ANNEXE TRAITEMENT DES DONNÉES PERSONNELLES
ANNEXE TRAITEMENT DES DONNÉES PERSONNELLES
La présente Annexe Traitement des données personnelles (l « ATDP ») et ses Appendices s’appliquent lorsque HP traite les Données personnelles du Client afin de fournir les Services convenus dans le(s) contrat(s) en vigueur entre HP et le Client (le « Contrat de Services »). Les termes commençant par une lettre majuscule qui ne sont pas définis aux présentes revêtiront le sens qui leur est donné dans le Contrat de Services. En cas de conflit entre les dispositions du Contrat de Services relatives au traitement des Données personnelles et le présent ATDP, ce dernier prévaudra.
1 DÉFINITIONS
« BCR-Sous-Traitant » désigne les règles contraignantes d’entreprise approuvées par les autorités de contrôles au sein de l’UE, qui couvrent les transferts internationaux de Données personnelles du Client au sein du groupe HP lorsque le groupe HP agit en qualité de Sous-traitant et qui sont approuvées par les autorités de contrôles au sein de l’UE.
« Clauses contractuelles types de l’UE » désigne les clauses contractuelles types de l’UE pour le transfert de Données à caractère personnel aux Sous-traitants 2010/87/UE, ou les clauses qui y succèdent ;
« Client » désigne le client utilisateur final des Services de HP ;
« Contrat de Services » désigne le contrat entre HP et le Client pour l’achat de Services auprès de HP ;
« Données Personnelles du Client » désigne les Données à caractère personnel à l’égard desquelles le Client est le Responsable du traitement et qui sont traitées par HP en tant que Sous-traitant ou par ses Sous-traitants ultérieurs au cours de la fourniture des Services
« Données à caractère personnel ou Données Personnelles » désigne toute information relative à une personne physique identifiée ou identifiable, ou correspondant autrement à la définition de la Législation en matière de protection des données et de la vie privée. Une personne identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier en référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
« Groupe HP » désigne HP Inc 0000 Xxxx Xxxx Xxxx, Xxxx Xxxx, XX 00000 et toutes ses filiales détenues et contrôlées majoritairement, quelle qu’en soit la juridiction de constitution ou d’exploitation ;
« Incident relatif aux Données Personnelles » revêt le sens attribué par la Législation applicable en matière de protection des données et de la vie privée aux termes « incident de sécurité », « atteinte à la sécurité » ou
« atteinte aux Données personnelles », y compris toute situation dans laquelle HP apprend que des Données Personnelles du Client ont été ou ont pu être consultées, divulguées, altérées, perdues, détruites ou utilisées par des personnes non autorisées, de manière non autorisée ;
« Législation en matière de protection des données et de la vie privée » désigne toutes les lois et la règlementation actuelles et futures applicables relatives au traitement, à la sécurité, à la protection et à la conservation des données personnelles ainsi qu’à la vie privée, susceptibles d’exister dans les différentes juridictions, y compris, sans s’y limiter, le RGPD, la directive 2002/58/EC et toutes les lois en matière de protection des données en Norvège, en Islande, au Liechtenstein, en Suisse et au Royaume-Uni (une fois que le Royaume-Uni aura cessé de faire partie de l’UE) et tous les amendements ou remplacements desdites lois ou de ladite règlementation ;
« Pays concernés » désigne tous les pays autres que les Pays européens et autres pays considérés comme bénéficiant d’une protection adéquate en vertu de l’article 25(6) de la Directive européenne sur la protection des données ou l’article 45 du RGPD ;
« Pays européen » désigne un État membre de l’UE, la Norvège, l’Islande, le Liechtenstein, la Suisse et le Royaume-Uni, une fois que le Royaume-Uni aura cessé d’être un État membre de l’UE
« Personne Concernée » revêt le sens attribué au terme « personne concernée » en vertu de la Législation en matière de protection des données et de la vie privée et inclut au minimum toutes les personnes physiques identifiées ou identifiables auxquelles les Données personnelles sont liées ;
