Addendum relatif au Traitement des Données
Addendum relatif au Traitement des Données
Le présent Addendum relatif au Traitement des Données (l’« Addendum ») est incorporé au Contrat d’Abonnement (le « Contrat d’Abonnement »), dont il fait partie intégrante, entre l’entité contractante d’iCIMS concernée aux termes du Contrat d’Abonnement (« iCIMS ») et l’entité signataire du Contrat d’Abonnement et/ou du Bon de Commande (l’« Abonné ») agissant en son propre nom et en tant que mandataire d’un Affilié de l’Abonné.
À propos du présent Addendum :
1. Le présent Addendum se compose de quatre parties : le corps principal de l’Addendum, l’Appendice 1, l’Appendice 2 et l’Appendice 3 (y compris ses Annexes 1 et 2). L’Appendice 3 ne s’applique que dans la mesure où cela est requis par les Lois sur la Protection des Données et de la Vie Privée.
2. Si les Clauses Contractuelles Types de l’Annexe 3 sont applicables, la souscription par l’Abonné du Contrat d’Abonnement et/ou du (des) Bon(s) de Commande applicable(s) est réputée constituer la souscription et l’acceptation des Clauses Contractuelles Types qui y sont incorporées, y compris de leurs Annexes. Veuillez noter que l’entité contractante en vertu du Contrat d’Abonnement et/ou du Bon de Commande peut être un Affilié de iCIMS.
3. L’Abonné s’engage à examiner les Appendices 1 et 2, ainsi que les Annexes 1 et 2 de l’Appendice 3, afin de s’assurer de leur exactitude et de leur exhaustivité.
iCIMS reconnaît que l’Abonné et chaque Affilié de l’Abonné est/sont le(s) Responsable(s) du Traitement des Données à Caractère Personnel sous leur contrôle respectif en tant que personne morale compétente pour déterminer les finalités et les modalités de Traitement des Données à Caractère Personnel et les moyens pertinents, y compris l’adéquation des mesures de sécurité. L’Abonné désigne par la présente iCIMS comme Sous-Traitant aux fins du Traitement des Données à Caractère Personnel de l’Abonné comme décrit dans le Contrat d’Abonnement et l’Annexe 1 qui détaille davantage l’objet, le type et la finalité du Traitement, les types de données et les catégories de Personnes Concernées. xXXXX accepte la nomination et s’engage à respecter les obligations énoncées au présent Addendum. L’Abonné est le seul contact d’iCIMS pour toute notification ou information destinée à l’Abonné ou à un Affilié de l’Abonné aux termes du présent Addendum et il est responsable de la coordination interne, de l’examen et de la soumission des instructions ou des demandes des Affiliés de l’Abonné à iCIMS.
Sauf définition contraire ci-dessous, tous les termes en majuscules ont la signification qui leur est donnée par le Contrat d’Abonnement et/ou ses Annexes. Tous les exemples figurant dans le présent Addendum sont donnés à titre d’illustration d’un concept particulier et ne sont pas exhaustifs.
Compte tenu des obligations réciproques énoncées aux présentes, les parties conviennent que les conditions énoncées ci-dessous seront ajoutées en tant qu’Addendum au Contrat d’Abonnement. Sauf si le contexte exige qu’il en soit autrement, les références au Contrat d’Abonnement dans le présent Addendum sont des références au Contrat d’Abonnement tel que modifié par, et incluant, le présent Addendum.
1. Définitions
1.1 Dans le présent Addendum, les termes suivants ont le sens qui leur est donné ci-dessous et les termes apparentés doivent être interprétés en conséquence :
1.1.1 « Entreprise » a le sens qui lui est attribué par le CCPA (défini ci-dessous) ;
1.1.2 « Fins Commerciales » a le sens qui lui est attribué par le CCPA (défini ci-dessous) ;
1.1.3 « Loi californienne de 2018 sur la protection de la vie privée des consommateurs » [California Consumer Privacy Act of 2018] ou « CCPA » désigne la Loi Californienne sur la protection de la Vie Privée des Consommateurs, Code civil californien § 1798.100 et s., et ses règlements d’application ;
1.1.4 « Sous-Traitant sous Contrat » désigne iCIMS ou l’un de ses Sous-Traitants Ultérieurs ;
1.1.5 « Responsable du Traitement » désigne l’entité qui, seule ou conjointement avec d’autres, détermine les finalités et les modalités de Traitement des Données à Caractère Personnel de l’Abonné ;
1.1.6 « Lois sur la Protection des Données et de la Vie Privée » désigne l’ensemble des lois sur la protection des données et de la vie privée applicables au Traitement des Données à Caractère Personnel en vertu du présent Addendum, y compris les lois, traités et/ou règlements locaux, étatiques (par exemple, la CCPA), nationaux et/ou étrangers, le RGPD (défini ci-dessous) et la transposition du RGPD dans la législation nationale, tels que chacun d’entre eux peut être modifié à tout moment ;
1.1.7 « Personne Concernée » désigne une personne physique identifiée ou identifiable dont les droits sont protégés par les Lois sur la Protection des Données et de la Vie Privée, y compris, notamment, tout « Consommateur » au sens du CCPA ;
1.1.8 « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, y compris tel que transposé ou adopté en vertu des lois du Royaume-Uni. Le cas échéant, les références au « RGPD
» comprennent le « Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du Traitement des données à caractère personnel par les institutions, organes, offices et agences de l’Union européenne et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE
» ;
1.1.9 « Affilié d’iCIMS » désigne une entité qui possède ou contrôle, est possédée ou contrôlée par ou est sous contrôle ou propriété communs avec iCIMS, le contrôle étant défini comme la possession, directe ou indirecte, du pouvoir de diriger ou de faire diriger la gestion et les politiques d’une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement ;
1.1.10 « Données à Caractère Personnel » désigne toute information relative à une Personne Concernée, y compris, notamment, les « Informations Personnelles » au sens du CCPA ;
1.1.11 « Violation de Données à Caractère Personnel » désigne (i) une « violation de données à caractère personnel », au sens du RGPD, affectant les Données à Caractère Personnel de l’Abonné et (ii) toute
« Violation de Données », au sens des Procédures de Réponse aux Incidents d’iCIMS disponibles à l’adresse xxxxx://xxx.xxxxx.xxx/xx/, affectant les Données à Caractère Personnel de l’Abonné ;
1.1.12 « Traiter » et « Traitement » désignent toute opération ou ensemble d’opérations effectuées sur les Données à Caractère Personnel de l’Abonné ou les ensembles de Données à Caractère Personnel de l’Abonné, comme la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction ;
