ACCORD DE TRAITEMENT DES DONNÉES (DPA)
ACCORD DE TRAITEMENT DES DONNÉES (DPA)
Le présent Accord de Traitement des Données, y compris ses Annexes ("DPA"), comporte les termes et conditions juridiques qui s'appliquent au Traitement des Données Personnelles (défini ci-dessous) et est incorporé et fait partie de l’Accord, comprenant le Contrat-Cadre d'Abonnement et de Support (ou Contrat de Licence et de Support Logiciel), ainsi que les Conditions Relatives aux Produits sur Site, les Conditions Relatives aux Produits SaaS et les Conditions de Support, ou tout autre accord écrit ou électronique contraignant conclu pour la souscription aux Produits de Gravitee ("Accord" ou "Accord Principal") entre le Client et Gravitee (définis ci-dessous). Les termes définis utilisés dans le présent DPA qui ne sont pas définis ici ont la signification qui leur est donnée dans l'Accord Principal. Gravitee et le Client peuvent également être désignés individuellement par le terme "Partie" ou collectivement par le terme "Parties" tout au long du présent DPA.
1. DÉFINITIONS
"Clauses Contractuelles Types" désigne les Clauses Contractuelles Types pour le transfert de Données Personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil, approuvées par la Décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.
"Client" désigne l'entité qui a signé l'Accord Principal avec Xxxxxxxx, ainsi que ses Affiliés (tant qu'ils restent Affiliés) ou qui a signé des Formulaires de Commande avec Xxxxxxxx faisant référence à l'Accord Principal.
"Destinataires Autorisés" désigne les Parties à l'Accord Principal et leurs Affiliés, ainsi que le personnel respectif de chaque Partie et de ses Affiliés et tout tiers engagé pour exécuter les obligations des Parties dans le cadre de l'Accord Principal (comme autorisé par l'Accord Principal).
"Données Personnelles" désigne toute information fournie par le Client que Xxxxxxxx traite dans le cadre de la fourniture d’un Produit et qui (i) se rapporte à une personne physique identifiée ou identifiable ; ou
(ii) est définie comme "information personnelle identifiante", "information personnelle", "données personnelles", ou des termes similaires, tels que ceux-ci sont définis dans la Législation sur la Protection des Données, y compris tels qu’ils peuvent être utilisés dans le présent DPA.
"Gravitee" désigne l'entité Gravitee qui est partie au présent DPA et avec laquelle le Client a conclu le Contrat Principal, à savoir soit : GraviteeSource SAS située au 00 Xxx xx Xxxxx Xxxxxxxx 00000 Xxxxx, XX 03 818 169 971, une société à responsabilité limitée constituée en France ; GraviteeSource, Inc, située au 00x Xxxxxxx Xxxxxx, Xxxxxxxxxx XX 00000, une société du Delaware constituée aux États-Unis ; Gravitee Topco, située au 00-00 Xxxxxxx Xx, Xxxxxx XX0X 0XX, Xxxxxxx, une société enregistrée en Angleterre et au Pays de Xxxxxx.
"Législation sur la Protection des Données" désigne l'ensemble de la législation et des prescriptions réglementaires en vigueur de l'Union européenne (UE) ou du Royaume-Uni (RU) concernant l'utilisation des données à caractère personnel et la confidentialité des communications électroniques, y compris, sans s'y limiter : (a) la Loi sur la protection des données de 2018 et le RGPD du RU, ou toute législation qui leur succède ; (b) le RGPD de l'UE ou toute législation qui lui succède ; et (c) tout accord entre la Commission européenne ou le Royaume-Uni (RU) et un Pays Tiers concernant le transfert licite de données à caractère personnel de l'Espace économique européen (EEE) vers ce pays tiers.
"Pays Tiers" désigne un pays que la Commission européenne ou le gouvernement britannique (selon le cas) n'a pas désigné comme un pays offrant une protection adéquate en matière de Données Personnelles.
"Produits" désigne collectivement le logiciel Gravitee, les abonnements et les services de support fournis par Gravitee au Client, tels que décrits dans l’Accord Principal.
