ACCORD RELATIF À LA PROTECTION DES DONNÉES ASSISTANCE TECHNIQUE ET MAINTENANCE
ACCORD RELATIF À LA PROTECTION DES DONNÉES ASSISTANCE TECHNIQUE ET MAINTENANCE
Le présent Accord relatif à la Protection des Données et ses annexes (dénommés l’« APD ») fixe les normes minimales en matière de protection des données et de cybersécurité et les exigences correspondantes et fait partie intégrante du contrat, y compris un accord commercial, un accord de prestation de services ou une commande, (dénommé l’« Accord ») (à l’exception de l’Accord Utilisateur Cepheid C360). Le présent APD est conclu par et entre le Client (tel que défini dans l’Accord) et Cepheid (telle que définie dans l’Accord) et demeurera pleinement en vigueur pendant la durée de l’Accord. Cepheid et le Client sont ci-après dé- nommés individuellement une « Partie » ou collectivement les « Parties ».
Les Parties conviennent qu’en cas de Traitement de Données à Caractère Personnel dans le cadre de l’Ac- cord, les conditions du présent APD s’appliqueront audit Accord, qu’elles soient ou non expressément men- tionnées dans ledit Accord.
DÈS LORS, en considération des attendus formulés ci-dessus et des engagements réciproques énoncés dans les présentes, les parties conviennent ce qui suit :
1. Définitions.
(A) « Loi Applicable » désigne toute loi (y compris toutes les lois et réglementations internationales sur la vie privée et la protection des données applicables aux Données à Caractère Personnel en question, xxxxxxxxx, x’xx y a lieu, la Loi sur la Protection des Données de l’UE ou la POPIA (Protec- tion of Personal Information Act - Loi sur la Protection des Informations Personnelles [en Afrique du Sud]), tout règlement ou toute réglementation applicables à l’Accord, aux Services ou aux Par- ties, ainsi que toutes normes applicables dans le secteur d’activité relativement à la vie privée, la protection des données, la confidentialité, la sécurité des informations, la disponibilité et l’inté- grité, ou la manipulation ou le Traitement (y compris la conservation et la divulgation) des Données à Caractère Personnel, tels que modifiés, réglementés, révisés ou remplacés de temps à autre.
(B) « Responsable du Traitement », « Sous-traitant », « Personne Concernée », « Données à Caractère Personnel ou Informations Personnelles », « Traiter », « Traitement », « Catégories Particulières de Données à Caractère Personnel » et « Informations Personnelles Sensibles » auront le sens qui leur est donné dans la Loi Applicable.
(C) « Violation des Données » désigne (i) la perte ou l’utilisation abusive (par tous moyens) de Données à Caractère Personnel ; (ii) la divulgation, la modification, la corruption, le transfert, la vente, la location, la destruction ou l’utilisation des Données à Caractère Personnel ou l'accès auxdites don- nées, de manière involontaire, non autorisée et/ou illégale ; ou (iii) toute autre action ou omission compromettant ou susceptible de compromettre la sécurité, la confidentialité ou l'intégrité des Données à Caractère Personnel, ou (iv) toute violation des garanties de sécurité.
(D) « Loi de l’Union européenne / du Royaume-Uni / de la Suisse sur la Protection des Données » dé- signe (i) le Règlement n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre cir- culation de ces données (Règlement Général sur la Protection des Données (le « RGDP de l’UE »)) ;
(ii) le RGPD de l’UE tel que sauvegardé dans la loi du Royaume-Uni en vertu de la section 3 de la Loi de 2018 sur le Retrait de l’Union européenne du Royaume-Uni (le « RGDP du R.-U. ») ; (iii) en Suisse, la Loi fédérale sur la Protection des Données du 19 juin 1992 (version révisée) (la « LPD ») ;
v.230117
(iv) la Directive européenne Vie privée et Communications Électroniques (Directive 2002/58/CE) ; et (iii) toutes lois nationales applicables sur la protection des données adoptées en vertu ou aux termes des textes visés aux points (i), (ii) or (iii) ; dans chaque cas, tel(le) que modifié(e) ou rem- placé(e) de temps à autre.
