CONTRAT DE TRAITEMENT DES DONNÉES
CONTRAT DE TRAITEMENT DES DONNÉES
Le présent Contrat de Traitement des Données (le « Data Processing Agreement » ou « DPA » ) reflète l’accord des parties concernant les conditions régissant le traitement des Données à Caractère Personnel du Client au titre tout contrat-cadre écrit applicable conclu avec Dynatrace aux fins de l’utilisation par le Client des Services Dynatrace achetés auprès de Dynatrace, ainsi que tout formulaire de commande et/ou description des services (SOW) (ensemble, le « Contrat »). Le présent DPA est un avenant au Contrat et prend effet à compter de la date de signature par toutes les parties (la « Date de d’Effet »).
En signant ce document, Xxxxxxxxx s'engage à respecter le présent DPA qui régit le traitement des données à caractère personnel du Client traitées par le Groupe Dynatrace.
Le présent DPA est soumis aux conditions du Contrat, auquel il est entièrement intégré et dont il fait partie. Le présent DPA remplace tout autre contrat de traitement de données à caractère personnel existant, sauf mention contraire explicite dans le présent document. En cas de conflit entre le présent DPA et toute autre disposition de du Contrat concernant les données personnelles, le présent DPA prévaut et s'applique.. Dans l'éventualité où un DPA est signé pour un Accès d'Essai ou une Libre Utilisation, ce dernier n'est applicable que pour la durée de l'Accès d'Essai ou de la Libre Utilisation en question.
1. Définitions
1.1 Aux fins du présent DPA :
(a) « Société Affiliée » désigne une entité qui contrôle, est contrôlée par ou est sous le contrôle commun avec une autre entité, « contrôle » désignant la propriété de plus de 50 % des actions ou titres en circulation représentant le droit de vote pour l’élection des administrateurs ou d’autres autorités de gestion d’une autre entité.
(b) « Loi sur la Protection des Données » désigne l’ensemble des lois et réglementations en matière de protection des données applicables au traitement des Données à Caractère Personnel du Client dans le cadre du Contrat, y compris, lorsqu’elles sont applicables, la Loi Européenne sur la Protection des Données et la Loi Non Européenne sur la Protection des Données.
(c) « Loi Européenne sur la Protection des Données » désigne l'ensemble des lois et réglementations en matière de protection des données applicables à l'Europe, y compris (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des Données à Caractère Personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) (le « RGPD
»); (ii) la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (la « Directive Vie Privée et Communications Electroniques »); (iii) la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée, (iv) la Loi Fédérale suisse sur la Protection des Données du 19 juin 1992 (RS 235.1); et (v) le Règlement Général sur la Protection des Données du Royaume-Uni, dans la mesure où il fait partie du droit de l'Angleterre, du Pays de Xxxxxx, de l'Écosse et de l'Irlande du Nord en vertu de l'Article 3 de la Loi de 2018 sur le Retrait de l'Union européenne.
(d) « Loi Non Européenne sur la Protection des Données » désigne les lois et réglementations en matière de protection des données dans le monde autres que celles applicables à l’Europe,
y compris, notamment, la Loi Générale sur la Protection des Données du Brésil (« LGPD »), la Loi chinoise sur la protection des Données à Caractère Personnel (« PIPL »), le California Consumer Privacy Act (« CCPA »), et, lorsqu’ils s’appliquent, le Colorado Protection Act (« CPA ») et le Virginia Consumer Data Protection Act (« VCCTD »).
(e) « Client » désigne la partie au Contrat autre que Dynatrace (et/ou une commande en vertu du Contrat) et le présent DPA, toute Société Affiliée de la partie autre que Dynatrace qui signe un Formulaire de Commande au titre du Contrat, ainsi que toute entité du client dont les salariés ou mandataires ont accès aux Services en tant qu’Utilisateur Autorisé.
(f) « Données du Client » désigne toute donnée soumise, conservée, publiée, affichée ou transmise par ou pour le compte du Client dans le cadre de l’utilisation des Services, y compris toute Donnée à Caractère Personnel du Client.
(g) « Données à Caractère Personnel du Client » désigne toutes les Données à Caractère Personnel détenues ou contrôlées par le Client et qui sont fournies par ou pour le compte du Client à Dynatrace dans le cadre des Services.
(h) « Dynatrace » désigne l'entité Dynatrace qui est partie au présent DPA.
(j) « Europe » désigne l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.
(k) « Incident de sécurité » désigne toute destruction, perte, altération ou divulgation accidentelle, non autorisée ou illicite des Données à Caractère Personnel du Client ou tout accès à celles-ci.
(l) « Services » désigne les services fournis par Dynatrace au Client dans le cadre du Contrat.
(m) « Données de Catégorie Spéciale » désigne le numéro d’identification national (p.ex., numéro de sécurité sociale, ou le numéro d’inscription des personnes (NIR) au répertoire national d’identification des personnes physiques (RNIPP), les informations médicales ou des données concernant la santé d’une personne physique, les informations relatives à l’origine raciale ou l’ethnique, à la nationalité, à la religion ou aux convictions philosophiques, les informations relatives à l’appartenance syndicale, les informations relatives aux antécédents criminels ou aux allégations d’activité criminelle, les informations génétiques ou biométriques ou tout autre type d’information similaire désigné pour une protection accrue dans le cadre de la Loi sur la Protection des Données.
(n) « Clauses Contractuelles Types » désigne les Clauses Contractuelles Types promulguées par la Décision 2021/914/UE de la Commission européenne incorporé aux présentes par référence.
(o) « Sous-Traitant Ultérieur » désigne tout tiers (y compris toute Société affiliée de Dynatrace) engagé par Xxxxxxxxx pour traiter les Données à Caractère Personnel du Client pour le compte du Client ou qui peut recevoir des Données à Caractère Personnel du Client par le biais des Services conformément aux conditions du Contrat.
(p) « Filiale » désigne une filiale qui est détenue à plus de cinquante (50 %) pour cent par une partie.
(q) « Addendum britannique » désigne l'addendum aux Clauses Contractuelles Types de la Commission européenne concernant les transferts internationaux de données, publié par le bureau de l'Information Commissioner (ICO) du Royaume-Uni en vertu de la S119A(1) de la Loi sur la Protection des Données de 2018, joint aux présentes en Annexe D.
