ACCORD DE TRAITEMENT DES DONNÉES (« ATD »)
ACCORD DE TRAITEMENT DES DONNÉES (« ATD »)
I) Clauses générales
1. Portée
L’ATD est incorporé par référence dans l’Accord et fait partie intégrante de celui-ci (tel que défini dans les Conditions générales), à moins que les parties ne concluent un accord de traitement des données distinct dans le cadre d’accords spécifiques. En cas d’incohérence entre l’ATD et toute autre disposition de l’Accord, l’ATD prévaudra.
Le présent ATD s’applique lorsque TD SYNNEX, agissant en qualité de Sous-traitant, traite des données à caractère
personnel pour le compte et conformément aux instructions de l’Acheteur, agissant en son propre nom ou pour le compte de ses clients ou de leurs utilisateurs finaux (« Clients ») en qualité de Responsable du traitement. Il s’applique également au cas où l’Acheteur, agissant en qualité de Sous-traitant, traiterait des données à caractère personnel pour le compte et conformément aux instructions de TD SYNNEX agissant [pour son propre compte ou pour le compte d’un tiers] en qualité de Responsable du traitement.
Le présent ATD ne s’applique pas à TD SYNNEX et à l’Acheteur partageant des données à caractère personnel entre eux en tant que responsables du traitement distincts ou joints.
TD SYNNEX agit généralement comme un contrôleur distinct si :
(a) il recueille des données à caractère personnel dans le cadre des opérations de l’Acheteur (telles que des données à caractère personnel relatives aux employés de l’Acheteur) ;
(b) TD SYNNEX traite les données à caractère personnel de l’utilisateur final fournies par le client de l’Acheteur pour :
(i) effectuer des contrôles de fraude, de lutte contre le blanchiment d’argent, de sanctions et autres contrôles, y compris des filtrages de listes de parties non autorisées, et enquêter et poursuivre les fraudes, le blanchiment d’argent ou les violations de sanctions en lien avec l’établissement et le maintien d’une relation client et la fourniture de services ;
(ii) la conformité aux obligations légales et réglementaires
;
(iii) l’anonymisation et/ou l’analyse des données ; et
(iv) l’exécution de l’Accord, y compris les livraisons directes et, si nécessaire pour l’exécution de l’Accord, le transfert de ces données à caractère personnel à des tiers agissant en tant que responsables du traitement, tels que des transporteurs, des fabricants ou des prestataires de services tiers.
2. Définitions
Tout terme non défini dans le présent ATD ou dans d’autres parties de l’Accord aura la signification qui lui est attribuée en vertu du Règlement général sur la protection des données (UE
2016/679) (RGPD). Les références aux articles du RGPD dans les présentes [Art. RGPD] s’appliqueront uniquement dans la
mesure où le traitement est soumis au RGPD – pour toutes les autres juridictions concernées, les lois applicables en matière de protection des données s’appliquent.
« Pays tiers » désigne tout pays qui n’est ni un État membre de l’Union européenne (« UE ») ou de l’Espace économique européen (« EEE »), ni n’est confirmé par la Commission européenne comme fournissant une protection adéquate des données à caractère personnel conformément à l’article 45(3) du RGPD.
« Traitement des données à caractère personnel de l’EEE » au titre du présent ATD, désigne le traitement des données à caractère personnel qui relèvent du champ d’application du RGPD ou des Lois sur la confidentialité du Royaume-Uni ou de la Suisse.
« Clauses Contractuelles Types » ou « CCT » - désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en ce qui concerne la décision d’exécution de la Commission (UE) 2021/914 du 4 juin 2021 ou toute décision qui la remplace ou la complète ;
« Droit de confidentialité » désigne toutes les lois et réglementations en vigueur relatives au traitement des données à caractère personnel et à la confidentialité qui peuvent exister dans les juridictions concernées, pour les États membres de l’UE ou de l’EEE, ce qui inclut le RGPD ;
« MTO » désigne les mesures techniques et organisationnelles au sens des Lois sur la confidentialité ;
« Autre Sous-traitant » ou « Sous-(Sous-)traitant » désigne les tiers autorisés en vertu du présent ATD à avoir un accès logique aux données à caractère personnel et à les traiter conformément à l’Accord ;
« Transfert de données » désigne toute partie transmettant ou donnant accès à des données à caractère personnel.
« Exportateur » désigne toute partie d’un Transfert de données qui est située dans l’EEE, au Royaume-Uni ou en Suisse.
