Addenda relatif à la protection des données – (DPA)
Contour
Le présent Addendum relatif au traitement des données (le présent « DPA ») est incorporé et fait partie intégrante des conditions d’utilisation d’Edgio (le « Contrat ») entre Edgio, Inc, ses sociétés affiliées et filiales (ensemble, « Edgio ») et le Client. Si l’une des dispositions du présent DPA entre en conflit avec l’une des dispositions du Contrat, les dispositions applicables du présent DPA prévaudront.
1. Définitions.
Les termes suivants sont utilisés dans le présent DPA et ont la signification qui y est donnée. Les termes en majuscules utilisés dans le présent DPA et non définis dans les présentes ont la signification donnée dans le Contrat.
1,1 « pays adéquat » désigne un pays ou un territoire reconnu par les lois de l’UE sur la protection des données ou par l’autorité compétente du Royaume-Uni (« Royaume-Uni ») comme offrant un niveau adéquat de protection des données personnelles.
1,2 « lois applicables en matière de protection des données » signifie (i) les lois et règlements de l’EEE et de leurs états membres, applicables au traitement des données personnelles en vertu du présent DPA, y compris les lois de l’UE sur la protection des données ; (ii) la California Consumer protection Act (« CCPA ») et la California Privacy Rights Act (« CPRA ») ; et (iii) toutes les lois mettant en œuvre ou complétant ce qui précède et toutes les autres lois applicables en matière de protection des données ou de confidentialité.
1,3 « données personnelles du Client » désigne toutes les données personnelles qui concernent les consommateurs (les « utilisateurs finaux » du Client) et qui sont traitées par Edgio ou ses sous-traitants pour le compte du Client dans le cadre de l’exécution des services et des autres obligations d’Edgio en vertu du Contrat.
1,4 « EEE » désigne l’espace économique européen, qui comprend les États membres de l’Union européenne, ainsi que la Norvège, l’Islande et le Liechtenstein.
1,5 « lois de protection de l’UE » signifie (i) le RGPD; ii) la directive de l’UE sur la vie privée et la vie privée dans le domaine électronique (directive 2002/58/ce), telle que modifiée, et toute législation remplaçant cette directive modifiée, (iii) toute loi nationale sur la protection des données adoptée en vertu, conformément à, remplaçant ou succédant à ce qui précède, et (iv) le cas échéant, doit être lu comme incluant les lois britanniques sur la protection des données.
1,6 « RGPD » désigne le Règlement général de l’UE sur la protection des données (Règlement 2016/679).
1,7 « clauses contractuelles types » en relation avec le traitement des données personnelles en vertu du présent DPA signifie (A) les clauses types pour le transfert de données personnelles des responsables du traitement aux sous-traitants établis dans des pays tiers approuvées par la Commission européenne de temps à autre, dont la version approuvée actuelle est celle énoncée dans la décision 2021/914 de la Commission européenne du 4 juin 2021, disponible à l’adresse suivante : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, et exposée dans l’Annexe 2 (les « clauses contractuelles types de l’UE ») ; et (b) L’Addendum britannique aux clauses contractuelles types de l’UE, présenté dans l’Annexe 3 (l’« Addendum britannique »).
1,8 « lois britanniques sur la protection des données » désigne toutes les lois applicables en matière de protection des données, de traitement des données personnelles, de confidentialité et/ou de communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi de 2018 sur la protection des données.
1,9 « RGPD britannique » désigne le règlement général sur la protection des données du Royaume-Uni, car il fait partie du droit de l’Angleterre et du pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur l’Union européenne (retrait).
1,10 « données personnelles » désigne toute information qui constitue des « données personnelles » ou des « informations personnelles » au sens des lois applicables sur la protection des données auxquelles Edgio peut accéder dans le cadre de l’exécution des services en vertu du Contrat de services.
1,11 « traitement », « traitement », « personne concernée », « contrôleur », « entreprise », « sous-traitant », « fournisseur de services », « catégories spéciales de données personnelles » ont les significations qui leur sont données par les lois applicables sur la protection des données, dans la mesure où ces concepts existent dans ces lois.
2. Traitement des données
2,1 portée et rôles. Compte tenu des obligations mutuelles énoncées dans les présentes, le présent DPA s’appliquera dans la mesure où Edgio traite les données personnelles des clients soumises aux lois applicables sur la protection des données en relation avec les services en vertu de l’Accord. Dans ce contexte, le Client et Edgio reconnaissent et conviennent que : (A) Edgio est un sous-traitant et le Client est le contrôleur en vertu des lois applicables sur la protection des données ; et (b) Edgio agit en tant que simple intermédiaire de toutes les données personnelles que le Client ou ses utilisateurs finaux placent sur les services. Edgio et le Client doivent se conformer aux lois applicables en matière de protection des données pour le traitement des données personnelles soumises aux lois applicables en matière de protection des données.
2,2 instructions de traitement.
(A) instructions à l’intention du client. Edgio traitera les données personnelles du Client comme moyen de fournir les services et conformément aux instructions documentées du Client énoncées dans le présent DPA, ou comme convenu mutuellement par écrit entre les parties. Si Edgio est tenue par les lois applicables sur la protection des données de traiter les données personnelles du Client autrement que selon les instructions du Client, elle en informera le Client avant que ce traitement ne se produise, sauf si la loi l’interdit.
(i) le but du traitement des données personnelles du Client dans le cadre du présent DPA est la fourniture des services initiés par le Client de temps à autre conformément au Contrat, ce qui comprend le traitement de la facturation et des paiements, la communication avec les utilisateurs finaux et/ou les sous-traitants au sujet des services, la gestion des comptes du Client, des utilisateurs finaux et/ou des sous-traitants, la mesure et/ou l’analyse de l’utilisation des services, la prévention ou la détection des fraudes ou des abus des services et/ou du site Web, la mise à jour et/ou de la fourniture des sous-traitants et/ou des services par Edgio.
(ii) Edgio certifie qu’il ne le fera pas (A) « vendre » (tel que défini dans la CCPA) ou « Partager » (tel que défini dans la CPRA) les données personnelles des clients ; (b) conserver, utiliser ou divulguer les données personnelles des clients à toute fin autre que celle spécifique de la fourniture des services dans le cadre du Contrat de services, y compris la conservation, l’utilisation ou la divulgation des données personnelles des clients à des fins commerciales autres que la fourniture des services ; ou (c) conserver, utiliser ou divulguer les données personnelles du Client à toute personne autre que celle nécessaire pour fournir les services ou en dehors de la relation commerciale directe entre les parties.
(iii) le Client déclare et garantit que : (1) ses instructions de traitement sont conformes à toutes les lois applicables sur la protection des données ; et (2) il a obtenu et conserve tous les avis, consentements et autorisations légalement requis pour le traitement et le transfert de toutes les données personnelles. Le Client reconnaît que, compte tenu de la nature du traitement, Edgio n’est pas en mesure de déterminer si les instructions du Client enfreignent les lois applicables en matière de protection des données.
b) confidentialité. Edgio impose des obligations contractuelles appropriées à son personnel et aux tiers qui ont accès aux données personnelles, afin de s’assurer que ce personnel et ces tiers sont liés et informés de leurs obligations de confidentialité à l’égard de ces données personnelles.
c) mesures de sécurité Edgio. Edgio a mis en œuvre et maintient des mesures techniques et organisationnelles, énoncées dans la pièce 1, partie C, destinées à protéger les données personnelles contre la destruction accidentelle ou illégale, ou la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, et contre d’autres formes illégales de traitement. Edgio peut mettre à jour ou modifier ces mesures techniques et organisationnelles de temps à autre, à condition que ces mises à jour ou modifications n’entraînent pas la dégradation de la sécurité globale des services. Le Client reconnaît et accepte que (en tenant compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des données personnelles ainsi que des risques pour les utilisateurs finaux) les mesures techniques et organisationnelles mises en œuvre et maintenues par Edgio comme indiqué dans la présente section 2,2(c) (mesures de sécurité Edgio) fournissent un niveau de sécurité approprié au risque en ce qui concerne les données personnelles. En utilisant les services, le Client reconnaît qu’il ne doit pas configurer son utilisation des services pour mettre en cache ou stocker des données personnelles sur les serveurs périphériques d’Edgio.