(r) Les termes « Responsable du Traitement », « Personne Concernée », « Données à Caractère Personnel", « Sous-traitant » et « traiter/é/ement » ont la signification qui leur est attribuée par la Loi sur la Protection des Données applicable.
2.1 Applicabilité. Le présent DPA s’applique si Dynatrace traite les Données à Caractère Personnel du Client qui sont soumises à la Loi sur la Protection des Données applicable.
2.2 Modifications du Droit Applicable. En cas de communication d’un régulateur, ou s’il existe de nouvelles directives, réglementations ou modifications de la loi applicable en matière de protection des données et de la vie privée, y compris la Loi sur la Protection des Données, qui rendrait tout ou partie du DPA invalide, illégal, inapplicable ou irrégulier au regard de ces dispositions, réglementations ou changements, Dynatrace pourra notifier au Client les modifications qu’il juge raisonnablement nécessaires pour mettre le DPA en conformité.
2.3 Rôles des Parties. Dans la mesure où cela est applicable au regard de la Loi Européenne sur la Protection des Données ou de la Loi Non Européenne sur la Protection des Données, le Client, en qualité de Responsable du Traitement, nomme Dynatrace en tant que Sous-traitant pour traiter les Données à Caractère Personnel du Client pour le compte du Client. Dans certains cas, le Client pourra être Sous-traitant, auquel cas le Client nomme Dynatrace en qualité de Sous-Traitant Ultérieur du Client, ce qui ne modifiera pas les obligations du Client ou de Dynatrace au titre du présent DPA, dans la mesure où Dynatrace demeurera Sous-traitant à l’égard du Client. Dans ce cas, Xxxxxxxxx et le Client signeront le Module 3 des Clauses Contractuelles Types.
3. Détails du Traitement
3.1 L’objet, la nature, la finalité et la durée du Traitement, ainsi que les types de Données à Caractère Personnel collectées et les catégories de Personnes concernées, sont décrits en Annexe A du présent DPA. Le Client reconnaît que Xxxxxxxxx n’a pas connaissance des données réelles ou des types de Données à Caractère Personnel contenues dans les Données du Client. Les parties conviennent que les instructions complètes du Client concernant la nature et les finalités du Traitement dans le cadre des Services sont énoncées dans le Contrat et le présent DPA. Toutes les Données du Client en dehors du champ d’application des présentes instructions seront traitées à titre d’Informations Confidentielles. En cas de conflit entre les conditions du Contrat ou du présent DPA, le présent DPA prévaudra en ce qui concerne le Traitement des Données à Caractère Personnel du Client.
3.2 Dynatrace informera le Client si, de son avis raisonnable, les instructions de traitement du Client sont susceptibles d’enfreindre toute Loi sur la Protection des Données applicable ; dans ce cas, Dynatrace sera en droit de refuser le Traitement des Données à Caractère Personnel du Client qu’elle estime être en violation de toute Loi sur la Protection des Données applicable jusqu’à ce que le Client modifie ses instructions à des fins de mises en conformité. Le Client ne s’appuiera pas sur cette notification et sollicitera ses propres conseils juridiques indépendants s’il souhaite établir le caractère illicite ou potentiellement illicite d’une instruction reçue par Xxxxxxxxx que cette dernière estime être contraire à la loi.
3.3 Le Client ne fournira à Dynatrace que les Données à Caractère Personnel du Client nécessaires à Dynatrace pour remplir ses obligations attachées au Contrat. Le Client reconnaît en outre que les Services n’exigent pas de traiter des Données de Catégorie Spéciale ; par conséquent, le Client ne
pourra en aucun cas télécharger ou fournir à Dynatrace toute Donnée de Catégorie Spéciale. Pour éviter toute ambiguïté, aucune clause des présentes ne sera réputée autoriser le Client à télécharger ou fournir à Dynatrace des Informations Restreintes telles que ce terme est défini à l’Article 1.25 du Contrat Cadre de Souscription Dynatrace figurant à l’adresse xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx.
4. Responsabilités du Client.
4.1 Le Client, en sa qualité de Responsable du Traitement, sera tenu de veiller à ce que, s’agissant des Données à Caractère Personnel du Client et des Services :
(a) il s’est conformé et continuera de se conformer à toutes les Lois sur la Protection des Données applicables, et si toute Loi applicable en matière de protection des données exige qu’une Personne Concernée reçoive une notification ou donne son consentement au Traitement et/ou au transfert de ses Données à Caractère Personnel du Client à Dynatrace, le Client fournira cette notification et, le cas échéant, obtiendra ce consentement valide des Personnes concernées ; et
(b) il a, et continuera d’avoir, le pouvoir de fournir les Données à Caractère Personnel du Client à Dynatrace pour le Traitement prévu par le Contrat et le présent DPA.
4.2 Si le Client est un sous-traitant agissant pour le compte d’un Responsable du Traitement tiers, le Client garantit à Dynatrace que les instructions et les actions du Client concernant ces Données à Caractère Personnel du Client, y compris sa nomination de Dynatrace en tant qu’autre Sous-traitant, ont été autorisées par le Responsable du Traitement concerné.
4.3 Le Client informera ses Personnes concernées, dans la mesure préuve par la loi, de son recours aux Sous-traitants pour traiter leurs Données à Caractère Personnel du Client, y compris Dynatrace.
5. Confidentialité
5.1 Dynatrace s’assurera que toute personne qu’elle autorise à traiter les Données à Caractère Personnel du Client (y compris son personnel, ses mandataires et ses sous-traitants) est soumise à une obligation de confidentialité (qu’elle soit contractuelle ou légale).
6.1 Mesures de Sécurité. Compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variable des droits et libertés des personnes physiques, Dynatrace a mis en œuvre et maintiendra des mesures techniques et organisationnelles suffisantes pour garantir un niveau de sécurité adapté au risque de traitement des Données à Caractère Personnel du Client (les « Mesures de Sécurité »). Le Client convient que la mise en œuvre par Xxxxxxxxx des Mesures de Sécurité identifiées en Annexe B est suffisante aux fins de se conformer à ses obligations attachées au présent DPA. Nonobstant ce qui précède, le Client reconnaît et accepte d’être responsable de sa propre utilisation sécurisée des Services.
