Contract
Contexte. M-Files et le Client ont convenu de l'exécution par M-Files de certains services pour le Client (identifiés comme « Services » ou en d’autres termes dans le contrat de service applicable, ci-après définis comme « Services »), selon le champ d’application convenu dans toute commande, SOW, contrat de prestations de ser- vices ou de licence applicable (séparément définis comme le « Contrat » et collec- tivement les « Contrats »). Les Contrats définissent certaines obligations et respon- sabilités des Parties (telles que définies dans les Contrats) ainsi que les responsa- bilités de M-Files et du Client au titre des services fournis par M-Files.
Champ d’application et Objet. Les Services peuvent inclure le traitement des don- nées personnelles par M-Files, pour le compte du Client, dans le champ d’application décrit aux Contrats et conformément à l’Annexe 1. Le but de cet Addendum relatif au Traitement des Données (« ATD ») est de définir les termes et conditions régis- sant un tel traitement par M-Files conformément aux exigences établies par le règle- ment général sur la protection des données (RGPD) et d'autres lois applicables con- cernant la Sécurité et la Confidentialité des données (telles que définies ci-après). Le Client conclut cet ATD pour son propre compte et pour le compte des sociétés du Groupe du Client qui agissent en tant que responsable de traitement concernant les données personnelles traitées par M-Files dans le cadre de cet ATD et des Con- trats. Aux seules fins de cet ATD, et sauf indication contraire, le terme « Client » inclut le Client et les sociétés du Groupe du Client. En cas de conflits entre les termes et conditions de l’ATD et l'une des annexes ou tout autre termes des Contrats, les termes du présent document prévaudront. Dans le cadre de la fourniture des Ser- vices au Client conformément aux Contrats, M-Files peut traiter des données per- sonnelles pour le compte du Client et les Parties acceptent de se conformer en tous points avec les termes et conditions prévues ci-après et d’agir en toute occasion de manière commercialement raisonnable et de bonne foi.
Durée et résiliation. Cet ATD prendra effet dès l’entrée en vigueur de tout Contrat applicable et restera en vigueur pendant la durée de validité du Contrat concerné et par la suite aussi longtemps que nécessaire pour la finalisation du traitement con- venu des données personnelles du Client.
DÉFINITIONS. Les termes « données personnelles », « personnes concer- nées », « violation de données personnelles », « traitement », « responsable de traitement », « sous-traitant » et « autorité de contrôle » utilisés dans cet ATD ont le sens donné dans les Lois sur la Confidentialité et la Sécurité applicable. En outre, le terme « responsable de traitement » désigne tous clients de M-Files con- cernés, et les termes « importateur de données » et « exportateur de données » ont le sens donné dans les clauses contractuelles types approuvées par la Commis- sion européenne en ce qui concerne le transfert de données personnelles en dehors de l'UE/EEE. Aux fins de clarté, sauf disposition expresse contraire prévue à l’ATD, le terme « données personnelles » inclut également les informations personnelles.
Dans cet ATD, sauf indication contraire :
« CCPA » signifie Cal. Civ. Code 1798.100, et seq. § 1798.100, tel qu’xxxxxx et révisé de temps à autre, ainsi que tout règlement connexe promulgué par le procu- reur général de Californie et entrée en en vigueur.
« Documentation sur la Sécurité, la Confidentialité et l'Architecture » dé- signe la documentation sur la sécurité, la confidentialité et l'architecture applicable aux Services spécifiques achetés par le Client, qui peut être mise à jour à tout mo- ment, et fournie au Client dans le cadre de la documentation fournie dans le cadre ou en lien avec les Contrats, ou mise à disposition par M-Files, ou sollicitée par le Client.
« Lois sur la Confidentialité et la Sécurité » signifie (i) toutes les lois, règles, réglementations, directives et exigences gouvernementales nationales, internatio- nales, fédérales, étatiques, provinciales et locales applicables, actuellement en vi- gueur et telles qu'elles deviendront effectives, relatives de quelque manière que ce soit au respect de la vie privée, à la confidentialité et/ou à la sécurité des données à caractère personnel, y compris, mais sans s'y limiter, le RGPD, le RGPD UK et la CCPA ; et (ii) toutes les normes ou règles industrielles applicables que M-Files doit respecter concernant le respect de la vie privée, la confidentialité et/ou la sécurité des données à caractère personnel.