(d) obligations de sécurité du Client.le Client accepte que, sans préjudice des obligations d’Edgio en vertu de la section 2,2(c) (mesures de sécurité d’Edgio) et de la section 6 (notification de violation de données), le Client est seul responsable de son utilisation des services, y compris : (1) l’utilisation appropriée des services pour assurer un niveau de sécurité approprié au risque en ce qui concerne les données personnelles, par exemple, le choix et le cryptage ; et (2) la sécurisation des identifiants d’authentification des comptes, des systèmes et des appareils utilisés par le Client pour accéder aux services.
E) catégories particulières de données. Le Client ne doit pas, et ne doit pas permettre à ses utilisateurs finaux, directement ou indirectement, de transmettre ou de fournir à Edgio, de quelque manière que ce soit, des données personnelles révélant ou contenant l’un des éléments suivants : origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, ou appartenance syndicale, données génétiques, données biométriques dans le but d’identifier de manière unique une personne physique, données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ou des condamnations pénales ou des infractions.
3. Droits des personnes concernées
3,1 compte tenu de la nature des services et du traitement, le Client reconnaît qu’Edgio met à sa disposition certains contrôles, fonctionnalités et fonctionnalités dans le cadre des services, que le Client peut choisir d’utiliser dans le cadre de ses obligations en vertu des lois applicables sur la protection des données relatives aux demandes des personnes concernées, y compris les demandes de retour ou de suppression.
3,2 le Client est responsable de la configuration correcte des services afin que : (A) les données personnelles sont collectées, transférées et utilisées uniquement dans la mesure nécessaire pour que le Client reçoive les services ; (b) les données personnelles sont conservées pendant la période la plus courte nécessaire pour que le Client reçoive les services ; et (c) le Client utilise une API ou une technologie similaire pour configurer une demande de fichier journal dans le cas où le Client souhaite conserver des données personnelles pendant une période plus longue que celle retenue par les services.
3,3 dans la mesure où les contrôles, caractéristiques et/ou fonctionnalités des services n’incluent pas la possibilité pour le Client de supprimer les données personnelles, Edgio se conformera à la demande raisonnable du Client de faciliter cette suppression, à condition qu’Edgio ait déterminé que cela est faisable, compte tenu de la nature des services et du traitement et des pratiques de conservation des données d’Edgio, et à moins que les lois applicables en matière de protection des données exigent qu’Edgio conserve les données personnelles. Edgio peut facturer des frais (basés sur les coûts raisonnables d’Edgio) pour toute suppression de données en vertu de la présente section 3,3. Edgio fournira au Client les détails de tous les frais applicables avant toute suppression de telles données. Le Client reconnaît son obligation de purger toute donnée personnelle de son compte à la résiliation du Contrat, et toute donnée personnelle non purgée par le Client sera supprimée des systèmes d’Edgio dans le cours normal de ses processus commerciaux.
4. Sous-traitement
4,1 le client accorde une autorisation générale : (A) à Edgio de nommer Edgio Affiliates comme sous-traitants ; et (b) à Edgio et aux sociétés affiliées d’Edgio de nommer des prestataires de services tiers, y compris, sans s’y limiter, des fournisseurs de marketing, d’affaires, d’ingénierie ou de support client, comme sous-traitants, uniquement dans la mesure nécessaire pour soutenir la fourniture des services.
4,2 le Client reconnaît et accepte qu’Edgio maintienne une liste de ses sous-traitants via l’URL suivante : https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (« sites de sous-traitants »). Au moins trente (30) jours avant qu’Edgio n’autorise un nouveau sous-traitant à commencer à traiter les données personnelles du Client, Edgio informera le Client de ce nouveau sous-traitant en ajoutant ce nouveau sous-traitant au site du sous-traitant (« Service de notification »).
4,3 si le Client a une objection raisonnable à l’utilisation par Edgio d’un nouveau sous-traitant notifié via le Service de notification, le Client notifiera Edgio de toute objection rapidement par écrit dans les dix (10) jours ouvrables suivant la réception des informations via le Service de notification. Dans le cas où le Client présente une objection raisonnable à un nouveau sous-traitant, Edgio accepte d’engager des discussions de bonne foi avec le Client pour répondre à l’objection du Client. Si le Client ne formule pas d’objection en temps opportun à un sous-traitant nouveau ou de remplacement conformément à la présente section 4,3, le Client sera réputé avoir consenti à ce sous-traitant et renoncé à son droit de s’opposer à ce sous-traitant. Edgio peut utiliser un nouveau sous-traitant pendant que la procédure d’opposition décrite dans la présente section 4,3 est en cours.
4,4 lorsqu’Edgio engage des sous-traitants conformément à la section 4,1, elle le fera au moyen d’un accord écrit avec le sous-traitant (« sous-contrat de traitement ») qui impose au sous-traitant des obligations substantiellement équivalentes à celles imposées à Edgio en vertu du présent DPA. Edgio restera responsable envers le Client de l’exécution des obligations des sous-traitants en vertu des termes du sous-contrat de traitement.
5. Transferts de données
5,1 dans la mesure où tout traitement des données personnelles des clients par Edgio a lieu en dehors d’un pays adéquat, les parties conviennent que les clauses contractuelles types applicables jointes au présent DPA dans l’Annexe 2 (clauses contractuelles types de l’UE) et l’Annexe 3 (Addendum Royaume-Uni) s’appliqueront au transfert de ces données personnelles des clients de l’EEE, de la Suisse ou du Royaume-Uni vers Edgio. Edgio, en tant que sous-traitant, se conformera aux obligations de l’«importateur de données» dans les clauses contractuelles types et le Client, en tant que responsable du traitement, se conformera aux obligations de l’«exportateur de données».
5,2 les conditions suivantes s’appliquent aux clauses contractuelles types énoncées dans l’Annexe 2 et prévues dans l’Annexe 3 :
(A) le Client peut exercer son droit d’audit en vertu de la clause 8,9(c) des clauses contractuelles types, comme indiqué dans et sous réserve des exigences de la section 7 (audit) du présent DPA.
(b) Edgio peut nommer des sous-traitants comme indiqué dans, et sous réserve des exigences de, la section 4 (sous-traitement) du présent DPA.
5,3 Nonobstant toute disposition contraire de la présente section 5, les clauses contractuelles types ne s’appliqueront pas dans la mesure où le Client a adopté une norme de conformité alternative reconnue pour le transfert licite des données personnelles du Client en dehors d’un pays adéquat.
6. Notification de violation de données
6,1 Edgio informera le Client sans retard injustifié dès qu’il aura connaissance d’un événement de sécurité réel, dans la mesure où Edgio détermine, à sa seule discrétion, qu’un tel événement de sécurité compromet la sécurité et/ou la confidentialité des données personnelles du Client (une « violation de données »). Dans le cas où Edgio subit une violation de données, sur notification au Client, les parties coopèrent de bonne foi pour convenir et prendre les mesures nécessaires pour atténuer ou remédier aux effets de la violation de données. La notification ou la réponse d’Edgio à une violation de données en vertu de la présente section 6 (notification de violation de données) ne doit pas être interprétée comme une reconnaissance par Edgio de toute faute ou responsabilité concernant la violation de données.