(E) « Données à Caractère Personnel » désigne, sous toute forme, tout format ou tout support, toutes
(a) informations confidentielles du Client ; et/ou (b) données correspondant à toutes informations permettant d'identifier une personne. Dans un souci de clarté, par Données à Caractère Personnel il est également entendu les Informations Personnelles.
(F) « POPIA » désigne la Protection of Personal Information Act (Loi sur la Protection des Informations Personnelles) d’Afrique du Sud, à savoir la Loi qui traite de la protection et de la réglementation du traitement des informations personnelles au sein du territoire de la République d’Afrique du Sud, approuvée le 13 novembre 2013 et entrée en vigueur au 1er juillet 2020.
(G) « Transfert Soumis à Restriction » désigne (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à Caractère Personnel vers un pays situé hors de l’Espace économique européen qui ne fait pas l’objet d’une décision d’adéquation par la Commission européenne ; (ii) lorsque le RGPD du R.-U. s’applique, un transfert de Données à Caractère Personnel vers tout autre pays qui ne s’appuie pas sur des réglementations en matière d’adéquation aux termes de la Section 17A de la Loi de 2018 du Royaume-Uni sur la Protection des Données ; (iii) lorsque la LPD s’applique, une divulgation transfrontalière en l’absence de législation garantissant une protection adéquate aux termes de l’Article 6 de la LPD ; et (iv) lorsque la POPIA s’applique, un transfert ou une divulgation transfrontalier(-ière) ou un échange d’informations hors de la République d’Afrique du Sud.
(H) « Clauses Contractuelles Types » désigne (i) lorsque le RGPD de l’UE s’applique, les clauses con- tractuelles annexées à la Décision de mise en œuvre de l’Union européenne 2021/914 du 4 juin 2021 sur les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers aux termes du Règlement (UE) 2016/679 du Parlement européen et du Conseil (les
« CCT de l’UE »); (ii) lorsque le RGPD du R.-U. s’applique, l’« Avenant aux Clauses Contractuelles Types de la Commission de l’UE sur les Transferts de Données Internationaux » publié par le Com- missaire à l’Information aux termes de l’alinéa s.119A(1) de la Loi de 2018 sur la Protection des données (l’ « Avenant du R.-U. ») ; (iii) lorsque la LPD s’applique, les modèles de contrats et les clauses contractuelles types reconnus par le Préposé Fédéral à la Protection des Données et à la Transparence de la Suisse (le « PFPDT ») aux termes de l’Article 6, paragraphe, 2 alinéa a de la LPD conformément au communiqué du PFPDT en date du 27 août 2021 (initialement disponible à l’adresse suivante : xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xx- per%20SCC%20def.en%2024082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.p df) (l’ « Avenant Suisse ») ; et (iv) lorsque la POPIA s’applique, les clauses contractuelles relatives à la protection, au traitement et au transfert des informations personnelles, signées par deux ou plusieurs parties à l’égard desdites informations.
(I) « Services » désigne les services que Cepheid exécute en vertu de l’Accord.
(J) « Sous-traitant Ultérieur » désigne toute entité ou personne à laquelle le Sous-traitant sous-traite ses responsabilités.
(K) Le cas échéant, les autres termes commençant par une majuscule sont tels que définis dans l’Ac- cord.
v. 230117
2. Relations des Parties :
2.1 Le Client (le « Responsable du Traitement ») désigne Cepheid en qualité de Sous-traitant pour Trai- ter les Données à Caractère Personnel décrites à l’Annexe 1 au présent APD aux fins qui y sont énon- cées (ou conformément à ce qui est autrement convenu par écrit par les Parties) (la « Finalité Autori- sée »). Chaque partie respectera les obligations qui s'appliquent à elle dans le cadre de la Loi Appli- cable.