« Privacy Shield » désigne le cadre de protection des données UE-États-Unis établi par le Département du commerce des États-Unis et la Commission européenne, tel qu’amendé ou remplacé de temps à autre ;
« Responsable de Traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui détermine seul ou conjointement avec d’autres, les finalités et les moyens du traitement des Données Personnelles. Lorsque les finalités et les moyens du traitement sont déterminés par la législation applicable en matière de protection des données et de la vie privée, le Responsable du Traitement ou les critères de désignation du Responsable du traitement seront tels que fixés par la législation applicable en matière de protection des données et de la vie privée ;
« RGPD » désigne le Règlement général sur la protection des données (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des Données personnelles et à la libre circulation desdites données ;
« Services » désignent les services, y compris les produits et les prestations, fournis par HP dans le cadre du Contrat de Services ;
« Sous-traitant » désigne toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite les Données personnelles pour le compte du Responsable du traitement ou sur instructions d’un autre Sous-traitant agissant pour le compte d’un Responsable du traitement ;
« Sous-traitant ultérieur » désigne toute entité engagée par HP lorsqu’HP agit en qualité de Sous-Traitant, ou par tout autre Sous-traitant ultérieur de HP qui reçoit les Données personnelles du Client pour effectuer des activités de traitement pour le compte du Client.
« traiter », « traitement », « traite » ou « traité » désigne toute opération ou ensemble d’opérations effectuées sur les Données à caractère personnel par des moyens automatisés ou non, y compris, sans s’y restreindre, l’accès, la collecte, l’enregistrement, l’organisation, la structuration, la conservation, le stockage, l’adaptation ou l’altération, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement, la combinaison, le blocage, la limitation, la suppression et la destruction des Données personnelles et toutes définitions équivalentes dans la législation en matière de protection des données et de la vie privée, dans la mesure où lesdites définitions sont plus larges que la présente définition ;
« UE » désigne l’Union européenne et les pays qui sont membres de cette union collectivement ;
2 PORTÉE ET CONFORMITÉ À LA LOI
2.1 La présente ATDP s’applique au traitement des Données Personnelles du Client par HP dans le cadre de la fourniture des Services par HP, et lorsque HP agit en tant que Sous-traitant pour le compte du Client qui est alors le Responsable du traitement. Lorsque chaque partie agit en qualité de responsable de traitement indépendant, elle détermine les finalités et les moyens et du traitement de données personnelles qu’elle effectue et se conforme aux obligations qui lui sont applicables au titre de la Législation en matière de Protection des données et de la vie privée. La présente disposition 2.1 ne modifie
pas les limites applicables aux droits de l’une ou de l’autre partie d’utiliser ou de traiter les Données Personnelles en vertu du Contrat et les Parties traitent les Données Personnelles uniquement et exclusivement pour les finalités qui sont identifiées au présent Accord.
2.2 Les catégories de Personnes concernées, les types de Données Personnelles du Client traitées et les finalités du traitement sont indiqués à l’Appendice 1 du présent ATDP. HP traitera les Données à caractère personnel du Client pendant la durée du Contrat de Services (ou plus longtemps si la loi en vigueur l’exige).
2.3 Dans le cadre de son utilisation des Services de HP, le Client est seul responsable du respect du droit applicable en matière de protection des données et de protection de la vie privée concernant l’exactitude, la qualité et la légalité des Données Personnelles du Client qui doivent être traitées par HP en relation avec les Services. Le Client veillera en outre à ce que les instructions qu’il fournit à HP en ce qui concerne le traitement des Données Personnelles du Client soient conformes au droit applicable en matière de protection des données et de protection de la vie privée et ne mettent pas HP en infraction à ses obligations légales en matière de protection des données et de protection de la vie privée.
