ACCORD DE TRAITEMENT DES DONNEES EEE/ROYAUME-UNI/SUISSE
ACCORD DE TRAITEMENT DES DONNEES EEE/ROYAUME-UNI/SUISSE
S’il est indiqué comme étant applicable par le SDPA conclu entre le Client et le Fournisseur et dans la mesure où le Client agit en qualité de responsable de traitement et le Fournisseur agit en qualité de sous- traitant, l’Accord de traitement des données EEE/Royaume-Uni/Suisse (le "DPA") complète le SDPA pour ce qui est des obligations du Fournisseur relatives aux traitements des Données à Caractère Personnel EEE/Royaume-Uni/Suisse qu’il effectue en vertu du SDPA et/ou du Contrat. Dans la mesure où l'une des stipulations du DPA contredit l'une des stipulations de la SDPA, le DPA prévaut et remplace le SDPA (sauf dans le cas où le SDPA offre un niveau de protection plus élevé aux Données à Caractère Personnel EEE/Royaume-Uni/Suisse).
1. DEFINITIONS. Dans le cadre du DPA, les termes en majuscules suivants ont la signification indiquée ci-dessous. Tous les autres termes sont définis dans le SDPA.
Les termes « responsable de traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » et « traitement » ont la signification qui leur est donnée dans les Règles EEE/Royaume-Uni/Suisse. Aux fins du DPA, une « violation de données à caractère personnel » est incluse dans la définition d'« Incident de Sécurité de l’Information» figurant dans la SDPA.
« Données à Caractère Personnel EEE/Royaume-Uni/Suisse » désigne, selon le cas, (i) les Données à Caractère Personnel auxquelles les lois sur la protection des données de l'Union européenne (« UE ») ou d'un État membre de l'UE ou de l'EEE étaient applicables avant leur traitement par le Fournisseur (« Données à Caractère Personnel de l’EEE ») ; (ii) les Données à Caractère Personnel auxquelles les lois sur la protection des données du Royaume-Uni étaient applicables avant leur traitement par le Fournisseur (« Données à Caractère Personnel du Royaume-Uni ») et (iii) les Données à Caractère Personnel auxquelles la LPD était applicable avant leur traitement par le Fournisseur (« Données à Caractère Personnel Suisses »).
« Règles EEE/Royaume-Uni/Suisse » désigne, le RGPD, la Directive 2002/58/CE, les Privacy and Electronic Communications (EC Directive) Regulations 2003, la Directive sur la sécurité des réseaux et de l’information (la Directive « NIS »), la Loi Fédérale Suisse sur la Protection des Données (« LPD ») et toute autre législation et/ou réglementation qui les transpose, qui en découle, qui les modifie, les remplace, les réinstaure ou les consolide, ainsi que toutes les autres lois applicables au traitement des données à caractère personnel et à la protection de la vie privée dans les juridictions concernées, y compris, le cas échéant, les orientations et les codes de pratique émis par les autorités de contrôle.
« RGPD » désigne, pour chaque cas dans la mesure où il est applicable aux activités de traitement : (i) le règlement (UE) 2016/679 (le « RGPD de l'UE ») ; et (ii) le RGPD tel qu'il est applicable en droit du Royaume-Uni en vertu de l'article 3 de l’European Union (Withdrawal) Act 2018, modifié par le Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (tel que modifié) (le « RGPD du Royaume-Uni »).
« Zone Protégée » signifie (a) en ce qui concerne les Données à Caractère Personnel de l’EEE, les États membres de l'UE et de l'EEE et tout autre pays, territoire, secteur ou organisation internationale à l'égard desquels une décision d'adéquation rendue au titre de l'article 45 du RGPD de l'UE est en vigueur ; (b) en ce qui concerne les Données à Caractère Personnel du Royaume-Uni, le Royaume-Uni et tout autre pays, territoire, secteur ou organisation internationale à l'égard desquels une décision d'adéquation rendue au titre des règlements d'adéquation du Royaume-Uni est en vigueur ; et (c) dans le cas des Données à Caractère
1
Dernière mise à jour le 7 mai. 2024
Personnel Suisses, tout autre pays, territoire, secteur ou organisation internationale reconnu comme adéquat en vertu de la loi Suisse.