6,2 en cas de violation de données, le Client a l’entière autorité et responsabilité de déterminer s’il doit notifier les personnes concernées et les autres parties conformément à la loi applicable, ainsi que la manière et le moment de la notification.
7. Audit
7,1 le Client accepte que son droit d’audit en vertu des lois européennes sur la protection des données en ce qui concerne les données personnelles du Client soit d’abord exercé par une demande à Edgio de fournir: (A) au Client une copie récapitulative du ou des rapports d’audit d’Edgio relatifs aux mesures techniques et organisationnelles d’Edgio mentionnées à la section 2,2(c) (mesures de sécurité d’Edgio), lesquels rapports seront soumis aux dispositions de confidentialité de l’Accord et démontreront que les mesures techniques et organisationnelles d’Edgio sont suffisantes et conformes à une norme d’audit industrielle acceptée ; et (b) des informations supplémentaires en possession ou sous le contrôle d’Edgio à une autorité de contrôle compétente lorsqu’elle demande ou exige des informations supplémentaires en relation avec le traitement des données personnelles effectué par Edgio en vertu du présent DPA.
7,2 après que le Client a reçu le rapport d’audit conformément à la section 7,1, et sous réserve des conditions de la section 7,3, le Client ou un auditeur tiers indépendant mandaté par le Client peut effectuer une inspection raisonnable de l’environnement de traitement d’Edgio qui est pertinent pour le traitement des données personnelles du Client afin de vérifier le respect par Edgio de ses obligations en vertu du présent DPA.
7,3 dans le cas d’une vérification conformément à la section 7,2 ci-dessus,
(A) Edgio doit, conformément aux lois européennes sur la protection des données, mettre à la disposition du Client les informations en la possession ou sous le contrôle d’Edgio que le Client peut raisonnablement demander, afin de démontrer le respect par Edgio de ses obligations en vertu du présent DPA. Le Client n’exercera pas ses droits d’audit plus d’une fois au cours d’une période de douze (12) mois calendaires. L’audit doit être limité aux jours ouvrables (pendant les heures ouvrables normales et à l’exclusion des jours fériés fédéraux des États-Unis) et à la portée raisonnablement convenue par les parties à l’avance. Le Client doit aviser Edgio d’un audit au moins trente (30) jours à l’avance et prendre toutes les mesures raisonnables pour éviter toute interruption inutile des opérations d’Edgio. Le Client supportera tous les coûts et dépenses liés à cet audit.
(b) Edgio peut s’opposer à ce que tout auditeur tiers désigné par le Client effectue un audit en vertu de la section 7,2 si l’auditeur est, de l’avis raisonnable d’Edgio, non qualifié ou indépendant, un concurrent d’Edgio ou autrement manifestement inapproprié. Toute objection de la part d’Edgio exigera du Client qu’il désigne un autre auditeur ou qu’il effectue lui-même l’audit.
(c) rien dans le présent DPA n’obligera Edgio à divulguer au Client ou à son auditeur tiers, ou à permettre au Client ou à son auditeur tiers d’accéder à :
(i) toute donnée de tout autre client d’Edgio ou d’une filiale d’Edgio ;
(ii) toute information comptable ou financière interne d’Edgio ou d’Edgio Affiliate ;
(iii) tout secret commercial d’Edgio ou d’une filiale d’Edgio ;
(iv) toute information qui, de l’avis raisonnable d’Edgio, pourrait (1) compromettre la sécurité des systèmes ou des locaux d’Edgio ou d’Edgio Affiliate ; ou (2) amener Edgio ou de toute filiale d’Edgio à violer ses obligations en vertu des lois applicables sur la protection des données ou ses obligations de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou
(v) toute information à laquelle le Client ou son auditeur tiers cherche à accéder pour toute raison autre que le respect de bonne foi des obligations du Client en vertu des lois applicables sur la protection des données.
(d) le Client indemnisera, défendra et dégagera Edgio de toute responsabilité pour tous les coûts et réclamations invoqués par un tiers, réels ou allégués, qui découlent de ou en relation avec la divulgation de données personnelles au Client à la suite d’un tel audit. Compte tenu de la nature des services et du traitement, le Client reconnaît qu’Edgio n’est pas en mesure d’identifier les individus sur la base des informations utilisateur final requises du Client pour qu’Edgio fournisse les services (par exemple, et l’adresse IP de l’utilisateur final).
8. Dispositions générales
8,1 tiers bénéficiaires. Sans préjudice des droits accordés en vertu des clauses contractuelles types, le présent DPA ne confère aucun droit à un tiers bénéficiaire.
8,2 non-divulgation. Le Client accepte que les détails du présent DPA ne soient pas connus du public et constituent des informations confidentielles Edgio telles que définies dans le Contrat.
8,3 survie. Le présent DPA restera pleinement en vigueur pendant la durée applicable de l’Accord et, nonobstant toute disposition contraire aux présentes, restera en vigueur après la résiliation ou l’expiration de l’Accord. À la résiliation ou à l’expiration du Contrat, Edgio peut continuer à traiter les données personnelles des clients à condition que ce traitement soit conforme aux exigences du présent DPA et aux lois applicables en matière de protection des données.
8,4 intégralité de l’accord, conflit. Le présent DPA annule et remplace toutes les déclarations, ententes, accords ou communications antérieurs ou contemporains entre Edgio et le Client, écrits ou verbaux, concernant le traitement des données personnelles du Client. Sauf modification dans le présent APD, l’Accord restera pleinement en vigueur. En cas de conflit entre les termes du présent DPA et le Contrat, les termes du présent DPA prévaudront dans la mesure où l’objet concerne le traitement des données personnelles du Client.
8,5 Amendement, renonciation. Le présent DPA ne peut être modifié que par écrit et signé par les deux parties. Aucun manquement ou retard de la part d’une partie à exercer ou à appliquer un droit aux présentes ne peut constituer une renonciation à un tel droit.
PART A
Parties aux clauses contractuelles standard du contrôleur au sous-traitant
Exportateur de données :
Nom : conformément à la commande de service.
Adresse : conformément à la commande de service.
Nom, poste et coordonnées de la personne de contact : conformément à la commande de service.
Activités relatives aux données transférées en vertu des présentes clauses: Veuillez consulter les activités décrites ci-dessous pour l’importateur de données.
Rôle: contrôleur
Importateur de données :
Nom : Edgio, Inc
Adresse: 11811 N. Tatum Blvd., suite 3031, Phoenix, AZ 85028
Nom, poste et coordonnées de la personne de contact : Rich Diegnan, DPO, rdiegnan@edg.io
Activités relatives aux données transférées en vertu des présentes clauses: Edgio Inc. fournit des services de réseau de diffusion de contenu, de streaming vidéo et de sécurité connexes aux clients des médias numériques par l’intermédiaire d’une série de points de présence dans le monde entier.
Rôle: processeur
PART B
Objet
Traitement effectué dans le cadre de la fourniture des services, qui comprend l’accélération du site Web, WAF, le téléchargement de logiciels via le réseau Edgio et le service Advanced Bot.
Duration
De la date d’entrée en vigueur jusqu’à la résiliation du Contrat.
Catégories de personnes concernées dont les données personnelles sont transférées.
