Accord sur la protection des données (Data Processing Agreement) NTICO OPERATION
Accord sur la protection des données (Data Processing Agreement) NTICO OPERATION
Dernière mise à jour : 02/04/2024
Le présent avenant relatif au Traitement des données ("DPA") modifie les conditions et fait partie intégrante de l'Accord (tel que défini ci-dessous) conclu entre le Client identifié dans l'Accord (le "Client" ou "vous" ou "votre") et l'entité NTICO OPERATION concernée qui fournit les Offres NTICO ("NTICO", "nous", "notre" ou "nos"), et entrera en vigueur à la date de la dernière signature ci-dessous (la "date d'entrée en vigueur").
1. DÉFINITIONS
Les termes en majuscules suivants ont les définitions et significations indiquées :
"Données de Compte" désignent les informations sur le Client que le Client fournit à NTICO dans le cadre de la création ou de l'administration de ses comptes NTICO, telles que le prénom et le nom, le nom d'utilisateur et l'adresse électronique d'un Utilisateur ou du contact de facturation du Client.
"Affilié" : une entité qui contrôle, est directement ou indirectement contrôlée par, ou est sous le contrôle commun de la partie concernée.
"Accord" désigne l’Accord écrit conclu entre le Client et NTICO dans le cadre de la souscription aux Offres NTICO par le Client.
"Violation" : toute violation confirmée des mesures de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données à caractère personnel, transmises, stockées ou traitées d'une autre manière par NTICO ou ses Sous-traitants.
"Responsable de Traitement" est l'entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel, y compris, le cas échéant, toute "entreprise" au sens de la définition de ce terme dans le CCPA.
"Données du Client" désignent les données fournies par le Client en vue de leur Traitement par l'intermédiaire des services, y compris, sans s'y limiter, le contenu des fichiers, des courriers électroniques ou des messages envoyés par un Utilisateur autorisé ou à celui-ci. Les Données du Client n'incluent pas les données relatives aux menaces (telles que définies à la section 9.2).
"Loi sur la protection des données" désigne une ou plusieurs des lois ou réglementations suivantes sur la protection des données, telles qu'elles s'appliquent au Traitement des Données à caractère personnel par NTICO en vertu du présent DPA : (i) Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ("RGPD") ; et (ii) toute loi, tout statut, toute réglementation, tout texte législatif, toute ordonnance ou tout autre instrument contraignant pertinent qui met en œuvre ou modifie ce qui précède.
"Personne Concernée" signifie (i) "Personne Concernée" telle que définie dans le RGPD, (ii) "consommateur" ou "ménage" tel que défini dans le CCPA, et/ou (iii) tout terme similaire en vertu de la Loi sur la protection des données pertinente.
"Demande de la Personne Concernée" désigne une demande émanant (i) d'une Personne Concernée conformément au RGPD et/ou au CCPA et/ou (ii) d'un terme similaire en vertu de la Loi sur la protection des données en vigueur.
"Données Personnelles" désigne (i) les "Données Personnelles" telles que définies dans le RGPD, (ii) les "informations personnelles" telles que définies dans le CCPA, et/ou (iii) tout terme similaire en vertu de la Loi sur la protection des données pertinente, qui sont sous le contrôle du Client et traitées par les NTICO dans le cadre de l'exécution ou de la fourniture des Offres NTICO.
"Traitement", "traité" ou "Traitement" désignent le "Traitement" tel qu'il est défini dans la Loi sur la protection des données, dont les détails sont décrits à l'annexe 1.
"Sous-traitant" désigne l'entité qui traite les données à caractère personnel pour le compte du responsable de Traitement, y compris, le cas échéant, tout "prestataire de services" tel que ce terme est défini par la CCPA.
"Régulateur" : l'autorité de contrôle de la protection des données ou toute autre autorité gouvernementale ou juridique compétente pour le Traitement des données à caractère personnel.
"Offres NTICO" : tous les produits et services fournis par NTICO, tels qu'identifiés dans l’Accord et décrits plus en détail dans une Commande ou un SOW faisant référence à l’Accord.
