CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL POUR LES SERVICES DE OCLC
CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL POUR LES SERVICES DE OCLC
PERSONAL DATA PROCESSING AGREEMENT FOR OCLC SERVICES
La présente convention de traitement des données à caractère personnel (" CTD ") est conclue entre OCLC AG (" OCLC " " Sous-traitant ") et " Client " Responsable du traitement (conjointement " les Parties ") à la date de la dernière signature ci-dessous. | This Data Processing Agreement (“DPA”) is entered into between OCLC AG (“OCLC” Processor) and “Customer” Controller (jointly “the Parties”) as of the date of last signature below. |
Client
Nom de l'organisation | |
Adresse postale (Pays inclus) | |
Téléphone/Fax | |
Personne de contact pour notifications (incluant le nom de la personne de contact, sa fonction, son adresse email et son numéro de téléphone) | |
Autorité de Contrôle / Autorités de l’exportateur de données | L'État membre de l'Union européenne (UE) dans lequel la société affiliée dans l’Union européenne de OCLC concernée est établie. (The EU Member State in which OCLC’s respective EU affiliate is established.) |
Le Client conclut la présente CTD en son nom et, dans la mesure requise par les lois et réglementations applicables en matière de protection des données à caractère personnel, au nom et pour le compte de ses Sociétés Affiliées Autorisées, si et dans la mesure où OCLC traite des Données à caractère personnel pour lesquelles ces Sociétés Affiliées Autorisées sont qualifiés en tant que Responsables du traitement. OCLC conclut la présente CTD en son nom et au nom et pour le compte de celles Sociétés Affiliées d’OCLC qui traitent des Données à caractère personnel. Aux fins de la présente CTD uniquement, et sauf indication contraire, le terme : (i) "Client" comprend le Client et les Sociétés Affiliées Autorisées; et (ii) "OCLC" comprend OCLC ou la Société Affiliée d’OCLC concernée qui entreprend le traitement des Données à caractère personnel concernées. Dans le cadre de la fourniture des Services Couverts au Client conformément à la convention de prestation de services existante entre les parties (la " Convention de prestation de services "), OCLC peut traiter des Données à caractère | Customer enters into this DPA on behalf of itself and, to the extent required under applicable Data Protection Laws and Regulations, in the name and on behalf of its Authorised Affiliates, if and to the extent OCLC processes Personal Data for which such Authorised Affiliates qualify as the Controller. OCLC enters into this DPA on behalf of itself and in the name and on behalf of those OCLC Affiliates that process Personal Data. For the purposes of this DPA only, and except where indicated otherwise, the term; (i) “Customer” shall include Customer and Authorised Affiliates; and (ii) “OCLC” shall mean OCLC or the relevant OCLC Affiliate that is undertaking the processing of the Personal Data concerned. In the course of providing the Covered Services to Customer pursuant to the existing services agreement between the parties (the “Services Agreement”), OCLC may Process Personal Data on behalf of Customer, and the Parties agree to comply with the |
personnel au nom du Client, et les Parties conviennent de respecter les dispositions suivantes concernant les Données à caractère personnel, chacune agissant raisonnablement et de bonne foi. Pour toute question sur cette CTD, veuillez contacter votre contact OCLC ou envoyer un courriel à XX_xxxxxxx@XXXX.xxx | following provisions with respect to any Personal Data, each acting reasonably and in good faith. To ask questions about this DPA, please contact your OCLC contact or email XX_xxxxxxx@XXXX.xxx. |
CONDITIONS DE LA CONVENTION DE TRAITEMENT DES DONNÉES A CARACTERE PERSONNEL | |
L'objet du traitement des données en vertu de la présente CTD sont les Données à caractère personnel, telles que définies à l'annexe 1, et le but et la nature du traitement des données en vertu de la présente CTD est la fourniture des Services Couverts initiés par le Client en vertu de la Convention de prestation de services. En conséquence, la durée du traitement des données en vertu de la présente CTD sera déterminée par la Convention de prestation de services du Client pour ces Services Couverts. La présente CTD prendra fin ou expirera à la même date que celle à laquelle la Convention de prestation de services prend fin ou expire, sauf que la présente CTD continuera à s'appliquer au traitement qui est envisagé après la résiliation ou l'expiration de la Convention de prestation de services (comme la mise à disposition des Données à caractère personnel au Client pendant une période limitée avant la suppression), et toute prolongation de la Convention de prestation de services prolongera également la durée de cette CTD. | The subject matter of the data processing under this DPA is Personal Data, as defined in Appendix 1, and the purpose and nature of the data processing under this DPA is the provision of the Covered Services initiated by Customer under the Services Agreement. Accordingly, the duration of the data processing under this DPA shall be determined by Customer’s Services Agreement for such Covered Services. This DPA shall terminate or expire on the same date that the Services Agreement terminates or expires, except that this DPA shall continue with respect to Processing that is contemplated to occur after the termination or expiration of the Services Agreement (such as making Personal Data available to Customer for a limited time period prior to deletion), and any extension of the Services Agreement shall also extend the term of this DPA. |