6.2 Incidents de Sécurité. Dynatrace informera le Client dans les meilleurs délais et au plus tard dans le délai imposé à Dynatrace au regard de la Loi sur la Protection des Données applicable, dès qu’elle aura pris connaissance d’un Incident de Sécurité affectant les Données à Caractère Personnel du Client. Dynatrace diligentera sans délai une enquête sur les circonstances entourant l’Incident de Sécurité et mettra ses conclusions à la disposition du Client. Sur demande du Client et compte tenu de la nature du Traitement et des informations dont Dynatrace dispose, Xxxxxxxxx prendra des mesures commercialement raisonnables pour aider le Client à se conformer à ses obligations, autant que nécessaire pour permettre au Client de notifier les Incidents de Sécurité pertinents aux autorités compétentes et/ou aux Personnes concernées, si le Client y est contraint par la Législation sur la
Protection des Données applicable. Les notifications d’incidents de Sécurité seront envoyées à un ou plusieurs administrateurs du Client par tout moyen choisi par Xxxxxxxxx, y compris par courriel. Il incombe au seul Client de s’assurer que les administrateurs du Client vérifient l’exactitude des coordonnées figurant sur le portail en ligne ou tel que prévu par Dynatrace aux termes d’une notification écrite adressée à l’administrateur du Client. L’obligation de Dynatrace de signaler ou de répondre à un Incident de Sécurité en vertu du présent Article ne constitue pas une reconnaissance par Dynatrace d’un quelconque manquement ou d’une quelconque responsabilité en ce qui concerne l’Incident de Sécurité. Le Client informera sans délai Dynatrace de toute utilisation abusive possible de ses comptes ou identifiants d’authentification ou de tout incident de sécurité lié aux Services.
7.1 Le Client accepte que Xxxxxxxxx puisse engager des Sous-traitants Ultérieurs, y compris des membres du Groupe Dynatrace, pour traiter les Données du Client pour le compte du Client. Dynatrace tiendra une liste à jour à l'adresse xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx/ de tous les Sous- traitants Ultérieurs utilisés dans le cadre de la prestation de Services qui sont susceptibles de Traiter
(a) les Données du Client (qui peuvent contenir des Données à Caractère Personnel du Client) ou (b) d'autres Données à Caractère Personnel du Client reçues par Dynatrace de la part du Client par le biais des Services objet du Contrat (la « Liste des Sous-traitants Ultérieurs »). À la Date d'Effet, le Client autorise de manière générale à la désignation des Sous-traitants Ultérieurs sur la Liste des Sous-traitants Ultérieurs afin d'aider le Groupe Dynatrace à fournir les Services, en traitant les Données à Caractère Personnel du Client conformément au présent DPA.
7.2 Avant l’ajout ou le changement d’un Sous-Traitant Ultérieur, Dynatrace en informera le Client, y compris, notamment, en mettant à jour, sur le site Web, la Liste des Sous-traitants Ultérieurs prévue à l’Article 7.1, au moins 30 jours avant la date à laquelle le Sous-Traitant Ultérieur commencera à traiter les Données à Caractère Personnel du Client. Dynatrace mettra à disposition un moyen par lequel le Client pourra s’abonner aux notifications de modifications de la Liste des Sous-traitants Ultérieurs (à savoir, notamment, la mise à disposition d’un flux RSS).
7.3 Si le Client conteste le traitement des Données à Caractère Personnel du Client par tout Sous-Traitant Ultérieur nouvellement désigné, tel que décrit à l’Article 7.2 (pour des motifs raisonnables), il en informera Dynatrace par écrit dans les 15 jours suivant la notification par Dynatrace des motifs spécifiques de sa contestation. Le Client ne s’opposera pas de manière déraisonnable à tout changement de Sous-traitants Ultérieurs envisagé. Si, dans ce délai, le Client s’y oppose pour des motifs raisonnables relatifs à la protection des Données à Caractère Personnel du Client, les parties collaboreront de bonne foi pour répondre aux contestations raisonnables du Client puis avant de recourir au Sous-Traitant Ultérieur pour effectuer ce Traitement. Si les parties ne peuvent s’entendre sur le recours au nouveau Sous-Traitant Ultérieur dans les vingt (20) jours suivant a contestaion, Dynatrace s’engage, au choix de Dynatrace, à : (a) donner instruction au Sous-Traitant Ultérieur de ne pas traiter les Données à Caractère Personnel du Client, ce qui pourra entraîner la suspension et l’indisponibilité d’une fonctionnalité de Service pour le Client ou (b) permettre au Client de résilier le présent DPA et le Contrat moyennant un préavis de trois mois, et Dynatrace remboursera sans délai une partie au prorata des frais prépayés pour la période suivant ladite suspension ou résiliation. Si aucune contestation n’est reçue par Xxxxxxxxx dans le délai précisé ci-avant, le Client sera réputé avoir approuvé le recours au nouveau Sous-Traitant Ultérieur.
7.4 Dynatrace : (i) conclura avec chaque Sous-Traitant Ultérieur un accord écrit contenant des obligations en matière de protection des données qui garantissent au minimum le même niveau de protection des Données du Client que celles attachées au présent DPA, dans la mesure applicable à la nature du service fourni par ledit Sous-Traitant Ultérieur ; et (ii) demeurera responsable du respect par ledit Sous-
Traitant Ultérieur des obligations du présent DPA et de l’ensemble des actions ou omissions de ce Sous-Traitant Ultérieur en conséquence desquelles Xxxxxxxxx manque à l’une quelconque de ses obligations au titre du présent DPA.
8. Suppression ou restitution des Données du Client
8.1 Après résiliation ou expiration du Contrat, et sur demande du Client, Dynatrace restituera ou supprimera les Données à Caractère Personnel du Client qu’elle traite pour le compte du Client, sauf interdiction prévue par la loi applicable, ou en cas d’archivage dans les systèmes de sauvegarde, auquel cas les conditions du présent DPA demeureront applicables.
9. Transferts internationaux de données
9.2 Les Clauses Contractuelles Types sont complétées comme suit:
(a) Le Module 2 sera applicable (le cas échéant)
(b) À la Clause 7 (Clause d’Adhésion), la clause d'adhésion facultative s'appliquera;
(c) À la Clause 9 (Recours à des sous-traitants ultérieurs), l'option 2 « Autorisation écrite générale
» pour les sous-traitants ultérieurs s'appliquera et le délai de notification préalable sera celui prévu à l'Article 7.2 du présent DPA;
(d) À la Clause 11 (Voies de Recours), la clause facultative figurant au a) ne s'appliquera pas;
(e) À la Clause 13 (Contrôle), l'autorité de contrôle compétente est la Commission nationale de l'informatique et des libertés (CNIL).
