ADDENDUM SUR LE TRAITEMENT DE DONNÉES

Le présent Addendum sur le Traitement des Données (y compris ses Documents complémentaires) (« Addendum ») fait partie des modalités et conditions de la Commande (y compris les Modalités régissant une telle Commande) (l’« Accord ») Eptura et le Client (« Client ») qui a signé l’Accord pour son compte personnel et pour une Société affiliée du Client, est soumis aux modalités et conditions de cette Commande, et est intégré aux présentes par un renvoi.

Le présent Addendum remplace intégralement tout accord, tout addendum, tout document additionnel ou tout accord complémentaire actuel ou tout autre document venant régir le traitement et la protection des Données personnelles du Client en lien avec les Services.

Les notions définies et utilisées mais qui, par ailleurs, ne font pas l’objet d’une définition dans le présent Addendum, auront le sens que leur attribue l’Accord. À moins qu’une modification ne soit apportée ci-dessous, les modalités de l’Accord conservent toute leur force obligatoire et continuent de produire leurs effets.

Le présent Addendum expose l’engagement par lequel les parties déclarent respecter les Lois sur la Protection des Données relatives au Traitement des Données personnelles du Client en lien avec les Services prévus par l’Accord. Si et lorsque la formulation du présent Addendum entre en conflit avec l’Accord, le présent Addendum doit l’emporter.

Le présent Addendum devient juridiquement contraignant dès la date de prise d’effet de l’Accord ou dès la date de la signature du présent Addendum, s’il est établi après la date de prise d’effet de l’Accord.

1. Définitions.

Aux fins du présent Addendum, les notions figurant ci-après et celles définies par le contenu du présent Addendum sont applicables.

1. 1. « Données personnelles du Client » désigne les Données personnelles qui sont détenues ou contrôlées par le Client, et qui sont fournies à Eptura par le Client ou en son nom dans le cadre des Services.
   2. « Sous-traitant sous Contrat » désigne Eptura ou un Sous-traitant ultérieur.
   3. « Responsable du Traitement » désigne l’entité qui présente les buts du Traitement des Données personnelles du Client, et les moyens utilisés à cet égard.
   4. « Lois sur la Protection des Données » désigne l’ensemble des lois et règlements applicables au Traitement auquel les Données personnelles du Client sont soumises dans la fourniture des Services relevant de l’Accord. « Lois sur la Protection des Données » peut inclure, de manière non limitative, la Loi californienne de 2018 sur la Vie privé du Consommateur [California Consumer Privacy Act of 2018] (telle que modifiée par la Loi californienne de 2020 sur la Vie privée [California Privacy Rights Act of 2020]), les paragraphes 1798.100 et suivants du Code civil de Californie et ses règlements d’application (collectivement désignés « CCPA et/ou CPRA »), le Règlement général sur la Protection des Données n° 2016/679 de l’UE (« GDPR ») et ses législations nationales respectives d’application, la Loi fédérale suisse relative à la Protection des Données, le Règlement général sur la Protection des Données du Royaume-Uni (« GDPR du Royaume-Uni »), ainsi que la Loi de 2018 sur la Protection des Données du Royaume-Uni [United Kingdom Data Protection Act 2018] (tels que considérés, à chaque fois, dans leur version occasionnellement modifiée, adoptée ou remplacée);
   5. « Personne concernée » a le sens que lui attribue les Lois sur la Protection des Données;
   6. « Données personnelles » désigne toute information fournie par ou au nom du Client, pour qu’elle soit utilisée dans les Services, et en lien avec une personne identifiée ou identifiable.
   7. « Traiter » ou « Traitement » désigne toute opération ou tout ensemble d’opérations menées, d’une manière accompagnée ou non de moyens automatisés, sur des Données personnelles du Client ou des ensembles de Données personnelles du Client, et correspondant à un retrait, un enregistrement, une organisation, une structuration, un stockage, une adaptation ou altération, un retrait, une consultation, une utilisation, une divulgation par transmission, une diffusion ou une autre offre d’accès, un alignement ou une association, une restriction, une suppression ou une destruction.
   8. « Sous-traitant » désigne l’entité qui Traite les Données personnelles du Client au nom du Responsable du Traitement.
   9. « Incident(s) de Sécurité » désigne une destruction, une perte, une altération ou une divulgation non autorisée de Données personnelles du Client ou encore un accès à ces dernières dont la nature est accidentelle ou illicite. Un Incident de Sécurité n’englobe pas les tentatives infructueuses ou activités qui n’affaiblissent pas la sécurité des Données personnelles du Client, y compris les tentatives infructueuses de connexion, les pings, les analyses de ports, les attaques par déni de services, et les autres attaques de réseau sur les pare-feu ou système en réseau.
   10. « Services » désigne les services qu’Eptura fournit en vertu de l’Accord.
   11. « Clauses contractuelles types » (intégrées dans les présentes par un renvoi) renvoie aux:
   12. « Clauses contractuelles types de 2021 » définies comme les clauses présentées en vertu de la Décision d’exécution (UE) 2021/914 de la Commission de juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, et disponible sur http://data.europa.eu/eli/dec_impl/2021/914/oj (telle qu’occasionnellement modifiée et mise à jour).
   13. « Sous-traitant(s) ultérieur(s) » désigne les entrepreneurs et les prestataires de services tiers autorisés d’Eptura qui Traitent les Données personnelles du Client.
   14. « Autorité de Contrôle » désigne une autorité publique indépendante qui a été instituée, en vertu des Lois sur la Protection des Données, pour contrôler le respect des Lois sur la Protection des Données.