Aux fins du Règlement Général sur la Protection des Données à caractère personnel et des Lois Suisses relatives à la Protection des Données (telles que définies ci-dessous), pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en dehors de l'Espace Economique Européen (" EEE ") et la Suisse qui ne sont pas reconnus par la Commission Européenne ou le Préposé Fédéral à la Protection des Données et à la Transparence (selon le cas) comme assurant un niveau adéquat de protection des données à caractère personnel (" Destinataire dans un Pays Tiers "), les entités du Client qui transfèrent des Données à caractère personnel en dehors de l'EEE ou la Suisse et celles d'OCLC qui sont Destinataires dans un Pays Tiers acceptent par les présentes que le Module 2 « Transfert de responsable de traitement à sous-traitant » des clauses contractuelles types de protection des données , liées ici et incorporées dans la présente CTD par référence (complétées dans le paragraphe suivant), s’applique à de tels transferts. | For the purposes of the General Data Protection Regulation and Swiss Data Protection Laws (as defined below), for the transfer of personal data to processors established in third countries outside the European Economic Area ("EEA") and Switzerland that are not recognized by the European Commission or the Swiss Federal Protection and Information Commissioner (as applicable) as ensuring an adequate level of data protection for personal data ("Third Country Recipient"), those entities of Customer who are transferring Personal Data outside of the EEA or Switzerland and those entities of OCLC who are Third Country Recipients hereby agree that Module 2: Transfer controller to processor of the Standard Contractual Clauses, linked here and incorporated into this DPA by reference (as supplemented in the next paragraph below), shall apply to such transfers. |
Par souci de clarté, les Clauses s'appliquent au Client et à chacune de ses Sociétés Affiliées Autorisées qui, aux fins des Clauses, agissent chacun en tant qu'" exportateur de données ", et chacune des Sociétés Affiliées d’OCLC qui sont des Destinataires dans un Pays Tiers (et OCLC, si OCLC est ou devient Destinataire dans un Pays Tiers) peut agir en tant qu'" importateur de données " aux fins des Clauses aux termes de la présente CTD. Le Client reconnaît que OCLC est établi dans l'EEE ou la Suisse et peut utiliser ses Sociétés Affiliées qui sont des Destinataires dans un Pays Tiers, et en ce qui concerne un tel transfert de Données à caractère personnel à de tels Destinataires dans un Pays Tiers, ce transfert sera couvert par les Clauses et considéré comme une exportation directe par le Client à un Destinataire dans un Pays Tiers. | For the sake of clarity, the Clauses apply to Customer and each of its Authorised Affiliates who, for the purposes of the Clauses, each act as ‘data exporter’, and each OCLC Affiliate who is a Third Country Recipient (and OCLC, if OCLC is or becomes a Third Country Recipient) as each, for the purposes of the Clauses may act as ‘data importer’ under this DPA. Customer acknowledges that OCLC is established in the EEA or Switzerland and may utilize its Affiliates who are Third Country Recipients, and with respect to any such transfer of Personal Data to such Third Country Recipients, such transfer shall be covered by the Clauses and deemed a direct export by Customer to the Third Country Recipient.. |
La clause 7 des Clauses, « Clause d’adhésion – Facultative », n’est pas réputée incorporée. Dans la clause 9 des Clauses, les Parties choisissent l’option 2 (Autorisation Ecrite Générale), qui sera appliquée conformément à la section 6 de la présente CTD. L’option de la clause 11 des Clauses n’est pas réputée incorporée. Dans la clause 17 des Clauses, les Parties conviennent que les Clauses sont régies par le droit de l’Etat membre de l’Union européenne dans lequel est établie la société affiliée dans l’Union européenne de OCLC concernée. Dans la clause 18 des Clauses, les Parties conviennent que tout litige découlant des Clauses sera résolu par les tribunaux de l’Etat membre de l’Union européenne dans lequel est établie la société affiliée dans l’Union européenne de OCLC concernée. Aux fins de transferts de données à partir de la Suisse, le cas échéant, les dispositions des Clauses qui se réfèrent à un « Etat membre » ou des « Etats membres » ne doivent pas être interprétées de manière à exclure la possibilité, pour les Personnes Concernées en Suisse, de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des Clauses. Les parties A et B de l’Annexe I des Clauses sont réputées complétées par les informations figurant à l’Annexe 1 de la présente CTD. L’Xxxxxx XX des Clauses est réputée complétée par les informations figurant à l’Annexe 2 de la présente CTD. L’Xxxxxx XXX des Clauses est réputée complétée par les informations figurant section 6.1 de la présente CTD. Aux fins de la partie C de l’Annexe I des Clauses, et conformément à la clause 13 des Clauses, les Parties conviennent que l’/les Autorité(s) de Contrôle est/sont l’/les autorité(s) identifiée(s) dans le tableau figurant au début de la présente CTD. Aux fins des transferts de données depuis la Suisse, le cas échéant, les Clauses protègent également les données des personnes morales jusqu'à l'entrée en application de la loi fédérale suisse de 2020 sur la protection des données. Aucune disposition de la présente CTD ou de la Convention de prestation de services ne doit être interprétée par les Parties comme prévalant sur les Clauses. | Clause 7 of the Clauses, the ‘Docking Clause – Optional’, shall not be deemed incorporated. In clause 9 of the Clauses, the Parties choose Option 2 (General Written Authorization), which shall be enforced in accordance with Section 6 of this DPA. The optional wording in clause 11 of the Clauses shall not be deemed incorporated. In clause 17 of the Clauses, the Parties agree that the Clauses shall be governed by the laws of the EU Member State in which OCLC’s respective EU affiliate is established. In clause 18 of the Clauses, the Parties agree that any dispute arising from the Clauses shall be resolved by the courts of the EU Member State in which OCLC’s respective EU affiliate is established. For the purposes of the data transfers from Switzerland, if any, the provisions of the Clauses that refer to a “Member State” or “Member States” must not be interpreted in such a way as to exclude Data Subjects in Switzerland from the possibility of suing for their rights in their place of habitual residence (Switzerland) in accordance with clause 18(c) of the Clauses. Annex I.A and I.B of the Clauses shall be deemed completed with the information set out in Appendix 1, attached hereto. Xxxxx XX of the Clauses shall be deemed completed with the information set out in Appendix 2, attached hereto. Xxxxx XXX of the Clauses shall be deemed completed with the information set forth in section 6.1 of this DPA. For the purpose of Xxxxx X.X of the Clauses, and in accordance with clause 13 of the Clauses, the Parties agree that the competent supervisory authority / authorities is / are the authority / authorities identified in the table at the beginning of this DPA. For the purposes of data transfers from Switzerland, if any, the Clauses also protect the data of legal entities until the entry into application of the Swiss Federal Data Protection Act 2020. Nothing in this DPA or in the Services Agreement is intended by the Parties to be construed as prevailing over the Clauses. |
