Avenant au traitement des données de Marsh
Avenant au traitement des données de Marsh
(A) Les Conditions Générales d’Engagement (le Contrat) sont applicables aux services (les Services) que Marsh fournit au Client. À cette fin, Marsh traite les informations concernant une personne physique identifiée ou identifiable, fournies par le Client ou pour le compte du Client à Marsh dans le cadre de la prestation des Services (Données personnelles).
(B) En rédigeant cet Avenant au traitement des données (l'ATD), les Parties souhaitent mettre à jour les dispositions du Contrat quant au traitement des Données personnelles effectué par Marsh pour se conformer à la nouvelle Réglementation de l'Union européenne (UE) 2016/679 du 27 avril 2016, telle que modifiée(Règlement général sur la protection des données, RGPD).
1 Rôle des parties
1.1 Les Parties reconnaissent et conviennent que :
(a) Marsh doit traiter les Données personnelles dans le cadre des services de courtage EH&B uniquement pour le compte du Client et conformément aux instructions du Client. En conséquence, Marsh agit en tant que Sous-traitant à l'égard de ces services EH&B (tel que défini dans le RGPD) ;
(b) le Client accepte que Marsh et le Client agissent chacun en tant que Responsables du traitement des données (tel que défini dans le RGPD) à l'égard de tous les autres Services que Marsh fournit au Client ; et
(c) si, lors de l’exécution du Contrat, en réponse aux nouvelles lignes directrices ou à la législation émergeante, Marsh considère que sa catégorisation pour tout Traitement effectué en vertu du Contrat doit passer : (i) de celle du Responsable du traitement des données à celle du Sous-traitant ; ou (ii) de celle du Sous-traitant à celle du Responsable du traitement des données, Marsh adresse une notification écrite de ce changement au Client et les Parties conviennent que les conditions en vertu du présent ATD concernant le nouveau statut s'appliquent à tous les traitements de Données personnelles à partir de la date de réception de ladite notification.
2 Objet du traitement, nature et fin du traitement, types de données personnelles et catégories de personnes concernées
2.1 Lorsque Marsh agit comme Sous-traitant, la finalité du traitement des Données personnelles (conformément à l'art. 28(3) du RGPD) par Marsh est la prestation des services de courtage EH&B en vertu du Contrat. Les types de Données personnelles traitées par Marsh et les catégories de personnes concernées , lorsqu'il agit en tant que Sous-traitant, en vertu de cet ATD sont précisés à l’Annexe n°1 de cet ATD (Avenant aux informations sur le traitement des données).
2.2 Pour obtenir plus de détails sur la façon dont Marsh traite des Données personnelles dans le cadre de ses prestations de Services lorsqu'elle agit en tant que Responsable du traitement des données, veuillez vous référer à l’Annexe n° 2 de cet ATD (Traitement par Marsh des Données personnelles en tant que Responsable du traitement des données).
3 Conformité à la législation sur la protection des données
3.1 En ce qui concerne les Données personnelles pour lesquelles le Client et Marsh agissent chacun en tant que Responsable du traitement des données, le Client et Marsh doivent se conformer à leurs obligations respectives en vertu du RGPD et à toutes les autres lois et réglementations impératives de l'Union européenne, de l'Espace Économique Européen et de ses États membres, ainsi que du Royaume-Uni, qui s'appliquent au traitement des Données personnelles aux Parties, en vertu du Contrat (Législation sur la protection des données). Les Parties reconnaissent que cet ATD peut faire naître des responsabilités à charge d’une
Partie de se conformer à une exigence particulière en vertu de la Législation sur la protection des données, mais que cette attribution contractuelle de responsabilité ne libère pas l'une ou l'autre Partie de ses obligations en vertu de la Législation sur la protection des données.
3.2 Lorsque Marsh traite les Données personnelles en tant que Sous-traitant, elle doit se conformer à la Législation sur la protection des données, telle qu'elle s'applique à Marsh en tant que Sous-traitant.
4 Traitement de Données personnelles et instructions du Client
4.1 Marsh ne doit traiter les Données personnelles qu'elle traite en tant que Responsable du traitement des données que (a) dans la mesure où cela est raisonnablement requis pour exécuter les Services appropriés et tel que requis par les lois qui s'appliquent à Marsh en tant que fournisseur de ces Services et par tout(e) autre obligation, orientations ou code de bonnes pratiques auxquels Marsh est soumise à l'égard de la prestation de ces Services (Loi applicable) ; et (b) tel que stipulé autrement dans le Contrat (y compris dans cet ATD).