2. Utilisation et Traitement des Données.
   1. Rôles des Parties. Les Parties reconnaissent et acceptent ce qui suit: (i) quand le Client a la qualité de Responsable du Traitement, Eptura est le Sous-traitant, et (ii) quand le Client a la qualité de Sous-traitant, Eptura est un Sous-traitant ultérieur du Client. En outre, lorsque les CCPA et/ou CPRA s’appliquent au Traitement, par Eptura, des Données personnelles du Client, les parties reconnaissent et acceptent que le Client est une Entreprise, car cette notion est définie par les CCPA et/ou CPRA et ses règlements d’application, et qu’Eptura est un Prestataire de Services du Client, dans la mesure où cette notion est définie par les CCPA et/ou CPRA et ses règlements d’application.
   2. Instructions documentées. Le Client donne pour instruction à Eptura de Traiter les Données personnelles du Client pour lui permettre de fournir les Services et pour permettre au Client de bénéficier des Services conformément à l’Accord, au présent Addendum, à tout énoncé des travaux applicable, et aux instructions dont les parties ont convenu par écrit. L’objet du Traitement est l’utilisation des Services par le Client et l’un quelconque de ses utilisateurs finaux. Les catégories de la Personne concernée sont les utilisateurs des Services et les occupants des locaux où les Services sont utilisés, et peuvent donc englober les salariés et les visiteurs du Client. Eptura veillera à ce que tout transfert de Données personnelles du Client opéré en dehors de l’EEE et/ou du Royaume-Uni respecte les Lois sur la Protection des Données, par un recours à un mécanisme de transfert licite. Le Client veillera à ce que le Traitement, par Eptura, de Données personnelles du Client, lorsqu’il est opéré en exécution des instructions du Client, n’entraîne pas la violation, par Eptura, d’une loi ou d’un règlement applicable, y compris les Lois sur la Protection des Données applicables. Le Client est exclusivement responsable de la précision, de la qualité et de la licéité des Données personnelles du Client, de l’ensemble des consentements, des procédés et des avis nécessaires qui s’imposent pour permettre, conformément à l’Accord et au présent Addendum, le transfert licite des Données personnelles du Client à Eptura, et des moyens par lesquels le Client acquiert les Données personnelles. La durée pendant laquelle Eptura Traitera les Données personnelles du Client correspond à la durée de l’Accord plus les périodes de conservation applicables stipulées par le présent Addendum. Au cas où Eptura estimerait raisonnablement que les instructions du Client et les Lois sur la Protection des Données applicables donnent lieu à un conflit, il devra en informer le Client par écrit sauf s’il lui est légalement interdit de prendre une telle mesure. Lorsque le Client exige (i) que leur produit en louage constitue un louage partagé entre le Client et ses Sociétés affiliées, et (ii) que les administrateurs et les contacts soient déclarés « internationaux », le Client reconnaît et accepte (et il est considéré qu’il communique à Eptura toute instruction exigée par les Lois sur la Protection des Données) que les Données personnelles du Client seront partagées entre le Client et chacune de ses Sociétés affiliées faisant partie de la location partagée.
   3. Autorisation du recours à des Sous-traitants ultérieurs. Dans une mesure nécessaire à l’exécution des obligations contractuelles incombant à Eptura en vertu de l’Accord, le Client l’autorise, en vertu des présentes, à engager des Sous-traitants ultérieurs. La liste actuelle de Sous-traitants ultérieurs établie par Eptura pour les Services en cause peut être consultée sur www.eptura.com/subprocessors (la « Liste de Sous-traitants ultérieurs »). Le Client accepte la désignation des Sous-traitants ultérieurs énumérés par la Liste de Sous-traitants ultérieurs. Eptura s’engage à ne pas transférer de Données personnelles à des entités ne figurant pas sur la Liste de Sous-traitants ultérieurs.
   4. Conformité à observer par Eptura et le Sous-traitant ultérieur. Eptura s’engage à (i) conclure, avec des Sous-traitants ultérieurs, un accord écrit relatif au Traitement, par ces Sous-traitants ultérieurs, des Données personnelles du Client et imposant à ces Sous-traitants ultérieurs et par rapport aux Données personnelles du Client des exigences de protection des données compatibles avec le présent Addendum, et à (ii) demeurer responsable des actes et des omissions de ses Sous-traitants ultérieurs dans une mesure similaire à la responsabilité qu’Eptura engagerait s’il intervenait directement, en vertu des modalités du présent Addendum, pour fournir les Services incombant à chaque Sous-traitant ultérieur.
   5. Droit de s’opposer à des Sous-traitants. Au moins 15 jours avant la désignation d’un nouveau Sous-traitant ultérieur, Eptura notifiera au Client son intention d’engager de nouveaux Sous-traitants ultérieurs en mettant à jour la Liste de Sous-traitants ultérieurs, et donnera au Client l’occasion de s’inscrire aux notifications sur de telles modifications. Le Client peut s’opposer au recours, par Eptura, à un nouveau Sous-traitant ultérieur, en lui adressant sans délai un avis écrit à envoyer dans les 15 jours suivant le moment où l’avis d’Eptura lui parvient. Une notification destinée au Client sera fournie en utilisant l’adresse ou les adresses électroniques indiquées dans la Commande de Services ou l’adresse qu’il communique à Eptura lorsqu’il achète des Services. Si le Client ne s’oppose pas à l’engagement, conformément à la présente Section, d’un nouveau Sous-traitant ultérieur, le nouveau Sous-traitant ultérieur sera réputé accepté aux fins du présent Addendum. Si le Client s’oppose à la désignation ou au remplacement, par Eptura, d’un Sous-traitant ultérieur en raison de motifs raisonnables en lien avec la protection des données, il doit adresser à Eptura une notification écrite présentant cette objection en détail avant la désignation ou le remplacement de ce Sous-traitant ultérieur. Dans une telle situation, Eptura réalisera des efforts raisonnables pour fournir au Client des Services conformes à l’Accord et sans recours à un Sous-traitant ultérieur. Si Eptura exige raisonnablement le recours à un Sous-traitant ultérieur et n’est pas en mesure de convaincre le Client, dans les trente (30) jours suivant le moment où ce dernier élève une objection, de l’aptitude du Sous-traitant ultérieur, le Client peut décider de n’annuler que la partie des Services ou de la ou des Commandes qui ne peut pas être prise en charge par Eptura sans recours au Sous-traitant ultérieur visé par l’objection.
   6. Confidentialité. Eptura doit s’assurer que son personnel et celui de ses Sociétés affiliées engagés dans le Traitement des Données personnelles du Client ont été informés de la nature confidentielle des Données personnelles du Client, et ont signé des accords de confidentialité écrits.
   7. Évaluation d’Impact sur la Protection des Données et Consultation préalable. Eptura doit accorder au Client une assistance raisonnable par rapport aux évaluations d’impact sur la protection des données (réalisées aux frais du Client uniquement si cette coopération raisonnable exigera d’Eptura qu’elle consacre d’importantes ressources à la réalisation de cet effort) et aux consultations préalables de toute Autorité de Contrôle ou d’autres autorités compétentes en matière de protection des données dans une mesure exigée par les Lois sur la Protection des Données applicables et, dans chaque cas, d’une manière uniquement liée au Traitement des Données personnelles du Client, et tenant compte de la nature du Traitement et des informations placées à la disposition d’Eptura.
   8. Partage entre le Client et les Affiliés. Lorsque le Client exige (i) que le locataire de son produit soit un locataire partagé entre le Client et ses Sociétés Affiliées ; et (ii) les administrateurs et les contacts sont désignés comme « globaux », le client reconnaît et accepte (et est réputé fournir toute instruction à Eptura qui est requise en vertu des lois sur la protection des données) que les données du client seront partagées entre le client et chacune de ses sociétés affiliées qui font partie de la location partagée.