Utilisateurs finaux du client, employés commerciaux du client
Nature du traitement
De la date d’entrée en vigueur jusqu’à la résiliation du Contrat.
Catégories de données personnelles transférées:
Catégorie
Données
Sélectionnez le cas échéant
Données personnelles des utilisateurs finaux dans le contenu client et données personnelles dans les données enregistrées
Les données personnelles dans le contenu du Client, le cas échéant, sont choisies par le Client. En ce qui concerne ces données, le traitement, le cas échéant, de ces données est limité au rôle d’Edgio en tant que conduit pour ces données. Afin de fournir les services, Edgio peut traiter et conserver certaines données enregistrées, ce qui implique le stockage à court terme des adresses IP des utilisateurs finaux de l’exportateur de données.
X
|
Les données sensibles traitées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, la limitation stricte de la finalité, les restrictions d’accès (y compris l’accès uniquement au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. |
Catégorie spéciale
Données
Aucun
Nature of the processing
Edgio traite les données personnelles des clients pour fournir des services de livraison de contenu et de sécurité afin de favoriser les données personnelles des clients que le Client ou ses utilisateurs finaux placent sur le Service. Edgio traite les données enregistrées dans le but de fournir les services. Les données enregistrées sont transférées aux États-Unis à des fins de facturation, etc. Et stockées à court terme.
Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue)
Le transfert aura lieu sur une base continue.
La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période
Le but du transfert de données et du traitement ultérieur est de permettre à Edgio de fournir les services dans le cadre du Contrat, dans la mesure nécessaire.
La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période
Le but du transfert de données et du traitement ultérieur est de permettre à Edgio de fournir les services dans le cadre du Contrat, dans la mesure nécessaire.
Pour les transferts aux (sous-)sous-traitants, préciser également l’objet, la nature et la durée du traitement
En fonction de la configuration des services du Client, les détails du sous-traitant applicable incluent ceux fournis aux liens suivants :
https://view.highspot.com/viewer/
616088e19bf7c594a544f64
Autorité de contrôle compétente
Clauses contractuelles types de l’UE : L’autorité de surveillance chargée de garantir la conformité de l’exportateur de données avec le RGPD en ce qui concerne le transfert de données agit en tant qu’autorité de surveillance compétente.
Addendum britannique aux clauses contractuelles types de l’UE (le cas échéant) : lorsque l’exportateur de données est établi au Royaume-Uni ou relève du champ d’application territorial des lois et règlements britanniques sur la protection des données, le Bureau du Commissaire à l’information agit en tant qu’autorité de surveillance compétente.
Partie C
Mesures techniques et organisationnelles
POLITIQUE DE SÉCURITÉ DE L’INFORMATION D’EDGIO
Politique de sécurité des informations . Edgio maintient une politique formelle et documentée de sécurité de l’information, qui est basée sur diverses normes de sécurité reconnues dans l’industrie et est alignée sur le NIST Cybersecurity Framework et est applicable à tous les employés d’Edgio et aux utilisateurs autorisés sur les actifs d’Edgio.
Équipes de sécurité de l’information . Edgio maintient des équipes de sécurité de l’information pour promouvoir et aider à l’application de la politique et des pratiques d’Edgio en matière de sécurité de l’information.
CONFORMITÉ EDGIO AUX NORMES
Sécurité des produits . Les services applicables sont conçus et mis en œuvre avec des contrôles techniques, logiques et physiques adaptés aux besoins commerciaux et de sécurité d’Edgio et de ses clients. Pour les services d’entreprise applicables, Edgio certifie annuellement les contrôles applicables au Service selon une ou plusieurs des normes, directives et pratiques suivantes :
PCI (PCI-DSS)
ISO 27001
SSAE-18 SOC 1, 2 ou 3
Partage de certificats . Lorsqu’il est disponible, Edgio fournira un certificat pour chaque achat de Service Client, sur demande raisonnable du Client.
Protection des certificats Edgio . Les certificats fournis à un client sont considérés comme des informations confidentielles.
COMMANDES
Commandes Edgio . Edgio protège ses réseaux en utilisant des pratiques, des procédures et des outils de sécurité reconnus dans l’industrie, spécifiquement adaptés au paysage des menaces et à l’environnement commercial d’Edgio.
Sécurité du matériel tiers . Edgio modifie les valeurs par défaut fournies par le fournisseur pour les mots de passe système et d’autres paramètres de sécurité.
Test régulier du système et de la sécurité . Edgio teste régulièrement les systèmes et processus utilisés pour la sécurité du réseau afin de maximiser la capacité opérationnelle.
Cycle de développement logiciel sécurisé . Edgio développe et maintient des systèmes conçus pour sécuriser les données personnelles des clients grâce à des évaluations des risques en matière de confidentialité et de cybersécurité, et utilise, le cas échéant, l’automatisation dans le cycle de vie du développement pour appliquer des contrôles, entre autres pratiques.
Gestion des appareils mobiles . Les appareils édités par l’entreprise Edgio, tels que les ordinateurs portables et les téléphones mobiles standard, sont maintenus par des personnes identifiables qui sont responsables de la protection de l’appareil ainsi que de la sécurité des données traitées par ces appareils. Les actifs d’Edgio doivent être physiquement verrouillés ou sécurisés de manière comparable chaque fois qu’ils voyagent avec, transportent ou utilisent de l’équipement dans des environnements physiques autres qu’Edgio.
Surveillance du réseau . Edgio utilise des outils et des procédures de surveillance de réseau conçus pour identifier les activités non autorisées sur les réseaux Edgio.
GESTION DES RISQUES LIÉS À LA CHAÎNE D’APPROVISIONNEMENT
Contrôles contractuels . Edgio utilise des mesures contractuelles pour obliger Edgios à se conformer aux exigences appropriées en matière de sécurité de l’information, telles que les normes de sécurité de l’information d’Edgio, un code de conduite des fournisseurs et d’autres politiques de gestion des risques.
Edgio gestion des risques . Edgio a mis en place une gouvernance, des processus et des outils qui sont utilisés dans l’ensemble de l’entreprise Edgio pour gérer les risques de tiers. Le programme exige des fournisseurs qu’ils respectent ou dépassent les exigences de sécurité basées sur les politiques de sécurité des informations d’Edgio et les meilleures pratiques de l’industrie. Ces outils et pratiques peuvent inclure le fait que le fournisseur remplisse un questionnaire, fournisse des preuves des contrôles et effectue des évaluations à distance ou sur place. Le programme découvre les problèmes avec les fournisseurs et travaille à les résoudre en temps opportun.
CONTRÔLES D’ACCÈS
Gestion des accès
Contrôles d’accès logiques . Edgio maintient des politiques de contrôle d’accès logiques afin que seul le personnel autorisé ait accès aux applications et systèmes critiques de l’entreprise en fonction des exigences du poste et du poste.
ID utilisateur uniques . Edgio attribue à chaque utilisateur autorisé un ID utilisateur unique pour la responsabilité des actions.
Accéder aux revues. Edgio utilise des processus de révision des autorisations et de modification des rôles pour alerter les administrateurs de la nécessité de modifier et/ou de révoquer les droits d’accès lorsqu’un utilisateur autorisé n’a plus besoin d’accès.
Journalisation des activités . La politique d’Edgio exige la journalisation et la surveillance de l’accès aux réseaux d’Edgio et aux actifs d’Edgio.
Outils de sécurité . Des outils matériels et logiciels ont été déployés sur l’ensemble du réseau Edgio pour fournir des alertes en temps réel à partir d’appareils tels que des pare-feu, des systèmes de détection d’intrusion, des routeurs et des commutateurs.
