Addendum sur le traitement des données
Addendum sur le traitement des données
Le présent addendum sur le traitement des données (« DPA ») est conclu entre le client (« client ») et l'entreprise Mimecast qui fournit les services (« Mimecast »); le client et Mimecast sont chacun désignés comme une « partie » et collectivement comme les « parties ». Le présent DPA fait partie intégrante de l'accord de services conclu entre les parties aux présentes (conjointement dénommée « l'accord ») et prend effet à la date de la dernière signature ci-dessous (« date d'entrée en vigueur »).
En signant ci-dessous, le client conclut le présent DPA en son nom et, dans la mesure requise par le droit applicable à la protection des données (défini ci-après), au nom et pour le compte de ses sociétés affiliées autorisées, si et dans la mesure où Xxxxxxxx traite des données à caractère personnel pour ces sociétés affiliées autorisées et que celles-ci sont considérées comme responsable de traitement aux fins du RGPD et comme entreprise aux fins de la loi californienne sur la protection de la vie privée des consommateurs (« CCPA »). Aux fins du RGPD, Mimecast est le sous-traitant et, aux fins de la CCPA, le prestataire de services. Dans le cadre de la prestation des services au client conformément à l'accord, Mimecast peut traiter des données à caractère personnel pour le compte du client et les parties conviennent de se conformer aux dispositions suivantes et d'agir raisonnablement et de bonne foi en ce qui concerne les données à caractère personnel.
COMMENT EXÉCUTER LE PRÉSENT DPA :
1. Le présent DPA se compose de deux parties : le texte principal du DPA et les annexes 1, 2 et 3.
2. Le présent DPA a été pré-signé au nom de Xxxxxxxx. Pour compléter le présent DPA, le client doit remplir les informations dans la case de signature et signer le document à la page 10.
3. Envoyez le DPA rempli et signé à Mimecast par courrier électronique, en indiquant le numéro de compte du client (tel qu'il figure sur la commande de services ou la facture Mimecast applicable) à votre conseiller client (Customer Success Manager). Après que Xxxxxxxx a confirmé la réception du DPA valablement rempli, le DPA deviendra juridiquement contraignant.
COMMENT LE DPA SERA APPLIQUÉ :
Si l'entreprise cliente qui signe le présent DPA est partie à l’accord, le présent DPA constitue un avenant à l’accord et en fait partie intégrante. Dans ce cas, l'entreprise Mimecast qui est partie à l'accord est aussi partie au présent DPA.
Si l'entreprise cliente qui signe le présent DPA n'est pas partie à une commande de services ou à l’accord, le présent DPA n'est pas valide et n'est pas juridiquement contraignant. Cette entreprise doit demander à l'entreprise cliente qui est partie à l'accord de signer le présent DPA.
Afin d'éviter toute ambiguïté, si ni une commande de services ni un accord n'existe entre Mimecast et une partie signant le présent DPA au nom du client, le présent DPA n'est pas valide et n'a aucune force et aucun effet.
L'entreprise Mimecast qui est devenue partie de la commande de services applicable ou qui a conclu l'accord et qui fournit les services dans le cadre de cette commande de services ou de cet accord sera considérée comme la partie Mimecast qui conclut le présent DPA. Aucune signature apposée au nom d'une autre entreprise Mimecast n'est valable.
En cas de conflit entre le présent DPA et d’autres conditions relatives au traitement des données à caractère personnel contenue dans l’accord (y compris tout avenant à l’accord relatif au traitement des données), le présent DPA prévaudra.
Les conditions de ce DPA s'appliquent au traitement des données à caractère personnel aux fins énoncées dans l'accord et le présent DPA.