3. Personnes concernées.
   1. Dans une mesure autorisée par les Lois sur la Protection des Données, Eptura doit notifier le Client si elle reçoit d’une Personne concernée une demande qui identifie des Données personnelles du Client ou qui identifie le Client autrement, y compris lorsque la Personne concernée souhaite exercer l’un des droits que lui confèrent les Lois sur la Protection des Données applicables (l’appellation collective retenue est « Demande de la Personne concernée »). Si Eptura reçoit une Demande de la Personne concernée au sujet des Données personnelles du Client, Eptura lui demandera d’adresser sa demande au Client, qui sera tenu d’y répondre d’une manière incluant, si nécessaire, un recours à la fonctionnalité des Services. Lorsque le Client, qui utilise de tels contrôles ou un autre moyen, n’est pas en mesure d’accéder, à partir des Services, aux Données personnelles du Client en cause, Eptura devra (sur demande écrite du Client et en tenant compte de la nature du Traitement) apporter au Client une coopération commercialement raisonnable pour qu’il puisse répondre aux Demandes de la Personne concernée.

4. Transferts de Données.
   1. Si des Données personnelles du Client venant de l’Espace économique européen, de la Suisse et/ou du Royaume-Uni sont transférées par le Client en faveur d’Eptura dans un pays qui n’a pas été considéré comme offrant un niveau de protection adéquat en vertu des Lois sur la Protection des Données applicables, les parties acceptent que le transfert soit régi par les Clauses contractuelles types ou SCC. Lorsque les SCC sont applicables, et quand le Client intervient en tant que Responsable du Traitement des Données personnelles du Client, tandis qu’Eptura agit en qualité de Sous-traitant des Données personnelles du Client, chaque partie doit exécuter les obligations qui lui incombent en vertu du Module Deux des SCC. Lorsque les SCC sont applicables, et quand le Client intervient en tant que sous-traitant par rapport aux Données personnelles du Client, tandis qu’Eptura agit également en qualité de sous-traitant par rapport aux Données personnelles du Client, chaque partie doit exécuter les obligations qui lui incombent en vertu du Module Trois des SCC. Les parties conviennent de ce qui suit : (i) la clause d’adhésion facultative insérée par la Clause 7 n’est pas applicable ; (ii) l’attestation d’effacement exigée par la Clause 8.5 et la Clause 16(d) des SCC sera fournie sur demande écrite du Client ; (iii) les mesures qu’Eptura est tenue de prendre en vertu de la Clause 8.6(c) des SCC ne concerneront que les systèmes concernés d’Eptura ; (iv) l’audit décrit par la Clause 8.9 des SCC sera réalisé conformément à la Section 7 du présent Addendum ; (v) le délai minimum prévu par la Clause 9 au sujet du préavis sur les changements de Sous-traitants ultérieurs doit être celui arrêté par la section 2(e) du présent Addendum ; (vi) lorsque les Lois sur la Protection des Données l’autorisent, Eptura peut engager des Sous-traitants ultérieurs actuels en s’appuyant sur la Décision de la Commission européenne C(2010)593 relative aux SCC pour le transfert de Responsables de Traitement vers des Sous-traitants, étant précisé que ce recours à des Sous-traitants ultérieurs est réputé conforme à la Clause 9 des SCC ; (vii) à la Clause 11, la formulation facultative n’est pas applicable ; (viii) le droit de résiliation prévu par la Clause 14(f) et la Clause 16(c) des SCC sera limité à la résiliation des SCC, auquel cas le Traitement correspondant des Données personnelles du Client concernées par cette résiliation doit être interrompu, sauf si les parties conviennent du contraire ; (ix) les informations exigées en vertu de la Clause 15.1(c) seront fournies sur demande écrite du Client ; (x) à la Clause 17, les Parties doivent être régies par le droit irlandais ; (xi) à la Clause 18(b), les litiges seront résolus devant les tribunaux de la République d’Irlande ; (xii) le Document complémentaire A du présent Addendum contient les informations exigées par l’Annexe I des SCC ; (xiii) le Document complémentaire B du présent Addendum contient les informations exigées par l’Annexe II des SCC ; (xiv) lorsque des Données personnelles sont soumises à des Lois sur la Protection des Données du Royaume-Uni, les SCC sont complétées par le Document complémentaire C ; et (xv) indépendamment de toute chose contraire, le Client remboursera à Eptura l’ensemble des coûts et des dépenses engagés par Eptura dans l’exécution des obligations incombant à Eptura aux termes de la Clause 15.1(b) et Clause 15.2 des SCC. La signature de chaque partie figurant sur le présent Addendum doit être considérée comme une signature figurant sur les SCC quand, en vertu des présentes, ces SCC sont applicables.

5. Programme de Sécurité des Informations
   1. Eptura a mis en œuvre et continuera de prendre des mesures administratives, techniques et organisationnelles appropriées afin de placer les Données personnelles du Client à l’abri d’un Incident de Sécurité, en tenant compte de l’état des progrès technologiques et du coût de mise en œuvre de telles mesures et, également, de la nature, du champ d’application, du contexte et des buts du Traitement et du risque de survenance et de la gravité d’une atteinte aux intérêts des personnes concernées pouvant découler d’un tel Incident de Sécurité (y compris, le cas échéant, les mesures visées par l’article 32(1) du GDPR). Les questions sur les pratiques sécuritaires observées par Eptura peuvent être envoyées à l’équipe Sécurité et Confidentialité d’Eptura dont l’email est [email protected].