« RGPD » signifie le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces don- nées.
« RGPD UK » signifie le RGPD tel que mis en œuvre au Royaume-Uni dans le cadre du Data Protection Act de 2018.
« Sous-Traitants Ultérieurs » représentent les tiers autorisés, en vertu de cet ATD, à avoir un accès logique aux données personnelles et à les traiter afin de four- nir quelques parties des Services. Le terme Sous-traitant Ultérieur est assimilé au
terme sous-traitant en vertu de la réglementation applicable en matière de protection des données personnelles et doit être interprété en conséquence.
« Parties » signifie le Client et M-Files de manière collective et « Partie » signifie le Client ou M-Files de manière individuelle.
« Vendre » signifie vendre, louer, libérer, divulguer, diffuser, mettre à disposition, transférer ou communiquer de toute autre manière, oralement, par écrit ou par des moyens électroniques ou autres, des données personnelles à une autre entreprise ou à un tiers contre une contrepartie monétaire ou toute autre contrepartie de valeur.
Traitement des données personnelles. Les Parties conviennent que, dans le cadre du traitement des données personnelles, le Client est le responsable de trai- tement, M-Files est le sous-traitant et M-Files peut engager des Sous-traitants Ulté- rieurs conformément aux exigences énoncées dans la section nommée « Sous-trai- tants Ultérieurs ». Dans la mesure où les données personnelles traitées en vertu du Contrat entrent dans le champ d'application de la CCPA, le Client est une "entre- prise" et M-Files est un "prestataire de services", tels que ces termes sont définis dans la CCPA. Le Client doit, dans son utilisation des Services, traiter les données personnelles en tous points conformément aux exigences de la Loi sur la Confiden- tialité et la Sécurité applicable et le Client veillera à ce que ses instructions pour le traitement des données personnelles soient conformes en tous points à cette régle- mentation. Le Client est seul responsable de l'exactitude, de la qualité et de la licéité des données personnelles et aussi des moyens par lesquels le Client a collecté les données personnelles. M-Files ne traitera les données personnelles que pour le compte du Client et conformément à ses instructions écrites et traitera les données personnelles du Client comme des informations confidentielles. Le Client demande à M-Files de traiter les données personnelles aux fins suivantes : (i) pour les traite- ments dans le cadre et de manière conforme en tous points aux dispositions du Contrat et des commandes applicables ; et (ii) pour les traitements en vue de se conformer en tous points à d'autres instructions raisonnables écrites du Client (par exemple, via un ticket de support) sous réserve que ces instructions soient con- formes aux termes du Contrat. Lors du dépôt d'un ticket de support ou d'une autre demande de service, le Client ne peut pas transmettre de données personnelles à M-Files sans notification préalable. Si des données personnelles sont nécessaires pour le processus de gestion des incidents ou le traitement d'une autre demande de service, le Client peut choisir d'anonymiser ces données personnelles avant toute transmission du message de l'incident à M-Files. Dans le cadre du Contrat, M-Files s'abstiendra de : (i) Vendre des données personnelles à moins que cela ne soit per- mis par le Contrat ou dûment autorisé par les lois applicables ; ou (ii) conserver, utiliser ou divulguer des données personnelles dans un but autre que l'objectif com- mercial spécifique de la fourniture des Services au Client, y compris la conservation, l'utilisation ou la divulgation des données personnelles dans un but commercial autre que la fourniture des Services au Client. Les parties conviennent que tout transfert ou divulgation de données à caractère personnel entre M-Files et le Client dans le cadre du Contrat n'est pas effectué à titre onéreux ou autre contrepartie de valeur et ne constitue pas une vente de données à caractère personnel en vertu des Lois sur la Confidentialité et la Sécurité. L'objet et les détails du traitement des données per- sonnelles par M-Files sont décrits dans le Contrat.
