ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES
ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES
Le présent Addendum relatif au Traitement des Données (« Addendum ») complète et fait partie de l'Accord entre Conversant et le Partenaire Média; il s'applique lorsque, et dans la mesure où, Conversant traite des Données personnelles en fournissant les Services au titre de l'Accord. Cet Addendum prend effet à compter de la date de signature de la dernière partie. Les termes précédents en majuscule sont définis ci-dessous.
Compte tenu des engagements mutuels figurant dans ce document, et en vertu d'autres considérations valables et pertinentes, dont la réception et la suffisance sont attestées par les présentes, les Parties conviennent de ce qui suit :
1. Définitions et interprétation
Les termes en majuscule qui sont utilisés dans cet Addendum sans y être définis auront le sens qui leur est donné dans l'Accord. Une interprétation complémentaire non-contractuelle des définitions suivantes est jointe en Annexe 2 :
1.1 « Accord » signifie tout accord existant et valable concernant des Services, conclu par les Parties, à la date de cet Addendum ou après cette date ;
1.2 « Contrôleur » a le sens défini dans la législation européenne sur la protection des données ;
1.3 « Conversant » signifie l'entité Conversant qui est partie à l'Accord ;
1.4 « Données » signifie les données (y compris les Données personnelles) à propos des Visiteurs sur les propriétés numériques du Partenaire Média ou à propos de ses clients et prospects
;
1.5 « Personne concernée » a le sens défini dans la législation européenne sur la protection des données ;
1.6 « Législation européenne sur la protection des données » signifie (i) avant le 25 mai 2018, la Directive européenne sur la protection des données (Directive 95/46/CE) ; (ii) à compter du 25 mai 2018, le Règlement Général européen de Protection des Données (Règlement 2016/679) tel que modifié, remis en vigueur ou remplacé et applicable périodiquement ; (iii) la Directive européenne sur la vie privée et les communications électroniques (Directive 2002/58/CE) telle que modifiée par la Directive 2009/136/CE telle que modifiée, remise en vigueur ou remplacée et applicable périodiquement ; et (iv) toute législation nationale relative à la protection des données transposant ou complétant (i), (ii) ou (iii) ;
1.7 « Partenaire Média » désigne l'entité qui est une partie à l'Accord ;
1.8 « Clauses types » signifie les clauses contractuelles standard pour le transfert de Données personnelles par des contrôleurs situés dans l'Espace économique européen à des contrôleurs établis dans des pays tiers (transferts de contrôleur à contrôleur) conformément à la décision 2004/915/CE de la Commission et tel que complété et défini dans l'Annexe 1
1.9 « Données personnelles » a le sens défini dans la législation européenne sur la protection des données ;
1.10 « Traitement » a le sens donné dans la législation européenne sur la protection des données et « Traiter », « Traite » et « Traité » sera interprété en conséquence ;
1.11 « Entité de traitement » a le sens défini dans la législation européenne sur la protection des données ;
1.12 « Services » signifie les services stipulés dans l'Accord ;
1.13 « Visiteur » signifie toute Personne concernée qui clique sur une annonce et/ou rentre sur le site Web du Partenaire Média via un lien à partir du site Web ou d'un e-mail de l'éditeur, ou d'un autre canal promotionnel approuvé par Conversant.
2. Relation avec l'Accord
2.1 Les parties conviennent que cet Addendum remplacera (en cas de conflit) ou complètera, selon les cas : (i) tout accord de traitement des données existant (y compris toute Clause type que les Parties auraient conclue précédemment en lien avec les Services ; et (ii) toutes les modalités relatives à la protection et à la sécurité des données stipulées dans l'Accord, dans chaque cas lorsque l'accord et les modalités de traitement des données concernent le traitement de Données personnelles relevant du champ d'application de cet Addendum.
2.2 À l'exception des modifications prévues par cet Addendum, l'Accord demeure inchangé et pleinement applicable. En cas de conflit entre cet Addendum et l'Accord, cet Addendum prévaudra.
2.3 Sauf indication expresse contraire dans cet Addendum, tout recours invoquant ou se rapportant à cet Addendum sera soumis aux modalités et aux conditions, notamment, sans s'y limiter, aux exclusions et limites prévues dans l'Accord.
2.4 Personne, sauf une partie à cet Addendum, ses exécuteurs et ses cessionnaires autorisés, ne sera en droit d'en faire appliquer les conditions.
2.5 L'entité Conversant désignée dans l'Accord est la partie contractante à cet Addendum. Aucune autre entité Conversant n'est partie à cet Addendum, toutefois elle peut être partie aux Clauses types.