1.1.13 « Sous-Traitant » désigne l’entité qui Traite les Données à Caractère Personnel de l’Abonné pour le compte du Responsable du Traitement ;
1.1.14 « Transfert Restreint » désigne :
1.1.14.1 un transfert de Données à Caractère Personnel de l’Abonné depuis un Membre du Groupe de l’Abonné vers un Sous-Traitant sous Contrat ; ou
1.1.14.2 un transfert ultérieur de Données à Caractère Personnel de l’Abonné d’un Sous-Traitant sous Contrat vers un autre Sous-Traitant sous Contrat, ou entre deux établissements d’un Sous-Traitant sous Contrat ;
le cas échéant, lorsqu’un tel transfert est interdit par les Lois sur la Protection des Données et de la Vie Privée (ou par les conditions des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des Lois sur la Protection des Données et de la Vie Privée) en l’absence de garanties appropriées telles que les Clauses Contractuelles Types à établir en vertu de l’Article 6.4.3 ou de l’Article 13. Pour éviter toute ambiguïté, lorsqu’un transfert de Données à Caractère Personnel de l’Abonné est d’un type autorisé par les Lois sur la Protection des Données et de la Vie Privée dans le pays exportateur, ce transfert ne sera pas un Transfert Restreint ;
1.1.15 « Vente » a le sens qui lui est attribué par le CCPA ;
1.1.16 « Fournisseur de Services » a le sens qui lui est attribué par le CCPA ;
1.1.17 « Clauses Contractuelles Types » désigne les clauses énoncées, ou intégrées par renvoi, à l’Annexe 3 ;
1.1.18 « Sous-Traitant Ultérieur » désigne toute entité recrutée par iCIMS, y compris tout Affilié d’iCIMS, pour Traiter les Données à Caractère Personnel de l’Abonné au nom de tout Membre du Groupe de l’Abonné dans le cadre du Contrat d’Abonnement, y compris, notamment, le « Fournisseur de Services
» au sens du CCPA ;
1.1.19 « Affilié de l’Abonné » désigne une entité qui possède ou contrôle, est possédée ou contrôlée par ou est sous contrôle ou propriété communs avec l’Abonné, le contrôle étant défini comme la possession, directe ou indirecte, du pouvoir de diriger ou de faire diriger la gestion et les politiques d’une entité, que ce soit par la propriété de titres avec droit de vote, par contrat ou autrement ;
1.1.20 « Membre du Groupe de l’Abonné » désigne l’Abonné ou tout Affilié de l’Abonné ;
1.1.21 « Données à Caractère Personnel de l’Abonné » désigne toute Donnée à Caractère Personnel traitée par un Sous-Traitant sous Contrat pour le compte d’un Membre du Groupe de l’Abonné conformément à ou en relation avec le Contrat d’Abonnement ;
1.1.22 « Autorité de Contrôle » désigne, selon le cas, une entité gouvernementale désignée ayant le pouvoir de faire appliquer les Lois sur la Protection des Données et de la Vie Privée, telle qu’une autorité de contrôle au sens du RGPD ou un « Commissaire » au sens de la loi de l’État membre suisse et/ou le RGPD Britannique ; et
1.1.23 « RGPD Britannique » désigne, collectivement, le Règlement Général sur la Protection des Données du Royaume-Uni (« UK ») et la Loi modifiée sur la Protection des Données de 2018, dans chaque cas tels qu’ils peuvent être modifiés ou remplacés à tout moment.
1.2 Le mot « inclut » doit être interprété comme signifiant inclure sans limitation, et les termes apparentés doivent être interprétés en conséquence.
2. Rôles et Portée
2.1 Le présent Addendum s’applique au Traitement des Données à Caractère Personnel de l’Abonné par iCIMS afin de fournir l’Abonnement. Aux fins du présent Addendum, l’Abonné et les Affiliés de l’Abonné sont le(s) Responsable(s) du Traitement et iCIMS est le Sous-Traitant des Données et/ou le Fournisseur de Services (dans la mesure où iCIMS Traite les Données à Caractère Personnel à des Fins Commerciales au titre du Contrat d’Abonnement).
2.2 Pour éviter toute ambiguïté, iCIMS n’est pas responsable du respect des lois sur la protection des données et de la vie privée applicables à l’Abonné ou au secteur d’activité de l’Abonné qui ne sont pas applicables à l’Abonnement, telles que celles qui ne sont pas généralement applicables aux fournisseurs de services en ligne.
3. Traitement des Données à Caractère Personnel de l’Abonné
3.1 iCIMS et l’ensemble des Affiliés d’iCIMS s’engagent à :
3.1.1 se conformer aux Lois sur la Protection des Données et de la Vie Privée dans le Traitement des Données à Caractère Personnel de l’Abonné ;
3.1.2 ne pas : (i) Vendre les Données à Caractère Personnel de l’Abonné ; (ii) conserver, utiliser ni divulguer les Données à Caractère Personnel de l’Abonné à des fins commerciales autres que la fourniture de l’Abonnement et des services connexes aux termes du Contrat d’Abonnement ; et (iii) conserver, utiliser ni divulguer les Données à Caractère Personnel de l’Abonné en dehors de la relation d’affaires directe entre iCIMS et l’Abonné ;
3.1.3 ne Traiter les Données à Caractère Personnel de l’Abonné que sur les instructions documentées du Membre du Groupe de l’Abonné concerné, aux fins suivantes :
3.1.3.1 Traitement conformément au Contrat d’Abonnement et au(x) Bon(s) de Commande applicable(s) ;
3.1.3.2 Traitement initié par les Candidats et les Utilisateurs dans le cadre de leur utilisation de l’Abonnement ; et
3.1.3.3 Traitement visant à rendre les Données à Caractère Personnel de l’Abonné anonymes, dépersonnalisées et non personnelles ;
3.1.3.4 Traitement pour se conformer à d’autres instructions raisonnables documentées fournies par l’Abonné (par exemple, par courriel) ;
lorsque ces instructions sont compatibles avec les conditions du Contrat d’Abonnement, à moins que le Traitement ne soit exigé par les Lois sur la Protection des Données et de la Vie Privée auxquelles le Sous-Traitant sous Contrat concerné est soumis, auquel cas iCIMS, ou l’Affilié d’iCIMS concerné, doit, dans la mesure où les Lois sur la Protection des Données et de la Vie Privée le permettent, informer le Membre du Groupe de l’Abonné concerné de cette obligation légale avant ledit Traitement des Données à Caractère Personnel de l’Abonné. Pour éviter toute ambiguïté, une instruction, une approbation, une demande ou une action similaire donnée via l’Abonnement, y compris la
configuration par l’Abonné de tous les paramètres ou options de l’Abonnement (que l’Abonné peut être en mesure de modifier à tout moment), est considérée comme une instruction de Traitement de l’Abonné. Les parties conviennent qu’aux fins des Clauses Contractuelles Types, le Traitement des Données à Caractère Personnel de l’Abonné par iCIMS est réputé conforme aux instructions de l’Abonné s’il est expressément autorisé par le Contrat d’Abonnement ; et
3.1.4 informer immédiatement l’Abonné si, à son avis, une instruction de l’Abonné enfreint les Lois sur la Protection des Données et de la Vie Privée.
