aryaka aryaka

ARYAKA NETWORKS – ADDENDUM SUR LA PROTECTION DES DONNÉES – GDPR / CCPA

Notes préliminaires – L’accord de protection des données suivant :

  • est rédigé de manière à incorporer les termes requis par
    (A) l’article 28 du Règlement général sur la protection des données (RGPD) 2016/679 entre les  » responsables du traitement  » et les  » sous-traitants  » lorsque le Fournisseur (Aryaka) agit en tant que sous-traitant de données, et
    (B) la loi californienne de 2018 sur la protection des consommateurs (CCPA) lorsque le fournisseur, le client ou les deux agissent en tant qu' » entreprise  » ;
  • est de protéger les « données personnelles » des « personnes concernées » en vertu du GDPR et de protéger les « informations personnelles » des « consommateurs » en vertu du CCPA ; et
  • est destiné à être annexé en tant qu’addendum ou annexe au contrat sous-jacent (accord-cadre de souscription) – il ne s’agit pas d’un accord autonome.

ACCORD SUR LA PROTECTION DES DONNÉES

(couvrant l’Espace économique européen (GDPR), la Californie (CCPA) et ailleurs)

Les termes et conditions suivants du présent accord de protection des données du fournisseur (le « DPA ») sont conclus entre le fournisseur et l’entreprise.
DPA« ) sont conclues entre [INSERT CUSTOMER ENTITY](« Client« ) en son nom et au nom de ses affiliés autorisés et Aryaka Networks, Inc. en son nom et au nom de ses affiliés (collectivement, le « Fournisseur« ) et s’applique aux Contrats et en fait partie intégrante, chacun étant une « Partie« , ensemble les « Parties« .
Aux fins du présent DPA uniquement, et sauf indication contraire, le terme « Client » comprend le Client et ses Sociétés affiliées autorisées.

CONTEXTE

  1. Le Fournisseur a conclu un ou plusieurs Contrats d’abonnement principaux, bons de commande, contrats, accords et autres (les « Contrats« ) avec le Client, qui peut inclure des Affiliés autorisés.
  2. Dans le cadre de la fourniture des services prévus par les contrats (les « services« ), le fournisseur peut traiter les données personnelles du client ou les informations personnelles du consommateur contrôlées par le client ou ses clients, fournisseurs ou partenaires commerciaux respectifs.
  3. Dans le cadre de leurs programmes de protection de la vie privée et de leurs accords contractuels, les parties ont donné certaines garanties à leurs employés, entrepreneurs indépendants, candidats, clients, consommateurs, fournisseurs ou partenaires commerciaux afin d’assurer une protection appropriée des données à caractère personnel des clients et des informations à caractère personnel des consommateurs.
  4. Par conséquent, les parties souhaitent être soumises à certaines lois, règles et réglementations en matière de protection des données dans l’Espace économique européen, en Californie (États-Unis) et dans toutes les autres régions du monde (les « lois applicables en matière de protection de la vie privée ») en vertu du présent DPA.

