Convention sur le traitement des données pour les services Oracle
Convention sur le traitement des données pour les services Oracle
(« Convention sur le traitement des données »)
Version du 1er janvier 2023
1. Champ et applicabilité
La présente Convention sur le traitement de données s’applique au traitement des renseignements personnels mis en œuvre par Oracle en votre nom en tant que sous-traitant dans le cadre de la prestation des services précisés dans votre Convention sur les services. Sauf indication contraire expresse dans votre Convention sur les services, la présente version de la Convention sur le traitement des données restera en vigueur pendant toute la durée de votre Convention sur les services.
2. Responsabilité relative au traitement des renseignements personnels et description des activités de traitement
2.1 Dans le cadre du traitement des renseignements personnels en lien avec la prestation des services, vous êtes le responsable du traitement et Oracle est le sous-traitant. Chacune des parties est tenue de respecter ses propres obligations au titre de la législation en vigueur sur la protection des données.
2.2 Oracle traitera les renseignements personnels pendant la durée de la Convention sur les services uniquement aux fins de la prestation des services, conformément à la Convention sur les services et à la présente Convention sur le traitement des données.
2.3 En particulier et selon les services, Oracle pourrait traiter des renseignements personnels pour l’hébergement et le stockage; la sauvegarde et la reprise après sinistre; la gestion du changement de service; la résolution des problèmes; l’application de nouveaux produits ou de nouvelles versions de systèmes, de correctifs, de mises à jour et de mises à niveau; la surveillance et le test de l’usage et de le performance du système, les besoins de sécurité des TI, y compris la gestion des incidents; l’entretien et la performance des systèmes du soutien technique et de l’infrastructure des TI; et la migration, la mise en œuvre, la configuration et les tests de performance.
2.4 Dans le cadre de la prestation des services, et selon les services, Oracle pourrait traiter des renseignements personnels sur vos personnes, y compris des utilisateurs finaux, des employés, des candidats à des postes, des sous-traitants, des collaborateurs, des partenaires, des fournisseurs et des clients.
2.5 Les renseignements personnels sur vos personnes pourraient inclure, mais sans s’y limiter, des informations sur des coordonnées personnelles comme le nom, l’adresse au domicile, le numéro de téléphone au domicile ou de téléphone mobile, le numéro de télécopieur, l’adresse de xxxxxxxx et les mots de passe; des informations concernant la famille, le mode de vie et les circonstances sociales, y compris l’âge, la date de naissance, l’état civil, le nombre d’enfants et le nom du conjoint et/ou des enfants; des
détails sur l’emploi, y compris le nom de l’employeur, l’intitulé du poste et la fonction, les antécédents professionnels, le salaire et autres avantages, le rendement au travail et autres compétences, la formation et les qualifications, les numéros d’identification et les coordonnées professionnelles; des détails financiers; les biens et services fournis; les identifiants uniques collectés à partir d’appareils mobiles, d’opérateurs réseau ou de fournisseurs de données; des données de géolocalisation; des adresses IP et les données sur les intérêts et le comportement en ligne.
2.6 Sauf stipulation contraire dans la Convention sur les services, vous ne devez fournir à Oracle aucune donnée qui impose à Oracle des obligations particulières de sécurité ou de protection des données, en sus ou différentes de celles indiquées dans la Convention sur le traitement des données ou la Convention sur les services (comme certaines informations réglementées dans le domaine de la santé et des cartes de paiement). Si des services supplémentaires sont disponibles pour les services, vous pouvez acheter auprès d’Oracle des services (comme des services de conformité à l’industrie des cartes de paiement Oracle) conçus pour répondre à des exigences particulières de protection et de sécurité des données pouvant s’appliquer auxdites données sensibles ou spéciales que vous souhaitez inclure dans votre contenu. Vous demeurez responsable de la conformité à vos obligations particulières d’ordre réglementaire, juridique ou selon le secteur, en matière de sécurité des données, qui pourraient s’appliquer auxdites données.
2.7 Des descriptions supplémentaires ou plus précises d’activités de traitement des données pourraient être incluses dans la Convention sur les services.