4.3 Le Client doit (a) s'assurer que toute instruction qu'il émet à Marsh conformément à la clause 4.2 doit être conforme à la Législation sur la protection des données ; (b) avoir l'entière responsabilité concernant l'exactitude, la qualité et la légalité des Données personnelles, ainsi que les moyens par lesquels le Client a recueilli les Données personnelles ; c) aviser Marsh dès qu'il a connaissance que les Données personnelles sont devenues inexactes ou obsolètes ; et (d) établir le fondement juridique pour le traitement en vertu de la Législation sur la protection des données, notamment en fournissant toutes les informations requises et en obtenant tous les consentements tels qu'ils peuvent être obtenus en vertu de la Législation sur la protection des données, afin que Marsh traite légalement et équitablement des Données personnelles pour offrir les Services et tel qu'autrement envisagé par cet ATD et le reste du Contrat.
4.4 Le Client garantit que (a) la divulgation des Données personnelles à Marsh est limitée à ce qui est nécessaire pour que Marsh exécute les Services ; et (b) lesdites Données personnelles sont exactes et à jour au moment où elles sont fournies à Marsh.
4.5 Sans préjudice des obligations du Client en vertu de la clause 4.3, Marsh informera le Client si elle estime raisonnablement qu’une instruction émise par le Client enfreint la Législation sur la protection des données et Marsh sera habilitée, sans qu'aucune responsabilité ne puisse être retenue à son égard, à interrompre le traitement des Données personnelles à l’égard de ladite instruction contraire à la loi. Les Parties reconnaissent et conviennent qu'un manquement ou un retard de la part de Marsh pour identifier qu'une instruction viole la Législation sur la protection des données ne signifie pas que Marsh soit en infraction au présent Contrat ni libère le Client de sa responsabilité en vertu du présent Contrat.
5 Confidentialité et sécurité du traitement, Gestion des violations et notification
5.2 Marsh doit prendre les mesures techniques et organisationnelles reprises à l’Annexe 3 (Mesures de sécurité) pour protéger la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes de Marsh qui sont impliqués dans le traitement de Données personnelles. Le Client a évalué le niveau de sécurité approprié pour le traitement dans le cadre de l’exécution de ses obligations en vertu de la Législation sur la protection des données et convient que les mesures de sécurité reprises à l’Annexe 3 sont compatibles avec une telle évaluation.
5.3 Le Client doit prendre des mesures techniques et organisationnelles appropriées pour protéger les Données personnelles, notamment en veillant à ce que les Données personnelles soient transmises en toute sécurité à Marsh.
5.4 Marsh doit informer rapidement le Client dès qu'elle a connaissance de la survenance d'une infraction à la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à des Données personnelles, transmises, stockées ou autrement traitées (Infraction aux Données personnelles) et fournir au Client les informations suivantes lorsqu'elles sont disponibles :
(a) une description de la nature de la violation des Données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées ;
(b) le nom et les coordonnées du représentant de Marsh qui peut fournir de plus amples informations ; et
(c) une description des mesures prises ou envisagées pour faire face à la violation des Données personnelles, en ce compris, le cas échéant, des mesures pour en atténuer les effets négatifs possibles.
5.5 Le Client doit notifier promptement Marsh dès qu'il a connaissance de la survenance d'une violation de Données personnelles.
5.6 Les Parties conviennent de se coordonner en toute bonne foi pour élaborer le contenu de toute déclaration publique associée et de tout avis requis dédié aux personnes concernées et/ou à l'autorité de contrôle compétente ayant autorité en vertu de la Législation sur la protection des données concernant le traitement des Données personnelles (Autorité de contrôle de la protection des données) dans le cadre d'une violation de Données personnelles.
6 Sous-traitants et Sous-traitants ultérieurs de Marsh
6.1 Nomination de Sous-traitants et Sous-traitants ultérieurs
(b) Marsh doit veiller à ce que son contrat avec un Sous-traitant ultérieur impose à ce dernier des obligations qui sont équivalentes aux obligations auxquelles Marsh est soumise, en vertu du présent ATD.
6.2 Liste de Sous-traitants ultérieurs actuels et notification de Nouveaux sous-traitants ultérieurs
Une liste des Sous-traitants ultérieurs, mise à jour à compter de la Date d'entrée en vigueur (comme défini ci-dessous), doit être mise à disposition sur xxxxx://xxx.xx.Xxxxx.xxx//xxxx- protection.html à ou avant la Date d'entrée en vigueur. Marsh doit notifier le Client avant d'octroyer l'accès aux Données personnelles à tout Sous-traitant ultérieur non inclus dans ladite liste (Nouveau sous-traitant ultérieur). Cette notification peut être envoyée par e-mail.
