent effectué par un auditeur indépendant afin que l'Abonné puisse raisonnablement vérifier que Xxxxxxx respecte ses obligations en matière de protection des données, telles que définies dans le présent Addenda. L'Abonné s'engage à exercer tout droit d'audit et d'inspection dont il dispose uniquement en demandant et en examinant ce rapport d'audit. Après examen par l'Abonné du rapport d'audit, dans le cas où des informations supplémentaires seraient nécessaires pour démontrer le respect des obligations de Xxxxxxx en matière de protection des données, l'Abonné devra en informer Xxxxxxx par écrit, en identifiant spécifiquement l'obligation avec laquelle le rapport ne parvient pas à prouver sa conformité, les lacunes identifiées dans le rapport d'audit et les domaines pour lesquels des informations supplémentaires sont demandées. Après examen, Xxxxxxx pourra informer son auditeur indépendant des lacunes identifiées afin qu'il en tienne compte dans ses procédures d'audit. Xxxxxxx s'efforcera, à sa discrétion, de répondre positivement et de fournir à l'Abonné (lui-même ou à un auditeur accrédité agréé agissant pour le compte de l'Abonné, sous réserve d'obligations de non- divulgation) l'accès à des politiques, procédures, processus et/ou preuves supplémentaires démontrant le fonctionnement des contrôles. L'Abonné devra informer Xxxxxxx en respectant un préavis de 30 jours minimum. Il ne sera pas autorisé à conserver des exemplaires de documents supplémentaires ou à en faire des copies, et ne devra pas perturber de manière déraisonnable les activités de Xxxxxxx. Tous les coûts liés à l'audit seront à la charge de l'Abonné, et des frais supplémentaires pourront s'appliquer afin de compenser les coûts encourus par Xxxxxxx.
11. SOUS-TRAITANTS
L'Abonné approuve l'engagement des sous-traitants actuels de Xxxxxxx par le Prestataire de services répertorié en ligne dans le Trust Center de Xxxxxxx. L'Abonné autorise Xxxxxxx à supprimer ou à ajouter de nouveaux sous-traitants conformément à cette Section 11. Les nouveaux sous-traitants qui accèdent aux Données personnelles de l'Abonné devront être approuvés par l'Abonné par le biais du mécanisme de consentement suivant : (i) Xxxxxxx devra informer l'Abonné au moins trente (30) jours avant d'autoriser un nouveau sous-traitant à accéder aux Données personnelles en ajoutant le sous- traitant sur la liste mise en ligne sur le site du Trust Center de Xxxxxxx, (ii) L'absence d'objection raisonnable soulevée par écrit par l'Abonné auprès de Xxxxxxx dans un délai de trente (30) jours vaudra approbation du nouveau sous-traitant par l'Abonné, (iii) Si l'Abonné soulève des objections raisonnables, Xxxxxxx sera en droit de résilier le Service concerné fourni à l'Abonné avec un préavis de quatorze (14) jours, sauf si Xxxxxxx décide de (a) poursuivre le Service sans engager le sous-traitant non approuvé par l'Abonné, (b) prendre les mesures nécessaires pour répondre aux préoccupations soulevées dans l'objection de l'Abonné ou (c) en accord avec l'Abonné, cesser de fournir (temporairement ou définitivement), l'aspect particulier du Service qui impliquerait l'utilisation du sous-traitant. Chaque Sous-traitant sera soumis à des obligations de protection des données cohérentes avec celles contenues dans le présent Addenda. Xxxxxxx sera tenu responsable de l'exécution des obligations de protection des données par ses sous-traitants dans la même mesure où il est responsable de ses propres obligations.
12. GÉNÉRALITÉS
Le présent Addenda peut être signé en plusieurs exemplaires, chacun sera considéré comme un original, mais tous ensemble seront considérés comme un seul et même contrat. Une copie signée du présent Addenda, fournie par fax, e-mail ou tout autre moyen de transmission électronique (auquel une copie PDF signée est jointe) sera considérée comme ayant les mêmes effets juridiques que la remise d'un exemplaire original signé du présent Addenda.
EN FOI DE QUOI, les Parties ont conclu le présent Contrat.
ABONNÉ Signé par : Nom : Fonction : Date : | XXXXXXX Signé par : Nom : Fonction : Date : |
Annexe 1 : détails du traitement des Données personnelles
1. Objet et durée du traitement.
L'objet et la durée du traitement sont définis dans le Contrat et le présent Addenda.
2. Nature et objectif du traitement.
La nature et l'objectif du traitement seront de fournir les services conformément aux termes du Contrat.
3. Types de Données personnelles traitées.
Données personnelles de l'Abonné, téléchargées sur les services dans le cadre du Contrat.
Il peut s'agir de données de profil permettant de se connecter aux applications et services de Xxxxxxx, ainsi que de données relatives à l'utilisation par un utilisateur donné des applications et services de Xxxxxxx.
4. Catégorie de personnes auxquelles les Données personnelles sont associées.
Employés, sous-traitants, partenaires d'affaires et tiers dont les Données personnelles peuvent être téléchargées sur le service par l'Abonné et ses utilisateurs.
5. Droits et obligations de l'Abonné.
Les droits et obligations de l'Abonné sont définis dans le Contrat et dans cet Addenda.