3. Respect de la législation européenne sur la protection des données
3.1 Le Partenaire Média peut divulguer ou autrement mettre à disposition de Conversant les Données pour que Conversant les traite afin d'exécuter les Services ou à d'autres fins décrites dans l'Accord (la « Fin autorisée »).
3.2 Le Partenaire Média est un Contrôleur des Données qu'il divulgue ou met autrement à disposition de Conversant, et Conversant Traitera les Données en qualité de Contrôleur indépendant et distinct strictement à la Fin autorisée. En aucun cas les Parties ne traiteront les Données conjointement en qualité de co-Contrôleurs.
3.3 Chaque partie déclare et garantit qu'elle se conformera à la législation européenne sur la protection des données en tout temps pendant la durée de l'Accord, ce qui inclura de : (i) traiter les Données conformément à législation européenne sur la protection des données et (ii) fournir aux Personnes concernées toutes les informations requises conformément à la législation européenne sur la protection des données pour s'assurer qu'elles comprennent comment leurs Données personnelles seront Traitées dans le cadre de l'Accord.
3.4 Conversant aura mis en place des techniques et des mesures organisationnelles adaptées pour assurer un niveau de sécurité approprié aux risques que présente le traitement des Données en vertu de l'Accord, particulièrement la destruction accidentelle ou illégale, la perte, l'altération, la divulgation, ou l'accès sans autorisation aux Données personnelles.
3.5 Dans la mesure où Conversant Traite des Données personnelles provenant de l'Espace économique européen ou de la Suisse dans un pays qui n'a pas été désigné par la Commission européenne ou l'autorité fédérale suisse de protection des données (selon les cas) comme fournissant un niveau adéquat de protection des Données personnelles, les Parties reconnaissent et conviennent que Conversant fournira des mesures de protection appropriées (dans le sens de la législation européenne sur la protection des données) pour protéger ces Données personnelles en respectant ses obligations au titre des Clauses types ou par la mise en œuvre de tout autre mécanisme légal d'exportation de données autorisé par la législation européenne sur la protection des données.
3.6 Lorsque Conversant engage une Entité de traitement tierce pour Traiter les Données en son nom, Conversant devra respecter, et s'assurer que l'Entité de traitement respecte elle aussi les exigences de l'Accord et les lois européennes sur la protection des données. Conversant sera pleinement responsable des actes et/ou omissions de ses Entités de traitement comme s'il s'agissait de ses propres actes ou omissions.
3.7 Les Parties acceptent de fournir une assistance raisonnable mutuelle autant que nécessaire pour permettre à chaque partie de se conformer à toute demande d'accès (que cela concerne l'accès ou la rectification de Données personnelles, des restrictions de traitement, l'effacement ou la portabilité de données ou tout autre droit) et pour répondre à toute autre demande ou réclamation formulées par leurs Personnes concernées (« Demande d'une Personne concernée ») conformément à la législation européenne sur la protection des données.
3.8 Conversant utilise des cookies et des technologies de suivi assimilées (comme les identifiants des appareils mobiles) pour fournir ses services (« Cookies »). Le Partenaire Média s'assurera que des mécanismes de notification et de consentement appropriés tels que pourrait l'exiger la législation européenne sur la protection des données sont affichés sur les propriétés numériques à partir desquelles des Données sont collectées afin que Conversant puisse utiliser des Cookies légalement à la Fin autorisée.
3.9 À sa demande, Conversant fournira au Partenaire Média les informations que le Partenaire Média est raisonnablement en droit d'exiger à propos des Cookies de Conversant afin que le Partenaire Média puisse s'assurer que ces informations sont incluses dans la politique de confidentialité du Partenaire Média . Conversant n'utilisera pas les Données collectées à partir de Cookies pour la Fin autorisée de toute personne qui se serait désabonnée des Services.
3.10 Cette section 3 survivra à la résiliation ou à l'expiration de l'Accord. À la résiliation ou à l'expiration de l'Accord, chaque Partie pourra continuer à Traiter les Données qu'elle contrôle à condition que ce Traitement respecte les exigences de cette section ainsi que la législation européenne sur la protection des données.
3.11 Le Partenaire Média est responsable du respect de toutes les exigences nécessaires en matière de transparence et de légalité en vertu de la loi sur la protection des données en vigueur afin de divulguer les données à Conversant dans le but de les traiter aux fins autorisées, et Conversant est séparément et indépendamment responsable du respect de la loi sur la protection des données en vigueur conformément à son traitement des données qu'il reçoit de Partenaire Média.