1. DÉFINITIONS | DEFINITIONS |
1.1. "Société Affiliée Autorisée " désigne les Sociétés Affiliées du Client qui (a) sont soumises aux lois et réglementations en matière de protection des données de l'UE, de l'EEE et/ou de leurs États membres et/ou de la Suisse; (b) sont autorisées à utiliser les Services Couverts conformément à la Convention de prestation de services entre le Client et OCLC ; et (c) n'ont pas signé leur propre convention de prestation de services avec OCLC. | “Authorised Affiliate” means Customer's Affiliates that (a) are subject to the data protection laws and regulations of the EU, the EEA and/or their member states, and/or Switzerland; (b) are permitted to use the Covered Services pursuant to the Services Agreement between Customer and OCLC; and (c) have not signed their own Services Agreement with OCLC. |
1.2. "Société Affiliée " désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une partie. Aux fins de la présente définition, le terme " contrôle " désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité visée. | “Affiliate” means any entity that directly or indirectly controls, is controlled by or is under common control with a party. “Control,” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity. |
1.3. "Services Couverts " désigne les services OCLC qui sont commandés par le Client auprès d'OCLC et qui impliquent le Traitement de Données à caractère personnel pour le compte du Client, comme stipulé dans la Convention de prestation de services applicable. | “Covered Services” means the OCLC services that are ordered by the Customer from OCLC involving the Processing of Personal Data on behalf of the Customer, as set forth in the applicable Services Agreement. |
1.4. "Lois et réglementations relatives à la protection des données " désigne toutes les lois applicables qui régissent l'utilisation des données relatives aux personnes concernées, y compris le Règlement Général sur la Protection des Données de l'Union européenne (" UE "), tel que modifié ou remplacé de temps à autre, et toute autre loi étrangère ou nationale dans la mesure où elle est applicable à une partie dans le cadre de l'exécution de la Convention de prestation de services. | “Data Protection Laws and Regulations” means all applicable laws that govern the use of data relating to Data Subjects, including the European Union (“EU”) General Data Protection Regulation (“GDPR”), as amended or replaced from time to time, and any other foreign or domestic laws to the extent that they are applicable to a party in the course of the performance of the Services Agreement. |
1.5. "Données à caractère personnel " désigne toutes les données à caractère personnel, telles que définies dans le RGPD, qui sont fournies par le Client ou en son nom et traitées par OCLC conformément à la Convention de prestation de services. Un aperçu des catégories de Données à caractère personnel et des finalités pour lesquelles les Données à caractère personnel sont traitées est fourni à l'annexe 1. | “Personal Data” means any personal data, as defined in the GDPR, which is provided by or on behalf of Customer and Processed by OCLC pursuant to the Services Agreement. An overview of the categories of Personal Data and purposes for which the Personal Data are being Processed is provided in Appendix 1. |
1.6. "Régulateur" désigne toute autorité de contrôle habilitée en vertu des Xxxx et réglementations relatives à la protection des données à fournir ou à recevoir les Services Couverts ou le Traitement des données à caractère personnel, en tout ou en partie. | “Regulator” means any supervisory authority with authority under Data Protection Laws and Regulations over all or any part of the provision or receipt of the Covered Services or the Processing of Personal Data. |
1.7. "Clauses Contractuelles Types" ou “Clauses” désigne le Module 2 « transfert de responsable du traitement à sous-traitant » des clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 du 4 juin 2021 de la Commission européenne pour le transfert de données à caractère personnel vers des pays tiers en application du RGPD. | “Standard Contractual Clauses” or “Clauses” means Module 2: Transfer controller to processor of the standard contractual clauses adopted by the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021 for the transfer of personal data to third countries pursuant to the GDPR. |
1.8. "Sous-Traitant Ultérieur " désigne tout sous-traitant ultérieur de données engagé pour traiter des Données à caractère personnel pour le compte d'OCLC et/ou de ses Sociétés Affiliées. Pour éviter tout doute, les installations du centre de données de colocation d'OCLC ne sont pas considérées comme des sous-traitants ultérieurs en vertu de la présente CTD. | “Sub-processor” means any data Processor engaged to Process Personal Data on behalf of OCLC and/or its Affiliates. For the avoidance of doubt, OCLC’s colocation data centre facilities are not considered Sub-processors under this DPA. |
1.9. "Lois Suisses relatives à la Protection des Données" désigne toutes les lois applicables relatives à la protection des données et à la vie privée, en vigueur de temps en temps en Suisse, y compris la Loi Fédérale sur la Protection des Données de 1992, telle que modifiée ou remplacée de temps à autre, comme par la loi fédérale suisse de 2020 sur la protection des données, lorsqu’elle est en vigueur et applicable. | “Swiss Data Protection Laws” means all applicable data protection and privacy laws in force from time to time in Switzerland, including the Swiss Federal Data Protection Xxx 0000, as amended or replaced from time to time, such as by the Swiss Federal Data Protection Xxx 0000, when in force and applicable. |
1.10. Des termes incluant mais non limités à "personne concernée", "atteinte à la protection des données à caractère personnel", "traitement", "responsable du traitement", "sous-traitant" "catégories particulières de données à caractère personnel" et "autorité de contrôle" ont le sens qui leur est attribué dans les lois et règlements relatifs à la protection des données. | Terms including but not limited to “Data Subject”, “Personal Data Breach”, “Processing”, “Controller”, “Processor”, “Special Categories of Personal Data” and “Supervisory Authority” shall have the meaning ascribed to them in the Data Protection Laws and Regulations. |