Accord

1. DÉFINITIONS

  • 1.1 « Affilié » : toute entité qui est directement ou indirectement contrôlée par une partie, qui la contrôle ou qui est sous contrôle commun avec elle. Aux fins de la présente définition, on entend par « contrôle » la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité concernée.
  • 1.2 « Lois applicables en matière de protection de la vie privée » signifie
    (a) toutes les lois et réglementations mondiales en matière de protection des données et de la vie privée applicables aux Données personnelles du Client et aux Informations personnelles du Consommateur en question,
    (b) y compris, le cas échéant, la loi sur la protection des données de l’EEE et
    (c) la loi californienne sur la protection des consommateurs.
  • 1.3 « Affilié autorisé »: tout affilié du client autorisé à bénéficier des services en vertu des contrats ou en bénéficiant d’une autre manière.
  • 1.4 « Personnes autorisées » : toute personne qui traite des données à caractère personnel ou des informations à caractère personnel en vertu du présent DPA pour le compte d’une partie, y compris les employés, dirigeants, administrateurs, partenaires, mandants, agents, représentants, contractants et, dans le cas du fournisseur, ses sous-traitants.
  • 1.5 « Entreprise » ou « entreprise » désigne, au sens de la CCPA, toute personne morale à but lucratif qui exerce son activité dans l’État de Californie, collecte et contrôle les informations personnelles des consommateurs et remplit un ou plusieurs des critères suivants :
    (a) revenus bruts annuels supérieurs à 25 millions de dollars américains,
    (b) seul ou en combinaison, il achète, reçoit, vend ou partage à des fins commerciales les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils sur une base annuelle, et
    (c) tire 50 % ou plus de ses revenus annuels de la vente d’informations personnelles de consommateurs.
    Une « entreprise » comprend également toute entité qui contrôle ou est contrôlée par une entreprise répondant à ces critères.
    Pour éviter toute ambiguïté, les « clients » qui sont également des responsables du traitement au sens du GDPR sont considérés comme des « entreprises » aux fins du présent accord.
  • 1.6 « California ConsumerProtection Act » ou « CCPA » désigne le California Consumer Protection Act de 2018, en particulier le projet de loi n° 375 de l’Assemblée de Californie de 2017, session ordinaire de 2017-2018 (modifiant la partie 4 de la division 3 du code civil de Californie), modifié par le projet de loi n° 1121 du Sénat de Californie de 2017, qui définit les « informations personnelles » soumises à sa protection et accorde aux consommateurs des droits étendus pour contrôler ces informations, qui entrera en vigueur vers le 1er janvier 2020 et sera applicable à partir du 1er juin 2020 (tel qu’il est remplacé, modifié ou remplacé).
  • 1.7 « Consommateur » ou « consumer » désigne, en vertu de la CCPA, toute personne physique résidant en Californie à laquelle se rapportent des informations personnelles, à l’exclusion des entreprises individuelles, des sociétés de personnes, des sociétés à responsabilité limitée ou des sociétés de capitaux, ainsi que de certaines autres entités juridiques spécifiées dans la CCPA.
  • 1.8 « Données personnelles du Client » ou « Données du Client » signifie et inclut toutes les informations personnelles et les données personnelles, sauf indication contraire
    (i) fournies au Fournisseur par le Client ou sur son ordre en relation avec les Services ;
    (ii) créées ou obtenues par le Fournisseur pour le compte du Client dans le cadre de l’exécution des Services ; ou
    (iii) auxquelles le Fournisseur accède sur instruction du Client, dans le cadre de l’exécution par le Fournisseur des Contrats, étant entendu que les Services n’accèdent pas, et que dans le cadre normal de la fourniture des Services, le Fournisseur n’accède pas aux Informations Personnelles ou aux Données Personnelles ou à toute information personnellement identifiable, mais qu’il fournit un réseau étendu défini par logiciel (SD-WAN) propriétaire sur lequel les données sont transportées.
    Pour éviter toute ambiguïté, les « Clients » qui sont également des responsables du traitement en vertu du GDPR sont considérés comme des « Entreprises » aux fins du présent Accord.
  • 1.9 « Responsable du traitement » : l’entité qui détermine les finalités et les moyens du traitement des données à caractère personnel ou des informations à caractère personnel.
  • 1.10« Clauses types C2C » : les Clauses contractuelles types pour les responsables du traitement approuvées par la Commission européenne et disponibles à l’adresse http://ec.europa.eu/justice/data-protection/international-transfers/file s/clauses_for_personal_data_transfer_set_ii_c2004-5721.doc (telles que modifiées, remplacées ou mises à jour de temps à autre).
    La version actuelle (à la date d’entrée en vigueur) de ces clauses figure à l’annexe 1.8. l’annexe 1.8 de ce DPA.
  • 1.11« Clauses types C2P » : les Clauses contractuelles types pour les sous-traitants, approuvées par la Commission européenne et disponibles à l’adresse https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.
    (telles que modifiées, remplacées ou mises à jour de temps à autre).
    La version actuelle (à la date d’entrée en vigueur) de ces clauses figure à l’annexe 1.9. l’annexe 1.9 de ce DPA.
  • 1.12 « Personne concernée » ou « personne concernée » : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
  • 1.13 « Loi sur la protection des données dans l’EEE » désigne (i) avant le 25 mai 2018, la Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel des clients et à la libre circulation de ces données (la  » Directive « ) ; et à partir du 25 mai 2018, le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel des clients et à la libre circulation de ces données (le«  Règlement général sur la protection des données « ) ( » RGPD« ) ;
    (ii) la directive sur la vie privée et les communications électroniques (directive 2002/58/CE) ; et
    (iii) toute loi nationale sur la protection des données adoptée en vertu de ou en application de
    (i) ou
    (ii) (dans chaque cas, tel qu’annulé, modifié ou remplacé).
  • 1.14 Les termes« données à caractère personnel« ,  » informations à caractère personnel »,« traitement« ,  » vendre », « collecter » et « autorité de contrôle » ont respectivement la signification qui leur est donnée dans la loi applicable en matière de protection de la vie privée.
  • 1.15« Bouclier de protection de la vie privée » : les cadres du bouclier de protection de la vie privée UE-États-Unis et Suisse-États-Unis, tels qu’administrés par le ministère américain du commerce.
  • 1.16 » Principes du bouclier de protection de la vie privée  » désigne les principes du cadre du bouclier de protection de la vie privée (complétés par les principes supplémentaires) figurant à l’annexe II de la décision de la Commission européenne du 12 juillet 2016 en application de la directive, dont les détails peuvent être consultés à l’adresse suivante : www.privacyshield.gov/eu-us-framework.
  • 1.17 « Processeur » désigne l’entité qui traite les données personnelles ou les informations personnelles au nom du contrôleur.
  • 1.18 « Règles d’entreprise contraignantesdu sous-traitant » : les règles d’entreprise contraignantes du sous-traitant (ou BCR-P) du fournisseur qui ont été approuvées par une autorité de contrôle.
  • 1.19 « Incident de sécurité » : toute violation non autorisée ou illégale de la sécurité entraînant, ou dont on peut raisonnablement penser qu’elle a entraîné, la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès à des données à caractère personnel ou à des informations à caractère personnel transmises, stockées ou traitées d’une autre manière par le Fournisseur ou ses Sous-Traitants.
  • 1.20 « Sous-Traitant » désigne tout sous-traitant engagé par le Fournisseur ou ses Affiliés pour l’aider à remplir ses obligations relatives à la fourniture des Services et qui traite les Données du Client.