6.3 Droit d'opposition à l’égard des Nouveaux sous-traitants ultérieurs
Si le Client s'oppose à l'utilisation par Marsh d'un Nouveau sous-traitant ultérieur, pour les motifs raisonnables que le Nouveau sous-traitant ultérieur est peu susceptible d'être en mesure de se conformer aux conditions du présent ATD ou du Contrat, le Client doit le notifier rapidement à Marsh par écrit dans un délai de dix (10) jours après réception de la notification de Marsh. L'absence d'objection du Client, par écrit endéans ce délai, constitue une approbation d'utiliser le Nouveau sous-traitant ultérieur. Le Client reconnaît que l'incapacité de faire appel à un Nouveau sous-traitant ultérieur particulier peut entraîner des retards dans l'exécution des Services, l'incapacité d'exécuter les Services ou l'augmentation de frais. Marsh avisera le Client par écrit de tout changement aux Services ou aux frais qui résulterait de l'incapacité de Marsh à faire appel à un Nouveau sous-traitant ultérieur auquel le Client a fait objection. Le Client peut soit réaliser une modification écrite au Contrat qui établit un tel changement, soit exercer son droit de résilier le Contrat, en conformité avec les dispositions de résiliation de celui-ci. Une telle résiliation ne constitue pas une résiliation pour violation du Contrat.
6.4 Responsabilité des Sous-traitants ultérieurs
7 Marsh est tenue responsable des actes, omissions ou inactions de ses Sous-traitants ultérieurs dans l'exécution des obligations, en vertu du présent ATD ou encore, lorsque ceux-ci ont agi comme s’il s’agissait d’actes, omissions ou d’inactions imputables à Marsh. Droits des personnes concernées ; autres réclamations et demandes
7.1 Si Marsh reçoit une requête de la part d'une personne concernée pour accéder, rectifier, modifier, transmettre ou supprimer les Données personnelles de cette personne, qui soit compatible avec les droits de cette personne en vertu de la Législation sur la protection des données (Demande de personne concernée), que ce soit en tant que Responsable du traitement des données ou Sous-traitant, dans la mesure autorisée par la loi ou à moins qu'il n'en soit convenu autrement par les Parties :
(a) Marsh doit aviser promptement le Client dès réception de la Demande de personne concernée. À la suite de la réception d'une Demande d’une personne concernée, Marsh peut contacter la personne concernée pour accuser réception de la Demande de la personne concernée et notifier à la personne concernée qu'elle a renvoyé cette Demande de la personne concernée au Client, mais Marsh n’est pas habilitée à répondre aux Demandes de la personne concernée sans les instructions écrites préalables du Client ;
(b) le Client doit traiter la Demande de la personne concernée conformément à la Législation sur la protection des données ; et
(c) Marsh doit fournir cette assistance raisonnable d’un point de vue commercial car le Client peut raisonnablement demander de l’aider à s'acquitter de ses obligations en vertu de la Législation sur la protection des données, afin de répondre aux Demandes de la
personne concernée. Le Client est responsable de tous frais raisonnables découlant de l'octroi par Marsh de cette assistance.
7.2 Dans la mesure permise par la loi, Marsh doit notifier promptement le Client dès réception de toute réclamation ou demande (autres que les Demandes de la personne concernée ou les demandes d’Autorités de contrôle de la protection des données décrites dans la clause 8) relative : (a) aux obligations du Client en vertu de la Législation sur la protection des données ; ou (b) aux Données personnelles.
7.3 À moins qu'il n'en soit convenu autrement entre les Parties, le Client doit traiter la réclamation ou demande concernée conformément à la Législation sur la protection des données et Marsh doit fournir ladite assistance raisonnable d’un point de vue commercial, comme le Client peut raisonnablement le demander, en lien avec ladite réclamation ou demande. Le Client est responsable de tous frais raisonnables découlant de l'octroi par Marsh de cette assistance.
8 Coopération avec les Autorités de contrôle de la protection des données et gestion des demandes d'indemnisation
8.1 Marsh doit notifier le Client de toute demande formulée par une Autorité de contrôle la protection des données que Marsh reçoit et qui concerne le traitement des Données personnelles, à moins que cela ne soit interdit par la loi ou par l’Autorité de contrôle de la protection des données.
8.2 En ce qui concerne les Données personnelles que Marsh traite en lien avec les Services qu'elle offre en tant que Sous-traitant, à moins qu'une Autorité de contrôle de la protection des données demande par écrit de s'engager directement avec Marsh ou que les Parties (agissant raisonnablement et tenant compte de l'objet de la demande) conviennent que Marsh gère la demande d'une Autorité de contrôle de la protection des données elle-même, le Client doit : (a) être responsable de toutes les communications ou de la correspondance avec l’Autorité de contrôle de la protection des données en ce qui concerne le traitement des Données personnelles et la prestation ou la réception des Services ; et b) tenir Marsh informée de ces communications ou de cette correspondance dans la mesure permise par la loi.