"Sous-traitant ultérieur" : tout Sous-traitant ultérieur, au sens de la Loi sur la protection des données, engagé par NTICO ou ses sociétés affiliées.
"Tiers" désigne toute personne (y compris les sociétés, entités, organisations, etc.) qui n'est pas le Client ou NTICO.
Tous les autres termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans l'Accord.
2. LE TRAITEMENT DES DONNÉES PERSONNELLES.
2.1 Champ d'application. Le présent DPA reflète l'accord des parties concernant le Traitement des Données Personnelles du Client dans le cadre de la fourniture des Offres NTICO en vertu de l'Accord. Chaque partie est responsable de sa conformité avec la Loi sur la protection des données qui lui est applicable et de l'exécution de ses obligations envers les tiers, y compris les personnes concernées et les autorités de réglementation.
2.2 Rôles des parties. Le Client et NTICO conviennent que, entre les parties et sauf en ce qui concerne les Données de Compte (pour lesquelles le Client et NTICO sont des Responsable de Traitements indépendants), le Client est un Responsable de Traitement et NTICO est un Sous- traitant de Données Personnelles.
2.3 NTICO en tant que Sous-traitant.
2.3.1 En règle générale. NTICO traitera les Données Personnelles uniquement en conformité avec les instructions documentées du Client aux fins suivantes : (i) Traitement conformément à l'Accord et aux Commandes applicables ; (ii) Traitement initié par les Utilisateurs dans le cadre de leur utilisation des services de ou des Offre(s) NTICO souscrites ; et (iii) autres instructions raisonnables pouvant être communiquées par écrit par le Client à NTICO de temps à autre et qui sont compatibles avec les termes de l'Accord. NTICO vous informera immédiatement (x) si nous pensons qu'une instruction du Client constitue une violation du RGPD et/ou (ii) si nous ne sommes pas en mesure de
suivre les instructions du Client pour le Traitement des Données Personnelles. Dans l'attente de la décision sur le retrait, la modification ou la confirmation de l'instruction concernée, nous sommes autorisés à suspendre la mise en œuvre de l'instruction concernée.
2.3.2 Personnel de NTICO. Nous veillerons à ce que toutes les personnes autorisées à traiter des données à caractère personnel soient informées de la nature confidentielle des données à caractère personnel et se soient engagées à préserver cette confidentialité (par exemple, par des accords de confidentialité) ou soient soumises à une obligation légale appropriée de confidentialité.
Conservation des Données Personnelles. Après l'achèvement des Offres NTICO, au choix du Client, nous vous restituerons ou supprimerons toutes les Données Personnelles en notre possession ; à condition, toutefois, que nous puissions conserver les Données Personnelles dans la mesure où la restitution ou la destruction de ces Données Personnelles est impraticable ou accessoirement interdite par la loi applicable ou toute autre procédure légale valide (par exemple, une ordonnance du tribunal), ordonnance d'un tribunal) et, dans ce cas, nous prendrons des mesures pour vous informer et bloquer ces Données Personnelles pour tout Traitement ultérieur (sauf dans la mesure nécessaire à la poursuite de leur hébergement ou du Traitement requis par la loi applicable) et nous continuerons à protéger de manière appropriée les Données Personnelles restant en notre possession.
2.4 Le Client en tant que Responsable de Traitement. Le Client est seul responsable de s'assurer que (i) les Données Personnelles qui nous sont soumises pour le Traitement sont dûment autorisées, avec tous les avis, droits, permissions et consentements nécessaires (pour inclure des options d'exclusion efficaces) ; (ii) les instructions que vous nous donnez sont conformes aux Lois sur la Protection des Données et sont cohérentes avec l'Accord ; et (iii) aucune catégorie spéciale de Données Personnelles (par exemple, en vertu de l'Article 9 du RGPD) ne nous est soumise pour le Traitement. Pour plus de clarté, NTICO n'évalue pas - et n'est pas obligée d'évaluer - le type ou la substance des Données du Client pour déterminer s'il s'agit de Données Personnelles et/ou s'il est soumis à des exigences légales spécifiques.