6. Incidents de Sécurité.
   1. Eptura adressera sans délai une notification écrite au Client s’il découvre un Incident de Sécurité. Une telle notification n’est pas une reconnaissance qu’une faute a été commise ou qu’une responsabilité a été engagée. Une notification doit, dans la mesure du possible, permettre au Client d’informer les Personnes concernées sur l’Incident de Sécurité relevant des Lois sur la Protection des Données et, dans les limites des éléments dont Eptura dispose, (i) décrire la nature de l’Incident de Sécurité, y compris, si possible, les catégories et le nombre approximatif des personnes concernées pertinentes, et les catégories et le nombre approximatif d’archives de données personnelles pertinentes, et (ii) décrire les mesures prises ou dont la prise est proposée par Eptura afin de résoudre l’Incident de Sécurité, y compris, le cas échéant, les mesures d’atténuation.
   2. En cas d’Incident de Sécurité et avant la présentation d’une déclaration publique obligatoire ou d’un avis obligatoire, Eptura s’engage à solliciter l’approbation du Client avant l’envoi aux personnes concernées pertinentes ou aux Autorités de Contrôle compétentes d’une notification sur l’Incident de Sécurité. Indépendamment de la phrase qui précède, le Client ne sera pas tenu de porter atteinte aux obligations lui incombant aux termes des Lois sur la Protection des Données.
   3. Les obligations posées par la Section 7(a) et la Section 7(b) ne sont pas applicables au cas où une violation de Données personnelles serait causée par les agissements ou omissions du Client.

7. Audits.
   1. Eptura fait appel à des auditeurs tiers indépendants pour vérifier l’adéquation du Traitement auquel il soumet les Données personnelles du Client. Cet audit: (i) sera réalisé selon une périodicité au moins annuelle; (ii) sera réalisé par un professionnel engagé par Eptura et intervenant à ses frais; et (iii) démontrera le respect, par Eptura, des normes de sécurité des données en vigueur et applicables au traitement des Données personnelles (« Rapport »). Sur demande écrite du Client, Eptura lui remettra un résumé exécutif de son Rapport afin que le Client puisse raisonnablement vérifier le respect, par Eptura, des obligations de sécurité stipulées par le présent Addendum. Toute fourniture d’un tel Rapport sera soumise à des procédures de confidentialité raisonnables.
   2. Si Eptura n’est pas en mesure de fournir rapidement des Rapports actuels, le Client peut alors, sur présentation d’une demande écrite, réaliser (à ses frais) un audit de garantie de la sécurité des informations. Un tel audit doit être soumis aux conditions suivantes: (i) le Client doit présenter un préavis d’au moins trente (30) jours sur son intention de réaliser un audit; (ii) au plus tard deux (2) semaines avant l’opération d’audit, un champ d’application et un calendrier mutuellement convenus doivent être déterminés; (iii) un auditeur indépendant sera tenu de signer un accord de non-divulgation, dans la mesure où une telle mesure est raisonnablement exigée par Eptura avant la conduite de l’audit; (iv) l’audit doit être mené pendant les heures normales d’ouverture des bureaux d’Eptura; (v) l’audit doit être terminé dans un délai d’un (1) jour ouvrable; (vi) le droit d’audit inclut le droit d’inspecter, et non pas de copier ou d’enlever autrement, des archives autres que celles spécifiquement et exclusivement liées au Client; et (vii) l’audit ne doit pas inclure un test de pénétration, une analyse des vulnérabilités, ou d’autres tests de sécurité. Le Client ne peut pas exercer le droit de conduite d’un audit plus d’une fois par période de douze (12) mois, mais ce Client peut réaliser des audits supplémentaires (i) en cas d’Incident de Sécurité impliquant les Données personnelles du Client ou (ii) en présence d’une demande formée par une Autorité de Contrôle ou une autorité de régulation similaire chargée de l’application des Lois sur la Protection des Données dans tout pays ou territoire. Eptura et le Client doivent se rencontrer et discuter des résultats de l’audit ainsi que des mesures de résolution et des calendriers à arrêter par Eptura à son entière discrétion.

8. Suppression de données.
   1. Eptura doit permettre au Client d’exporter les Données personnelles du Client sur présentation d’une demande écrite du Client formée dans les trente (30) jours suivant la date de résiliation ou d’expiration de l’Accord. Par la suite, Eptura devra, dans un délai de soixante (60) jours, effacer toutes les Données personnelles du Client (sauf les copies de sauvegarde ou d’archives qui doivent être effacées conformément au document additionnel d’Eptura sur la conservation de données), sauf quand Eptura est tenue de conserver des copies en vertu des Lois sur la Protection des Données, auquel cas Eptura mettra ces Données personnelles du Client à l’abri d’un autre Traitement. Lorsque le Client demande une copie des Données personnelles du Client, Eptura donnera suite à cette demande dans les 45 jours suivant la date de la demande.

9. Responsabilité.
   1. Le présent Addendum est sans préjudice des droits et obligations revenant aux parties en vertu de l’Accord, qui doit conserver toute sa force obligatoire et continuer à produire ses effets, y compris les limites et exclusions de responsabilité posées par les présentes et applicables au présent Addendum comme si elles y étaient intégralement stipulées. En cas de conflit entre les modalités du présent Addendum et celles de l’Accord, les modalités de l’Addendum l’emportent lorsque l’objet porte sur le traitement de Données personnelles du Client.

10. Autres dispositions.
    1. Le présent Addendum doit être régi et interprété à la lumière du droit et de la compétence du pays ou territoire régissant l’Accord, sauf si des dispositions du présent Addendum ou des exigences des Lois sur la Protection des Données le prévoient autrement.
    2. Eptura peut mettre à jour les modalités du présent Addendum lorsque des modifications (a) s’imposent pour respecter les Lois sur la Protection des Données, un règlement applicable, une ordonnance judiciaire ou une consigne donnée par un régulateur ou une agence ; ou (b) n’ont pas d’incidence négative significative sur les droits conférés au Client par l’Addendum. Eptura présentera un préavis de trente (30) jours avant d’apporter une modification significative aux dispositions du présent Addendum. Si les mises à jour ont une incidence significative sur l’utilisation des Services par le Client, le Client a le droit de mettre un terme aux Services en cause dans les trente (30) jours suivant la réception du préavis écrit de modification.