9 Renvoi et suppression des Données personnelles
10 Audits et demandes d'informations et d'assistance
(a) Le Client peut effectuer ces audits une fois par an ou plus fréquemment si cela est requis par la Législation sur la protection des données applicable au Client ;
(b) Le Client peut utiliser un tiers pour effectuer l'audit en son nom, dans la mesure où le tiers est approuvé mutuellement par le Client et Marsh, et qu'il signe un accord de confidentialité acceptable pour Marsh avant l'audit ;
(c) Les audits doivent être effectués pendant les heures normales de bureau, être soumis aux politiques de Marsh et ne doivent pas interférer de façon déraisonnable avec les activités commerciales de Marsh ;
(d) Le Client doit fournir à Marsh tout rapport d'audit généré en lien avec tout audit, gratuitement, sauf si la loi l'interdit. Le Client peut utiliser les rapports d'audit uniquement aux fins de répondre à ses exigences en matière d'audit en vertu de la Législation sur la protection des données et/ou de certifier la conformité avec les exigences du présent ATD. Les rapports d'audit constituent des informations confidentielles des Parties en vertu du Contrat ;
(e) Pour demander un audit, le Client doit soumettre un plan d'audit détaillé à Marsh au moins six (6) semaines avant la date de l'audit proposée. Le plan d'audit doit décrire la portée, la durée et la date de début de l'audit. Marsh examinera le plan d'audit et informera le Client de toute préoccupation ou question (par exemple, toute demande d'informations qui pourraient compromettre les obligations de confidentialité de Marsh ou ses politiques en matière de sécurité, confidentialité, emploi ou d'autres politiques appropriées). Marsh travaillera en collaboration avec le Client pour convenir d'un plan d'audit final ;
(f) Rien dans cette clause 10.1 ne pourra contraindre Marsh à enfreindre une obligation de confidentialité due à l'un de ses clients ou de ses employés ;
(g) Si la portée de l'audit demandé est traitée dans un rapport d'audit SSAE 16/ISAE 3402 Type 2, ISO, NIST ou un rapport d'audit similaire effectué par un vérificateur tiers qualifié, dans les douze (12) mois de la demande d'audit du Client et que Marsh confirme qu'il n'y a pas de changements importants connus dans les contrôles effectués, le Client consent à accepter ces conclusions au lieu de demander un audit des contrôles visés par le rapport ; et
(h) Tous les audits sont effectués aux frais du Client uniquement. Toute demande d'assistance de Marsh dans l'audit, nécessitant l'utilisation de ressources différentes ou complémentaires par rapport à celles requises pour la prestation des Services, sera considérée comme un service supplémentaire pour lequel des frais supplémentaires raisonnables peuvent être facturés. Marsh se réserve le droit d'exiger du Client un contrat écrit pour payer lesdits frais avant d'apporter ladite assistance dans l'audit.
10.2 Chaque Partie intervenant en tant que Responsable du traitement de données sera responsable séparément de mesurer le besoin d'entreprendre, et la réalisation de, toute évaluation de l'impact de la protection des données, y compris toute concertation avec une Autorité de contrôle de la protection des données, en vertu des clauses 35 et 36 du RGPD ou autrement à l'égard de son utilisation ou de sa prestation de Services.
10.3 Lorsque cela est demandé par le Client, Marsh doit, aux frais du Client, offrir au Client ladite assistance et lesdites informations telles qu'elles peuvent être raisonnablement requises pour que le Client se conforme à toute obligation, afin de procéder à une analyse d'impact relative à la protection des données ou de consulter une Autorité de contrôle de la protection des données, conformément aux articles 35 et 36 du RGPD, respectivement.
10.4 Lorsque cela est requis par Marsh, le Client doit, aux frais de Marsh, offrir à Marsh ladite assistance et lesdites informations telles qu'elles peuvent être raisonnablement requises pour que Marsh se conforme à toute obligation, afin de procéder à une analyse d'impact relative à la protection des données ou de consulter une Autorité de contrôle de la protection des données, conformément aux articles 35 et 36 du RGPD, respectivement.
11 Transferts en dehors de l'Espace économique européen
11.1 Sous réserve du reste de cette clause 11, le Client consent aux transferts de Données personnelles à Marsh, aux sociétés affiliées de Marsh ou aux Sous-traitants ultérieurs respectifs de Marsh et des sociétés affiliées de Marsh basés dans des pays en dehors de
l'Espace économique européen (EEE, qui, en liaison avec l'utilisation de la norme visée à l'article 11.2(b) ci-dessous, comprend également la Suisse).