"RGPD" désigne le RGPD de l’UE et le GDPR du RU.
"RGPD de l’UE" désigne le Règlement général sur la protection des données ((UE) 2016/679) du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et replaçant
la Directive 95/46/CE (Règlement général sur la protection des données), y compris tel qu’implémenté ou adopté en vertu des lois du Royaume-Uni.
"RGPD du RU" désigne le RGPD de l'UE tel qu'il fait partie du droit interne du Royaume-Uni en vertu de l’article 3 de la Loi sur l'Union européenne (retrait) de 2018 (y compris telle qu'amendée ou modifiée ultérieurement par les lois du Royaume-Uni ou d'une partie du Royaume-Uni).
"Traitement" ("traiter" et "traité" devant être interprétés conformément), "sous-traitant" et "mesures techniques et organisationnelles appropriées" ont la signification qui leur est donnée dans la Législation sur la Protection des Données applicable.
"Violation de Sécurité" désigne la destruction, la perte, l’altération, la divulgation ou l’accès non-autorisé(e), de manière accidentelle ou illicite, de Données Personnelles transmises par le Client, qui sont traitées par Xxxxxxxx ou ses sous-traitants.
2. TRAITEMENT DES DONNÉES PERSONNELLES
2.1 Champ d’application et statut des Parties.
2.1.1 Gravitee agit en tant que Sous-traitant pour le compte du Client en ce qui concerne toutes les Données Personnelles qui sont traitées par Xxxxxxxx pour le compte du Client en vertu de l’Accord Principal, dans la mesure où elles sont liées au(x) Produit(s) (y compris en ce qui concerne tous les Services de Support à réaliser par Gravitee en relation avec le(s) Produit(s) en vertu de l’Accord Principal) (les "Données Personnelles du Client"). Le Client peut agir en tant que Responsable ou Sous-traitant en ce qui concerne les Données personnelles du Client. La présente Section 2 définit les obligations de Gravitee envers le Client en matière de traitement de données en ce qui concerne les Données Personnelles du Client. Les détails des activités de traitement de données applicables (y compris les catégories de données personnelles et les personnes concernées) sont décrits à l'Annexe 1 du présent DPA.
2.2 Obligations du Client. Le Client doit :
(a) se conformer à tout moment à la Législation sur la Protection des Données dans le cadre de son utilisation des Produits ;
(b) s’assurer que toutes instructions fournies à Xxxxxxxx sont à tout moment conformes à la
Législation sur la Protection des Données applicable ;
(c) collecter toutes Données Personnelles et obtenir tous consentements et avis nécessaires pour permettre le transfert licite (y compris les transferts internationaux, le cas échéant) des Données Personnelles du Client à Gravitee, conformément à la Législation sur la Protection des Données, pour la durée et les finalités de l'Accord Principal (y compris, sans s'y limiter, les bases légales de traitement).
2.3 Obligations de Gravitee. Lorsque Xxxxxxxx traite les Données Personnelles du Client dans le cadre de ou en relation à l'exécution de ses obligations en vertu de l'Accord Principal, Xxxxxxxx doit :
(a) traiter les Données Personnelles du Client uniquement conformément à l'Accord Principal ;
(b) traiter les Données Personnelles du Client uniquement conformément aux instructions mutuellement convenues et documentées du Client (y compris en ce qui concerne tout transfert international de Données Personnelles du Client effectué conformément à la Section 6 Transferts internationaux) ;
(c) informer le Client sans délai injustifié si, à son avis, une instruction enfreint la Législation sur la Protection des Données.
3. SOUS-TRAITANCE
3.1 Gravitee est généralement autorisé à engager des sous-traitants pour traiter les Données Personnelles du Client uniquement dans la mesure où cela est nécessaire pour que Gravitee fournisse les Produits conformément à l’Accord Principal. Xxxxxxxx doit, en ce qui concerne tout sous-traitant désigné conformément à la présente Section 3 :
(a) s'assurer que des exigences équivalentes à celles prévues dans le présent DPA sont imposées au sous-traitant ultérieur par le biais d'un accord écrit ;
(b) rester responsable envers le Client du respect des obligations du sous-traitant ultérieur en vertu du présent DPA ; et
(c) notifier au Client tout changement de sous-traitant. Le Client disposera d’un délai de quinze (15) jours calendaires à compter de la date de notification de Gravitee pour émettre toute objection raisonnablement formulée et raisonnablement fondée, uniquement en rapport à la protection des données et le respect de la Législation sur la Protection des Données. Dans ce cas, Xxxxxxxx déploiera des efforts commercialement raisonnables pour offrir d'autres options pour la fourniture du Produit concerné qui n'implique pas le nouveau sous-traitant.