1. Définitions. Tous les termes utilisés dans le présent DPA et non définis par ailleurs ont la même signification que celle qui leur est attribuée dans l'accord. Les définitions suivantes ont la signification qui leur est donné ci-dessous :
« Société affiliée » désigne une entreprise qui contrôle la partie concernée, est directement ou indirectement contrôlée par celle-ci ou soumise avec celle-ci au contrôle par un tiers ;
« Société affiliée autorisée » désigne toute société affiliée du client qui (a) est soumise à le droit applicable à la protection des données, et (b) est autorisée à utiliser les services conformément à l’accord entre le client et Xxxxxxxx, mais n’a pas signé son propre accord avec Xxxxxxxx et n’est pas un « client » tel que défini dans l’accord ;
« Droit applicable à » désigne une ou plusieurs des lois et règlements suivants en matière de protection des données, telles qu'elles s'appliquent au traitement de données à caractère personnel par Mimecast en vertu du présent DPA : (i) le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD ») ; (ii) la loi de 2018 sur la protection des données du Royaume-Uni (« Royaume-Uni ») et le règlement général sur la protection des données du Royaume-Uni (« RGPD du Royaume-Uni ») ; (iii) la loi de 2012 sur la protection des données personnelles (Singapour) (« PDPA ») ; (iv) les réglementations en matière de protection des données des États-Unis, y compris, mais sans s'y limiter, la loi californienne de 2018 sur la protection de la vie privée des consommateurs, telle que modifiée par la loi californienne de 2020 sur les droits à la vie privée (« CCPA ») ; (v) la loi sud-africaine sur la protection des informations personnelles (« POPIA ») ; (vi) la loi australienne de 1988 sur la protection de la vie privée (n° 119 1988) (telle que modifiée), (vi) la loi canadienne sur la protection des informations personnelles et les documents électroniques (« PIPEDA ») ; (vi) la loi canadienne sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») ; (vii) la loi française n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, et (viii) toute loi, tout statut, toute réglementation, tout texte législatif, toute ordonnance ou tout autre instrument contraignant qui met en œuvre, complète ou modifie ce qui précède;
« Données du client » désigne les données fournies par le client pour être traitées par l'intermédiaire des services, y compris, sans limitation, le contenu des fichiers, courriels ou messages envoyés par ou à un utilisateur autorisé. Les données du client ne comprennent pas les données relatives aux menaces (telles que définies à la clause 9.2);
« Personne concernée » désigne (i) la « personne concernée » telle que définie par le RGPD, et (ii) le « consommateur » ou le « ménage » tel que défini par la CCPA ; et/ou (iii) tout terme similaire en vertu du droit pertinent applicable à la protection des données;
« Demande de la personne concernée » désigne une demande émanant (i) d'une personne concernée conformément au RGPD et/ou au CCPA et/ou (ii) d'un terme similaire en vertu du droit pertinent applicable à la protection des données;
« Clauses contractuelles types de l'UE » : les clauses contractuelles types approuvées par la Commission européenne dans la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, selon les cas (référence au Module 2 : transfert de responsable de traitement à sous-traitant) et telles qu'elles peuvent être modifiées ou remplacées par la Commission européenne de temps à autre;
« Instructions » désigne (i) les instructions du client telles qu'elles figurent dans cet accord ; (ii) (« objectif commercial » tel que défini par la CCPA), et/ou (iiI) celles qui peuvent être communiquées par écrit par le client à Mimecast de temps à autre;
« Données à caractère personnel » désigne (i) les « données à caractère personnel » telles que définies par le RGPD et (ii) les « informations personnelles » telles que définies par la CCPA et/ou (iii) tout autre terme similaire en vertu du droit applicable à la protection des données sous le contrôle du client et traitées par Mimecast dans le cadre de la prestation des services;
« Traiter », « traité » ou « traitement » signifient « traitement » tel que défini par le droit applicable à la protection des données dont les détails sont décrits à l'annexe 1;
« L'autorité de contrôle » désigne l'autorité de contrôle qui est compétente pour le traitement des données à caractère personnel par le client;
« Vente » ou « vendre » se réfèrent à la vente, la location, le partage, la divulgation, la diffusion, la mise à disposition, la transmission ou toute autre forme de communication orale, écrite, électronique ou autre de données à caractère personnel à des fins commerciales d'un tiers, que ce soit avec ou sans rémunération ou autre contrepartie pécuniaire;
« Services » désigne tous les services fournis par Mimecast tels qu'indiqués dans l'accord et décrits plus en détail dans une commande de services qui fait référence à l’accord ;
« Clauses contractuelles types » désigne un mécanisme contractuel approuvé par l'UE ou le gouvernement du Royaume-Uni pour le transfert transfrontalier de données à caractère personnel de l'EEE, de la Suisse ou du Royaume-Uni (le cas échéant) vers des pays tiers;
« Pays tiers » désigne les pays qui ne relèvent pas du champ d'application de la législation sur la protection des données de l'Espace économique européen, de la Suisse et/ou du Royaume-Uni (le cas échéant), à l'exclusion des pays qui ont été approuvés par la Commission européenne et/ou le bureau du commissaire à l'information du Royaume-Uni (Information Commissioner’s Office) de temps à autre parce qu’ils offrent un niveau de protection suffisant;
« Tiers » désigne toute personne (y compris les sociétés, les entreprises, les organisations, etc.) qui n'est pas le client, tout sous-traitant tiers ou Mimecast;
« Sous-traitant tiers » désigne les sous-traitants tiers énumérés à l'annexe 2 ; cette liste peut être mise à jour de temps à autre conformément à la clause 8; et
« Centre de confiance » ou « Trust Center »désigne le site Web créé par Xxxxxxxx, qui comprend le contenu pertinent mentionné dans le présent DPA et d'autres éléments liés au droit applicable à la protection de données ainsi qu'aux opérations de Mimecast, et qui se trouve ici : xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx- trust-center/ ; et
« Addendum britannique » : l'addendum sur le transfert international de données publié par le bureau du commissaire à l'information du Royaume-Uni (Information Commissioner's Office) en vertu de l'article 119(A) de la loi britannique sur la protection des données de 2018, tel qu'il peut être mis à jour de temps à autre, et qui se trouve actuellement à l'adresse suivante xxxxx://xxx.xxx.xx/xxxxx/xxx- organisations/documents/4019539/international-data-transfer-addendum.pdf