Journaux des événements . Les ressources Edgio critiques doivent être configurées pour générer des journaux d’événements. Les journaux d’événements sont conservés conformément aux exigences réglementaires et de conservation des données.
Principe du moindre privilège. Edgio utilisera généralement le principe de moindre privilège pour gérer l’accès à chacun de ses systèmes. L’accès privilégié aux fonctions du réseau, du système ou de l’application de production sera généralement contrôlé et limité au moins de personnel possible sur le plan opérationnel et autorisé sur la base du « besoin de savoir » ou « événement par événement ».
Authentification multifacteur pour l’accès à distance . La politique d’Edgio exige l’utilisation d’une authentification multifacteur pour sécuriser l’accès à distance au réseau d’Edgio et aux actifs d’Edgio.
Vérification d’identité . La politique de contrôle d’accès d’Edgio exige que les identifiants d’accès des utilisateurs autorisés identifient de manière unique une personne, un système ou un service individuel et soient protégés. L’accès accordé par ces identifiants d’accès utilisateur autorisés doit être vérifié périodiquement pour confirmer qu’il est toujours nécessaire.
Désapprovisionnement. L’accès doit être retiré ou supprimé lorsqu’il n’est plus nécessaire (par exemple, un changement de fonction) ou en cas de résiliation.
SÉCURITÉ PHYSIQUE
Contrôles physiques . Edgio utilise des contrôles pour restreindre l’accès physique aux installations hébergeant les systèmes Edgio au personnel autorisé.
Gestion des accès physiques . Selon le type d’installation, l’accès peut être autorisé par des lecteurs de cartes électroniques, des clés, des agents de sécurité ou du personnel local de l’entreprise.
Surveillance. Des caméras de vidéosurveillance sont déployées à des endroits stratégiques pour protéger le personnel, les opérations et les biens.
Gestion des visiteurs . La politique d’Edgio exige que les visiteurs aient et affichent des badges de visiteur émis par Edgio en tout temps. Edgio exige que les visiteurs s’inscrivent sur le journal de visite avant de recevoir un badge visiteur. Le personnel d’Edgio est tenu de porter un badge d’identité émis par l’entreprise en tout temps lorsqu’il se trouve dans les locaux d’Edgio.
Sécurité du centre de données . Edgio nécessite des contrôles de sécurité physique pour chaque salle informatique, centre de données et installations similaires.
FORMATION SUR LA SÉCURITÉ DES INFORMATIONS DES EMPLOYÉS ET DES SOUS-TRAITANTS
Formation annuelle de sensibilisation à la sécurité des informations . Edgio exige que les employés et les sous-traitants d’Edgio suivent annuellement une formation couvrant la sécurité de l’information et la cybersécurité afin de les informer de leur rôle dans la sécurité de l’information.
TEST DE PÉNÉTRATION
Utilisation interne des tests de pénétration par Edgio . Edgio effectue des tests de pénétration sur les environnements internes et externes d’Edgio, en fonction du risque.
Restrictions sur les tests de pénétration . En raison des problèmes de sécurité posés à Edgio et à ses clients, Edgio ne permet pas aux clients de tester l’état de sécurité des périphériques réseau qu’Edgio possède, exploite ou qui sont situés dans un centre de données Edgio. De plus, Edgio ne permet pas de déni de service, d’inondation ou toute autre activité de test similaire impliquant une consommation importante de bande passante réseau.
PARE-FEU ET SEGMENTATION DU RÉSEAU
Pare-feu et outils de sécurité . Edgio utilise des outils matériels et logiciels (tels que des pare-feu) sur l’ensemble du réseau Edgio pour fournir des alertes en temps réel à partir d’appareils tels que des systèmes de détection d’intrusion, des routeurs et des commutateurs.
Architecture réseau et système . Edgio utilise des pratiques d’architecture de système, de logiciel et de réseau pour atténuer les cyberrisques.
BACK-UPS (ne s’applique pas au contenu du client)
Politiques de sauvegarde . Edgio maintient formellement les politiques et procédures de sauvegarde des données, le cas échéant. Les sauvegardes de données sont régies et prises en compte lors des activités de mappage, de conservation ou de suppression de données.
Sauvegardes et tests de fichiers critiques . Les administrateurs sont tenus d’effectuer des sauvegardes régulières des fichiers critiques et de prendre les précautions appropriées pour protéger les informations contre la compromission, la perte ou l’endommagement. En outre, les administrateurs sont tenus d’effectuer des tests périodiques des procédures de restauration de sauvegarde/reprise après sinistre.
CONSERVATION ET DESTRUCTION DES DONNÉES (ne s’applique pas au contenu du client)
Politique de conservation des données . La politique d’Edgio exige la gestion et la protection des données de manière systématique et structurée tout au long du cycle de vie des données : de la création, la transmission, le stockage, la modification, la conservation et la destruction.
Spécifique au système . Edgio gère la conservation des données grâce à l’utilisation de résumés de conservation des données spécifiques au système. Un résumé de conservation des données enregistre les types de données que contient le système, le but de la collecte et de l’utilisation de chaque type de données, le ou les événements déclencheurs de destruction et la période pendant laquelle les données doivent être conservées. Ces résumés de conservation des données sont nécessaires pour se conformer au calendrier de conservation des données d’Edgio à l’échelle de l’entreprise et à toutes les lois, réglementations et exigences des clients applicables.
Destruction des données . Les pratiques de destruction de données d’Edgio sont conformes au NIST 800-88, et englobent les données contenues sur des supports magnétiques, à semi-conducteurs, optiques et sur des documents papier confidentiels.
RÉPONSE AUX INCIDENTS/VIOLATION DE DONNÉES
Programme
Plan de réponse aux incidents . Edgio maintient un plan de réponse aux incidents écrit et exploitable pour permettre à Edgio de réagir en temps opportun aux violations de données.
Test du plan de réponse . Le plan d’intervention en cas d’incident d’Edgio est testé à l’aide d’exercices sur table pour coordonner et vérifier les procédures documentées.
Intervention et atténuation des incidents
Revues d’événements de sécurité . Les données d’événements de sécurité sont examinées et analysées sur une base planifiée. Les événements de sécurité doivent être rapidement remontés lorsque des seuils d’événements prédéterminés sont dépassés et traités conformément à un processus de gestion des incidents défini.
RESSOURCES HUMAINES
Systèmes RH ; désapprovisionnement. Les protocoles et procédures de sécurité de l’information d’Edgio doivent être intégrés dans tous les systèmes et processus des ressources humaines d’Edgio. Le département des ressources humaines (« RH ») et le département INFORMATIQUE D’Edgio ont mis en place des routines automatisées et auditables pour la création de comptes, les autorisations de rôles et le retrait d’accès couvrant une demande de nouvel employé, un changement de rôle ou le licenciement d’un employé.
Vérifications des antécédents . Sous réserve de la législation en vigueur, les RH effectuent une enquête préalable complète sur les antécédents des employés d’Edgio au moment de leur embauche, qui comprend des vérifications de casier judiciaire, de numéro de sécurité sociale, d’autorisation de travail et de liste des personnes interdites (par exemple, Bureau du contrôle des avoirs étrangers).
Code de conduite Edgio . Le Code de conduite d’Edgio exige que les employés d’Edgio se conforment aux politiques et procédures d’Edgio en matière de sécurité des informations.
PROGRAMME DE GESTION DES VULNÉRABILITÉS
Atténuation des risques de vulnérabilité . Le programme de gestion des vulnérabilités d’Edgio est conçu pour mettre en œuvre et maintenir des pratiques et des procédures visant à atténuer les risques de vulnérabilités dans l’environnement commercial d’Edgio.