2.8 Oracle est un fournisseur de services en ce qui a trait aux renseignements personnels traités dans la prestation des services. Oracle s’abstiendra de : (a) vendre ou partager tous renseignements personnels;
(b) conserver, utiliser ou divulguer tout renseignement personnel (i) pour tout motif autre que les objectifs commerciaux précisés dans la Convention sur les services, y compris pour tout objectif commercial, ou (ii) hors d’une relation commerciale directe entre vous et Oracle; ou (c) combiner des renseignements personnels, reçus de vous ou en votre nom, avec des renseignements personnels reçus de tout tiers ou en son nom, ou collectés par une interaction d’Oracle avec des personnes, sauf pour l’exécution d’un objectif commercial autorisé par la CCPA (California Consumer Privacy Act) et la Convention sur les services. Conformément à la section 5 de la présente Convention sur le traitement des données, Oracle vous avisera des son utilisation de sociétés affiliées d'Oracle et s’assurera qu’ils soient assujettis aux conventions écrites applicables selon la section 5 de la présente Convention sur le traitement des données. Les parties reconnaissent que les renseignements personnels que vous divulguez à Oracle sont fournis uniquement pour les objectifs commerciaux limités et précis indiqués dans la Convention sur les services. Oracle doit assurer le même niveau de protection aux renseignements personnels requis par la CCPA et qui est présenté plus en détail dans la convention des services. Vous pouvez prendre des mesures raisonnables jugées nécessaires (a) pour remédier à un usage non autorisé des renseignements personnels et (b) pour vous assurer que les renseignements personnels sont utilisés conformément aux conditions de la présente Convention sur le traitement des données en faisant valoir vos droits en vertu de la section 8 de la présente Convention sur le traitement des données. Oracle vous enverra un avis si elle détermine qu’elle ne peut pas répondre à ses obligations en vertu de la CCPA dans le cadre de sa prestation des services.
3. Vos instructions
3.1 En plus de vos instructions intégrées à la Convention sur les services, vous pouvez fournir à Oracle
par écrit des instructions supplémentaires concernant le traitement des renseignements personnels conformément à la législation en vigueur sur la protection des données. Oracle se conformera promptement à l’ensemble de ces instructions, dans la mesure où cela lui serait nécessaire pour (i) se conformer à ses obligations en tant que sous-traitant au titre de la législation en vigueur sur la protection des données; ou (ii) vous aider à vous conformer à vos obligations en tant que responsable du traitement au titre de la législation en vigueur sur la protection des données dans le cadre de votre utilisation des services.
3.2 Oracle suivra vos instructions sans coûts supplémentaires et selon un calendrier raisonnablement nécessaire pour que vous puissiez vous conformer à vos obligations au titre de la législation applicable sur la protection des données. Oracle vous informera immédiatement si, selon son opinion, vos instructions violent la législation en vigueur sur la protection des données. Il n’incombe pas à Oracle de fournir une consultation juridique.
3.3 Dans la mesure où Oracle prévoit engager des frais ou des charges supplémentaires non couverts par les frais dus au titre des services fournis en vertu de la Convention sur les services, comme des frais supplémentaires de licences ou de sous-traitance à des tiers, Oracle vous en informera promptement à la réception de vos instructions. Sous réserve de l’obligation d’Oracle de se conformer à vos instructions, les parties négocieront alors de bonne foi en ce qui concerne lesdits frais ou charges.
4. Questions et demandes de personnes relatives à la confidentialité
4.1 Si vous recevez une demande ou une demande de renseignements d’une personne liée aux renseignements personnels traités par Oracle dans le cadre de la Convention sur les services, y compris des demandes individuelles d’accès, de suppression ou d’effacement, de restriction, de rectification, de réception et de transmission (portabilité des données), de blocage d’accès ou d’objection au traitement de renseignements personnels particuliers, vous pouvez accéder de manière sécuritaire à votre environnement des services qui contient les renseignements personnels et répondre à la demande. Des informations supplémentaires sur le mode d’accès aux services en vue de répondre à des demandes sur la confidentialité ou à des demandes individuelles sont accessibles dans la documentation des Directives sur la fonctionnalité des produits et services Oracle sur My Oracle Support (ou dans d’autres outils de soutien principal ou par des contacts de soutien applicables fournis pour les services).