2. Traitement des données.
2.1 Mimecast ne traite les données à caractère personnel pour le compte du client que conformément aux instructions et aux fins définies dans celles-ci; afin d'éviter toute ambiguïté et en fonction des services fournis, ceci peut signifier que Mimecast (i) accorde au client l’accès aux services et lui permet leur utilisation ; et (ii) le cas échéant, améliore et développe les services comme décrit plus en détail dans la clause 9 ci-dessous. Nonobstant ce qui précède, le traitement de données peut être exigé par le droit de l'Union ou des États membres auquel Xxxxxxxx est soumis. Dans ce cas, Xxxxxxxx informe le client de cette exigence légale avant le traitement de données, à moins que cette législation n'interdise une telle information pour des raisons importantes d'intérêt public.
2.2 Si la CCPA est applicable,
2.2.1 Mimecast agit en tant que « prestataire de services » et confirme que Mimecast traitera les données à caractère personnel du client pour le compte du client conformément à et pour l'objectif commercial. Nonobstant ce qui précède, Mimecast peut traiter les données à caractère personnel du client si un tel traitement par un prestataire de service est autorisé autrement ou en vertu d'une exemption comparable de «
vente » en vertu du droit applicable à la protection des données, comme déterminé raisonnablement par Mimecast.
2.3 Chaque partie doit se conformer aux obligations qui lui sont applicables en vertu du droit applicable à la protection des données.
2.3.1 Mimecast déclare et garantit :
(i) que Xxxxxxxx informera sans délai le client si, selon l'avis de Mimecast : (i) Mimecast ne peut pas se conformer au droit applicable à la protection des données ou (ii) les instructions du client violent le droit applicable à la protection des données, étant entendu que Mimecast n'est pas tenue de soumettre une instruction du client à un examen juridique complet ;
(ii) que le personnel de Xxxxxxxx et les sous-traitants tiers qui sont autorisés à traiter les données à caractère personnel se sont engagés à respecter la confidentialité des données ou sont soumis à une obligation légale de confidentialité appropriée ; et
(iii) que Mimecast comprend les restrictions qui lui sont imposées en vertu de la
clause 2.2.
2.3.2 Le client déclare et garantit :
(i) que son recours aux services et les instructions fournies par lui ne contreviennent pas au droit applicable à la protection des données ;
(ii) qu'il a respecté et continuera de respecter le droit applicable à la protection des données, en particulier qu'il a obtenu tous les consentements nécessaires et/ou donné tous les avis nécessaires et/ou qu'il a autrement le droit de partager des données à caractère personnel avec Xxxxxxxx et de permettre le traitement décrit dans le présent DPA et tel qu'il est prévu dans l'accord ;
(iii) qu'il a évalué les exigences du droit applicable telles qu'elles s'appliquent au client en ce qui concerne les données à caractère personnel et qu'il estime que les mesures de sécurité indiquées à l'annexe 3 sont adéquates pour répondre à ces exigences ;
(iv) qu'il veillera au respect des mesures de sécurité indiquées à l'annexe 3 et ne modifiera ni ne diminuera par son recours aux services en aucune façon ces mesures dans la mesure où elles s'appliquent au client.
2.4 Le client est conscient du fait que c'est lui qui décide et contrôle à sa seule discrétion quelle données à caractère personnel de ces données seront transférées à Mimecast. Pour cela, Xxxxxxxx n'a aucun contrôle sur le volume, les catégories et la sensibilité des données à caractère personnel traitées par le client ou les utilisateurs en recourant aux services. Mimecast doit mettre en œuvre et maintenir les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 3 des présentes avant de traiter les données à caractère personnel du client et Mimecast continuera à se conformer à ces mesures de sécurité techniques et organisationnelles en tant que norme minimale de sécurité pendant toute la durée de l'accord.