Processus de gestion des correctifs . Pour maintenir un haut niveau de fonctionnalité et de sécurité de ses réseaux et systèmes hébergés, Edgio a mis en place un processus de gestion des correctifs pour le matériel et les logiciels de production installés sur le réseau Edgio. Les correctifs de sécurité des fournisseurs sont initialement évalués afin de déterminer les risques et la priorité de déploiement. Une fois qu’un correctif a réussi les procédures de test appropriées, il est ensuite publié pour planification et déploiement en production.
Modifications importantes du système . Edgio planifie, surveille, contrôle et suit les changements importants des actifs Edgio.
Analyses de vulnérabilité . Edgio effectue périodiquement des analyses de vulnérabilité internes et externes. Les propriétaires de systèmes peuvent planifier des analyses de vulnérabilités en temps réel pour s’adapter à l’évolution des vecteurs de menaces.
Restrictions sur la numérisation client . En raison du potentiel de perturber les systèmes Edgio et de créer des risques de sécurité pour Edgio et ses clients, Edgio n’autorise pas les clients (ou leurs tiers) à tester ou scanner les actifs Edgio.
Restrictions sur le partage de rapports . Edgio ne fournit pas de rapports sur les vulnérabilités et ne répond pas à des questions spécifiques sur les vulnérabilités et expositions (« CVE ») concernant l’utilisation et/ou la non-utilisation de matériel, logiciels ou produits tiers spécifiques déployés au sein de l’infrastructure Edgio.
CONTINUITÉ DES ACTIVITÉS ET GESTION DES ÉVÉNEMENTS (« BCEM »)
Protocoles de continuité d’activité . Edgio maintient des protocoles de continuité des activités et de reprise après sinistre conçus pour améliorer la capacité d’Edgio à répondre à des événements importants qui pourraient perturber les réseaux et les installations d’Edgio ou nuire à sa capacité à fournir des services.
Évaluation des risques de catastrophe . Les pratiques de continuité des activités et de reprise après sinistre d’Edgio identifient les risques potentiels de reprise pour les actifs d’Edgio et mettent en œuvre des mesures conçues pour aider à minimiser et à atténuer ces risques en utilisant des pratiques acceptées par l’industrie.
Ressources dédiées à l’équipe . Edgio développe et met en œuvre des stratégies conçues pour minimiser les risques de reprise et valider les capacités d’intervention d’Edgio grâce à une planification standardisée rigoureuse et à des tests périodiques.
ANNEXE 2 : CLAUSES CONTRACTUELLES TYPES À UTILISER DANS LES TRANSFERTS DEPUIS L’UE
(Contrôleurs vers processeurs)
DÉCISION D’EXÉCUTION (UE) 2021/914 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (transferts du responsable du traitement vers le sous-traitant).
Entre le Client ci-après “exportateur de données” et Edgio, Inc. ci-après “importateur de données”, chacun une “partie” ; ensemble “les parties”,
En CONSIDÉRATION des engagements et promesses mutuels contenus dans les présentes
ONT CONVENU des clauses contractuelles suivantes (les «clauses ») afin de prévoir des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l’exportateur de données à l’importateur de données des données à caractère personnel spécifiées à l’annexe 1.
SECTION I
Article 1
Objet et portée
(A) ces clauses contractuelles types ont pour objet de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données vers un pays tiers.
b) les Parties:
i) la ou les personnes physiques ou morales, l’autorité ou les autorités publiques, l’agence ou les autres organismes (ci-après dénommés «entité ou entités») transférant les données à caractère personnel, énumérées à l’annexe I.A (ci-après dénommés «exportateur de données»), et
ii) l’entité ou les entités situées dans un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, énumérées à l’annexe I.A (ci-après «importateur de données»);
Ont accepté ces clauses contractuelles types (ci-après : «clauses »).
c) les présentes clauses s’appliquent au transfert de données à caractère personnel tel que spécifié à l’annexe I.B.
d) l’appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.
Article 2
Effet et invariabilité des clauses
(A) les présentes clauses énoncent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, pour autant qu’elles ne soient pas modifiées, Cela n’empêche pas les Parties d’inclure les clauses contractuelles types énoncées dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.
(b) les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Article 3
Bénéficiaires tiers
(A) les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que bénéficiaires tiers, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
i) l’article 1, l’article 2, l’article 3, l’article 6 et l’article 7;
(ii) article 8 – module deux : article 8,1b), 8,9a), c), d) et e);
(iii) clause 9 – module deux : clause 9a), c), d) et e);
(iv) clause 12 – modules deux : clause 12a), d) et f);
v) l’article 13;
(vi) les alinéas 15.1c), d) et e);
(vii) l’alinéa 16e);
(viii) clause 18 – module deux : clause 18a) et b).
b) paragraphe A) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.
Article 4
Interprétation
A) lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.
(b) les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
(c) les présentes clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus dans le règlement (UE) 2016/679.
Article 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les Parties, existant au moment où ces clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.
Article 6
Description du ou des transfert(s)
Les détails du ou des transfert(s), et notamment les catégories de données à caractère personnel transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l’annexe I. B.
Article 7
Clause d’amarrage
DÉLIBÉRÉMENT VIDE.
SECTION II – OBLIGATIONS DES PARTIES
Article 8
Garanties de protection des données
L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes clauses.
8,1 instructions
A) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
b) L’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.
8,2 limitation des objectifs
L’importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert, telles qu’énoncées à l’annexe I, partie B, sauf instructions supplémentaires de l’exportateur de données.
8,3 transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l’appendice tel qu’il est complété par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut caviarder une partie du texte de l’appendice aux présentes clauses avant de partager une copie, mais fournit un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d’en comprendre le contenu ou d’exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des caviardages, dans la mesure du possible, sans révéler les informations caviardées. La présente clause est sans préjudice des obligations incombant à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8,4 précision
Si l’importateur de données constate que les données à caractère personnel qu’il a reçues sont inexactes ou sont devenues obsolètes, il en informe l’exportateur de données sans retard injustifié. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8,5 durée du traitement et de l’effacement ou de la restitution des données
Le traitement par l’importateur de données n’a lieu que pendant la durée spécifiée à l’annexe I.B. après la fin de la prestation des services de traitement, l’importateur de données supprime, au choix de l’exportateur de données, toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifie à l’exportateur de données qu’il l’a fait, ou renvoie à l’exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données continue à assurer le respect des présentes clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne les traitera que dans la mesure et pour la durée requises par cette loi locale. Ceci est sans préjudice de la clause 14, en particulier de l’obligation faite à l’importateur de données en vertu de la clause 14(e) de notifier l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14(a).
8,6 sécurité du traitement
(A) l’importateur de données et, pendant la transmission, l’exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant une destruction accidentelle ou illicite, une perte, une altération, une divulgation non autorisée ou un accès non autorisé à ces données (ci-après «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’annexe II I. L’importateur de données procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir un niveau de sécurité approprié.
b) L’importateur de données n’accorde l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Elle veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(c) en cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données en vertu des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. L’importateur de données informe également l’exportateur de données sans retard injustifié après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact où il est possible d’obtenir davantage d’informations, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses effets préjudiciables éventuels. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires, lorsqu’elles deviennent disponibles, sont fournies ultérieurement sans retard injustifié.
d) L’importateur de données coopère avec l’exportateur de données et l’aide à lui permettre de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, en particulier de notifier l’autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont il dispose.