2. CONVENTION DE PRESTATION DE SERVICES | SERVICES AGREEMENT |
2.1. La présente CTD est complète et intégrée à la Convention de prestation de services et, en cas de conflit entre les modalités de la présente CTD et celles de la Convention de prestation de services, les modalités de la présente CTD prévalent et la régissent, mais seulement en ce qui concerne l'objet de la présente CTD. | This DPA supplements and is incorporated into the Services Agreement, and in the event of any conflict between the terms of this DPA and the terms of the Services Agreement, the terms of this DPA shall prevail and control, but only with respect to the subject matter of this DPA. |
3. OBLIGATIONS DU CLIENT | OBLIGATIONS OF THE CUSTOMER |
3.1. Instructions. La présente CTD et la Convention de prestation de services constituent les instructions complètes et définitives du Client, au moment de la signature de la CTD, à OCLC pour le traitement des Données à caractère personnel. Les parties doivent convenir mutuellement par écrit de toute directive supplémentaire ou de toute autre directive, à moins que la loi ne l'exige. Le Client garantit que les instructions qu'il fournit à OCLC en vertu de la présente CTD sont conformes aux Lois et règlements sur la protection des données. | Instructions. This DPA and the Services Agreement are Customer’s complete and final instructions, at the time of signature of the DPA, to OCLC for the Processing of Personal Data. Any additional or alternate instructions must be agreed upon mutually by the Parties in writing, unless such instructions are required by law. Customer warrants that the instructions it provides to OCLC pursuant to this DPA comply with Data Protection Laws and Regulations. |
3.2. Demandes de la personne concernée et de l'autorité de contrôle. Le Client est responsable des communications et des efforts qu'il déploie pour se conformer à toutes les demandes faites par les Personnes Concernées en vertu des Lois et règlements relatifs à la protection des données et à toutes les communications de tout Régulateur qui ont trait aux Données à caractère personnel, conformément aux Lois et règlements relatifs à la protection des données. | Data Subject and Supervisory Authority Requests. Customer shall be responsible for communications and leading any efforts to comply with all requests made by Data Subjects under Data Protection Laws and Regulations and all communications from any Regulator(s) that relate to the Personal Data, in accordance with Data Protection Laws and Regulations. |
3.3. Avis, consentement et autres Autorisations. Le Client est responsable de l'exactitude, de la qualité et de la légalité des Données à caractère personnel et des moyens par lesquels le Client a acquis les Données à caractère personnel qu'il fournit à OCLC pour traitement en vertu de la Convention de prestation de services. Le Client est responsable de fournir tout avis aux Personnes Concernées et d'obtenir et de démontrer la preuve qu'il a obtenu tous les consentements, autorisations et permissions nécessaires des Personnes Concernées d'une manière valide pour qu'OCLC puisse fournir les Services Couverts. Le Client fournira à OCLC les preuves qu'OCLC peut raisonnablement demander si OCLC a besoin de ces informations pour se conformer aux Lois sur la protection des données ou à la demande d'un Régulateur. Le Client comprend que les champs personnalisés et autres champs de texte libre dans le logiciel fourni dans le cadre des Services Couverts (tels que les champs "notes") ne sont pas conçus pour le Traitement des catégories particulières de données à caractère personnel et garantit qu'il n'entrera pas de catégories particulières de données à caractère personneldans ces champs ou autrement en utilisant les Services Couverts. | Notice, Consent, and Other Authorisations. Customer is responsible for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired the Personal Data that it provides to OCLC for Processing under the Services Agreement. Customer is responsible for providing any notice to the Data Subjects and for obtaining and demonstrating evidence that it has obtained any necessary consents, authorisations, and permissions from the Data Subjects in a valid manner for OCLC to perform the Covered Services. Customer will provide OCLC with such evidence of this as OCLC may reasonably request if OCLC needs this information to comply with Data Protection Laws or the request of any Regulator. Customer understands that custom fields and other free text fields in the software provided as a part of the Covered Services (such as “notes” fields) are not designed for the Processing of Special Categories of Personal Data and warrants that it will not enter such data in such fields or otherwise when using the Covered Services. |
4. OBLIGATIONS DE OCLC | OBLIGATIONS OF OCLC |
4.1. Étendue du Traitement. OCLC traitera les Données à caractère personnel selon les instructions documentées données par le Client conformément à la présente CTD, y compris en ce qui concerne les transferts de Données à | Scope of Processing. OCLC will Process the Personal Data on documented instructions from Customer given in accordance with this DPA, including with regard to transfers of Personal Data to a third country |
caractère personnel vers un pays tiers ou une organisation internationale, et de la manière nécessaire à la fourniture de Services Couverts en vertu de la Convention de prestation de services, sauf si cela est nécessaire pour satisfaire à une obligation légale à laquelle OCLC est soumise. OCLC informera le Client si, à son avis, l'exécution d'une instruction relative au Traitement des Données à caractère personnel pourrait enfreindre les lois et règlements en matière de protection des données. | or an international organisation, and in such manner as is necessary for the provision of Covered Services under the Services Agreement, except as required to comply with a legal obligation to which OCLC is subject. OCLC shall inform Customer if, in its opinion, the execution of an instruction relating to the Processing of Personal Data could infringe on any Data Protection Laws and Regulations. |