3.2 Chaque Membre du Groupe de l’Abonné :
3.2.1.1 Traiter les Données à Caractère Personnel de l’Abonné ; et
3.2.1.2 en particulier, transférer les Données à Caractère Personnel de l’Abonné vers tout pays ou territoire autorisé par l’Abonné, ce qui, pour éviter toute ambiguïté, inclut (i) le(s) lieu(x) du (des) centre(s) de données d’iCIMS identifié(s) dans le présent Addendum et/ou le Contrat d’Abonnement et le(s) Bon(s) de Commande applicable(s), et (ii) les lieux de Traitement par les Sous-Traitants Ultérieurs identifiés dans le présent Addendum et/ou les Clauses Contractuelles Types,
dans la mesure où cela est raisonnablement nécessaire pour la fourniture de l’Abonnement et compatible avec le Contrat d’Abonnement ; et
3.2.2 garantit et déclare qu’il est et restera à tout moment dûment et effectivement autorisé à donner l’instruction décrite à l’Article 3.2.1 pour le compte de chaque Affilié de l’Abonné concerné.
3.3 L’Annexe 1 du présent Addendum présente certaines informations concernant le Traitement des Données à Caractère Personnel de l’Abonné par les Sous-traitants sous Contrat, comme l’exige l’article 28 (3) du RGPD (et, éventuellement, les obligations équivalentes des autres Lois sur la Protection des Données et de la Vie Privée). En soi, rien dans l’Annexe 1 ne confère de droit supplémentaire ni n’impose d’obligation supplémentaire à une partie au présent Addendum.
4. Personnel d’iCIMS et des Affiliés d’iCIMS
iCIMS et l’ensemble des Affiliés d’iCIMS prendront des mesures raisonnables pour s’assurer de la fiabilité de tout employé, agent ou contractant d’un Sous-Traitant sous Contrat qui pourrait avoir accès aux Données à Caractère Personnel de l’Abonné, en s’assurant dans chaque cas que l’accès est strictement limité aux personnes qui ont besoin de connaître/accéder aux Données à Caractère Personnel de l’Abonné concernées, comme strictement nécessaire aux fins du Contrat d’Abonnement, et pour se conformer aux Lois sur la Protection des Données et de la Vie Privée dans le contexte des devoirs de cette personne envers le Sous-Traitant sous Contrat, en s’assurant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations professionnelles ou statutaires en termes de confidentialité.
5. Sécurité
5.1 En tenant compte de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des
finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des
personnes physiques, iCIMS et l’ensemble des Affiliés d’iCIMS mettront en œuvre, en ce qui concerne les Données à Caractère Personnel de l’Abonné, des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l’article 32 (1) du RGPD ou par ailleurs contenues dans les Lois sur la Protection des Données et de la Vie Privée et les mesures énoncées dans l’Addendum sur la Sécurité des Données de l’Abonné joint en Annexe 2. iCIMS peut mettre à jour l’Annexe 2 à tout moment comme prévu par le Contrat d’Abonnement, à condition toutefois qu’iCIMS n’apporte pas de modifications à l’Annexe 2 qui diminuent substantiellement la protection des Données de l’Abonné qui y est prévue.
5.2 Lors de l’évaluation du niveau de sécurité approprié, iCIMS et l’ensemble des Affiliés d’iCIMS tiendront particulièrement compte des risques que présente le Traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de Données à Caractère Personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
6. Sous-traitance des activités de Traitement
6.1 Chaque Membre du Groupe de l’Abonné autorise iCIMS et l’ensemble des Affiliés d’iCIMS à nommer (et à permettre à chaque Sous-Traitant Ultérieur nommé conformément au présent Article 6 de nommer) des Sous- Traitants Ultérieurs dans le respect du présent Article 6 et de toute restriction du Contrat d’Abonnement.
6.2 iCIMS et l’ensemble des Affiliés d’iCIMS peuvent continuer à avoir recours aux Sous-Traitants Ultérieurs déjà recrutés par iCIMS ou tout Affilié d’iCIMS à la date du présent Addendum, sous réserve qu’iCIMS et l’ensemble des Affiliés d’iCIMS satisfassent dès que possible aux obligations énoncées à l’Article 6.4. La liste des Sous-Traitants Ultérieurs utilisés pour fournir l’Abonnement ainsi que leur pays ou lieu de Traitement est disponible à l’adresse xxxxx://xxxxx.xxxx/XXXX-xxxxxxxxxxxxx. iCIMS fournit un mécanisme disponible à l’adresse xxxxx://xxx.xxxxx.xxx/xx qui permet à l’Abonné de s’inscrire afin de recevoir une notification par courriel lorsque iCIMS a l’intention d’ajouter ou de remplacer un Sous-Traitant Ultérieur, et si l’Abonné s’inscrit, iCIMS lui enverra une notification l’avisant de ces changements.
6.3 L’Abonné peut s’opposer aux changements de Sous-Traitant Ultérieur proposés par iCIMS en informant iCIMS dans les trente (30) jours suivant la notification d’iCIMS aux termes du mécanisme énoncé à l’Article 6.2 (la « Période d’Opposition ») si l’Abonné détermine raisonnablement que ce Sous-Traitant Ultérieur est incapable de Traiter les Données à Caractère Personnel de l’Abonné conformément aux conditions du présent Addendum. Si iCIMS reçoit une notification d’opposition au Sous-Traitant Ultérieur de la part de l’Abonné au cours de la Période d’Opposition :
6.3.1 iCIMS travaillera avec l’Abonné de bonne foi pour permettre une modification raisonnable de la fourniture de l’Abonnement ou recommander une modification raisonnable à la configuration ou à l’utilisation de l’Abonnement par l’Abonné qui évite le recours au Sous-Traitant Ultérieur proposé ; et
si une telle modification ne peut être effectuée dans les trente (30) jours suivant la réception par iCIMS de la notification d’opposition de l’Abonné, nonobstant toute clause du Contrat d’Abonnement, l’Abonné peut, par notification écrite à iCIMS, avec effet immédiat, résilier le(s) Bon(s) de Commande applicable(s) uniquement en ce qui concerne les Abonnements (par exemple, une offre de produit, un portail, un module, un article) qui ne peuvent pas être fournis par iCIMS sans le recours au nouveau Sous-Traitant Ultérieur faisant l’objet de l’opposition (la « Partie du Service Résilié »). iCIMS remboursera à l’Abonné tous les frais payés d’avance couvrant le reste de la période d’Abonnement pour la Partie du Service Résilié après la date effective de résiliation pour cette Partie du Service Résilié, sans imposer de pénalité à l’Abonné pour cette résiliation.