« Droit en Vigueur » signifie (a) en ce qui concerne les Données à Caractère Personnel de l’EEE, la législation de l'UE ou d'un État membre de l'UE ou de l'EEE ; (b) en ce qui concerne les Données à Caractère Personnel du Royaume-Uni, la législation de n'importe quelle partie du Royaume-Uni ; et (c) en ce qui concerne les Données à Caractère Personnel Suisses, la législation Suisse.
« Clauses Contractuelles Types » ou « CCT » signifie :
(a) en ce qui concerne les Données à Caractère Personnel de l’EEE, les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au RGPD de l'UE, adoptées par la Commission européenne en vertu de la Décision d'Exécution (UE) 2021/914 de la Commission, comprenant le contenu du module deux de ces clauses dans la mesure où le Client agit en qualité de responsable de traitement et le Fournisseur agit en qualité de sous-traitant, et à l'exclusion de toutes les clauses marquées comme facultatives (« CCT UE ») ;
(b) en ce qui concerne les Données à Caractère Personnel du Royaume-Uni, l’International Data Transfer Addendum to the EU Commission Standard Contractual Clauses publié par l’Information Commissioner et déposé devant le Parlement le 2 février 2022 conformément à l'article 119A du Data Protection Act 2018, mais, comme le permet la clause 17 de cet Addendum, les parties conviennent de modifier le format des informations énoncées dans la partie 1 de l'Addendum de manière à ce que :
1. les coordonnées des parties figurant au tableau 1 sont celles indiquées à l'Annexe I de l'Appendice 1 du DPA (sans obligation de signature) ;
2. pour les besoins du tableau 2, l'Addendum est annexé aux CCT UE (y compris la sélection des modules et la suppression des clauses facultatives comme indiquée ci-dessus) et l’article du SDPA intitulé « Sous-traitants » sélectionne l'option et les délais de la clause 9 ; et
3. les informations en annexe énumérées dans le tableau 3 figurent à l'annexe II de l'Appendice 1 du DPA et dans les ESFE.
(c) en ce qui concerne les Données à Caractère Personnel Suisses, les CCT UE, à condition que toute référence au GDPR dans les clauses renvoie à la LPD ; le terme "État membre" ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle conformément à la clause 18(c) des clauses ; et les clauses protègent également les données des personnes morales jusqu'à l'entrée en vigueur de la LPD modifiée.
2. Controle des donnees a caractere personnel eee/ru/suisse. Le Client a le pouvoir exclusif de donner des instructions relatives au traitement des Données à Caractère Personnel EEE/Royaume-Uni/Suisse au Fournisseur. Le Fournisseur ne traitera les Données à Caractère Personnel EEE/Royaume-Uni/Suisse que conformément aux instructions écrites du Client (qui peuvent être des instructions spécifiques ou générales) prévues dans le DPA, le SDPA et le Contrat, ou telles que notifiées périodiquement par le Client au Fournisseur. Le Fournisseur n'utilisera pas les Données à Caractère Personnel EEE/Royaume-Uni/Suisse à d'autres fins. Le Fournisseur reconnaît que toutes les Données à Caractère Personnel EEE/Royaume-Uni/Suisse restent la propriété exclusive du Client ou du responsable du traitement final qui donne des instructions au Client. L'objet du traitement des données est la fourniture des Services et le traitement sera effectué pendant la durée du Contrat. L'annexe 1 du SDPA définit la nature et la finalité du traitement réalisé par le Fournisseur, les catégories de Données à Caractère Personnel traitées par le Fournisseur et les catégories de personnes concernées par ces Données à Caractère Personnel.