3. DEMANDES DE LA PERSONNE CONCERNÉE. Dans la mesure où la loi le permet, nous vous informerons rapidement de toute plainte, de tout litige ou de toute demande que nous recevons de la part d'une Personne Concernée, y compris toute demande de la part d'une Personne Concernée. Nous ne répondrons pas à une demande d'une Personne Concernée, sauf que vous nous autorisez à rediriger la demande de la Personne Concernée si nécessaire pour vous permettre d'y répondre directement. Compte tenu de la nature du Traitement, nous vous aiderons par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir votre obligation de répondre à une demande d'une Personne Concernée en vertu des Lois sur la protection des données. En outre, dans la mesure où, dans le cadre de votre utilisation des Offres NTICO, vous n'avez pas la possibilité de répondre à une demande d'une Personne Concernée, nous ferons, à votre demande, des efforts commercialement raisonnables pour vous aider à répondre à cette demande, dans la mesure où nous sommes légalement autorisés à le faire et où la réponse à cette demande est requise en vertu des Xxxx sur la protection des données. Dans la mesure où la loi l'autorise, vous êtes responsable de tous les coûts découlant de notre assistance.
4. SOUS-SOUS-TRAITANTS.
4.1 Nomination. Nous imposerons à chaque Sous-traitant, par voie contractuelle ou par un autre acte juridique, des obligations de protection des données équivalentes à celles énoncées dans le présent DPA. Le Client autorise nos sociétés Affiliées à agir en tant que Sous-traitants ultérieurs et à utiliser tout Sous-traitant ultérieur identifié conformément aux conditions de la présente section 4.
Sous-traitants actuels ; notification de nouveaux Sous-traitants. Notre liste de Sous-traitants peut être consultée en annexe et peut être mise à jour par nous de temps à autre conformément à la présente DPA. Nous pouvons vous avertir par écrit de la nomination de nouveaux Sous- traitants en utilisant les dispositions de notification de l'Accord ou par le biais d'une alerte dans une interface utilisateur des Offres NTICO ; à condition, toutefois, que nous vous avertissions par écrit sans délai indu après la nomination d'un nouveau Sous-traitant temporaire si l'implication directe de ce Sous-traitant est nécessaire pour maintenir la disponibilité et la sécurité des Offres NTICO ou des Données du Client.
4.2 Droit d'opposition pour les nouveaux Sous-traitants. Vous pouvez vous opposer à un nouveau Sous-traitant sur une base raisonnable liée au Traitement des Données Personnelles en nous notifiant par écrit dans les quinze (15) jours suivant la réception d'un avis de nomination
; sinon, nous considérerons que la nomination du nouveau Sous-traitant a été autorisée par vous. Dès réception d'un avis d'objection de votre part, nous ferons des efforts raisonnables pour mettre à votre disposition une modification des Offres NTICO ou recommander une configuration ou une utilisation commercialement raisonnable des Offres NTICO afin d'éviter le Traitement des Données à caractère personnel par le nouveau Sous-traitant. Si nous ne pouvons pas répondre à votre objection dans le cadre des efforts susmentionnés, nous vous en informerons et vous pourrez alors résilier le présent DPA et toute offre NTICO concernée et recevoir un remboursement des frais prépayés couvrant la partie résiliée de l'offre NTICO applicable, avec un préavis écrit de trente (30) jours à compter de la réception de la notification que nous vous aurons adressée.
Responsabilité. Nous sommes responsables des actes et omissions de nos Sous-traitants ultérieurs dans la même mesure que nous le serions si nous fournissions les services de chaque Soustraitant ultérieur directement selon les termes du présent DPA, sauf disposition contraire de l'Accord.