2. CHAMP D’APPLICATION, EXIGENCES DU GDPR / CCPA, DROITS ET RECOURS

  • 2.1 Le présent accord couvre la protection, en vertu du GDPR, des données personnelles des personnes concernées qui sont contrôlées ou traitées par les responsables du traitement et les sous-traitants, et la protection, en vertu de la CCPA, des informations personnelles des consommateurs qui sont collectées ou utilisées par les entreprises.
    Les responsables du traitement des données et les sous-traitants sont considérés comme des « entreprises » dans le cadre du présent accord.     En particulier :
    (a) En ce qui concerne le GDPR : S’applique au traitement des données à caractère personnel :
    (i) concernant des personnes concernées de l’UE ou de pays tiers dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant dans l’UE, que le traitement ait lieu dans l’UE ou non, et
    (ii) des personnes concernées de l’UE par des responsables du traitement ou des sous-traitants situés en dehors de l’UE si les activités de traitement sont liées à l’offre de biens ou de services à des personnes résidant dans l’UE ou à la surveillance de leur comportement.
    (b) En ce qui concerne la CCPA : S’applique aux entreprises situées à l’intérieur ou à l’extérieur de la Californie si des informations personnelles concernant des consommateurs californiens sont collectées.
    Pour plus de clarté, les protections de la CCPA sont associées aux résidents californiens.
    Par conséquent, toute entreprise qui « fait des affaires » en Californie, quel que soit son emplacement physique, peut être couverte par la CCPA en raison de son interaction avec les résidents californiens.
  • 2.2 Rôles des parties et détails du traitement. Le Fournisseur traitera les Informations personnelles et les Données personnelles dans le cadre des Contrats en tant que Sous-traitant agissant pour le compte du Client.
    Le Fournisseur convient qu’il traitera les Informations et Données à caractère personnel comme décrit à l’Annexe A, qui fait partie intégrante du présent DPA.
  • 2.3 Traitement des données et informations par le Fournisseur. Le Fournisseur traitera à tout moment les Informations Personnelles et les Données Personnelles uniquement dans le but de fournir les Services au Client en vertu des Contrats et conformément aux instructions documentées du Client.

  • 2.4 Obligations de notification du Fournisseur concernant les instructions du Client. Le Fournisseur notifiera promptement le Client par écrit, à moins qu’il ne lui soit interdit de le faire en vertu du droit applicable en matière de protection de la vie privée, dans les cas suivants :

    1. Il apprend ou croit qu’une instruction de traitement des données donnée par le client viole le droit applicable en matière de protection de la vie privée ;
    2. Il n’est pas en mesure de respecter les instructions du client en matière de traitement des données pour quelque raison que ce soit ; ou
    3. Elle n’est pas en mesure de respecter les conditions des contrats (y compris le présent DPA) dans la mesure où elles concernent ou régissent le traitement des informations ou des données à caractère personnel ou la sécurité des informations ou des données à caractère personnel, pour quelque raison que ce soit.

  • 2.5 Exigences en matière d’information :

    • (a) En ce qui concerne la CCPA : (i) à la réception d’une demande de divulgation par un consommateur des catégories et des éléments spécifiques d’informations personnelles qu’une entreprise a collectées sur ce consommateur, l’entreprise doit fournir gratuitement ces informations au consommateur dans les 45 jours suivant la réception d’une demande vérifiable. Le délai de communication peut être prolongé une fois de 45 jours supplémentaires moyennant notification au consommateur. Les informations peuvent être communiquées par courrier ou par voie électronique. Toutefois, les informations électroniques doivent être fournies dans un format portable dans la mesure du possible. (ii) Les entreprises qui collectent les informations personnelles d’un consommateur doivent, avant ou au moment de la collecte, informer le consommateur des catégories d’informations personnelles qui seront collectées et des finalités pour lesquelles ces catégories d’informations personnelles seront utilisées. Les entreprises ne doivent pas collecter d’autres catégories de données personnelles, ni utiliser les informations collectées à d’autres fins, sans en avertir le consommateur. (iii) Les entreprises doivent inclure les informations visées aux points 2.5(a)(i) et 2.5(a)(ii) dans leur politique de protection de la vie privée et la mettre à jour au moins une fois tous les 12 mois.
    • (b) En ce qui concerne le GDPR : (i) Une liste d’informations doit être fournie aux personnes concernées (A) au moment où leurs données personnelles sont obtenues si elles ont été collectées directement auprès d’elles, ou (B) dans les 30 jours ou dans d’autres délais applicables par la suite spécifiés dans la loi sur la protection de la vie privée applicable si leurs données personnelles n’ont pas été collectées directement auprès d’elles, à moins que la fourniture de ces données ne soit impossible ou n’implique un effort disproportionné. (ii) La liste des informations à fournir comprend l’identité et les coordonnées du responsable du traitement, les coordonnées du délégué à la protection des données, les finalités et les bases juridiques du traitement, les destinataires des données à caractère personnel, la période de conservation des données à caractère personnel, les droits des personnes concernées et les garanties appropriées utilisées pour transférer les données à caractère personnel hors de l’UE. (iii) Les informations visées aux points 2.5(b)(i) et 2.5(b)(ii) doivent être incluses dans une politique ou un avis tel que l’avis sur la politique de confidentialité du responsable du traitement ou du sous-traitant ou une politique spécifique au GDPR.