8,7 données sensibles
Lorsque le transfert implique des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques ou biométriques aux fins d’identifier de manière unique une personne physique, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après dénommées «données sensibles»), l’importateur de données spécifiques et/ou garanties supplémentaires décrites à l’annexe I.
8,8 transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur») que si le tiers est ou accepte d’être lié par les présentes clauses, dans le cadre du module approprié, ou si:
i) la poursuite du transfert est effectuée vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre la poursuite du transfert;
ii) le tiers assure par ailleurs des garanties appropriées en vertu de l’article 46 ou de l’article 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;
iii) la poursuite du transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect par l’importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation des finalités.
8,9 documentation et conformité
A) L’importateur de données traite rapidement et de manière adéquate les demandes de renseignements de l’exportateur de données relatives au traitement en vertu des présentes clauses.
b) les Parties seront en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.
c) l’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l’exportateur de données, permet et contribue à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s’il existe des indices de non-respect. Pour décider d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
d) L’exportateur de données peut choisir d’effectuer lui-même la vérification ou de mandater un vérificateur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
E) les Parties communiquent les informations visées aux paragraphes b) et c) y compris les résultats de tout audit, mis à la disposition de l’autorité de contrôle compétente sur demande.
Article 9
Utilisation de sous-processeurs
A) l’importateur de données dispose de l’autorisation générale de l’exportateur de données pour engager le ou les sous-traitants figurant sur une liste convenue. L’importateur de données informe expressément l’exportateur de données par écrit de toute modification envisagée de cette liste par l’ajout ou le remplacement de sous-traitants au moins trente (30) jours à l’avance, ce qui laisse à l’exportateur de données suffisamment de temps pour pouvoir s’opposer à de telles modifications avant l’engagement du ou des sous-traitants. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour lui permettre d’exercer son droit d’opposition.
b) lorsque l’importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (au nom de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les Parties conviennent qu’en se conformant à cette clause, l’importateur de données remplit ses obligations en vertu de la clause 8,8. L’importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles il est soumis en vertu des présentes clauses.
c) L’importateur de données fournit, à la demande de l’exportateur de données, une copie de cet accord de sous-traitant et de toute modification ultérieure à l’exportateur de données. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les données personnelles, l’importateur de données peut caviarder le texte de l’accord avant de partager une copie.
(d) L’importateur de données demeure pleinement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant en vertu du contrat qu’il a conclu avec l’importateur de données. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant à ses obligations au titre de ce contrat.
(E) L’importateur de données conviendra avec le sous-traitant d’une clause de tiers bénéficiaire aux termes de laquelle – dans le cas où l’importateur de données a disparu de fait, a cessé d’exister en droit ou est devenu insolvable – l’exportateur de données a le droit de résilier le contrat du sous-traitant et de donner instruction au sous-traitant d’effacer ou de restituer les données à caractère personnel.
Article 10
Droits des personnes concernées
a) L’importateur de données notifie rapidement à l’exportateur de données toute demande qu’il a reçue d’une personne concernée. Elle ne répond pas elle-même à cette demande, sauf si elle a été autorisée à le faire par l’exportateur de données.
b) L’importateur de données aide l’exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées en vue de l’exercice de leurs droits au titre du règlement (UE) 2016/679. À cet égard, les parties fixent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l’assistance est fournie, ainsi que la portée et l’ampleur de l’assistance requise.
c) en s’acquittant de ses obligations en vertu des paragraphes a) et b) l’importateur de données se conforme aux instructions de l’exportateur de données.
Article 11
Réparation
A) L’importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, par un avis individuel ou sur son site internet, d’un point de contact habilité à traiter les plaintes. Elle traite rapidement toute plainte qu’elle reçoit d’une personne concernée.
b) en cas de différend entre une personne concernée et l’une des Parties concernant le respect des présentes clauses, cette partie fait tout son possible pour résoudre le problème à l’amiable en temps opportun. Les parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent à leur règlement.
c) lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l’importateur de données accepte la décision de la personne concernée:
i) déposer une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l’autorité de contrôle compétente conformément à la clause 13;
(ii) renvoyer le litige aux tribunaux compétents au sens de la clause 18.
d) les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
E) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’UE ou de l’État membre.
(f) L’importateur de données convient que le choix fait par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.
Article 12
Responsabilité
(A) chaque partie est responsable envers l’autre partie de tout dommage qu’elle cause à l’autre partie ou aux autres parties en cas de violation des présentes clauses.
(b) L’importateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou moral causé par l’importateur de données ou son sous-traitant à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses.
c) Nonobstant le paragraphe (b), l’exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses. Cela est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
d) les Parties conviennent que si l’exportateur de données est tenu responsable en vertu du paragraphe c) pour les dommages causés par l’importateur de données (ou son sous-traitant), il est en droit de réclamer à l’importateur de données la partie de l’indemnisation correspondant à la responsabilité de l’importateur de données pour les dommages.
(E) lorsque plus d’une partie est responsable de tout dommage causé à la personne concernée à la suite d’une violation des présentes clauses, toutes les parties responsables sont solidairement responsables et la personne concernée est en droit d’intenter une action en justice contre l’une de ces parties.
(f) les Parties conviennent que si une partie est tenue responsable en vertu du paragraphe E), elle est en droit de réclamer à l’autre partie ou aux autres parties la partie de l’indemnisation correspondant à sa responsabilité pour le dommage.
G) L’importateur de données ne peut invoquer le comportement d’un sous-traitant pour se soustraire à sa propre responsabilité.
Article 13
Supervision
L’autorité de contrôle chargée de veiller au respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’annexe I, partie C, agit en tant qu’autorité de contrôle compétente.
b) l’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans toute procédure visant à assurer le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Elle confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES
Article 14
Lois et pratiques locales affectant le respect des clauses
(A) les parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations en vertu des présentes clauses. Cette disposition repose sur l’idée que les lois et pratiques qui respectent l’essence des libertés et droits fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.
(b) les Parties déclarent qu’en fournissant la garantie visée au paragraphe a) ils ont dûment tenu compte notamment des éléments suivants:
i) les circonstances particulières du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées;
ii) les lois et pratiques du pays tiers de destination – y compris celles qui exigent la divulgation de données aux autorités publiques ou autorisent l’accès de ces autorités – pertinentes au regard des circonstances particulières du transfert, ainsi que les limitations et garanties applicables;
(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.
c) l’importateur de données garantit que, lorsqu’il effectue l’évaluation visée à l’alinéa b), elle a fait de son mieux pour fournir à l’exportateur de données les informations pertinentes et convient de continuer à coopérer avec l’exportateur de données pour assurer le respect des présentes clauses.
d) les Parties conviennent de documenter l’évaluation visée à l’alinéa b) et de la mettre à la disposition de l’autorité de surveillance compétente sur demande.
E) L’importateur de données accepte de notifier promptement l’exportateur de données si, après avoir accepté les présentes clauses et pour la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de l’alinéa a), y compris à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de ces lois non conforme aux exigences de l’alinéa a).
(f) à la suite d’une notification conformément au paragraphe (e), ou si l’exportateur de données a des raisons de croire que l’importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l’exportateur de données identifie rapidement les mesures appropriées (par exemple des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l’exportateur de données et/ou l’importateur de données pour remédier à la situation. L’exportateur de données peut suspendre le transfert s’appliquer dans la mesure où le cas où la présente clause relative à la résiliation du contrat.