4.2. Demandes des Personnes Concernées. À la demande du Client, et à condition que le Client ne soit pas en mesure de répondre à une demande par le biais de la fonctionnalité des Services Couverts eux-mêmes ou autrement, OCLC fournira une assistance supplémentaire raisonnable (en tenant compte de la nature du traitement) au Client pour l'aider à remplir ses obligations liées aux droits de la Personne Concernée conformément au Chapitre III de RGPD. | Data Subject Requests. At Customer’s request, and provided that Customer is unable to fulfill a request through functionality of the Covered Services themselves or otherwise, OCLC will provide additional, reasonable assistance (taking into account the nature of the processing) to Customer to assist Customer in fulfilling its obligations related to Data Subject rights under Chapter III of GDPR. |
4.3. Sécurité. OCLC mettra en œuvre et maintiendra des mesures de protection administratives, physiques, techniques et organisationnelles pour la sécurité, la confidentialité et l'intégrité des Données à caractère personnel telles que détaillées à l'Annexe 2. | Security. OCLC will implement and maintain administrative, physical, technical and organisational safeguards for the security, confidentiality and integrity of Personal Data as detailed in Appendix 2. |
5. VÉRIFICATION | AUDIT |
5.1. Processus. OCLC fournira au Client, sur demande, toute(s) certification(s) tierce(s) existante(s) pertinente(s) à la conformité de OCLC à ses obligations en vertu de la présente CTD (par exemple, la certification ISO). Dans la mesure où de telles certifications de tiers ou d'autres informations fournies par OCLC sont jugées inadéquates par le Client pour démontrer la conformité à l'article 28, le Client peut faire inspecter les politiques et les dossiers de OCLC relatifs au traitement des Données à caractère personnel par OCLC par un tiers indépendant et digne de confiance (l’ " Auditeur ") afin d'assurer la conformité de OCLC à l'article 28 du RGPD, à condition que cet Auditeur soit raisonnablement acceptable pour OCLC. | Process. OCLC will provide to Customer, upon request, any then-existing, third-party certification(s) pertinent to OCLC’s compliance with its obligations under this DPA (for example, ISO certification). To the extent that such third-party certifications or other information provided by OCLC are deemed inadequate by Customer to demonstrate compliance to Article 28, Customer may have a reputable, independent third party or auditor with expertise in data security (the "Auditor") inspect OCLC’s policies and records relating to the Processing of Personal Data by OCLC to ensure OCLC’s compliance with Article 28 of the GDPR, provided that such Auditor is reasonably acceptable to OCLC. |
5.2. Calendrier et coûts. Le Client doit fournir au Sous- Traitant un préavis écrit d'au moins un (1) mois avant tout audit. Avant le début d'une vérification, les Parties conviendront d'un délai, d'une durée, d'un lieu, d'une méthode et de conditions raisonnables pour l’audit. Le Client assume les frais de tout audit demandé en vertu du présent article 5. Sauf exigence contraire d'un Régulateur (ou si l'audit révèle une violation importante de la présente CTD), un seul audit par période de 12 mois peut être entrepris. | Timing and Costs. Customer will provide Processor with at least one (1) month’s written notice of any audit. Prior to the start of an audit, the Parties will agree to reasonable time, duration, place, manner, and conditions for the audit. Customer shall bear the cost of any audit requested pursuant to this Section 5. Unless otherwise required by a Regulator (or if the audit reveals a material breach of this DPA), no more than one audit may be undertaken in any 12-month period. |
5.3. Divulgation. Avant un tel audit, l’Auditeur doit signer une convention de non-divulgation qui lui sera fournie par OCLC. Les résultats de l’audit et tous les renseignements examinés au cours de cet audit seront considérés comme des renseignements confidentiels de OCLC et seront protégés par l’Auditeur conformément aux modalités de la convention de non-divulgation devant être signée entre l’Auditeur et OCLC. Nonobstant toute autre condition, l'Auditeur ne peut divulguer au Client que les violations | Disclosure. Prior to any such inspection, the Auditor must sign a non-disclosure agreement which shall be provided to Auditor by OCLC. The results of the inspection and all information reviewed during such inspection will be deemed OCLC’s confidential information and shall be protected by Auditor in accordance with the terms of the non-disclosure agreement to be executed between Auditor and OCLC. Notwithstanding any other terms, the Auditor |
spécifiques de l'article 28, le cas échéant, et le fondement de ces constatations conformément aux termes de la présente CTD et ne peut divulguer aucun des dossiers ou informations examinés pendant l’audit. | may only disclose to Customer specific violations of Article 28, if any, and the basis for such findings in accordance with the terms of this DPA and shall not disclose any of the records or information reviewed during the inspection. |
6. LA PASSATION DE CONTRATS AVEC DES SOUS- TRAITANTS ULTERIEURS | CONTRACTING WITH SUB-PROCESSORS |
6.1. Consentement du Client. Le Client consent, en son propre nom et au nom de ses Sociétés Affiliés Autorisées, à l'utilisation de Sous-Traitants Ultérieurs pour le Traitement des Données à caractère personnel dans le cadre de la Convention de prestation de Services. Une liste des Sous-Traitants Ultérieurs se trouve ici et peut être révisée de temps à autre. OCLC informera le Client de l’ajout ou du remplacement de tout Sous-Traitant Ultérieur et si aucune objection n’est formulée par le Client dans les quinze (15) jours, cela sera considéré comme une acceptation par le Client de l’utilisation du nouveau Sous-Traitant Ultérieur. Si le Client a des motifs raisonnables de s'opposer à l'utilisation d'un nouveau Sous-Traitant Ultérieur, il doit en aviser OCLC par écrit dans les quinze (15) jours suivant la réception de la notification. Si le Client s'y oppose raisonnablement conformément à la présente clause, OCLC fera des efforts commercialement raisonnables pour mettre à la disposition du Client une modification des Services Couverts concernés ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des Services Couverts concernés par le Client pour éviter le traitement des Données à caractère personnel par le nouveau Sous-Traitant Ultérieur auquel il s'oppose sans imposer un fardeau déraisonnable