6.4 En ce qui concerne tout Sous-Traitant Ultérieur, iCIMS ou l’Affilié d’iCIMS concerné s’engage :
6.4.1 avant que le Sous-Traitant Ultérieur ne Traite pour la première fois les Données à Caractère Personnel de l’Abonné (ou, le cas échéant, conformément à l’Article 6.2), à effectuer un contrôle préalable pour s’assurer que le Sous-Traitant Ultérieur est capable de fournir le niveau de protection des Données à Caractère Personnel de l’Abonné requis par le Contrat d’Abonnement ;
6.4.2 à s’assurer que l’accord entre, d’une part, (a) iCIMS, ou (b) l’Affilié iCIMS concerné, ou (c) le Sous- Traitant Ultérieur intermédiaire concerné ; et d’autre part, le Sous-Traitant Ultérieur, est régi par un contrat écrit comprenant des conditions qui offrent au moins le même niveau de protection des Données à Caractère Personnel de l’Abonné que ceux énoncés dans le présent Addendum et répondent aux exigences des Xxxx sur la Protection des Données et de la Vie Privée, qui incluent, mais ne sont pas limitées à, l’Article 28 (3) du RGPD ; et
6.5 iCIMS sera responsable des actes et omissions de ses Sous-Traitants Ultérieurs dans la mesure où iCIMS serait responsable si elle exécutait les services de tout Sous-Traitant Ultérieur directement selon les termes du présent Addendum.
6.6 Les parties conviennent que toute copie d’un contrat de Sous-Traitant Ultérieur qu’iCIMS doit fournir à l’Abonné aux termes des Clauses Contractuelles Types peut avoir toutes les informations commerciales, exclusives et confidentielles, ainsi que les clauses sans rapport avec le présent Addendum et les Clauses Contractuelles Types, supprimées ou rédigées par iCIMS au préalable ; et, que cette copie sera fournie par iCIMS, d’une manière mutuellement convenue par les parties, uniquement sur demande de l’Abonné.
7. Droits de la Personne Concernée
7.1 En tenant compte de la nature du Traitement et des informations dont dispose iCIMS en tant que Sous-Traitant, iCIMS et l’ensemble des Affiliés d’iCIMS assisteront chaque Membre du Groupe de l’Abonné en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’accomplissement des obligations des Membre du Groupe de l’Abonné de répondre aux demandes d’exercice des droits de la Personne Concernée en vertu des Xxxx sur la Protection des Données et de la Vie Privée. Dans la mesure où la loi le permet, l’Abonné sera responsable de tous les coûts découlant de la fourniture par iCIMS d’une telle assistance qui dépasse la portée de ces mesures techniques et organisationnelles et de l’assistance standard fournie par iCIMS dans le cours normal des affaires.
7.2 iCIMS, à son choix et si nécessaire pour permettre à l’Abonné de respecter ses obligations en vertu des Lois sur la Protection des Données et de la Vie Privée, soit (i) fournira à l’Abonné la possibilité, dans le cadre de l’Abonnement, de corriger ou de supprimer les Données à Caractère Personnel de l’Abonné ou de restreindre leur Traitement ; soit (ii) effectuera ces corrections, suppressions ou restrictions au nom de l’Abonné si cette fonctionnalité n’est pas disponible dans le cadre de l’Abonnement. Dans la mesure où les Données à Caractère Personnel de l’Abonné d’une Personne Concernée ne sont pas accessibles à l’Abonné par le biais de l’Abonnement, iCIMS fournira, si nécessaire pour permettre à l’Abonné de respecter ses obligations en vertu des Lois sur la Protection des Données et de la Vie Privée, une assistance raisonnable pour rendre ces Données à Caractère Personnel accessibles à l’Abonné.
7.3 Pendant la durée du Contrat d’Abonnement, l’Abonné peut extraire les Données à Caractère Personnel de l’Abonné de l’Abonnement conformément à la Documentation et aux clauses pertinentes du Contrat d’Abonnement, y compris pour que l’Abonné puisse fournir les Données à Caractère Personnel à une Personne Concernée qui fait une Demande de la Personne Concernée (telle que définie ci-dessous) pour ces Données à Caractère Personnel.
7.4 Pour éviter toute ambiguïté, l’Abonné est tenu de répondre et de se conformer à la demande d’une Personne Concernée visant à exercer ses droits en vertu des Lois sur la Protection des Données et de la Vie Privée concernant ses Données à Caractère Personnel dans l’Abonnement (« Demande de la Personne Concernée »). L’Abonnement comprend des contrôles que l’Abonné peut utiliser pour répondre à une Demande de la Personne Concernée. Si l’Abonné n’est pas en mesure d’utiliser les contrôles de l’Abonnement pour répondre à la Demande de la Personne Concernée, iCIMS coopérera raisonnablement avec l’Abonné pour lui permettre de répondre à la Demande de la Personne Concernée. Si iCIMS reçoit directement une Demande de la Personne Concernée en dehors de l’Abonnement qui nomme spécifiquement l’Abonné, iCIMS redirigera rapidement la Personne Concernée pour qu’elle soumette sa demande à l’Abonné, notifiera rapidement l’Abonné de cette demande et ne répondra pas autrement à cette demande, sauf autorisation expresse de l’Abonné.
