Eptura Appoints Raj Batra CEO. Learn more.

Generic filters
Filter by Resource Types
Generic filters
Filter by Resource Types
Support
Contact us

ADDENDUM SUR LE TRAITEMENT DE DONNÉES

Le présent Addendum sur le Traitement des Données (y compris ses Documents complémentaires) (« Addendum ») fait partie des modalités et conditions de la Commande (y compris les Modalités régissant une telle Commande) (l’« Accord ») Eptura et le Client (« Client ») qui a signé l’Accord pour son compte personnel et pour une Société affiliée du Client, est soumis aux modalités et conditions de cette Commande, et est intégré aux présentes par un renvoi.

Le présent Addendum remplace intégralement tout accord, tout addendum, tout document additionnel ou tout accord complémentaire actuel ou tout autre document venant régir le traitement et la protection des Données personnelles du Client en lien avec les Services.

Les notions dĂ©finies et utilisĂ©es mais qui, par ailleurs, ne font pas l’objet d’une dĂ©finition dans le prĂ©sent Addendum, auront le sens que leur attribue l’Accord. Ă€ moins qu’une modification ne soit apportĂ©e ci-dessous, les modalitĂ©s de l’Accord conservent toute leur force obligatoire et continuent de produire leurs effets.

Le présent Addendum expose l’engagement par lequel les parties déclarent respecter les Lois sur la Protection des Données relatives au Traitement des Données personnelles du Client en lien avec les Services prévus par l’Accord. Si et lorsque la formulation du présent Addendum entre en conflit avec l’Accord, le présent Addendum doit l’emporter.

Le présent Addendum devient juridiquement contraignant dès la date de prise d’effet de l’Accord ou dès la date de la signature du présent Addendum, s’il est établi après la date de prise d’effet de l’Accord.

  1. DĂ©finitions.

Aux fins du présent Addendum, les notions figurant ci-après et celles définies par le contenu du présent Addendum sont applicables.