au Client. Si OCLC n'est pas en mesure de rendre disponible un tel changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, le Client peut résilier la Convention de prestation de services et la présente CTD et les Clauses en fournissant un avis écrit à OCLC. En cas de résiliation de la Convention de prestation de services conformément à la présente section, OCLC remboursera la partie proportionnelle des frais pour le reste de la période d'abonnement annuel après la date de résiliation de la Convention de prestation de services. | Customer Consent. Customer consents, on its own behalf and on behalf of its Authorised Affiliates, to the use of Sub-processors for the Processing of Personal Data in relation to the Services Agreement. A listing of Sub-processors is found here and may be revised from time to time. OCLC will inform Customer of the addition or replacement of any Sub-processors and if there is no objection by Customer within fifteen (15) days, this will be deemed acceptance by Customer to the use of the new Sub-processor. If Customer has a reasonable basis to object to the use of a new Sub-processor, Customer will notify OCLC promptly in writing within fifteen (15) days after receiving notice. If Customer reasonably objects in accordance with this clause, OCLC will use commercially reasonable efforts to make available to Customer a change in the affected Covered Services or recommend a commercially reasonable change to Customer's configuration or use of the affected Covered Services to avoid processing of Personal Data by the objected-to new Sub-processor without unreasonably burdening Customer. If OCLC is unable to make available such a change within a reasonable period of time, which will not exceed thirty (30) days, Customer may terminate the Services Agreement and this DPA and the Clauses by providing written notice to OCLC. Upon termination of the Services Agreement pursuant to this Section, OCLC will refund the pro rata portion of the fees for the remainder of the annual subscription period after the termination date of the Services Agreement. |
7. OBLIGATIONS D'INFORMATION ET GESTION D’INCIDENTS | INFORMATION OBLIGATIONS AND INCIDENT MANAGEMENT |
7.1. Notification. OCLC informera le Client sans délai injustifié dès qu'OCLC aura connaissance d'une violation des Données à caractère personnel impliquant OCLC ou ses Sous-Traitants Ultérieurs applicables qui a un impact sur les Données à caractère personnel fournies à OCLC conformément à la présente CTD. Une telle notification peut être effectuée par tout moyen qu'OCLC aura établi pour une telle notification, y compris la notification par courrier électronique. Les notifications d'indisponibilité | Notification. OCLC shall notify Customer without undue delay after OCLC becomes aware of a Personal Data Breach involving OCLC or its applicable Sub- processors that impacts Personal Data provided to OCLC pursuant to this DPA. Such notification may be by any means OCLC has established for such notification, including notification by email. Notifications of Covered Services unavailability may |
des Services Couverts peuvent être effectuées en fonction de l'état du système OCLC. | |
8. DIVERS | MISCELLANEOUS |
8.1. Responsabilité et Indemnisation. Sous réserve de la clause 12 des Clauses Contractuelles Types, toute réclamation présentée en vertu de la présente CTD sera assujettie aux mêmes modalités et conditions, y compris les exclusions et les limitations de responsabilité, que celles qui sont énoncées dans la Convention de prestation de services. Afin d’éviter tout doute, toute limitation de responsabilité appliquée de la Convention de prestation de services s’applique à l’ensemble de toutes les entités d’OCLC, même si de telles entités ne sont pas mentionnées spécifiquement dans la Convention de prestation de services. | Liability and Indemnity. Subject to Clause 12 of the Standard Contractual Clauses, any claims brought under this DPA will be subject to the same terms and conditions, including the exclusions and limitations of liability, as are set out in the Services Agreement. For avoidance of doubt, any such limitation of liability applied from the Services Agreement shall apply in the aggregate to all OCLC entities taken together, even if such entities are not referred to specifically in the Services Agreement. |
8.2. Règlement informel des différends. En cas de litige entre le Client et OCLC, ce litige sera soumis aux personnes responsables des questions de protection des données à caractère personnel pour chaque organisation, qui s'efforceront de le résoudre dans les trente (30) jours. | Informal Dispute Resolution. In the event of a dispute between Customer and OCLC, such dispute shall be referred to the individuals responsible for data protection issues for each organization, who shall endeavour to resolve the dispute within thirty (30) days. |
8.3. Obligations post-résiliation. La résiliation ou l'expiration de la présente CTD ne libère aucune des Parties de ses obligations qui sont censées survivre à la résiliation ou à l'expiration de la présente CTD. | Obligations Post-Termination. Termination or expiration of this DPA shall not discharge either Party from its obligations meant to survive the termination or expiration of this DPA. |
8.4. Modifications des Lois et règlements en matière de protection des données. Les parties conviennent de négocier des modifications à la présente CTD si des changements sont nécessaires pour continuer à se conformer aux Lois et règlements relatifs à la protection des données ou à l'interprétation juridique des Lois et règlements relatifs à la protection des données, y compris, mais sans s'y limiter, (a) remplacer les clauses contractuelles types de protection si elles sont invalidées, ou (b) si des changements au statut de membre d'un pays dans l'Union européenne ou l'Espace Economique Européen exigent une modification. | Changes in Data Protection Laws and Regulations. The Parties agree to negotiate modifications to this DPA if changes are required to continue to comply with the Data Protection Laws and Regulations or the legal interpretation of the Data Protection Laws and Regulations, including but not limited to (a) replace the Standard Contractual Clauses if they are invalidated, or (b) if changes to the membership status of a country in the European Union or the European Economic Area require such modification. |