8. Violation de Données à Caractère Personnel
8.1 Conformément aux politiques et procédures documentées d’iCIMS en matière de réponse aux incidents, iCIMS notifiera l’Abonné sans retard excessif et, en tout état de cause, dans les 24 heures suivant la prise de connaissance par iCIMS d’une Violation de Données à Caractère Personnel affectant les Données à Caractère Personnel de l’Abonné, en fournissant à l’Abonné au moins les informations suivantes (dans la mesure où ces informations sont connues ou disponibles pour iCIMS) : (i) une description de la nature de la Violation de Données à Caractère Personnel, les catégories et le nombre approximatif de Personnes Concernées et de dossiers de Données à Caractère Personnel concernés, (ii) le nom et les coordonnées d’un contact chez iCIMS pour obtenir des informations supplémentaires, (iii) une description des conséquences probables de la Violation de Données à Caractère Personnel, et (iv) une description des mesures prises ou proposées pour remédier à la Violation de Données à Caractère Personnel ou en atténuer les effets. Lorsqu’il n’est pas possible de fournir ces informations en même temps, les informations peuvent être fournies par étapes sans retard excessif. iCIMS prendra rapidement toutes les mesures et actions qui sont raisonnablement nécessaires pour remédier ou atténuer les effets de la Violation de Données à Caractère Personnel et tiendra l’Abonné informé de tous les développements liés à la Violation de Données à Caractère Personnel pour permettre à l’Abonné et à chaque Membre du Groupe de l’Abonné de satisfaire à toute obligation de signaler ou d’informer les Personnes Concernées par la Violation de Données à Caractère Personnel en vertu des Lois sur la Protection des Données et de la Vie Privée.
8.2 iCIMS coopérera avec l’Abonné et chaque Membre du Groupe de l’Abonné et prendra les mesures raisonnables demandées par l’Abonné pour aider à l’enquête, à l’atténuation et à la réparation de toute Violation de Données à Caractère Personnel.
8.3 L’Abonné doit informer iCIMS rapidement après avoir pris connaissance de toute utilisation abusive des comptes ou des identifiants d’authentification de l’Abonné ou de toute Violation de Données à Caractère Personnel liée à l’Abonnement.
8.4 Ni la notification ni la réponse d’une partie à une Violation de Données à Caractère Personnel en vertu du présent Article 8 ne constituent une reconnaissance par cette partie d’une quelconque faute ou responsabilité concernant la Violation de Données à Caractère Personnel.
9. Analyse d’Impact relative à la Protection des Donnés et Consultation Préalable
iCIMS et l’ensemble des Affiliés d’iCIMS doivent, dans la mesure où l’Abonné n’a pas accès aux informations pertinentes autrement, et dans la mesure où iCIMS y a accès, fournir une assistance raisonnable à tout Membre du Groupe de l’Abonné pour toute évaluation d’impact sur la protection des données ou évaluation similaire (par exemple, l’évaluation de l’impact sur la vie privée), et les consultations préalables avec les Autorités de Contrôle ou autres autorités compétentes en matière de confidentialité des données, que l’Abonné considère raisonnablement comme étant exigées de tout Membre du Groupe de l’Abonné par l’article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre Loi sur la Protection des Données et de la Vie Privée, dans chaque cas uniquement en relation avec le Traitement des Données à Caractère Personnel de l’Abonné par, et en tenant compte de la nature du Traitement et des informations dont disposent les Sous-Traitants sous Contrat. Dans la mesure où la loi le permet, l’Abonné sera responsable de tous les coûts découlant de la fourniture par iCIMS d’une telle assistance qui dépasse le cadre de l’assistance standard fournie par iCIMS dans le cours normal des affaires.
10. Suppression ou Restitution des Données à Caractère Personnel de l’Abonné
10.1 Sous réserve des articles 10.2 et 10.3, iCIMS et l’ensemble des Affiliés d’iCIMS doivent rapidement, et en tout état de cause dans les trente (30) jours suivant la demande écrite de l’Abonné ou la date de fin de tout Abonnement impliquant le Traitement de Données à Caractère Personnel de l’Abonné (la « Date de Fin »), supprimer et faire supprimer toutes les copies des Données à Caractère Personnel de l’Abonné, conformément aux politiques et procédures documentées d’iCIMS en matière de stockage et de conservation des données.
10.2 Sous réserve de l’Article 10.3, l’Abonné peut, à sa discrétion absolue, par une notification écrite à iCIMS et dans les dix (10) jours suivant la Date de Fin, demander qu’xXXXX et l’ensemble des Affiliés d’iCIMS lui renvoient une copie complète de toutes les Données à Caractère Personnel de l’Abonné dans un format et selon une méthode prévus dans le Contrat d’Abonnement.
10.4 Après la Date de Fin, sur demande écrite de l’Abonné, iCIMS fournira une attestation écrite, dans les trente (30) jours suivant la réception de la demande, confirmant qu’il a supprimé et/ou retourné toutes les copies des Données à Caractère Personnel de l’Abonné régies par les Lois sur la Protection des Données et de la Vie Privée, conformément aux politiques et procédures documentées d’iCIMS en matière de stockage et de conservation des données. Les parties conviennent qu’aux fins des Clauses Contractuelles Types, iCIMS est tenu de fournir une certification de suppression des Données à Caractère Personnel de l’Abonné uniquement sur demande écrite de l’Abonné.
11. Assistance
xXXXX n’entreprendra aucune tâche qui, selon les Lois sur la Protection des Données et de la Vie Privée, doit être effectuée par l’Abonné, en sa qualité de Responsable du Traitement des Données.
12. Droits d’Audit
12.1 Si une Autorité de Contrôle exige un audit des installations à partir desquelles iCIMS Traite les Données à Caractère Personnel de l’Abonné afin de vérifier ou de contrôler le respect par l’Abonné des Lois sur la Protection des Données et de la Vie Privée, iCIMS coopérera raisonnablement à cet audit. L’Abonné est responsable de tous les coûts et frais liés à cet audit, y compris tous les coûts et frais raisonnables pour tout le temps que iCIMS consacre à cet audit, en plus des tarifs pour les services rendus par iCIMS.
12.2 L’Abonné convient que le rapport d’audit SOC2 d’iCIMS alors en vigueur (ou les rapports comparables de remplacement conformes aux normes de l’industrie) et/ou les certifications XXX 00000 et 27701 d’iCIMS (collectivement, les « Rapports d’Audit ») seront utilisés pour satisfaire à tout droit ou demande d’audit ou d’inspection par ou au nom de l’Abonné, et iCIMS mettra ces Rapports d’Audit à la disposition de l’Abonné sur demande écrite. Si ces Rapports d’Audit ne fournissent pas suffisamment d’informations pour que l’Abonné puisse s’assurer du respect par iCIMS des Lois sur la Protection des Données et de la Vie Privée, iCIMS mettra à la disposition de l’Abonné les informations en sa possession ou sous son contrôle que l’Abonné peut raisonnablement demander en vue de démontrer son respect des obligations des Responsables du Traitement des Données au titre des Lois sur la Protection des Données et de la Vie Privée en ce qui concerne son Traitement des Données à Caractère Personnel de l’Abonné. L’Abonné doit rapidement communiquer à iCIMS les informations concernant toute non-conformité découverte au cours d’un audit. Les parties conviennent que les audits décrits dans les Clauses Contractuelles Types seront réalisés conformément aux spécifications énoncées aux Articles 12.1 et 12.2.