4. DROITS DES PERSONNES CONCERNÉES
4.1 En tenant compte de la nature du traitement et des informations dont dispose Xxxxxxxx, Xxxxxxxx doit aider raisonnablement le Client à remplir ses obligations en vertu de la Législation sur la Protection des Données
(a) pour répondre aux demandes des personnes concernées exerçant leurs droits ; et
(b) en ce qui concerne la sécurité, pour les analyses d'impact relatives à la protection des données, les notifications de violation de données et les consultations avec les autorités de contrôle de la protection des données ;
(c) sauf si la loi l'exige autrement, au choix du Client, supprimer ou restituer au Client les Données Personnelles du Client en possession de Gravitee à l'expiration ou à la résiliation de l’Accord Principal.
5. SÉCURITÉ
5.1 Xxxxxxxx doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées nécessaires pour répondre aux exigences de l'article 32 du RGPD afin de garantir la sécurité, la confidentialité et l'intégrité des Données Personnelles du Client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé(e), de manière accidentel ou illicite, à ces Données personnelles du Client.
5.2 Xxxxxxxx doit s’assurer que le personnel autorisé à traiter les Données personnelles du Client est soumis à des obligations de confidentialité appropriées.
5.3 Gravitee doit mettre à la disposition du Client les informations que le Client demande raisonnablement et que Xxxxxxxx est raisonnablement en mesure de fournir, et permettre et contribuer aux audits, y compris aux inspections, menés par le Client (ou des auditeurs agréés, autres que des concurrents de Gravitee), telq que nécessaire pour démontrer la conformité de Gravitee avec ses obligations prévues dans le présent DPA et la Législation sur la Protection des Données. Le Client donnera un préavis raisonnable de tout audit, s'assurera que tout audit ne perturbe pas les activitées commerciales de Gravitee, s'assurera que les auditeurs agréés (le cas échéant) sont liés par des obligations de confidentialité appropriées (selon l'avis de Xxxxxxxx) pour protéger les informations confidentielles de Xxxxxxxx, et sera entièrement responsable de tous les coûts associés (y compris ceux de Gravitee).
5.4 En cas de Violation de Sécurité et après confirmation de la survenance d'une telle Violation de Sécurité, Xxxxxxxx devra en notifier le Client sans délai injustifié et devra lui fournir les informations relatives à la Violation de Sécurité lorsqu'elles seront connues ou lorsque le Client en fera raisonnablement la demande.
6. TRANSFERTS INTERNATIONAUX
6.1 Gravitee peut transférer les Données Personnelles du Client vers tout pays ou territoire (y compris les Pays Tiers) en dehors de l'EEE ou du Royaume-Uni ou depuis l'EEE vers le Royaume-Uni, à condition que Xxxxxxxx s'assure que toutes les Données Personnelles du Client faisant l'objet de tels transferts bénéficient d'un niveau de protection adéquat, y compris par l'utilisation de :
(a) de mesures techniques et organisationnelles appropriées ; et
(b) de garanties ou de dérogations appropriées prévues par la Législation sur la Protection des Données.
6.2 Dans la mesure où Gravitee transfère des Données Personnelles du Client en dehors de l'EEE ou du Royaume-Uni, et sauf si le pays ou le territoire concerné a été désigné comme offrant un niveau de protection adéquat en matière de protection des Données Personnelles, Gravitee applique et respecte les Clauses Contractuelles Types approuvées applicables aux transferts des Données Personnelles du Client de l'EEE ou du Royaume-Uni vers des Pays Tiers. Le Client accepte que si, conformément aux Clauses Contractuelles Types, Gravitee est obligé de fournir une copie de tout accord de sous-traitance applicable, Xxxxxxxx pourra supprimer préalablement de ces copies, toutes les informations commerciales ou toutes les clauses sans rapport avec les Clauses Contractuelles Types, et pourra fournir ces copies d'une manière déterminée à sa discrétion et uniquement sur demande du Client.