11.2 Transferts lorsque Marsh agit en tant que Sous-traitant
(a) Lorsque Marsh transfert des Données personnelles en tant que Sous-traitant, soit directement, soit via un transfert ultérieure, à partir de l'EEE à un destinataire en dehors de l'EEE, dans un pays non reconnu par la Commission européenne comme fournissant un niveau de protection adéquat des données personnelles (Destinataire de pays tiers), une telle transmission doit être traitée par un cadre reconnu par les autorités ou les tribunaux compétents comme offrant un niveau de protection adéquat des Données personnelles, comprenant notamment, l'accord dans le formulaire annexé à la décision du commissaire européen du 5 février 2010 concernant les Clauses contractuelles types pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers (Clauses contractuelles types de l'UE), des règles d'entreprise contraignantes ou d’une société soumise à la structure du Bouclier de protection des données UE-États- Unis (Privacy Shield Framework) (Mécanisme de transmission de données).
(b) Marsh est une société affiliée de Marsh & McLennan Companies, Inc. MMC et le groupe MMC désigne le groupe de sociétés de MMC. MMC a adopté des règles d'entreprise contraignantes sous la forme de standards applicables aux Sous-traitant, qui seront rendues disponibles à ou avant la Date d'entrée en vigueur sur xxxxx://xxx.xx.Xxxxx.xxx//xxxx-xxxxxxxxxx.xxxx (la Norme) afin de fournir des mesures de sécurité adéquates pour la transmission de Données personnelles depuis certaines sociétés affiliées du groupe MMC vers certaines sociétés affiliées du groupe MMC non établies dans l'EEE.
(c) Marsh garantit que :
(i) elle est partie à et est liée par l'accord intragroupe concernant la Norme datant du 20 juin 2017 et conclue entre MMC UK Group Limited et les sociétés affiliées du groupe MMC, telle que reprise et modifiée dans le même accord (l'Accord intragroupe) ;
(ii) la clause 1.1 de l'Accord intragroupe contraint Marsh de se conformer à toutes les dispositions de la Norme en ce qui concerne toute Donnée personnelle transmise de tout membre du groupe MMC de l'EEE à tout membre du groupe MMC hors de l'EEE (comme défini dans la Norme) ;
(iii) elle doit se conformer à toutes les dispositions de la Norme ;
(iv) lorsque le Client est établi dans l'EEE, la Norme a été dûment approuvée par l'autorité de protection des données et la juridiction compétente du territoire de l'EEE où le Client est implanté (l'Autorité compétente de protection des données) ; et
(v) elle informera rapidement le Client si l'Autorité compétente de protection des données retire son approbation de la Norme.
(d) Le Client s'engage à mettre à disposition pour les personnes concernées, sur demande, un exemplaire de la Norme et de ce présent ATD, sauf si l'ATD contient toute information commerciale confidentielle et sensible, auquel cas il supprimera ces informations.
(i) si requis par Marsh, le Client doit signer une copie des Clauses contractuelles types et prendre les autres mesures exigées par la législation en vigueur, pour s'assurer que les Clauses contractuelles types sont juridiquement valides ;
(ii) elles constituent un accord distinct entre chaque exportateur et importateur de données (chacun tel que défini dans les Clauses contractuelles types) ;
(iii) si le traitement en vertu des Clauses contractuelles types peut par la suite être effectué dans le cadre d'un Mécanisme de transfert de données alternatif (y compris lorsque l'importateur de données concerné devient partie à l'Accord intragroupe), alors les Clauses contractuelles types doivent prendre automatiquement fin à compter de la date à laquelle ledit Mécanisme de transfert de données alternatif prend effet à l'égard de ce traitement, et le Client doit signer ces documents ou ces attestations, comme Marsh peut raisonnablement le demander pour prouver cette résiliation ;
(iv) les Parties conviennent de modifier les Clauses contractuelles types si nécessaire, conformément à une décision pertinente de la Commission européenne ou de la Législation sur la protection des données ;
(v) les Parties conviennent que le consentement écrit préalable à l'engagement des Sous-traitants ultérieurs requis par la clause 5(h) des Clauses contractuelles types a été donné conformément à la clause 6.1(a) du présent ATD ;
(vi) les Parties conviennent que, dès la demande de l'exportateur de données, l'importateur de données fournira les copies des accords du Sous-traitant ultérieur qui doivent être envoyées par l'importateur de données à l'exportateur de données, conformément à la clause 5(j) des Clauses contractuelles types, et ledit importateur de données peut effacer ou modifier tous les renseignements de nature commerciale ou les clauses non liés aux Clauses contractuelles types ou leur équivalent au préalable ; et
(vii) les Parties conviennent que la clause 10 du présent ATD doit satisfaire aux exigences en matière d'audit des Clauses contractuelles types appliquées à l'importateur de données, en vertu de la Clause 5(f) et à tous les Sous-traitants ultérieurs, en vertu des clauses 11 et 12(2).