  • 2.6 Exigences en matière de consentement :

    • (a) En ce qui concerne le CCPA : Afin de se conformer aux dispositions relatives à l’option de refus des consommateurs, les entreprises doivent mettre à disposition au moins deux méthodes désignées pour soumettre des demandes de divulgation d’informations, y compris, au minimum, un numéro de téléphone gratuit et un site web public.
      Les sites web des entreprises doivent comporter un lien clair et visible intitulé « Ne vendez pas mes informations personnelles » qui permet aux consommateurs de refuser la vente de leurs informations personnelles.
      En outre, les entreprises doivent fournir une description du droit des consommateurs à refuser la vente de leurs informations personnelles, ainsi que le lien susmentionné, dans les politiques de confidentialité de leur site web ou dans toute description spécifique à la Californie des droits des consommateurs en matière de protection de la vie privée.
      Les entreprises doivent également indiquer, sous une forme raisonnablement accessible aux consommateurs et conformément à une procédure spécifique, que les consommateurs ont le droit de demander que leurs informations personnelles soient supprimées.
    • (b) En ce qui concerne le GDPR : Si le traitement des données personnelles est fondé sur le consentement de la personne concernée, le responsable du traitement ou le sous-traitant comprennent et acceptent que ce consentement doit être défini comme suit dans la loi sur la protection de la vie privée applicable : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action positive claire, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

  • 2.7 Exigences en matière de conservation des données:

    • (a) En ce qui concerne la CCPA : Les entreprises ne sont pas tenues de conserver les informations personnelles collectées dans le cadre d’une transaction unique si elles ne les vendent pas ou ne les conservent pas.
      Toutefois, les entreprises qui vendent ou conservent des informations personnelles doivent informer les consommateurs de la collecte et de l’utilisation de leurs informations personnelles au cours des 12 derniers mois à compter de la date de réception de la demande.
    • (b) En ce qui concerne le GDPR : Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées, sauf dans les cas prévus par la loi applicable en matière de protection de la vie privée.
      Les informations relatives à la durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée, doivent être incluses dans les exigences en matière d’information (voir section 2.5(b) ci-dessus).

  • 2.8 Droits individuels :

    • (a) En ce qui concerne la CCPA : Sous réserve des exemptions ou conditions prévues par la loi applicable en matière de protection de la vie privée, le cas échéant, chaque consommateur a le droit de :
      (i) de demander à une entreprise de supprimer les informations personnelles qu’elle a recueillies sur lui ;
      (ii) de demander et de recevoir des informations sur les informations personnelles le concernant qui ont été collectées, vendues ou divulguées à des tiers par une entreprise, ainsi que sur des éléments spécifiques de ces informations ;
      (iii) refuser la vente des informations personnelles d’un consommateur ; et
      (iv) ne pas faire l’objet de discrimination en raison de l’exercice d’un droit établi par la CCPA.
    • (b) En ce qui concerne le GDPR : Sous réserve des exemptions ou des conditions prévues par la loi sur la protection de la vie privée applicable, le cas échéant, chaque personne concernée a le droit de :
      (i) de demander à un responsable du traitement des données ou à un sous-traitant des données de supprimer les données à caractère personnel qu’il a collectées sur cette personne ;
      (ii) de demander et de recevoir des informations sur les données personnelles de la personne concernée qui ont été collectées, vendues ou divulguées à des tiers par un responsable du traitement des données ou un sous-traitant, ainsi que sur des éléments spécifiques de ces données ;
      (iii) demander la rectification de données à caractère personnel
      (iv) faire restreindre le traitement des données à caractère personnel
      (v) faire transférer les données à caractère personnel qui lui ont été fournies à une autre organisation ;
      (vi) s’opposer au traitement de ses données personnelles ;
      (vi) s’opposer au traitement de ses données personnelles ; (vii) retirer son consentement au traitement de ses données personnelles ;
      (viii) déposer une plainte auprès d’un régulateur concernant le traitement de ses données personnelles ; et
      (ix) ne pas faire l’objet d’une décision fondée uniquement sur certaines formes de traitement automatique, y compris le profilage.

  • 2.9 Opt Out :

    • (a) En ce qui concerne la CCPA : Toute entreprise qui se propose de vendre les informations personnelles des consommateurs doit en informer ces derniers, qui ont le droit de refuser la vente de leurs informations personnelles.
      Pour les consommateurs âgés de moins de 16 ans, les parents de ces consommateurs ont le droit de s’opposer à la vente de leurs données personnelles.
    • (b) En ce qui concerne le GDPR : Les personnes concernées peuvent chercher à faire valoir leurs droits décrits à la section 2.8(b) en ce qui concerne toute vente de leurs données à caractère personnel.