7. INDEMNITÉ
7.1 Sous réserve des limitations et exclusions de responsabilité prévues dans l’Accord Principal, chaque Partie indemnisera et maintiendra l'autre Partie indemne contre toute responsabilité, amendes, réclamations, demandes, dépenses et coûts (y compris les frais juridiques raisonnables) encourus par l'autre Partie résultant de ou en relation avec :
(a) toute violation par l'autre Partie (y compris dans le cas du Client, par tout Affilié et tout autre responsable de traitement des Données Personnelles du Client) de ses obligations en vertu de la Législation sur la Protection des Données ; et/ou
(b) lorsque Xxxxxxxx est la partie indemnisée, Gravitee agissant conformément à toute instruction, politique ou procédure du Client ou de tout Affilié.
7.2 Sous réserve des limitations et exclusions de responsabilité prévues dans l’Accord Principal, le Client défendra et indemnisera, à ses propres frais, Gravitee, contre toute réclamation de tiers à l'encontre de Xxxxxxxx dans la mesure où elle résulte de ou est liée à la violation par le Client de la Section 2.1.2(c).
ANNEXE 1
DONNÉES PERSONNELLES ET ACTIVITÉ DE TRAITEMENT
Objet du Traitement | L'objet du Traitement en vertu de l'Accord est les Données Personnelles collectées par le(s) Produit(s) ou soumises à celui-ci par le Client ou ses Utilisateurs conformément à l'Accord. |
Nature et finalité du Traitement | La finalité du Traitement en vertu de l'Accord est l'exécution par Gravitee de ses obligations en vertu de l'Accord, y compris, sans s’y limiter, le cas échéant, l'hébergement du ou des Produits SaaS par Xxxxxxxx ou ses sous-traitants. |
Type de Données Personnelles Traitées | Les Données Personnelles qui sont soumises au(x) Produit(s) ou saisies par celui-ci (ceux-ci) par ou au nom du Client ou de ses Utilisateurs, qui peuvent inclure sans s’y limiter : les noms, adresses et autres coordonnées. [A préciser par le Client, le cas échéant] |
Catégories de Personnes Concernées | Le Client déterminera les catégories et l'étendue de toutes Données Personnelles qu'il divulgue à Gravitee, qui peuvent inclure sans s’y limiter : les employés, les collaborateurs, les consultants et le personnel du Client ou les clients, partenaires ou effectifs du Client ; ou d'autres individus dont les Données Personnelles sont Traitées dans le cadre de la fourniture des Produits. [A préciser par le Client, le cas échéant] |
Durée du Traitement | En ce qui concerne le Traitement des Données Personnelles du Client pour chaque Produit, la Période d'Abonnement pour ce Produit plus toute période de conservation spécifiée dans l’Accord ou requise par la loi applicable. |
Obligations et droits du Client | Les obligations et les droits du Client sont définis dans l’Accord. |
ANNEXE 2 INFORMATIONS DE CONTACT
Coordonnées du DPO du Client ou du référent en matière de protection des données pour le Client (à défaut de DPO) | Prénom, Nom | [A compléter par le Client] |
Fonction | [A compléter par le Client] | |
Société | [A compléter par le Client] | |
Adresse | [A compléter par le Client] | |
[A compléter par le Client] | ||
Téléphone | [A compléter par le Client] | |
Coordonnées du référent en matière de protection des données pour Gravitee | Prénom, Nom | Xxxxxxx Xxxxxx |
Fonction | Directeur Général | |
Société | GRAVITEESOURCE SAS | |
Adresse | 00, xxx xx Xxxxx Xxxxxxxx XX 00000 00000 Xxxxx | |
Téléphone | x00 0 00 00 00 00 |