13. Transferts Restreints
Les parties conviennent que les Transferts Restreints seront régis par les Clauses Contractuelles Types, qui sont incorporées et soumises au présent Addendum par renvoi.
14. Certification des Obligations
iCIMS certifie par la présente qu’il comprend ses obligations au titre du présent Addendum et qu’il s’y conformera.
15. Clauses Générales
15.1 Droit applicable et juridiction. Les parties au présent Addendum conviennent du droit applicable et se soumettent au choix de la juridiction stipulé dans le Contrat d’Abonnement en ce qui concerne tout litige ou tout différend, de quelque nature que ce soit, découlant du présent Addendum, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité. Si les Clauses Contractuelles Types sont applicables entre les parties, alors le présent Addendum sera régi par les lois de la juridiction stipulée à cette fin dans les Clauses Contractuelles Types.
15.2 Hiérarchie des normes. Rien dans le présent Addendum ne réduit les obligations d’iCIMS ou de tout Affilié d’iCIMS au titre du Contrat d’Abonnement en ce qui concerne la protection des Données à Caractère Personnel ou ne permet à iCIMS ou à tout Affilié d’iCIMS de Traiter (ou d’autoriser le Traitement) des Données à Caractère Personnel d’une manière qui est interdite par le Contrat d’Abonnement. En cas de conflit ou d’incohérence entre le présent Addendum et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront, sauf en ce qui concerne les clauses du présent Addendum qui clarifient expressément une clause spécifique des Clauses Contractuelles Types. En outre, sous réserve de l’Article 15.1 et des stipulations précédentes du présent Article 15.2, en ce qui concerne l’objet du présent Addendum, en cas de conflit ou d’incohérence entre les stipulations du présent Addendum et tout autre accord entre les parties, y compris le Contrat d’Abonnement et y compris (sauf accord contraire explicite par écrit, signé au nom des parties) les accords conclus ou censés être conclus après la date du présent Addendum, les stipulations du présent Addendum prévaudront. Les parties aux présentes
conviennent que le présent Addendum modifie et remplace tout autre avenant ou addendum relatif au Traitement des Données à Caractère Personnel de l’Abonné conclu par les parties.
15.3 Droits des Tiers Bénéficiaires. Sauf si les Lois sur la Protection des Données et de la Vie Privée l’exigent et/ou si les Clauses Contractuelles Types le prévoient explicitement, le présent Addendum et les Clauses Contractuelles Types ne créent aucun droit de tiers bénéficiaire pour les Personnes Concernées.
15.4 Modifications des Lois sur la Protection des Données et de la Vie Privée. En cas de modification, de substitution ou d’abrogation des Lois sur la Protection des Données et de la Vie Privée, les parties négocieront de bonne foi, si nécessaire, une solution permettant d’effectuer le Traitement des Données à Caractère Personnel de l’Abonné conformément aux Lois sur la Protection des Données et de la Vie Privée.
15.5 Divisibilité. Si l’une des stipulations du présent Addendum s’avérait nulle ou inapplicable, le reste du présent Addendum resterait valide et en vigueur. La stipulation nulle ou inapplicable sera soit (i) modifiée dans la mesure nécessaire pour assurer sa validité et son applicabilité, tout en préservant au mieux les intentions des parties, soit, si cela n’est pas possible, (ii) interprétée comme si la partie nulle ou inapplicable n’y avait jamais été contenue.
APPENDICE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES A CARACTÈRE PERSONNEL DE L’ABONNÉ
Le présent Appendice 1 comprend certains détails du Traitement des Données à Caractère Personnel de l’Abonné.
Objet et durée du Traitement des Données à Caractère Personnel de l’Abonné
L’objet et la durée du Traitement des Données à Caractère Personnel de l’Abonné sont définis dans le Contrat d’Abonnement et le présent Addendum.
Nature et finalité du Traitement des Données à Caractère Personnel de l’Abonné
Les Données à Caractère Personnel de l’Abonné seront traitées conformément au Contrat d’Abonnement afin de permettre aux Membres du Groupe de l’Abonné d’utiliser l’Abonnement.
Types de Données à Caractère Personnel de l’Abonné à Traiter
Les Données à Caractère Personnel relatives aux Candidats et Utilisateurs de l’Abonné qui sont transférées à iCIMS via l’Abonnement.
Catégories de Personnes Concernées par les Données à Caractère Personnel de l’Abonné
Les Personnes Concernées incluent les Candidats et les Utilisateurs de l’Abonné, tels que ces termes sont définis dans le Contrat d’Abonnement. L’Abonné peut soumettre à l’Abonnement des catégories spéciales de Données à Caractère Personnel, dont l’étendue est déterminée et contrôlée par l’Abonné à sa seule discrétion. Le cas échéant, l’Abonné convient qu’il a examiné et évalué les restrictions et les garanties appliquées aux catégories spéciales de Données à Caractère Personnel, y compris les mesures décrites à l’Annexe II des Clauses Contractuelles Types, et a déterminé que ces restrictions et garanties sont suffisantes.
Droits et obligations de l’Abonné et des Affiliés de l’Abonné
Les obligations et les droits de l’Abonné et des Affiliés de l’Abonné sont énoncés dans le Contrat d’Abonnement et le présent Addendum.
APPENDICE 2 : ADDENDUM SUR LA SÉCURITÉ DES DONNÉES DE L’ABONNÉ
Les mesures techniques et organisationnelles prises par iCIMS pour protéger les Données de l’Abonné traitées dans le cadre du Contrat d’Abonnement, y compris les Données à Caractère Personnel de l’Abonné, sont énoncées dans l’Addendum sur la Sécurité des Données de l’Abonné qui peut être consulté à l’adresse xxxxx://xxx.xxxxx.xxx/xx.
APPENDICE 3 : CLAUSES CONTRACTUELLES TYPES
CLAUSES CONTRACTUELLES TYPES
Du Responsable du Traitement au Sous-Traitant
SECTION I
Clause 1
Finalités et champ d’application
(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) pour le transfert de données vers un pays tiers.
(b) Les Parties :
(i) la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après l’/les « entité(s) ») qui transfèrent les données à caractère personnel, mentionnés à l’Annexe I.A. (ci-après l’« exportateur de données »), et
(ii) l’/les entité(s) d’un pays tiers qui reçoit/reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes Clauses, mentionnées à l’Annexe I.A. (ci-après l’« importateur de données »)
Sont convenues des présentes clauses contractuelles types (ci-après les « Clauses »).