3. Notification d'une violation de sécurité. Mimecast est obligé de notifier au client sans retard injustifié (et en aucun cas plus tard que 48 heures, avec des mises à jour périodiques si nécessaire) une violation déclarée de la sécurité qui a entraîné la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données à caractère personnel du client et qui a affecté l'intégrité, la disponibilité ou la confidentialité des données à caractère personnel du client (« violation de la sécurité »). Afin d'éviter toute ambiguïté, il est convenu entre les parties que les violations de la sécurité ne comprennent pas les tentatives infructueuses de compromettre la sécurité des données à caractère personnel et les activités qui ne compromettent pas la sécurité des données à caractère personnel (y compris, sans s'y limiter, les tentatives infructueuses de connexion, les attaques par déni de service et les autres attaques sur les pare-feu ou les systèmes en réseau) de sorte que Mimecast n’est pas obligé de notifier un tel incident au client. Si le client est obligé de notifier une violation de la sécurité aux personnes concernées ou aux autorités de contrôle
compétentes, les parties conviennent de se concerter de bonne foi sur le contenu de toute déclaration publique ou de toute notification requise.
4. Audit et inspection.
4.1 Compte tenu de la nature du traitement et des informations dont dispose Xxxxxxxx, Xxxxxxxx apportera un soutien raisonnable en réponse aux demandes du client ou d'une autorité de contrôle compétente concernant le traitement par Mimecast des données à caractère personnel du client.
4.2 Sur demande écrite du client, Mimecast est tenu de fournir au client les informations raisonnablement nécessaires pour démontrer que les obligations qui résultent du présent DPA ont été respectées. Ces informations consistent à permettre l'examen des rapports, certificats et/ou extraits les plus récents qui ont été préparés par un auditeur indépendant conformément à la certification ISO27001 de Mimecast ou à une certification industrielle similaire dont Mimecast est titulaire.
4.3 Dans le cas où les informations fournies conformément à la clause 4.2 ci-dessus sont insuffisantes pour démontrer raisonnablement la conformité, Mimecast doit permettre au client d'inspecter ou d'auditer les mesures techniques et organisationnelles de Mimecast dans le but de contrôler le respect des obligations de Mimecast en vertu du présent DPA. Un tel audit ou une telle inspection doit :
(i) être la charge du client ;
(ii) être limité aux affaires spécifiques au client ;
(iii) être convenu à l'avance par écrit entre les parties , notamment en ce qui concerne l'étendue, la durée, la date de début et les tarifs de Mimecast alors en vigueur pour les services professionnels;
(iv) être mené de manière à ne pas interférer avec les activités quotidiennes de Mimecast ;
(v) avoir lieu pendant les heures de bureau locales de Mimecast et doit être avisé par écrit au moins vingt (20) jours ouvrables à l'avance, à moins que le client n'ait de bonnes raisons de penser qu'il existe une non-conformité matérielle identifiable ;
(vi) être limité à une seule fois par période de douze (12) mois civils, sauf (i) si l'audit ou l'inspection est obligatoire à cause d'une instruction d'une autorité de contrôle compétent ou (ii) en cas d'une violation de la sécurité ; et
(vii) être soumis aux obligations de confidentialité prévues par l'accord ou, lorsqu'un auditeur tiers effectue l'audit, ce dernier doit être un professionnel lié par une obligation de confidentialité ou soumis à un accord de non-divulgation approprié.
4.4 Un audit réalisé en vertu de cette clause ne doit pas être mené par une partie qui est un concurrent de Mimecast ou qui fournit des services à un concurrent de Mimecast.
4.5 Le client fournira à Mimecast des copies de tous les rapports d'audit générés dans le cadre d'un audit en vertu de cette clause, sauf si le droit applicable à la protection des données l’interdit. Le client ne doit utiliser les rapports d’audit qu’aux fins de satisfaire à ses exigences réglementaires en matière d’audit et/ou de confirmer la conformité aux exigences du présent DPA.
4.6 Afin d’éviter toute ambiguïté, les dispositions de cette clause 4 s’appliquent également aux dispositions en matière d’audit de toute clause contractuelle type conclues conformément à la clause 6 du présent DPA.
5. Conformité, coopération et réponse.
5.1 Compte tenu de la nature du traitement et des informations dont dispose Xxxxxxxx, Xxxxxxxx apportera un soutien raisonnable pour répondre à des demandes de personnes concernées ou à des demandes reçues par le client de la part des autorités de contrôle à condition que ces demandes soient conformes au droit applicable à la protection des données.
5.2 Si Mimecast reçoit une demande d'une personne concernée et qu'il ressort clairement de la nature de la demande (sans qu'il soit nécessaire de procéder à une enquête indépendante) que le client est le responsable de traitement des données à caractère personnel de cette personne concernée, Xxxxxxxx renverra la personne concernée au client, à moins que le droit applicable à la protection des données n'en dispose autrement. Dans le cas où Xxxxxxxx est légalement tenu de répondre à la personne concernée, le client coopérera pleinement avec Xxxxxxxx selon les besoins. Le client accepte que la mise à disposition d'outils techniques permettant au client de prendre les mesures nécessaires pour se conformer à de telles demandes soit suffisante pour remplir les obligations d'assistance de Mimecast en vertu des présentes.