2.4 Si le Client utilise les Services pour traiter des catégories de Données Personnelles qui ne sont pas expressément couvertes par la présente ATDP, le Client agit à ses propres risques et HP ne sera pas responsable des éventuels défauts de conformité liés à une telle utilisation.
2.5 Lorsque HP divulgue des Données Personnelles d’un employé de HP au Client ou lorsqu’un employé de HP fournit des Données personnelles directement au Client, que le Client traite pour gérer son utilisation des services, le Client s’engage à traiter lesdites Données personnelles conformément à sa politique de confidentialité et au droit applicable en matière de protection des données et de protection de la vie privée. Lesdites divulgations ne peuvent être effectuées par HP que lorsque cela est légal pour les finalités de gestion des contrats, de gestion des services ou de vérification raisonnable des antécédents du Client, ou pour des raisons de sécurité.
3 OBLIGATIONS DU SOUS-TRAITANT
3.1 Nonobstant toute disposition contraire du Contrat de Services, HP s’engage, en relation avec les Données Personnelles du Client :
3.1.1 à traiter les Données Personnelles du Client uniquement en conformité aux instructions écrites du Client (qui peuvent être de nature spécifique ou générale comme indiqué dans le Contrat de Services ou comme autrement notifié par le Client). Nonobstant ce qui précède, HP peut traiter les Données Personnelles du Client comme l’exige la législation applicable. Dans ce cas, HP prendra des mesures raisonnables pour informer le Client d’une telle exigence avant que HP ne traite les données, sauf si la loi l’interdit ;
3.1.2 à veiller à ce que l’accès soit restreint aux seuls membres du personnel autorisés qui ont suivi une formation appropriée en matière de protection et de traitement des Données Personnelles et qui sont liés par l’obligation de respecter la confidentialité des Données Personnelles du Client ;
3.1.3 à mettre en œuvre les mesures techniques et organisationnelles appropriées pour se protéger contre la destruction, la perte, la modification, la divulgation ou l’accès non autorisé ou illégal aux Données Personnelles du Client. Ces mesures doivent être proportionnées au préjudice qui pourrait résulter d’un traitement non autorisé ou illégal, d’une perte fortuite, d’une destruction, d’un dommage ou d’un vol de Données Personnelles du Client, et doivent tenir compte de la nature des Données Personnelles du Client à protéger.
3.1.4 sans délai injustifié et dans la mesure permise par la loi, à informer le Client de toute demande émanant de Personnes Concernées cherchant à exercer leurs droits en vertu de la Législation applicable en matière de protection des données et de protection de la vie privée et, à la demande écrite et aux frais du Client, en tenant compte de la nature du traitement, à aider le Client en
mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’aider à respecter l’obligation du Client de répondre à de telles demandes. Dans la mesure où les Données Personnelles du Client ne sont pas accessibles au Client par l’intermédiaire des Services fournis dans le cadre du Contrat de Services, HP s’engage, lorsque la loi l’autorise et à la demande du Client, à mettre en œuvre des efforts commercialement raisonnables pour aider le Client à répondre auxdites demandes si la Législation applicable en matière de protection des données et de protection de la vie privée impose d’y répondre ;
3.1.5 à la demande écrite et aux frais du Client, en tenant compte de la nature du traitement et des informations dont dispose HP, à aider le Client à s’acquitter de ses obligations en vertu des articles 32 à 36 du RGPD ou de dispositions équivalentes en vertu de la Législation applicable en matière de protection des données et de protection de la vie privée.