5. SÉCURITÉ.
5.1 Mesures de sécurité. NTICO mettra en œuvre et maintiendra les mesures de sécurité décrites à l'annexe 2 du présent DPA. Le Client reconnaît que les mesures de sécurité sont soumises au progrès technique et au développement et que NTICO peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent pas ou ne diminuent pas la sécurité globale des Offres NTICO. Nonobstant ce qui précède, le Client est seul responsable de l'évaluation indépendante et de la mise en œuvre des paramètres de configuration de sécurité mis à sa disposition par NTICO, qu'il juge nécessaires pour répondre à ses exigences et à ses obligations légales en vertu des Lois sur la protection des données en vigueur. Le Client reconnaît que, par l'intermédiaire de ses Utilisateurs, le Client : (i) contrôle le type et le contenu des Données du Client ; et (ii) définit les autorisations d'accès des Utilisateurs aux Données du Client (y compris les Identifiants d'accès) ; et par conséquent, le Client est responsable de l'examen et de l'évaluation de la question de savoir si la fonctionnalité
documentée d'une Offre NTICO répond aux obligations de sécurité requises du Client concernant les Données Personnelles en vertu des Lois sur la Protection des Données.
5.2 Démonstration de la conformité. Nous mettrons à votre disposition toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, y compris les réponses aux questionnaires de sécurité de l'information et d'audit. Dans la mesure où les Clauses Contractuelles Types ("CCT") s'appliquent et où le Client soutient et établit raisonnablement que la documentation susmentionnée n'est pas suffisante pour démontrer le respect des obligations énoncées dans le présent DPA, le Client peut effectuer un audit conformément à la section 8.9 des Clauses Contractuelles Types, à condition que, dans un tel cas, les parties conviennent que tout audit sera : (i) limité aux installations de traitement et de stockage exploitées par NTICO ou l'une de ses sociétés Affiliées, et proportionnel à la nature et à la complexité des Offres NTICO utilisées par le Client ; (ii) effectué au maximum une fois par année contractuelle moyennant un préavis écrit d'au moins trois (3) semaines adressé à NTICO, à moins qu'une période plus courte ne soit nécessaire en cas de circonstances urgentes (par ex, manquement contractuel), pendant les heures de travail normales de NTICO ; et (iii) effectué selon des conditions mutuellement convenues concernant l'étendue, le calendrier et la durée de l'audit et le taux de remboursement, le cas échéant, dont le Client est responsable concernant le temps passé par NTICO dans le cadre d'un tel audit. Le Client fournira rapidement à NTICO les informations relatives à toute non-conformité découverte lors d'un audit.
- Évaluation de l'impact sur la protection des données. À votre demande, nous vous fournirons la coopération et l'assistance raisonnables nécessaires pour remplir vos obligations en vertu des Xxxx sur la protection des données afin d'effectuer une évaluation de l'impact sur la protection des données liée à votre utilisation des Offres NTICO, dans la mesure où vous n'avez pas accès autrement aux informations pertinentes et où ces informations sont disponibles pour NTICO.
6. GESTION DES VIOLATIONS ET NOTIFICATION. Nous appliquons des politiques et des procédures de gestion des incidents de sécurité reconnues par l'industrie et nous vous informerons sans délai excessif après avoir pris connaissance d'une violation. Nous ferons des efforts raisonnables pour : (i) identifier la cause de cette violation et prendre les mesures que nous jugeons nécessaires et raisonnables pour remédier à la cause de cette violation dans la mesure où la remédiation est sous notre contrôle raisonnable, et (ii) vous fournir les informations dont dispose NTICO concernant la violation, y compris la nature de l'incident, les informations spécifiques divulguées (si elles sont connues), et tous les efforts d'atténuation ou mesures de remédiation pertinents, afin de vous permettre de respecter vos obligations en vertu des Lois sur la protection des données applicables à la suite d'une violation. Les obligations prévues aux présentes ne s'appliquent pas aux incidents causés par vous ou vos Utilisateurs.