5.3 Le client remboursera tous les coûts que Mimecast a légitimement encourus en apportant un soutien raisonnable en vertu de la présente clause 5.
6. Transferts transfrontaliers.
6.1 Le client reconnaît et accepte que Xxxxxxxx ait le droit (dans le cadre de la prestation des services) de traiter (ou de permettre à toute société affiliée ou à chaque sous-traitant tiers de traiter) les données à caractère personnel du client dans un ou plusieurs pays tiers, à condition que le traitement ait lieu conformément aux exigences du droit applicable à la protection des données. Dans ce cas, Mimecast doit se conformer (ou faire en sorte que toute société affiliée ou tout sous-traitant tiers se conforme) aux obligations applicables de l'importateur de données dans le cadre d'un mécanisme de transfert de données approuvé (par exemple, les clauses contractuelles types, le cadre UE-États-Unis de protection des données, etc.).
6.2 Si, dans le cadre de l'exécution de ses obligations qui résultent de l'accord ou conformément à d'autres instructions légitimes du client, des données à caractère personnel doivent être transférées de l'Espace économique européen, de la Suisse et/ou du Royaume-Uni (selon le cas) par le client à Mimecast dans un pays tiers, les parties conviennent de conclure et de respecter les clauses contractuelles types de l'UE et/ou de l'addendum britannique qui sont intégrées au présent DPA comme suit :
(i) Le client est l'exportateur de données et Mimecast est l'importateur de données (ce qui précède s'applique au tableau 1 de l'addendum britannique) ;
(ii) À la clause 7, la « clause d'adhésion (facultative) » est considérée comme incluse (ce qui précède s'applique au tableau 1 de l'addendum britannique) ;
(iii) Dans la clause 9, les parties choisissent l'option 2, « Autorisation écrite générale », avec un délai de 20 jours (ce qui précède s'applique au tableau 2 de l'addendum britannique) ;
(iv) La formulation facultative de la clause 9 n'est pas considérée comme incluse (ce qui précède s'applique au tableau 2 de l'addendum britannique) ;
(v) Dans la clause 13, l'autorité de contrôle compétente est l'autorité bavaroise de protection des données (Bayerisches Landesamt für Datenschutzaufsicht).
(vi) Dans la clause 17, l'exportateur de données et l'importateur de données conviennent que les clauses contractuelles types de l'UE seront régies par le droit allemand, et choisissent l'option 1 à cet effet (la partie 2, clause 15 (m) de l'addendum britannique s'applique) ;
(vii) Dans la clause 18, l'exportateur de données et l'importateur de données conviennent que tout litige sera tranché par les tribunaux allemands (la partie 2, clause 15 (n) de l'addendum britannique s'applique) ;
(viii) Conformément à la clause 19 de l'addendum britannique et à la clause 6.4 du présent DPA, aucune des parties ne peut mettre fin à l'addendum britannique lorsque celui-ci est modifié ;
(ix) Les annexes I, II et III complétées des clauses contractuelles types de l'UE et les annexes 1B, II et III du tableau 3 de l'addendum britannique sont incluses dans l'annexe 1-3 du présent document ; et
(x) Nonobstant le fait que les clauses contractuelles types sont incorporées aux présentes par référence sans qu'elles soient effectivement signées par les parties, les parties conviennent que la conclusion du présent DPA entraîne la conclusion des clauses contractuelles types au nom de l'exportateur de données ou de l'importateur de données (selon le cas), et que chacune des parties est dûment autorisée à conclure le DPA et les clauses contractuelles types au nom de l'exportateur de données ou de l'importateur de données (selon le cas) et à les lier contractuellement en conséquence.
(xi) Les parties conviennent que les clauses contractuelles types cesseront de s'appliquer au traitement des données à caractère personnel si et dans la mesure où le transfert pertinent des données à caractère personnel cesse d'être un « transfert restreint ».
(xii) Les dispositions du présent DPA n'affectent pas la possibilité des parties de s'appuyer sur tout autre mécanisme international de transfert de données légalement valable pour le transfert de données hors de l'EEE et/ou de la Suisse.
6.3 Les parties conviennent de conclure d'autres clauses contractuelles types approuvées en vertu du droit applicable à la protection des données pour effectuer des transferts transfrontaliers de données à caractère personnel aux fins de la prestations des services.