3.1.6 sur demande écrite du Client, à supprimer ou à restituer au Client les Données Personnelles du Client après la fin de la fourniture des Services, à moins que la législation applicable n’exige leur conservation
4 SOUS-TRAITANT ULTÉRIEUR
4.1 Le Client autorise HP à transférer les Données Personnelles du Client ou à donner accès aux Données Personnelles du Client aux membres du Groupe HP et à des tiers en tant que Sous-traitants ultérieurs (et autorise également les Sous-traitants ultérieurs à en désigner conformément à la présente Clause 4.1) aux fins de fournir les Services ou pour les finalités identifiées dans la rubrique « Activités de traitement » de l’Appendice 1. HP demeure responsable de la conformité de son Sous-traitant ultérieur aux obligations du présent ATDP. HP veillera à ce que tous les Sous-traitants ultérieurs auxquels HP transfère des Données Personnelles du Client concluent des accords écrits avec HP exigeant que les Sous-traitants ultérieurs respectent des conditions aussi protectrices que celles énoncées dans la présente ATDP. HP mettra à la disposition du Client la liste actuelle des Sous-traitants ultérieurs pour les Services couverts par le Contrat de Service.
4.2 HP peut à tout moment et sans justification désigner un nouveau Sous-traitant ultérieur à condition que le Client reçoive un préavis de dix (10) jours et que le Client ne s’oppose pas légitimement à de tels changements dans ce délai. Les objections légitimes doivent contenir des motifs raisonnables et documentés concernant le non-respect par le Sous-traitant ultérieur de la Législation applicable en matière de protection des données et de protection de la vie privée. Si, d’après l’avis raisonnable de HP, de telles objections sont légitimes, HP s’abstiendra de recourir à un tel Sous-traitant ultérieur dans le cadre du traitement des Données Personnelles du Client. Dans de telles circonstances, HP fera des efforts raisonnables pour (i) mettre à la disposition du Client une modification des Services de HP ou (ii) recommander une modification de la configuration ou de l’utilisation des Services par le Client afin d’éviter le traitement de Données Personnelles du Client par le Sous-traitant ultérieur en question. Si HP n’est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, qui ne devra pas dépasser quatre-vingt-dix (90) jours, le Client peut, en adressant un avis écrit à HP, résilier le Service qui ne peut pas être fourni par HP sans recourir au Sous-traitant ultérieur contesté en adressant un avis écrit à HP.
5 INCIDENTS RELATIFS AUX DONNÉES À CARACTÈRE PERSONNEL
5.1 HP informera le Client, dans les meilleurs délais si HP prend connaissance d’un incident relatif aux Données Personnelles impliquant des Données Personnelles du Client et prendra les mesures que le Client peut raisonnablement exiger, dans les délais raisonnables requis par le Client, pour remédier à l’incident de Données Personnelles et fournir toute autre information que le Client est en droit d’exiger. HP se réserve le droit d’imputer des frais administratifs pour l’assistance fournie au titre de la présente Clause 5.1, sauf si et dans la mesure où le Client démontre qu’une telle assistance est nécessaire en raison du non-respect du présent ATDP par HP.
6 TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES DU CLIENT
6.1 HP peut transférer les Données Personnelles du Client en dehors du pays dans lequel elles ont été recueillies à l’origine, à condition que ledit transfert soit nécessaire dans le cadre des Services et qu’il ait lieu conformément à la Législation applicable en matière de protection des données et de la vie privée.
6.2 Dispositions propres à l’Europe
6.2.1 Dans la mesure où les Données Personnelles du Client sont transférées d’un pays européen vers un Pays concerné, HP met à disposition les mécanismes de transfert mentionnés ci-dessous, qui s’appliqueront, dans l’ordre de priorité indiqué à l’article 6.2.2, à tout transfert de cette nature conformément à la législation applicable en matière de protection des données et de la vie privée :
6.2.1.1 Privacy shield UE-États-Unis : Les Filiales d’HP qui se situent aux EU, qui vont traiter des Données Personnelles du Client pour les besoins du Services sont certifiées Privacy shield UE-États-Unis pour les Données Personnelles du Client, et HP s’engage à ce que ces Filiales le demeurent et à informer promptement le Client si une Filiale ne renouvelle pas ou perd sa certification, ou le modifie de sorte que le traitement des Données Personnelles du Client n’entre plus dans le champ d’application de la certification.