II) Conditions spéciales pour TD SYNNEX en tant que Sous-traitant
La présente section II s’applique lorsque TD SYNNEX, agissant en qualité de Sous-traitant, traite des données à caractère personnel pour le compte de l’Acheteur et est liée par les instructions de l’Acheteur, agissant en son propre nom ou pour le compte de Clients en qualité de Responsable du traitement. Elle s’applique en plus de la section III ci-dessous. En cas d’incohérence entre les sections II et III, la section II prévaudra.
1. Communication électronique. TD SYNNEX peut fournir à l’Acheteur des informations et des avis dans le cadre du présent ATD par voie électronique, y compris par e-mail, via le site Web standard de TD SYNNEX ou via un site Web que TD SYNNEX identifie.
2. Détails du traitement. En utilisant les Services, l’Acheteur accepte les détails du traitement, y compris la nature, la finalité et l’objet du traitement, les catégories de personnes concernées, les types de données à caractère personnel, les catégories spéciales de données à caractère personnel, les MTO et autres Sous-traitants – le cas échéant – tels que définis dans l’Accord (y compris le
présent ATD) et tels qu’ils sont autrement mis à disposition et communiqués par TD SYNNEX par voie électronique, y compris par e-mail, par le biais du site Web standard de TD SYNNEX, ou par le biais d’un site Web de TD SYNNEX.
3. Clauses contractuelles types. Les CCT, le cas échéant entre TD SYNNEX et l’Acheteur, peuvent être consultées sur le site Web standard de TD SYNNEX, ou par l’intermédiaire d’un site Web que TD SYNNEX identifie.
4. Obligations de TD SYNNEX et de l’Acheteur.
4.1. TD SYNNEX se conformera à toutes les lois sur la confidentialité qui lui sont applicables dans son rôle de Sous-traitant. TD SYNNEX n’est pas tenue de se conformer aux lois ou réglementations applicables au secteur de l’Acheteur ou de ses Clients qui ne sont pas généralement applicables aux fournisseurs des produits respectifs. TD SYNNEX ne détermine pas si les données de l’Acheteur ou de ses Clients comprennent des informations soumises à une loi ou réglementation spécifique.
4.2. L’Acheteur évaluera et déterminera l’adéquation, le caractère approprié et la conformité de l’utilisation des Produits par l’Acheteur ou ses Clients avec les lois et réglementations, y compris les Lois sur la confidentialité, en particulier en ce qui concerne les MTO, les autres Sous- traitants impliqués, l’emplacement du centre de données et le transfert pertinent des données tel que décrit dans l’Accord, y compris l’ATD et les détails du traitement.
4.3. Si l’Acheteur lui-même n’est pas le Responsable du traitement des données à caractère personnel mais traite les données à caractère personnel pour le compte des Clients, l’Acheteur garantit avoir tous les contrats en place et avoir toutes les autorisations et autorisations nécessaires du ou des Client(s) pour :
- agir en relation avec TD SYNNEX en tant que Responsable du traitement en vertu du présent ATD et exercer tous les droits en tant que Responsable du traitement envers TD SYNNEX et ses autres Sous-traitants en ce qui concerne le présent ATD ;
- utiliser TD SYNNEX en tant que Sous-traitant pour traiter des données à caractère personnel, comme indiqué dans l’Accord, y compris le présent ATD et les détails du traitement ;
- être le point de contact unique de TD SYNNEX pour toutes les instructions, avis, informations et communications
en lien avec le présent ATD et pour assurer l’interface de la communication pertinente entre les Clients et TD
SYNNEX, lorsque la loi l’exige. TD SYNNEX sera déchargée de toute obligation d’informer ou de notifier un Client lorsque TD SYNNEX aura fourni lesdites informations ou avis à l’Acheteur. TD SYNNEX servira de point de contact unique en vue des autres Sous-traitants de TD SYNNEX.
- exercer les droits des Exportateurs conformément aux clauses contractuelles types – le cas échéant – à l’égard de
(i) TD SYNNEX et/ou (ii) ses autres Sous-traitants via TD SYNNEX pour le compte de l’Exportateur.
III) Conditions générales de traitement
La présente section III s’applique en plus de la section II où TD SYNNEX, agissant en qualité de Sous-traitant, traite les données à caractère personnel pour le compte de l’Acheteur et est liée par les instructions de l’Acheteur, agissant en son nom propre ou pour le compte de Clients en qualité de Responsable du traitement. Elle s’applique également au cas où l’Acheteur, agissant en qualité de Sous-traitant, traiterait des données
à caractère personnel pour le compte et conformément aux instructions de TD SYNNEX agissant [pour son propre compte ou pour le compte d’un tiers] en qualité de Responsable du traitement.