4.2 Dans la mesure où les services ne vous sont pas accessibles ou ne répondent pas aux demandes ou aux demandes de renseignements, vous pouvez envoyer une « demande de service » par l’entremise de My Oracle Support (ou par un autre outil de soutien principal ou contact de soutien, comme votre gestionnaire de projet) en incluant des instructions écrites et détaillées sur la manière dont Oracle peut vous aider pour cette demande.
4.3 Si Oracle reçoit directement des demandes de personnes vous ayant indiqué comme le responsable du traitement, Oracle vous transmettra promptement les demandes en question sans répondre auxdites personnes. Sinon, Oracle conseillera à la personne d’indiquer et de contacter le ou les responsables pertinents du traitement.
5. Sociétés affiliées et sous-traitants tiers d’Oracle
5.1 Vous fournissez à Oracle une autorisation écrite générale pour engager des sociétés affiliées à Oracle
et des sous-traitants tiers, selon les besoins, afin d'aider à la prestation des services.
5.2 Dans la mesure où Oracle engage de tels sous-traitants tiers et/ou sociétés affiliées d’Oracle, elle exige que ces entités soient assujetties au même niveau de protection des données et de sécurité qu’Oracle en vertu des conditions de la présente Convention sur le traitement des données et de la législation en vigueur sur la protection des données. Vous serez également autorisé, à la suite d’une demande écrite, à recevoir des copies des conditions de confidentialité et de sécurité pertinentes de la convention d’Oracle avec tout sous-traitant tiers et toute société affiliée qui pourrait traiter des renseignements personnels. Oracle assume la responsabilité des obligations de conformité aux conditions de la Convention sur les services par ses sociétés affiliées et ses sous-traitants tiers.
5.3 Oracle tient à jour des listes de sociétés affiliées d’Oracle et de sous-traitants tiers pouvant traiter les renseignements personnels. Ces listes sont accessibles sur My Oracle Support, sous l'ID de document 2121811.1 (ou tout autre outil de soutien principal, interface utilisateur ou contact applicable fourni pour les services, notamment le NetSuite Support Portal ou votre gestionnaire de projet Oracle). Pour recevoir un avis de tout changement prévu à ces listes de sociétés affiliées et sous-traitants tiers d’Oracle, vous pouvez (i) vous abonner selon les instructions de My Oracle Support, ID de document 2288528.1, ou (ii) Oracle vous enverra un avis des changements prévus si un mécanisme d’abonnement n’est pas disponible. Pour le soutien client avancé et les services de conseil, tout sous-traitant tiers supplémentaire auquel Oracle envisagerait de faire appel sera répertorié dans votre commande pour le soutien client avancé ou les services, ou ultérieurement dans « un avis de sous-traitance Oracle », qu’Oracle vous communiquera par courriel, le cas échéant.
5.4 Dans les trente (30) jours civils à compter de la date d’envoi par Oracle de l’avis susmentionné en vertu de la section 5.3 ci-dessus, vous pourrez émettre des objections à la participation prévue d’une société affiliée d’Oracle ou d’un sous-traitant tiers dans la prestation des services en envoyant une
« demande de service » par l’entremise de (i) My Oracle Support (ou par tout autre outil de soutien principal applicable) ou (ii) pour le soutien client avancé et les services de conseil, à votre gestionnaire de projet pour les services. Oracle et vous collaborerez de bonne foi pour trouver une solution mutuellement acceptable au traitement de votre objection, y compris, mais sans s’y limiter, en examinant d’autres documents étayant la conformité de la société affiliée d’Oracle ou du sous-traitant tiers en question à la Convention sur le traitement des données ou à la législation en vigueur sur la protection des données, ou en fournissant des services sans l’implication de ladite société affiliée d’Oracle ou dudit sous-traitant tiers. Dans la mesure où vous et Oracle ne pouvez pas résoudre ce différend dans une période raisonnable, vous aurez le droit de résilier les services concernés (i) en envoyant un avis de trente (30) jours; (ii) sans responsabilité pour vous ou pour Oracle et (iii) sans vous dispenser de vos obligations de paiement en vertu de la Convention sur les services jusqu’à la date de résiliation. Si la résiliation au titre de la présente section 5.4 concerne uniquement une partie des services visés dans une commande, vous conclurez un avenant ou une commande de substitution reflétant cette résiliation partielle.