3. Exigences supplementaires en matiere de protection des donnees. En ce qui concerne les Données à Caractère Personnel EEE/Royaume-Uni/Suisse traitées par le Fournisseur dans le cadre de la fourniture des Services, le Fournisseur s'engage, sans frais supplémentaires pour le Client :
(a) À traiter les Données à Caractère Personnel EEE/Royaume-Uni/Suisse uniquement dans la mesure et de la manière nécessaires à la fourniture des Services et à informer le Client, avant le traitement, si le Fournisseur est tenu par le Droit en Vigueur de traiter les Données à Caractère Personnel EEE/Royaume- Uni/Suisse d’une autre manière que conformément aux instructions écrites du Client, à moins que la législation concernée ne l'interdise pour des raisons importantes d'intérêt public.
(b) À fournir, à la demande du Client, à une copie des Données à Caractère Personnel EEE/Royaume- Uni/Suisse ou à corriger, supprimer, archiver, anonymiser, porter ou bloquer les Données à Caractère Personnel EEE/Royaume-Uni/Suisse, et à notifier rapidement le Client dès qu'il a connaissance que des Données à Caractère Personnel EEE/Royaume-Uni/Suisse sont ou sont devenues inexactes.
(c) À désigner un délégué à la protection des données si les Règles EEE/Royaume-Uni/Suisse l'exigent et tenir des registres écrits de toutes les catégories d'activités de traitement des Données à Caractère Personnel EEE/Royaume-Uni/Suisse, effectué pour le compte du Client, et contenant les informations prévues par les Règles EEE/Royaume-Uni/Suisse.
(d) À transmettre immédiatement au Client toute demande, avis, plainte ou autre communication relative aux Données à Caractère Personnel EEE/Royaume-Uni/Suisse traitées par le Fournisseur, émanant de personnes concernées, d'autorités de contrôle, des forces de l'ordre ou de tout autre tiers, dans la mesure permise par le droit applicable, afin que le Client puisse y répondre.
(e) À fournir une coopération et une assistance raisonnables au Client, en ce qui concerne toute demande, avis, plainte ou autre communication faite en vertu du paragraphe (d) ci-dessus, y compris en fournissant au Client : (i) les détails de la demande, de l'avis, de la plainte ou autre communication ; (ii) à la demande du Client, toutes les Données à Caractère Personnel EEE/Royaume-Uni/Suisse qu'il détient en ce qui concerne une personne concernée (et dans le délai raisonnable requis par le Client) ; et (iii) sur demande raisonnable, toute information relative aux Services et/ou au traitement associé de Données à Caractère Personnel EEE/Royaume-Uni/Suisse qui pourrait aider le Client à se conformer à ses obligations en vertu des Règles EEE/Royaume-Uni/Suisse.
(f) À respecter ses obligations en tant que responsable de traitement en vertu des Règles EEE/Royaume-Uni/Suisse.
(g) À aider raisonnablement le Client à se conformer à ses obligations découlant des Règles EEE/Royaume-Uni/Suisse et à ne pas exécuter ses obligations prévues par le Contrat, le SDPA et le DPA de manière qui conduirait le Client à manquer à l'une de ces obligations.
(g) À fournir une coopération et une assistance raisonnables au Client en ce qui concerne ses obligations en matière de sécurité, de notification des violations, d’analyses d'impact sur la protection des données ou d’analyses d’impact des transferts de données, de documentation démontrant le respect des règles relatives à la protection des données ou à des exigences similaires et de consultation des autorités de contrôle relative au traitement des données conformément aux Règles EEE/Royaume-Uni/Suisse.
(h) Si la Commission européenne ou l’Information Commissioner du Royaume-Uni (selon le cas) établit, ou si toute autre autorité de contrôle compétente adopte, des clauses contractuelles types relatives aux questions visées à l'article 28, paragraphes 3 et 4, du RGPD de l'UE ou du RGPD du Royaume-Uni conformément à l'article 28, paragraphe 7, ou à l'article 28, paragraphe 8, du RGPD de l'UE ou à l'article 28, paragraphe 8, du RGPD du Royaume-Uni (le cas échéant) et que le Client notifie au Fournisseur qu'il souhaite incorporer l’un des éléments de ces clauses dans le SDPA, le DPA et le Contrat, à collaborer avec le Client à cette fin.
