CONTRAT DE TRAITEMENT DE DONNÉES POUR LES SERVICES DE SUPPORT ET PROFESSIONNELS SAP
CONTRAT DE TRAITEMENT DE DONNÉES POUR LES SERVICES DE SUPPORT ET PROFESSIONNELS SAP
1. DÉFINITIONS
1.1. Le terme « Utilisateurs autorisés » désigne toute personne physique à qui le Client donne l'autorisation d'utiliser le Service SAP dans le cadre d'une licence de progiciel SAP et qui est un employé, un agent, un prestataire ou un représentant
a) du Client;
b) de Sociétés affiliées du Client; et/ou
c) de Partenaires d'affaires du Client et des Sociétés affiliées du Client (telles que définies dans le Contrat de licence et de support).
1.2. Le terme « Responsable du traitement » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui, seul(e) ou associé(e) à d'autres personnes, détermine les finalités et les méthodes de traitement des Données à caractère personnel; aux fins du présent DPA, lorsque le Client agit en qualité de Sous-traitant pour un autre Responsable du traitement, il doit, en relation avec SAP, être considéré comme un Responsable du traitement supplémentaire et indépendant qui dispose des droits et obligations relatifs aux responsables du traitement en vertu du présent DPA.
1.3. Le terme « Loi en matière de protection des données » désigne la législation applicable protégeant les droits et libertés fondamentaux des personnes et leur droit à la vie privée concernant le traitement des Données à caractère personnel en vertu du Contrat.
1.4. Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable, telle que définie par la Loi en matière de protection des données.
1.5. Le terme « My Trust Center » désigne les informations disponibles sur le SAP Support Portal (voir: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) ou le site Web dédié aux contrats SAP (voir: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) ou tout autre site Web ultérieur mis à la disposition du Client par SAP.
1.6. Le terme « Transfert relevant des nouvelles CCT » désigne un transfert (ou un transfert ultérieur) vers un Pays tiers de Données à caractère personnel soumises au RGPD ou à la Loi applicable en matière de protection des données, lorsqu’une garantie adéquate requise en vertu du RGPD ou de la Loi applicable en matière de protection des données peut être satisfaite en concluant les Nouvelles clauses contractuelles types.
1.7. Le terme « Nouvelles clauses contractuelles types » désigne les clauses contractuelles types inchangées, publiées par la Commission européenne (référence 2021/914) ou toute version finale ultérieure, qui s'appliquera automatiquement. Pour fins de clarifications, les Modules 2 et 3 s'appliquent conformément à la Section 8.
1.8. Le terme « Données à caractère personnel » désigne les renseignements relatifs à une Personne concernée qui sont protégés par la Loi en matière de protection des données. Pour les besoins du présent DPA, le terme recouvre uniquement les données à caractère personnel fournies à SAP ou à ses Sous-traitants ultérieurs ou auxquelles ceux-ci peuvent accéder aux fins de l'exécution des Service de support ou professionnels de SAP dans le cadre du Contrat.
1.9. Le terme « Violation des Données à caractère personnel » désigne tout événement confirmé recensé ci- dessous:
a) la destruction, la perte ou l'altération accidentelle ou illicite ou la divulgation non autorisée de Données à caractère personnel ou l'accès non autorisé de tiers à de telles données; ou
b) un incident similaire impliquant des Données à caractère personnel pour lequel le Responsable du traitement est tenu d'informer les autorités de protection des données compétentes ou les Personnes concernées, en vertu de la Loi en matière de protection des données.
1.10. Le terme « Services professionnels » désigne les services d'implémentation, les services-conseils ou les services tels que les Services de support SAP Premium Engagement, les Services de développement de
solutions de gestion innovantes et les Services de support pour le développement de solutions de gestion innovantes.
1.11. Le terme « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui traite les Données à caractère personnel pour le compte du Responsable du traitement, que ce soit de façon directe en tant que Sous-traitant d'un Responsable du traitement ou de façon indirecte en tant que Sous-traitant ultérieur d'un Sous-traitant qui traite les Données à caractère personnel pour le compte du Responsable du traitement.