4. Législation applicable et compétence
Sans préjudice des droits des Personnes concernées et aux Autorités de surveillance en vertu des Clauses modèles, Conversant et le Partenaire Média acceptent que la législation régissant cet
Addendum, et le forum où porter tout litige en rapport avec cet Addendum, sera ceux définis dans l'Accord, sans égards aux principes de conflits de droit.
EXÉCUTÉ par les Parties à la date de signature de l'Addendum par la dernière partie.
Signé pour et au nom de CONVERSANT | Signé pour et au nom de PARTENAIRE |
EUROPE LTD par: | MÉDIA par : |
…………………………………………… (signature) | …………………………………………… (signature) |
Xxxxxxx Xxxxxxx | …………………………………………… |
(nom en lettres capitales) | (nom en lettres capitales) |
SVP Media | |
…………………………………………… | …………………………………………… |
(poste) | (poste) |
May 18, 2018 …………………………………………… (date) | …………………………………………… (nom de la compagnie) |
…………………………………………… | |
(date) | |
Signé pour et au nom de CONVERSANT LLC (anciennement, VALUECLICK, INC. ET CONVERSANT, INC.) par : …………………………………………… (signature) Xxxx Xxxxxxxxx (nom en lettres capitales) SVP Media (poste) May 18, 2018 …………………………………………… (date) |
Annexe 1 Clauses du modèle
Partenaire Média qui est une partie contractante à l'Accord
Adresse : Telle que définie dans l'Accord ci-après, “l’exportateur de données” d’une part, et
Conversant LLC (anciennement, Dotomi Inc.)
Adresse : 000 X. Xxxxx Xxxxxx Xxxxx, Xxxxxxx, Xxxxxxxx, 00000, Xxxxx-Xxxx
Aux fins de ces clauses, Conversant LLC inclut ses sociétés affiliées, selon le cas, Epsilon Data Management LLC, Commission Junction LLC, Conversant Media Systems, Inc. ; Alliance Data FHC Inc. et sa filiale européenne, Conversant Europe Ltd.
ci-après, “l’importateur de données”, d’autre part,
dénommés ensemble “les parties” et individuellement “partie”
Définitions
Au sens des clauses:
a) “données à caractère personnel”, “catégories spéciales de données/données sensibles”, “traiter/traitement”, “responsable du traitement”, “sous-traitant”, “personne concernée” et “autorité de contrôle/autorité” ont la même signification que dans la directive 95/46/CE du 24 octobre 1995 (“l’autorité” étant l’autorité compétente en matière de protection des données sur le territoire où l’exportateur de données est établi);
b) l'“exportateur de données” est le responsable du traitement qui transfère les données à caractère personnel;
c) l'“importateur de données” est le responsable du traitement qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées conformément aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate;
d) les “clauses” sont les présentes clauses contractuelles, qui constituent un document indépendant et ne comprennent pas de dispositions commerciales convenues par les parties dans le cadre d’accords commerciaux distincts.
Les détails du transfert (ainsi que les données à caractère personnel couvertes) sont spécifiés à l’annexe B, qui fait partie intégrante des clauses.
I. Obligations de l’exportateur de données
L’exportateur de données offre les garanties et prend les engagements suivants:
a) Les données à caractère personnel ont été collectées, traitées et transférées conformément aux lois applicables à l’exportateur de données.
b) L’exportateur de données a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des présentes clauses.
c) L’exportateur de données communique à l’importateur de données, à la demande de ce dernier, le texte des lois pertinentes en matière de protection des données du pays dans lequel il est établi ou les références de ces lois (si approprié et sans inclure d’avis juridique).
d) L’exportateur de données répond aux demandes de renseignements des personnes concernées et de l’autorité au sujet du traitement des données à caractère personnel par l’importateur de données, à moins que les parties n’aient convenu que c’est l’importateur de données qui y répond, auquel cas l’exportateur de données doit néanmoins répondre dans la mesure du possible en communiquant les informations dont il peut raisonnablement disposer si l’importateur de données ne consent pas à répondre ou n’est pas en mesure de le faire. Les réponses sont apportées dans des délais raisonnables.
e) L’exportateur de données remet, sur demande, un exemplaire des clauses aux personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il est autorisé à retirer lesdites informations. Lorsque des informations sont retirées, l’exportateur de données informe les personnes concernées, par écrit, de la raison du retrait et de leur droit de porter ce retrait à la connaissance de l’autorité. Toutefois, l’exportateur de données se conforme à une décision de l’autorité concernant l’accès au texte intégral des clauses par les personnes concernées, pour autant que ces dernières aient accepté de respecter la confidentialité des informations confidentielles retirées. L’exportateur de données fournit également un exemplaire des clauses à l’autorité lorsque cette dernière le lui demande.