8.5. Divisibilité. Si une disposition de la présente CTD est jugée invalide ou inapplicable par un tribunal compétent, l'invalidité ou l'inapplicabilité de cette disposition n'aura aucune incidence sur les autres dispositions de la présente CTD. Les parties tenteront de convenir d'une disposition valide et exécutoire qui constitue un substitut raisonnable et incorporeront cette disposition de remplacement dans la présente CTD. | Severability. If any provisions of this DPA shall be found by any court of competent jurisdiction to be invalid or unenforceable, the invalidity or unenforceability of such provision shall not affect the other provisions of this DPA. The Parties will attempt to agree upon a valid and enforceable provision that is a reasonable substitute and shall incorporate such substitute provision into this DPA. |
Les signataires autorisés des Parties ont dûment signé la présente convention au nom de la partie et, le cas échéant, de leurs Sociétés Affiliées. | The Parties’ authorized signatories have duly executed this DPA on behalf of the party and, where relevant, their Affiliates. |
Client OCLC AG
Signature | Signature |
|
Nom en caractères d'imprimerie | Printed Name | Xxxxxxxx Xxxxxxxxx |
Titre | Title | Chair of the Board |
Date | Date | September 28, 2021 |
ANNEXE 1 / APPENDIX 1
A. Liste des Parties | A. List of Parties |
EXPORTATEUR DE DONNÉES L'exportateur de données est le Client. Le nom de l'exportateur de données, son adresse, le nom de la personne de contact, sa fonction et ses coordonnées sont indiqués dans le tableau de la page 1 de la présente CTD. Le rôle de l'exportateur de données est le suivant : responsable du traitement. Les activités pertinentes pour les données transférées sont précisées sous le titre "NATURE DU TRAITEMENT ET FINALITES DU TRANSFERT DE DONNEES" au point B de la présente Annexe 1. Signature de l’exportateur de données et date : sur la page de signature (page précédente de la présente CTD). | DATA EXPORTER The data exporter is Customer. Data exporter’s name, address, contact person’s name, position and contact details are indicated in the table on page 1 of this DPA. The role of data exporter is: controller. The activities relevant to the data transferred are specified under the heading ‘NATURE OF THE PROCESSING AND THE PURPOSES OF THE DATA TRANSFER’ in point B of this Appendix 1. Data exporter’s signature and date: by executing this DPA (prior page of this DPA). |
IMPORTATEUR DE DONNÉES L'importateur de données est OCLC, Inc. ou sa Société Affiliée qui est un Destinataire dans un Pays Tiers. L’adresse de OCLC, Inc. est : 0000 Xxxxxxx Xxxxx, Xxxxxx, Xxxx 00000-0000 XXX. Le nom et la fonction de la personne de contact sont ceux de votre contact OCLC. Vous pouvez également envoyer un courrier électronique à l’adresse suivante : XX_xxxxxxx@XXXX.xxx. Les activités pertinentes pour les données transférées sont précisées sous le titre "NATURE DU TRAITEMENT ET FINALITES DU TRANSFERT DE DONNEES" au point B de la présente Annexe 1. Signature de l’importateur de données et date : | DATA IMPORTER The data importer is OCLC, Inc. or its Affiliate who is a Third Country Recipient. OCLC, Inc.’s address is: 0000 Xxxxxxx Xxxxx, Xxxxxx, Xxxx 00000-0000 XXX. The contact person’s name and position are those of your OCLC contact or you can email XX_xxxxxxx@XXXX.xxx. The activities relevant to the data transferred are specified under the heading ‘NATURE OF THE PROCESSING AND THE PURPOSES OF THE DATA TRANSFER’ in point B of this Appendix 1. Data importer’s signature and date: Signature: Name: Xxxx Xxxxxx Title: Chief Technology & Information Officer Date: September 28, 2021 |
B. Description du transfert | B. Description of Transfer |
CATÉGORIES DE PERSONNES CONCERNÉES DONT LES DONNEES SONT TRANSFEREES Les catégories seront déterminées par le Client et peuvent inclure, sans limitation, les utilisateurs, le personnel, le corps enseignant, les étudiants, les administrateurs, les employés, les visiteurs et les anciens élèves du Client, et les personnes dont les Données à caractère personnel sont reprises dans la collection du Client (tels que les noms d’auteurs). | CATEGORIES OF DATA SUBJECTS WHOSE PERSONAL DATA ARE TRANSFERRED The categories shall be determined by the Customer and may include, without limitation, patrons, staff, faculty, students, administrators, employees, visitors and alumni of Customer, and data subjects whose personal data are reflected in Customer’s holdings (such as the names of authors). |
CATEGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRANSFEREES Les catégories de Données à caractère personnel doivent être compatibles avec la fourniture des Services Couverts et peuvent inclure, mais sans s'y limiter : • Noms • Titres des postes • Coordonnées (y compris adresses physiques, numéros de téléphone et de télécopieur, adresses électroniques, etc.) • Identificateurs uniques, qu'ils soient attribués par le Client ou le OCLC (p. ex. numéros d'identification et codes à barres des utilisateurs, numéros d'identification des employés, etc.) • Noms d'utilisateur et mots de passe • Caractéristiques personnelles (p. ex. date de naissance, sexe, département, type d’utilisateur, etc.) • Photographies (via URL) • Informations relatives à l'utilisation par le personnel • Activités de recherche • Informations générales d'utilisation, y compris les données de connexion • Renseignements sur le fournisseur | CATEGORIES OF PERSONAL DATA TRANSFERRED Categories of Personal Data shall be consistent with the provision of the Covered Services and may include, but are not limited to: • Names • Job titles • Contact information (including physical addresses, telephone number(s), fax number(s), email address(es), etc.) • Unique identifiers, whether assigned by Customer or OCLC (e.g., patron ID numbers and barcodes, employee ID numbers, etc.) • Usernames and passwords • Personal attributes (e.g., dates of birth, gender, department, patron type, etc.) • Photographs (via URL) • Staff-related usage information • Research activity • General usage information, including connection data • Supplier/vendor information |
DONNÉES SENSIBLES TRANSFEREES (LE CAS ECHEANT) Les Données à caractère personnel transférées ne comprendront pas de catégories particulières de données ou d’autres Données à caractère personnel qui pourraient être considérées comme sensibles. | SENSITIVE DATA TRANSFERRED (IF APPLICABLE) The personal data transferred will not include special categories of data or other personal data that could be considered sensitive. |