(i) À fournir toute autre information demandée de manière raisonnable par le Client afin de démontrer le respect du DPA par le Fournisseur.
4. Recours À des sous-traitants. Le Fournisseur imposera et appliquera à tous les Sous-traitants des obligations équivalentes aux termes du DPA par le biais d'un accord écrit. Pour éviter toute ambiguïté, si un Sous-traitant chargé par le Fournisseur de traiter des Données à Caractère Personnel EEE/Royaume- Uni/Suisse ne remplit pas ses obligations prévues au sein d’un accord de sous-traitance ou de toutes Règles EEE/Royaume-Uni/Suisse applicable, le Fournisseur restera pleinement responsable du respect du DPA par ses Sous-traitants.
5. Mécanismes de transfert International.
(a) Le Fournisseur ne transférera pas, n'accédera pas ou n'utilisera pas de Données à Caractère Personnel EEE/Royaume-Uni/Suisse en dehors de la Zone Protégée sans l'autorisation préalable du Client, et s'assurera qu'aucun de ses affiliés ou Sous-traitants ne le fasse. Le Client autorise les transferts décrits à l'Appendice 1 du présent DPA EEE/Royaume-Uni/Suisse dès lors que le Fournisseur et le Client acceptent de se conformer aux obligations énoncées dans les CCT comme si elles étaient intégrées dans leur intégralité au sein du DPA, le Client étant l' « exportateur de données » et le Fournisseur l' « importateur de données », la signature et la date du SDPA par les parties étant réputées valoir signature et date des CCT et les Annexes des CCT étant telles que prévues à l'Appendice 1 de cet Addendum. Les Mesures Supplémentaires Enterprise, qui sont fournies ci-dessous, prévoiront des garanties appropriées additionnelles pour les Données à Caractère Personnel EEE/Royaume-Uni/Suisse dans le cadre de tout transfert ou accès, en dehors de la Zone Protégée, autorisé conformément à l'Appendice 1 du DPA.
(b) Aux fins des CCT de l'UE, les dispositions suivantes s'appliquent :
1. Clause 9 option 2 : autorisation générale écrite et les parties conviennent que le délai pour informer le Client de toute modification de la liste des sous-traitants est de 30 jours à l'avance ;
2. Clause 17 (Droit applicable) : les clauses sont régies par le droit irlandais ; et
3. Clause 18 (Election de for et de juridiction) : les tribunaux irlandais sont compétents.
(c) Dans le cas où le Client donne son consentement au transfert, par le Fournisseur, de Données à Caractère Personnel EEE/Royaume-Uni/Suisse en dehors de la Zone Protégée et qu'une décision pertinente de la Commission Européenne ou toute autre méthode d'adéquation, valide en vertu des Règles EEE/RU/Suisse applicables, sur laquelle le Client s'est appuyé pour autoriser le transfert de données est jugée invalide, ou qu'une autorité de contrôle exige la suspension des transferts de Données à Caractère Personnel EEE/Royaume-Uni/Suisse effectués conformément à cette décision, le Client peut, à sa discrétion, exiger du Fournisseur qu'il cesse de traiter les Données à Caractère Personnel EEE/Royaume- Uni/Suisse auxquelles le présent paragraphe s'applique, ou qu’il coopère avec le Client pour faciliter l'utilisation d'un mécanisme de transfert alternatif.
(d) Le Fournisseur informera rapidement le Client s'il n'est plus en mesure d'assurer le niveau de protection des Données à Caractère Personnel EEE/Royaume-Uni/Suisse requis dans le cadre d'un mécanisme de transfert de données.
(e) Le Fournisseur accepte que le Client puisse, à tout moment, nover tous ses droits et obligations en vertu des CCT à ses affiliés et/ou dans le cadre d'une fusion, d'une réorganisation, d'une externalisation, d'un désinvestissement, d'une vente de la totalité ou de la quasi-totalité de ses actifs ou d'une transaction similaire.