6. Transferts transfrontaliers de données
6.1 En ce qui concerne les services infonuagiques, les renseignements personnels seront stockés dans la région du centre de données indiquée dans votre commande pour lesdits services ou, le cas échéant,
dans la région géographique que vous avez sélectionnée lors de l’activation de l’instance de production desdits services.
6.2 Sous réserve de la section 6.1 ci-dessus, Oracle peut traiter les renseignements personnels à l’échelle mondiale, si nécessaire, pour la prestation des services, comme pour le soutien, la gestion des incidents ou la récupération des données.
6.3 Dans la mesure où un accès mondial implique un transfert de renseignements personnels assujettis à des restrictions de transfert transfrontalier, en vertu de la législation européenne en vigueur sur la protection des données, vers des pays hors de l’Europe qui ne sont pas couverts par une décision de suffisance, lesdits transferts sont assujettis aux (i) Règles d’entreprise contraignantes pour les gestionnaires des données d’Oracle (également appelées Code du sous-traitant d’Oracle) et (ii) aux conditions du Module 2 (contrôleur vers gestionnaire de données) des Clauses contractuelles standard de l’UE (EU Standard Contractual Clauses) 2021/914 du 4 juin 2021.
La version la plus récente des Règles d’entreprise contraignantes pour les gestionnaires des données d’Oracle (Code du sous-traitant d’Oracle) est accessible sur le site xxxxx://xxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxxx/xxxxx-xxxxxxxx/xxxxxxxxx.xxxx#xxxx-xxxxxxxxxx, et est incorporée par renvoi dans la Convention sur les services et dans la présente Convention sur le traitement des données. Oracle a obtenu l’autorisation de l’EEE concernant ses Règles d’entreprise contraignantes pour les gestionnaires de données (Code du sous-traitant) et conservera cette autorisation pendant toute la durée de la Convention sur les services. Les transferts à des sous-traitants tiers sont assujettis à des exigences de confidentialité des données en ligne avec les Règles d’entreprise contraignantes pour les gestionnaires de données d’Oracle (Code du sous-traitant d’Oracle), les conditions du Module 2 (contrôleur vers gestionnaire de données) des Clauses contractuelles standard de l’UE (EU Standard Contractual Clauses) 2021/914 du 4 juin 2021, la présente Convention sur le traitement des données et la Convention sur les services.
6.4 Dans la mesure où un accès mondial implique un transfert de renseignements personnels assujettis à des restrictions de transfert transfrontalier en vertu de la législation en vigueur sur la protection des données du Royaume-Uni (UK Data Protection Act) vers des pays hors du Royaume-Uni qui ne sont pas couverts par une décision de suffisance par la UK ICO, lesdits transferts sont assujettis aux (i) conditions du Module 2 (contrôleur vers gestionnaire de données) des Clauses contractuelles standard de l’UE (EU Standard Contractual Clauses) 2021/914 du 4 juin 2021, auxquelles s’ajoutent l’addenda sur le transfert international des données aux Clauses contractuelles standard de la Commission de l’Union européenne International Data Transfer Addendum to the EU Commission Standard Contractual Clauses version B1.0 (« IDTA »), qui sont incorporées par renvoi aux présentes; et (ii) après l’approbation de la UK ICO, les Règles d’entreprise contraignantes du R-U approuvées pour les gestionnaires de données, dans un format qui sera approuvé par la UK ICO pour une utilisation au R-U et seront publiées dans les sites Web publics d’Oracle. L’IDTA sera lu en conjonction avec la convention des services et la Convention sur le traitement des données.