(f) À la Clause 17 (Droit applicable), les Clauses Contractuelles Types sont régies par le droit français ;
(g) À la Clause 18(b) (clause attributive de compétence et juridiction), les parties conviennent que les litiges seront tranchés devant les tribunaux français ;
(h) Les informations figurant en Annexe 1 du présent DPA seront reprises à l’Annexe 1 des Clauses Contractuelles Types; et
(i) Les informations figurant en Annexe B du présent DPA seront reprises à l’Annexe 2 des Clauses Contractuelles Types.
9.3 Dans la mesure où la prestation des Services de Dynatrace impliquerait le transfert de Données à caractère personnel du Client du Royaume-Uni vers un pays tiers qui n'a pas été identifié comme garantissant un niveau de protection suffisant des Données Personnelles du Client, les Clauses Contractuelles Types seront utilisées et complétées comme indiqué à l'Article 9.2 et l'addendum britannique de l'Annexe D s'appliquera.
10. Divers
10.1 Sauf modification prévue par le présent DPA, le Contrat demeurera pleinement en vigueur et produira tous ses effets.
10.2 Dans la mesure où Xxxxxxxxx traite des Données du Client issues de l’un des pays figurant dans la liste de l’Annexe C et protégées par la Loi sur la Protection des Données applicable dans ce pays, les conditions précisées en Annexe C en ce qui concerne le(s) pays concerné(s) (les « Conditions Supplémentaires ») s’appliqueront en complément des conditions du présent DPA. En cas de conflit ou d’ambiguïté avec les autres conditions du présent Contrat, les Conditions Supplémentaires prévaudront.
10.3 Lors de l’intégration du présent DPA au Contrat, les parties conviennent du Module 2 des Clauses Contractuelles Types (le cas échéant) et de toutes les annexes qui y sont jointes, sauf si le Client est un sous-traitant, auquel cas les parties signeront le Module 3 des Clauses Contractuelles Types. En cas de conflit ou d’incohérence entre le présent DPA et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront, étant toutefois entendu que le Sous-traitant pourra désigner des Sous-traitants Ultérieurs dans les conditions prévues, et sous réserve des exigences de l’Article 7 du présent DPA.
10.4 Nonobstant toute disposition contraire du Contrat ou du présent DPA, la responsabilité de chaque partie et de ses Sociétés Affiliées, dans leur ensemble, fondée sur le présent DPA ou liée à celui-ci, à toute commande ou au Contrat, que ce soit en matière contractuelle, délictuelle ou en application d’un autre principe de responsabilité, demeurera soumise à l’article « Limitation de Responsabilité » du Contrat, et toute référence dans cet article à la responsabilité d’une partie s’entend de l’entière responsabilité de cette partie et de toutes ses Sociétés Affiliées au titre du Contrat et du présent DPA, y compris toutes les Annexes aux présentes. Dynatrace ne sera pas responsable envers le Client pour les pertes ou dommages indirects ou consécutifs, la perte de bénéfice, la perte de ventes, la perte d'activité, la perte d'économies anticipées, la perte ou les dommages à la valeur financière du Client (“goodwill”), et en tous cas, qu'ils soient directs ou indirects, qui subis en raison du ou en relation avec ce DPA. Sans limiter les obligations des parties attachées au Contrat ou au présent DPA, le Client convient que toute responsabilité engagée par Xxxxxxxxx en relation avec les Données à Caractère Personnel du Client du fait du non-respect par le Client de ses obligations au titre du présent DPA ou de la Loi sur la Protection des Données applicable, ou en relation avec celle-ci, sera prise en compte et réduira la limite de responsabilité de Dynatrace prévue par le Contrat (ou, le cas échéant, par le présent DPA) comme si cette responsabilité était engagée à l’égard du Client.
10.5 Le présent DPA sera régi et interprété conformément au droit applicable et aux dispositions du Contrat en matière d’attribution de compétence.
ANNEXE A DÉTAILS DU TRAITEMENT
Description de l’Exportateur de Données
L’exportateur de données est l’entité identifiée comme « Client » dans le Contrat de Traitement de Données en place entre l’exportateur de données et l’importateur de données et auquel la présente Annexe est jointe.
Description de l’Importateur de Données
L'importateur de données est l'entité identifiée comme « Dynatrace » dans le DPA en place entre l'exportateur de données et l'importateur de données et auquel la présente annexe est jointe.
Objet du Traitement
L’objet et la durée du traitement sont les suivants :
De convention expresse entre les parties, le Client sera le Responsable du Traitement de certaines Données à Caractère Personnel du Client fournies à Dynatrace par le Client dans le cadre de son utilisation des Services. Dans certains cas, le Client sera le Sous-traitant, auquel cas le Client désigne Dynatrace comme Sous-Traitant Ultérieur du Client. La durée du traitement est égale à la durée du Contrat.
Finalités du Traitement
Le traitement est nécessaire aux finalités suivantes :
Pour permettre à Dynatrace de fournir les Services au Client et d’exercer ses droits et obligations au titre du Contrat.
Personnes concernées
Les personnes concernées peuvent inclure : (i) les Utilisateurs Autorisés par le Client à utiliser les Services Dynatrace et (ii) les utilisateurs ou visiteurs des applications surveillées du Client et/ou des sites Web (y compris, notamment, les salariés, clients ou consommateurs, mandataires, sous-traitants et conseillers du Client), tel que déterminé à l’absolue discrétion du Client.
Type de Données à Caractère Personnel
Le Client est tenu de fournir certaines Données à Caractère Personnel afin d’utiliser les Services, y compris l’adresse IP et le prénom et le nom de famille s’ils sont inclus dans l’adresse e-mail et les identifiants utilisateur d’un utilisateur. Le Client pourra soumettre des Données à Caractère Personnel supplémentaires aux Services, dont la mesure sera déterminée et contrôlée par le Client à son absolue discrétion.
Catégories Spéciales de Données (le cas échéant)
Les Données à Caractère Personnel transférées concernent les catégories spéciales de données suivantes :
Sans objet. Le Client ne pourra, sans accord exprès et écrit, utiliser les Services pour traiter des données classées « Données de Catégorie Spéciale » ou des Informations Restreintes.