II. Obligations de l’importateur de données
L’importateur de données offre les garanties et prend les engagements suivants:
a) L’importateur de données met en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé. Ces mesures assurent un niveau de sécurité adapté au risque lié au traitement et à la nature des données à protéger.
b) L’importateur de données met en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l’autorité de l’importateur de données, y compris un sous-traitant, ne peut traiter les données à caractère personnel que sur instruction de l’importateur de données. Cette disposition ne s’applique pas aux personnes que la loi ou la réglementation autorise ou oblige à accéder aux données à caractère personnel.
c) Au moment où il adhère aux présentes clauses, l’importateur de données n’a pas connaissance de l’existence de lois locales susceptibles d’affecter de façon substantielle les garanties offertes en vertu des présentes clauses et, s’il apprend l’existence de telles lois, il en informe l’exportateur de données (qui transmettra cette notification à l’autorité si nécessaire).
d) L’importateur de données traite les données à caractère personnel aux fins décrites à l’annexe B et il est juridiquement habilité à donner les garanties et à prendre les engagements énoncés dans les présentes clauses.
e) L’importateur de données désigne à l’exportateur de données un point de contact au sein de son organisation qui est autorisé à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel et coopère de bonne foi avec l’exportateur de données, les personnes concernées et l’autorité au sujet de toutes ces demandes de renseignements dans des délais raisonnables. En cas de dissolution légale de l’exportateur de données ou si les parties en ont convenu ainsi, l’importateur de données assume la responsabilité de la conformité aux dispositions de la clause I e).
f) À la demande de l’exportateur de données, l’importateur de données lui apporte la preuve qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités au titre de la clause III (ce qui peut inclure la couverture d’une assurance).
g) Sur demande raisonnable de l’exportateur de données, l’importateur de données soumet ses moyens de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à l’examen, à la vérification et/ou à la certification par l’exportateur de données (ou tout inspecteur ou vérificateur indépendant ou impartial sélectionné par l’exportateur de données et que l’importateur de données ne peut raisonnablement récuser) afin de vérifier la conformité aux garanties données et aux engagements pris dans les présentes clauses, moyennant un préavis raisonnable et durant les heures de bureau habituelles. La demande est soumise, si nécessaire, à l’autorisation ou à l’approbation d’une autorité réglementaire ou de contrôle du pays de l’importateur de données, lequel s’efforce d’obtenir cette autorisation ou approbation dans les meilleurs délais.
h) L’importateur de données traite les données à caractère personnel, selon son choix, conformément:
i) aux lois sur la protection des données du pays dans lequel l’exportateur de données est établi, ou
ii) aux dispositions (1) pertinentes d’une décision de la Commission en application de l’article 25, paragraphe 6, de la directive 95/46/CE, lorsque l’importateur de données se conforme aux dispositions pertinentes de cette autorisation ou décision et est établi dans un pays où cette autorisation ou décision1 s’applique mais n’est pas couvert par cette autorisation ou décision pour les besoins du transfert de données à caractère personnel (2);
iii) aux principes de traitement des données énoncés à l’annexe A. L’importateur de données indique l’option qu’il sélectionne: option (iii) Paraphe de l’importateur de données:
(1) Les “dispositions pertinentes” sont celles de toute autorisation ou décision à l’exception des dispositions d’application de toute autorisation ou décision (qui sont régies par les présentes clauses).
(2) Toutefois, les dispositions de l’annexe A.5 concernant les droits d’accès, de rectification, de suppression ou d’objection doivent être appliquées lorsque cette option est choisie et priment sur les dispositions comparables de la décision de la Commission sélectionnée.
i) L’importateur de données ne divulgue pas et ne transfère pas les données à caractère personnel à un responsable du traitement dans un pays tiers situé en dehors de l’Espace économique européen (EEE) sans notifier ce transfert à l’exportateur de données et sans
i) que le responsable du traitement dans le pays tiers traite les données à caractère personnel conformément à une décision de la Commission établissant que le pays tiers en question assure une protection adéquate ou
ii) que le responsable du traitement dans le pays tiers devienne signataire des présentes clauses ou d’un autre accord de transfert de données approuvé par une autorité compétente de l’Union européenne ou
iii) que les personnes concernées aient eu la possibilité de s’y opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent avoir des normes de protection des données différentes ou
iv) que les personnes concernées aient donné leur consentement non équivoque au transfert ultérieur dans le cas de données sensibles.