1.12. Le terme « Annexe » désigne l'Appendice portant le numéro correspondant joint aux Clauses contractuelles types (2010) et l'Annexe portant le numéro correspondant jointe aux Nouvelles clauses contractuelles types.
1.13. Le terme « Clauses contractuelles types (2010) » désigne les Clauses contractuelles types (sous-traitants) publiées par la Commission européenne, référence 2010/87/UE.
1.14. Le terme « Sous-traitant ultérieur » désigne les Sociétés affiliées de SAP, SAP SE, les Sociétés affiliées de SAP SE et les tiers engagés par SAP, SAP SE ou les Sociétés affiliées de SAP SE en relation avec le Service SAP et qui traitent les Données à caractère personnel conformément au présent DPA.
1.15. Le terme « Mesures techniques et organisationnelles » désigne les mesures techniques et organisationnelles pour le Service de support ou professionnel SAP concerné, publiées sur My Trust Center.
1.16. Le terme « Pays tiers » désigne tout pays, organisation ou territoire non reconnu par l'Union européenne en vertu de l'Article 45 du RGPD comme étant un pays sûr disposant d'un niveau adéquat de protection des données.
2. CONTEXTE
2.1. Objectif et application
Le présent document (« DPA ») est intégré au Contrat et fait partie d'un accord écrit (la forme écrite incluant le format électronique) conclu entre SAP et le Client. Le présent DPA s'applique aux Données à caractère personnel fournies par le Client et chaque Responsable du traitement dans le cadre de l'exécution des services SAP définis dans le Contrat applicable (le ou les « Service(s) SAP ») auquel le présent DPA est joint, notamment:
a) les services de Support SAP définis dans le Contrat de licence et de support; ou
b) les Services professionnels décrits dans le contrat de services conclu entre SAP et le Client (le « Contrat de services »).
2.2. Structure
Les Annexes 1 et 2 sont intégrées au présent DPA et en font partie intégrante. Elles définissent l'objet convenu, la nature et l'objectif du traitement, le type de Données à caractère personnel, les catégories de données, les personnes concernées et les mesures organisationnelles et techniques applicables.
2.3. Gouvernance
2.3.1. SAP agit en qualité de Sous-traitant et Client, et les entités qu’il autorise à utiliser les Services de support ou professionnels SAP agissent en qualité de Responsables du traitement dans le cadre du DPA.
2.3.2. Le Client sert de point de contact unique et se chargera d’obtenir les autorisations et consentements nécessaires pour le traitement des Données à caractère personnel conformément au présent DPA, y compris, le cas échéant, l'approbation des Responsables du traitement pour avoir recours à SAP comme Sous-Traitant. Lorsque les autorisations, instructions ou consentements sont fournis par le Client, ils sont fournis non seulement pour le compte du Client mais aussi pour le compte de tout autre Responsable du traitement. Lorsque SAP transmet des informations ou notifications au Client, lesdites informations ou notifications sont réputées reçues par les Responsables du traitement autorisés par le Client à inclure des Données à caractère personnel. Le Client est tenu de transmettre lesdites informations et notifications aux Responsables du traitement concernés.
3. SÉCURITÉ DU TRAITEMENT
3.1. Applicabilité des Mesures techniques et organisationnelles
3.1.1. SAP a mis en œuvre et appliquera les Mesures techniques et organisationnelles. Le Client a examiné lesdites mesures et convient que les mesures sont appropriées et tiennent compte de la technologie, des coûts de l'implémentation, de la nature, du périmètre, du contexte et des objectifs du traitement des Données à caractère personnel.
3.1.2. L'Annexe 2 s'applique uniquement dans la mesure où lesdits Services SAP sont exécutés sur ou à partir d'un site SAP. Si SAP exécute les Services SAP sur le site du Client et qu'il a accès aux systèmes et données du Client, SAP doit alors se conformer aux conditions administratives, techniques et physiques raisonnables du Client pour sécuriser lesdites données et les protéger contre tout accès non autorisé. Dans le cadre d'un accès aux systèmes et données du Client, le Client est chargé de fournir au personnel de SAP les autorisations et mots de passe utilisateur pour accéder à ses systèmes et annuler lesdites autorisations et résilier ledit accès, lorsqu'il le jugera pertinent le cas échéant. Le Client n'accorde pas à SAP l'accès aux systèmes ou renseignements personnels (du Client ou de tout tiers) sauf si ledit accès est essentiel pour l'exécution des Services SAP. Le Client ne doit pas conserver des Données à caractère personnel dans des environnements non productifs.