Opérations de Traitement
Les Données à Caractère Personnel transférées feront l’objet des opérations de traitement de base suivantes :
Dynatrace ne traitera les Données à Caractère Personnel du Client que dans la mesure nécessaire pour fournir les Services et exercer ses droits et obligations tels que contenus dans les clauses du Contrat et du présent Contrat de Traitement de Données, y compris, notamment, l’habilitation du client, l’assistance technique, les services professionnels, l’amélioration des performances et des fonctions des produits, l’authentification des utilisateurs, les communications et l’administration des comptes.
Dynatrace (également désignée ci-après le « Sous-traitant ») mettra en œuvre, au minimum, les mesures de sécurité techniques et organisationnelles décrites ci-dessous concernant les Données à Caractère Personnel du Client qu’elle Traite pour le compte du Client (également désignées, ci-après, le « Responsable du Traitement »). Ces mesures de sécurité s’appliquent à toutes les Données à Caractère Personnel du Client qui font l’objet de l’accord sous-jacent entre le Sous-traitant et le Responsable du traitement (le « Contrat »). En ce qui concerne les sous-traitants ultérieurs tiers qui peuvent traiter des Données à Caractère Personnel pour le compte de Dynatrace, ces tiers auront leurs propres exigences de sécurité visant à protéger les Données à Caractère Personnel.
Mesures techniques
1.1 Autorisation
(a) Un système d’autorisation sera utilisé lorsque différents profils d’autorisation sont utilisés à diverses fins.
1.2 Identification
(a) Chaque Utilisateur Autorisé devra recevoir un code d’identification personnel et unique à cette fin (l’ « Identifiant Utilisateur »). Aucun Identifiant Utilisateur ne pourra être attribué à une autre personne, même à un moment ultérieur.
(b) Un registre sera tenu à jour concernant les Utilisateurs Autorisés et l’accès accordé à chacun d’entre eux et des procédures d’identification et d’authentification seront établies pour tous les accès aux systèmes d’information ou pour la réalisation de tout Traitement des Données. Aux fins des présentes, « Traitement » désigne toute opération ou ensemble d’opérations effectuées ou non par des moyens automatisés sur les Données, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
(c) Les mots de passe seront modifiés périodiquement, tel qu’indiqué dans les Politiques de Sécurité de l’Information.
1.3 Authentification
(a) Les Utilisateurs Autorisés seront habilités à traiter les Données si des identifiants d’authentification leur sont fournis de manière à mener à bien une procédure d’authentification relative soit à une opération de Traitement spécifique, soit à un ensemble d’opérations de Traitement.
(b) L’authentification devra reposer sur un mot de passe secret associé à l’Identifiant Utilisateur, lequel sera connu du seul Utilisateur Autorisé.
(c) Un ou plusieurs identifiants d’authentification seront attribués ou associés à un Utilisateur Autorisé.
(d) Une procédure de confidentialité et d’intégrité des mots de passe devra être en place. Les mots de passe seront stockés de manière à en garantir le caractère inintelligible pendant toute leur durée de validité. Une procédure d’attribution, de distribution et de stockage des mots de passe
devra être en place.
(e) Les mots de passe seront composés d’au moins douze caractères ou, si cela n’est pas techniquement autorisé par les systèmes d’information concernés, un mot de passe comprendra le nombre maximum de caractères autorisés. Les mots de passe ne devront contenir aucun élément susceptible d’être facilement lié à l’Utilisateur Autorisé en charge du Traitement et seront modifiés à intervalles réguliers, tel que prévu dans le document de sécurité. Les mots de passe seront modifiés par l’Utilisateur Autorisé au profit d’une valeur secrète connue uniquement de l’Utilisateur Autorisé lorsqu’ils sont utilisés pour la première fois et régulièrement par la suite.
(f) Les identifiants d’authentification seront également désactivés si l’Utilisateur Autorisé est licencié, transféré ou déconnecté de l’accès aux systèmes d’information ou du Traitement des Données.
1.4 Contrôles d’accès
(a) Seuls les Utilisateurs Autorisés auront accès aux Données, y compris lorsqu’elles seront stockés sur un support électronique ou portatif ou lors de leur transmission. Les Utilisateurs Autorisés ne bénéficieront d’un accès autorisé qu’aux données et ressources nécessaires à l’exercice de leurs fonctions.
(b) Un système permettant d’accorder aux Utilisateurs Autorisés l’accès aux données et ressources désignées sera employé.
(c) Il sera vérifié chaque semestre que les conditions préalables à la conservation des profils d’autorisation concernés continuent de s’appliquer. Cela peut également inclure la liste des Utilisateurs Autorisés établie par catégories de tâches homogènes et le profil d’autorisation correspondant.
(d) Des mesures seront mises en place pour empêcher un utilisateur d’accéder ou d’utiliser des systèmes d’information non autorisés. En particulier, des systèmes de détection d’intrusion correspondant aux meilleures pratiques de l’industrie devront être installés pour protéger les systèmes d’information contre tout accès non autorisé.
(e) Les contrôles d’accès au système d’exploitation ou à la base de données devront être correctement configurés pour garantir l’accès autorisé uniquement.
(f) Seul le personnel autorisé pourra accorder, modifier ou annuler l’accès des utilisateurs aux systèmes d’information.
1.5 Gestion des systèmes informatiques et supports amovibles
(a) Les systèmes d’information réseau et les supports physiques stockant les Données devront être hébergés dans un environnement sécurisé avec accès physique limité au personnel autorisé à y avoir accès. De solides contrôles d’autorisation et d’accès devront être garantis.
(b) Les logiciels, micrologiciels et matériels utilisés dans les systèmes d’information seront révisés chaque année afin de détecter les vulnérabilités et les défauts des systèmes d’information et de les résoudre le cas échéant.
(c) Des politiques et des formations seront mises en place en ce qui concerne la conservation et l’utilisation des supports sur lesquels les Données sont conservées afin d’empêcher l’accès et le Traitement non autorisés.
(d) Lorsque des supports doivent être éliminés ou réutilisés, les mesures nécessaires seront prises pour empêcher toute récupération ultérieure des Données et autres informations précédemment
stockées sur celles-ci, ou pour rendre ces informations intelligibles ou reconstituées par tout moyen technique avant qu’elles ne soient retirées de l’appareil concerné. Tous les supports réutilisables employés pour le stockage des Données seront écrasés au moins trois fois au moyen de données aléatoires avant leur élimination ou leur réutilisation.
(e) Le retrait des supports contenant des Données sur les locaux concernés sera expressément autorisé par le Responsable du traitement et en conformité avec les politiques de Dynatrace.