    1. « Données personnelles du Client » désigne les Données personnelles qui sont détenues ou contrôlées par le Client, et qui sont fournies à Eptura par le Client ou en son nom dans le cadre des Services.
    2. « Sous-traitant sous Contrat » désigne Eptura ou un Sous-traitant ultérieur.
    3. « Responsable du Traitement » désigne l’entité qui présente les buts du Traitement des Données personnelles du Client, et les moyens utilisés à cet égard.
    4. « Lois sur la Protection des Données » désigne l’ensemble des lois et règlements applicables au Traitement auquel les Données personnelles du Client sont soumises dans la fourniture des Services relevant de l’Accord. « Lois sur la Protection des Données » peut inclure, de manière non limitative, la Loi californienne de 2018 sur la Vie privé du Consommateur [California Consumer Privacy Act of 2018] (telle que modifiée par la Loi californienne de 2020 sur la Vie privée [California Privacy Rights Act of 2020]), les paragraphes 1798.100 et suivants du Code civil de Californie et ses règlements d’application (collectivement désignés « CCPA et/ou CPRA »), le Règlement général sur la Protection des Données n° 2016/679 de l’UE (« GDPR ») et ses législations nationales respectives d’application, la Loi fédérale suisse relative à la Protection des Données, le Règlement général sur la Protection des Données du Royaume-Uni (« GDPR du Royaume-Uni »), ainsi que la Loi de 2018 sur la Protection des Données du Royaume-Uni [United Kingdom Data Protection Act 2018] (tels que considérés, à chaque fois, dans leur version occasionnellement modifiée, adoptée ou remplacée);
    5. « Personne concernée » a le sens que lui attribue les Lois sur la Protection des Données;
    6. « Données personnelles » désigne toute information fournie par ou au nom du Client, pour qu’elle soit utilisée dans les Services, et en lien avec une personne identifiée ou identifiable.
    7. « Traiter » ou « Traitement » désigne toute opération ou tout ensemble d’opérations menées, d’une manière accompagnée ou non de moyens automatisés, sur des Données personnelles du Client ou des ensembles de Données personnelles du Client, et correspondant à un retrait, un enregistrement, une organisation, une structuration, un stockage, une adaptation ou altération, un retrait, une consultation, une utilisation, une divulgation par transmission, une diffusion ou une autre offre d’accès, un alignement ou une association, une restriction, une suppression ou une destruction.
    8. « Sous-traitant » désigne l’entité qui Traite les Données personnelles du Client au nom du Responsable du Traitement.
    9. « Incident(s) de Sécurité » désigne une destruction, une perte, une altération ou une divulgation non autorisée de Données personnelles du Client ou encore un accès à ces dernières dont la nature est accidentelle ou illicite. Un Incident de Sécurité n’englobe pas les tentatives infructueuses ou activités qui n’affaiblissent pas la sécurité des Données personnelles du Client, y compris les tentatives infructueuses de connexion, les pings, les analyses de ports, les attaques par déni de services, et les autres attaques de réseau sur les pare-feu ou système en réseau.
    10. « Services » dĂ©signe les services qu’Eptura fournit en vertu de l’Accord.
    11. « Clauses contractuelles types » (intégrées dans les présentes par un renvoi) renvoie aux:
    12. « Clauses contractuelles types de 2021 » définies comme les clauses présentées en vertu de la Décision d’exécution (UE) 2021/914 de la Commission de juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, et disponible sur http://data.europa.eu/eli/dec_impl/2021/914/oj (telle qu’occasionnellement modifiée et mise à jour).
    13. « Sous-traitant(s) ultĂ©rieur(s) » dĂ©signe les entrepreneurs et les prestataires de services tiers autorisĂ©s d’Eptura qui Traitent les DonnĂ©es personnelles du Client.
    14. « Autorité de Contrôle » désigne une autorité publique indépendante qui a été instituée, en vertu des Lois sur la Protection des Données, pour contrôler le respect des Lois sur la Protection des Données.
  1. Utilisation et Traitement des Données.
    1. RĂ´les des Parties. Les Parties reconnaissent et acceptent ce qui suit: (i) quand le Client a la qualitĂ© de Responsable du Traitement, Eptura est le Sous-traitant, et (ii) quand le Client a la qualitĂ© de Sous-traitant, Eptura est un Sous-traitant ultĂ©rieur du Client. En outre, lorsque les CCPA et/ou CPRA s’appliquent au Traitement, par Eptura, des DonnĂ©es personnelles du Client, les parties reconnaissent et acceptent que le Client est une Entreprise, car cette notion est dĂ©finie par les CCPA et/ou CPRA et ses règlements d’application, et qu’Eptura est un Prestataire de Services du Client, dans la mesure oĂą cette notion est dĂ©finie par les CCPA et/ou CPRA et ses règlements d’application.
    2. Instructions documentĂ©es. Le Client donne pour instruction Ă  Eptura de Traiter les DonnĂ©es personnelles du Client pour lui permettre de fournir les Services et pour permettre au Client de bĂ©nĂ©ficier des Services conformĂ©ment Ă  l’Accord, au prĂ©sent Addendum, Ă  tout Ă©noncĂ© des travaux applicable, et aux instructions dont les parties ont convenu par Ă©crit. L’objet du Traitement est l’utilisation des Services par le Client et l’un quelconque de ses utilisateurs finaux. Les catĂ©gories de la Personne concernĂ©e sont les utilisateurs des Services et les occupants des locaux oĂą les Services sont utilisĂ©s, et peuvent donc englober les salariĂ©s et les visiteurs du Client. Eptura veillera Ă  ce que tout transfert de DonnĂ©es personnelles du Client opĂ©rĂ© en dehors de l’EEE et/ou du Royaume-Uni respecte les Lois sur la Protection des DonnĂ©es, par un recours Ă  un mĂ©canisme de transfert licite. Le Client veillera Ă  ce que le Traitement, par Eptura, de DonnĂ©es personnelles du Client, lorsqu’il est opĂ©rĂ© en exĂ©cution des instructions du Client, n’entraĂ®ne pas la violation, par Eptura, d’une loi ou d’un règlement applicable, y compris les Lois sur la Protection des DonnĂ©es applicables. Le Client est exclusivement responsable de la prĂ©cision, de la qualitĂ© et de la licĂ©itĂ© des DonnĂ©es personnelles du Client, de l’ensemble des consentements, des procĂ©dĂ©s et des avis nĂ©cessaires qui s’imposent pour permettre, conformĂ©ment Ă  l’Accord et au prĂ©sent Addendum, le transfert licite des DonnĂ©es personnelles du Client Ă  Eptura, et des moyens par lesquels le Client acquiert les DonnĂ©es personnelles. La durĂ©e pendant laquelle Eptura Traitera les DonnĂ©es personnelles du Client correspond Ă  la durĂ©e de l’Accord plus les pĂ©riodes de conservation applicables stipulĂ©es par le prĂ©sent Addendum. Au cas oĂą Eptura estimerait raisonnablement que les instructions du Client et les Lois sur la Protection des DonnĂ©es applicables donnent lieu Ă  un conflit, il devra en informer le Client par Ă©crit sauf s’il lui est lĂ©galement interdit de prendre une telle mesure. Lorsque le Client exige (i) que leur produit en louage constitue un louage partagĂ© entre le Client et ses SociĂ©tĂ©s affiliĂ©es, et (ii) que les administrateurs et les contacts soient dĂ©clarĂ©s « internationaux », le Client reconnaĂ®t et accepte (et il est considĂ©rĂ© qu’il communique Ă  Eptura toute instruction exigĂ©e par les Lois sur la Protection des DonnĂ©es) que les DonnĂ©es personnelles du Client seront partagĂ©es entre le Client et chacune de ses SociĂ©tĂ©s affiliĂ©es faisant partie de la location partagĂ©e.
    3. Autorisation du recours à des Sous-traitants ultérieurs. Dans une mesure nécessaire à l’exécution des obligations contractuelles incombant à Eptura en vertu de l’Accord, le Client l’autorise, en vertu des présentes, à engager des Sous-traitants ultérieurs. La liste actuelle de Sous-traitants ultérieurs établie par Eptura pour les Services en cause peut être consultée sur www.eptura.com/subprocessors (la « Liste de Sous-traitants ultérieurs »). Le Client accepte la désignation des Sous-traitants ultérieurs énumérés par la Liste de Sous-traitants ultérieurs. Eptura s’engage à ne pas transférer de Données personnelles à des entités ne figurant pas sur la Liste de Sous-traitants ultérieurs.
    4. ConformitĂ© Ă  observer par Eptura et le Sous-traitant ultĂ©rieur. Eptura s’engage Ă  (i) conclure, avec des Sous-traitants ultĂ©rieurs, un accord Ă©crit relatif au Traitement, par ces Sous-traitants ultĂ©rieurs, des DonnĂ©es personnelles du Client et imposant Ă  ces Sous-traitants ultĂ©rieurs et par rapport aux DonnĂ©es personnelles du Client des exigences de protection des donnĂ©es compatibles avec le prĂ©sent Addendum, et Ă  (ii) demeurer responsable des actes et des omissions de ses Sous-traitants ultĂ©rieurs dans une mesure similaire Ă  la responsabilitĂ© qu’Eptura engagerait s’il intervenait directement, en vertu des modalitĂ©s du prĂ©sent Addendum, pour fournir les Services incombant Ă  chaque Sous-traitant ultĂ©rieur.
    5. Droit de s’opposer Ă  des Sous-traitants. Au moins 15 jours avant la dĂ©signation d’un nouveau Sous-traitant ultĂ©rieur, Eptura notifiera au Client son intention d’engager de nouveaux Sous-traitants ultĂ©rieurs en mettant Ă  jour la Liste de Sous-traitants ultĂ©rieurs, et donnera au Client l’occasion de s’inscrire aux notifications sur de telles modifications. Le Client peut s’opposer au recours, par Eptura, Ă  un nouveau Sous-traitant ultĂ©rieur, en lui adressant sans dĂ©lai un avis Ă©crit Ă  envoyer dans les 15 jours suivant le moment oĂą l’avis d’Eptura lui parvient. Une notification destinĂ©e au Client sera fournie en utilisant l’adresse ou les adresses Ă©lectroniques indiquĂ©es dans la Commande de Services ou l’adresse qu’il communique Ă  Eptura lorsqu’il achète des Services. Si le Client ne s’oppose pas Ă  l’engagement, conformĂ©ment Ă  la prĂ©sente Section, d’un nouveau Sous-traitant ultĂ©rieur, le nouveau Sous-traitant ultĂ©rieur sera rĂ©putĂ© acceptĂ© aux fins du prĂ©sent Addendum. Si le Client s’oppose Ă  la dĂ©signation ou au remplacement, par Eptura, d’un Sous-traitant ultĂ©rieur en raison de motifs raisonnables en lien avec la protection des donnĂ©es, il doit adresser Ă  Eptura une notification Ă©crite prĂ©sentant cette objection en dĂ©tail avant la dĂ©signation ou le remplacement de ce Sous-traitant ultĂ©rieur. Dans une telle situation, Eptura rĂ©alisera des efforts raisonnables pour fournir au Client des Services conformes Ă  l’Accord et sans recours Ă  un Sous-traitant ultĂ©rieur. Si Eptura exige raisonnablement le recours Ă  un Sous-traitant ultĂ©rieur et n’est pas en mesure de convaincre le Client, dans les trente (30) jours suivant le moment oĂą ce dernier Ă©lève une objection, de l’aptitude du Sous-traitant ultĂ©rieur, le Client peut dĂ©cider de n’annuler que la partie des Services ou de la ou des Commandes qui ne peut pas ĂŞtre prise en charge par Eptura sans recours au Sous-traitant ultĂ©rieur visĂ© par l’objection.
    6. Confidentialité. Eptura doit s’assurer que son personnel et celui de ses Sociétés affiliées engagés dans le Traitement des Données personnelles du Client ont été informés de la nature confidentielle des Données personnelles du Client, et ont signé des accords de confidentialité écrits.
    7. Évaluation d’Impact sur la Protection des DonnĂ©es et Consultation prĂ©alable. Eptura doit accorder au Client une assistance raisonnable par rapport aux Ă©valuations d’impact sur la protection des donnĂ©es (rĂ©alisĂ©es aux frais du Client uniquement si cette coopĂ©ration raisonnable exigera d’Eptura qu’elle consacre d’importantes ressources Ă  la rĂ©alisation de cet effort) et aux consultations prĂ©alables de toute AutoritĂ© de ContrĂ´le ou d’autres autoritĂ©s compĂ©tentes en matière de protection des donnĂ©es dans une mesure exigĂ©e par les Lois sur la Protection des DonnĂ©es applicables et, dans chaque cas, d’une manière uniquement liĂ©e au Traitement des DonnĂ©es personnelles du Client, et tenant compte de la nature du Traitement et des informations placĂ©es Ă  la disposition d’Eptura.
    8. Partage entre le Client et les Affiliés. Lorsque le Client exige (i) que le locataire de son produit soit un locataire partagé entre le Client et ses Sociétés Affiliées ; et (ii) les administrateurs et les contacts sont désignés comme « globaux », le client reconnaît et accepte (et est réputé fournir toute instruction à Eptura qui est requise en vertu des lois sur la protection des données) que les données du client seront partagées entre le client et chacune de ses sociétés affiliées qui font partie de la location partagée.