3.2. Modifications
3.2.1. SAP applique les Mesures techniques et organisationnelles définies à l'ensemble des clients SAP bénéficiant du même Service SAP. SAP peut modifier à tout moment sans préavis les Mesures techniques et organisationnelles, tant qu'elles conservent un niveau de sécurité comparable ou renforcé. Les mesures individuelles peuvent être remplacées par de nouvelles mesures ayant la même finalité, sans diminuer le niveau de sécurité assurant la protection des Données à caractère personnel.
3.2.2. SAP publiera les versions mises à jour des Mesures techniques et organisationnelles sur My Trust Center et, là où cette option est disponible, le Client pourra s'inscrire pour recevoir une notification par courriel desdites versions mises à jour.
4. OBLIGATIONS DE SAP
4.1. Instructions du Client
4.1.1. SAP traitera les Données à caractère personnel exclusivement selon les instructions fournies par le Client. Le Contrat (comprenant le présent DPA), constitue lesdites instructions initiales fournies. Le Client peut fournir des instructions supplémentaires pendant l'exécution du Service SAP.
4.1.2. SAP mettra en œuvre des efforts raisonnables pour suivre les instructions du Client, du moment qu'elles sont requises par la Loi en matière de protection des données, qu'elles sont techniquement faisables et qu'elles ne nécessitent aucune modification au niveau de l'exécution du Service SAP. Si l'une des exceptions mentionnées précédemment s'applique, ou si SAP n'est pas en mesure de respecter une instruction ou estime qu'une instruction enfreint la Loi en matière de protection des données, SAP informera immédiatement le Client (courriel autorisé).
4.2. Traitement conforme aux obligations juridiques
SAP peut également traiter les Données à caractère personnel lorsque la loi applicable l'exige. Dans un tel cas, SAP informera le Client des obligations juridiques préalablement au traitement, sauf si ladite loi interdit de tels renseignements pour des raisons d'intérêt public.
4.3. Personnel
Pour traiter les Données à caractère personnel, SAP et ses Sous-traitants ultérieurs doivent uniquement accorder un accès au personnel autorisé qui s'est engagé à respecter la confidentialité. SAP et ses Sous- traitants ultérieurs formeront régulièrement le personnel ayant accès aux Données à caractère personnel aux mesures applicables liées à la sécurité et à la confidentialité des données.
4.4. Coopération
4.4.1. À la demande du Client, SAP coopérera raisonnablement avec le Client et les Responsables du traitement pour répondre aux requêtes émanant de Personnes concernées ou d'une autorité de réglementation à l'égard du traitement des Données à caractère personnel par SAP ou de toute Violation des Données à caractère personnel. Si SAP reçoit une demande de la part d'une Personne concernée en relation avec le traitement de Données à caractère personnel en vertu des présentes, SAP en informera rapidement le Client (lorsque la Personne concernée a fourni des renseignements identifiant le Client) par xxxxxxxx et ne répondra pas à une telle demande mais priera la Personne concernée d’adresser sa demande au Client.
4.4.2. En cas de litige avec une Personne concernée concernant le traitement de Données à caractère personnel par SAP dans le cadre du présent DPA, les parties doivent se tenir informées et, le cas échéant, coopérer raisonnablement en vue de résoudre le litige à l'amiable avec la Personne concernée. SAP corrigera, supprimera ou rendra anonymes les Données à caractère personnel en sa possession (le cas échéant), ou limitera leur traitement, conformément à l'instruction du Client et à la Loi en matière de protection des données.
4.5. Notification d'une Violation des Données à caractère personnel
À compter de la découverte d'une Violation des Données à caractère personnel, SAP en informera le Client dans les meilleurs délais et fournira les renseignements raisonnables en sa possession pour aider le Client à respecter son obligation de signaler une Violation des Données à caractère personnel, conformément à la Loi en matière de protection des données. SAP peut fournir lesdits renseignements en plusieurs phases, au fur et à mesure qu'ils sont mis à disposition. Une telle notification ne saurait être interprétée ou considérée comme une admission de faute ou de responsabilité par SAP.