1. Obligations du Responsable du traitement
1.1. Le Responsable du traitement sera seul responsable du respect de toutes les obligations statutaires d’un Responsable du traitement compte tenu du traitement conformément aux Lois sur la confidentialité. Le Responsable du traitement devra, à la résiliation ou à
l’expiration de l’Accord et par le biais d’une instruction, stipuler les mesures visant à restituer les supports de données, y compris les données à caractère personnel, ou à effacer les données à caractère personnel stockées, et notifiera le Sous-traitant sans retard injustifié de toute
erreur ou irrégularité dont il a connaissance en lien avec le traitement des données à caractère personnel par le Sous- traitant.
1.2. Le Responsable du traitement n’utilisera pas les Produits conjointement avec des données à caractère personnel dans la mesure où cela violerait les Lois sur la confidentialité et obligerait ses Clients en conséquence.
2. Obligations du Sous-traitant
2.1. Conformité aux obligations du Sous-traitant.
Le Sous-traitant se conformera à toutes les obligations applicables aux Sous-traitants conformément à la Loi sur la confidentialité des données de l’EEE. Le Sous-traitant n’est pas responsable de la détermination des exigences des lois applicables à l’activité ou à l’industrie du contrôleur ou des Clients, ni du fait que la fourniture des Produits par le Sous-traitant réponde aux exigences de ces lois.
2.2. Instructions. Le Sous-traitant traitera les données à caractère personnel uniquement conformément aux
instructions écrites du Responsable du traitement, qui sont définies dans l’Accord, y compris le présent ATD et ses annexes, le cas échéant, l’utilisation et la configuration autorisées des Produits par les responsables du traitement ou autrement par écrit. Le Sous-traitant informera immédiatement le Responsable du traitement si le Sous- traitant estime que les instructions du Responsable
du traitement sont en violation de la loi applicable en matière de protection des données, et/ou des obligations contractuelles en vertu de l’Accord, y compris le présent ATD. Le Sous-traitant est autorisé à suspendre la mise
en œuvre desdites instructions jusqu’à ce qu’elles soient examinées par le Responsable du traitement et confirmées ou modifiées en conséquence. Le Sous-traitant est autorisé à traiter des données à caractère personnel sans instruction du Responsable du traitement si la législation de l’UE
ou de ses États membres à laquelle le Sous-traitant est soumis l’exige ; dans ce cas, le Sous-traitant informera le Responsable du traitement de cette exigence légale avant le traitement, à moins que cette législation n’interdise cette information pour des raisons importantes d’intérêt public.
2.3. Divulgation/Accès. Le Sous-traitant s’engage à ne pas divulguer de données à caractère personnel à des tiers, sauf autorisation du Responsable du traitement ou si la loi de l’UE ou de ses États membres l’exige. Si ladite loi exige de donner à un tiers, ou à un gouvernement, un tribunal ou une autorité de contrôle sur la base de ladite loi, l’accès aux données à caractère personnel sera demandé au Sous-
traitant avant la divulgation, sauf si la loi l’interdit pour des motifs importants d’intérêt public. À moins que la loi de l’UE ou de ses États membres ne l’exige, le Sous-traitant ne divulguera ni ne communiquera aucune donnée à caractère personnel en réponse à une telle demande adressée au Sous-traitant sans consulter au préalable le Responsable du traitement. Lorsque les données à caractère personnel du Responsable du traitement font l’objet d’une perquisition
et d’une saisie, d’une confiscation au cours d’une procédure de faillite ou d’insolvabilité, ou d’événements ou mesures similaires par des tiers pendant le traitement, le Sous- traitant en informera le Responsable du traitement sans retard injustifié.
2.4. Devoir de confiance. Le Sous-traitant exige que l’ensemble de son personnel et des personnes chargées du traitement des données à caractère personnel s’engagent à respecter la confidentialité, sauf si une obligation légale de confidentialité appropriée s’applique, et ne traitent pas ces données à caractère personnel à d’autres fins, sauf sur instructions du Responsable du traitement ou autrement exigées par la loi de l’UE ou de ses États membres.
2.5. Droits des Personnes concernées. Le Sous-traitant s’engage à assister raisonnablement le Responsable du traitement à la demande du Responsable du traitement et comme l’exige la loi, en fournissant l’accès aux personnes concernées et pour répondre à toutes les demandes,
les plaintes ou autres communications d’une personne concernée, y compris les demandes des personnes concernées cherchant à exercer leurs droits en vertu des Lois sur la protection de la vie privée. Si une telle demande, plainte ou communication est reçue par ou autrement faite au Sous-traitant, le Sous-traitant informera le Responsable du traitement sans retard injustifié, si le Sous-traitant est capable de corréler les données soumises au Responsable du traitement.