6.5 Les parties passeront en revue toutes mesures supplémentaires pouvant être requises sur la base de la législation sur la protection des données pour le transfert de renseignements personnels vers des pays ne proposant pas un niveau adéquat de protection. Les parties collaboreront de bonne foi en vue de trouver une solution mutuellement acceptable pour répondre auxdites mesures supplémentaires, y compris, sans s’y limiter, l’examen de la documentation technique pour les services et une discussion sur des protections techniques et des services de sécurité supplémentaires disponibles.
6.6 Dans la mesure où un tel accès mondial implique un transfert de renseignements personnels soumis aux restrictions qui s’appliquent aux transferts transfrontaliers au titre de la législation en vigueur sur la protection des données, lesdits transferts seront soumis (i) pour les transferts à des sociétés affiliées d’Oracle, aux conditions de la Convention sur le mandat et le transfert de données interentreprises, qui exige que tous les transferts de renseignements personnels soient effectués conformément à la législation en vigueur sur la protection des données, ainsi qu’à toutes les politiques d’Oracle et normes en vigueur sur la sécurité et de confidentialité des données à l’échelle mondiale; et (ii) pour les transferts à des sous- traitants tiers, à des exigences de sécurité et de confidentialité des données cohérentes avec celles de la présente Convention sur le traitement des données et de la législation en vigueur sur la protection des données.
7. Sécurité et confidentialité
7.1 Oracle a mis en place et maintiendra des mesures de sécurité techniques et organisationnelles appropriées concernant le traitement des renseignements personnels afin d’éviter toute destruction accidentelle ou illicite, perte, altération, divulgation non autorisée de renseignements personnels, ou tout accès non autorisé à de telles données. Ces mesures de sécurité régissent tous les aspects de la sécurité applicables aux services, y compris l’accès physique, l’accès aux systèmes, l’accès aux données, la transmission et le chiffrement, la saisie, la sauvegarde des données, la répartition des données, la supervision de la sécurité, l’application et d’autres mesures et contrôles de sécurité. Des informations complémentaires relatives aux mesures de sécurité spécifiques applicables aux services que vous avez commandés sont exposées dans les pratiques de sécurité correspondant à ces services:
• Pour tous les services : les Pratiques d’Oracle en matière de sécurité de l’entreprise sont accessibles sur le site xxxxx://xxx.xxxxxx.xxx/xxxxxxxxx/xxxxxxxx-xxxxxxxxx/;
• Pour les services infonuagiques : les politiques de livraison et d'hébergement d'Oracle sont accessibles sur le site xxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxx/xxxxxxxxx/xxxxx-xxxxxxxx/xxxxx.xxxx;
• Pour les services NetSuite (NSGBU) : les Conditions du service NetSuite sont accessibles sur le site :xxxx://xxx.xxxxxxxx.xxx/xxxxxx/xxxxxxxx/xxxxx-xx-xxxxxxx.xxxxx;
• Pour les services mondiaux de soutien à la clientèle : les Pratiques mondiales d’Oracle en matière de sécurité du soutien à la clientèle sont accessibles sur le site xxxxx://xxx.xxxxxx.xxx/xxxxxxx/xxxxxxxx.xxxx;
• Pour les mesures en matière de services-conseils et de services de soutien client avancés : les mesures de sécurité Oracle en matière de services-conseil et de services de soutien client avancés sont accessibles sur le site xxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxx/xxxxxxxxx/xxxxxxxxxx- services/index.html.
7.2 Tous les employés d’Oracle et de ses sociétés affiliées et tous les sous-traitants tiers qui traitent des renseignements personnels, sont soumis à des dispositions écrites et adéquates en matière de confidentialité, y compris à des ententes de confidentialité, à des formations régulières sur la protection des renseignements et au respect des politiques d’Oracle en matière de protection des renseignements confidentiels.
8. Droits de vérification et assistance pour les analyses d’impact sur la protection des données
8.1 Vous pouvez vérifier la conformité d’Oracle à l’égard de ses obligations en vertu de la présente Convention sur le traitement des données, y compris des inspections de l’installation du centre de données sur les services applicables qui héberge les renseignements personnels. En outre, dans la mesure requise par la législation en vigueur sur la protection des données, vous ou votre organisme de réglementation
pouvez effectuer des audits plus fréquemment.