  • 2.10 Recours :

    • (a) En ce qui concerne la CCPA :
      (i) La CCPA prévoit un droit d’action privé pour tout consommateur dont les informations personnelles non cryptées ou non expurgées ont fait l’objet d’un accès non autorisé et d’une exfiltration, d’un vol ou d’une divulgation en raison du manquement d’une entreprise à mettre en œuvre et à maintenir des procédures de sécurité raisonnables.
      La loi sur la protection de la vie privée applicable prévoit des dommages-intérêts légaux ainsi que des mesures injonctives et déclaratoires et toute autre mesure jugée appropriée par le tribunal.
      (ii) La CCPA prévoit également une application administrative, notamment en autorisant le procureur général de Californie à intenter des actions en vue d’obtenir des sanctions civiles contre toute entreprise qui ne remédie pas à une violation présumée de la loi sur la protection de la vie privée applicable dans les 30 jours suivant la notification d’une telle violation.
    • (b) En ce qui concerne le GDPR : Les personnes concernées ont le droit
      (i) d’un recours juridictionnel contre une décision juridiquement contraignante d’une autorité de régulation.
      (ii) Un recours juridictionnel contre un responsable du traitement ou un sous-traitant.
      (iii) D’être indemnisées par un responsable du traitement ou un sous-traitant.
      Les régulateurs peuvent également imposer des amendes aux responsables du traitement ou aux sous-traitants, conformément à la loi sur la protection de la vie privée applicable.
  • 2.11 Droits limités du Fournisseur. Sauf disposition contraire expresse dans le présent DPA ou dans les contrats, le fournisseur reconnaît qu’il n’a aucun droit, titre ou intérêt dans les informations ou données à caractère personnel et qu’il ne peut vendre, louer ou donner en leasing les informations ou données à caractère personnel à qui que ce soit.

3. SOUS-TRAITEMENT

  • 3.1 Désignation de sous-traitants.
    Le Fournisseur ne peut sous-traiter le traitement des Données à caractère personnel ou des Informations à caractère personnel à un Sous-traitant sans l’accord écrit préalable du Client.
    Ce consentement ne sera pas refusé, retardé ou conditionné de manière déraisonnable.
    Nonobstant ce qui précède, le Client consent par les présentes à ce que le Fournisseur engage des Sous-Traitants pour traiter les Données Personnelles et les Informations Personnelles à condition que :

    • (a) Notification de nouveaux Sous-Traitants.
      Le Fournisseur notifie par écrit au Client, au moins 30 jours à l’avance, tout changement concernant ses Sous-Traitants (y compris les détails du traitement, le lieu et toute autre information raisonnablement requise par le Client) et le Fournisseur met à jour la liste de tous les Sous-Traitants engagés pour traiter les Données à caractère personnel et les Informations à caractère personnel en vertu du présent RGPD à l’Annexe C et envoie cette version mise à jour au Client avant le changement de Sous-Traitant ;
    • (b) Droit d’opposition pour les nouveaux sous-traitants.
      Le client peut s’opposer à la nomination ou au remplacement d’un sous-traitant ultérieur dans les 10 jours suivant la réception par le client d’une notification préalable d’un tel changement, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données.
      Dans ce cas, les parties discuteront de bonne foi de solutions alternatives commercialement raisonnables ;
    • (c) Conditions de protection des données pour les Sous-Traitants.
      Le Fournisseur impose les mêmes conditions de protection des données que celles contenues dans le présent DPA à tout Sous-Traitant qu’il engage ; et
    • (d) Responsabilité.
      Le Fournisseur demeure pleinement responsable des actes ou omissions de ses Sous-Traitants dans la même mesure où le Fournisseur serait responsable s’il exécutait les services de chaque Sous-Traitant directement selon les termes de ce DPA.

4. DROITS DES PERSONNES CONCERNÉES ET DES CONSOMMATEURS ET COOPÉRATION

  • 4.1 Demande de la personne concernée ou du consommateur. Le Fournisseur, compte tenu de la nature du traitement, coopérera raisonnablement avec le Client pour permettre à ce dernier de répondre à toute demande, plainte ou autre communication émanant de Personnes concernées ou de Consommateurs ou d’organismes réglementaires ou judiciaires concernant le traitement de Données à caractère personnel ou d’Informations à caractère personnel, y compris les demandes émanant de Personnes concernées ou de Consommateurs cherchant à exercer leurs droits en vertu des Lois applicables en matière de protection de la vie privée (« Demande de données « ).
    Dans le cas où une Demande de Données est adressée directement au Fournisseur, ce dernier en informera rapidement le Client et ne répondra pas à cette communication sans l’autorisation expresse du Client.
  • 4.2 Citations à comparaître et ordonnances judiciaires. Si le Fournisseur reçoit une citation à comparaître, une décision de justice, un mandat ou toute autre demande légale d’un tiers (y compris les forces de l’ordre ou d’autres autorités publiques ou judiciaires) demandant la divulgation de Données à caractère personnel ou d’Informations à caractère personnel, le Fournisseur ne divulguera aucune information mais informera immédiatement le Client par écrit de cette demande, et coopérera raisonnablement avec le Client s’il souhaite limiter, contester ou se protéger contre cette divulgation, dans la mesure permise par les lois en vigueur.
  • 4.3 Évaluation de l’impact sur la protection des données ( » DPIA « ).
    Dans la mesure où le Fournisseur est tenu par les Lois sur la protection de la vie privée applicables, le Fournisseur aidera le Client (ou son contrôleur tiers) à effectuer une évaluation de l’impact sur la protection des données (DPIA) et, si cela est légalement requis, consultera les autorités de protection des données applicables en ce qui concerne toute activité de traitement proposée menée dans le cadre des Services et de l’exécution des Contrats qui peut présenter un risque élevé pour les Personnes concernées ou les Consommateurs en ce qui concerne les divulgations non autorisées de données.