4.6. Analyse d'impact relative à la protection des données
Si, conformément à la Loi en matière de protection des données, le Client (ou ses Responsables du traitement) est tenu d'effectuer une analyse d'impact relative à la protection des données ou une consultation préalable avec un régulateur, SAP fournira, à la demande du Client, les documents qui sont généralement disponibles pour le Service SAP (tels que le présent DPA, le Contrat, les rapports de vérification ou les certifications). Une assistance supplémentaire doit être convenue d'un commun accord entre les parties.
5. SUPPRESSION DES DONNÉES
Le Client donne l'ordre à SAP par les présentes de supprimer les Données à caractère personnel restant en sa possession (le cas échéant) dans un délai raisonnable, conformément à la Loi en matière de protection des données (sans dépasser six mois) dès lors qu'elles ne sont plus requises aux fins de la signature du Contrat, à moins que la loi applicable n'exige de les conserver.
6. CERTIFICATIONS ET VÉRIFICATIONS
Le Client ou son vérificateur tiers indépendant agréant à SAP (ce qui exclut tout vérificateur tiers qui serait un concurrent de SAP ou qui ne disposerait pas des qualifications ou du statut indépendant requis) peut effectuer une vérification des centres d'exécution des services et de support et des pratiques de sécurité informatique de SAP relativement aux Données à caractère personnel traitées par SAP, seulement si:
a) SAP n'a pas présenté de justificatifs suffisants attestant de la mise en œuvre des Mesures techniques et organisationnelles en fournissant une certification de conformité à xx xxxxx XXX 00000 ou à d'autres normes (périmètre défini dans le certificat). Les certifications sont disponibles sur My Trust Center ou sur demande si la certification n'est pas disponible en ligne; ou
b) une Violation des Données à caractère personnel s'est produite; ou
c) une vérification est officiellement demandée par l'autorité de protection des données du Client; ou
d) une clause contraignante de la Loi en matière de protection des données accorde au Client un droit de vérification direct, étant précisé que le Client ne peut effectuer qu’une seule vérification sur une période de 12 mois, à moins qu’une clause contraignante de la Loi en matière de protection des données n’exige des vérifications plus fréquentes.
6.2. Vérification d'un autre Responsable du traitement
Un autre Responsable du traitement peut effectuer des vérifications de l'environnement de contrôle et des pratiques de sécurité de SAP relativement aux Données à caractère personnel traitées par SAP conformément à la Section 6.1 et dans la mesure autorisée par ladite Section, si l'un des cas prévus s'applique directement à cet autre Responsable du traitement. Ladite vérification doit être effectuée par le Client, sauf si la vérification doit être effectuée par l'autre Responsable du traitement lui-même conformément à la Loi en matière de protection des données. Si plusieurs Responsables du traitement dont les Données à caractères personnel sont traitées par SAP conformément au Contrat requièrent une vérification, le Client doit utiliser tous les moyens raisonnables pour combiner les vérifications et éviter d'en effectuer plusieurs.
6.3. Périmètre de la vérification
Le Client doit fournir un préavis d'au moins 60 jours pour les vérifications, sauf si une clause contraignante de la Loi en matière de protection des données ou une autorité de protection des données compétente exige un délai de préavis plus court. La fréquence, les délais et le périmètre des vérifications doivent être convenus d'un commun accord entre les parties qui agissent de manière raisonnable et de bonne foi. Les vérifications des Clients sont limitées à des vérifications à distance, dans la mesure du possible. Si une vérification sur site est requise, elle ne pourra pas excéder 1 jour d'ouverture. Au-delà desdites restrictions, les parties utiliseront les certifications actuelles ou d'autres rapports de vérification pour éviter ou minimiser la répétition des vérifications. Le Client doit fournir les résultats des vérifications à SAP.
6.4. Coût des vérifications
Le Client doit assumer les frais de la vérification, sauf si ladite vérification révèle un manquement substantiel de SAP au présent DPA. Dans ce cas, SAP devra assumer ses propres frais relatifs à la vérification. S'il est établi, suite à une vérification, que SAP a manqué à ses obligations en vertu du présent DPA, SAP corrigera le manquement immédiatement et à ses propres frais.