Le Client reconnaît et convient du fait que Xxxxxxx pourra engager ses entités affiliées et/ou des Sous- traitants Ultérieurs tiers relativement à la prestation des Services. Cepheid reste pleinement respon- sable dudit tiers vis-à-vis du Client et conclura un accord écrit exécutoire avec ledit tiers qui inclura des modalités qui ne seront pas moins restrictives que les obligations applicables au Client en vertu du présent APD.
2.2 Cepheid collecte et traite les données d’identification nécessaires aux fins de la conclusion et de l’exécution de l’Accord, et plus largement aux fins de la gestion de la relation commerciale entre les Parties, ainsi que de l'envoi d'informations sur des produits, biens et services ou des produits, biens ou services connexes provenant d’entités affiliées.
Pour toutes informations complémentaires, la Privacy Policy (Politique de Confidentialité) de Cepheid est disponible sur le site Internet de Cepheid ou vous pouvez prendre contact avec Cepheid en écrivant à l’adresse e-mail suivante : xxxxxxx.xxxxxxx@xxxxxxx.xxx.
Le Client s'engage à informer toute personne concernée des activités de traitement de Cepheid et par conséquent à fournir l’avis en matière de confidentialité et vie privée de Cepheid.
3. Exigences générales.
3.1 Dès lors que Cepheid Traite des Données à Caractère Personnel pour le compte du Client, Xxxxxxx s’engage à :
i) respecter toutes les lois applicables, y compris la Loi Applicable, dans le cadre du Traitement des Données à Caractère Personnel ;
ii) sauf si la loi applicable l’exige, traiter les Données à Caractère Personnel uniquement pour le compte du Client et seulement dans la mesure nécessaire pour fournir les Services au Client et conformément à toutes les lois applicables, y compris la Loi Applicable, ainsi qu’aux instruc- tions documentées du Client ;
iii) mettre en œuvre et maintenir des mesures de sécurité technique et organisationnelle raison- nables et appropriées afin de garantir un niveau de sécurité adapté au risque, y compris, selon le cas, les mesures mentionnées à l’Article 32, xxxxxx (1) du RGPD de l’UE et du R.-U. (y compris les mesures exigées aux termes de la Norme sur la Sécurité des Données du Secteur des Cartes de Paiement si Cepheid Traite des données concernant des titulaires de carte ou d'autres comptes financiers) afin de protéger les Données à Caractère Personnel (i) contre toute des- truction accidentelle ou illégale, et (ii) contre toute perte, modification, divulgation non auto- risée des Données à Caractère Personnel ou tout accès non autorisé auxdites Données à Ca- ractère Personnel ; lesdites mesures devant inclure au minimum les mesures identifiées à l’An- nexe 2 ;
iv) autoriser l’accès aux Données à Caractère Personnel uniquement au personnel de Cepheid qui a besoin d'avoir accès aux Données à Caractère Personnel utiles conformément à ce qui sera raisonnablement nécessaire aux fins de l’Accord, tous lesdits membres du personnel étant soumis à un devoir de confidentialité ;
v. 230117
v) apporter toute l'assistance raisonnable et opportune (y compris en mettant en œuvre les me- sures techniques et organisationnelles raisonnables et appropriées) pour aider le Client à ré- pondre à : (i) toute demande de la part d'une Personne Concernée visant à exercer l’un quel- conque de ses droits en vertu de la Loi Applicable (y compris ses droits d'accès, de correction, d’objection, d’effacement ou de portabilité des données, selon le cas) ; et (ii) toute autre cor- respondance, demande ou plainte reçue de la part d'une Personne Concernée, d'une autorité de contrôle ou de tout autre tiers dans le cadre du Traitement des Données à Caractère Per- sonnel. Si ladite demande, correspondance ou plainte est formulée directement à l'attention de Xxxxxxx, Cepheid en informera rapidement le Client en lui donnant des informations dé- taillées sur ladite demande, correspondance ou plainte ;
vi) notifier rapidement au Client :
a) toute demande, requête, plainte, notification ou communication reçue de la part de tout tiers, y compris une Personne Concernée ou une autorité de contrôle, relativement à toutes Données à Caractère Personnel, et respecter les instructions du Client dans le cadre de la réponse à donner à ladite demande, requête, plainte, notification ou communica- tion ; et
b) toute instruction donnée par le Client que Cepheid considère être en violation des lois applicables, y compris la Loi Applicable ;
vii) en cas de transfert international, les Parties conviennent que lorsque le transfert des Données à Caractère Personnel est un Transfert Soumis à Restriction, il sera soumis aux Clauses Con- tractuelles Types applicables stipulées à l’Annexe 3.