(f) Les supports contenant des Données devront être effacés ou rendus non lisibles s’ils ne sont plus utilisés et avant leur élimination utile.
1.6 Distribution ou transmission
(a) Les Données ne doivent être accessibles qu’aux seuls Utilisateurs Autorisés.
(b) Le chiffrement (128 bits ou plus) ou toute autre forme de protection équivalente devra être utilisé pour protéger les Données qui sont transmises par voie électronique sur un réseau public ou stockées sur un appareil portatif, ou lorsqu’il existe une obligation de conserver ou de Traiter les Données dans un environnement physiquement insécurisé.
(c) Lorsque les Données doivent quitter les locaux concernés à la suite d’opérations de maintenance, les mesures nécessaires seront prises pour empêcher toute récupération non autorisée des Données et autres informations qui y sont stockées.
(d) Lorsque les Données sont transmises ou transférées par l’intermédiaire d’un réseau de communications électroniques, des mesures seront mises en place pour contrôler le flux des données et enregistrer l’heure de transmission ou de transfert, les Données transmises ou transférées, la destination de toutes les Données transmises ou transférées, et les coordonnées de l’Utilisateur Autorisé à l’origine de la transmission ou du transfert.
1.7 Conservation, copies de sauvegarde et restauration
(a) Des procédures devront être définies et consignées par écrit pour la production de copies de sauvegarde et la récupération des Données. Ces procédures devront permettre de reconstituer les données dans l’état où elles se trouvaient au moment où elles ont été perdues ou détruites.
(b) Les copies de sauvegarde devront être réalisées au moins une fois par semaine, sauf si aucune donnée n’a été mise à jour au cours de cette période.
(c) Une copie de sauvegarde et des procédures de récupération de données devront être conservées à un endroit distinct du site des systèmes d’information traitant les Données et ces exigences minimales en matière de sécurité s’appliqueront à ces copies de sauvegarde.
1.8 Antivirus et détection d’intrusion
(a) Des logiciels antivirus et des systèmes de détection d’intrusion devront être installés sur les systèmes d’information afin de se protéger contre les attaques ou autres actes non autorisés à l’égard des systèmes d’information. Les logiciels antivirus et les systèmes de détection d’intrusion devront être mis à jour régulièrement conformément aux meilleures pratiques de l’industrie pour les systèmes d’information concernés (et au moins une fois par an).
1.9 Tests
(a) Les tests préalables à la mise en œuvre ou à la modification des systèmes d’information qui Traitent des Données ne devront pas utiliser des données réelles ou « en cours de vie », à moins
que cette utilisation ne soit nécessaire et qu’il n’y ait pas d’autre solution raisonnable. Lorsque des données réelles ou « en cours de vie » sont utilisées, celles-ci seront limitées dans la mesure nécessaire aux tests et un niveau de sécurité correspondant au type de données traitées devra être garanti.
1.10 Audit
(a) Des audits réguliers du respect de ces exigences de sécurité devront être effectués au moins une fois par an.
(b) Les résultats devront permettre d’obtenir un avis sur la mesure dans laquelle les mesures et contrôles de sécurité adoptés sont conformes à ces exigences de sécurité, d’identifier toute lacune et (le cas échéant) de proposer des mesures correctives ou supplémentaires si nécessaire. Ils devront également présenter les données, les faits et les observations sur lesquels cet avis a été formulé, ainsi que les recommandations proposées.
2. Mesures organisationnelles
2.1 Plan et document de sécurité
(a) Les mesures adoptées pour se conformer à ces exigences de sécurité devront faire l’objet des politiques de sécurité de l’information de la Société et être publiées sur un portail de sécurité qui sera tenu à jour et contrôlé chaque fois que des modifications pertinentes sont apportées au ou aux systèmes d’information ou aux mesures techniques ou organisationnelles.
(b) Les Politiques de Sécurité de l’Information devront porter sur :
(i) Les mesures de sécurité relatives à la modification et à la maintenance du ou des systèmes utilisés pour Traiter les Données, y compris le développement et la maintenance d’applications, le soutien adapté des fournisseurs et l’inventaire du matériel et des logiciels ;
(ii) La sécurité physique, y compris la sécurité des bâtiments ou des locaux dans lesquels le traitement des données a lieu, la sécurité des équipements informatiques et des infrastructures de télécommunication et les contrôles environnementaux ; et
(iii) La sécurité des ordinateurs et des systèmes de télécommunication, y compris les procédures de gestion des copies de sauvegarde, les procédures de gestion des virus informatiques, les procédures de gestion des signaux/codes, la sécurité de la mise en œuvre du logiciel, la sécurité des bases de données, la sécurité des systèmes de connexion à Internet, l’inspection du contournement du ou des systèmes de données, les mécanismes permettant de tenir compte des tentatives visant à déjouer la sécurité du système ou à obtenir un accès non autorisé.
(c) Le plan de sécurité comprendra toutes les politiques Dynatrace, telles que mises à jour de temps à autre, y compris, notamment, les :
(i) Code de conduite professionnelle et d’éthique
(ii) Politique mondiale de protection des données
(iii) Politique d’utilisation acceptable des équipements informatiques de Dynatrace
(iv) Politiques de sécurité du système :
• Politique de chiffrement de Dynatrace
• Politique d’accès au réseau de Dynatrace
• Politique de sécurité physique de Dynatrace
• Politique de mot de passe du compte réseau Dynatrace
• Politique sur la restitution des actifs par les salariés licenciés de Dynatrace
• Politique de sécurité de Dynatrace
• Politique de sensibilisation à la sécurité de Dynatrace
• Politique de gestion de la vulnérabilité de Dynatrace
• Politique de sécurité du poste de travail Dynatrace
(d) Le plan de sécurité sera mis à la disposition du personnel qui a accès aux Données et aux systèmes d’information et couvrira au minimum les aspects suivants :
(i) La portée, en précisant dans le détail les ressources protégées ;
(ii) Les mesures, normes, procédures, règles de conduite et consignes garantissant la sécurité, y compris le contrôle, l’inspection et la surveillance des systèmes d’information ;
(iii) Les procédures de signalement, de gestion et d’intervention en cas d’incident ;
(iv) Les procédures de réalisation des copies de sauvegarde et de récupération des Données, y compris le membre du personnel qui a entrepris l’activité de Traitement, les Données restaurées et, le cas échéant, quelles données ont dû être saisies manuellement dans le processus de récupération.