11.3 Transfert lorsque Marsh agit en tant que Responsable du traitement des données
Lorsque Marsh agit en tant que Responsable du traitement des données et transmet des Données personnelles en dehors de l'EEE ou d'un pays reconnu par la Commission européenne comme fournissant un niveau de protection adéquat des Données personnelles, Marsh veillera à ce que lesdits transferts soient effectués via un Mécanisme de transfert de données.
11.4 Généralités
En cas de conflit entre le présent ATD et les Clauses contractuelles types, les Clauses contractuelles types prévalent.
12 Modification du Contrat, durée du présent ATD et diverses informations
12.1 Le présent ATD modifie et remplace : (i) les dispositions du Contrat qui se rapportent expressément à l'utilisation de Données personnelles par les Parties, y compris les clauses spécifiques sur la protection des données et les programmes de protection des données dans des lettres d'engagement ; et (ii) toute autre disposition du Contrat qui entre en conflit avec les termes du présent ATD, à condition que, sauf indication contraire expressément mentionnée dans le présent ATD, rien dans cet ATD ne modifie les exclusions et les limitations de responsabilité de l'une ou l'autre Partie en vertu du Contrat et que toutes les dispositions relatives à la responsabilité et aux indemnités énoncées dans le reste du Contrat continuent de s'appliquer en dépit du fait que le présent ATD entre en vigueur. En cas de conflit entre les conditions du Contrat et les modalités du présent ATD, les modalités du présent ATD prévalent.
12.2 Le présent ATD et les modifications du Contrat établies par cet ATD, entreront en vigueur le 25 mai 2018 (la Date d'entrée en vigueur). Le présent ATD et les Clauses contractuelles types prendront fin lorsque Marsh cessera de traiter des Données personnelles, sauf convention contraire écrite entre les Parties.
12.3 Les Parties conviennent que toutes les responsabilités entre elles en vertu du présent ATD et des Clauses contractuelles types seront soumises aux limitations et exclusions de responsabilité et à d'autres modalités du Contrat, sauf que ces limitations et exclusions de responsabilité ne s'appliqueront pas à la responsabilité de toute Partie envers les personnes concernées, en vertu des dispositions relatives au bénéficiaire tiers des Clauses contractuelles types, dans la mesure où la limitation de ces droits est interdite par la Législation sur la protection des données.
12.4 Sous réserve de la clause 11.2, les personnes concernées bénéficient des droits de tiers en vertu des Clauses contractuelles types. Tous les autres droits de tiers sont exclus.
12.5 Dans la mesure requise par la Législation applicable sur la protection des données (par ex., en ce qui concerne la loi régissant les Clauses contractuelles types), le présent ATD doit être régi par la loi de la juridiction applicable. Dans tous les autres cas, le présent ATD est régi par les lois de la juridiction indiquée dans le Contrat.
Avenant aux informations sur le traitement des données
Responsable du traitement des données
Le Client et les sociétés affiliées du Client qui traitent des Données personnelles pour leurs propres activités.
Sous-traitant
Le Sous-traitant est Marsh.
Personnes concernées
Les Données personnelles traitées touchent les catégories suivantes de personnes concernées :
- employés et directeurs actuels, anciens et éventuels du Client;
- bénéficiaires des régimes de prévoyance du Client ;
- tiers qui interagissent avec le Client ; et
- représentants du Client.
Catégories de données
Les Données personnelles traitées touchent les catégories suivantes de données :
les informations telles que le nom, la date de naissance, le sexe, l'adresse, l'adresse e-mail, le numéro de téléphone, le nom de l'employeur, les périodes d'emploi et de service ouvrant droit à une retraite, le salaire, la nature et les détails du régime de retraite actuel et passé, le montant de la retraite, les cotisations de retraite, le régime de prévoyance, le statut matrimonial, les informations du bénéficiaire, les coordonnées bancaires, le numéro d'assurance sociale et/ou l'état de santé de l'employé.
Catégories spéciales de données (le cas échéant)
Les Données personnelles traitées touchent les catégories spéciales de données suivantes : les informations sur le statut matrimonial, l'état de santé et les dossiers médicaux d'un employé.
Opérations de traitement
Les Données personnelles traitées seront soumises aux activités de traitement de base suivantes :
Marsh, agissant en tant que Sous-traitant, en fonction de la portée de son engagement, traitera les Données personnelles pour offrir les Services, pour se conformer à ses obligations statutaires et réglementaires, pour maintenir les comptes et les registres et pour procéder à des analyses afin d'améliorer ses produits et services. Cela impliquera, notamment, la collecte, le stockage, l'analyse et la divulgation des Données personnelles que Marsh reçoit du Responsable du traitement des données, conformément au Contrat.