[La partie restante du document est intentionnellement laissée vierge]

Document complémentaire A

ANNEXE I
A. LISTE DES PARTIES
MODULE DEUX : transfert du responsable du traitement au sous-traitant
MODULE TROIS : transfert du sous-traitant à un autre sous-traitant
Exportateur(s) de données :

Nom :	Le Client mentionné par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux et toutes les Sociétés affiliées du Client
Adresse :	L’adresse du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
Personne à contacter :	L’adresse électronique du Client telle que mentionnée par l’Accord et/ou le ou les Formulaires de Commande/l’Énoncé ou les Énoncés des Travaux
Activités pertinentes par rapport aux Données transférées :	L’Achat de Services auprès du Prestataire
Rôle :	Responsable du Traitement (Module Deux) ; Sous-traitant (Module Trois)

Importateur(s) de données :

Nom :	Le Prestataire mentionné par l’Accord et/ou la ou les Commandes/l’Énoncé ou les Énoncés des Travaux et toutes les Sociétés affiliées du Prestataire
Adresse :	L’adresse du Prestataire telle que mentionnée par l’Accord et/ou la ou les Commandes/l’Énoncé ou les Énoncés des Travaux
Personne à contacter :	[email protected]
Activités pertinentes par rapport aux Données transférées :	Le Prestataire est un prestataire d’espaces de travail professionnels en mode cloud et de solutions de gestion d’avoirs qui Traite des Données personnelles en exécution d’instructions de l’Exportateur de Données et conformément aux modalités de l’Accord et de l’Addendum.
Rôle :	Sous-traitant

B. DESCRIPTION DU TRANSFERT
MODULE DEUX : transfert du responsable du traitement au sous-traitant
MODULE TROIS : transfert du sous-traitant à un autre sous-traitant

Objet du Traitement :	L’objet du Traitement de Données personnelles par le Prestataire est la fourniture à l’Exportateur de Données de Services relevant de l’Accord.
Nature et Objet du Traitement :	Le Traitement est associé à la fourniture au Client de solutions SaaS telles présentées de manière plus détaillée par l’Accord ; le Prestataire et ses Sous-traitants ultérieurs réaliseront les actes de Traitement de Données personnelles nécessaires à la fourniture de ces Services conformément aux instructions de l’Exportateur de Données, étant précisé que ceux-ci englobent, de manière non limitative, la transmission, le stockage et tout autre Traitement de Données personnelles envoyées aux Services.
Durée du Traitement :	Le Prestataire traitera les Données personnelles au nom de l’Exportateur de Données jusqu’au moment où ce dernier n’utilise plus les Services.
Catégories de Personnes concernées :	Les Personnes concernées dont les Données personnelles du Client seront Traitées en vertu de l’Accord.
Catégories de Données personnelles :	Les Données personnelles du Client Traitées en vertu de l’Accord.
Catégories spéciales de Données personnelles :	Les Catégories spéciales de Données personnelles ne sont pas autorisées dans le cadre des Services.
Objet, Nature et Durée du Traitement par un Sous-traitant ultérieur :	Des transferts destinés à des Sous-traitants ultérieurs seront réalisés afin de fournir les Services conformément à l’Accord.

C. AUTORITÉ COMPÉTENTE DE CONTRÔLE
MODULE DEUX:transfert du responsable du traitement au sous-traitant
MODULE TROIS:transfert du sous-traitant à un autre sous-traitant

L’autorité de contrôle mandatée par la Clause 13 des SCC. Si aucune autorité de contrôle n’est mandatée par la Clause 13, il s’agira de la Commission irlandaise de la Protection des Données (DPC) et, au cas où cela ne serait pas possible, il conviendra de respecter l’accord dont les parties ont convenu à cet égard dans le respect des conditions posées par la Clause 13.

Document complémentaire B

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES INCLUANT LES MESURES TECHNIQUES ET ORGANISATIONNELLES ASSURANT LA SÉCURITÉ DES DONNÉES

MODULE DEUX:transfert du responsable du traitement au sous-traitant

MODULE TROIS:transfert du sous-traitant à un autre sous-traitant

Description des mesures techniques et organisationnelles mises en œuvre par l’importateur ou les importateurs de données (y compris l’établissement des attestations pertinentes) pour assurer un niveau approprié de sécurité en tenant compte de la nature, du champ d’application, du contexte et de l’objet du traitement, et des risques menaçant les droits et les libertés des personnes physiques.

Dans la détermination des mesures techniques et organisationnelles de sécurité (« Normes de Sécurité ») obligatoires en vertu de l’Accord, Eptura tiendra compte des progrès technologiques, des frais de mise en œuvre, de la nature, du champ d’application, du contexte et des fins du traitement, ainsi que du risque de diverse intensité pesant sur les droits et libertés des personnes physiques et de sa gravité. Afin d’assurer la sécurité du traitement des Données personnelles du Client, Eptura doit disposer de procédés de conduite de tests, d’analyse et d’évaluation régulières de l’efficacité des Normes de Sécurité.

