SPÉCIFICATION TEMPORAIRE DE L'ICANN
SPÉCIFICATION TEMPORAIRE DE L'ICANN
CONDITIONS TYPES D'AMENDEMENT DU CONTRAT ENTRE OPÉRATEURS DE REGISTRE ET BUREAUX D'ENREGISTREMENT
Dans le cadre de la spécification temporaire relative aux données d’enregistrement des gTLD adoptée le 17 mai 2018 par le Conseil d'administration de l'ICANN (la « Spécification temporaire
»), les opérateurs de registre doivent inclure dans leurs contrats entre opérateurs de registre et bureaux d'enregistrement des dispositions « relatives au traitement des données à caractère personnel de manière à respecter les exigences en vigueur posées par l'article 28 du RGPD ».
Afin d'assurer un tel respect, un opérateur de registre peut incorporer les conditions indiquées ci- après (ou des conditions sensiblement similaires) (les « Conditions types ») dans ses RRA ; une telle incorporation est réputée avoir été approuvée par l'ICANN (sous réserve des dispositions de l'article 6.3.2 de la spécification temporaire).
Les opérateurs de registre adopteront différentes approches eu égard à l'incorporation de ces conditions types dans leurs RRA. L'ICANN ne cherche pas à imposer une méthode spécifique d'incorporation des conditions types dans les RRA (par exemple par amendement, via un avenant, etc.), la seule obligation étant que ces conditions types soient effectivement incorporées et respectent la spécification temporaire.
Conditions types
Avenant du RRA relatif au traitement des données
Le présent AVENANT DU RRA RELATIF AU TRAITEMENT DES DONNÉES (l'« Avenant
relatif au traitement des données ») a été conclu entre l'opérateur de registre (l'« Opérateur de registre ») et le bureau d’enregistrement (le « Bureau d'enregistrement ») soussignés (individuellement une « Partie » et collectivement les « Parties »), entrera en vigueur le 25 mai 2018 et s'ajoute aux conditions générales du contrat entre opérateurs de registre et bureaux d'enregistrement (le « RRA ») conclu entre les Parties.
En cas de conflit entre le RRA, tel qu'amendé (y compris ses annexes), et le présent avenant relatif au traitement des données, les conditions du présent avenant relatif au traitement des données prévaudront. Les termes commençant par une majuscule non définis ci-dessous auront la signification qui leur est donnée dans le RRA.
1. INTRODUCTION
Le présent avenant relatif au traitement des données définit les responsabilités respectives des Parties pour le traitement des données à caractère personnel partagées en vertu du RRA. Il a pour but de garantir le traitement sécurisé des données à caractère personnel partagées conformément aux lois en vigueur et à son ou ses finalités prévues. Bien que le présent avenant relatif au traitement des données soit conclu entre l'opérateur de registre et le bureau d’enregistrement en tant qu'avenant au RRA, les finalités du traitement dépendent souvent des instructions ou des exigences de l'ICANN en sa qualité de responsable du traitement. Certaines finalités du traitement prévues par le RAA peuvent également dépendre des instructions du bureau d’enregistrement ou de l'opérateur de registre, chacun en sa qualité de responsable du traitement.
2. DÉFINITIONS
a) Contrats en vigueur. Désigne collectivement le présent avenant relatif au traitement des données, le contrat d'accréditation de bureau d'enregistrement (le « RAA »), le contrat de registre (le « Ra ») et le RRA, ces documents étant en vigueur et contraignant toute partie individuelle.
b) Lois en vigueur. Désigne le règlement général sur la protection des données (2016/679) (le « RGPD »), la directive sur la protection de la vie privée dans le secteur des communications électroniques (2002/58/EC), la Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2426/2003) (telle qu'amendée) et toutes autres lois et tous autres règlements au niveau mondial, y compris leurs successeurs ou les modifications qui y sont apportées, relatifs au traitement des données à caractère personnel partagées.
c) Partie divulgatrice. Désigne la partie qui transfère les données à caractère personnel partagées à la partie destinataire.