ANNEXE 2
Traitement des Données personnelles par Marsh en tant que Responsable du traitement des données
Pour fournir nos services en tant qu'intermédiaire en assurance et consultant en risque, Marsh recueillera et utilisera des Données personnelles, telles que le nom et les coordonnées de vos employés, des contreparties et des tiers associées, qui peuvent aussi inclure des catégories spéciales de données personnelles (par ex. sur la santé des particuliers) et, dans les cas autorisés par la loi, les informations relatives aux condamnations pénales et aux infractions. Les finalités pour lesquelles nous utilisons les Données personnelles peuvent comprendre la planification de couvertures d'assurance, le profilage, le traitement de demandes d'indemnisation et la prévention du crime. Plus d'informations à propos de l'utilisation des Données personnelles par Marsh sont fournies dans la Politique vie privée de Marsh disponible sur xxxxx://xxx.xxxxx.xxx/xx/xx/xxxxxxx- policy.html. Vous pouvez également demander un exemplaire de la Politique vie privée de Marsh en envoyant un e-mail à xxxxxxx.xxxxxxx@xxxxx.xxx (pour la Belgique) or xxxxxxx.xxxxxxxxxx@xxxxx.xxx (pour le Luxembourg) ou en écrivant à Marsh sa, Délégué à la Protection des Données, Le représentant local Xxxxxx Xxxxxxxx-Xxxxxxx 0, 0000 Xxxxxxxxx (pour la Belgique) or Délégué à la Protection des Données, Le représentant local, 00 Xxx Xxxxxx Xxxxxxx, X- 0000 Xxxxxxxxxx (xxxx xx Xxxxxxxxxx). Nous vous recommandons de consulter cette politique.
Les fondements juridiques sur lesquelles nous nous appuyons pour traiter des Données personnelles sont, selon les activités de traitement spécifiques, l'exécution d'un contrat, la conformité à une obligation légale, un intérêt public important, un intérêt légitime, un consentement, l'établissement, la défense ou la poursuite de revendications juridiques (dans chaque cas, tel que défini dans la Politique vie privée de Marsh). Les personnes concernées ont le droit d'accéder à, de modifier et de supprimer leurs Données personnelles, ainsi que d'autres droits présentés dans la Politique vie privée de Marsh.
Nous pouvons transférer les Données personnelles que vous fournissez à des tiers, tels que des assureurs, des réassureurs, des experts en sinistres, des sous-traitants, nos sociétés affiliées, et à certains Organismes de règlementation qui pourraient avoir besoin des Données personnelles aux fins décrites dans la Politique vie privée de Marsh.
Selon les circonstances, l'utilisation de Données personnelles décrite dans cette politique peut impliquer un transfert de données dans des pays en dehors du Royaume-Uni et de l'Espace économique européen qui disposent d'une législation moins rigoureuse sur la protection des données. Tout transfert de ce type sera effectuée en mettant en place les mesures de sécurité appropriées.
Utilisation des Données personnelles à laquelle une personne concernée doit consentir : Dans certaines circonstances, nous (et d'autres acteurs du marché de l'assurance) pouvons avoir besoin de recueillir et d'utiliser des catégories spéciales de Données personnelles (par ex., des informations médicales) et/ou, lorsque cela est autorisé par la Législation applicable sur la protection des données, des informations relatives aux condamnations pénales et aux infractions. Lorsque cela est requis, sauf si une autre base juridique s'applique, le consentement de la personne concernée à ce traitement nous est nécessaire, afin de vous offrir les services pertinents.
Conformément à la clause 4.3 du présent ATD, lorsque vous nous fournissez des Données personnelles sur une personne concernée, vous acceptez de l'informer de notre utilisation de ses Données personnelles et d'obtenir son consentement dans la mesure nécessaire et en particulier quant à notre utilisation de toute catégorie spéciale de Données personnelles, comme les informations médicales et/ou, lorsque cela est autorisé par la Législation applicable sur la protection des données, les informations relatives aux condamnations pénales et aux infractions. Vous acceptez que notre prestation de services à votre égard s'effectue à condition que vous ayez informé ladite personne et ayez obtenu son consentement . Toute personne concernée dont données personnelles sont utilisées par nous peut retirer son consentement à tout moment. Cependant, dans cette éventualité, nous ne serions peut-être plus en mesure de continuer à offrir des services à cette personne ou à vous-même. En conséquence, nous ne serions peut-être pas en mesure de traiter les requêtes
ou les demandes d'indemnisation, et la couverture d'assurance concernée pourrait prendre fin.
Pour obtenir plus de détails quant à la manière dont nous traitons les Données personnelles et sur la façon dont les personnes concernées peuvent exercer leurs droits en ce qui concerne ces informations, veuillez consulter la Politique vie privée de Marsh.
ANNEXE 3
Mesures de sécurité
Pour satisfaire ses obligations en vertu de la clause 5.2 du présent ATD, Marsh doit mettre en œuvre les éléments suivants :
1 Une gestion organisationnelle et un personnel dédié responsable de l'élaboration, de la mise en œuvre et de la maintenance de programmes de sécurité des informations de Marsh.