LA FREQUENCE DU TRANSFERT (PAR EXEMPLE, SI LES DONNEES SONT TRANSFEREES DE MANIERE PONCTUELLE OU CONTINUE) Les Données à caractère personnel transférées le seront sur une base continue, comme déterminé par le Client. | FREQUENCY OF THE TRANSFER (E.G. WHETHER THE DATA IS TRANSFERRED ON A ONE-OFF OR CONTINUOUS BASIS) The personal data transferred will be on a continuous basis as determined by the Customer. |
LA NATURE DU TRAITEMENT ET LES FINALITES DU TRANSFERT ET DU TRAITEMENT ULTERIEUR DES DONNEES Les Données à caractère personnel seront traitées dans le but de fournir les Services Couverts décrits dans la Convention de prestation de services, facilitant ainsi l'administration, le fonctionnement, la maintenance et l'utilisation de la bibliothèque du Client et l'accès à ses ressources. La nature et les finalités du traitement comprennent, sans s'y limiter, les activités de traitement suivantes : • Stockage, récupération, utilisation, modification et suppression des Données à caractère personnel nécessaires à la fourniture des Services Couverts ; • Copie et stockage des Données à caractère personnel pour le développement, les tests, la sauvegarde, la reprise après | NATURE OF THE PROCESSING AND THE PURPOSES OF THE DATA TRANSFER AND FURTHER PROCESSING Personal Data will be processed for the purpose of providing the Covered Services described in the Service Agreement, thus facilitating the administration, operations, maintenance, and patron use of the Customer library and access to its resources. Such nature and purposes of the processing includes, without limitation, the following processing activities: • Storing, retrieving, using, modifying, and deleting Personal Data as necessary to provide the Covered Services; • Copying and storing Personal Data for development, testing, backup, disaster recovery, sandbox services, and other non-production purposes; |
sinistre, les services Sandbox et d'autres fins non productives ; • Envoi des communications relatives aux Services Couverts aux utilisateurs finaux ; • Fournir des rapports au Client ; • Modifier, supprimer, copier ou transférer des Données à caractère personnel si nécessaire pour répondre aux demandes des Personnes Concernées individuelles ; • Enregistrer l'activité de l'utilisateur sur le système à des fins de dépannage, d'audit et à d'autres fins ; • Traitement nécessaire pour dépanner, déboguer et améliorer les Services Couverts ; • Traitement nécessaire pour fournir des services de soutien au Client et à ses employés ; • Patcher, mettre à jour, dépanner, administrer, configurer et autrement maintenir les systèmes de technologie de l'information et les bases de données utilisées pour fournir les Services Couverts; • Surveiller l'exécution des Services Couverts et dépanner et remédier à toute cause d'indisponibilité ou d'inaccessibilité des Services Couverts ; • Surveillance de la sécurité, prise en charge de la détection d'intrusion sur réseau, tests d'intrusion et autres contrôles et tests similaires ; • Assistance à la sauvegarde et à la restauration des Services Couverts • Traitement nécessaire pour satisfaire aux obligations légales, telles que le respect d'une ordonnance valide d'un tribunal et les exigences de conservation des dossiers imposées par la loi ; • Tout autre traitement légal et convenu nécessaire à l'exécution des instructions écrites du Client. | • Sending communications related to the Covered Services to end users; • Providing reports to Customer; • Modifying, deleting, copying, or transferring Personal Data as necessary to meet the requests of individual Data Subjects; • Logging user activity on the system for troubleshooting, auditing, and other purposes; • Processing that is necessary to troubleshoot, debug, and improve the Covered Services; • Processing necessary to provide customer support services to Customer and its employees; • Patching, upgrading, troubleshooting, administering, configuring, and otherwise maintaining information technology systems and databases used to provide the Services; • Monitoring the performance of the Covered Services and troubleshooting and remediating any causes of downtime or inaccessibility of the Covered Services; • Security monitoring, network-based intrusion detection support, penetration testing, and other similar monitoring and testing; • Assistance with backup and restoration of the Covered Services • Processing that is necessary to meet legal obligations, such as compliance with a valid court order, and record retention requirements that are imposed by law; • Any other lawful and agreed upon processing necessary to carry out the written instructions of Xxxxxxxx. |
LA PÉRIODE PENDANT LAQUELLE LES DONNÉES À CARACTÈRE PERSONNEL SERONT CONSERVÉES OU, SI CELA N'EST PAS POSSIBLE, LES CRITÈRES UTILISÉS POUR DÉTERMINER CETTE PÉRIODE La durée du traitement sera la durée de la convention de prestation de services et une période raisonnable et limitée suivant l'expiration ou toute autre résiliation. | PERIOD FOR WHICH THE PERSONAL DATA WILL BE RETAINED, OR, IF THAT IS NOT POSSIBLE, THE CRITERIA USED TO DETERMINE THAT PERIOD The duration of the processing shall be the term of the Services Agreement and a reasonable and limited period of time following expiration or other termination. |
POUR LES TRANSFERTS A DES SOUS-TRAITANTS (ULTERIEURS), PRECISER EGALEMENT L’OBJET, LA NATURE ET LA DUREE DU TRAITEMENT Une liste des Sous-Traitants Ultérieurs est accessible en cliquant sur l’hyperlien de la clause 6.1 de la présente CTD. Dans cette liste, la colonne « Description » précise l’objet, la nature et la durée du traitement. | FOR TRANSFERS TO (SUB-) PROCESSORS, ALSO SPECIFY SUBJECT MATTER, NATURE AND DURATION OF THE PROCESSING A listing of Sub-processors is found under the hyperlink in clause 6.1 of this DPA. In that listing, the column ‘Description’ specifies the subject matter, nature and duration of the processing. |
ANNEXE 2 / APPENDIX 2
Les mesures de sécurité techniques et organisationnelles d'OCLC peuvent être consultées ici. Les mesures de sécurité peuvent être mises à jour de temps à autre ; toutefois, les changements n'entraîneront aucune réduction du niveau de protection offert. | OCLC’s Technical and Organizational Security Measures can be found here. Security measures may be updated from time- to-time; however, changes will not result in any reduction in the level of protection provided. |