viii) à la demande raisonnable du Client et moyennant un préavis raisonnable, soumettre à un audit les installations que Xxxxxxx utilise pour Traiter les Données à Caractère Personnel et/ou les Informations Personnelles ledit audit devant être mené par des représentants du Client ou un organisme d’audit convenu entre les deux Parties et les coûts y afférents étant exclusivement à la charge du Client ;
ix) tenir les registres appropriés attestant de son respect des obligations lui incombant en vertu du présent APD et les mettre à disposition du Client relativement à tout audit visé à l’ali- néa (viii) ci-dessus ;
x) sauf si Cepheid a mis en place des Clauses Contractuelles Types relativement à tout Transfert Soumis à Restriction de Données à Caractère Personnel, ne pas transférer toutes Données à Caractère Personnel depuis toute juridiction vers toute autre juridiction sans le consentement préalable écrit du Client ;
xx) apporter son assistance et sa coopération au Client dans la mesure du raisonnable, y compris aider le Client à procéder à toute analyse d’impact relative à la protection des données ou toute analyse d’impact relative à la vie privée (conformément à ce qu’impose la Loi Appli- cable), et avant toute consultation des autorités compétentes, aider le Client à se conformer aux obligations lui incombant en vertu de la Loi Applicable ;
xii) conserver les Données à Caractère Personnel aussi longtemps que nécessaire aux fins d’exé- cuter les Services et, à l’issue de la prestation des Services, au gré du Client, supprimer ou restituer au Client les Données à Caractère Personnel (à moins que la loi applicable ne l’exige expressément autrement) et fournir au Client, si une demande est formulée en ce sens, un certificat écrit attestant que Xxxxxxx s’est conformée aux dispositions du présent article ;
v. 230117
xiii) si Cepheid a raisonnablement lieu de suspecter ou a connaissance d’une Violation des Don- nées :
a) fournir au Client une notification écrite de ladite violation dans les meilleurs délais et dans tous les cas dans les vingt-quatre (24) heures suivant le moment où Xxxxxxx a eu connais- sance de ladite Violation des Données présumée ou confirmée ;
b) fournir au Client des informations lui permettant de signaler la Violation des Données ou d'en informer les Personnes Concernées, le cas échéant ;
c) mener une enquête sur ladite Violation des Données et coopérer dans une mesure raison- nable avec le Client, les autorités de réglementation et les autorités chargées de l’applica- tion des lois ;
d) ne faire aucune annonce publique concernant ladite Violation des Données sans l'appro- bation préalable écrite du Client, approbation qui ne devra pas être refusée sans motif raisonnable ; et
e) prendre les mesures correctives raisonnables en temps opportun aux fins d'apporter son assistance dans le cadre de l’enquête, de l’atténuation et de la réparation d'une Violation des Données et aux fins de pallier et d’atténuer le risque de récidive de ladite Violation des Données ; et
xiv) se soumettre au choix de la juridiction stipulée dans l’Accord relativement à tous litiges ou toutes réclamations découlant de quelque manière que ce soit du présent APD, y compris les litiges portant sur son existence, sa validité ou sa résiliation ou les conséquences de sa nullité ; et le présent APD et toutes les obligations non contractuelles ou autres obligations en décou- lant, directement ou indirectement, seront régis par la loi du pays ou du territoire stipulé à cette fin dans l’Accord.
3.2 Les Parties ne prendront pas part (ni ne permettront que quelque Sous-traitant Ultérieur que ce soit prenne part) à d’autres Transferts Soumis à Restriction de Données à Caractère Personnel (que ce soit en tant qu’exportateur ou importateur des Données à Caractère Personnel) sauf si le Transfert Soumis à Restriction est exécuté en totale conformité avec la Loi Applicable et aux termes des Clauses Contractuelles Types mises en œuvre entre l’exportateur et l’importateur concernés des Données à Caractère Personnel.