(c) Les présentes Clauses s’appliquent au transfert de données à caractère personnel précisé à l’Annexe I.B.
(d) L’Appendice aux présentes Clauses, qui contient les Annexes qui y sont mentionnées, fait partie intégrante des présentes Clauses.
Clause 2
Xxxxx et invariabilité des Clauses
(a) Les présentes Clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’Article 46, paragraphe 1, et de l’Article 46, paragraphe 2, point c), du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’Article 28, paragraphe 7, du Règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le/les Module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l’Appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types prévues dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes Clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
(b) Les présentes Clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du Règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires
(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
(i) Clause 1, Xxxxxx 2, Xxxxxx 3, Xxxxxx 6, Xxxxxx 7 ;
(ii) Clause 8 - Module Un : Clause 8.5 (e) et Clause 8.9 (b) ; Module Deux : Clause 8.1 (b), 8.9 (a), (c), (d) et (e) ; Module Trois : Xxxxxx 0.0 (x), (x) xx (x) xx Xxxxxx 0.0 (x), (x), (x), (x), (x) et (g) ; Module Quatre : Clause 8.1
(b) et Clause 8.3 (b) ;
(iii) Clause 9 - Module Deux : Clause 9 (a), (c), (d) et (e) ; Module Trois : Clause 9 (a), (c), (d) et (e) ;
(iv) Clause 12 - Module Un : Clause 12 (a) et (d) ; Xxxxxxx Deux et Trois : Clause 12 (a), (d) et (f) ;
(v) Clause 13 ;
(vi) Clause 15.1 (c), (d) et (e) ;
(vii) Clause 16 (e) ;
(viii) Clause 18 - Modules Un, Deux et Trois : Clause 18 (a) et (b) ; Module Quatre : Clause 18.
(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du Règlement (UE) 2016/679.
Clause 4
Interprétation
(a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit Règlement.
(b) Les présentes Clauses sont lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le Règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties existant au moment où les présentes Clauses sont convenues, ou souscrites par la suite, les présentes Clauses prévalent.
Clause 6
Description du/des transfert(s)
Les détails du/des transfert(s), en particulier les catégories de données à caractère personnel qui sont transférées et la/les finalité(s) pour lesquelles elles le sont, sont précisés à l’Annexe I.B.
Clause 7
Clause d’adhésion
(a) Une entité qui n’est pas Partie aux présentes Clauses peut, avec l’accord des Parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’Appendice et en signant l’Annexe I.A.
(b) Une fois l’Appendice rempli et l’Annexe I.A. signée, l’entité adhérente devient Partie aux présentes Clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’Annexe I.A.
(c) L’entité adhérente n’a aucun droit ni aucune obligation découlant des présentes Clauses pour la période antérieure à son adhésion à celles-ci en tant que Partie.
SECTION II - OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes Clauses.
8.1 Instructions
(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.
8.2 Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la (les) finalité(s) spécifique(s) du transfert, telles que précisées à l’Annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, notamment de l’Appendice tel que rempli par les Parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’Xxxxxx XX et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’Appendice aux présentes Clauses avant d’en communiquer une copie, mais fournit un résumé utile s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les Parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette Clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.
8.4 Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’Annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes Clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes Clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la Clause 14, en particulier de l’obligation imposée à l’importateur de données par la Clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la Clause 14, paragraphe a).
8.6 Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la/des finalité(s) du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les Parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre
les mesures techniques et organisationnelles précisées à l’Annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes Clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du Règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.
8.7 Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’Annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur
»), que si le tiers est lié par les présentes Clauses ou accepte de l’être, en vertu du Module approprié, ou si :
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’Article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux Articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes Clauses, en particulier de la limitation des finalités.
8.9 Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes Clauses.
(b) Les parties sont en mesure de démontrer le respect des présentes Clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.
(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes Clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes Clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.
Clause 9
Recours à des sous-traitants ultérieurs
(a) AUTORISATION ÉCRITE GÉNÉRALE L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 30 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du/des sous-traitant(s) ultérieur(s). L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.
(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes Clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. Les parties conviennent qu’en respectant la présente Xxxxxx, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la Clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes Clauses.
(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
Clause 10
Droits des personnes concernées
(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.
(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties indiquent à l’Annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11
Voies de recours
(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
(b) En cas de litige entre une personne concernée et l’une des Parties portant sur le respect des présentes Clauses, cette Partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les Parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la Clause 3, l’importateur de données accepte la décision de la personne concernée :
(i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la Clause 13 ;
(ii) de renvoyer le litige devant les juridictions compétentes au sens de la Clause 18.
(d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’Article 80, paragraphe 1, du Règlement (UE) 2016/679.
(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union européenne ou d’un État membre.
(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12
Responsabilité
(a) Chaque Partie est responsable envers la ou les autres Parties de tout dommage qu’elle cause à l’autre ou aux autres Parties du fait d’un manquement aux présentes Clauses.
(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes Clauses.
(c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes Clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.
(d) Les Parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
(e) Lorsque plusieurs Parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes Clauses, toutes les Parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces Parties.
(f) Les Parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle- ci a le droit de réclamer auprès de l’autre ou des autres Parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.
Clause 13
Contrôle
(a) Si l’exportateur de données est établi dans un État membre de l’Union européenne : L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’Annexe I.C, agit en qualité d’autorité de contrôle compétente.
Si l’exportateur de données n’est pas établi dans un État membre de l’Union européenne, mais relève du champ d’application territorial du Règlement (UE) 2016/679 en vertu de son Article 3, paragraphe 2, et a désigné un représentant en vertu de l’Article 27, paragraphe 1, dudit Règlement : L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’Article 27, paragraphe 1, du Règlement (UE) 2016/679 est établi, telle qu’indiquée à l’Annexe I.C, agit en qualité d’autorité de contrôle compétente.
Si l’exportateur de données n’est pas établi dans un État membre de l’Union européenne, mais relève du champ d’application territorial du Règlement (UE) 2016/679 en vertu de son Article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’Article 27, paragraphe 2, du Règlement (UE) 2016/679 : L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes Clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’Annexe I.C, agit en qualité d’autorité compétente.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes Clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III - LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des Clauses
(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes Clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’Article 23, paragraphe 1, du Règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes Clauses.
(b) Les Parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :
(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère
personnel transférées ; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées ;
(ii) des législations et des pratiques du pays tiers de destination (notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données) pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;
(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes Clauses.
(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
(e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).