d) Autorité de protection des données. Désigne l'autorité de protection des données compétente dans l'État membre ou autre territoire où une partie au présent avenant relatif au traitement des données est établie ou que cette partie a identifiée comme principale autorité de contrôle, ou qui est compétente à l'égard d'une partie au présent avenant relatif au traitement des données.
e) Atteinte à la sécurité des données. Désigne une atteinte à la sécurité entraînant la destruction, la perte, la modification ou la divulgation accidentelle ou illicite des données à caractère personnel
partagées ou l'accès non autorisé à ces dernières, et qui est soumise aux dispositions de la section 6 ci-dessous.
f) Personne concernée. Désigne une personne physique identifiable qui peut être identifiée, directement ou indirectement, notamment eu égard à des données à caractère personnel.
g) Données personnelles. Désigne toute information telle que le nom, le numéro d'identification, les données de localisation, un identificateur en ligne ou toute information liée à l'identité individuelle physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique, qui peut être utilisée afin d'identifier directement ou indirectement une personne concernée.
h) Traitement. Désigne toute opération ou tout ensemble d'opérations réalisées sur les données à caractère personnel partagées, via des moyens automatisés ou non, et qui comprend la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autre mise à disposition, l'alignement ou la combinaison, la restriction, la suppression ou la destruction. Traitements, traiter, traités ou d'autres termes dérivés utilisés dans les présentes auront la même signification.
i) Finalité(s). La définition de ce terme est indiquée à la section 3 ci-dessous.
j) Partie destinataire. Xxxxxxx la partie à qui la partie divulgatrice a envoyé les données à caractère personnel partagées.
k) Données d’enregistrement. Désigne les données collectées par le bureau d’enregistrement en vertu du RAA et qui doivent être partagées avec l'opérateur de registre en vertu du RAA et du Ra.
l) Données à caractère personnel partagées. Désigne les données à caractère personnel saisies dans les champs des données d'enregistrement et qui sont traitées conformément aux contrats en vigueur.
m) Spécification temporaire. Désigne la « Spécification temporaire relative aux données d’enregistrement des gTLD » adoptée le 17 mai 2018 par le Conseil d'administration de l'ICANN, telle qu'éventuellement amendée ou complétée.
3. FINALITÉ, OBJET ET RÔLES
a) Finalité(s). Le traitement des données à caractère personnel partagées prévu par le présent avenant relatif au traitement des données est effectué par les parties aux seules finalités de la mise à disposition, de la maintenance, de la gestion et du maintien en vigueur de noms de domaine, tel que requis par les opérateurs de registre et les bureaux d’enregistrement en vertu des contrats en vigueur conclus avec l'ICANN, y compris si ces finalités visent à garantir la stabilité et la sécurité du système des noms de domaine et à favoriser l'utilisation licite, adéquate et légitime des services proposés par les parties. Seules les données à caractère personnel partagées sont soumises aux conditions du présent avenant relatif au traitement des données.
b) Objet. Le présent avenant relatif au traitement des données définit le cadre de protection des données à caractère personnel partagées aux finalités indiquées dans la présente section et définit les principes et procédures que doivent respecter les parties ainsi que les responsabilités des parties l'une à l'égard de l'autre. Les parties reconnaissent et conviennent collectivement que le traitement requis aux finalités susmentionnées doit être effectué à différents stades, ou parfois simultanément, par les parties. Ainsi, le présent avenant relatif au traitement des données
est tenu de veiller à ce que, en cas de traitement des données à caractère personnel partagées, un tel traitement respecte en tout temps les exigences des lois en vigueur.
c) Rôles et responsabilités. Les parties reconnaissent et conviennent que, eu égard au traitement des données à caractère personnel partagées aux fins du présent avenant relatif au traitement des données :
i. Les modalités du traitement sont définies et fixées à l'annexe 1 ;
ii. Chaque partie et l'ICANN peuvent agir en qualité de responsable du traitement ou de sous- traitant des données à caractère personnel tel que précisé à l'annexe C de la spécification temporaire ; et
iii. Bien que l'ICANN, l'opérateur de registre et le bureau d’enregistrement puissent chacun exercer la fonction, ou la fonction supplémentaire, de responsable du traitement ou de sous-traitant tout au long du cycle du traitement des données d'enregistrement en vertu des contrats en vigueur, aux fins du présent avenant relatif au traitement des données, seuls l'opérateur de registre et le bureau d'enregistrement sont concernés.