7. LES DEMANDES D'ACCÈS DU GOUVERNEMENT. En notre qualité de Sous-traitant, nous prendrons les mesures appropriées pour protéger les données à caractère personnel conformément aux exigences des Lois sur la protection des données, notamment en mettant en œuvre les garanties techniques et organisationnelles appropriées pour protéger les Données Personnelles contre toute ingérence allant au-delà de ce qui est nécessaire dans une société démocratique pour sauvegarder la sécurité nationale, la défense et la sécurité publique. Si nous recevons une demande juridiquement contraignante d'accès aux Données Personnelles de la part d'un Régulateur, nous vous en informerons rapidement, sauf interdiction légale, en incluant un résumé de la nature de la demande. Dans la mesure où la loi nous interdit de fournir une telle notification, nous déploierons des efforts
commercialement raisonnables pour obtenir une dérogation à l'interdiction afin de nous permettre de communiquer le plus d'informations possible, dans les meilleurs délais. En outre, nous contesterons la demande si, après une évaluation minutieuse, nous concluons qu'il existe des motifs raisonnables de considérer que la demande est illégale. Nous poursuivons les possibilités de recours. Lorsque nous contestons une demande, nous recherchons des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Nous ne divulguerons pas les Données Personnelles demandées tant que nous n'y serons pas contraints par les règles de procédure applicables. Nous nous engageons à fournir le minimum d'informations autorisées lorsque nous répondons à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande. Nous vous informerons rapidement si nous avons connaissance d'un accès direct aux Données Personnelles par un Régulateur et nous fournirons les informations dont nous disposons à cet égard, dans la mesure où la loi le permet. Pour éviter toute ambiguïté, le présent DPA n'exige pas de NTICO qu'elle poursuive une action ou une inaction susceptible d'entraîner des sanctions civiles ou pénales pour NTICO ou ses sociétés Affiliées, telles que l'outrage au tribunal. Nous certifions que NTICO (i) n'a pas délibérément créé de portes dérobées ou de programmes similaires dans le but de permettre l'accès aux Offres NTICO et/ou aux Données Personnelles par un quelconque Régulateur ; (ii) n'a pas délibérément créé ou modifié ses processus commerciaux d'une manière qui facilite l'accès aux Offres NTICO et/ou aux Données Personnelles par un quelconque régulateur ; et (iii) à la date d'entrée en vigueur, n'a pas connaissance d'une loi nationale ou d'une politique gouvernementale exigeant que NTICO crée ou maintienne des portes dérobées, facilite l'accès aux Offres NTICO et/ou aux Données Personnelles, ou garde en sa possession des clés de cryptage ou remette la clé de cryptage à un tiers.
8. DISPOSITIONS SPÉCIFIQUES AUX JURIDICTIONS.
8.1 CCPA.
8.1.1 Données Personnelles. Sous réserve des dispositions de la CCPA, NTICO s'engage à ne pas : (A) vendre ou partager les Données Personnelles (au sens où les termes "vendre" et "partager" sont interprétés dans la CCPA) ; (B) conserver, utiliser ou divulguer les Données Personnelles à des fins commerciales pour NTICO ; ou (C) conserver, utiliser ou divulguer les Données Personnelles en dehors de la relation commerciale directe entre NTICO et le Client. Les parties reconnaissent et acceptent en outre que notre accès aux Données Personnelles ne fait pas partie de la contrepartie échangée par les parties dans le cadre de l'Accord.
8.1.2 Exigences de remédiation. Le Client a le droit de prendre des mesures raisonnables et appropriées pour (i) vérifier que NTICO utilise les Données Personnelles que NTICO reçoit de, ou au nom du Client, d'une manière conforme à ce DPA afin que le Client puisse respecter ses obligations en vertu de la Loi sur la protection des données. Ce droit peut comprendre la réalisation d'audits conformément au présent DPA ; (ii) l'arrêt et la correction de l'utilisation non autorisée des Données Personnelles par NTICO ; et (iii) la prise de toute autre mesure corrective raisonnablement convenue par les parties. A titre d'exemple, et conformément à l'Accord, le Client peut demander à NTICO de fournir une documentation qui vérifie que NTICO ne conserve ni n'utilise plus les Données Personnelles des Personnes Concernées qui ont fait une demande valide au Client de supprimer leurs Données Personnelles.
8.1.3 Certification. NTICO certifie qu'elle comprend et respectera les obligations énoncées dans le présent DPA et l'Accord, y compris les restrictions relatives au Traitement des données à caractère personnel.