(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes Clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes Clauses. Si le contrat concerne plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente Xxxxxx, la Clause 16, paragraphes d) et e), s’applique.
Clause 15
Obligations de l’importateur de données en cas d’accès par les autorités publiques
15.1 Notification
(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :
(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes Clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes Clauses en vertu de la législation du pays de destination ; cette notification comprend toutes les informations dont l’importateur de données dispose.
(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, l’/les autorité(s) requérante(s), la contestation ou non des demandes et l’issue de ces contestations, etc.).
(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la Clause 14, paragraphe e), et de la Clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes Clauses.
15.2 Contrôle de la légalité et minimisation des données
(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien- fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la Clause 14, paragraphe e).
(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV - DISPOSITIONS FINALES
Clause 16
Non-respect des Xxxxxxx et résiliation
(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes Clauses, quelle qu’en soit la raison.
(b) Dans le cas où l’importateur de données enfreint les présentes Clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes Clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14, paragraphe f).
(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes Clauses, lorsque :
(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes Clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes Clauses ; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes Clauses.
Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en soient convenues autrement.
(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes Clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes Clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
(e) Chaque partie peut révoquer son consentement à être liée par les présentes Clauses i) si la Commission européenne adopte une décision en vertu de l’Article 45, paragraphe 3, du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes Clauses s’appliquent ; ou ii) si le Règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du Règlement (UE) 2016/679.
Clause 17
Droit applicable
Les présentes Clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits. Les Parties conviennent qu’il s’agit du droit irlandais.
Clause 18
Élection de for et juridiction
(a) Tout litige survenant du fait des présentes Clauses est tranché par les juridictions d’un État membre de l’Union européenne.
(b) Les Parties conviennent qu’il s’agit des juridictions d’Irlande.
(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les Parties acceptent de se soumettre à la compétence de ces juridictions.
ANNEXE I AUX CLAUSES CONTRACTUELLES TYPES
A. LISTE DES PARTIES
Exportateur(s) de données : [Identité et coordonnées de l’/des exportateur(s) de données et, le cas échéant, de leur(s) délégué(s) à la protection des données et/ou de leur représentant dans l’Union européenne]
Nom : L’entité identifiée comme Abonné dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s), selon le cas.
Adresse : L’adresse de l’Abonné indiquée dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s), selon le cas.
Nom, fonction et coordonnées de la personne de contact : Le nom, la fonction et les coordonnées de la personne de contact de l’Abonné spécifiés dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de commande applicable(s), selon le cas.
Activités en rapport avec les données transférées au titre des présentes Clauses :
L’abonnement de l’exportateur de données aux produits iCIMS Talent Cloud identifié dans le Contrat d’Abonnement.
Signature et date : La signature et la date figurant dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s) seront considérées comme la signature et la date applicables ici.
Rôle (responsable du traitement/sous-traitant) : Responsable du Traitement
Importateur(s) de données : [Identité et coordonnées de l’/des importateur(s) de données, y compris toute personne de contact responsable de la protection des données]
Nom : L’entité identifiée comme iCIMS dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s), selon le cas.
Adresse : Bell Works, 000 Xxxxxxxxx Xxxxxx Xxxx, Xxxxx 0-000, Xxxxxxx, XX 00000
Nom, fonction et coordonnées de la personne de contact : Le nom, la fonction et les coordonnées de la personne de contact d’iCIMS spécifiés dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s), selon le cas.
Activités en rapport avec les données transférées au titre des présentes Clauses :
Fourniture par l’importateur de données des produits iCIMS Talent Cloud qui Traitent des Données à Caractère Personnel, lorsque ces données sont des Données d’Abonné (au sens du Contrat d’Abonnement), sur instruction de l’exportateur de données conformément aux termes du Contrat d’Abonnement et de l’Addendum.
Signature et date : La signature et la date figurant dans l’Addendum, le Contrat d’Abonnement et/ou le(s) Bon(s) de Commande applicable(s) seront considérées comme la signature et la date applicables ici.
Rôle (responsable du traitement/sous-traitant) : Sous-Traitant
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
Les personnes concernées comprennent les Candidats et les Utilisateurs de l’exportateur de données, tels que ces termes sont définis à l’Article 1 du Contrat d’Abonnement.
Catégories de données à caractère personnel transférées
Les Données à Caractère Personnel relatives aux Candidats et Utilisateurs de l’exportateur de données qui sont transférées à iCIMS via l’Abonnement.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.
L’exportateur de données peut soumettre des catégories spéciales de données à l’Abonnement, dont l’étendue est déterminée et contrôlée par l’exportateur de données à sa seule discrétion. Le cas échéant, l’exportateur de données convient qu’il a examiné et évalué les restrictions et les garanties appliquées aux catégories spéciales de Données à Caractère Personnel, y compris les mesures décrites à l’Xxxxxx XX, et qu’il a déterminé que ces restrictions et garanties sont suffisantes.
Fréquence du transfert (par exemple, si les données sont transférées sur une base ponctuelle ou continue).
L’exportateur de données transfère des données à caractère personnel à iCIMS via l’Abonnement sur une base continue, conformément à la fréquence d’utilisation de l’Abonnement par les Candidats et Utilisateurs de l’exportateur de données.
Nature du traitement
Les Données à Caractère Personnel de l’Abonné seront traitées par l’importateur de données pour fournir l’Abonnement à l’exportateur de données conformément au Contrat d’Abonnement.
Finalité(s) du transfert et du traitement ultérieur des données
Les Données à Caractère Personnel de l’Abonné seront transférées et traitées ultérieurement afin de permettre à l’exportateur de données d’utiliser l’Abonnement conformément au Contrat d’Abonnement.
Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée
Les Données à Caractère Personnel de l’Abonné sont conservées conformément aux éventuelles périodes de conservation configurées par l’exportateur de données via l’Abonnement, ou si ces périodes de conservation ne sont pas configurées, conformément au Contrat d’Abonnement.
Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement Les détails des Sous-Traitants Ultérieurs auxquels nous avons eu recours pour fournir l’Abonnement sont disponibles sur le site xxxxx://xxxxx.xxxx/XXXX-xxxxxxxxxxxxx
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Indiquez l’/les autorité(s) de contrôle compétente(s) conformément à la Clause 13
An Coimisiún um Chosaint Sonraí / Commission de Protection des Données (Irlande)
ANNEXE II AUX CLAUSES CONTRACTUELLES TYPES
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
La description des mesures techniques et organisationnelles mises en œuvre par l’/les importateur(s) de données (y compris toute certification pertinente) pour assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques, figure à l’Appendice 2 de l’Addendum.