iv. Même si la ou les finalités ou l'objet ne sont pas expressément mentionnés ou précisés dans la description des droits, devoirs, responsabilités ou obligations prévus dans les présentes, les parties reconnaissent et conviennent mutuellement que la ou les finalités et l'objet constituent et constitueront en tout temps le fondement sur lequel le traitement licite et légitime prévu par les présentes peut être effectué.
4. TRAITEMENT LOYAL ET LICITE
a) Chaque partie veillera à traiter les données à caractère personnel partagées de manière loyale et licite conformément au présent avenant relatif au traitement des données et aux lois en vigueur.
b) Chaque partie veillera à traiter les données à caractère personnel partagées sur la base de l'un des fondements juridiques suivants :
i. La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
ii. Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
iii. Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
iv. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ; ou
v. Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
5. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PARTAGÉES
a) Toutes les parties conviennent d'être responsables du traitement des données à caractère personnel partagées conformément aux lois en vigueur et au présent avenant relatif au traitement des données. Les parties coopéreront sans réserve l'une avec l'autre dans la mesure où cela
s'avère nécessaire afin de procéder aux corrections, amendements, restrictions ou suppressions des données à caractère personnel requis par les lois en vigueur et/ou sur demande d'une personne concernée.
b) Une partie peut uniquement transférer les données à caractère personnel partagées portant sur des ressortissants de l'UE hors de l'Espace économique européen (l'« EEE ») (ou si ces données à caractère personnel partagées se trouvent déjà hors de l'EEE, à un tiers se trouvant également hors de l'EEE) dans le respect des conditions du présent avenant relatif au traitement des données et des exigences des lois en vigueur, ces dernières comprenant toute décision d'adéquation de la Commission européenne ou le recours à des clauses contractuelles types de l'UE. Lorsque des clauses contractuelles types pour des transferts de données entre des pays de l'UE et des pays n'appartenant pas à l'UE doivent être adoptées entre les parties, elles sont disponibles et peuvent être téléchargées, à des fins d'incorporation aux présentes lors de la signature en tant que partie intégrante du présent avenant relatif au traitement des données, sur xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/xx/XXX/?xxxxXXXXX%0X00000X0000 (ou tout autre lien éventuellement mis à jour).
c) Une partie doit immédiatement informer l'autre partie et l'ICANN si, à son avis, les instructions ou les exigences de l'ICANN prévues par les contrats en vigueur violent les lois en vigueur.
d) L'ensemble des données à caractère personnel partagées doivent être traitées en toute confidentialité et une partie doit informer tous ses employés ou agents agréés intervenant dans le traitement des données à caractère personnel partagées de la nature confidentielle des données à caractère personnel partagées et veiller à ce que ces individus ou parties aient signé un accord de confidentialité valable afin de préserver la confidentialité des données à caractère personnel partagées.
e) Lorsqu'une partie traite des données à caractère personnel partagées, elle reconnaît et convient d'être responsable du maintien de mesures adéquates en matière d'organisation et de sécurité assurant la protection desdites données à caractère personnel partagées conformément à toutes les lois en vigueur. Les mesures adéquates en matière d'organisation et de sécurité sont indiquées plus en détail à la section 5 du présent avenant relatif au traitement des données. Elles comprennent en général :
i. Des mesures visant à garantir que seuls les individus autorisés aux fins du présent avenant relatif au traitement des données peuvent accéder aux données à caractère personnel partagées ;
ii. La pseudonymisation et le chiffrement des données à caractère personnel partagées, si cela s'avère nécessaire ou judicieux ;
iii. La capacité d'assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
iv. La capacité de restaurer la disponibilité des données à caractère personnel partagées et l'accès à ces dernières en temps opportun ;
v. Un processus permettant de tester, d'apprécier et d'évaluer l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement des données à caractère personnel partagées ; et
vi. Des mesures visant à identifier les vulnérabilités du traitement des données à caractère personnel partagées dans les systèmes.