8.2 EUROPE. Aux fins de la présente section 8.2, les termes suivants ont la signification qui leur est attribuée ci-dessous :
"Droit de l'UE" : le RGPD sur la protection des données.
"Clauses contractuelles types de l'UE " désigne les clauses contractuelles types approuvées par la Commission européenne dans la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil, le cas échéant, et disponibles ici (en référençant le Module 2 : Transfert Responsable de Traitement vers Soustraitant) et telles qu'elles peuvent être modifiées ou remplacées par la Commission européenne de temps à autre.
"Transfert restreint" signifie (a) lorsque le RGPD s'applique, un transfert de Données à caractère personnel ou de Données de Compte de l'EEE vers un pays en dehors de l'EEE qui ne fait pas l'objet d'une décision d'adéquation par la Commission européenne.
"Clauses contractuelles types" : mécanisme contractuel approuvé par l'UE pour les transferts de Données Personnels vers des Pays tiers.
"Pays tiers" : pays n'entrant pas dans le champ d'application de la législation de l'UE, à l'exclusion des pays approuvés comme offrant une protection adéquate des données à caractère personnel par les régulateurs applicables en vertu de la législation de l'UE.
8.2.1 Pénalités. Nonobstant toute disposition contraire du présent DPA ou de l'Accord (y compris, sans limitation, les obligations d'indemnisation de l'une ou l'autre des parties), aucune des parties ne sera responsable des amendes émises ou perçues en vertu du droit de l'UE (par exemple, l'article 83 du RGPD) à l'encontre de l'autre partie par un Régulateur en rapport avec la violation du droit de l'UE par cette autre partie.
8.2.2 Transferts de données à caractère personnel. Pour protéger les transferts de données à caractère personnel hors d'Europe vers des pays tiers, les parties conviennent de conclure les Clauses contractuelles types décrites ci-dessous :
8.2.2.1 Lorsqu'un transfert restreint est effectué à partir de l'EEE, les clauses contractuelles types de l'UE sont incorporées dans la présente DPA et s'appliquent au transfert comme suit : (i) en ce qui concerne les transferts restreints du Client à NTICO, le module 1 s'applique lorsque le Client et NTICO sont tous deux des Responsable de Traitements, le module 2 s'applique lorsque le Client est un Responsable de Traitement et NTICO un Sous-traitant, et le module 3 s'applique lorsque le Client et NTICO sont tous deux des Sous-traitants ; (ii) dans la clause 7, la clause d'adhésion facultative ne s'applique pas ; (iii) dans la clause 9(a) des modules 2 et 3, l'option 2 s'applique, et la période de notification préalable des changements de Sous-traitants est définie dans la section 4 de ce DPA ; (iv) dans la clause 11(a), la formulation optionnelle ne s'applique pas ; (v) dans la clause 17, l'option 1 s'applique et le droit applicable est celui des Pays-Bas ; (vi) dans la clause 18(b), les litiges seront résolus devant les tribunaux d'Amsterdam (Pays-Bas) ; (vii) l'annexe I des CCT est complétée par les informations figurant à l'appendice A du présent DPA ; (viii) l'annexe II des CCT est complétée par les
informations figurant à l'appendice B du présent DPA ; et (ix) l'annexe III des CCT est complétée par la liste des Sous-traitants ultérieurs mentionnée à l'article 4.2.
8.2.2.2 Les conditions suivantes s'appliquent aux Clauses Contractuelles Types de l'UE :
(i) le Client peut exercer ses droits d'audit en vertu des Clauses Contractuelles Types de l'UE comme indiqué à la section 5.2 ci-dessus ; (ii) NTICO peut nommer des Sous-traitants en vertu des Clauses Contractuelles Types de l'UE comme indiqué à la section 4 ci-dessus ; (iii).en ce qui concerne les transferts restreints effectués vers NTICO, nous ne pouvons ni participer, ni permettre à un Sous-traitant de participer à un autre transfert restreint, à moins que ce dernier ne soit effectué en pleine conformité avec les lois sur la protection des données et conformément aux clauses contractuelles types de l'UE applicables ou à un autre mécanisme de transfert conforme à la loi ; et (iv) si l'une des dispositions de la présente section 8.2.2 est incompatible avec l'une des clauses des clauses contractuelles types de l'UE, les clauses contractuelles types de l'UE prévaudront.