6.2.1.2 Clauses contractuelles types de l’UE : Les clauses contractuelles types de l’UE sont intégrées dans leur intégralité au présent ATPD et, dans la mesure applicable, HP veillera à ce que ses Sous-traitants ultérieurs respectent les obligations d’un importateur de données (telles que définies dans les clauses contractuelles types de l’UE). Dans la mesure d’un éventuel conflit entre le présent ATDP et les clauses contractuelles types de l’UE, les termes des clauses contractuelles types de l’UE prévaudront.
6.2.1.3 BCR- « Sous-Traitant » HP : HP a adopté des règles contraignantes d’entreprise afin de couvrir le traitement des Données Personnelles du Client et garantit que :
6.2.1.3.1 La Filiale HP qui s’engage au titre du présent ATDP est partie et est soumise à l’Accord Interentreprises sur le traitement et le transfert des Données Personnelles du Client au sein du groupe HP
6.2.1.3.2 L’Accord interentreprises sur le traitement et le transfert des Données Personnelles du Client au sein du Groupe HP est applicable aux Clients et aux Personnes Concernées et est disponible sur demande du Client.
6.2.1.3.3 HP maintiendra ses BCR-Sous-traitant et notifiera rapidement le Client dans le cas où les BCR ne constitueraient plus un mécanisme de transfert valide.
6.2.2 Dans le cas où les Services sont couverts par plus d’un mécanisme de transfert, le transfert des Données Personnelles du Client sera soumis à un seul mécanisme de transfert, selon l’ordre de priorité suivant : 1) BCR « Sous-Traitant » 2) le Privacy shield UE-États-Unis de HP ; et 3) les Clauses contractuelles types de l’UE.
7 AUDIT
Sur demande écrite du Client, HP mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par la législation applicable en matière de protection des données et de la vie privée, sous réserve que HP n’ait pas l’obligation de remettre des informations commerciales confidentielles. Une fois par an au maximum et aux frais du Client, HP s’engage à permettre de tels audits (et à y contribuer) par le Client ou par un tiers indépendant autorisé, lequel ne devra pas être un concurrent de HP. La
portée de tels audits, y compris les conditions de confidentialité, feront l’objet d’un accord mutuel entre les Parties avant leur début.
Appendice 1
Détails du traitement
HP peut périodiquement mettre à jour le présent Appendice 1 pour tenir compte des modifications apportées aux activités de traitement.
Catégories de personnes concernées
• Employés, agents et Sous-traitants du Client. Types de Données à caractère personnel
Les Données à caractère personnel du Client traitées par HP en lien avec la fourniture des Services par HP sont déterminées et contrôlées par le Client en tant que Responsable du traitement et conformément à la description des services et/ou bons de commande applicables, et peuvent par exemple inclure :
• des coordonnées – notamment un nom, un numéro de téléphone professionnel, une adresse email professionnelle et une adresse postale professionnelle ;
• des données d’identification de sécurité – notamment des données d’identification d’employé ou un numéro de badge ;
• des données sur l’utilisation des produits – notamment les pages imprimées, le mode d’impression, le support utilisé, la marque d’encre ou de toner, le type de fichier imprimé (.pdf,.jpg, etc.), l’application utilisée pour l’impression (Word, Excel, Adobe Photoshop, etc.), la taille du fichier, l’heure, la date, l’utilisation et l’état des autres fournitures d’impression ;
• des données sur la performance – événements liés à l’impression, fonctionnalités et alertes utilisées telles que les avertissements « niveau d’encre bas », recours à des cartes photo, fax, scans, serveurs web intégrés et autres informations techniques supplémentaires qui varient selon le produit ;
• des données sur l’équipement – informations sur les ordinateurs, imprimantes et/ou équipements tels que : système d’exploitation, quantité de mémoire, région, langue, fuseau horaire, numéro de modèle, date de début, âge de l’équipement, sa date de fabrication , version du navigateur, fabricant de l’ordinateur, port de connexion, état de la garantie, identificateurs uniques de l’appareil, identificateurs publicitaires et informations techniques supplémentaires qui varient selon le produit ;
• des données sur l’application – informations relatives aux applications de HP telles que l’emplacement, la langue, les versions du logiciel, les préférences en matière de partage de données et les données de mise à jour ; et
• d’autres Données à caractère personnel fournies par une personne concernée lorsqu’elle interagit en personne, en ligne ou par téléphone, ou par courrier avec les centres de service, les services d’assistance ou d’autres canaux d’assistance client afin de faciliter la livraison des services de HP et de répondre aux demandes des Clients et/ou des personnes concernées.