Obligations du Sous-traitant. Le Client dispose à tout moment d'un accès électro- nique à l'environnement des Services contenant des données personnelles, permet- tant au Client de répondre aux demandes de la personne concernée d'exercer ses droits en vertu de de la réglementation applicable en matière de protection des don- nées personnelles, y compris les demandes d'accès, d'effacement, de limitation, de rectification, de transfert ou d'opposition au traitement de données personnelles spé- cifiques ou d'ensembles de données personnelles. Dans la mesure où le Client, dans son utilisation des Services, n'a pas la capacité, notamment de corriger, modifier ou effacer des données personnelles ou limiter leur traitement, conformément à la ré- glementation applicable en matière de la protection des données personnelles, M- Files se conformera à toute demande commercialement raisonnable du Client des- tinée à faciliter de telles actions dans la mesure où M-Files est légalement autorisée à le faire. M-Files doit, dans la mesure permise par la loi, informer rapidement le Client s'il reçoit une demande de la part d'une personne concernée concernant l'ac- cès, la correction, la modification ou la suppression de ses données personnelles. M-Files fournira au Client toute coopération et assistance commercialement raison- nable en vue du traitement de la demande d'accès aux données personnelles de la personne concernée, conformément aux termes du Contrat. Sur demande écrite du Client, M-Files coopérera et fournira au Client toute assistance raisonnable afin de permettre au Client de respecter ses obligations conformément à la Loi sur la Con- fidentialité et la Sécurité applicable au titre de la réalisation d’une analyse d’impact liée à l’utilisation des Services M-Files par le Client, dans la mesure où ces informa- tions ne sont pas par ailleurs accessibles au Client. Dans le cas où une coordination ou une consultation préalable avec toute autorité de contrôle est requise de la part du Client, M-Files fournira une assistance raisonnable au Client pour cette coopéra- tion ou cette consultation préalable. Toute assistance au titre de la présente Section
"Obligations du Sous-traitant » sera soumise aux tarifs applicables dans le Contrat ou aux tarifs de service en vigueur de M-Files.
Personnel de M-Files et Contact. M-Files veillera à ce que son personnel impliqué dans le traitement des données personnelles soit informé de la nature confidentielle des données personnelles, ait reçu une formation appropriée sur ses responsabilités et ait signé des accords de confidentialité écrits ou soit soumis à des obligations légales de confidentialité. M-Files veillera à ce que ces obligations de confidentialité survivront à la cessation de la relation de travail du personnel avec M-Files. M-Files veillera à ce que l'accès de M-Files aux données personnelles soit limité au seul personnel ayant besoin d’avoir accès à ces informations pour la fourniture ou l’as- sistance à la fourniture des Services conformément au Contrat.
Le contact en charge de la protection des données personnelles nommé par M-Files peut être contacté à l'adresse xxxxxxx@x-xxxxx.xxx ou via tout contact inclut dans la section notification du Contrat.
Sous-traitants Ultérieurs.
Utilisation autorisée. Le Client autorise M-Files à sous-traiter le traite- ment des données personnelles à des Sous-traitants Ultérieurs conformément au Contrat. M-Files est responsable de tout manquement grave et de toute violation aux dispositions du Contrat par ses Sous-traitants. M-Files veillera à ce que tous Sous- traitants Ultérieurs soient liés par un contrat écrit les obligeant à fournir un niveau de protection des données au moins équivalent à celui requis par M-Files en qualité de sous-traitant dans le cadre de l’ATD. M-Files évaluera les pratiques de sécurité et de confidentialité d'un Sous-traitant Ultérieur avant sa sélection. Les Sous-traitants Ultérieurs peuvent avoir des certifications de sécurité qui attestent de l'utilisation de mesures de sécurité appropriées. A défaut, M-Files évaluera périodiquement les pra- tiques de sécurité de chaque Sous-traitant Ultérieur en matière de traitement des données personnelles. Une liste des Sous-traitants Ultérieurs est disponible sur la page internet du site dédiée de M-Files ou à tout autre endroit désigné par M-Files à tout moment.
Nouveaux Sous-traitants Ultérieurs. L'utilisation de Sous-traitants Ul- térieurs par M-Files est à sa discrétion, à condition que les informations sur les Sous- traitants Ultérieurs, y compris leur nom, leur pays et les activités de traitement, soient disponibles sur la page dédiée internet du site de M-Files ou un autre emplacement tel que désigné par M-Files à tout moment. M-Files avisera le Client de tout change- ment sur la liste des Sous-traitants Ultérieurs en fournissant au Client un moyen de souscrire aux notifications en cas de changement de la liste des Sous-traitants.