6.4 En outre, si les clauses contractuelles types de l'UE ou l'avenant du Royaume-Uni sont mis à jour, remplacés ou ne sont plus disponibles pour quelque raison que ce soit, les parties coopéreront de bonne foi pour mettre en œuvre les clauses contractuelles types mises à jour ou remplacées, le cas échéant, ou pour identifier un ou plusieurs autres mécanismes permettant d'autoriser les transferts transfrontaliers envisagés.
6.5 Mimecast et ses sociétés affiliées ont signé un accord inter-sociétés, dont une copie est disponible dans le centre de confiance (à l'adresse xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx-xxxxx-xxxxxx/xxxxxxxxx- intercompany-agreement/) ; cet accord inter-sociétés offre des garanties adéquates pour le transfert de données à caractère personnel entre les sociétés affiliées, dans la mesure où ce transfert peut être nécessaire pour que Mimecast remplisse ses obligations en vertu de l'accord.
7. Changements du droit applicable à la protection des données. Les parties conviennent de négocier de bonne foi des modifications au présent DPA si des changements sont nécessaires pour que Mimecast puisse continuer à traiter les données à caractère personnel conformément au droit applicable à la protection des données, y compris, mais sans s'y limiter, (i) le RGPD ; (ii) la CCPA ; (iii) toute clause contractuelle type ; ou (iv) si des changements dans le statut d'adhésion d'un pays à l'Union européenne ou à l'Espace économique européen exigent une telle modification.
8. Sous-traitance.
8.1. Engagement de sous-traitants tiers. Le client consent par la présente à l'engagement de sous-traitants tiers pour la prestation des services. Aux fins du présent DPA, le terme « sous-traitance » doit être interprété comme désignant les services qui sont liés directement à l’exécution de l'obligation principale liée au traitement des données à caractère personnel conformément à l'accord. Cela ne comprend pas les services auxiliaires, tels que les services de télécommunication, les services postaux/de transport, les services de maintenance et d'assistance aux utilisateurs ou l'élimination des supports de données, ainsi que d'autres mesures visant à garantir la confidentialité, la disponibilité, l'intégrité et la résilience du matériel et du logiciel des équipements de traitement des données. Mimecast doit mettre en œuvre des accords écrits avec tous les sous-traitants tiers; ces accords doivent imposer au sous-traitants tiers des obligations techniques et organisationnelles qui assurent la sécurité et l'intégrité des données personnelles et qui ne doivent pas être moins protectrices que les obligations imposées par le présent DPA à Mimecast en ce qui concerne les services spécifiques fournis par les sous-traitants tiers.
8.2. Remplacement d'un sous-traitants tiers. Si Mimecast nomme un nouveau sous-traitant tiers ou a l'intention d'apporter des modifications concernant l'ajout ou le remplacement d'un sous-traitants tiers,
Xxxxxxxx doit envoyer au client un préavis écrit d'au moins vingt (20) jours. Aux fins de la présente clause 8.2, l'avis peut être fourni par voie électronique, y compris, mais sans s'y limiter, par l'affichage sur la console d'administration Mimecast des services, un avis dans le centre de confiance et/ou dans une infolettre électronique envoyée au client (si le client s'est abonné à une telle infolettre via le centre de préférences en ligne de Mimecast). Si le client s'oppose à la nomination ou au remplacement d'un sous-traitant tiers par écrit en se fondant sur des motifs légitimes de protection des données dans un délai de dix (10) jours après la réception du préavis écrit de Xxxxxxxx concernant un nouveau sous-traitant tiers, Xxxxxxxx peut suggérer (à sa discrétion) une modification commercialement raisonnable de recours aux services par le client afin que le sous-traitant tiers concerné ne soit pas engagé dans le cadre du ou des services fournis. Si Mimecast n'est pas en mesure de mettre en œuvre une telle modification dans un délai raisonnable, le client peut, moyennant un préavis écrit d'au moins vingt (20) jours à compter de la date du préavis de Mimecast, résilier la commande de services qui ne peuvent être fournis sans le recours au sous-traitant tiers concerné. Si le client ne présente pas d'objection écrite dans ce délai de dix (10) jours, il est réputé avoir consenti à la nomination ou au remplacement du sous-traitant tiers. La résiliation de toute commande de services en vertu de la présente clause 8 donne au client le droit de recevoir un remboursement au prorata de toute partie non utilisée des frais payés à l'avance. Afin d'éviter toute ambiguïté, il est convenu entre les parties que la résiliation en vertu de la présente clause 8 ne donne pas droit au client à un remboursement des frais payés pour la période allant jusqu'à la date d’entrée en vigueur de la résiliation.