III. Responsabilité et droits des tiers
a) Chaque partie est responsable envers l’autre partie des dommages qu’elle cause par suite d’un manquement aux présentes clauses. La responsabilité entre les parties se limite au dommage effectif subi. Des pénalités (c’est-à-dire des dommages-intérêts destinés à punir une partie pour sa conduite outrageante) sont spécifiquement exclues. Chaque partie est responsable envers les personnes concernées des dommages qu’elle cause par suite d’une violation des droits des tiers au titre des présentes clauses, sans que cela n’affecte la responsabilité de l’exportateur de données en vertu de la loi sur la protection des données à laquelle il est soumis.
b) Les parties conviennent qu’une personne concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, la présente clause, ainsi que les clauses I b), I d), I e), II a), II c), II d), II e), II h), II i), III a), V, VI d) et VII à l’encontre de l’importateur de données ou de l’exportateur de données, pour leurs manquements respectifs à leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et accepte la juridiction à cette fin du pays d’établissement de l’exportateur de données. Dans les cas impliquant des allégations de manquement dans le chef de l’importateur de données, la personne concernée doit d’abord demander à l’exportateur de données de prendre des mesures appropriées pour faire valoir ses droits à l’encontre de l’importateur de données; si l’exportateur de données ne prend pas ces mesures dans des délais raisonnables (qui, dans des circonstances normales, seraient d’un mois), la personne concernée peut alors faire valoir ses droits à l’encontre de l’importateur de données directement. Une personne concernée est en droit de procéder directement à l’encontre d’un exportateur de données qui n’a pas entrepris de démarches raisonnables pour déterminer que l’importateur de données est à même de satisfaire à ses obligations légales au titre des présentes clauses (il appartient à l’exportateur de données de prouver qu’il a entrepris des démarches raisonnables).
IV. Droit applicable aux clauses
Les présentes clauses sont régies par le droit du pays où l’exportateur de données est établi, à l’exception des lois et règlements relatifs au traitement des données à caractère personnel par l’importateur de données en vertu de la clause II h), qui s’appliquent seulement si l’importateur de données les sélectionnent en vertu de cette clause.
V. Règlement des litiges avec les personnes concernées ou l’autorité
a) En cas de litige ou de plainte introduite à l’encontre des parties ou de l’une d’entre elles par une personne concernée ou par l’autorité au sujet du traitement des données à caractère personnel, les parties s’informent mutuellement de ces litiges ou plaintes et coopèrent en vue de parvenir à un règlement à l’amiable dans les meilleurs délais.
b) Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible mise en œuvre par une personne concernée ou par l’autorité. Si elles participent aux procédures, les parties peuvent choisir de le faire à distance (notamment par téléphone ou autres moyens électroniques). Les parties conviennent également d’examiner la possibilité de participer à toute autre procédure d’arbitrage, de médiation ou de règlement de litige mise en place pour les litiges relatifs à la protection des données.
c) Chaque partie se plie à la décision d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité qui est définitive et contre laquelle aucun recours n’est possible.
VI. Résiliation
a) Au cas où l’importateur de données manque à ses obligations au titre des présentes clauses, l’exportateur de données peut temporairement suspendre le transfert de données à caractère personnel à l’importateur de données jusqu’à ce qu’il soit remédié au manquement ou que le contrat soit résilié.
b) Au cas où:
i) le transfert de données à caractère personnel à l’importateur de données a été temporairement suspendu par l’exportateur de données pendant plus d’un mois conformément au paragraphe a);
ii) le respect par l’importateur de données des présentes clauses le mettrait en violation de ses obligations légales ou réglementaires dans le pays d’importation;
iii) l’importateur de données est en violation grave ou persistante des garanties qu’il a données ou des engagements qu’il a pris au titre des présentes clauses;
iv) une décision finale, contre laquelle aucun recours n’est possible, d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité déclare que les clauses n’ont pas été respectées par l’importateur de données ou l’exportateur de données, ou
v) une pétition est présentée en vue de l’administration ou de la liquidation de l’importateur de données, en tant que personne ou en tant qu’entreprise, laquelle pétition n’est pas contestée dans les délais applicables pour une telle contestation en vertu du droit applicable; un ordre de liquidation est donné; un administrateur est désigné pour l’un des biens de l’importateur de donnés; un curateur de faillite est désigné, si l’importateur de données est une personne privée; une procédure de concordat est engagée par lui; ou il intervient un événement équivalent dans toute juridiction,
l’exportateur de données, sans préjudice des autres droits qu’il pourrait faire valoir à l’encontre de l’importateur de données, est autorisé à résilier les présentes clauses, auquel cas l’autorité en est informée si nécessaire. Dans les cas couverts par les points i), ii) ou iv) ci-dessus, l’importateur de données peut également résilier les présentes clauses.
c) L’une des parties peut résilier les présentes clauses si i) la Commission a adopté une décision constatant le caractère adéquat de la protection des données au titre de l’article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte la remplaçant) concernant le pays (ou un secteur de celui-
ci) vers lequel les données sont transférées et traitées par l’importateur de données ou ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.
d) Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit [sauf pour la résiliation en vertu de la clause VI c)] ne les exempte pas des obligations et/ou conditions imposées par les clauses en ce qui concerne le traitement des données à caractère personnel transférées.