  1. Personnes concernées.
    1. Dans une mesure autorisée par les Lois sur la Protection des Données, Eptura doit notifier le Client si elle reçoit d’une Personne concernée une demande qui identifie des Données personnelles du Client ou qui identifie le Client autrement, y compris lorsque la Personne concernée souhaite exercer l’un des droits que lui confèrent les Lois sur la Protection des Données applicables (l’appellation collective retenue est « Demande de la Personne concernée »). Si Eptura reçoit une Demande de la Personne concernée au sujet des Données personnelles du Client, Eptura lui demandera d’adresser sa demande au Client, qui sera tenu d’y répondre d’une manière incluant, si nécessaire, un recours à la fonctionnalité des Services. Lorsque le Client, qui utilise de tels contrôles ou un autre moyen, n’est pas en mesure d’accéder, à partir des Services, aux Données personnelles du Client en cause, Eptura devra (sur demande écrite du Client et en tenant compte de la nature du Traitement) apporter au Client une coopération commercialement raisonnable pour qu’il puisse répondre aux Demandes de la Personne concernée.
  1. Transferts de Données.
    1. Si des DonnĂ©es personnelles du Client venant de l’Espace Ă©conomique europĂ©en, de la Suisse et/ou du Royaume-Uni sont transfĂ©rĂ©es par le Client en faveur d’Eptura dans un pays qui n’a pas Ă©tĂ© considĂ©rĂ© comme offrant un niveau de protection adĂ©quat en vertu des Lois sur la Protection des DonnĂ©es applicables, les parties acceptent que le transfert soit rĂ©gi par les Clauses contractuelles types ou SCC. Lorsque les SCC sont applicables, et quand le Client intervient en tant que Responsable du Traitement des DonnĂ©es personnelles du Client, tandis qu’Eptura agit en qualitĂ© de Sous-traitant des DonnĂ©es personnelles du Client, chaque partie doit exĂ©cuter les obligations qui lui incombent en vertu du Module Deux des SCC. Lorsque les SCC sont applicables, et quand le Client intervient en tant que sous-traitant par rapport aux DonnĂ©es personnelles du Client, tandis qu’Eptura agit Ă©galement en qualitĂ© de sous-traitant par rapport aux DonnĂ©es personnelles du Client, chaque partie doit exĂ©cuter les obligations qui lui incombent en vertu du Module Trois des SCC. Les parties conviennent de ce qui suit : (i) la clause d’adhĂ©sion facultative insĂ©rĂ©e par la Clause 7 n’est pas applicable ; (ii) l’attestation d’effacement exigĂ©e par la Clause 8.5 et la Clause 16(d) des SCC sera fournie sur demande Ă©crite du Client ; (iii) les mesures qu’Eptura est tenue de prendre en vertu de la Clause 8.6(c) des SCC ne concerneront que les systèmes concernĂ©s d’Eptura ; (iv) l’audit dĂ©crit par la Clause 8.9 des SCC sera rĂ©alisĂ© conformĂ©ment Ă  la Section 7 du prĂ©sent Addendum ; (v) le dĂ©lai minimum prĂ©vu par la Clause 9 au sujet du prĂ©avis sur les changements de Sous-traitants ultĂ©rieurs doit ĂŞtre celui arrĂŞtĂ© par la section 2(e) du prĂ©sent Addendum ; (vi) lorsque les Lois sur la Protection des DonnĂ©es l’autorisent, Eptura peut engager des Sous-traitants ultĂ©rieurs actuels en s’appuyant sur la DĂ©cision de la Commission europĂ©enne C(2010)593 relative aux SCC pour le transfert de Responsables de Traitement vers des Sous-traitants, Ă©tant prĂ©cisĂ© que ce recours Ă  des Sous-traitants ultĂ©rieurs est rĂ©putĂ© conforme Ă  la Clause 9 des SCC ; (vii) Ă  la Clause 11, la formulation facultative n’est pas applicable ; (viii) le droit de rĂ©siliation prĂ©vu par la Clause 14(f) et la Clause 16(c) des SCC sera limitĂ© Ă  la rĂ©siliation des SCC, auquel cas le Traitement correspondant des DonnĂ©es personnelles du Client concernĂ©es par cette rĂ©siliation doit ĂŞtre interrompu, sauf si les parties conviennent du contraire ; (ix) les informations exigĂ©es en vertu de la Clause 15.1(c) seront fournies sur demande Ă©crite du Client ; (x) Ă  la Clause 17, les Parties doivent ĂŞtre rĂ©gies par le droit irlandais ; (xi) Ă  la Clause 18(b), les litiges seront rĂ©solus devant les tribunaux de la RĂ©publique d’Irlande ; (xii) le Document complĂ©mentaire A du prĂ©sent Addendum contient les informations exigĂ©es par l’Annexe I des SCC ; (xiii) le Document complĂ©mentaire B du prĂ©sent Addendum contient les informations exigĂ©es par l’Annexe II des SCC ; (xiv) lorsque des DonnĂ©es personnelles sont soumises Ă  des Lois sur la Protection des DonnĂ©es du Royaume-Uni, les SCC sont complĂ©tĂ©es par le Document complĂ©mentaire C ; et (xv) indĂ©pendamment de toute chose contraire, le Client remboursera Ă  Eptura l’ensemble des coĂ»ts et des dĂ©penses engagĂ©s par Eptura dans l’exĂ©cution des obligations incombant Ă  Eptura aux termes de la Clause 15.1(b) et Clause 15.2 des SCC. La signature de chaque partie figurant sur le prĂ©sent Addendum doit ĂŞtre considĂ©rĂ©e comme une signature figurant sur les SCC quand, en vertu des prĂ©sentes, ces SCC sont applicables.
  1. Programme de Sécurité des Informations
    1. Eptura a mis en Ĺ“uvre et continuera de prendre des mesures administratives, techniques et organisationnelles appropriĂ©es afin de placer les DonnĂ©es personnelles du Client Ă  l’abri d’un Incident de SĂ©curitĂ©, en tenant compte de l’état des progrès technologiques et du coĂ»t de mise en Ĺ“uvre de telles mesures et, Ă©galement, de la nature, du champ d’application, du contexte et des buts du Traitement et du risque de survenance et de la gravitĂ© d’une atteinte aux intĂ©rĂŞts des personnes concernĂ©es pouvant dĂ©couler d’un tel Incident de SĂ©curitĂ© (y compris, le cas Ă©chĂ©ant, les mesures visĂ©es par l’article 32(1) du GDPR). Les questions sur les pratiques sĂ©curitaires observĂ©es par Eptura peuvent ĂŞtre envoyĂ©es Ă  l’équipe SĂ©curitĂ© et ConfidentialitĂ© d’Eptura dont l’email est [email protected].
  1. Incidents de Sécurité.
    1. Eptura adressera sans délai une notification écrite au Client s’il découvre un Incident de Sécurité. Une telle notification n’est pas une reconnaissance qu’une faute a été commise ou qu’une responsabilité a été engagée. Une notification doit, dans la mesure du possible, permettre au Client d’informer les Personnes concernées sur l’Incident de Sécurité relevant des Lois sur la Protection des Données et, dans les limites des éléments dont Eptura dispose, (i) décrire la nature de l’Incident de Sécurité, y compris, si possible, les catégories et le nombre approximatif des personnes concernées pertinentes, et les catégories et le nombre approximatif d’archives de données personnelles pertinentes, et (ii) décrire les mesures prises ou dont la prise est proposée par Eptura afin de résoudre l’Incident de Sécurité, y compris, le cas échéant, les mesures d’atténuation.
    2. En cas d’Incident de Sécurité et avant la présentation d’une déclaration publique obligatoire ou d’un avis obligatoire, Eptura s’engage à solliciter l’approbation du Client avant l’envoi aux personnes concernées pertinentes ou aux Autorités de Contrôle compétentes d’une notification sur l’Incident de Sécurité. Indépendamment de la phrase qui précède, le Client ne sera pas tenu de porter atteinte aux obligations lui incombant aux termes des Lois sur la Protection des Données.
    3. Les obligations posées par la Section 7(a) et la Section 7(b) ne sont pas applicables au cas où une violation de Données personnelles serait causée par les agissements ou omissions du Client.
  1. Audits.
    1. Eptura fait appel à des auditeurs tiers indépendants pour vérifier l’adéquation du Traitement auquel il soumet les Données personnelles du Client. Cet audit: (i) sera réalisé selon une périodicité au moins annuelle; (ii) sera réalisé par un professionnel engagé par Eptura et intervenant à ses frais; et (iii) démontrera le respect, par Eptura, des normes de sécurité des données en vigueur et applicables au traitement des Données personnelles (« Rapport »). Sur demande écrite du Client, Eptura lui remettra un résumé exécutif de son Rapport afin que le Client puisse raisonnablement vérifier le respect, par Eptura, des obligations de sécurité stipulées par le présent Addendum. Toute fourniture d’un tel Rapport sera soumise à des procédures de confidentialité raisonnables.
    2. Si Eptura n’est pas en mesure de fournir rapidement des Rapports actuels, le Client peut alors, sur prĂ©sentation d’une demande Ă©crite, rĂ©aliser (Ă  ses frais) un audit de garantie de la sĂ©curitĂ© des informations. Un tel audit doit ĂŞtre soumis aux conditions suivantes: (i) le Client doit prĂ©senter un prĂ©avis d’au moins trente (30) jours sur son intention de rĂ©aliser un audit; (ii) au plus tard deux (2) semaines avant l’opĂ©ration d’audit, un champ d’application et un calendrier mutuellement convenus doivent ĂŞtre dĂ©terminĂ©s; (iii) un auditeur indĂ©pendant sera tenu de signer un accord de non-divulgation, dans la mesure oĂą une telle mesure est raisonnablement exigĂ©e par Eptura avant la conduite de l’audit; (iv) l’audit doit ĂŞtre menĂ© pendant les heures normales d’ouverture des bureaux d’Eptura; (v) l’audit doit ĂŞtre terminĂ© dans un dĂ©lai d’un (1) jour ouvrable; (vi) le droit d’audit inclut le droit d’inspecter, et non pas de copier ou d’enlever autrement, des archives autres que celles spĂ©cifiquement et exclusivement liĂ©es au Client; et (vii) l’audit ne doit pas inclure un test de pĂ©nĂ©tration, une analyse des vulnĂ©rabilitĂ©s, ou d’autres tests de sĂ©curitĂ©. Le Client ne peut pas exercer le droit de conduite d’un audit plus d’une fois par pĂ©riode de douze (12) mois, mais ce Client peut rĂ©aliser des audits supplĂ©mentaires (i) en cas d’Incident de SĂ©curitĂ© impliquant les DonnĂ©es personnelles du Client ou (ii) en prĂ©sence d’une demande formĂ©e par une AutoritĂ© de ContrĂ´le ou une autoritĂ© de rĂ©gulation similaire chargĂ©e de l’application des Lois sur la Protection des DonnĂ©es dans tout pays ou territoire. Eptura et le Client doivent se rencontrer et discuter des rĂ©sultats de l’audit ainsi que des mesures de rĂ©solution et des calendriers Ă  arrĂŞter par Eptura Ă  son entière discrĂ©tion.
  1. Suppression de données.
    1. Eptura doit permettre au Client d’exporter les DonnĂ©es personnelles du Client sur prĂ©sentation d’une demande Ă©crite du Client formĂ©e dans les trente (30) jours suivant la date de rĂ©siliation ou d’expiration de l’Accord. Par la suite, Eptura devra, dans un dĂ©lai de soixante (60) jours, effacer toutes les DonnĂ©es personnelles du Client (sauf les copies de sauvegarde ou d’archives qui doivent ĂŞtre effacĂ©es conformĂ©ment au document additionnel d’Eptura sur la conservation de donnĂ©es), sauf quand Eptura est tenue de conserver des copies en vertu des Lois sur la Protection des DonnĂ©es, auquel cas Eptura mettra ces DonnĂ©es personnelles du Client Ă  l’abri d’un autre Traitement. Lorsque le Client demande une copie des DonnĂ©es personnelles du Client, Eptura donnera suite Ă  cette demande dans les 45 jours suivant la date de la demande.
  1. Responsabilité.
    1. Le présent Addendum est sans préjudice des droits et obligations revenant aux parties en vertu de l’Accord, qui doit conserver toute sa force obligatoire et continuer à produire ses effets, y compris les limites et exclusions de responsabilité posées par les présentes et applicables au présent Addendum comme si elles y étaient intégralement stipulées. En cas de conflit entre les modalités du présent Addendum et celles de l’Accord, les modalités de l’Addendum l’emportent lorsque l’objet porte sur le traitement de Données personnelles du Client.
  1. Autres dispositions.
    1. Le présent Addendum doit être régi et interprété à la lumière du droit et de la compétence du pays ou territoire régissant l’Accord, sauf si des dispositions du présent Addendum ou des exigences des Lois sur la Protection des Données le prévoient autrement.
    2. Eptura peut mettre à jour les modalités du présent Addendum lorsque des modifications (a) s’imposent pour respecter les Lois sur la Protection des Données, un règlement applicable, une ordonnance judiciaire ou une consigne donnée par un régulateur ou une agence ; ou (b) n’ont pas d’incidence négative significative sur les droits conférés au Client par l’Addendum. Eptura présentera un préavis de trente (30) jours avant d’apporter une modification significative aux dispositions du présent Addendum. Si les mises à jour ont une incidence significative sur l’utilisation des Services par le Client, le Client a le droit de mettre un terme aux Services en cause dans les trente (30) jours suivant la réception du préavis écrit de modification.