9. Données relatives aux menaces, données d'apprentissage automatique et données d'utilisation agrégées.
9.1 Les parties reconnaissent et acceptent que Xxxxxxxx n'a aucun droit de propriété relatif aux données du client. Conformément à l'accord et au présent DPA, le client accorde par la présente à Mimecast tous les droits et toutes les licences nécessaires au traitement des données du client, y compris les données du client qui font partie des données d'apprentissage automatique (telles que définies ci-dessous), et les données à caractère personnel au sein des données relatives aux menaces (telles que définies ci-dessous) afin de : (i) fournir les services ; (ii) améliorer la détection, l'analyse et la prévention des menaces ainsi que la sensibilisation aux menaces ; et/ou (iii) améliorer et développer les services.
9.2 Données relatives aux menaces. Dans le cadre des services, Mimecast traite certaines données raisonnablement identifiées comme étant malveillantes, y compris, sans s'y limiter, les données susceptibles de causer des violations de données, des infections par des logiciels malveillants, des cyberattaques ou d'autres activités menaçantes (collectivement, « données relatives aux menaces »). Mimecast traitera les données relatives aux menaces principalement en utilisant des processus automatisés et partagera certaines données relatives aux menaces avec des tiers au sein de l'écosystème de cybersécurité dans le but d'améliorer la détection, l'analyse et la prévention des menaces ainsi que la sensibilisation aux menaces. Dans certains cas, les données relatives aux menaces peuvent inclure des données à caractère personnel.
9.3 Données d'apprentissage automatique. Principalement par le biais de la reconnaissance automatisée des formes conçus pour développer et améliorer l'efficacité et la précision de nos algorithmes d'apprentissage automatique au sein des services, des données d'apprentissage automatique qui peuvent comprendre des données du client et d'autres données qui décrivent et/ou donnent des informations sur les données du client. Les « données d'apprentissage automatique » comprennent les métadonnées, les fichiers, les URL, les caractéristiques dérivées et d'autres données. Ces algorithmes d'apprentissage automatique sont hébergés par Xxxxxxxx et/ou des sous-traitants tiers. Les résultats de ces algorithmes d'apprentissage automatique sont la propriété de Mimecast, ne contiennent pas de données du client ou de données à caractére personnel, et sont anonymisés et irréversibles. Mimecast ne partagera pas les données d'apprentissage automatique avec des tiers.
9.4 Données d'utilisation agrégées. Certaines données agrégées dérivées des services, y compris les données d'utilisation, telles que les statistiques d'utilisation, les rapports, les journaux et les informations concernant les spams, les virus et/ou autres logiciels malveillants (« données d'utilisation agrégées ») sont traitées par Mimecast. Mimecast est propriétaire de toutes les données d'utilisation agrégées.
10. Confidentialité. Les dispositions de l'accord relatives à la confidentialité s'appliquent également au présent DPA et, le cas échéant, aux clauses contractuelles types conformément à la clause 6 de celui-ci.
11. Responsabilité.
11.1. Limites de responsabilité. Les parties conviennent que les sociétés affiliées de Mimecast et/ou les sous- traitants tiers qui traitent des données à caractère personnel dans le cadre des présentes seront liés par des obligations de protection des données non moins protectrices que les obligations de protection des données spécifiées dans le présent DPA et dans toutes les clauses contractuelles types conclues conformément à la clause 6 des présentes. Il est également convenu que la responsabilité globale des sociétés affiliés, des sous-traitants tiers et de Mimecast en vertu du présent DPA et de toutes les clauses contractuelles types conclues en vertu du présent DPA, ne sera pas supérieure à la responsabilité globale de Mimecast en vertu de l'accord, dans la mesure où le droit applicable à la protection des données permet une telle limitation de responsabilité. Si le client a contracté les services par l'intermédiaire d'un prestataire de services gérés (« MSP »), le client n'a aucun droit d'action direct contre Mimecast en ce qui concerne la prestation générale des services et/ou toute instruction reçue du MSP ou tout accès accordé par celui-ci ; dans ce cas, toutes les réclamations doivent être portées contre le MSP du client. Afin d'éviter toute ambiguïté, les limites de responsabilité définies dans l’accord s'appliquent également à ce DPA et à toute clause contractuelle type conclue conformément à la clause 6 du présent DPA. Ni le client ni aucune de ses sociétés affiliées autorisées n'ont le droit de recouvrer plus d'une fois les sommes dues au titre de la même réclamation en vertu du présent DPA.
11.2. Satisfaction de réclamations. En cas d'une réclamation du client à l'encontre d'une société affiliée de Mimecast en vertu des clauses contractuelles types, le client doit accepter pour satisfaire sa réclamation un paiement effectué par l'entreprise Mimecast avec laquelle le client a conclu l'accord, au nom de la société affiliée concernée de Mimecast.