ANNEXE 1 DU DPA EEE/ROYAUME-UNI/SUISSE
INFORMATIONS REQUISES POUR LES CLAUSES CONTRACTUELLES TYPES
Annexe I
A. LISTE DES PARTIES
Exportateur(s) de données : L'exportateur de données est le Client, sis à l'adresse indiquée dans le SDPA. Le nom, la fonction et les coordonnées de la personne désignée comme point de contact sont indiqués dans le SDPA. Pour les activités relatives aux données transférées en vertu des Clauses, veuillez consulter la Partie 2 de l'Annexe 1 du SPDA. La signature et la date des Clauses par l'exportateur de données doivent être considérées comme étant les mêmes que la signature et la date du SDPA par le Client. Le rôle de l'exportateur de données est celui d'un responsable du traitement.
Importateur(s) de données : L'importateur de données est le Fournisseur, sis à l'adresse indiquée dans le SDPA. Le nom, la fonction et les coordonnées de la personne désignée comme point de contact sont indiqués dans le SDPA. Pour les activités relatives aux données transférées en vertu des Clauses, veuillez consulter la Partie 2 de l'Annexe 1 du SPDA. La signature et la date des Clauses par l'importateur de données doivent être considérées comme étant les mêmes que la signature et la date du SDPA par le Client. Le rôle de l'importateur de données est celui d'un sous-traitant.
B. DESCRIPTION DU TRANSFERT
MODULE DEUX : TRANSFERT DE RESPONSABLE DE TRAITEMENT A SOUS-TRAITANT
Catégories de données à caractère personnel transférées et catégories de personnes concernées dont les données à caractère personnel sont transférées : Voir la Partie 1 de l'Annexe 1 du SPDA.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles qu'une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : Voir la Partie 1 de l'Annexe 1 du SPDA et les ESFE.
Fréquence de transfert : Voir la Partie 1 de l'Annexe 1 du SPDA.
Nature et objectif de la transformation/des opérations de transformation : Voir la Partie 2 de l'Annexe 1 du SPDA.
La durée de conservation des données à caractère personnel EEE/RU/Suisse ou les critères utilisés pour déterminer cette durée : Voir l’article du SPDA intitulé "Destruction et Retour des Informations du Client".
Pour les transferts aux sous-traitants (ultérieurs), l'objet, la nature et la durée du traitement : Voir l’article du SPDA intitulé "Destruction et Retour des Informations du Client".
C. AUTORITÉS DE CONTROLE COMPÉTENTES (Clauses Contractuelles Types de l'UE uniquement) : Telles que déterminées par le RGPD
Annexe II : Mesures techniques et organisationnelles : Voir les ESFE.
MESURES SUPPLEMENTAIRES
Sauf définition contraire, les termes utilisés dans les présentes Mesures Supplémentaires ont la signification qui leur est donnée dans le SDPA (y compris ses Addendum).
1. PERSONNEL. Le personnel de l'importateur de données ne traite pas les Données à Caractère Personnel sans autorisation. Le personnel est tenu de conserver la confidentialité de ces Données à Caractère Personnel et cette obligation subsiste même après la fin de son activité ou de son emploi auprès de l'importateur de données.
2. MESURES TECHNIQUES ET ORGANISATIONNELLES. L'importateur de données a mis en œuvre et maintiendra des mesures techniques et organisationnelles appropriées, des contrôles internes et des routines de sécurité de l’information, visant à protéger les Données à Caractère Personnel contre la perte, la destruction ou l'altération accidentelle, la divulgation ou l'accès non autorisé ou la destruction illégale, comme suit : les ESFE, qui sont incorporées dans les Mesures Supplémentaires par référence et sont opposables à l'importateur de données comme si elles étaient intégrées dans leur intégralité dans les Mesures Supplémentaires.
3. DEMANDES DE TIERS.
3.1 On entend par « Demande de tiers » toute demande juridiquement contraignante émanant d'une autorité publique, y compris les autorités judiciaires ou les forces de l’ordre (« Tiers Pertinents »), adressée à l'importateur de données en vue d'accéder aux Données à Caractère Personnel, de les divulguer ou encore de les traiter.