8.2.2.3 Nous pouvons adopter un mécanisme de remplacement pour l'exportation des données (y compris toute nouvelle version ou tout successeur des Clauses contractuelles types ou des mécanismes alternatifs adoptés en vertu des Lois sur la protection des données) ("Mécanisme de transfert alternatif"), pour autant que le Mécanisme de transfert alternatif soit conforme aux Lois sur la protection des données applicables et qu'il s'étende aux Pays tiers vers lesquels les Données à caractère personnel sont transférées au nom du Client. Le Client accepte de signer les documents et de prendre les autres mesures raisonnablement nécessaires pour donner un effet juridique à ce Mécanisme de transfert alternatif.
9. LIMITATION DE LA RESPONSABILITÉ. La responsabilité de chaque partie et de toutes ses sociétés Affiliées, prise dans son ensemble, découlant de ou liée à ce DPA et à tous DPA conclus entre vos sociétés Affiliées et NTICO, qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, est soumise à la section « Limitation de la responsabilité » de l'Accord, et toute référence, dans la présente section, à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés Affiliées en vertu de l'Accord et de tous DPA pris ensemble. Pour éviter toute ambiguïté, notre responsabilité totale et celle de nos sociétés Affiliées pour toutes les réclamations du Client et de toutes ses sociétés Affiliées découlant de ou liées à l'Accord et à tous DPA s'applique globalement à toutes les réclamations en vertu de l'Accord et de tous DPA établis en vertu de l'Accord, et, en particulier, ne doit pas être comprise comme s'appliquant individuellement et solidairement au Client et/ou à toute société Affiliée qui est une partie contractuelle à tout DPA de ce type.
10. CONFLIT. En cas de conflit réel entre l'Accord et la présente DPA, les conditions de la présente DPA prévaudront, mais uniquement en ce qui concerne le Traitement des données à caractère personnel.
11. MODIFICATIONS. Nous pouvons apporter des modifications au présent DPA lorsque (i) la modification est nécessaire pour se conformer à la législation applicable en matière de protection des données ; ou (ii) la modification est commercialement raisonnable, ne dégrade pas ou ne réduit pas sensiblement l'effet protecteur des mesures de sécurité, ne modifie pas la portée de notre Traitement des données à caractère personnel et n'a pas d'incidence négative importante sur les droits du Client en vertu du présent DPA.
12. DROIT APPLICABLE ET JURIDICTION. Sauf si les lois sur la protection des données l'interdisent, le présent DPA est régi par les lois stipulées dans l'Accord et les parties au présent DPA se soumettent par la présente au choix de la juridiction et du lieu stipulés dans l'Accord, le cas échéant, en ce qui concerne tout litige survenant dans le cadre du présent DPA.
13. GÉNÉRALITÉS. Le présent DPA peut être signé en plusieurs exemplaires, dont chacun sera considéré comme un original, mais dont l'ensemble constituera un seul et même instrument. Les dispositions du présent DPA sont dissociables. Si une phrase, une clause ou une disposition de l'annexe (y compris les clauses contractuelles types) est invalide ou inapplicable en tout ou en partie, cette invalidité ou inapplicabilité n'affectera que cette phrase, cette clause ou cette disposition, et le reste du présent DPA ou le reste de l'annexe demeurera pleinement en vigueur.
14. DES RESSOURCES SUPPLÉMENTAIRES. Des informations complémentaires sont disponibles ci-dessous :
A. Détails du Traitement
B. Liste des Sous-traitants ultérieurs
C. Addendum pour les Etats-Unis
ANNEXE A
Détails du Traitement
• Le Prestataire est autorisé à traiter, pour le compte du Client, les Données Personnelles nécessaires pour fournir les Services décrits au Contrat.