7. SOUS-TRAITANTS
7.1. Utilisation autorisée
Une autorisation générale est accordée à SAP pour sous-traiter le traitement des Données à caractère personnel auprès de Sous-traitants ultérieurs, en respectant les conditions suivantes:
a) SAP ou SAP SE pour son compte engage les Sous-traitants ultérieurs dans le cadre d'un contrat écrit (y compris au format électronique), conformément aux conditions du présent DPA en rapport avec le traitement des Données à caractère personnel par le Sous-traitant ultérieur. SAP sera tenu responsable des violations par le Sous-traitant ultérieur, conformément aux conditions du présent Contrat.
b) SAP évalue les pratiques de sécurité, de protection et de confidentialité d'un Sous-traitant ultérieur préalablement à la sélection afin d'établir sa capacité à offrir le niveau de protection des Données à caractère personnel requis par le présent DPA.
c) S’agissant du Support SAP, la liste dressée par SAP des Sous-traitants ultérieurs en place à la date d'entrée en vigueur du Contrat doit être publiée par SAP sur My Trust Center ou mise à la disposition du Client à sa demande, une telle liste devant préciser le nom, l'adresse et le rôle de chaque Sous-traitant ultérieur auquel SAP a recours pour fournir le Service SAP; et
d) S'agissant des Services professionnels, SAP, à la demande du Client, mettra la liste à disposition ou identifiera lesdits Sous-traitants ultérieurs avant le début des Services SAP concernés.
7.2. Nouveaux Sous-traitants ultérieurs
7.2.1. XXX décide à son entière discrétion de recourir à des Sous-traitants ultérieurs, en respectant les conditions suivantes:
a) SAP informera le Client à l'avance des ajouts ou remplacements souhaités sur la liste des Sous-traitants ultérieurs, en précisant le nom, l'adresse et le rôle du nouveau Sous-traitant ultérieur (i) dans le cadre du Support SAP, par le biais d'une publication sur My Trust Center, ou par courriel, lors de l'inscription du
Client sur My Trust Center et (ii) dans le cadre des Services professionnels, par le biais d'une publication similaire sur My Trust Center, ou par courriel, ou sous toute autre forme écrite;
b) Le Client peut s'opposer à de telles modifications, tel que défini dans la Section 7.2.2.
7.2.2. Oppositions à de nouveaux Sous-Traitants ultérieurs
7.2.2.1. Support SAP
Si le Client a un motif valable en vertu de la Loi en matière de protection des données de s'opposer au traitement de Données à caractère personnel par le nouveau Sous-traitant ultérieur, le Client peut résilier le Support SAP moyennant un préavis écrit adressé à SAP, ledit préavis devant être envoyé à SAP au plus tard 30 jours après la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur. Si le Client ne délivre pas à SAP un préavis de résiliation dans ledit délai de 30 jours, le Client est réputé avoir accepté le nouveau Sous-traitant ultérieur. Au cours dudit délai de 30 jours à compter de la date à laquelle SAP informe le Client du nouveau Sous-traitant ultérieur, le Client peut demander à ce que les parties se réunissent de bonne foi pour négocier une résolution à l'opposition. Lesdites négociations ne prolongent pas le délai fixé pour le préavis de résiliation et n'affectent pas le droit de SAP d'utiliser le nouveau Sous-traitant ultérieur à l’issue du délai de 30 jours.
7.2.2.2. Services professionnels
Si le Client a un motif valable en vertu de la Loi en matière de protection des données, en lien avec le traitement de Données à caractère personnel par les Sous-traitants ultérieurs, le Client peut s'opposer au recours par SAP à un Sous-traitant ultérieur, en avisant SAP par écrit dans les 5 jours d'ouverture qui suivent la réception de l'avis de SAP. Si le Client s'oppose au recours à un Sous-traitant ultérieur, les parties se réuniront de bonne foi pour négocier une résolution. SAP peut choisir: (i) de ne pas recourir au Sous-traitant ultérieur ou (ii) de prendre les mesures correctives demandées par le Client dans son objection avant de recourir au Sous-traitant ultérieur ou (iii) si cela n’est pas possible, de recourir au Sous-traitant ultérieur. Si aucune des présentes options ne peut raisonnablement être choisie et que le Client maintient son objection pour un motif légitime, chacune des parties est autorisée à résilier les services concernés moyennant un préavis écrit de 5 jours. Si le Client ne fait pas objection dans les 5 jours qui suivent la réception de l'avis, le Client est réputé avoir accepté le Sous-traitant ultérieur. Si l'objection du Client n'est pas résolue dans les 30 jours qui suivent son dépôt et que SAP n'a pas reçu de préavis de résiliation, le Client est réputé avoir accepté le Sous-traitant ultérieur.