3.2 Sauf interdiction légale (et sans préjudice de la clause 15 des Clauses Contractuelles Types de l'UE), l'importateur de données doit :
3.2.1 Notifier rapidement le Client, et en tout état de cause dans les vingt-quatre (24) heures, dès réception d'une Demande de tiers (et avant toute réponse ou toute divulgation de Données à Caractère Personnel EEE/Royaume-Uni/Suisse au Tiers Pertinent) ;
3.2.2 Fournir au Client les informations, la coopération raisonnable et/ou les outils nécessaires pour lui permettre d'évaluer, d'annuler, de limiter et/ou de répondre à la Demande de tiers (y compris une copie de la Demande de tiers);
3.2.3 Sous réserve de ce qui suit, ne pas répondre à une Demande de tiers sans l'autorisation écrite explicite du Client. Lorsque l'importateur de données a l'obligation, en vertu du droit applicable, de répondre directement, il en informe le Client en même temps qu'il procède à la notification initiale requise ci-dessus et ne divulgue que le minimum de Données à Caractère Personnel nécessaire pour se conformer à la loi ou à la procédure judiciaire et se conforme aux demandes raisonnables du Client dans le cadre de la réponse et du traitement d'une telle Demande de Tiers.
3.2.4 L'importateur de données devra :
3.2.4.1 informer immédiatement par écrit le Tiers Pertinents que tout ou partie des éléments couverts par la Demande de tiers font l'objet d'un accord de non-divulgation ;
3.2.4.2 mettre en œuvre tous les efforts raisonnables pour rediriger le Tiers Pertinent afin qu'il demande les Données à Caractère Personnel directement au Client ;
3.2.4.3 mettre en œuvre tous les efforts juridiques permettant de contester la Demande de tiers sur la base d'éventuels manquement à la législation du Tiers Pertinent ou de tout conflit pertinent avec le droit applicable ;
3.2.4.4 ne pas fournir à un Tiers Pertinent: (a) un accès direct, indirect, général ou libre aux Données à Caractère Personnel ; (b) les clés de cryptage utilisées pour sécuriser les Données à Caractère Personnel ou la capacité de décrypter ce cryptage ; ou (c) un accès aux Données à Caractère Personnel, si l'importateur de données sait (ou devrait raisonnablement savoir) que les Données à Caractère Personnel seront utilisées à des fins autres que celles indiquées dans la Demande de tiers, et ;
3.2.4.5 dans les vingt-quatre (24) heures suivant une demande écrite du Client, fournir au Client l'accès aux Données à Caractère Personnel (et autres informations) demandées dans le cadre de la Demande de tiers, dans le format dans lequel elles sont conservées normalement dans le cadre des activités (ou, à la demande du Client, avec des copies).
3.2.5 L'importateur de données reconnaît (i) qu’il n'a pas délibérément créé de portes dérobées ou de programmes similaires qui pourraient être utilisés pour accéder aux Données à Caractère Personnel
; (ii) qu’il n'a pas délibérément créé ou modifié ses processus opérationnels d'une manière qui facilite l'accès à ces Données à Caractère Personnel ; et (iii) la loi ou la politique gouvernementale à laquelle l'importateur de données est soumis ne l'oblige pas à créer ou à maintenir des portes dérobées ou à faciliter l'accès à ces Données à Caractère Personnel.
3.2.6 L'importateur de données accepte de surveiller toute évolution juridique ou politique qui pourrait l'empêcher de se conformer à ses obligations prévues par les Mesures Supplémentaires et d'informer rapidement le Client de ces changements et évolutions, si possible avant leur mise en œuvre.
3.2.7 Si l'importateur de données divulgue des Données à Caractère Personnel en violation de ces stipulations, il dédommagera les personnes concernées pour tout dommage matériel et moral subi.
3.2.8 L'importateur de données informera le Client si, à tout moment, il n'est pas en mesure de continuer à respecter les engagements énoncés dans les Mesures supplémentaires, et accepte que le Client puisse résilier le Contrat ou les Services impactés, moyennant le préavis stipulé par le Client, dans le cas où le Fournisseur enfreindrait ces conditions.