8.2 Si vous engagez un vérificateur tiers, il doit faire l’objet d’une entente mutuelle entre vous et Oracle (sauf si le tiers est un organisme réglementaire). Oracle ne différera pas de façon déraisonnable son consentement à l’utilisation d’un vérificateur tiers que vous avez demandé. Ce tiers doit signer une entente de confidentialité écrite acceptable par Oracle ou autrement être lié par une obligation de confidentialité statutaire ou légale.
8.3 Pour demander un audit, vous devez envoyer à Oracle un plan d'audit détaillé au moins deux (2) semaines avant la date d'audit proposée. Le plan d'audit proposé doit décrire la portée, la durée et la date de début proposées pour l'audit. Oracle examinera le plan d'audit proposé et vous communiquera toute préoccupation ou question. Oracle collaborera avec vous pour convenir d’un plan d'audit final selon un échéancier raisonnable.
8.4 L'audit doit être mené pendant les heures d'ouverture normales, dans une installation acceptable, conforme au plan d'audit final accepté et aux politiques d’Oracle en matière de santé et de sécurité, ou à d’autres politiques, et ne devra pas influer sur le cours normal des activités commerciales d’Oracle.
8.5 Lorsque l'audit sera terminé, vous enverrez à Oracle une copie du rapport d'audit, ledit rapport étant assujetti aux conditions de confidentialité de votre Convention sur les services. Vous pouvez utiliser les rapports d'audit uniquement dans le but de répondre à vos exigences réglementaires concernant l'audit et/ou pour valider la conformité aux exigences de la présente Convention sur le traitement des données.
8.6 Chaque partie assumera ses propres frais d'audit, à moins qu’Oracle vous informe rapidement lorsqu’elle passe en revue l'audit que vous proposez, qu’elle prévoit engager des frais supplémentaires pour l'audit, frais qui ne sont pas couverts par les frais payables en vertu de votre Convention sur les services, comme des frais supplémentaires de licence ou de sous-traitance à des tiers. Les parties négocieront de bonne foi au sujet de tels frais supplémentaires.
8.7 Sous réserve des droits concédés dans la section 8.1, si la portée de l'audit demandé est couverte dans un SOC, ISO, NIST, PCI DSS, HIPAA ou dans un autre rapport similaire effectué par un vérificateur tiers qualifié pendant les douze (12) mois précédents et qu’Oracle vous fournit un tel rapport confirmant qu’il n’y a eu aucun changement important dans les contrôles audités, vous convenez d’accepter les résultats présentés par le rapport d'audit du tiers au lieu de demander un audit des mêmes contrôles couverts par ledit rapport.
8.8 Vous pouvez demander qu’Oracle effectue un audit d'un sous-traitant tiers ou fournisse la confirmation qu’un tel audit a eu lieu (ou, le cas échéant, obtienne ou vous aide à obtenir un rapport d'audit tiers concernant les opérations du sous-traitant tiers) afin de vérifier le respect de ses obligations par ledit sous- traitant tiers.
8.9 Oracle vous fournit les renseignements et l’aide raisonnablement nécessaires pour conduire vos analyses d’impact sur la protection des données ou pour consulter votre ou vos organismes de réglementation, en vous accordant un accès par voie électronique à un registre des activités de traitement et aux guides accessibles couvrant la fonctionnalité, la sécurité et la confidentialité des produits et services
Oracle propres aux services. Ces informations sont accessibles par l’entremise de (i) My Oracle Support, sous la référence de l’ID de document 111.1, ou tout autre outil de soutien principal applicable fourni pour les services, comme le NetSuite Support Portal, ou (ii) sur demande, si vous ne disposez pas de cet accès à My Oracle Support (ou à tout autre outil de soutien principal).