Par rapport aux Données personnelles du Client, Eptura accepte ce qui suit:

1. Garanties – Programme. Eptura mettra en œuvre des garanties appropriées qui sont conformes aux normes industrielles dont le but est de protéger les Données personnelles du Client, en assurant leur confidentialité, leur intégrité et leur disponibilité. Eptura veillera à ce que toutes ces garanties respectent les Lois applicables et l’Accord, y compris, le cas échéant, l’addendum sur le traitement des données (DPA).
2. Garanties – Dispositions spécifiques. Les Normes de Sécurité d’Eptura incluront au moins les éléments suivants: (a) des installations, des centres de données, des fichiers de documents, des serveurs, des systèmes de sauvegarde et un équipement informatique sécurisés et incluant, de manière non limitative, l’ensemble des appareils mobiles et des autres équipements dotés d’une fonction de stockage d’informations; (b) une sécurité pour réseaux, applications des appareils, bases de données et plates-formes; (c) une transmission, un stockage et une élimination sécurisés; (d) un processus d’authentification et des contrôles d’accès intégrés dans les applications, les systèmes d’exploitation et l’équipement; (e) l’enregistrement de l’accès aux données et la conservation des journaux sur le contrôle de l’accès pendant une période suffisamment longue pour permettre la conduite d’une enquête; (f) le cryptage des Données personnelles du Client au repos, y compris lorsqu’elles sont sauvegardées sur un notebook électronique, un disque dur portable ou un support électronique amovible et ayant une fonction de stockage d’informations; (g) le cryptage de Données personnelles du Client lorsqu’elles sont transmises sur des réseaux publics ou sans fil; (h) la séparation des Données personnelles du Client des informations sur les autres clients d’Eptura; (i) la sécurité et l’intégrité du personnel, y compris, de manière non limitative, des vérifications sur les antécédents conformes au droit applicable; (j) la réalisation annuelle de tests externes et internes et d’analyses des vulnérabilités et la mise en œuvre rapide, et aux frais exclusifs d’Eptura, d’un plan de correction (incluant un calendrier) visant à corriger les problèmes significatifs dévoilés par les tests; et (k) la limitation de l’accès aux Données personnelles du Client et la dispense d’une formation en confidentialité et en sécurité des informations en faveur du Personnel autorisé d’Eptura. « Personnel autorisé » désigne le personnel d’Eptura ayant besoin d’avoir connaissance des Données du Client ou d’y avoir accès pour permettre à Eptura d’exécuter les obligations lui incombant en vertu de l’Accord, et qui est tenu par écrit de respecter des obligations de confidentialité suffisantes pour protéger les Données personnelles du Client conformément aux modalités de l’Accord qui inclut, le cas échéant, le DPA.
3. Logiciels malveillants. Le logiciel d’Eptura tel que livré ne contiendra pas de virus, de logiciels malveillants, de rançongiciels, d’enregistreurs de frappe, de bombes logiques, de Chevaux de Troie, de vers ou d’autres routines logicielles dont le but est de désactiver, d’effacer ou d’endommager autrement un logiciel, un matériel ou des données appartenant au Client ou dont il a le contrôle.
4. Matériel ou équipement interdit. Eptura n’utilisera pas de matériel ou d’équipement non conforme à la Section 889(a)(1)(B) du National Defense Authorization Act [Loi d’autorisation concernant la Défense nationale] de l’Exercice fiscal 2019. Eptura prouvera le respect de cette disposition sur demande. Si Eptura ne respecte plus la présente disposition, elle en informera le Client sur-le-champ par l’envoi d’un e-mail à la personne chargée de la sécurité et figurant dans le dossier.
5. Reprise après sinistre et continuité commerciale. Eptura veillera à la tenue et à la mise en œuvre d’un plan de continuité commerciale et de reprise après sinistre (« Plan BCDR ») qui inclura au moins ce qui suit: (a) la documentation sur les responsabilités, les procédures et les procédés commerciaux applicables; (b) la méthodologie de sauvegarde; (c) l’identification des scénarios de reprise après sinistre et les contrats de niveau de service concernant la reprise du service; (d) les responsabilités des Sous-traitants ultérieurs en cas de sinistre; (e) la stratégie de communication; et (f) les procédures de retour vers un service normal. Le Plan BCDR doit être révisé selon une périodicité annuelle. Eptura doit s’assurer qu’il est à même de mettre en œuvre le Plan BCDR à tout moment et dans le respect de ses modalités. Eptura doit tester le Plan BCDR régulièrement (et, en tout état de cause, selon une périodicité au moins annuelle). Quand une demande dans ce sens lui parvient, Eptura doit envoyer un rapport écrit résumant les résultats donnés par le test le plus récent, et doit mettre en œuvre sans délai les actions ou mesures de correction qui, d’après un accord mutuel des parties, sont rendues nécessaires par ces tests.
6. Incidents de Sécurité. Lorsqu’Eptura découvre, dans des conditions avérées ou raisonnablement soupçonnées, (i) un accès non autorisé aux Données du Client ou leur divulgation ou (ii) un accès non autorisé (désigné « Incident de Sécurité » à chaque fois) aux applications ou systèmes détenus, gérés ou sous-traités par Eptura (« Systèmes d’Eptura ») et sur lesquels les Données personnelles du Client sont traitées, Eptura devra, rapidement et sans retard inutile:
   1. prendre des mesures d’atténuation et/ou de résolution de l’Incident de Sécurité afin de placer les Données personnelles du Client à l’abri d’un risque ou dommage supplémentaire, et lancer une enquête;
   2. réaliser des contrôles appropriés pour garder et préserver toutes les preuves électroniques sur l’Incident de Sécurité dans le respect des normes industrielles;
   3. signaler la nature de l’Incident de Sécurité au Client (y compris, si possible, les catégories de données ayant fait l’objet d’une violation et les catégories de données concernées par divers types de pertes et, lorsque les Données personnelles du Client sont impliquées, les catégories et le nombre approximatif de personnes concernées pertinentes et le nombre approximatif d’archives de Données personnelles du Client pertinentes);
   4. indiquer le nom et les coordonnées de l’interlocuteur d’Eptura lorsque des informations supplémentaires peuvent être obtenues rapidement, les conséquences probables de l’Incident de Sécurité si elles sont connues, et les mesures prises ou dont la prise est proposée pour résoudre l’Incident de Sécurité, y compris (le cas échéant) les mesures permettant d’atténuer ses éventuels effets négatifs;
   5. prendre des mesures pour qu’un Incident de Sécurité similaire ne se reproduise plus. Pour lever toute ambiguïté, Eptura n’est pas tenue de signaler les pings visant ses pare-feu, les analyses de ports et tout logiciel malveillant qui ne se traduira vraisemblablement pas par un accès, une utilisation, une divulgation, une modification ou une destruction d’informations sans autorisation, ou toute ingérence dans les Systèmes d’Eptura ne doit pas être considérée comme un Incident de Sécurité déclarable qu’Eptura doit signaler au Client; et
   6. convenir d’une consultation et coopérer avec les enquêtes, litiges, demandes de renseignements, prétentions, contentieux ou actions réglementaires découlant de l’Incident de Sécurité.
7. Certifications et évaluations de la sécurité. Eptura doit engager des entreprises (d’audit) tiers spécialisées en évaluation de la sécurité pour réaliser un audit de certification et des tests de sécurité selon une périodicité annuelle. Sur demande du Client, Eptura doit lui remettre une preuve de la certification actuelle et des tests réalisés, y compris les certificats, résumés exécutifs et autres archives jugées pertinentes à la discrétion exclusive mais raisonnable d’Eptura (les « Archives d’Évaluation ») pour démontrer le respect de l’Accord et des Lois.
8. Questionnaires de sécurité. Pas plus d’une fois par période de douze (12) mois et sur présentation d’une demande, Eptura doit répondre à un questionnaire pour fournisseurs sur la cybersécurité ou à une demande de renseignements similaire d’une longueur raisonnable et n’exigeant pas la présentation de pièces justificatives en plus des Archives d’Évaluation actuelles.