[La partie restante du document est intentionnellement laissée vierge]

Document complémentaire A

ANNEXE I
A. LISTE DES PARTIES
MODULE DEUX : transfert du responsable du traitement au sous-traitant
MODULE TROIS : transfert du sous-traitant à un autre sous-traitant
Exportateur(s) de données :

Nom : Le Client mentionné par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux et toutes les Sociétés affiliées du Client
Adresse : L’adresse du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
Personne à contacter : L’adresse électronique du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
Activités pertinentes par rapport aux Données transférées : L’Achat de Services auprès du Prestataire
Rôle :

Responsable du Traitement (Module Deux) ; Sous-traitant (Module Trois)

Importateur(s) de données :

Nom : Le Prestataire mentionné par l’Accord et/ou la ou les Commandes/l’Énoncé ou les Énoncés des Travaux et toutes les Sociétés affiliées du Prestataire
Adresse : L’adresse du Prestataire telle que mentionnée par l’Accord et/ou la ou les Commandes/l’Énoncé ou les Énoncés des Travaux
Personne Ă  contacter : [email protected]
ActivitĂ©s pertinentes par rapport aux DonnĂ©es transfĂ©rĂ©es : Le Prestataire est un prestataire d’espaces de travail professionnels en mode cloud et de solutions de gestion d’avoirs qui Traite des DonnĂ©es personnelles en exĂ©cution d’instructions de l’Exportateur de DonnĂ©es et conformĂ©ment aux modalitĂ©s de l’Accord et de l’Addendum.
Rôle :

Sous-traitant

B. DESCRIPTION DU TRANSFERT
MODULE DEUX : transfert du responsable du traitement au sous-traitant
MODULE TROIS : transfert du sous-traitant à un autre sous-traitant