7.2.3. Toute résiliation en vertu de la présente Section ne doit pas être considérée comme étant une faute de l'une ou l'autre des parties et doit être soumise aux conditions du Contrat.
7.3. Remplacement d'urgence
8. TRAITEMENT INTERNATIONAL
8.1. Conditions pour le traitement international
SAP est autorisée à traiter les Données à caractère personnel, y compris en ayant recours à des Sous- traitants ultérieurs, conformément au présent DPA, en dehors du pays dans lequel le Client est situé, ainsi que l’autorise la Loi en matière de protection des données.
8.2. Applicabilité des Clauses contractuelles types (2010)
a) SAP et le Client concluent les Clauses contractuelles types (2010);
c) les autres Responsables du traitement autorisés par le Client à inclure des Données à caractère personnel en vertu du Contrat peuvent également signer des Clauses contractuelles types (2010) avec SAP et/ou les Sous-traitants ultérieurs concernés de la même manière que le Client conformément aux Sections 8.2.1 a) et b) ci-dessus. Dans un tel cas, le Client signera les Clauses contractuelles types (2010) pour le compte des autres Responsables du traitement.
8.2.2. Les Clauses contractuelles types (2010) sont régies par la législation du pays dans lequel le Responsable du traitement concerné est établi.
8.3. Applicabilité des Nouvelles clauses contractuelles types
8.3.1. Les clauses suivantes prennent effet à compter du 27 septembre 2021 et s'appliquent uniquement aux Transferts relevant des nouvelles CCT:
8.3.1.1. Lorsque SAP n'est pas située dans un Pays tiers et agit en qualité d'exportateur de données, SAP (ou SAP SE en son nom) a signé les Nouvelles clauses contractuelles types avec chaque Sous-traitant ultérieur en tant qu'importateur de données. Le Module 3 (Transfert de Sous-traitant à Sous-traitant) des Nouvelles clauses contractuelles types s'applique auxdits Transferts relevant des nouvelles CCT.
8.3.1.2. Lorsque SAP est située dans un Pays tiers:
SAP et le Client concluent par les présentes les Nouvelles clauses contractuelles types avec le Client en tant qu'exportateur de données et SAP en tant qu'importateur de données, l’application desdites clauses se faisant comme suit:
a) le Module 2 (Transfert de Responsable de traitement à Sous-traitant) s'applique lorsque le Client est un Responsable du traitement; et
b) le Module 3 (Transfert de Sous-traitant à Sous-traitant) s'applique lorsque le Client est un Sous-traitant. Lorsque le Client agit en tant que Sous-traitant en vertu du Module 3 (Transfert de Sous-traitant à Sous- traitant) des Nouvelles clauses contractuelles types, SAP reconnaît que le Client agit en tant que Sous- traitant en vertu des instructions de son/ses Responsable(s) du traitement.
8.3.2. D’autres Responsables du traitement ou Sous-traitants dont l'utilisation des Services de support ou professionnels SAP a été autorisée par le Client en vertu du Contrat peuvent également signer les Nouvelles clauses contractuelles types avec SAP de la même manière que le Client conformément à la Section 8.3.1.28.3.1.2 ci-dessus. Dans un tel cas, le Client signe les Nouvelles clauses contractuelles types pour le compte des autres Responsables du traitement ou Sous-traitants.
8.3.3. Dans le contexte d'un Transfert relevant des nouvelles CCT, si une Personne concernée adresse une telle demande au Client, le Client peut mettre à la disposition de Personnes concernées une copie du Module 2 ou 3 des Nouvelles clauses contractuelles types conclues entre le Client et SAP (y compris les Annexes pertinentes).