Assistance par rapport aux Demandes des Personnes concernées. Le Client sera chargé de communiquer avec les personnes concernées en vertu de la Clause 15.1(a) des SCC.

Document complémentaire C

Le présent Addendum a été délivré par le Commissaire à l’Information à l’attention des Parties faisant des Transferts soumis à Restrictions. Le Commissaire à l’Information estime qu’il offre des Garanties appropriées lorsqu’il est conclu comme un contrat juridiquement contraignant.

PARTIE 1:TABLEAUX

TABLEAU 1:PARTIES

TABLEAU 2:SCC CHOISIES, MODULES ET CLAUSES CHOISIES

TABLEAU 3 : INFORMATIONS DE L’APPENDICE

«Informations de l’Appendice » désigne les informations qui doivent être fournies au titre des modules choisis figurant dans l’Appendice des SCC de l’UE approuvées (autres que les Parties), et qui, au titre du présent Addendum, figurent dans les éléments suivants :

TABLEAU 4 : RÉSILIATION DU PRÉSENT ADDENDUM EN CAS DE MODIFICATION DE L’ADDENDUM APPROUVÉ

PARTIE 2 : CLAUSES OBLIGATOIRES

CONCLUSION DU PRÉSENT ADDENDUM

1. Chaque Partie accepte d’être tenue par les modalités et les conditions stipulées par le présent Addendum quand, en échange, l’autre Partie accepte également d’être tenue par le présent Addendum.
2. Bien que l’Annexe 1A et la Clause 7 des SSC de l’UE approuvées exigent une signature des Parties, pour pouvoir réaliser des Transferts soumis à Restrictions, les Parties peuvent convenir du présent Addendum d’une manière les rendant juridiquement opposables aux Parties et permettant aux personnes concernées de faire valoir leurs droits tels que stipulés par le présent Addendum. La conclusion du présent Addendum aura le même effet que la signature des SCC de l’UE approuvées et d’une partie quelconque des SCC de l’UE approuvées.

INTERPRÉTATION DU PRÉSENT ADDENDUM

3. Lorsque le présent Addendum utilise des notions définies par les SCC de l’UE approuvées, ces notions auront le même sens que celui qui est donné par les SCC de l’UE approuvées. En outre, les notions ci-dessous auront le sens suivant :

4. Le présent Addendum doit toujours être interprété d’une manière conforme aux Lois sur la Protection des Données du Royaume-Uni et afin qu’il exécute l’obligation faite aux Parties de fournir des Garanties appropriées.
5. Si les dispositions des SCC de l’UE relevant de l’Addendum modifient les SCC approuvées d’une manière non autorisée par les SCC de l’UE relevant de l’Addendum ou l’Addendum approuvé, cette ou ces modifications ne seront pas intégrées dans le présent Addendum et seront remplacées par la disposition équivalente des SCC de l’UE approuvées.
6. En cas d’incompatibilité ou de conflit entre les Lois sur la Protection des Données du Royaume-Uni et le présent Addendum, les Lois sur la Protection des Données du Royaume-Uni l’emporteront.
7. Si le sens du présent Addendum est ambigu ou s’il existe plusieurs sens, le sens se rapprochant le plus des Lois sur la Protection des Données du Royaume-Uni prévaudra.
8. Les renvois à une législation (ou à des dispositions spécifiques de la législation) désignent cette législation (ou cette disposition spécifique) telle que susceptible d’évoluer avec le temps. Ils englobent les situations où cette législation (ou disposition spécifique) a été consolidée, à nouveau promulguée et/ou remplacée après la conclusion du présent Addendum.

HIÉRARCHIE

9. Bien que la Clause 5 des SCC de l’UE approuvées stipule que les SSC de l’UE approuvées prévalent sur tous les accords connexes unissant les parties, les parties reconnaissent que, s’agissant des Transferts soumis à Restrictions, la hiérarchie prévue par la Section 10 l’emportera.
10. En cas d’incompatibilité ou de conflit entre l’Addendum approuvé et les SCC de l’UE relevant de l’Addendum (le cas échéant), l’Addendum approuvé l’emporte sur les SCC de l’UE relevant de l’Addendum, sauf lorsque (et quand) les modalités des SCC de l’UE relevant de l’Addendum qui donnent lieu à une incompatibilité ou un conflit offrent aux personnes concernées une meilleure protection, auquel cas ces modalités l’emporteront sur l’Addendum approuvé.
11. Lorsque le présent Addendum comprend des SCC de l’UE relevant de l’Addendum convenues pour protéger les transferts soumis au Règlement général sur la Protection des Données (UE) n° 2016/679, les Parties reconnaissent alors qu’aucune stipulation du présent Addendum n’a d’incidence sur ces SCC de l’UE relevant de l’Addendum.