VII. Modification des présentes clauses
Les parties ne peuvent pas modifier les présentes clauses sauf pour mettre à jour les informations de l’annexe B, auquel cas elles en informent l’autorité si nécessaire. Elles sont toutefois autorisées à ajouter des clauses commerciales supplémentaires, si nécessaire.
VIII. Description du transfert
Les détails du transfert et des données à caractère personnel sont spécifiés à l’annexe B. Les parties conviennent que l’annexe B peut contenir des informations professionnelles confidentielles qu’elles ne divulgueront pas à des tiers, sauf si la loi les y oblige ou en réponse à une agence officielle ou réglementaire compétente ou si elles y sont tenues en vertu de la clause I e). Les parties peuvent exécuter des annexes supplémentaires pour couvrir des transferts supplémentaires, qui seront soumises à l’autorité si nécessaire. L’annexe B peut aussi être rédigée de manière à couvrir des transferts multiples.
May 18, 2018
Date: ............................................
POUR L’IMPORTATEUR DE DONNÉES POUR L’EXPORTATEUR DE DONNÉES
...................................................... .............................................................
...................................................... .............................................................
ANNEXE A:
PRINCIPES DE TRAITEMENT DES DONNÉES
1. Limitation des transferts à une finalité spécifique: Les données à caractère personnel ne peuvent être traitées et ultérieurement communiquées qu’aux fins décrites à l’annexe B ou ultérieurement autorisées par la personne concernée.
2. Qualité et proportionnalité des données: Les données à caractère personnel doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités de leur transfert ou de leur traitement ultérieur.
3. Transparence: Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement et sur le transfert), à moins que ces informations aient été déjà fournies par l’exportateur de données.
4. Sécurité et confidentialité: Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé. Toute personne agissant sous l’autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable.
5. Droits d’accès, de rectification, de suppression et d’objection: Comme le prévoit l’article 12 de la directive 95/46/CE, les personnes concernées sont en droit d’obtenir, directement ou via un tiers, la communication des informations personnelles les concernant qu’une organisation détient, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique, ou si l’accès ne doit pas être accordé en vertu des lois du pays de l’exportateur de données. Pour autant que l’autorité ait donné son accord préalable, l’accès peut également ne pas être accordé lorsqu’il risque de porter gravement atteinte aux intérêts de l’importateur de données ou d’autres organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts. Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés. Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle. La charge de la preuve pour tout refus appartient à l’importateur de données et la personne concernée peut toujours contester un refus devant l’autorité.
6. Données sensibles: L’importateur de données prend les mesures supplémentaires (par exemple, en matière de sécurité) qui sont nécessaires pour protéger les données sensibles conformément à ses obligations au titre de la clause II.
7. Données utilisées à des fins de marketing direct: Lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent permettre à la personne concernée de
s’opposer à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.
8. Décisions automatisées: Aux fins du présent contrat, on entend par “décision automatisée” toute décision de l’exportateur de données ou de l’importateur de données qui produit des effets juridiques à l’égard d’une personne concernée ou affecte de manière significative une personne concernée, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de la personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Les personnes concernées ne peuvent faire l’objet de décisions automatisées de la part de l’importateur de données sauf dans le cas où:
a) i) de telles décisions sont prises par l’importateur de données dans le cadre de la conclusion ou de l’exécution d’un contrat avec la personne concernée, et
ii) la personne a l’occasion d’examiner les résultats d’une décision automatisée la concernant avec un représentant de la partie qui prend une telle décision ou sinon de se faire représenter auprès de cette partie.
ou
b) lorsque la loi applicable à l’exportateur de données en dispose autrement.
ANNEXE B DESCRIPTION DU TRANSFERT
[À compléter par les parties]
Personnes concernèes
Les donnèes à caractère personnel transfèrèes se rapportent aux categories suivantes de personnes concernèes:
- Prospects, clients, partenaires commerciaux et fournisseurs de l'Exportateur de données (qui sont des personnes physiques)
- Employés ou interlocuteurs des prospects, clients, partenaires commerciaux et fournisseurs de l'Exportateur de données
Finalitès du transfert
Les finalitès du transfert sont les suivantes:
Le transfert des données est nécessaire pour que l'Importateur de données fournisse les Services définis dans l'Accord.