5. ACCÈS AUX DONNÉES ET MESURES DE SÉCURITÉ

  • 5.1 Confidentialité et limitation d’accès. Le Fournisseur veillera à ce que toute Personne autorisée soit soumise à une obligation de confidentialité (qu’il s’agisse d’une obligation contractuelle ou légale) et à ce qu’elle traite les Données et Informations personnelles uniquement dans le but de fournir au Client les Services prévus par les Contrats.
    Le Fournisseur veillera à ce que l’accès du Fournisseur aux Données Personnelles et aux Informations Personnelles soit limité au personnel chargé de l’exécution des Services.
  • 5.2 Mesures de sécurité. Le Fournisseur mettra en œuvre et maintiendra toutes les mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel et les Informations à caractère personnel contre les incidents de sécurité et pour préserver la sécurité et la confidentialité de ces Données à caractère personnel et Informations à caractère personnel.
    Ces mesures tiendront compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques.
    Le Fournisseur accepte au minimum les mesures de sécurité identifiées à l’annexe B en ce qui concerne la protection des données et informations à caractère personnel.

6. INCIDENTS DE SÉCURITÉ

  • 6.1 Notification des incidents de sécurité. En cas d’Incident de Sécurité, le Fournisseur informera le Client sans délai excessif, et en tout état de cause au plus tard 24 heures après avoir pris connaissance de l’Incident de Sécurité, et fournira des détails écrits sur l’Incident de Sécurité, y compris le type de données affectées et l’identité des personnes affectées, dès que ces informations seront connues ou disponibles pour le Fournisseur.

  • 6.2 Obligations du fournisseur à la suite d’un incident de sécurité. En cas d’incident de sécurité, le fournisseur doit :

    • (a) Fournir en temps utile toutes les informations et la coopération que le Client peut raisonnablement exiger pour remplir les obligations de déclaration de violation de données du Client en vertu des (et conformément aux délais prévus par les) Lois sur la protection de la vie privée applicables ou pour se conformer ou répondre à toute demande d’une autorité de protection des données ou à toute action en justice découlant de l’Incident de sécurité, y compris la collecte et la conservation de toutes les preuves relatives à l’Incident de sécurité et à toute enquête menée par le Fournisseur.
      Ces informations comprennent, sans s’y limiter, les éléments suivants

      • (i) la nature de l’incident de sécurité, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de consommateurs concernés, ainsi que les catégories et le nombre approximatif d’enregistrements concernés ;
      • (ii) le nom et les coordonnées du point de contact au sein du fournisseur (ou du sous-traitant du fournisseur, le cas échéant) qui peut fournir de plus amples informations sur l’incident de sécurité ;
      • (iii) une description des conséquences probables de l’incident de sécurité sur la base de l’évaluation raisonnable du fournisseur ; et
      • (iv) une description des mesures que le Fournisseur (ou son Sous-Traitant, le cas échéant) prendra, propose de prendre ou suggère au Client de prendre pour remédier à l’Incident de Sécurité, y compris, le cas échéant, pour en atténuer les éventuels effets négatifs.
    • (b) prend rapidement toutes les mesures et actions appropriées pour remédier à l’incident de sécurité ou en atténuer les effets et tient le client informé de tous les développements liés à l’incident de sécurité ; et
    • (c) aider raisonnablement le client, à ses frais et à sa demande, à préparer et à envoyer toutes les notifications légalement requises ou raisonnablement nécessaires en ce qui concerne chaque incident de sécurité des données impliquant des données à caractère personnel et des informations à caractère personnel.
  • 6.3 Le contenu et la fourniture de toute notification, communication publique et réglementaire ou communiqué de presse concernant l’incident de sécurité sont laissés à la seule discrétion raisonnable du client, sauf si les lois applicables en matière de protection de la vie privée l’exigent.

7. RAPPORTS ET INSPECTIONS DE SÉCURITÉ

  • 7.1 Normes de sécurité du fournisseur. Le Fournisseur tiendra des registres de ses normes de sécurité.
    Sur demande, le Fournisseur fournira au Client des copies des certifications externes pertinentes, des résumés de rapports d’audit ou d’autres documents conservés ou obtenus par le Fournisseur afin de vérifier la conformité du Fournisseur avec le présent DPA.
  • 7.2 Droit d’inspection. Bien que les parties aient l’intention de s’appuyer normalement sur les obligations du fournisseur énoncées à la section 7.1 pour vérifier la conformité du fournisseur avec le présent DPA, le client (ou ses représentants désignés) peut, à ses frais exclusifs, effectuer une inspection des opérations et des installations du fournisseur lorsqu’il le juge nécessaire ou approprié (par exemple, sans limitation, lorsque le client a des préoccupations raisonnables concernant la conformité du fournisseur en matière de protection des données, à la suite d’un incident de sécurité ou à la suite d’une instruction d’une autorité chargée de la protection des données).
    En ce qui concerne une telle inspection, le Fournisseur mettra à disposition toutes les informations raisonnablement nécessaires pour démontrer le respect des Lois applicables en matière de protection de la vie privée.
    Nonobstant ce qui précède, une telle inspection sera
    (a) limitée à la fourniture de la documentation technique du Fournisseur alors en vigueur qui se rapporte au traitement des Données à caractère personnel et des Informations à caractère personnel, sauf exigence contraire d’une autorité de protection des données,
    (b) soumise aux conditions et politiques de confidentialité, de sécurité et de sûreté du Fournisseur, et
    (c) pendant les heures normales d’ouverture et après un préavis écrit raisonnable.