12. Résiliation du DPA. La résiliation du présent DPA est régie par l'accord.
13. Conséquences de la résiliation. En cas de résiliation du présent DPA conformément à la clause 12, Xxxxxxxx doit, à la demande du client :
13.1 supprimer toutes les données du client traitées pour fournir les services, à moins que les lois, règlements, assignations à comparaître ou ordonnances judiciaires applicables n'exigent leur conservation; ou
13.2 aider le client à restituer au client des données à caractère personnel et de toute copie de celles-ci traitées par Xxxxxxxx pour le compte du client . Le client reconnaît et accepte que la nature des services implique que le client peut extraire une copie des données à caractère personnel à tout moment pendant la durée de l'accord et le fait de fournir les outils permettant au client de le faire sera suffisant pour démontrer que Xxxxxxxx s'est conformé à cette clause 13.2. Si le client demande à Xxxxxxxx d'extraire des données à caractère personnel pour son compte, le client doit engager Mimecast dans le cadre d'un projet de services professionnels, qui entraînera des frais supplémentaires; et
13.3 dans l'un ou l'autre cas, cesser de traiter les données à caractère personnel pour le compte du client, sauf dans la mesure où le traitement peut être exigé conformément à la clause 13.1 ci-dessus.
14. Droit applicable et juridiction. Sauf en ce qui concerne les transferts transfrontaliers visés à la clause 6, le présent DPA est régi et interprété à tous égards conformément aux dispositions relatives au droit applicable et à la juridiction figurant dans l'accord.
15. Parties au présent DPA. La section « COMMENT CE DPA SERA APPLIQUÉ » précise quelle entreprise Mimecast est partie à ce DPA. Nonobstant les signatures ci-dessous de toute autre entreprise Mimecast, ces autres entreprises Mimecast ne sont pas parties au présent DPA ou aux clauses contractuelles types.
Le présent DPA peut être exécuté en un nombre quelconque d'exemplaires; chacun d'entre eux constitue un original et témoigne du même accord entre les parties. Afin d'éviter toute ambiguïté, seule la signature de l'entreprise Mimecast qui fournit les services s'appliquera. Toutes les signatures au nom des autres entreprises Mimecast n'ont aucune force ou effet.
Client | Mimecast Services Limited |
Signature : | Signature : |
Nom : Titre : Date : Nom de la société : | Nom : Xxxxxxx Xxxxxxx Xxxxx : Déléguée à la protection des données (Data Protection Officer) October 31, 2023 | 12: Date : |
Mimecast South Africa (Pty) Limited | Mimecast Germany GmbH |
Signature : | Signature : |
Nom : Xxxxxxx Xxxxxxx Titre : Déléguée à la protection des données (Data Protection Officer) Date : October 31, 2023 | 12:55 PD
| Nom : Xxxxxxx Xxxxxxx Xxxxx : Déléguée à la protection des données (Data Protection Officer) T October 31, 2023 | 12:5 Date : |
Mimecast North America Inc. | Mimecast Australia Pty. Ltd. |
Signature : | Signature : |
Nom : Xxxxxxx Xxxxxxx Titre : Déléguée à la protection des données (Data Protection Officer) Date : October 31, 2023 | 12:55 PDT
| Nom : Xxxxxxx Xxxxxxx Xxxxx : Déléguée à la protection des données (Data Protection Officer) Date : October 31, 2023 | 12
|
Mimecast Singapore Pte Limited. Signature : Nom : Xxxxxxx Xxxxxxx Titre : Déléguée à la protection des données (Data Protection Officer) October 31, 2023 | 12:55 PDT Date : | Mimecast Canada Limited Signature : Nom : Xxxxxxx Xxxxxxx Xxxxx : Déléguée à la protection des données (Data Protection Officer) October 31, 2023 | 12:55 Date : |
55 PDT
5 PDT
:55 PDT
PDT
Annexe 1 du DPA Détails du traitement
Les détails du traitement concernant les services fournis par Mimecast sont indiqués ici : xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx-xxxxx-xxxxxx/xxxx-xxxxxx/xxxxxxxxxx-xxxxxxx/
Annexe 2 du DPA Sous-traitants tiers
Mimecast doit tenir à jour une liste des sous-traitants tiers : xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx- trust-center/gdpr-center/sub-processors/
Annexe 3 du DPA
Mesures de sécurité techniques et organisationnelles
Mimecast doit mettre en œuvre les mesures de sécurité techniques et organisationnelles spécifiées dans le centre de confiance xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxxxx-xxxxx-xxxxxx/xxxx-xxxxxx/xxxxxxxxx- organizational-measures/ comme norme minimale de sécurité. Le client reconnaît et accepte que la nature des services impliquera que les mesures techniques et organisationnelles peuvent être mises à jour par Mimecast de temps à autre, mais ces mises à jour ne doivent pas entraîner un niveau de sécurité inférieur à celui en place à la signature du présent DPA.