3.3 Le Client autorise Cepheid à désigner des Sous-traitants Ultérieurs (et à permettre à chaque Sous- traitant Ultérieur de désigner d’autres Sous-traitants) conformément au présent Alinéa 3.3 et à toutes restrictions figurant dans l’Accord.
3.3.1 Le Client accorde par la présente à Cepheid un consentement général pour qu’elle fasse appel à tous Sous-traitants Ultérieurs déjà engagés à la date du présent APD, à condition que Cepheid demeure entièrement responsable dudit tiers vis-à-vis du Client et que, dans chaque cas et dès lors que cela sera possible, elle conclue avec ledit tiers un accord écrit exécutoire qui inclura des modalités qui ne seront pas moins restrictives que les obligations applicables à Cepheid en vertu du présent APD.
3.3.2 Cepheid tiendra une liste de ses sous-traitants ultérieurs autorisés qui sera disponible sur de- mande.
4. Dispositions diverses.
v. 230117
Le cas échéant, les Clauses Contractuelles Types, y compris les Annexes 1 à 4, s’appliqueront et prévau- dront en cas de conflit ou contradiction entre les dispositions du présent APD et les dispositions des Clauses Contractuelles Types.
v. 230117
Annexe 1
Description du Traitement des Données
La présente Annexe 1 fait partie intégrante de l’APD et décrit le Traitement que le Sous-traitant exécutera pour le compte du Responsable du Traitement.
Liste des Parties Sous-traitant :
1. | Nom : | Cepheid, entité identifiée dans l’Accord |
Adresse : | Telle que définie dans l’Accord | |
Nom, fonction et coordonnées de la per- sonne de contact : | Tels que définis dans l’Accord ou entre les Parties | |
Activités applicables aux données trans- férées en vertu des présentes Clauses : | Décrites dans la présente Annexe 1 | |
Fonction : | Sous-traitant |
Responsable du traitement :
1. | Nom : | Client, entité identifiée dans l’Accord |
Adresse : | Telle que définie dans l’Accord | |
Nom, fonction et coordonnées de la per- sonne de contact : | Tels que définis dans l’Accord ou entre les Parties | |
Activités applicables aux données trans- férées en vertu des présents Clauses : | Décrites dans la présente Annexe 1 | |
Fonction : | Responsable du Traitement |
Description du transfert Objet du Traitement
Les Données à Caractère Personnel seront traitées aux fins suivantes :
Assistance technique, optimisation du déroulement des opérations assistance de haut niveau, minimisa- tion des interruptions pour le Client, réponse au retour d'information du Client, questions réglementaires, prise de mesures, analyses Client, vérification de la connectivité (diagnostic des pannes, mise en œuvre / système d’information de laboratoire (LIS)), vigilance post-marché, audits
Durée du Traitement
Les Données à Caractère Personnel seront traitées comme suit :
Les analyses Client : données Traitées aussi longtemps que nécessaire aux fins de répondre aux finalités prévues et de fournir les services demandés aux termes de l’Accord, sauf accord contraire convenu par écrit
Concernant l’Assistance technique, l’assistance de haut niveau, la minimisation des interruptions pour le Client, la réponse au retour d'information du Client, les questions réglementaires, la prise de mesures, la vérification de la connectivité : jusqu’à la résolution du problème
v. 230117
Toutes les données peuvent être conservées dans des archives à des fins de vigilance post-marché et d'au- dit pour des périodes de conservation conformes à la Réglementation
Fréquence du transfert
Les Données à Caractère Personnel seront traitées en continu.
Nature du traitement :
Opérations de traitement
Les Données à Caractère Personnel seront soumises aux activités de Traitement de base suivantes : archivage, stockage, consultation, utilisation, divulgation par transmission, combinaison, restriction, effa- cement ou destruction, anonymisation, pseudonymisation, et conformément aux dispositions de l’Accord.