2.2 Fonctions et obligations du personnel
(a) Seuls les membres du personnel qui ont un besoin opérationnel légitime d’accéder aux systèmes d’information ou d’effectuer tout Traitement des Données y seront autorisés (les « Utilisateurs Autorisés »).
(b) Les mesures nécessaires seront adoptées pour former et faire connaître au personnel ces exigences minimales en matière de sécurité, toutes les politiques pertinentes et les lois applicables concernant l’exercice de leurs fonctions et de leurs obligations en ce qui concerne le Traitement des Données et les conséquences de tout manquement à ces exigences.
(c) Les fonctions et les obligations du personnel ayant accès aux Données et aux systèmes d’information seront clairement définies par des rôles de sécurité des applications.
(d) Les Utilisateurs Autorisés seront informés que les équipements électroniques ne doivent pas être laissés sans surveillance ni rendus accessibles pendant les opérations de Traitement. L’accès physique aux zones où des Données sont stockées sera limité aux Utilisateurs Autorisés. Les mesures disciplinaires en cas de violation du plan de sécurité seront clairement définies, documentées et communiquées au personnel.
2.3 Responsable de la sécurité
(a) Une ou plusieurs personnes responsables du respect global de ces exigences minimales en matière de sécurité seront désignées Responsable de la Sécurité de l’Information (le « CISO »).
Le CISO sera suffisamment formé et expérimenté en gestion de la sécurité de l’information et disposera de ressources suffisantes pour garantir efficacement la conformité.
(b) Les coordonnées du CISO seront fournies au Responsable du Traitement sur demande.
2.4 Tenue des registres
(a) Un historique de l’accès ou de la divulgation des Données par un Utilisateur Autorisé sera consigné, avec une piste d’audit sécurisée.
(b) Seul le personnel dûment autorisé pourra avoir un accès physique aux locaux où les systèmes d’information et les supports de stockage des Données sont stockés.
(c) Une procédure de signalement, de réponse et de gestion des incidents de sécurité tels que les atteintes à la sécurité des données sera en place. Cette procédure comprendra au minimum :
(i) Une procédure de signalement de ces incidents/défauts à une direction compétente ;
(ii) Une équipe clairement désignée pour gérer et coordonner la réponse à un incident dirigé par le CISO ;
(iii) Un processus documenté de gestion de l’intervention sur un incident, y compris l’obligation de tenir un registre des problèmes et mesures appropriés indiquant le moment où l’incident s’est produit, la personne à l’origine de son signalement, à qui il a été signalé et ses effets ;
(iv) L’obligation pour le Sous-traitant d’informer le responsable du traitement dans les meilleurs délais en cas de violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux données transmises, conservées ou traitées d’une autre manière par le Sous-traitant ; et
(v) L’équipe de gestion de la sécurité/incident du Sous-traitant devra, le cas échéant, collaborer avec les représentants de la sécurité du Responsable du traitement jusqu’à ce que l’incident ou la violation ait été résolu de manière satisfaisante.
(vi) La procédure de signalement, de gestion et de réponse aux incidents sera testée au moins une fois par an.
ANNEXE C CONDITIONS SUPPLÉMENTAIRES
BRÉSIL:
1. Demandes des Personnes Concernées : Les Services fournissent au Client des fonctionnalités permettant d’accéder aux Données du Client que ce dernier peut utiliser pour l’aider dans le cadre de ses obligations relatives à la réponse aux Personnes concernées cherchant à exercer leurs droits en vertu de la LGPD (une « demande d’une personne concernée » ou « DSR ») ou d’une autorité de protection des données. Dans la mesure où le Client est tenu de répondre à une DSR et n’est pas en mesure d’accéder aux Données à Caractère Personnel du Client concernées par les Données du Client dans le cadre des Services en utilisant cette fonctionnalité ou non, compte tenu de la nature du Traitement, Dynatrace apportera (sur demande du Client) une assistance raisonnable au Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de permettre au Client (ou à son Responsable de Traitement tiers) de répondre à toute DSR ou à toute autorité de contrôle ou judiciaire relative au Traitement des Données à Caractère Personnel du Client en vertu du Contrat. Si une DSR est faite directement à Dynatrace, cette dernière transmettra sans délai cette communication au Client et ne répondra pas à cette DSR sans l’autorisation expresse de celui-ci. Ce qui précède n’interdit pas à Dynatrace de communiquer avec une Personne concernée si elle n’est pas raisonnablement visible au regard de la communication à laquelle le client de Dynatrace se rapporte.
2. Transferts de Données. Dynatrace ne peut transférer les Données à Caractère Personnel du Client vers une autre juridiction que dans la mesure autorisée par la LGPD. Lors du transfert des Données à Caractère Personnel du Client en dehors du Brésil, Dynatrace respectera les principes et les droits des personnes concernées et les obligations de protection des données prévues dans la LGPD.
UNION EUROPÉENNE, ESPACE ÉCONOMIQUE EUROPÉEN ET SUISSE :
1. Responsabilités du Client. Le Client informera ses Personnes concernées, dans la mesure prévue par la loi, que leurs Données à Caractère Personnel du Client peuvent être traitées en dehors de l’Union européenne, de l’Espace économique européen et de la Suisse.
2. Transferts de Données. Le Client reconnaît et accepte que Xxxxxxxxx et ses Sous-traitants Ultérieurs puissent maintenir des opérations de traitement de données dans des pays situés hors de l’Union Européenne, de l’Espace Économique Européen ou de la Suisse, et peuvent, à ce titre, traiter les Données à Caractère Personnel du Client en dehors de ces pays. Cette disposition s’appliquera même si le Client a convenu avec Dynatrace d’utiliser les cas de Cloud des Services hébergés de Dynatrace situés dans l’Union européenne, dans l’Espace Économique Européen ou en Suisse si ce traitement hors UE est nécessaire pour fournir des services d’assistance ou autres services sollicités par le Client au titre du Contrat. Dans la mesure où Xxxxxxxxx traite des Données à Caractère Personnel du Client pour le compte du Client, les parties conviennent que pour tout transfert de Données à Caractère Personnel du Client vers des pays situés en dehors de l’Union européenne, de l’Espace économique européen ou de la Suisse (lorsqu’un tel pays n’est pas réputé bénéficier d’un niveau de protection suffisant, à tout moment, par la Commission européenne ou cette autre autorité de contrôle) et dans la mesure où ces transferts sont soumis au RGPD, Xxxxxxxxx s’engage à traiter ces Données à Caractère Personnel du Client conformément aux Clauses Contractuelles Types jointes en Annexe D au DPA, y compris les annexes qui y sont jointes, et à cet effet, Dynatrace convient qu’elle agit qualité d’ « importateur de données » et que le Client et/ou ses Sociétés Affiliées, selon le cas, sont l’ « exportateur de données » au sens des Clauses Contractuelles Types. Avant de transférer des Données à Caractère Personnel du Client hors du Royaume-
Uni, Dynatrace et le Client conviendront d'une méthode adéquate pour légaliser les transferts de données hors du Royaume-Uni, y compris, mais sans s'y limiter, la conclusion des Clauses Contractuelles Types susmentionnées et de l'Addendum britannique.