Activités de traitement
Les Données à caractère personnel du Client traitées dans le cadre du Contrat de Services seront utilisées par HP pour gérer la relation avec le Client et lui fournir des services. HP peut traiter les Données à caractère personnel du Client pour :
• fournir des services de gestion de flotte tels que les services d’impression administrés et la mise à disposition de l’appareil en tant que service ;
• maintenir des coordonnées et données d’enregistrement exactes afin de fournir des services d’assistance et d’entretien exhaustifs, y compris des services de type care-pack et de garantie prolongée, et de faciliter les réparations et les retours ;
• faciliter l’accès aux sites pour la commande et l’exécution des commandes de produits ou de services, pour les besoins de l’administration des comptes et de l’organisation des expéditions et des livraisons ;
• améliorer la performance et le fonctionnement des produits, des solutions, des services et de l’assistance, y compris l’assistance au titre de la garantie et les mises à jour et alertes logicielles et micrologiciels en temps utile afin d’assurer le fonctionnement continu de l’appareil ou du service ;
• adresser des messages administratifs au Client au sujet des Services. Les messages administratifs peuvent notamment comprendre les réponses aux demandes et requêtes des Clients, les messages relatifs à l’achèvement du service ou à la garantie, les avis de rappel pour raisons de sécurité ou les mises à jour professionnelles applicables liées aux fusions, acquisitions ou cessions ;
• maintenir l’intégrité et la sécurité des sites Web, produits, fonctionnalités et services de HP, et prévenir et détecter les menaces de sécurité, fraudes ou autres activités répréhensibles ou malveillantes qui pourraient compromettre les informations du Client ;
• vérifier l’identité de l’employé, y compris demander son nom et le numéro d’identification ou son badge pour la prestation des services de maintenance à distance de HP ;
• respecter les lois, la réglementation, ou toute décision de justice ayant un caractère obligatoire ainsi que pour protéger les employés et les autres clients et résoudre les litiges ; et
• offrir une expérience personnalisée, personnaliser les Services et les messages et créer des recommandations.
Appendice 2
CLAUSES CONTRACTUELLES TYPES (SOUS-TRAITANTS)
Les présentes Clauses contractuelles types (Sous-traitants) sont jointes et intégrées à l’Annexe Traitement des Données Personnelles (« ATDP ») entre HP et le Client.
Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnelvers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données
Nom de l’organisation exportant les données:
.............................................................................................................
Adresse:..........................................................................................................................................
........................... .............................
Téléphone ........................................; fax ;. courrier
électronique: ..................................................
Autres informations nécessaires pour identifier l’organisation:
.........................................................................................................................................................
...................................................
(ci-après dénommée l’«exportateur de données») d’une part, et
Nom de l’organisation important les données:
......................................... ..........................................................................
Adresse:....................................................................... .................................................................
........................... .............................
Téléphone ........................................; fax ;. courrier
électronique: ..................................................
Autres informations nécessaires pour identifier l’organisation:
.........................................................................................................................................................
...................................................
(ci-après dénommée l’«importateur de données»)
d’autre part, ci-après dénommés individuellement une «partie» et collectivement les «parties»
SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées «les clauses») afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées à l’appendice 1.