Objet du Traitement : L’objet du Traitement de Données personnelles par le Prestataire est la fourniture à l’Exportateur de Données de Services relevant de l’Accord.
Nature et Objet du Traitement : Le Traitement est associé à la fourniture au Client de solutions SaaS telles présentées de manière plus détaillée par l’Accord ; le Prestataire et ses Sous-traitants ultérieurs réaliseront les actes de Traitement de Données personnelles nécessaires à la fourniture de ces Services conformément aux instructions de l’Exportateur de Données, étant précisé que ceux-ci englobent, de manière non limitative, la transmission, le stockage et tout autre Traitement de Données personnelles envoyées aux Services.
Durée du Traitement :

Le Prestataire traitera les Données personnelles au nom de l’Exportateur de Données jusqu’au moment où ce dernier n’utilise plus les Services.
Catégories de Personnes concernées : Les Personnes concernées dont les Données personnelles du Client seront Traitées en vertu de l’Accord.
Catégories de Données personnelles : Les Données personnelles du Client Traitées en vertu de l’Accord.
Catégories spéciales de Données personnelles : Les Catégories spéciales de Données personnelles ne sont pas autorisées dans le cadre des Services.
Objet, Nature et Durée du Traitement par un Sous-traitant ultérieur : Des transferts destinés à des Sous-traitants ultérieurs seront réalisés afin de fournir les Services conformément à l’Accord.

C. AUTORITÉ COMPÉTENTE DE CONTRÔLE
MODULE DEUX:transfert du responsable du traitement au sous-traitant
MODULE TROIS:transfert du sous-traitant Ă  un autre sous-traitant

L’autorité de contrôle mandatée par la Clause 13 des SCC. Si aucune autorité de contrôle n’est mandatée par la Clause 13, il s’agira de la Commission irlandaise de la Protection des Données (DPC) et, au cas où cela ne serait pas possible, il conviendra de respecter l’accord dont les parties ont convenu à cet égard dans le respect des conditions posées par la Clause 13.

Document complémentaire B

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES INCLUANT LES MESURES TECHNIQUES ET ORGANISATIONNELLES ASSURANT LA SÉCURITÉ DES DONNÉES

MODULE DEUX:transfert du responsable du traitement au sous-traitant

MODULE TROIS:transfert du sous-traitant Ă  un autre sous-traitant

Description des mesures techniques et organisationnelles mises en œuvre par l’importateur ou les importateurs de données (y compris l’établissement des attestations pertinentes) pour assurer un niveau approprié de sécurité en tenant compte de la nature, du champ d’application, du contexte et de l’objet du traitement, et des risques menaçant les droits et les libertés des personnes physiques.

Dans la détermination des mesures techniques et organisationnelles de sécurité (« Normes de Sécurité ») obligatoires en vertu de l’Accord, Eptura tiendra compte des progrès technologiques, des frais de mise en œuvre, de la nature, du champ d’application, du contexte et des fins du traitement, ainsi que du risque de diverse intensité pesant sur les droits et libertés des personnes physiques et de sa gravité. Afin d’assurer la sécurité du traitement des Données personnelles du Client, Eptura doit disposer de procédés de conduite de tests, d’analyse et d’évaluation régulières de l’efficacité des Normes de Sécurité.

Par rapport aux Données personnelles du Client, Eptura accepte ce qui suit:

  1. Garanties – Programme. Eptura mettra en œuvre des garanties appropriées qui sont conformes aux normes industrielles dont le but est de protéger les Données personnelles du Client, en assurant leur confidentialité, leur intégrité et leur disponibilité. Eptura veillera à ce que toutes ces garanties respectent les Lois applicables et l’Accord, y compris, le cas échéant, l’addendum sur le traitement des données (DPA).
  2. Garanties – Dispositions spĂ©cifiques. Les Normes de SĂ©curitĂ© d’Eptura incluront au moins les Ă©lĂ©ments suivants: (a) des installations, des centres de donnĂ©es, des fichiers de documents, des serveurs, des systèmes de sauvegarde et un Ă©quipement informatique sĂ©curisĂ©s et incluant, de manière non limitative, l’ensemble des appareils mobiles et des autres Ă©quipements dotĂ©s d’une fonction de stockage d’informations; (b) une sĂ©curitĂ© pour rĂ©seaux, applications des appareils, bases de donnĂ©es et plates-formes; (c) une transmission, un stockage et une Ă©limination sĂ©curisĂ©s; (d) un processus d’authentification et des contrĂ´les d’accès intĂ©grĂ©s dans les applications, les systèmes d’exploitation et l’équipement; (e) l’enregistrement de l’accès aux donnĂ©es et la conservation des journaux sur le contrĂ´le de l’accès pendant une pĂ©riode suffisamment longue pour permettre la conduite d’une enquĂŞte; (f) le cryptage des DonnĂ©es personnelles du Client au repos, y compris lorsqu’elles sont sauvegardĂ©es sur un notebook Ă©lectronique, un disque dur portable ou un support Ă©lectronique amovible et ayant une fonction de stockage d’informations; (g) le cryptage de DonnĂ©es personnelles du Client lorsqu’elles sont transmises sur des rĂ©seaux publics ou sans fil; (h) la sĂ©paration des DonnĂ©es personnelles du Client des informations sur les autres clients d’Eptura; (i) la sĂ©curitĂ© et l’intĂ©gritĂ© du personnel, y compris, de manière non limitative, des vĂ©rifications sur les antĂ©cĂ©dents conformes au droit applicable; (j) la rĂ©alisation annuelle de tests externes et internes et d’analyses des vulnĂ©rabilitĂ©s et la mise en Ĺ“uvre rapide, et aux frais exclusifs d’Eptura, d’un plan de correction (incluant un calendrier) visant Ă  corriger les problèmes significatifs dĂ©voilĂ©s par les tests; et (k) la limitation de l’accès aux DonnĂ©es personnelles du Client et la dispense d’une formation en confidentialitĂ© et en sĂ©curitĂ© des informations en faveur du Personnel autorisĂ© d’Eptura. « Personnel autorisĂ© » dĂ©signe le personnel d’Eptura ayant besoin d’avoir connaissance des DonnĂ©es du Client ou d’y avoir accès pour permettre Ă  Eptura d’exĂ©cuter les obligations lui incombant en vertu de l’Accord, et qui est tenu par Ă©crit de respecter des obligations de confidentialitĂ© suffisantes pour protĂ©ger les DonnĂ©es personnelles du Client conformĂ©ment aux modalitĂ©s de l’Accord qui inclut, le cas Ă©chĂ©ant, le DPA.
  3. Logiciels malveillants. Le logiciel d’Eptura tel que livrĂ© ne contiendra pas de virus, de logiciels malveillants, de rançongiciels, d’enregistreurs de frappe, de bombes logiques, de Chevaux de Troie, de vers ou d’autres routines logicielles dont le but est de dĂ©sactiver, d’effacer ou d’endommager autrement un logiciel, un matĂ©riel ou des donnĂ©es appartenant au Client ou dont il a le contrĂ´le.
  4. Matériel ou équipement interdit. Eptura n’utilisera pas de matériel ou d’équipement non conforme à la Section 889(a)(1)(B) du National Defense Authorization Act [Loi d’autorisation concernant la Défense nationale] de l’Exercice fiscal 2019. Eptura prouvera le respect de cette disposition sur demande. Si Eptura ne respecte plus la présente disposition, elle en informera le Client sur-le-champ par l’envoi d’un e-mail à la personne chargée de la sécurité et figurant dans le dossier.
  5. Reprise après sinistre et continuité commerciale. Eptura veillera à la tenue et à la mise en œuvre d’un plan de continuité commerciale et de reprise après sinistre (« Plan BCDR ») qui inclura au moins ce qui suit: (a) la documentation sur les responsabilités, les procédures et les procédés commerciaux applicables; (b) la méthodologie de sauvegarde; (c) l’identification des scénarios de reprise après sinistre et les contrats de niveau de service concernant la reprise du service; (d) les responsabilités des Sous-traitants ultérieurs en cas de sinistre; (e) la stratégie de communication; et (f) les procédures de retour vers un service normal. Le Plan BCDR doit être révisé selon une périodicité annuelle. Eptura doit s’assurer qu’il est à même de mettre en œuvre le Plan BCDR à tout moment et dans le respect de ses modalités. Eptura doit tester le Plan BCDR régulièrement (et, en tout état de cause, selon une périodicité au moins annuelle). Quand une demande dans ce sens lui parvient, Eptura doit envoyer un rapport écrit résumant les résultats donnés par le test le plus récent, et doit mettre en œuvre sans délai les actions ou mesures de correction qui, d’après un accord mutuel des parties, sont rendues nécessaires par ces tests.
  6. Incidents de SĂ©curitĂ©. Lorsqu’Eptura dĂ©couvre, dans des conditions avĂ©rĂ©es ou raisonnablement soupçonnĂ©es, (i) un accès non autorisĂ© aux DonnĂ©es du Client ou leur divulgation ou (ii) un accès non autorisĂ© (dĂ©signĂ© « Incident de SĂ©curitĂ© » Ă  chaque fois) aux applications ou systèmes dĂ©tenus, gĂ©rĂ©s ou sous-traitĂ©s par Eptura (« Systèmes d’Eptura ») et sur lesquels les DonnĂ©es personnelles du Client sont traitĂ©es, Eptura devra, rapidement et sans retard inutile:
    1. prendre des mesures d’atténuation et/ou de résolution de l’Incident de Sécurité afin de placer les Données personnelles du Client à l’abri d’un risque ou dommage supplémentaire, et lancer une enquête;
    2. réaliser des contrôles appropriés pour garder et préserver toutes les preuves électroniques sur l’Incident de Sécurité dans le respect des normes industrielles;
    3. signaler la nature de l’Incident de Sécurité au Client (y compris, si possible, les catégories de données ayant fait l’objet d’une violation et les catégories de données concernées par divers types de pertes et, lorsque les Données personnelles du Client sont impliquées, les catégories et le nombre approximatif de personnes concernées pertinentes et le nombre approximatif d’archives de Données personnelles du Client pertinentes);
    4. indiquer le nom et les coordonnĂ©es de l’interlocuteur d’Eptura lorsque des informations supplĂ©mentaires peuvent ĂŞtre obtenues rapidement, les consĂ©quences probables de l’Incident de SĂ©curitĂ© si elles sont connues, et les mesures prises ou dont la prise est proposĂ©e pour rĂ©soudre l’Incident de SĂ©curitĂ©, y compris (le cas Ă©chĂ©ant) les mesures permettant d’attĂ©nuer ses Ă©ventuels effets nĂ©gatifs;
    5. prendre des mesures pour qu’un Incident de SĂ©curitĂ© similaire ne se reproduise plus. Pour lever toute ambiguĂŻtĂ©, Eptura n’est pas tenue de signaler les pings visant ses pare-feu, les analyses de ports et tout logiciel malveillant qui ne se traduira vraisemblablement pas par un accès, une utilisation, une divulgation, une modification ou une destruction d’informations sans autorisation, ou toute ingĂ©rence dans les Systèmes d’Eptura ne doit pas ĂŞtre considĂ©rĂ©e comme un Incident de SĂ©curitĂ© dĂ©clarable qu’Eptura doit signaler au Client; et
    6. convenir d’une consultation et coopĂ©rer avec les enquĂŞtes, litiges, demandes de renseignements, prĂ©tentions, contentieux ou actions rĂ©glementaires dĂ©coulant de l’Incident de SĂ©curitĂ©.
  7. Certifications et Ă©valuations de la sĂ©curitĂ©. Eptura doit engager des entreprises (d’audit) tiers spĂ©cialisĂ©es en Ă©valuation de la sĂ©curitĂ© pour rĂ©aliser un audit de certification et des tests de sĂ©curitĂ© selon une pĂ©riodicitĂ© annuelle. Sur demande du Client, Eptura doit lui remettre une preuve de la certification actuelle et des tests rĂ©alisĂ©s, y compris les certificats, rĂ©sumĂ©s exĂ©cutifs et autres archives jugĂ©es pertinentes Ă  la discrĂ©tion exclusive mais raisonnable d’Eptura (les « Archives d’Évaluation ») pour dĂ©montrer le respect de l’Accord et des Lois.
  8. Questionnaires de sécurité. Pas plus d’une fois par période de douze (12) mois et sur présentation d’une demande, Eptura doit répondre à un questionnaire pour fournisseurs sur la cybersécurité ou à une demande de renseignements similaire d’une longueur raisonnable et n’exigeant pas la présentation de pièces justificatives en plus des Archives d’Évaluation actuelles.

Assistance par rapport aux Demandes des Personnes concernées. Le Client sera chargé de communiquer avec les personnes concernées en vertu de la Clause 15.1(a) des SCC.

Document complémentaire C

Le présent Addendum a été délivré par le Commissaire à l’Information à l’attention des Parties faisant des Transferts soumis à Restrictions. Le Commissaire à l’Information estime qu’il offre des Garanties appropriées lorsqu’il est conclu comme un contrat juridiquement contraignant.

PARTIE 1:TABLEAUX

TABLEAU 1:PARTIES

  1. Date de commencement
  1. La date à laquelle le Client ou sa Société affiliée figurant sur l’Accord et/ou le ou les Formulaires de Commande et/ou l’Énoncé ou les Énoncés des Travaux signe l’Accord.
  1. Les Parties
  1. Exportateur (qui réalise le Transfert soumis à Restrictions)
  1. Importateur (qui reçoit le Transfert soumis à Restrictions)
  1. Coordonnées des Parties
  1. Version intégrale de la raison sociale: le Client mentionné par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux et toutes les Sociétés affiliées du Client
  2. Dénomination commerciale (si elle est différente):
  3. Principale adresse (s’il s’agit de l’adresse officiel d’une société): l’adresse du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
  4. Numéro d’immatriculation officielle (le cas échéant) (numéro de la société ou identifiant similaire): le numéro d’immatriculation du Client ou de la Société affiliée du Client figurant dans l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
  1. Version intégrale de la raison sociale: le Prestataire figurant dans l’Accord et/ou le ou les Formulaires de Commande et/ou l’Énoncé ou les Énoncés des Travaux
  2. Dénomination commerciale (si elle est différente):
  3. Principale adresse (s’il s’agit de l’adresse officielle d’une société): l’adresse du Prestataire telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
  4. Numéro d’immatriculation officiel (le cas échéant) (numéro de la société ou identifiant similaire): le numéro d’immatriculation du Prestataire figurant dans l’Accord et/ou le ou les Formulaires de Commande/Énoncé(s) des Travaux
  1. Principales personnes Ă  contacter
  1. Coordonnées incluant l’e-mail: l’adresse électronique du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
  1. Nom et prénoms (facultatif): James Carder
  2. Fonctions: Responsable de la sécurité de l’information
  3. CoordonnĂ©es incluant l’e-mail: [email protected]
  1. Signature (si elle est obligatoire aux fins de la Section 2)
  1. Non exigée
  1. Non exigée

TABLEAU 2:SCC CHOISIES, MODULES ET CLAUSES CHOISIES

  1. SCC de l’UE relevant de l’Addendum
 La version des SCC approuvées de l’UE, à laquelle le présent Addendum est joint, détaillée ci-dessous et incluant les Informations de l’Appendice :

  1. Date :      
  2. Références (le cas échéant) :      
  3. Autre identifiant (le cas échéant) :      
  4. ou

x les SCC de l’UE approuvées, y compris les Informations de l’Appendice, et uniquement avec les modules, clauses ou dispositions facultatives des SCC de l’UE approuvées figurant ci-dessous et rendues opérantes aux fins du présent Addendum :
  1. Module
  1. Module utilisé
  1. Clause 7 (Clause d’adhésion)
  1. Clause 11
    (Option)
  1. Clause 9a (Autorisation préalable ou autorisation générale)
  1. Clause 9a (DĂ©lai)
  1. Est-ce que les données personnelles reçues de l’Importateur sont regroupées avec les données personnelles recueillies par l’Exportateur ?