9. Gestion des incidents et avis de violation
9.1 Oracle a mis en œuvre des contrôles et des politiques conçus pour détecter et réagir rapidement aux incidents indiquant ou faisant soupçonner une destruction, une perte, une altération, une divulgation non autorisée de votre contenu (selon la définition de ce terme dans la Convention sur les services) transmis, stocké ou plus généralement traité, ou tout accès non autorisé à de telles données. Oracle définira rapidement des voies d’escalade pour enquêter sur ces incidents afin de confirmer si une violation de renseignements a bien eu lieu et prendra toutes les mesures raisonnables destinées à identifier les causes profondes de ladite violation, atténuer les éventuelles conséquences négatives et éviter qu’elle ne se reproduise.
9.2 Oracle vous avisera sans retard indu de toute violation de renseignements confirmée, mais au plus tard dans les 24 heures. À mesure que les informations sur la violation des renseignements sont collectées ou deviennent accessibles pour Oracle, elle vous communiquera (i) une description des mesures prises pour atténuer toutes conséquences négatives possibles de la violation; (ii) les mesures prises pour atténuer ses éventuelles conséquences négatives et éviter que la violation ne se reproduise; et (iii) si possible, des informations sur les types de renseignements ayant fait l’objet de ladite violation. Vous vous engagez à coordonner avec Oracle quant au contenu des déclarations publiques ou des notifications requises que vous envisagez d’adresser aux personnes et/ou quant aux notifications que vous envisagez d’adresser à votre organisme de réglementation eu égard à toute violation de renseignements.
10. Restitution et effacement de renseignements personnels
10.1 Lors de la résiliation des services, Oracle restituera promptement, y compris en mettant à disposition une fonctionnalité de récupération de données, et ultérieurement supprimera toute copie de renseignements personnels qui demeurerait dans des systèmes ou des environnements des services d’Oracle, sauf stipulation contraire dans la Convention sur les services.
10.2 En ce qui concerne les renseignements personnels résidant dans vos systèmes ou environnements, ou les services pour lesquels aucune fonctionnalité de récupération de données n’est fournie par Oracle dans le cadre des services, il vous est recommandé de prendre les mesures appropriées pour sauvegarder ou plus généralement stocker séparément tous les renseignements personnels pendant que l’environnement des services de production est encore actif, avant la résiliation des services.
11. Obligations légales
11.1 Oracle peut avoir l’obligation légale de fournir un accès à des renseignements personnels, par exemple pour se conformer à une ordonnance ou à toute autre voie légale, ou pour répondre à des demandes administratives, y compris à des demandes émanant d’autorités publiques ou gouvernementales, à des fins de sécurité nationale et/ou policière.
11.2 Oracle vous informera rapidement de ces demandes d’accès à des renseignements personnels et fera des démarches raisonnables pour rediriger vers vous l’autorité à l’origine de cette demande, à moins d’une autre exigence de la loi.
11.3 Dans la mesure où Oracle doit répondre à la demande, elle évaluera au cas par cas sa validité juridique et les contraintes qu’elle impose à Oracle, y compris la conformité de cette demande à la législation en vigueur sur la protection des données. Toute demande qui n’est pas légalement valide ou juridiquement contraignante pour Oracle fera l’objet d’un contentieux selon la loi en vigueur.
12. Responsable de la sécurité des données
12.2 Si vous avez nommé un responsable de la sécurité des données, vous pouvez demander à ce qu’Oracle intègre les coordonnées de ce responsable dans votre commande de services.
13. Définitions
« Législation en vigueur sur la protection des données » désigne toutes les lois ou réglementations sur la confidentialité des données ou sur la protection des données qui s’appliquent généralement au traitement des renseignements personnels en vertu de la présente Convention sur le traitement des données, y compris la législation européenne en vigueur sur la protection des données, la législation du R-U en vigueur sur la protection des données, la loi de la Californie sur la confidentialité des consommateurs (CCPA ou California Consumer Privacy Act) ayant fait l’objet d’un avenant, de même que d’autres lois des états aux États-Unis.
« Législation européenne en vigueur sur la protection des données » désigne (i) le Règlement général sur la protection des données UE/2016/679, tel que complété par la législation des États membres de l’UE concernés et tel qu’intégré à la Convention sur l’EEE; (ii) la loi fédérale suisse du 19 juin 1992 sur la protection des données, telle que modifiée.