f) Dans l'hypothèse où la partie destinataire conclurait un contrat avec un sous-traitant, un fournisseur ou autre tiers afin de faciliter l'exécution des obligations lui incombant en vertu des contrats en vigueur, elle devra signer un accord écrit avec ledit tiers afin de s'assurer que ce dernier respecte également les conditions du présent avenant relatif au traitement des données.
g) La partie qui emploie un sous-traitant, un fournisseur ou autre tiers afin de faciliter l'exécution des obligations lui incombant en vertu du présent avenant relatif au traitement des données est et demeurera pleinement responsable des actes dudit tiers si ce dernier ne respecte pas les obligations lui incombant en vertu du présent avenant relatif au traitement des données (ou accord contractuel similaire conclu afin d'imposer au tiers des obligations équivalentes à celles incombant à la partie destinataire en vertu du présent avenant relatif au traitement des données) ou en vertu des lois en vigueur.
h) À ses propres frais, chaque partie défendra, indemnisera et dégagera de toute responsabilité l'autre partie en cas de plaintes, dettes, coûts et dépenses découlant de ou liés à (i) une atteinte à la sécurité des données, (ii) une violation des lois en vigueur, et (iii) une violation du présent avenant relatif au traitement des données, si l'atteinte ou la violation en question prend sa source dans des actes ou omissions volontaires ou dus à une négligence de la partie fautive.
i) Concernant les données à caractère personnel partagées, les parties veilleront à ce que leurs avis de confidentialité soient clairs et fournissent suffisamment d'informations aux personnes concernées afin qu'elles puissent savoir quelles données à caractère personnel sont incluses dans les données à caractère personnel partagées, les circonstances dans lesquelles elles seront partagées, les finalités du partage des données à caractère personnel, et afin qu'elles puissent soit connaître l'identité avec laquelle les données à caractère personnel sont partagées soit avoir une description du type d'organisation qui recevra les données à caractère personnel partagées.
j) Les parties s'engagent à informer les personnes concernées des finalités pour lesquelles elles traiteront les données à caractère personnel partagées et à fournir toutes les informations qu'elles doivent fournir conformément aux lois en vigueur, afin de s'assurer que les personnes concernées comprennent la façon dont leurs données à caractère personnel seront traitées.
k) Les données à caractère personnel partagées ne doivent pas être dépourvues d'intérêt ou excessives au regard des finalités.
l) Sous réserve des instructions de la personne concernée, les parties garantiront l'exactitude des données à caractère personnel partagées. Si une partie se rend compte d'inexactitudes dans les données à caractère personnel partagées, elle en informera, s'il y a lieu, les autres parties afin de permettre à ces données d'être rectifiées en temps opportun.
6. SÉCURITÉ
a) La partie divulgatrice sera responsable de la sécurité de la transmission à la partie destinataire de données à caractère personnel partagées et mettra en place à cet effet des mécanismes de protection adéquats et des contrôles de sécurité des informations techniques.