  1. 1

  1. 2

  1. x
  1. Autorisation générale
  1. 14 jours

  1. 3

  1. x
  1. Autorisation générale
  1. 14 jours

  1. 4

TABLEAU 3 : INFORMATIONS DE L’APPENDICE

«Informations de l’Appendice » désigne les informations qui doivent être fournies au titre des modules choisis figurant dans l’Appendice des SCC de l’UE approuvées (autres que les Parties), et qui, au titre du présent Addendum, figurent dans les éléments suivants :

  1. Annexe 1A : Liste des Parties : présentée par le Document complémentaire A
  1. Annexe 1B : Description du transfert : telles qu’identifiées par le Document complémentaire A
  1. Annexe II : Mesures techniques et organisationnelles incluant les mesures techniques et organisationnelles assurant la sécurité des données : présentées par le Document complémentaire B
  1. Annexe III : Liste des Sous-traitants ultérieurs (Modules 2 et 3 uniquement) : consultez www.eptura.com/subprocessors

TABLEAU 4 : RÉSILIATION DU PRÉSENT ADDENDUM EN CAS DE MODIFICATION DE L’ADDENDUM APPROUVÉ

  1. Résiliation du présent Addendum en cas de modification de l’Addendum approuvé
  1. Quelles sont les Parties qui peuvent mettre un terme au présent Addendum d’une manière prévue par la Section 19 :
  2. Importateur
  3. x Exportateur
  4. aucune Partie

PARTIE 2 : CLAUSES OBLIGATOIRES

CONCLUSION DU PRÉSENT ADDENDUM

  1. Chaque Partie accepte d’être tenue par les modalités et les conditions stipulées par le présent Addendum quand, en échange, l’autre Partie accepte également d’être tenue par le présent Addendum.
  2. Bien que l’Annexe 1A et la Clause 7 des SSC de l’UE approuvées exigent une signature des Parties, pour pouvoir réaliser des Transferts soumis à Restrictions, les Parties peuvent convenir du présent Addendum d’une manière les rendant juridiquement opposables aux Parties et permettant aux personnes concernées de faire valoir leurs droits tels que stipulés par le présent Addendum. La conclusion du présent Addendum aura le même effet que la signature des SCC de l’UE approuvées et d’une partie quelconque des SCC de l’UE approuvées.

INTERPRÉTATION DU PRÉSENT ADDENDUM

  1. Lorsque le présent Addendum utilise des notions définies par les SCC de l’UE approuvées, ces notions auront le même sens que celui qui est donné par les SCC de l’UE approuvées. En outre, les notions ci-dessous auront le sens suivant :
  1. Addendum
  1. Le présent Addendum de Transfert international de Données, qui comprend le présent Addendum auquel les SCC de l’UE relevant de l’Addendum sont ajoutées
  1. SCC de l’UE relevant de l’Addendum
  1. La ou les versions des SCC de l’UE approuvées auxquelles le présent Addendum est joint, présentées par le Tableau 2 et incluant les Informations de l’Appendice.
  1. Informations de l’Appendice
  1. Telles que présentées par le Tableau 3.
  1. Garanties appropriées
  1. La norme prévue pour la protection des données personnelles et pour les droits des personnes concernées, et exigée par les Lois sur la Protection des Données du Royaume-Uni lorsque vous faites un Transfert soumis à Restrictions en vertu des clauses sur la protection standard des données stipulées par l’article 46(2)(d) du GDPR du Royaume-Uni.
  1. Addendum approuvé
  1. Le modèle d’Addendum établi par l’ICO, soumis au Parlement, le 2 février 2022, conformément à la section 119A de la Loi de 2018 sur la Protection des Données, et tel que révisé en vertu de la Section 18.
  1. SCC de l’UE approuvées
  1. Les Clauses contractuelles types figurant dans l’Annexe de la DĂ©cision d’exĂ©cution (UE) 2021/914 de la Commission du 4 juin 2021.
  1. ICO
  1. Le Commissaire à l’Information
  1. Transfert soumis Ă  Restrictions
  1. Un transfert couvert par le Chapitre V du GDPR du Royaume-Uni.
  1. Royaume-Uni
  1. Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord
  1. Lois sur la Protection des Données du Royaume-Uni
  1. Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la confidentialité et/ou aux communications électroniques occasionnellement en vigueur au Royaume-Uni, y compris le GDPR du Royaume-Uni et la Loi de 2018 sur la Protection des Données.
  1. GDPR du Royaume-Uni
  1. Tel que défini par la section 3 de la Loi de 2018 sur la Protection des Données.
  1. Le présent Addendum doit toujours être interprété d’une manière conforme aux Lois sur la Protection des Données du Royaume-Uni et afin qu’il exécute l’obligation faite aux Parties de fournir des Garanties appropriées.
  2. Si les dispositions des SCC de l’UE relevant de l’Addendum modifient les SCC approuvées d’une manière non autorisée par les SCC de l’UE relevant de l’Addendum ou l’Addendum approuvé, cette ou ces modifications ne seront pas intégrées dans le présent Addendum et seront remplacées par la disposition équivalente des SCC de l’UE approuvées.
  3. En cas d’incompatibilité ou de conflit entre les Lois sur la Protection des Données du Royaume-Uni et le présent Addendum, les Lois sur la Protection des Données du Royaume-Uni l’emporteront.
  4. Si le sens du présent Addendum est ambigu ou s’il existe plusieurs sens, le sens se rapprochant le plus des Lois sur la Protection des Données du Royaume-Uni prévaudra.
  5. Les renvois à une législation (ou à des dispositions spécifiques de la législation) désignent cette législation (ou cette disposition spécifique) telle que susceptible d’évoluer avec le temps. Ils englobent les situations où cette législation (ou disposition spécifique) a été consolidée, à nouveau promulguée et/ou remplacée après la conclusion du présent Addendum.

HIÉRARCHIE

  1. Bien que la Clause 5 des SCC de l’UE approuvées stipule que les SSC de l’UE approuvées prévalent sur tous les accords connexes unissant les parties, les parties reconnaissent que, s’agissant des Transferts soumis à Restrictions, la hiérarchie prévue par la Section 10 l’emportera.
  2. En cas d’incompatibilité ou de conflit entre l’Addendum approuvé et les SCC de l’UE relevant de l’Addendum (le cas échéant), l’Addendum approuvé l’emporte sur les SCC de l’UE relevant de l’Addendum, sauf lorsque (et quand) les modalités des SCC de l’UE relevant de l’Addendum qui donnent lieu à une incompatibilité ou un conflit offrent aux personnes concernées une meilleure protection, auquel cas ces modalités l’emporteront sur l’Addendum approuvé.
  3. Lorsque le présent Addendum comprend des SCC de l’UE relevant de l’Addendum convenues pour protéger les transferts soumis au Règlement général sur la Protection des Données (UE) n° 2016/679, les Parties reconnaissent alors qu’aucune stipulation du présent Addendum n’a d’incidence sur ces SCC de l’UE relevant de l’Addendum.