• Les finalités des traitements confiés au Prestataire sont les suivantes :
o Mise à disposition aux Utilisateurs du Client d’une plateforme d’automatisation des processus IT fournie par NTICO
• Les Données Personnelles traitées sont :
o Données de connexion des Utilisateurs du Client (email, nom, prénom, pays de rattachement, téléphone)
• Les catégories de personnes concernées sont :
o Utilisateurs du Client
• La nature des traitements mis en œuvre est : Accès, Organisation, structuration, Modification, Consultation, Stockage et Conservation des Données
• La durée des traitements mis en œuvre par le Prestataire pour le Client correspond à la durée du Contrat.
Annexe B
Liste des Sous-traitants ultérieurs
A partir du 30/04/2024
1. | |
Nom | SMA TECHNOLOGIES |
Adresse: | SMA Northern Europe B.V., Xxxxxxxxxx 000, 0000 XX Xxxxxxx, Xxxx-Xxx |
Nom, fonction et coordonnées de la personne à contacter : | Xxxxx Xxxxx, Director of Security |
Description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants ultérieurs sont autorisés) : | Tous traitements mis en œuvre par la société NTICO et notamment la fourniture des offres SMA à NTICO, conformément au Contrat et aux commandes correspondantes. |
ANNEXE C Addendum pour les Etats-Unis
• Adhésion aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Commission européenne – 04/06/2021 - C(2021) 3972 final)
• Module sélectionné : MODULE 3 (transfert de sous-traitant à sous-traitant)
• ANNEXE I
• A. LISTE DES PARTIES
o Exportateur de données:
▪ NTICO OPERATION,
▪ Immatriculée sous le numéro 752 812 636 au RCS de Lille Metropole,
▪ dont le siège se trouve 0 xxx Xxxxxxx, 00000 XXXXXXXXXX X’XXXX,
▪ dûment représentée par M. Xxxxxxx XXXXX, en sa qualité de Gérant,
▪ Rôle : sous-traitant
o Importateur de données:
▪ UNISOFT INTERNATIONAL INC (SMA TECHNOLOGIES)
▪ 00000 Xxxx Xxx Xxxxxxx Xxxxxxx X. - Suite 200-314 - Houston, TX 77044 - USA
▪ Xxxxx Xxxxx, Director of Security
▪ email: xxxxxx@xxxxxxxxxxxxxxx.xxx
▪ Rôle : sous-traitant
• B. DESCRIPTION DU TRANSFERT
• Catégories de personnes concernées dont les données à caractère personnel sont transférées
o Utilisateurs du Client dans Salesforce
• Catégories de données à caractère personnel transférées
o email, nom, prénom, pays de rattachement, téléphone
• Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.
o pas de données sensibles transférées
• Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).
o ponctuelle
• Nature du traitement
o Mise à disposition aux Utilisateurs du Client d’une plateforme d’automatisation des processus IT fournie par NTICO
o Accès, Organisation, structuration, Modification, Consultation, Stockage et Conservation des Données
• Finalité(s) du transfert et du traitement ultérieur des données
o Livraison des clés de licences et accès au portail de support
o Aucun traitement ultérieur
• Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
o Durée du Contrat
• Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement
o Pas de transfert à des sous-traitants ultérieurs
• AUTORITÉ DE CONTRÔLE COMPÉTENTE
o Commission nationale de l'informatique et des libertés
o 0 Xxxxx xx Xxxxxxxx
o TSA 80715
o 75334 PARIS CEDEX 07
o xxxxx://xxx.xxxx.xx/xx/xxxxxxxxxxxxx
• ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
o Les mesures techniques et organisationnelles visant à garantir la sécurité des données sont détaillées en Annexe 4 du Contrat entre le Client et l’exportateur de données et notamment :
▪ Accès au portail sécurisé par MFA (double authentification) et HTTPS/SSL.
▪ Données concernées enregistrées directement par le Client sur le Portail accessible à distance.
▪ Chiffrement HTTPS / SSL du transfert.
▪ Conformité et certification Soc2 Type 2
• ANNEXE III – Liste des sous-traitants ultérieurs
o Pas de sous-traitants ultérieurs listés dans le pays de destination.