b) L'ensemble des parties conviennent de mettre en œuvre des mesures techniques et organisationnelles adéquates visant à protéger les données à caractère personnel partagées en leur possession contre le traitement non autorisé ou illicite et contre toute perte, toute destruction, tout dommage, toute modification ou toute divulgation accidentel. Ces mesures consisteront notamment à :
i. Veiller à ce que les équipements informatiques, dont les équipements portables, soient conservés dans des zones verrouillables lorsqu'ils ne sont pas utilisés ;
ii. Ne pas laisser sans surveillance des équipements portables contenant les données à caractère personnel partagées ;
iii. Veiller à bien utiliser des mots de passe sécurisés pour la connexion à des systèmes ou des bases de données contenant les données à caractère personnel partagées ;
iv. Veiller à ce que tous les équipements informatiques soient protégés par des logiciels antivirus, des pare-feu, des mots de passe et des dispositifs de chiffrement adaptés ;
v. Utiliser un chiffrement AES 256 bits standard ou un équivalent approprié, si cela s'avère nécessaire ou judicieux ;
vi. Limiter l'accès à des bases de données et systèmes importants aux directeurs, membres du personnel, agents, fournisseurs et sous-traitants ayant besoin d'accéder aux données à caractère personnel partagées, et veiller à mettre en place des mécanismes de sécurité par mots de passe afin d'empêcher tout accès non autorisé par des individus qui ne sont plus engagés par la partie ;
vii. Mener régulièrement des évaluations des menaces ou des tests d'intrusion sur les systèmes, si cela est jugé nécessaire au vu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques dont la probabilité et la gravité varient, en tenant dûment compte de la nature des données détenues, du coût de mise en œuvre et de l'état de la technique ;
viii. S'assurer que tous les individus autorisés participant au traitement des données à caractère personnel partagées sont au courant de leurs responsabilités eu égard au traitement des données à caractère personnel partagées ; et
ix. Permettre que des inspections et des évaluations soient menées par le responsable du traitement quant aux mesures de sécurité prises, ou fournir des preuves de ces mesures, si demande en est faite.
7. NOTIFICATION D'ATTEINTE À LA SÉCURITÉ
a) Délai de notification. Si une partie prend connaissance d'une atteinte à la sécurité des données par un sous-traitant eu égard aux données à caractère personnel partagées, et si ladite atteinte a un impact significatif sur le présent avenant relatif au traitement des données ou pourrait avoir un impact significatif sur les parties, la partie concernée en informera immédiatement les parties et fournira sans tarder des précisions sur l'impact que cet incident pourrait avoir/aura sur les parties touchées, y compris, le cas échéant, les impacts escomptés sur les droits et les libertés des personnes concernées. Une telle notification sera fournie dès que possible mais dans tous les cas dans un délai maximum de 24 heures à compter de la prise de connaissance de l'atteinte à la sécurité des données. Aucune disposition de la présente section ne sera interprétée comme limitant ou modifiant une obligation quelconque de notification incombant à une partie en vertu des lois en vigueur.
b) Format et contenu de la notification. La notification d'une atteinte à la sécurité des données sera fournie par écrit au contact administratif/à la personne ressource identifié par les parties ; toutefois, cette communication pourra être effectuée dans un premier temps au téléphone. Dans la mesure du possible, la partie notifiante doit fournir les informations suivantes ainsi que d'autres mises à jour au fur et à mesure que de nouvelles informations sont connues :
i. Une description de la nature de l'incident et des éventuelles conséquences de l'incident ;
ii. Le délai de résolution escompté (s'il est connu) ;
iii. Une description des mesures prises ou proposées afin de résoudre l'incident, y compris des mesures visant à réduire ses éventuels effets néfastes sur les parties et/ou les données à caractère personnel partagées ;
iv. Les catégories et le volume approximatif de données à caractère personnel partagées et d'individus potentiellement touchés par l'incident, et les conséquences probables de l'incident sur ces données à caractère personnel partagées et les individus qui y sont associés ; et
v. Le nom et le numéro de téléphone d'un représentant que la partie peut contacter afin d'obtenir des nouvelles sur l'incident.
c) Ressources en matière de sécurité. Les parties peuvent, d'un commun accord, fournir des ressources de ses groupes chargés de la sécurité afin d'apporter une aide en cas d'atteinte à la sécurité des données dans le but de respecter leurs obligations en matière de notification d'atteinte à la sécurité des données prévues par les lois en vigueur ou autres obligations ou exigences en la matière.
d) Incidents de sécurité déjoués. Un incident de sécurité déjoué ne sera pas soumis aux conditions du présent avenant relatif au traitement des données. Un incident de sécurité déjoué est un incident qui ne débouche pas sur un accès ou une acquisition non autorisé des données à caractère personnel partagées et peut comprendre, sans limitation, des pings et autres attaques par diffusion sur des pare-feu ou des serveurs périphériques, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, des reniflages de paquets (ou autre accès non autorisé à des données de trafic ne débouchant pas sur un accès au-delà des en-têtes) ou incidents similaires.