INTÉGRATION ET MODIFICATION DES SCC DE L’UE

  1. Le présent Addendum comprend les SCC de l’UE relevant de l’Addendum qui sont modifiées dans une mesure nécessaire afin :
    1. qu’elles fonctionnent collectivement par rapport aux transferts de données réalisés par l’exportateur de données en faveur de l’importateur de données, lorsque les Lois sur la Protection des Données du Royaume-Uni s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert de données, et afin qu’elles apportent des Garanties appropriées à ces transferts de données;
    2. que les Sections 9 à 11 l’emportent sur la Clause 5 (Hiérarchie) des SCC de l’UE relevant de l’Addendum; et
    3. que le présent Addendum (y compris les SCC de l’UE relevant de l’Addendum y étant intégrées) (1) soit régi par le droit anglais et gallois et (2) que tout litige en découlant soit tranché par les tribunaux anglais et gallois à chaque fois, sauf si le droit et/ou les tribunaux d’Écosse ou d’Irlande du Nord ont été expressément choisis par les Parties.
  2. Sauf si les Parties ont convenu d’autres amendements qui répondent aux exigences de la Section 12, les dispositions de la Section 15 seront applicables.
  3. Aucun amendement visant les SCC de l’UE approuvées et n’ayant pas pour objet la satisfaction des exigences de la Section 12 ne peut être apporté.
  4. Il est apporté aux SCC de l’UE relevant de l’Addendum (aux fins de la Section 12) les amendements suivants:
    1. les références aux « Clauses » désignent le présent Addendum, qui comprend les SCC de l’UE relevant de l’Addendum;
    2. dans la clause 2, il convient de supprimer ce qui suit:
      1. « et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679 »;
  5. clause 6 (Description du ou des transferts) est remplacée par ce qui suit :
    1. « Les précisions concernant ce ou ces transferts et, notamment, les catégories de données personnelles transférées et le ou les buts de leur transfert sont indiquées par l’Annexe I.B lorsque les Lois sur la Protection des Données du Royaume-Uni sont applicables au traitement effectué par l’exportateur de données lors de ce transfert »;
  6. la Clause 8.7(i) du Module 1 est remplacée par ce qui suit:
    1. « il est effectué vers un pays bénéficiant d’une réglementation sur le caractère adéquat en vertu de la Section 17A sur le GDPR du Royaume-Uni qui traite du transfert ultérieur »;
  7. la Clause 8.8(i) des Modules 2 et 3 est remplacée par ce qui suit:
    1. « le transfert ultérieur est effectué vers un pays bénéficiant d’une réglementation sur le caractère adéquat en vertu de la Section 17A sur le GDPR du Royaume-Uni qui traite du transfert ultérieur; »
  8. les rĂ©fĂ©rences au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractère personnel et Ă  la libre circulation de ces donnĂ©es (Règlement gĂ©nĂ©ral sur la Protection des DonnĂ©es) » et Ă  « ce Règlement » sont toutes remplacĂ©es par « Lois sur la Protection des DonnĂ©es du Royaume-Uni ». Les rĂ©fĂ©rences Ă  un ou plusieurs Articles spĂ©cifiques du « Règlement (UE) 2016/679 » sont remplacĂ©es par l’Article Ă©quivalent ou la Section Ă©quivalente des Lois sur la Protection des DonnĂ©es du Royaume-Uni;
  9. les références au Règlement (UE) 2018/1725 sont supprimées;
  10. les références à « Union européenne », « Union », « UE » « État membre de l’UE », « État membre » et « UE ou État membre » sont toutes remplacées par « Royaume-Uni ».
  11. la référence à « Clause 12(c)(i) », qui figure dans le Module 1 de la Clause 10(b)(i), est remplacée par « Clause 11(c)(i) »;
  12. la Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées;
  13. l’« autorité de contrôle compétente » et l’« autorité de contrôle » sont toutes les deux remplacées par le « Commissaire à l’Information »;
  14. dans la clause 16(e), la sous-section (i) est remplacée par:
    1. « le Secrétaire d’État promulgue, en vertu de la Section 17A de la Loi de 2018 sur la Protection des Données, des règlements traitant du transfert de données personnelles auquel ces clauses sont applicables »;
  15. la Clause 17 est remplacée par:
    1. « Ces Clauses sont régies par le droit anglais et gallois. »;
  16. la Clause 18 est remplacée par:
    1. « Tout litige découlant des présentes Clauses doit être résolu par les tribunaux d’Angleterre et du pays de Galles. Une personne concernée peut également engager une procédure judiciaire contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de tout territoire du Royaume-Uni. Les Parties acceptent de se soumettre à la compétence de ces tribunaux. »; et
  17. Les notes de bas de page des SCC de l’UE approuvées ne font pas partie de l’Addendum, à l’exception des notes de bas de page 8, 9, 10 et 11.

AMENDEMENTS AU PRÉSENT ADDENDUM

  1. Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 des SCC de l’UE relevant de l’Addendum pour renvoyer au droit et/ou tribunaux d’Écosse ou d’Irlande du Nord.
  2. Si les Parties souhaitent modifier le format des informations figurant dans la Partie 1: Tableaux de l’Addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que la modification n’affaiblisse pas les Garanties appropriées.
  3. De temps à autre, l’ICO peut délivrer une version révisée de l’Addendum approuvé qui: a. apporte des modifications raisonnables et proportionnées à l’Addendum approuvé, y compris la correction des erreurs relevées dans l’Addendum approuvé; et/ou b. reprend les modifications apportées aux Lois sur la Protection des Données du Royaume-Uni; la version révisée de l’Addendum approuvé indiquera la date de commencement à compter de laquelle les modifications de l’Addendum approuvé prendront effet et répondra au point de savoir si les Parties doivent réviser le présent Addendum, y compris les Informations de l’Appendice. Le présent Addendum est automatiquement modifié, d’une manière indiquée par la version révisée de l’Addendum approuvé, à compter de la date de commencement stipulée.
  4. Si l’ICO dĂ©livre une version rĂ©visĂ©e de l’Addendum approuvĂ© en vertu de la Section 18 et au cas oĂą une Partie sĂ©lectionnĂ©e dans la partie « RĂ©siliation du prĂ©sent Addendum en cas de modification de l’Addendum approuvĂ© » du Tableau 4 constate, d’une manière dĂ©coulant directement des modifications de l’Addendum approuvĂ©, une augmentation significative, disproportionnĂ©e et dĂ©montrable: a. de ses frais directs d’exĂ©cution des obligations lui incombant en vertu de l’Addendum, et/ou b. du risque pesant sur elle en vertu de l’Addendum, et lorsque, dans l’un ou l’autre cas, elle a commencĂ© par prendre des mesures raisonnables visant Ă  attĂ©nuer ces frais ou ces risques afin qu’ils ne soient plus significatifs et disproportionnĂ©s, cette Partie peut alors rĂ©silier le prĂ©sent Addendum Ă  la fin d’une pĂ©riode raisonnable en remettant Ă  l’autre Partie, avant la date de commencement de la version rĂ©visĂ©e de l’Addendum approuvĂ©, un avis Ă©crit correspondant Ă  cette pĂ©riode.
  5. Les Parties n’ont pas besoin du consentement d’un tiers pour modifier le présent Addendum, mais les modifications doivent être apportées dans le respect de ses modalités.

Ready to learn more?

Sign up to stay in the loop on new product updates, the latest innovations in worktech, and tips & tricks to help you work your world.

Keep me updated

Stay connected
Follow us
Subscribe