Catègories de donnèes
Les donnèes à caractère personnel transfèrèes se rapportent aux catègories de donnèes suivantes:
- Prénom et nom de famille
- Coordonnées (e-mail, téléphone, adresse physique)
- Données d'identification
Autre : Les communications générales à caractère commercial et transactionnel de l'Exportateur de données et l'utilisation des données personnelles par ce dernier peuvent couvrir de vastes catégories englobant toutes les données pertinentes à la relation de l'Exportateur de données avec la personne concernée, et peuvent varier périodiquement. Il incombera à l'Exportateur de données de s'assurer que la collecte et l'utilisation de ces Données personnelles sont conformes et cohérentes avec les consentements exigés par la législation.
Par souci de clarté et pour dissiper tout doute, l'Exportateur de données ne fournira pas à l'Importateur de données, et l'Exportateur de données ne pourra pas saisir (ou demander la saisie) dans un Service ou une Solution hébergé(e) par l'Importateur de données, des Catégories particulières de Données, y compris : Les Données sensibles, telles que définies dans la législation sur la protection des données, les données personnelles relatives à des condamnations et infractions pénales, et toutes les données personnelles de type informations bancaires, numéros de sécurité sociale, identifiants fiscaux, numéros de passeports, numéros d'identification du gouvernement, et toutes les autres données faisant l'objet d'une réglementation spécifique.
Destinataires
Les donneès à caractère personnel transfèrèes ne peuvent être divulguèes qu’aux destinataires suivants ou aux catègories de detinataires suivantes:
L'entité décrite dans ces clauses types en tant qu'Importateur de données.
Les prestataires qui aident l'Importateur de données dans la revente ou le placement d'annonces, y compris l'hébergement et le ciblage de campagnes, la création et le sourçage de campagnes, la vérification et le rapprochement de la diffusion de la campagne, et les mesures et rapports de performance de la campagne, la visibilité, la fraude et les activités de post-impression.
Donnèes sensibles (le cas èchèant)
Les donnèes à caractère personnel transfèrèes se rapportent aux catègories de donnèes sensibles suivantes:
L'Exportateur de données ne fournira pas à l'Importateur de données, et l'Exportateur de données ne pourra pas saisir (ou demander la saisie) dans un Service ou une Solution hébergé(e) par l'Importateur de données, des Catégories particulières de Données, y compris : numéros de comptes financiers, numéros de sécurité sociale, numéros d'identification fiscale, numéros de passeport, numéros d'identification émis par le gouvernement de toutes sortes, spécifiquement les données hautement réglementées (par ex., les données financières ou de santé).
Enregistrements de l’exportateur de donnèes relatifs à la protection des donnèes (le cas echeant)
Les informations sur la protection des données que l'Exportateur de données doit périodiquement notifier à l'Importateur de données, le cas échéant.
Autres informations utiles (limites de conservation et autres informations pertinentes)
Les Données personnelles transférées peuvent être conservées pendant une durée maximale de deux ans après la résiliation des Services.
Points de contact pour les demandes de renseignement concernant la protection des donnèes
Importateur de donnèes Exportateur de donnèes
Les points de contact pour les demandes en matière de protection des données que l'Exportateur de données doit notifier à l'Importateur de données ou sur demande périodique de l'Importateur de données. |
Addendum à l'Annexe 1 - Clauses contractuelles standard
CET ADDENDUM AUX CLAUSES CONTRACTUELLES STANDARD (l'« Addendum CCS ») est
conclu par et entre l'Exportateur de données et l'Importateur de données ; chacun étant une « Partie
», ou étant conjointement désignés les « Parties ».