Opposition à un nouveau Sous-traitant Ultérieur. Si le Client dispose d'un motif raisonnable et justifié pour s’opposer au traitement de ses données per- sonnelles par tout nouveau Sous-Traitant, le Client peut notifier M-Files, par courrier électronique au contact en charge de la protection des données personnelles ci- avant nommé, dans les 14 (quatorze) jours suivant l'inscription de tout nouveau Sous-Traitant Ultérieur. Pour toute opposition notifiée, M-Files peut, à sa discrétion,
: (i) cesser de faire appel à ce Sous-traitant Ultérieur ou (ii) prendre les mesures correctives demandées par le Client aux fins de supprimer la cause de son opposi- tion. Si cette opposition ne peut être résolue et que le Client dispose toujours d’un motif raisonnable et justifié, l'une ou l'autre des Parties peut alors exercer tous les droits applicables en cas de manquement et de résiliation prévus au Contrat.
Traitement à l’extérieur de l’UE/EEE. M-Files et ses Sous-traitants Ultérieurs peu- vent transférer ou traiter des données personnelles en dehors de la zone UE/EEE, comme requis aux fins de fourniture des Services au titre du Contrat. En cas de transfert ou de traitement en dehors de la zone UE/EEE, M-Files veille à ce que les clauses contractuelles types approuvées par la Commission européenne relatives au transfert de données personnelles en dehors de l'UE/EEE ou une garantie légale similaire telle que prévue par le RGPD, s'appliquent à ces transferts ou traitements.
Services basés sur un cloud. Dans le cas où, en vertu du Contrat, un service basé sur le cloud sera fourni par un fournisseur tiers (AWS, Microsoft, Google ou autre), les Parties reconnaissent que les données personnelles du Client traitées dans le cadre du service cloud seront exclusivement régies par les termes et conditions du service cloud tels que stipulés et modifiés de temps à autre par le fournisseur de service cloud.
Contrôles de sécurité. M-Files doit maintenir des mesures techniques et organisa- tionnelles appropriées pour la protection de la sécurité (y compris la protection contre le traitement non autorisé ou illicite, contre la destruction accidentelle ou illicite, la perte ou l'altération, la divulgation ou l'accès non autorisé aux données person- nelles), la confidentialité et l'intégrité des données personnelles, telles ques prévues dans la Documentation sur la Sécurité, la Confidentialité et l'Architecture. M-Files surveille régulièrement le respect de ces mesures. M-Files maintiendra et ne dimi- nuera pas de manière significative la sécurité globale des Services pendant toute période de souscription applicable telle que prévue au Contrat.
Certifications et vérifications par des tiers. Le Client ou un auditeur agréé par le Client (cependant, pas un concurrent de M-Files) est autorisé à auditer et/ ou vérifier les pratiques de M-Files au titre de la sécurité et confidentialité des données dans le cadre de l’ATD. Les Parties conviendront de l'heure, du champ d’application et de la procédure de l'audit au plus tard 30 jours avant l'inspection. L'audit doit être effectué d'une manière qui n'entrave pas les obligations de M-Files ou des Sous-traitants Ultérieurs vis-à-vis de tous tiers. Préalablement à toute procédure d’audit, les repré- sentants du Client et de l'auditeur conviennent de se soumettre et de signer l’accord de confidentialité de M-Files. M-Files fournira sans frais au Client toute documenta- tion ou autre matériel raisonnablement accessible à M-Files et nécessaire aux fins de l'audit ou de l'inspection du Client. Toute activité d'audit ou d'inspection supplé- mentaire demandée par le Client sera soumise aux tarifs en vigueur des services de M-Files indiqués dans la liste de prix applicable. Le cas échéant, si M-Files fournit au Client un rapport d’audit, établi par un auditeur tiers, qui répond raisonnablement, en tous points, à l’objet de la demande d’audit du Client selon les circonstances de l’espèce, le droit d’audit, prévu à la présente clause, sera considéré comme satisfait. Le Client prendra en charge ses propres dépenses résultant de l’audit ou de l’ins- pection, sauf si des défaillances substantielles ou des violations du Contrat sont identifiés, auquel cas M-Files sera responsable des coûts raisonnables et justifiés que le Client a engagés pour examiner les s pratiques de M-Files au titre de la sé- curité et de la confidentialité des données.