2.6. Violation de données. Le Sous-traitant notifiera le Responsable du traitement sans délai injustifié après avoir pris connaissance de toute violation de données à caractère personnel (« Violation de données ») affectant les données à caractère personnel du Responsable du traitement. Le Sous-traitant prendra les mesures et les mesures raisonnables pour remédier ou atténuer les effets de la Violation de données à caractère personnel et
aidera le Responsable du traitement à assurer le respect de ses obligations en vertu de la loi sur la confidentialité applicable pour notifier la Violation de données aux autorités de contrôle et aux personnes concernées prenant en compte la nature du traitement des informations
de traitement disponibles. En particulier, les Sous- traitants devront coopérer avec le Responsable du traitement en fournissant des mises à jour régulières et d’autres informations raisonnablement demandées. Tout communiqué de presse, notification, annonce publique ou réglementaire ou communication concernant une Violation de données sera effectué par le Responsable du traitement à la seule discrétion du Responsable du traitement, sauf disposition contraire des lois en vigueur.
2.7. Assistance aux obligations du Responsable du traitement. Le Sous-traitant devra raisonnablement aider le Responsable du traitement, à la demande de ce dernier, à remplir ses obligations en matière de sécurité du traitement, d’évaluation de l’impact sur la protection des données et de consultations préalables, en tenant compte des informations dont dispose TD SYNNEX et de la nature du traitement. Le Sous-traitant s’engage à fournir une assistance dans le cadre d’audits de toute autorité de contrôle compétente dans la mesure où cet audit concerne le traitement des données à caractère
personnel par le Sous-traitant en vertu du présent Accord et tel que raisonnablement demandé par le Responsable du traitement. L’assistance du Sous-traitant peut être soumise à des frais raisonnables à moins que l’assistance du Sous- traitant ne soit déjà traitée dans l’Accord en conséquence.
2.8. Fin du contrat. Le Sous-traitant devra, au choix du Responsable du traitement, supprimer ou renvoyer toutes les données à caractère personnel au Responsable du traitement à la résiliation ou à l’expiration de l’Accord, et supprimer les copies existantes, sauf si la législation de l’UE ou d’un État membre exige le stockage des données à caractère personnel par le Sous-traitant.
3. Mesures Techniques et Organisationnelles de sécurité
3.1. Le Sous-traitant et le Responsable du traitement doivent mettre en œuvre et maintenir les MTO conformément à la Loi sur la confidentialité applicable. Il s’agit notamment de mettre en œuvre et de maintenir des MTO pour assurer un niveau de sécurité adapté aux risques ou aux
dommages encourus par les données à caractère personnel, approprié au préjudice pouvant résulter du traitement non autorisé ou illicite ou de la perte, de la destruction ou de l’endommagement accidentels et à la nature des données
à protéger, compte tenu de l’état de développement technologique et du coût de mise en œuvre de toute mesure (ces mesures peuvent inclure, le cas échéant, la pseudonymisation et le cryptage des données à caractère personnel, la garantie de la confidentialité, de l’intégrité, de la disponibilité et de la résilience de ses systèmes et services).
3.2. Les MTO sont soumises aux progrès techniques et au développement ultérieur. Le Sous-traitant se réserve le droit de modifier les mesures et les garanties mises en œuvre, à condition, toutefois, que la fonctionnalité et la
sécurité des Produits ne soient pas dégradées. Toutes les décisions importantes relatives à la sécurité sur
l’organisation du traitement des données et les procédures appliquées doivent être notifiées au Responsable du traitement.
3.3. En utilisant un Produit, le Responsable du traitement reconnaît les MTO tels que décrites dans l’Accord et/ou fournies par le Sous-traitant et confirme que les MTO fournissent un niveau de protection adéquat en ce qui concerne les risques associés au traitement des données à caractère personnel.
4. Obligations de documentation et d’audit
4.1. À la demande du Responsable du traitement, le Sous- traitant mettra à la disposition du Responsable du traitement, ou d’un tiers autorisé agissant pour le compte du Responsable du traitement, les informations nécessaires pour que le Responsable du traitement ou les Clients se conforment à leurs propres obligations d’audit en vertu
des lois applicables en matière de protection des données ou de la demande d’une autorité de contrôle, et permettra et contribuera aux examens et audits, y compris les inspections, comme stipulé ci-dessous.
4.2. Le Responsable du traitement peut demander au Sous- traitant de fournir des informations pertinentes sur les MTO, y compris, le cas échéant, les certificats, rapports ou extraits d’auditeurs provenant de rapports fournis par des organismes indépendants (par ex., auditeur, délégué à la protection des données, service de sécurité informatique, auditeur de confidentialité des données, auditeur de qualité).