Catégories de Personnes Concernées
Les Données à Caractère Personnel à Traiter concernent les catégories suivantes de Personnes Concer- nées :
les Patients du Client
le Client et les membres de son personnel
Catégories de Données à Caractère Personnel
Les Données à Caractère Personnel à Traiter concernent les catégories de données suivantes :
en fonction des données saisies par le Client sur le tableau de commande de l’instrument et/ou reçues par le Système d’Information de Laboratoire, les données suivantes peuvent être traitées aux différentes fins énumérées ci-dessus : numéro d'échantillon, données télémétriques de l’instrument (température, ten- sion, pression, alertes et alarmes système), résultats des tests, nom, prénom, identification (ID) du patient (les données pourront comprendre des catégories de Données à Caractère Personnel sensibles ou particu- lières)
Autorité compétente
L’Autorité compétente sera l’autorité de contrôle de l’État membre de l’UE où l’exportateur est établi, le Commissaire à l’Information si l’exportateur est établi au Royaume-Uni (« R.-U. ») ou le PFPDT si l’exportateur est établi en Suisse. Lorsque l’exportateur n’est pas établi dans un État membre de l’UE ou au Royaume-Uni ou en Suisse mais est soumis à la Loi de l’UE/du R.-U/de la Suisse sur la Protection des Données, l’autorité compétente sera l’autorité de contrôle de la juridiction où le représentant de Cepheid est établi (tel qu’imposé par la Loi de l’UE/du R.-U./de la Suisse sur la Protection des Données). Lorsque la nomination d’un représentant n’est pas requise aux termes de la Loi de l’UE/du R.-U./de la Suisse sur la Protection des Données, l’autorité de contrôle sera la CNIL en France si les personnes dont les données sont transférées sont établies au sein de l’UE, le Commissaire à l’information si les personnes sont établies au Royaume-Uni ou le PFPDT si les personnes sont établies en Suisse. Si les Données à Caractère Personnel proviennent du Canada, l’autorité de contrôle compétente sera l’un des Commissaires ayant compétence en la matière conformément à ce que définira la Loi sur la Protection des Données Applicable.
v. 230117
Annexe 2
Description des Mesures Techniques et Organisationnelles mises en œuvre par Xxxxxxx
La présente Annexe 2 fait partie intégrante de l’APD et décrit les mesures techniques et organisationnelles que Cepheid a mises en œuvre conformément à l’Article 32 alinéa (1) du RGPD et à toutes autres Lois sur la Protection des Données Applicables.
1- Sur site :
Le collaborateur de Cepheid pourra utiliser une clé USB chiffrée pour extraire des données de l'instrument du Client nécessaires à la résolution de problèmes techniques et à la performance de l’instrument.
Concernant les visites de détermination et optimisation des performances de l’instrument, les collabora- teurs de Cepheid n’auront accès qu’à un minimum de données nécessaires ne comprenant aucune donnée sur les soins de santé des patients. Les données sont transférées sur le notebook (ordinateur portable) du collaborateur, puis elles sont traitées pour générer les rapports clients incluant des recommandations, et elles sont ensuite supprimées conformément aux pratiques de Travail Standard et aux politiques de con- servation des données de Cepheid.
2- À distance :
Fonction à accès autorisé : Seuls les collaborateurs de l’Assistance sur Site et Assistance Technique de Cepheid disposent d’un accès sécurisé aux instruments.
Concernant l’assistance à distance pour la gestion des plaintes, les agents de Cepheid peuvent avoir recours à des sessions de Remote Desktop Sharing (RDS - Partage d'ordinateurs à distance) mais uniquement après réception de l’autorisation de la session donnée par le client au cas par cas.
Transmission de données : conformément à la politique de Cepheid, les données sont transmises via une méthode de chiffrement sécurisée aux serveurs internes de Cepheid afin que le collaborateur puisse en- treprendre les activités d’assistance clients (les protocoles TLS 1.2+ sont utilisés pour les transactions sé- curisées).