8. TRANSFERTS INTERNATIONAUX

  • 8.1 Transferts internationaux. Le Fournisseur ou ses Affiliés ne traiteront ni ne transféreront aucune Donnée personnelle ou Information personnelle dans ou vers un territoire autre que celui dans lequel les Données personnelles et les Informations personnelles ont été collectées pour la première fois (ni ne permettront que ces données soient ainsi traitées ou transférées), à moins qu’ils ne prennent toutes les mesures nécessaires pour garantir que ce traitement ou transfert est conforme aux Lois sur la protection de la vie privée applicables (y compris les mesures qui peuvent être communiquées par le Client au Fournisseur) et conformément à toutes les dispositions applicables en matière de mécanisme de transfert énoncées à l’article 8.3 ci-dessous.
    Toutefois, l’exécution par le Client de chaque Contrat sera réputée constituer les instructions du Client au Fournisseur en ce qui concerne le transfert des Données à caractère personnel et des Informations à caractère personnel dans le cadre des Services fournis au titre des Contrats.
    Sauf en ce qui concerne ces transferts en vertu des Contrats, le Fournisseur informera le Client de tout transfert international de Données à caractère personnel et d’Informations à caractère personnel avant d’effectuer le transfert et aidera le Client à évaluer les obligations respectives des parties de se conformer aux Lois applicables en matière de protection de la vie privée.

  • 8.2 Flux du bouclier de protection de la vie privée. Dans la mesure où le Client ou les Affiliés Autorisés sont auto-certifiés au Privacy Shield, le Fournisseur déclare et garantit qu’il doit :

    • (a) Fournir au moins le même niveau de protection à ces données personnelles du client que celui requis par les principes du bouclier de protection de la vie privée et les mesures de sécurité énoncées à la section 5.2 du présent DPA ; et
    • (b) notifier rapidement au client s’il détermine qu’il ne peut plus respecter ses obligations au titre de l’article 8.2 (a) ci-dessus et, dans ce cas, collaborer avec le client et prendre rapidement toutes les mesures raisonnables et appropriées pour arrêter et remédier (s’il est possible d’y remédier) à tout traitement jusqu’à ce que le traitement atteigne le niveau de protection exigé par l’article 8.2 (a).

  • 8.3 Mécanismes de transfert.

    1. Autocertification du fournisseur au bouclier de protection de la vie privée. Dans la mesure où le fournisseur ou ses sociétés affiliées américaines sont auto-certifiés au titre du bouclier de protection de la vie privée, le fournisseur s’engage :
      (i) que lui-même ou ses sociétés affiliées américaines (selon le cas) maintiendront cette certification Privacy Shield ; et
      (ii) en ce qui concerne les données personnelles du client qui sont protégées par la législation sur la protection des données de l’EEE ou qui proviennent de Suisse, il ou ses sociétés affiliées américaines (le cas échéant) se conformera aux principes du bouclier de protection de la vie privée lors du traitement de ces données.
    2. Règles d’entreprise contraignantes pour le transformateur. Dans la mesure où le fournisseur a adopté des règles d’entreprise contraignantes pour le sous-traitant, il accepte de maintenir ces règles d’entreprise contraignantes pour le sous-traitant lors du traitement des données à caractère personnel du client.
    3. Incorporation des clauses types. Dans le cas où le Fournisseur ou ses Affiliés n’utilisent pas les mécanismes de transfert prévus à l’article 8.3
      (a) ou
      (b), les parties conviennent en outre que
      (i) les Clauses types sont incorporées par référence et font partie intégrante du présent DPA ;
      (ii) le Fournisseur ou ses Sociétés affiliées (selon le cas) est « l’importateur de données » et le Client (agissant en son nom et au nom de toutes ses Sociétés affiliées) est « l’exportateur de données » (nonobstant le fait que le Client peut être situé en dehors de l’Espace économique européen ou de la Suisse et qu’il peut lui-même être un Processeur agissant au nom de Contrôleurs tiers) ; et
      (iii) les annexes A et B du présent DPA remplacent respectivement les appendices 1 et 2 des clauses types.
  • 8.4 Divulgation du DPA. Chaque partie reconnaît que l’autre partie ou ses sociétés affiliées peuvent divulguer le présent DPA et toute disposition relative à la protection de la vie privée figurant dans les contrats au ministère américain du commerce, à la Federal Trade Commission, à l’autorité européenne de protection des données ou à tout autre organisme judiciaire ou réglementaire des États-Unis ou de l’Union européenne, sur demande légitime et autorisée de leur part.