Compte tenu des engagements mutuels figurant dans ce document, et en vertu d'autres considérations valables et pertinentes, dont la réception et la suffisance sont attestées par les présentes, les Parties conviennent de ce qui suit :
1. L'Importateur de données et l'Exportateur de données, tels que définis par la Directive 95/46/CE (et la législation subséquente, y compris le Règlement Général de Protection des Données) et les Clauses contractuelles standard (« Accord CCS ») signés par les Parties, acceptent d'être liés par toutes les conditions figurant à l'Accord CCS. Bien que les amendements qui contredisent l'Accord CCS soient interdits, les Parties acceptent que certaines exigences dans l'Accord CCS admettent la conformité par différentes méthodes décrites dans la Clause 10. Ainsi, les Parties conviennent que lorsqu'une certaine discrétion est admise en matière de conformité au titre de la Clause 5(f) de l'Accord CCS, l'Importateur de données soumettra ses modalités de traitement des données à un examen annuel réalisé par PricewaterhouseCoopers ou Xxxxx Xxxxxxxx en qualité de vérificateur tiers indépendant mutuellement désigné, et fournira à l'Exportateur de données les résultats de cet examen à sa demande. Cet examen sera au moins aussi exhaustif que le précédent examen réalisé par l'Importateur de données par l'intermédiaire de PricewaterhouseCoopers ou Xxxxx Xxxxxxxx, et que l'Importateur de données fournira à l'Exportateur de données sur demande. L'Exportateur de données accepte que l'examen annuel satisfera pleinement aux obligations d'examen qui incombent à l'Importateur de données au titre de la Clause 5(f) et qu'il ne demandera aucune vérification supplémentaire des modalités de traitement des données appliquées par l'Importateur de données, à moins d'avoir l'obligation légale de réaliser un tel examen supplémentaire.
2. L'Importateur de données peut considérer cet Addendum CCS comme caduc s'il n'est pas dûment signé et renvoyé dans un délai de trois (3) mois après signature de l'Addendum CCS par l'Importateur de données.
3. Cet Addendum CCS peut être exécuté en un ou plusieurs exemplaires, chacun desquels sera considéré comme un original, l'ensemble constituant un seul et même Addendum CCS. En dehors des signatures originales, les signatures à cet Addendum CCS peuvent être attestées par et sur des télécopies ou des copies au format de document portable (« PDF ») du présent Addendum CCS (« Copies ») reflétant la signature de chaque Partie, et à condition que ces Copies soient lisibles et complètes, les dites Copies suffiront à prouver la signature des Parties comme s'il s'agissait de signatures originales.
4. Cet Addendum SSC peut être traduit dans différentes langues. En cas d'incompatibilité ou d'incohérence entre différentes conditions de cet Addendum CCS en langue anglaise et dans l'une de ses traductions dans une autre langue, la version en langue anglaise de cet Addendum CCS prévaudra.
5. Si un tribunal compétent déclare qu'une quelconque disposition de cet Addendum CCS est illégale, caduque, ou contraire à la politique publique, les autres dispositions demeureront pleinement applicables. Les Parties devront s'efforcer de modifier de bonne foi toute disposition rendue invalide afin de réaliser les intentions déclarées des Parties. La renonciation à faire valoir un manquement à l'une des dispositions de cet Addendum CCS par une Partie ne sera pas considérée
comme un renoncement à faire valoir tout manquement antérieur ou subséquent ; de même, toute renonciation ne saurait constituer un renoncement permanent.
EN FOI DE QUOI, chaque Partie a autorisé la personne suivante, respectivement, à signer le présent Addendum CCS à compter de la date indiquée ci-dessous.
Importateur de données Par: Nom en lettres capitales: Xxxx Xxxx Titre: SVP Media Date: May 18, 2018 | Exportateur de données Par: inski Nom en lettres capitales: Titre: Date: |
Annexe 2
Interprétation des Définitions au titre de la législation européenne sur la protection des données
Cette Annexe 2 n'est pas contraignante pour les Parties et expose le sens courant des termes suivants utilisés dans l'Addendum. Cette Annexe 2 est fournie à titre d'information seulement ; elle est soumise à modification selon les changements apportés à la législation européenne sur la protection des données.
« Contrôleur » désigne la personne physique ou morale, l'autorité, l'organisme ou autre organe public qui, seul ou conjointement avec d'autres entités, détermine les fins et les moyens de traitement des données personnelles ; lorsque les fins et les moyens de ce traitement sont déterminés par la législation européenne sur la protection des données, le contrôleur ou les critères spécifiques pour sa nomination peuvent être prévus par la législation européenne relative à la protection des données ;
« Personne concernée » signifie une personne physique identifiée ou identifiable ; (une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique) ;
« Données personnelles » désigne toute information se rapportant à une Personne concernée ;
et « Traitement » désigne toute opération ou série d'opérations réalisée sur des Données personnelles ou des ensembles de Données personnelles, par des moyens automatisés ou non, comme la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou la mise à disposition par d'autres moyens, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction ; et « Traiter », « Traite » et « Traité » seront interprétés en conséquence ; et
« Entité de traitement » désigne une personne physique ou morale, une autorité, un organisme ou autre organe public qui traite des données personnelles pour le compte du contrôleur.