4.3. Dans la mesure où il n’est pas possible de satisfaire autrement à une obligation d’audit mandatée par la Loi sur la protection de la vie privée applicable, le Responsable
du traitement ou son auditeur mandaté pourra effectuer des audits personnels sur site au coût du Responsable du traitement sur une base individuelle, généralement pas plus d’une fois par an, pendant les heures de travail normales, avec une interférence raisonnable avec les opérations du Sous-traitant et sur préavis raisonnable.
Le Sous-traitant pourra déterminer que ces audits et inspections sont soumis à l’exécution d’un engagement de confidentialité protégeant les données d’autres clients et la confidentialité des MTO et des garanties mises en œuvre.
4.4. Le Responsable du traitement informera le Sous-traitant sans retard injustifié de toute erreur ou irrégularité détectée au cours d’un audit.
5. Autre Sous-traitant
5.1. Le Responsable du traitement autorise par les présentes le Sous-traitant à transférer des données à caractère personnel ou à donner accès aux données à caractère
personnel à d’autres Sous-traitants qu’il engage (et permet à d’autres Sous-traitants de le faire conformément à la présente Clause 5) aux fins de fournir les Produits sous réserve des obligations du Responsable du traitement
en vertu de la présente Clause 5. L’autorisation ci-dessus constitue le consentement écrit préalable du Responsable du traitement à l’implication d’autres Sous-traitants par le
Sous-traitant si ledit consentement est requis en vertu des clauses contractuelles types ou de la Loi sur la protection de la vie privée. Le Sous-traitant demeure responsable
du respect par ses autres Sous-traitants des obligations du présent ATD. Le Sous-traitant met à la disposition du
Responsable du traitement une liste actuelle d’autres Sous- traitants, par exemple sur le site Web d’un Sous-traitant.
5.2 Le Responsable du traitement sera autorisé à s’opposer à l’engagement d’un nouveau Sous-traitant dans les 10 jours suivant la notification. Autrement, le Responsable du traitement sera réputé avoir approuvé cette nouvelle
affectation ou ce changement. Lorsqu’il existe une raison importante d’émettre une objection, et en l’absence d’une résolution amiable de cette affaire par les parties, le Responsable du traitement sera en droit de résilier l’Accord concernant le Produit concerné.
5.3 Le Sous-traitant conclut des accords écrits avec l’autre Sous-traitant qu’il engage, n’étant pas moins protecteurs que ceux stipulés dans le présent ATD. Ces accords fournissent en particulier des garanties suffisantes pour mettre en œuvre les MTO appropriés.
6. Transfert international de données
6.1. Le Responsable du traitement autorise le Sous-traitant à transférer ou à donner accès aux données à caractère
personnel dans le cadre des services décrits dans l’Accord, les détails du traitement et/ou les Clauses Contractuelles Types (CCT), le cas échéant.
6.2. Tout traitement de données à caractère personnel en dehors du pays ou de la région où le Responsable du traitement est situé est soumis à un mécanisme de transfert de données adéquat si et comme l’exige la Loi sur la protection de la vie privée.
6.3. Pour les transferts internationaux de données dans le cadre du Traitement des Données à caractère personnel de l’EEE, les CCT doivent être exécutées entre TD SYNNEX et l’Acheteur si la partie transmettant ou donnant accès aux données à caractère personnel se trouve dans l’EEE, au Royaume-Uni ou en Suisse et l’autre partie, recevant ou ayant accès à ces données se trouve dans un Pays tiers. Les
conditions du présent ATD ne sont pas destinées à modifier les CCT, mais à apporter des clarifications en termes de processus et de procédures de conformité aux CCT. En cas de conflit entre les dispositions du présent ATD et les CCT, les CCT prévaudront.
6.4. Pour les Transferts de données en lien avec le recours à d’autres Sous-traitants, le Sous-traitant conclut les clauses contractuelles types applicables (du Sous-traitant au
Sous-traitant) avec les autres Sous-traitants et oblige les autres Sous-traitants à effectuer tout transfert ultérieur en conséquence.
7. Confidentialité
Les Parties ne divulgueront aucune information confidentielle partagée en lien avec le présent ATD, sauf (i) comme
requis dans le présent ATD ou dans les instructions des parties, (ii) comme requis par la loi, (iii) en réponse à une autorité compétente ou à un organisme réglementaire ou gouvernemental, et (iv) pour les divulgations à ses employés,
agents et Sous-traitants qui sont liés par la confidentialité sur la base du besoin de savoir.