9. SUPPRESSION ET RESTITUTION DES DONNÉES À CARACTÈRE PERSONNEL

  • 9.1 A la demande du Client, ou à la résiliation ou à l’expiration du présent DPA, le Fournisseur détruira ou retournera au Client toutes les Données Personnelles et Informations Personnelles (y compris les copies) en sa possession ou sous son contrôle, le cas échéant (y compris toutes les Données Personnelles et Informations Personnelles traitées ou contrôlées par ses Sous-Traitants).
    Cette exigence ne s’applique pas dans la mesure où le Fournisseur est tenu par toute loi applicable de conserver tout ou partie des Données à caractère personnel ou des Informations à caractère personnel, ou en ce qui concerne les Données à caractère personnel ou les Informations à caractère personnel qu’il a archivées sur des systèmes de sauvegarde, auquel cas le Fournisseur protégera les Données à caractère personnel et les Informations à caractère personnel contre tout traitement ultérieur, sauf dans la mesure requise par ladite loi.

10. RESPONSABILITÉ

  • 10.1 La responsabilité du client et de chaque société affiliée autorisée en vertu du présent DPA et des clauses types est solidaire et les autres sociétés clientes ne sont pas responsables de toute responsabilité de la société cliente encourue en vertu du présent DPA ou des clauses types.
  • 10.2 En tout état de cause, aucun Fournisseur ou Fournisseur Affilié ne pourra se prévaloir plus d’une fois de la même perte ou du même dommage lorsqu’une telle réclamation a déjà été faite par cette société Fournisseur à l’encontre de l’une des autres sociétés Clientes.
  • 10.3 La responsabilité de chaque fournisseur et de chaque fournisseur affilié en vertu du présent DPA et des clauses types est solidaire et les autres sociétés fournisseurs ne sont pas responsables de la responsabilité de la société fournisseur en question au titre du présent DPA ou des clauses types :
  • 10.4 En tout état de cause, aucun Client de l’Affilié Autorisé ne pourra faire plus d’une réclamation pour la même perte ou le même dommage lorsqu’une telle réclamation a déjà été faite par cette société cliente à l’encontre de l’une des autres sociétés du Fournisseur.

11. GÉNÉRALITÉS

  • 11.1 Les obligations imposées aux parties en vertu du présent DPA subsisteront aussi longtemps que le Fournisseur ou ses Sous-Traitants traiteront des Données à caractère personnel ou des Informations à caractère personnel pour le compte du Client.
    Les dispositions contenues dans le présent DPA et ses pièces jointes, annexes, pièces et tableaux qui, de par leur contexte, sont destinées à survivre à la résiliation ou à l’expiration survivront en conséquence.
  • 11.2 Le présent DPA ne peut être modifié que par un acte écrit ultérieur signé par les deux parties.
  • 11.3 Si une partie du présent DPA est jugée inapplicable, la validité de toutes les autres parties n’en sera pas affectée.
  • 11.4 À l’exception des modifications apportées par le présent DPA, les contrats restent inchangés et pleinement en vigueur.
    En cas de conflit ou d’incohérence entre le présent DPA et tout autre terme ou conditions des Contrats, le présent DPA prévaudra en ce qui concerne l’objet (c’est-à-dire la protection des données à caractère personnel ou des informations à caractère personnel).
    Le présent accord, y compris les annexes, les schémas, les pièces et autres, ainsi que les contrats, constituent l’accord intégral, définitif, exclusif et complet en ce qui concerne le sujet en question.
  • 11.5 Les titres des clauses et les autres titres du présent DPA ne servent qu’à faciliter les références et ne font pas partie intégrante du présent DPA et n’en affectent pas le sens ou l’interprétation.
    Les pièces jointes, les annexes et les tableaux du présent DPA sont réputés faire partie intégrante du présent DPA dans la même mesure que s’ils avaient été reproduits textuellement dans le présent document.
  • 11.6 Le présent DPA est régi et interprété à tous égards conformément au droit applicable et aux dispositions juridictionnelles énoncées dans le contrat qui constitue l’accord-cadre d’abonnement, sauf disposition contraire des lois applicables en matière de protection de la vie privée.
  • 11.7 Aucune disposition du présent DPA n’est réputée :
    (a) faire d’une société cliente l’agent d’une société fournisseur, ni autoriser une société cliente à prendre ou à conclure des engagements pour ou au nom d’une société fournisseur ; ou
    (b) constituer une société fournisseur en agent d’une société client, ni autoriser une société fournisseur à prendre ou à conclure des engagements pour ou au nom d’une société client ; ou
    (c) créer un partenariat, une entreprise commune ou toute autre relation.
  • 11.8 Chaque partie garantit qu’elle a le pouvoir d’agir en son nom et au nom de ses sociétés affiliées, y compris les sociétés qui peuvent être ajoutées en tant que parties à ce DPA par l’une ou l’autre partie.
  • 11.9 Le présent DPA peut être signé en deux ou plusieurs exemplaires, chacun étant considéré comme un original et l’ensemble comme un seul et même document.
    Les parties peuvent signer et remettre le présent DPA par transmission électronique.