2 Des procédures d'audit et d'évaluation des risques afin d’examiner et d'évaluer périodiquement les risques pour l'organisation de Marsh, la surveillance et le maintien de la conformité aux politiques et procédures de Marsh, ainsi que d'établir des rapports sur l'état de sa protection des informations et de sa conformité dédiés à la direction interne.
3 Des contrôles pour la sécurité des données qui incluent au minimum, mais peuvent ne pas être limités à, la séparation logique des données, l'accès restreint aux données (par ex. fondés sur la fonction), la surveillance des données, et la surveillance restreints, et l'utilisation de technologies de chiffrement commercialisées adoptant la norme du secteur pour les Données personnelles qui sont :
3.1 transmises sur des réseaux publics (c'est-à-dire Internet) ou transmises sans fil ; ou
3.2 au repos ou stockées sur un support portable ou amovible (c'est-à-dire ordinateurs portables, CD/DVD, périphériques USB, bandes de sauvegarde).
4 Des contrôles d'accès logique, visant à gérer l'accès électronique aux données et à la fonctionnalité de système, basés sur les niveaux d'autorité et les postes professionnels (par ex., octroi de l'accès selon le principe du besoin de savoir et du droit d'accès minimal, utilisation d'identifiants et de mots de passe uniques pour tous les utilisateurs, examen périodique et révocation/modification rapide de l'accès lorsque l'emploi prend fin ou que des changements se produisent dans les postes).
5 Des contrôles de mot de passe conçus pour gérer et contrôler la force, l'expiration et l'utilisation des mots de passe, y compris pour interdire aux utilisateurs de partager des mots de passe et pour exiger que les mots de passe de Marsh qui sont attribués à ses employés : (i) soient composés d'au moins huit (8) caractères ; (ii) ne soient pas stockés dans un format lisible sur les systèmes informatiques de Marsh ; (iii) soient changés tous les quatre-vingt-dix (90) jours ; aient une complexité définie ; (v) aient un seuil historique pour empêcher la réutilisation de mots de passe récents ; et (vi) que les mots de passe nouvellement émis soient changés après la première utilisation.
6 Un audit du système ou un journal des événements, ainsi que des procédures de surveillance connexes pour enregistrer de façon proactive l'accès des utilisateurs et l'activité du système pour permettre un examen régulier.
7 Une sécurité physique et environnementale du centre de données, des équipements de la salle de serveurs et des autres zones contenant des Données personnelles conçue pour : (i) protéger les actifs informationnels contre les accès physiques non autorisés, (ii) gérer, surveiller et enregistrer les mouvements de personnes entrant et sortant des installations de Marsh, et (iii) fournir une protection contre les dangers environnementaux, tels que la chaleur, le feu et le dégât des eaux.
8 Des procédures et des contrôles opérationnels à fournir pour la configuration, la surveillance et la maintenance de la technologie et des systèmes d'informations, selon les normes du secteur prescrites, adoptées et internes, y compris l'élimination en toute sécurité des systèmes et des médias pour rendre toutes les informations ou données contenues dans ceux-ci indéchiffrables ou irrécupérables avant l'élimination finale ou l’exclusion de la possession de Marsh.
9 Des procédures de gestion du changement et des mécanismes de suivi visant à mettre à l'essai, approuver et surveiller toutes les modifications apportées aux actifs informationnels et technologiques de Marsh.
10 Des procédures de gestion de problèmes/d'incidents conçues pour permettre à Marsh d'étudier, de réagir à, d'atténuer et d'informer sur des événements liés aux actifs informationnels et technologiques de Marsh.
11 Des contrôles de sécurité de réseau qui fournissent, pour l'utilisation de l'entreprise, des pare- feu et des architectures DMZ en couches, des systèmes de détection des intrusions et d'autres procédures de trafic et de corrélation entre des événements, conçus pour protéger les systèmes contre les intrusions et limiter la portée de toute attaque réussie.
12 Une évaluation de la vulnérabilité, une gestion des correctifs, des technologies de protection contre les menaces et des procédures de surveillance planifiée visant à identifier, évaluer, atténuer et contrer les menaces de sécurité identifiées, les virus et d'autres codes malveillants.
13 Des procédures de résilience/continuité de l'activité et de reprise après sinistre conçues pour le maintien du service et/ou la reprise après des situations d'urgence prévisibles ou des catastrophes.
Marsh se réserve le droit de modifier les mesures de sécurité énoncées dans cette Annexe 3 à tout moment, sans préavis, à condition que ces modifications ne réduisent pas ou n'affaiblissent pas de façon significative la protection prévue pour les Données personnelles que Marsh traite au cours de sa prestation de Services au Client.