e) Exigences supplémentaires en matière de notification. Aux fins de la présente section, une partie est également tenue de fournir une notification conformément à la présente section en réponse à :
i. Une plainte ou objection à l'égard du traitement ou d'une demande d'exercice des droits d'une personne concernée prévus par les lois en vigueur ; et
ii. Une enquête sur les données à caractère personnel partagées ou une saisie de ces données par des représentants du gouvernement, une agence de réglementation ou chargée de l'application de la loi, ou des indications laissant penser qu'une telle enquête ou saisie est envisagée.
8. DROITS DE LA PERSONNE CONCERNÉE
a) Les responsables du traitement ont certaines obligations leur imposant de répondre aux demandes d'une personne concernée dont les données à caractère personnel sont en cours de traitement en vertu du présent avenant relatif au traitement des données et qui souhaite exercer l'un des droits dont elle dispose en vertu des lois en vigueur, y compris, mais sans limitation :
(i) le droit d'accès et de mise à jour ; (ii) le droit de portabilité des données ; (iii) le droit à l'effacement ; (iv) le droit de rectification ; (v) le droit d'opposition à une prise de décision automatisée ; ou (vi) le droit d'opposition au traitement.
b) Les personnes concernées ont le droit d'obtenir certaines informations relatives au traitement de leurs données à caractère personnel via une demande d'accès aux informations personnelles (la
« Demande d'accès aux informations personnelles »). Les parties tiendront un registre contenant les demandes d'accès aux informations personnelles, les décisions prises et toutes informations échangées. Ce registre doit inclure des copies de la demande d'information, des informations précises sur les données transmises et partagées et, le cas échéant, les comptes rendus de réunions, la correspondance ou les appels téléphoniques liés à la demande.
c) Les parties conviennent que l'obligation de donner suite à une demande d'accès à des informations personnelles incombe à la partie recevant la demande d'accès à des informations personnelles portant sur les données à caractère personnel détenues par cette partie, mais que toutes décisions finales prises par le responsable du traitement prévaudront.
d) Les parties conviennent de se fournir une aide mutuelle raisonnable et rapide (dans un délai de 5 jours ouvrables à compter de la réception de la demande d'aide) tel que requis afin d'être en mesure de donner suite aux demandes d'accès à des informations personnelles et de répondre à toutes autres requêtes ou plaintes des personnes concernées.
9. CONSERVATION ET SUPPRESSION DES DONNÉES
Nonobstant toutes dispositions contraires prévues par les contrats en vigueur, les parties conserveront les données à caractère personnel partagées uniquement si cela s'avère nécessaire afin d'atteindre les finalités, conformément à la spécification temporaire et tel que permis par les lois en vigueur, et effaceront ou restitueront par la suite en conséquence toutes les données à caractère personnel partagées.
10. TRANSFERTS
a) Aux fins du présent avenant relatif au traitement des données, les transferts de données à caractère personnel incluent tout partage de données à caractère personnel partagées et comprendront, sans s'y limiter, ce qui suit :
i. Les transferts entre les parties pour les finalités envisagées dans le présent avenant relatif au traitement des données ou dans l'un quelconque des contrats en vigueur ;
ii. La divulgation des données à caractère personnel partagées à un autre tiers quelconque sur la base d'un fondement juridique valide afin d'atteindre les finalités ;
iii. La publication des données à caractère personnel partagées via tout support, y compris, sans s'y limiter, dans des services d'annuaire de données d'enregistrement publics ;
iv. Le transfert et le stockage par la partie destinataire de toutes données à caractère personnel partagées au sein de l'EEE vers des serveurs situés en dehors de l'EEE ; et
v. L'octroi à un tiers situé en dehors de l'EEE de droits d'accès aux données à caractère personnel partagées.
b) Aucune partie ne divulguera ou ne transférera de données à caractère personnel partagées en dehors de l'EEE sans veiller à ce que les données à caractère personnel partagées bénéficient de protections adéquates et équivalentes.