3- Le Client envoie les données :
Envoi par courrier électronique, via la plateforme web ou par télécopie : les données sont envoyées via une méthode de chiffrement sécurisée à un collaborateur interne de Cepheid dans la région. Le Client en tant que Responsable du Traitement est responsable de l’anonymisation des Données à Caractère Person- nel et du téléchargement uniquement du minimum de données nécessaires avant le transfert à Cepheid (le logiciel de l’instrument de Cepheid permet au Client de masquer des Données à Caractère Personnel et des Données sur les Soins de Santé spécifiques dans le rapport issu de son instrument avant exportation).
4- Transferts de Données au sein des services d’Assistance de Cepheid :
Si une assistance supplémentaire est nécessaire en dehors de la région d'origine du Client, seules les infor- mations nécessaires seront transmises ; les Données à Caractère Personnel et les Données sur les Soins de Santé qui ne seront pas nécessaires seront supprimées / anonymisées dans la mesure du possible* et les données seront envoyées via la méthode de partage sécurisée. Les données au repos sont chiffrées et détruites conformément à la politique clientèle de Cepheid applicable.
5- Politique et Pratique :
Cepheid assure la confidentialité, l’intégrité, la disponibilité et la résilience des services et systèmes de traitement en continu. À cette fin, elle bénéficie de la capacité de restaurer la disponibilité et l’accès aux données utiles pour la gestion des plaintes et l’assistance aux services se trouvant dans les systèmes de Cepheid dans les meilleurs délais en cas d’incident physique ou technique.
6- Processus :
v. 230117
Afin de garantir la sécurité du traitement, Cepheid a mis en place un processus consistant à tester, mesu- rer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles.
* La procédure de dépersonnalisation / anonymisation des données est spécifique à chaque instrument.
v. 230117
Annexe 3
Dispositions de Transfert applicables au Royaume-Uni, à l’Union européenne et la Suisse
1. Lorsque les CCT de l’UE sont réputées conclues et incorporées dans le présent APD par référence entre les Parties, les CCT de l’UE seront complétées comme suit :
(ii) dans la Clause 7, la clause de « docking » (adhésion) facultative s’appliquera ;
(iii) dans la Clause 9, l’Option 2 s’appliquera et le délai de préavis concernant les changements de Sous-Traitant Ultérieur sera tel que stipulé dans l’Alinéa 3.2 du présent APD ;
(iv) dans la Clause 11, la mention de langue facultative ne s’appliquera pas;
(v) dans la Clause 17, l’Option 2 s’appliquera, et les CCT de l’UE seront régies par la loi de la juridiction de l’établissement de l’exportateur de données, s’il y a lieu et si ladite loi prévoit des droits des tiers, et à défaut la loi de la France;
(vi) dans la Clause 18(b), les litiges seront réglés auprès des tribunaux du pays de l’exportateur de données et à défaut les tribunaux de la France ;
(vii) L’Annexe I des CCT de l’UE sera réputée complétée :
(A) Partie A : avec les informations stipulées dans l’Annexe 1 au présent APD ;
(C) Partie C : conformément aux critères stipulés dans la Clause 13 (a) des CCT de l’UE ;
(viii) Annexe II : avec les Mesures de sécurité minimales ; et
« aucune des parties » seront réputées cochées dans le Tableau 4. La date de début de l’Avenant du R.-U. (ainsi que stipulé dans le Tableau 1) sera la Date d’Entrée en Vigueur.
v. 230117
a. Les CCT de l’UE, complétées ainsi que stipulé ci-dessus à l’article 1 de la présente Annexe 3, s’appliqueront également aux transferts de ces Données à Caractère Personnel, sous-réserve du sous-alinéa 3.b de la présente Annexe 3 ci-dessous ;
b. Les Clauses Contractuelles Types incorporées par référence protégeront les Données à Carac- tère Personnel des entités légales en Suisse jusqu’à l’entrée en vigueur de la LPD révisée.