« Loi du R-U en vigueur sur la protection des données » désigne (i) la UK GDPR, c.-à-d., le Règlement général sur la protection des données UE/2016/679, qui fait partie de la loi de l’Angleterre et du pays de Xxxxxx, de l’Écosse et de l’Irlande du Nord en vertu de la section 3 de l’Union européenne (Withdrawal) Act 2018 dans le cadre des modifications au Règlement général sur la protection des données UE/2016/679 effectuées par les Réglementations sur les communications électroniques, sur la confidentialité et sur la protection des données (avec modifications, etc.) (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 and 2020) et (ii) la loi du R-U sur la protection des données (UK Data Protection Act 2018) telle que modifiée.
« Europe » aux fins de la présente Convention sur le traitement des données, le terme Europe désigne :
(i) l’Espace économique européen (EEE), comprenant les États membres de l’Union européenne, l’Islande, le Liechtenstein et la Norvège; et (ii) la Suisse.
« Personne » a le même sens que le terme « personne concernée » ou que tout terme équivalent en vertu de la législation en vigueur sur la protection des données.
« Violation de renseignements » désigne une violation de la sécurité entraînant de manière accidentelle ou illicite l’appropriation frauduleuse, la destruction, la perte, l’altération, la divulgation non autorisée de votre contenu ou l’accès non autorisé à de telles données, transmises, stockées ou plus généralement traitées dans les systèmes ou les environnements de services d’Oracle et qui compromettent la sécurité,
la confidentialité ou l’intégrité de votre contenu.
Les termes « traités/traitement », « autorité de surveillance », « sous-traitant » et « règles d'entreprise contraignantes » (ou tout autre terme équivalent) ont la signification indiquée en vertu de la loi applicable sur la protection des données.
Les termes « fournisseur de service », « vendre », « partager », « objectif d’entreprise » et « objectif commercial » ont la signification qui leur est attribuée dans la CCPA.
« Sociétés affiliées d’Oracle » désigne toute filiale d’Oracle Corporation susceptible de traiter des renseignements personnels comme indiqué dans la présente Convention sur le traitement des données.
La Convention sur le mandat et le transfert de données interentreprises d’Oracle des renseignements personnels afférents aux services clients, qui est une convention conclue entre Oracle Corporation et ses sociétés affiliées.
« Règles d’entreprise contraignantes pour les gestionnaires des données d’Oracle » ou « Code du sous-traitant d’Oracle » désignent le Code de confidentialité d’Oracle pour le traitement des renseignements personnels des clients individuels, selon le cas.
« Oracle » désigne la société affiliée d’Oracle ayant signé la Convention sur les services.
Le terme « renseignements personnels
» a le même sens que le terme « données à caractère personnel », « renseignements permettant d’identifier une personne (PII) » ou un terme équivalent employé dans la législation en vigueur sur la protection des données.
« Organisme de réglementation » a le même sens que le terme « autorité de surveillance », « organisme responsable de la protection des données » ou un terme équivalent en vertu de la législation en vigueur sur la protection des données.
« Services » désigne les services infonuagiques, les services de soutien client avancé (Advanced Customer services ou ACS), les services de conseil ou les services de soutien technique spécifiés dans la Convention sur les services, notamment par l’emploi des termes « offres de services » ou « services ».
Le terme « Convention sur les services » désigne (i) la commande applicable pour les services que vous avez achetés auprès d’Oracle; (ii) la convention-cadre applicable mentionnée dans la commande applicable, et (iii) les spécifications des services.
Le terme « sous-traitant tiers » désigne un tiers, autre qu'une société affiliée d'Oracle, avec lequel Oracle conclut un contrat de sous-traitance et qui peut traiter des renseignements personnels conformément à la convention relative au traitement des données.
« Vous » désigne l'entité de client ayant exécuté la Convention sur les services.
Les autres termes utilisés dans les présentes ont les définitions qui leur sont attribuées dans la Convention sur les services.