Violation de données personnelles : Suppression et Conservation ; Respon- sabilité et autres. M-Files informera le Client dans les meilleurs délais après avoir pris connaissance de toute violation substantielle des Xxxx sur la Confidentialité et la Sécurité applicables relatives aux données personnelles (un « Incident »). Sous ré- serve des lois applicables, cette notification doit (i) décrire la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre ap- proximatif de personnes concernées, ainsi que les catégories et le nombre approxi- matif d'enregistrements de données personnelles concernés ; (ii) fournir le nom et les coordonnées du contact auprès duquel plus d'informations peuvent être obte- nues ; et (iii) décrire les mesures prises ou envisagées pour remédier à la violation des données personnelles, y compris, le cas échéant, les mesures visant à en atté- nuer les effets négatifs éventuels.
Après l'expiration ou la résiliation du Contrat, conformément au Contrat, incluant les Lois sur la Confidentialité et la Sécurité applicables, M-Files fournira au Client, une copie de toutes données hébergées et supprimera toutes les Données Clients et installations du Client, incluant des données personnelles sauf si la législation appli- cable exige la conservation des données personnelles, ou ne permette cette conser- vation conformément aux pratiques applicables de M-Files en matière de continuité et de reprise des opérations après sinistre. La responsabilité de chaque Partie, dans son intégralité, découlant de ou liée au présent ATD, qu'elle soit contractuelle, xxxxx- tuelle ou en vertu de toute autre théorie de responsabilité, est exclusivement sou- mise à la limitation de responsabilité et aux autres conditions de responsabilité énon- cées dans le Contrat applicable. L’ATD est interprété, analysé et régi conformément à la clause de choix de loi et toute autre disposition générale définie dans le Contrat applicable, y compris le règlement de tout différend relatif à l'interprétation ou à l'ap- plication de l’ATD conformément à toute disposition applicable sur le règlement des différends incluses dans le Contrat.
►Uniquement si cela est nécessaire en raison de circonstances uniques, des modifications peuvent être soumises via le consentement par courriel des Parties ou comme prévu ci-dessous :
Nonobstant toute disposition contraire prévue ci-avant aux présentes, les Parties conviennent des dis- positions supplémentaires ci-dessous, lesquelles dispositions sont intégrées aux présentes par réfé- rence et s'appliquent en cas de conflit d'interprétation avec les dispositions ci-dessus du présent ATD
1.
2.
3.
:
ADDENDUM RELATIF AU TRAITEMENT DES DONNEES
Annexe 1 : Objet et détails du traitement des données
Finalité du traitement des données personnelles : mise en œuvre de l'accord.
Durée du traitement des données à caractère personnel : Le traitement commence à la Date d'Entrée en vigueur du Contrat et se poursuivra pour une durée indéterminée jusqu'à la résiliation du Contrat.
Catégories des personnes concernées
Le Client peut transmettre des données personnelles dans le cadre des Services, dont le périmètre est déterminé et contrôlé par le Client à sa seule discrétion, et qui peut inclure, mais sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées :
• Prospects, clients, partenaires commerciaux et vendeurs du Client (qui sont des personnes physiques)
• Employés ou personnes à contacter des prospects, clients, partenaires commerciaux et fournisseurs du Client
• Employés, agents, conseillers, travailleurs indépendants du Client (qui sont des personnes physiques)
• Utilisateurs du Client autorisés par le Client à utiliser les Services
Type de données personnelles
Le Client peut transmettre des données personnelles dans le cadre des Services, dont le périmètre est déterminé et contrôlé par le Client à sa seule discrétion, et qui peut inclure, sans s'y limiter, les catégories de données person- nelles suivantes :
• Les coordonnées de client tels que le nom, le titre, le téléphone, l'adresse professionnelle et les numéros de téléphone mobile et l'adresse électronique
• Les informations corporatives des clients, partenaires et fournisseurs tels que le nom, le titre, l'adresse pro- fessionnelle, les numéros de téléphone et de mobile et l'adresse électronique
• Les informations relatives à l'emploi et aux ressources humaines telles que le nom, les adresses, les coor- données, l'âge, les informations relatives à l'emploi de la personne concernée
• Les informations financières
• Les données informatiques telles que les données des équipements liés aux services fournis, y compris les identifiants techniques, les noms d'utilisateurs, l'emplacement, les coordonnées, les données de communica- tion et les métadonnées
• Les données de sécurité informatique telles que les logs de sécurité
• Les données de connexion
• Les données de localisation