v. 230117
Annexe 4
4.1 Exigences supplémentaires applicables au transfert de Données à Caractère Personnel hors de l’Espace économique européen
Les exigences supplémentaires suivantes s’appliqueront à tout Transfert Soumis à Restriction :
1. Le Client mettra régulièrement à la disposition de Cepheid les informations concernant des de- mandes d’accès aux Données à Caractère Personnel émanant des autorités publiques et le mode de réponse fourni (si la loi le permet) ;
2. Le Client garantit qu’il n’a pas à dessein créé des « back doors » (portes dérobées) techniques ou des processus internes visant à faciliter un accès direct par les autorités publiques aux Données à Caractère Personnel, et qu’il n’est pas contraint en vertu d’une pratique ou d’une loi applicable de créer ou maintenir des « back doors » ;
3. Le Client se renseignera auprès de toute autorité publique faisant une demande d’accès concer- nant des Données à Caractère Personnel afin de savoir si elle coopère avec toutes autres autorités de l’état dans le cadre de l’affaire ;
4. Le Client apportera toute l’assistance raisonnable aux personnes concernées exerçant leurs droits à l’égard des Données à Caractère Personnel dans la juridiction destinataire ;
5. Le Client coopérera avec Cepheid dans l’éventualité où une autorité de contrôle ou un tribunal ayant compétence déciderait qu’un transfert de Données à Caractère Personnel doit être soumis à des garanties de protection supplémentaires ;
6. Le Client mettra en œuvre des mesures de chiffrement et/ou toutes autres mesures techniques suffisantes pour protéger de manière raisonnable les Données à Caractère Personnel contre toute interception au cours de leur transit, ou contre tout autre accès non autorisé, par les autorités publiques ; et
7. Le Client devra avoir mis en place des procédures et politiques appropriées, comme par exemple une formation, de façon à ce que les demandes d’accès aux Données à Caractère Personnel éma- nant des autorités publiques soient acheminées vers le service concerné et traitées de manière appropriée.
4.2 Exigences supplémentaires applicables au transfert de Données à Caractère Personnel hors de la République d’Afrique du Sud
Les exigences supplémentaires suivantes s’appliqueront au transfert de Données à Caractère Personnel hors de la République d’Afrique du Sud :
1. Le transfert de Données à Caractère Personnel en dehors d’Afrique du Sud se conformera aux pa- ramètres suivants :
(A) la Partie qui est le destinataire des informations est soumise à une loi, des règles d’entreprise contraignantes ou un accord exécutoire fournissant un niveau de protection adéquat qui :
1. respecte(-ent) de manière efficace des principes de traitement raisonnable des in- formations qui sont dans l’ensemble similaires aux conditions de traitement légal des informations personnelles relatives à une personne concernée qui est une per- sonne physique et, s’il y a lieu, une personne morale ; et
v. 230117
2. comprend(-ennent) des dispositions relatives au transfert ultérieur d’informations personnelles du destinataire vers des tiers se trouvant dans un pays étranger ;
(B) la personne concernée donne son consentement à l’égard du transfert ;
(C) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et la partie responsable, ou à la mise en œuvre de mesures pré-contractuelles prises pour répondre à la demande d’une personne concernée ;
(D) le transfert est nécessaire à la conclusion ou l’exécution d’un contrat conclu dans l’intérêt d’une personne concernée entre la partie responsable et un tiers ; ou
(E) le transfert est effectué au profit de la personne concernée, et :
1. il n’est pas raisonnablement possible d’obtenir le consentement de la personne concernée à l’égard dudit transfert ; et
2. s’il était raisonnablement possible d’obtenir ledit consentement, la personne con- cernée serait disposée à le donner.
2. Aux fins du présent article :
(A) « règles d’entreprise contraignantes » désigne des politiques de traitement des informations personnelles, au sein d’un groupe d’entreprises, auxquelles une partie responsable ou un opé- rateur au sein dudit groupe d’entreprises se conforme lors du transfert d’informations per- sonnelles à une partie responsable ou un opérateur au sein du même groupe d’entreprises dans un pays étranger ; et
(B) « groupe d’entreprises » désigne une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle.
v. 230117