Au sens des clauses:
Clause première
a) «données à caractère personnel», «catégories particulières de données», «traiter/traitement»,
«responsable du traitement»,
b) l’«exportateur de données» est le responsable du traitement qui transfère les données à caractère personnel;
c) l’«importateur de données» est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE;
d) le «sous-traitant ultérieur» est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit;
e) le «droit applicable à la protection des données» est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi;
f) les «mesures techniques et d’organisation liées à la sécurité» sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.
Clause 2
1 Les parties peuvent reprendre, dans la présente clause, les définitions et les significations de la directive 95/46/CE si elles estiment qu’il est préférable que le contrat soit autonome.
Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes cluses.
Clause 3
1. La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquellereviennentparconséquent lesdroits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.
3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette respon sabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
4. Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.
Clause 4
Obligations de l’exportateur de données L’exportateur de données accepte et garantit ce qui suit:
a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État;
b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’impor tateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses;
c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat;
d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature desdonnées à protéger, eu égard au niveautechnologique et au coût de mise en œuvre;
e) il veillera au respect des mesures de sécurité;
f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE;
g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension;
h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous- traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations;
i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous- traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses; et
j) il veillera au respect de la clause 4, points a) à i).
Clause 5
Obligations de l’importateur de données2
L’importateur de données accepte et garantit ce qui suit:
a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une
2 Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive 95/46/CE, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de l’État; la défense; la sécurité publique; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées; un intérêt économique ou financier important d’un État ou la protection de la personne concernée ou des droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux.
modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obliga tions offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;
c) il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées;
d) il communiquera sans retard à l’exportateur de données:
i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière;
ii) tout accès fortuit ou non autorisé; et
iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire;
e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées;
f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle;
g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commer ciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;
h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier;
i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11;
j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données.
Clause 6
1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.
2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à
la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.
L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.
3. Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
Clause 7
1. L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée:
a) de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle;
b) de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.
2. Les parties conviennent que le choix effectué par la personneconcernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.
Clause 8
Coopération avec les autorités de contrôle
1. L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.
2. Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données.
3. L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous- traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le
droit de prendre les mesures prévues par la clause 5, point b).
Clause 9
Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi.
Clause 10
Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.
Clause 11
1. L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’expor tateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’impor tateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous- traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses3. En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.
2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux- ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
3. Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi.
4. L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.
3 Cette condition peut être réputée remplie si le sous-traitant ultérieur est cosignataire du contrat conclu entre l’exportateur de données et l’importateur de données conformément à la présente décision.
Clause 12
Obligation après la résiliation des services de traitement des données à caractère personnel
1. Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous- traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.
2. L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.
Annexe 1
Des clauses contractuelles types
Le présent appendice fait partie des clauses et doit être rempli et signé par les
parties.
Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans le présent appendice.
L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):
L’exportateur de données est la société qui a signé le Contrat de Services et toutes les filiales du Client établies dans un pays européen qui ont acheté des Services conformément au Contrat de Services.
L’importateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert):
HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) ainsi que toutes ses filiales détenues et contrôlées majoritairement par HP inc (le « Groupe HP »), en tant que prestataire des Services énoncés dans le Contrat de Services applicable.
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser):
Voir l’Appendice 1.
Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser):
Voir l’Appendice 1.
Catégories particulières de données (le cas échéant)
Les données à caractère personnel transférées concernent les catégories particulières suivantes de données (veuillez préciser):
Voir l’Appendice 1.
Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser):
Voir l’Appendice 1.
Annexe 2 Des clauses contractuelles types
Le présent appendice fait partie des clauses et doit être rempli et signé par les
parties.
c) (ou document/législation jointe):
L’importateur des données maintiendra des mesures administratives, physiques et techniques, organisationnelles pour la protection, la sécurité et la confidentialité des Données personnelles traitées en lien avec la prestation des Services fournis au titre du Contrat de Services applicable. Ces mesures précises peuvent varier en fonction de la nature des Services fournis au titre du Contrat de Services.