ROYAUME-UNI :
1. Responsabilités du Client. Le Client informera ses Personnes concernées, dans la mesure prévue par la loi, que leurs Données à Caractère Personnel du Client peuvent être traitées en dehors du Royaume-Uni.
2. Transferts de Données. Avant de transférer des Données à Caractère Personnel du Client hors du Royaume-Uni, Dynatrace et le Client conviendront d’une méthode adéquate pour légaliser les transferts de données hors du Royaume-Uni, y compris, notamment, la conclusion des Clauses Contractuelles Types.
ÉTATS-UNIS :
Californie :
1. Définitions. « Informations Personnelles », « Prestataire de Services », « Vente » et « Finalités Commerciale » ont la signification énoncée dans la LPCC. Toute référence aux Données à Caractère Personnel dans les présentes s’entend des Données à Caractère Personnel détenues ou contrôlées par le Client qui sont consultées ou traitées d’une autre manière par le Prestataire dans le cadre de l’exécution des Services.
2. Prestataire de Services. Le Client et Dynatrace conviennent que Dynatrace est le Prestataire de Services du Client et fournit les Services pour une finalité qui répond à la définition de « finalité commerciale » prévue à l’article 1798.140(d)(5) du CCPA, tel que modifié. Dynatrace s’interdit de : (1) conserver, utiliser ou divulguer les Informations Personnelles reçues du Client ou pour son compte, pour des Finalités Commerciales qui ne sont pas nécessaires à la fourniture des Services tels que prévus par le Contrat, ou
(2) vendre, louer, divulguer, publier, rendre public, transférer ou mettre à disposition, ou encore communiquer des Informations Personnelles à un tiers, à titre onéreux ou non. Dynatrace certifie comprendre les restrictions qui précèdent et s’engage à les respecter. Le Client est responsable d’assurer le respect de sa part des exigences du CCPA dans le cadre de son utilisation des Services et dans celui de son propre traitement des Informations Personnelles.
Annexe D : Addendum britannique
Addendum aux Clauses Contractuelles Types de la Commission européenne concernant les Transferts Internationaux de Données
Tableau 1 : Parties et Signatures
Date de début : | Le présent ATID entre en vigueur à la Date d'Effet | |
Les Parties | Exportateur (qui envoie le Transfert Restreint) | Importateur (qui reçoit le Transfert Restreint) |
Détails des Parties | Dénomination juridique complète: Comme stipulé dans le bloc de signature Dénomination commercial (si différente): Adresse principale (s'il s'agit de l'adresse d'une société): Comme stipulé dans le bloc de signature Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire): | Dénomination juridique complète: Comme stipulé dans le bloc de signature Dénomination commercial (si différente): Adresse principale (s'il s'agit de l'adresse d'une société): Comme stipulé dans le bloc de signature Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire): |
Contact principal | Nom complet: Intitulé du poste: Coordonnées, y compris l'adresse électronique: | Nom complet: Xxxxxxx.XXX@xxxxxxxxx.xxx Intitulé du poste: Responsable de la Protection des Données Coordonnées, y compris l'adresse électronique: Xxxxxxx.XXX@xxxxxxxxx.xxx |
Signature (si nécessaire aux fins de l'Article 2) | Nom : Fonction : | Nom : Fonction : |
Tableau 2 : CCT, modules et clauses sélectionnés
Addendum européen CCT | ☐ La version des CCT approuvées par l'UE à laquelle le présent addendum est annexé, détaillée ci-dessous, y compris les informations relatives à l'Annexe: Date: Référence (le cas échéant): Autre identifiant (le cas échéant): Ou ☒ les CCT approuvées par l'UE, y compris les informations de l'Annexe, et avec uniquement les modules, clauses ou dispositions facultatives suivants des CCT approuvées par l'UE entrés en vigueur aux fins du présent Addendum: |
Module | Module en vigueur | Clause 7 (Clause d'adhésion) | Clause 11 (Facultative) | Clause 9a (Autorisation préalable ou autorisation générale) | Clause 9a (Délai) | Les données personnelles reçues de l'Importateur sont- elles regroupées avec celles recueillies par l'Exportateur ? |
2 | X | X | N/A | Général | 30 jours |
Tableau 3 : Informations de l'Annexe
« Informations de l'Annexe » désigne les informations qui doivent être fournies pour les modules sélectionnés, telles qu'elles figurent dans l'annexe des CCT approuvées par l'UE (autres que les Parties), et qui, en ce qui concerne le présent Addendum, sont exposées dans :
Annexe 1A: Liste des Parties: Comme stipulé à l'Annexe A
Xxxxxx XX: Mesures techniques et organisationnelles, y compris celles visant à garantir la sécurité des données: Comme stipulé à l'Annexe B
Annexe III: Liste des Sous-Traitants Ultérieurs (Module 2): xxxxx://xxx.xxxxxxxxx.xxx/xxxxxxx/xxxxx/xxxxxxxxx
Tableau 4 : Fin du présent Addendum lorsque l'Addendum approuvé est modifié
Fin du présent Addendum lorsque l'Addendum approuvé est modifié | Les parties peuvent mettre fin au présent Addendum conformément aux dispositions de l'Article 19 : ☒Importateur ☒Exportateur ☐Ni l'un ni l'autre |
Partie 2 : Clauses obligatoires
Clauses obligatoires | Partie 2 : Clauses obligatoires de l'Addendum approuvé, qui est le modèle d'Addendum B.1.0 publié par l'ICO et déposé devant le Parlement conformément au S119A de la Loi sur la Protection des Données 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'Article 18 de ces clauses obligatoires. |