INTÉGRATION ET MODIFICATION DES SCC DE L’UE

12. Le présent Addendum comprend les SCC de l’UE relevant de l’Addendum qui sont modifiées dans une mesure nécessaire afin :
    1. qu’elles fonctionnent collectivement par rapport aux transferts de données réalisés par l’exportateur de données en faveur de l’importateur de données, lorsque les Lois sur la Protection des Données du Royaume-Uni s’appliquent au traitement effectué par l’exportateur de données lors de ce transfert de données, et afin qu’elles apportent des Garanties appropriées à ces transferts de données;
    2. que les Sections 9 à 11 l’emportent sur la Clause 5 (Hiérarchie) des SCC de l’UE relevant de l’Addendum; et
    3. que le présent Addendum (y compris les SCC de l’UE relevant de l’Addendum y étant intégrées) (1) soit régi par le droit anglais et gallois et (2) que tout litige en découlant soit tranché par les tribunaux anglais et gallois à chaque fois, sauf si le droit et/ou les tribunaux d’Écosse ou d’Irlande du Nord ont été expressément choisis par les Parties.
13. Sauf si les Parties ont convenu d’autres amendements qui répondent aux exigences de la Section 12, les dispositions de la Section 15 seront applicables.
14. Aucun amendement visant les SCC de l’UE approuvées et n’ayant pas pour objet la satisfaction des exigences de la Section 12 ne peut être apporté.
15. Il est apporté aux SCC de l’UE relevant de l’Addendum (aux fins de la Section 12) les amendements suivants:
    1. les références aux « Clauses » désignent le présent Addendum, qui comprend les SCC de l’UE relevant de l’Addendum;
    2. dans la clause 2, il convient de supprimer ce qui suit:
       1. « et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679 »;
16. clause 6 (Description du ou des transferts) est remplacée par ce qui suit :
    1. « Les précisions concernant ce ou ces transferts et, notamment, les catégories de données personnelles transférées et le ou les buts de leur transfert sont indiquées par l’Annexe I.B lorsque les Lois sur la Protection des Données du Royaume-Uni sont applicables au traitement effectué par l’exportateur de données lors de ce transfert »;
17. la Clause 8.7(i) du Module 1 est remplacée par ce qui suit:
    1. « il est effectué vers un pays bénéficiant d’une réglementation sur le caractère adéquat en vertu de la Section 17A sur le GDPR du Royaume-Uni qui traite du transfert ultérieur »;
18. la Clause 8.8(i) des Modules 2 et 3 est remplacée par ce qui suit:
    1. « le transfert ultérieur est effectué vers un pays bénéficiant d’une réglementation sur le caractère adéquat en vertu de la Section 17A sur le GDPR du Royaume-Uni qui traite du transfert ultérieur; »
19. les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la Protection des Données) » et à « ce Règlement » sont toutes remplacées par « Lois sur la Protection des Données du Royaume-Uni ». Les références à un ou plusieurs Articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l’Article équivalent ou la Section équivalente des Lois sur la Protection des Données du Royaume-Uni;
20. les références au Règlement (UE) 2018/1725 sont supprimées;
21. les références à « Union européenne », « Union », « UE » « État membre de l’UE », « État membre » et « UE ou État membre » sont toutes remplacées par « Royaume-Uni ».
22. la référence à « Clause 12(c)(i) », qui figure dans le Module 1 de la Clause 10(b)(i), est remplacée par « Clause 11(c)(i) »;
23. la Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées;
24. l’« autorité de contrôle compétente » et l’« autorité de contrôle » sont toutes les deux remplacées par le « Commissaire à l’Information »;
25. dans la clause 16(e), la sous-section (i) est remplacée par:
    1. « le Secrétaire d’État promulgue, en vertu de la Section 17A de la Loi de 2018 sur la Protection des Données, des règlements traitant du transfert de données personnelles auquel ces clauses sont applicables »;
26. la Clause 17 est remplacée par:
    1. « Ces Clauses sont régies par le droit anglais et gallois. »;
27. la Clause 18 est remplacée par:
    1. « Tout litige découlant des présentes Clauses doit être résolu par les tribunaux d’Angleterre et du pays de Galles. Une personne concernée peut également engager une procédure judiciaire contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de tout territoire du Royaume-Uni. Les Parties acceptent de se soumettre à la compétence de ces tribunaux. »; et
28. Les notes de bas de page des SCC de l’UE approuvées ne font pas partie de l’Addendum, à l’exception des notes de bas de page 8, 9, 10 et 11.

AMENDEMENTS AU PRÉSENT ADDENDUM

16. Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 des SCC de l’UE relevant de l’Addendum pour renvoyer au droit et/ou tribunaux d’Écosse ou d’Irlande du Nord.
17. Si les Parties souhaitent modifier le format des informations figurant dans la Partie 1: Tableaux de l’Addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que la modification n’affaiblisse pas les Garanties appropriées.
18. De temps à autre, l’ICO peut délivrer une version révisée de l’Addendum approuvé qui: a. apporte des modifications raisonnables et proportionnées à l’Addendum approuvé, y compris la correction des erreurs relevées dans l’Addendum approuvé; et/ou b. reprend les modifications apportées aux Lois sur la Protection des Données du Royaume-Uni; la version révisée de l’Addendum approuvé indiquera la date de commencement à compter de laquelle les modifications de l’Addendum approuvé prendront effet et répondra au point de savoir si les Parties doivent réviser le présent Addendum, y compris les Informations de l’Appendice. Le présent Addendum est automatiquement modifié, d’une manière indiquée par la version révisée de l’Addendum approuvé, à compter de la date de commencement stipulée.
19. Si l’ICO délivre une version révisée de l’Addendum approuvé en vertu de la Section 18 et au cas où une Partie sélectionnée dans la partie « Résiliation du présent Addendum en cas de modification de l’Addendum approuvé » du Tableau 4 constate, d’une manière découlant directement des modifications de l’Addendum approuvé, une augmentation significative, disproportionnée et démontrable: a. de ses frais directs d’exécution des obligations lui incombant en vertu de l’Addendum, et/ou b. du risque pesant sur elle en vertu de l’Addendum, et lorsque, dans l’un ou l’autre cas, elle a commencé par prendre des mesures raisonnables visant à atténuer ces frais ou ces risques afin qu’ils ne soient plus significatifs et disproportionnés, cette Partie peut alors résilier le présent Addendum à la fin d’une période raisonnable en remettant à l’autre Partie, avant la date de commencement de la version révisée de l’Addendum approuvé, un avis écrit correspondant à cette période.
20. Les Parties n’ont pas besoin du consentement d’un tiers pour modifier le présent Addendum, mais les modifications doivent être apportées dans le respect de ses modalités.