8.3.4. Le droit applicable aux Nouvelles clauses contractuelles types est le droit allemand.
8.4. Lien entre les Clauses contractuelles types et le Contrat
Rien dans le présent Contrat ne saurait être interprété comme prévalant sur une clause divergente des Clauses contractuelles types (2010) ou des Nouvelles clauses contractuelles types. Pour fins de clarifications, lorsque le présent DPA détaille les règles liées aux vérifications et aux Sous-traitants ultérieurs, lesdites spécifications s'appliquent également en relation avec les Clauses contractuelles types (2010) et les Nouvelles clauses contractuelles types.
8.5. Droit de tiers bénéficiaires en vertu des Nouvelles clauses contractuelles types
8.5.1. Lorsque le Client est situé dans un Pays tiers et agit en qualité d'importateur de données en vertu du Module 2 ou du Module 3 des Nouvelles clauses contractuelles types et que SAP agit en qualité de Sous-traitant ultérieur du Client en vertu du Module applicable, l'exportateur de données concerné dispose du droit de tiers bénéficiaire spécifié ci-après:
8.5.2. Si le Client a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable (dans chaque cas, sans qu’une entité lui ait succédé en assumant les obligations légales du Client en vertu de contrats ou de clauses légales), l'exportateur de données concerné a le droit de résilier le Service concerné, uniquement dans la mesure où les Données à caractère personnel de l'exportateur de données sont traitées. Dans un tel cas, l'exportateur de données concerné demande également à SAP de supprimer ou de renvoyer les Données à caractère personnel.
9. DOCUMENTATION; ENREGISTREMENTS DU TRAITEMENT
Chaque partie est tenue de se conformer aux exigences en matière de documentation qui lui sont propres, notamment la gestion des enregistrements du traitement lorsque la Loi en matière de protection des données l'exige. Chaque partie doit apporter une assistance raisonnable à l'autre partie concernant ses exigences en matière de documentation, y compris fournir les renseignements dont elle a besoin et de la façon dont elle a raisonnablement fait la demande (via un système électronique par exemple) afin que l'autre partie soit en mesure de respecter toute obligation relative à la gestion des enregistrements du traitement.
Annexe 1 Description du traitement
La présente Annexe 1 a pour objet de décrire le Traitement de Données à caractère personnel aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
1. A. LISTE DES PARTIES
1.1. En vertu des Clauses contractuelles types (2010)
1.1.1. Exportateur de données
L'exportateur de données désigne le Client ayant conclu un Contrat de licence et de support et/ou un Contrat de services avec SAP en vertu duquel il bénéficie du Service SAP décrit dans le Contrat applicable. Lorsque l’exportateur de données autorise d’autres Responsables du traitement à utiliser également le Service SAP, ceux-ci sont aussi des exportateurs de données.
1.1.2. Importateur de données
SAP et ses Sous-traitants ultérieurs fournissent le Service SAP tel que défini dans le Contrat applicable conclu avec l'exportateur de données, lequel comprend les Clauses contractuelles types (2010).
1.2. En vertu des Nouvelles clauses contractuelles types
1.2.1. Module 2: Transfert de Responsable de traitement à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est le Responsable du traitement et que SAP est le Sous- traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
1.2.2. Module 3: Transfert de Sous-traitant à Sous-traitant
Si SAP est située dans un Pays tiers, que le Client est un Sous-traitant et que SAP est un Sous-traitant, le Client est l'exportateur de données et SAP est l'importateur de données.
2. B. DESCRIPTION DU TRANSFERT
2.1. Personnes concernées
Sauf décision contraire de l'exportateur de données, les Données à caractère personnel transférées concernent les catégories de Personnes concernées suivantes: employés, prestataires, Partenaires d'affaires
ou autres personnes dont les Données à caractère personnel sont stockées par l’importateur de données, lui ont été transmises, ont été mises à sa disposition ou ont été obtenues ou traitées par ce dernier.