11. RÉSOLUTION DE LITIGES
a) En cas de litige ou de plainte déposée par une personne concernée ou une autorité de protection des données compétente à l'encontre d'une partie concernant le traitement des données à caractère personnel partagées, les parties concernées s'informeront mutuellement de ces litiges ou plaintes et coopéreront de sorte à parvenir à un accord à l'amiable en temps opportun.
b) Les parties conviennent de répondre à toute procédure de médiation non contraignante disponible engagée par une personne concernée ou par une autorité de protection des données. Si elles participent à une telle procédure, les parties peuvent choisir de le faire à distance (par exemple par téléphone ou autre moyen électronique). Les parties conviennent également d'envisager de participer à d'autres procédures d'arbitrage, de médiation ou de résolution des litiges définies pour les litiges relatifs à la protection des données.
c) Eu égard aux atteintes à la sécurité des données ou à toute violation du présent avenant relatif au traitement des données, chaque partie se pliera à la décision d'un tribunal compétent du pays d'établissement de la partie plaignante ou à toute décision contraignante de l'autorité de protection des données compétente.
12. IMPACT DES MODIFICATIONS ; NOUVELLES RÈGLES
Dans l'hypothèse où le Conseil d’administration de l'ICANN adopterait des modifications de la spécification temporaire (un « Événement déclencheur »), l'opérateur de registre pourra informer le bureau d’enregistrement desdites modifications, et lorsque l'ICANN publiera la spécification temporaire mise à jour sur son site web, les modifications seront également adoptées et incorporées automatiquement au présent avenant relatif au traitement des données.
Le bureau d’enregistrement disposera d'un délai de trente (30) jours afin d'accepter ou de rejeter les modifications proposées ; un rejet peut entraîner la résiliation du RRA. Si le bureau d’enregistrement ne répond pas dans un délai de trente (30) jours à compter de la réception de la notification, il sera réputé avoir accepté les modifications apportées au présent avenant relatif au traitement des données.
Dans l'hypothèse où les lois en vigueur seraient amendées tel que l'avenant relatif au traitement des données ne serait plus à même de régir le traitement licite des données à caractère personnel partagées et en cas d'absence d'événement déclencheur, les parties conviennent de négocier en toute bonne foi la révision et la mise à jour du présent avenant relatif au traitement des données à la lumière des nouvelles lois.
Annexe 1
INFORMATIONS DÉTAILLÉES RELATIVES AU TRAITEMENT
1. Nature et finalité du traitement. Les parties traiteront les données à caractère personnel partagées uniquement si cela s'avère nécessaire à l'exécution des contrats en vigueur, et sous réserve du présent avenant relatif au traitement des données, et en respectant également les instructions ultérieures des personnes concernées.
2. Durée du traitement. Les parties traiteront les données à caractère personnel partagées pendant toute la durée du RRA auquel le présent avenant relatif au traitement des données renvoie, mais respecteront les conditions du présent avenant relatif au traitement des données pendant toute la durée du traitement si ladite durée du traitement est supérieure à la durée du RRA, et sauf accord écrit contraire.
3. Type de données à caractère personnel. Les personnes concernées peuvent fournir les données à caractère personnel partagées suivantes eu égard à l'acquisition d'un nom de domaine auprès d'un bureau d’enregistrement :
Nom du titulaire du nom de domaine : exemple de titulaire de nom de domaine Rue : 0000 Xxxxxxxxx Xxx
Ville : Marina del Rey État/Province : CA Code postal : 90292 Pays : États-Unis
Numéro de téléphone : +1.3105551212 Numéro de fax : +1.3105551213
E-mail : xxxxxxxxxx@xxxxxxx.xxx Contact administratif : Xxxx Xxxxxxxxxx Numéro de téléphone : +1.3105551214 Numéro de fax : +1.3105551213
E-mail : xxxxxxxxxxxxx@xxxxxxx-xxxxxxxxxx.xxx Contact technique : Xxxx Xxxx
Numéro de téléphone : +1.3105551215 Numéro de fax : +1.3105551216