2.2. Catégories de données
Les Données à caractère personnel transférées concernent les catégories de données suivantes:
Le Client détermine les catégories de données et/ou les champs de données pouvant être transféré(e)s par Service SAP tel qu'indiqué dans le Contrat applicable. Les Données à caractère personnel transférées concernent généralement les catégories de données suivantes: nom, numéro de téléphone, adresse courriel, adresse postale, données concernant l'accès aux systèmes, les utilisations et autorisations correspondantes, nom de l'entité légale, données contractuelles, données de facturation et données spécifiques à l'application transférées par les Utilisateurs autorisés, pouvant inclure des données financières telles que des données liées à des comptes bancaires et cartes de crédit ou de débit.
2.3. Catégories spéciales de données (en cas d’accord à ce sujet)
2.3.1. Les Données à caractère personnel transférées peuvent comprendre des catégories spéciales de données à caractère personnel définies dans le Contrat (« Données sensibles »). SAP a pris les Mesures techniques et organisationnelles définies à l'Annexe 2 pour garantir un niveau de sécurité approprié de manière à protéger également les Données sensibles.
2.3.2. Le transfert de Données sensibles peut déclencher l'application des restrictions ou garanties supplémentaires suivantes si nécessaire pour prendre en compte la nature des données et le degré variable de probabilité et de gravité des risques pour les droits et libertés des personnes physiques (le cas échéant):
a) formation du personnel;
b) chiffrement des données en transit et au repos;
c) journalisation des accès au système et journalisation des accès aux données générales.
2.4. Finalités du transfert de données et poursuite du traitement; nature du traitement
2.4.1. Les Données à caractère personnel transférées sont soumises aux activités de traitement de base définies dans le Contrat, notamment:
a) utilisation de Données à caractère personnel pour fournir le Service SAP;
b) stockage de Données à caractère personnel;
c) traitement informatique de Données à caractère personnel pour la transmission de données;
d) amélioration continue des caractéristiques et fonctionnalités fournies dans le cadre du Service de support ou professionnel SAP, notamment l'automatisation, le traitement transactionnel et l'apprentissage automatique; et
e) exécution des instructions du Client conformément au Contrat.
2.4.2. S'agissant du Contrat de licence et de support: SAP ou ses Sous-traitants ultérieurs fournissent une assistance lorsqu'un Client soumet un message de support car le Progiciel n'est pas disponible ou ne fonctionne pas comme prévu. Ils fournissent une réponse par téléphone, apportent des corrections basiques aux erreurs et gèrent les messages de support dans un système de suivi.
2.4.3. En vertu du Contrat de services spécifique aux Services professionnels: SAP ou ses Sous-traitants ultérieurs fournissent les Services régis par le Formulaire de commande et le Périmètre des Services correspondant.
2.5. Description supplémentaire relative aux Nouvelles clauses contractuelles types Modules applicables des Nouvelles clauses contractuelles types
a) Module 2: Transfert de Responsable de traitement à Sous-traitant
b) Module 3: Transfert de Sous-traitant à Sous-traitant
2.6. La fréquence des transferts (par exemple, si les données sont transférées de manière ponctuelle ou continue): Les transferts sont effectués en continu.
2.7. La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée:
2.8. Pour les transferts à des sous-traitants (ultérieurs), précisez également l'objet, la nature et la durée du traitement:
En ce qui concerne les Nouvelles clauses contractuelles types, les transferts aux Sous-traitants ultérieurs doivent s'effectuer selon les mêmes modalités que celles définies dans le DPA.
3. C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
3.1. Concernant les Nouvelles clauses contractuelles types:
3.1.1. Module 2: Transfert de Responsable de traitement à Sous-traitant
3.1.2. Module 3: Transfert de Sous-traitant à Sous-traitant
3.2. Lorsque le Client est l'exportateur de données, l'autorité de contrôle doit être l'autorité de contrôle compétente qui supervise le Client conformément à la Clause 13 des Nouvelles clauses contractuelles types.
Annexe 2 Mesures techniques et organisationnelles
La présente Annexe 2 a pour objet de décrire les Mesures techniques et organisationnelles applicables aux fins des Clauses contractuelles types (2010), des Nouvelles clauses contractuelles types et de la Loi applicable en matière de protection des données.
SAP appliquera et gèrera les Mesures techniques et organisationnelles.