Article 15
Obligations de l’importateur de données en cas d’accès par les autorités publiques
15,1 notification
A) L’importateur de données accepte de notifier rapidement l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) s’il:
i) reçoit une demande juridiquement contraignante d’une autorité publique, y compris des autorités judiciaires, en vertu de la législation du pays de destination, de divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
ii) prend connaissance de tout accès direct par les autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément aux lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l’importateur.
b) si la législation du pays de destination interdit à l’importateur de données de notifier l’exportateur de données et/ou la personne concernée, l’importateur de données s’engage à faire de son mieux pour obtenir une dérogation à l’interdiction, en vue de communiquer le plus grand nombre d’informations possible, dans les meilleurs délais. L’importateur de données s’engage à documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
c) lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si les demandes ont été contestées et l’issue de ces contestations, etc.).
d) l’importateur de données accepte de conserver les informations visées aux points a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente sur demande.
E) les alinéas a) à c) sont sans préjudice de l’obligation de l’importateur de données en vertu de la clause 14 e) et de la clause 16 d’informer promptement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes clauses.
15,2 examen de la légalité et minimisation des données
A) L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier de déterminer si elle relève des pouvoirs conférés à l’autorité publique requérante, et de contester la demande si, après un examen attentif, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale au regard de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce, dans les mêmes conditions, des possibilités de recours. Lorsqu’il conteste une demande, l’importateur de données sollicite des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se soit prononcée sur le fond. Elle ne divulgue pas les données à caractère personnel demandées tant que les règles de procédure applicables ne l’y obligent pas. Ces exigences sont sans préjudice des obligations de l’importateur de données en vertu de la clause 14(e).
b) L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par la législation du pays de destination, de mettre la documentation à la disposition de l’exportateur de données. Elle le met également à la disposition de l’autorité de contrôle compétente sur demande.
c) L’importateur de données accepte de fournir le minimum de renseignements permis lorsqu’il répond à une demande de divulgation, en se fondant sur une interprétation raisonnable de la demande.
SECTION IV – DISPOSITIONS FINALES
Article 16
Non-respect des clauses et résiliation
A) L’importateur de données informe promptement l’exportateur de données s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.
(b) dans le cas où l’importateur de données enfreint les présentes clauses ou est incapable de se conformer aux présentes clauses, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect soit à nouveau assuré ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14(f).
c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque:
i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément à l’alinéa b) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;
(ii) l’importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou
(iii) l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant ses obligations en vertu des présentes clauses.
Dans ces cas, elle informe l’autorité de contrôle compétente de ce manquement. Lorsque le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit à la résiliation qu’à l’égard de la partie concernée, à moins que les Parties n’en aient convenu autrement.
(d) les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont immédiatement renvoyés à l’exportateur de données, au choix de l’exportateur de données, ou effacés dans leur intégralité. Il en va de même pour toute copie des données. L’importateur de données certifie la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données continue à assurer le respect des présentes clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et aussi longtemps que requis par cette loi locale.
(E) chaque partie peut révoquer son accord d’être liée par les présentes clauses lorsque i) la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données personnelles sont transférées. Ceci est sans préjudice des autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679.
Article 17
Droit applicable
Les présentes clauses sont régies par le droit de l’un des États membres de l’UE, à condition que ce droit permette aux tiers bénéficiaires de bénéficier de droits. Les parties conviennent que ce sera le droit irlandais.
Article 18
Choix du forum et de la juridiction
(A) tout litige découlant des présentes clauses est résolu par les tribunaux d’un État membre de l’UE.
b) les Parties conviennent qu’il s’agit des tribunaux d’Irlande.
c) Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
d) les Parties conviennent de se soumettre à la compétence de ces tribunaux.
Article 19
Transfert soumis à la loi suisse sur la protection des données
(A) dans la mesure où les lois et règlements suisses sur la protection des données et la vie privée (“Loi suisse sur la protection des données ») s’appliquent à un transfert de données personnelles, l’exportateur de données et l’importateur de données conviennent que ces clauses sont modifiées de sorte que, en ce qui concerne (uniquement) ce transfert (et sans limiter ou affecter l’application de ces clauses autrement):
i. Dans les présentes clauses, les références générales et spécifiques au règlement (UE) 2016/679 ou au «règlement en question» ou au droit de l’UE ou d’un État membre ont la même signification que la référence équivalente dans les lois suisses sur la protection des données;
i. Le terme “État membre” ne sera pas interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des présentes clauses;
iii. Les détails des transferts sont ceux qui sont spécifiés à l’annexe I lorsque les lois suisses sur la protection des données s’appliquent au traitement par l’exportateur de données lors de ce transfert;
iv. Ces clauses s’appliquent également au transfert d’informations relatives à une entité juridique identifiée ou identifiable lorsque ces informations sont protégées de la même manière que les « données personnelles » en vertu des lois suisses sur la protection des données jusqu’à ce que ces lois soient modifiées pour ne plus s’appliquer à une entité juridique ; et
v. le Commissaire fédéral suisse à la protection des données et à l’information est l’autorité de contrôle compétente aux fins de la clause 13 des présentes clauses.
ANNEXE I DE LA PIÈCE 2
A. LISTE DES PARTIES
EXPORTATEUR(S) DE DONNÉES : [identité et coordonnées de l’exportateur(s) de données et, le cas échéant, de son délégué à la protection des données et/ou de son représentant dans l’Union européenne]
Voir pièce 1, partie A.
B. DESCRIPTION DU TRANSFERT
Voir pièce 1, partie B.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Voir pièce 1, partie B.
ANNEXE II DE LA PIÈCE 2
Voir pièce 1, partie C.
ANNEXE III DE LA PIÈCE 2
LISTE DES SOUS-PROCESSEURS
Non applicable.
PIÈCE 3
ADDENDUM AU ROYAUME-UNI AUX CLAUSES CONTRACTUELLES TYPES DE L’UE
Date du présent addendum :
1. Le présent Addendum entre en vigueur à la même date que les clauses.
Contexte :
2. Le Commissaire à l’information considère que le présent Addendum fournit des garanties appropriées aux fins des transferts de données personnelles vers un pays tiers ou une organisation internationale en se fondant sur les articles 46 du RGPD britannique et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants.
Interprétation du présent Addendum
3. Lorsque le présent additif utilise des termes définis dans l’annexe, ces termes ont la même signification qu’au 2.22 de l’annexe. En outre, les termes suivants ont les significations suivantes :
Cet addenda
Cet addenda aux clauses
L’annexe
Lois britanniques sur la protection des données
Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD du Royaume-Uni et la loi sur la protection des données de 2018.
ROYAUME-UNI GDPR
Le règlement général sur la protection des données du Royaume-Uni, dans la mesure où il fait partie du droit de l’Angleterre et du pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur l’Union européenne (retrait).
ROYAUME-UNI
Royaume-Uni de Grande-Bretagne et d’Irlande du Nord
4. Le présent Addendum doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de manière à ce que, s’il remplit l’intention de fournir les garanties appropriées requises par l’article 46 du RGPD.
5. Le présent Addendum ne doit pas être interprété d’une manière qui entre en conflit avec les droits et obligations prévus par les lois britanniques sur la protection des données.
6. Toute référence à une législation (ou à des dispositions spécifiques d’une législation) signifie que la législation (ou disposition spécifique) peut évoluer au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réédictée et/ou remplacée après la conclusion du présent Addendum.
Hiérarchie
7. En cas de conflit ou d’incompatibilité entre le présent Addendum et les dispositions des clauses ou d’autres accords connexes entre les Parties, existant au moment où le présent Addendum est convenu ou conclu par la suite, les dispositions qui assurent la plus grande protection aux personnes concernées prévaudront.
Incorporation des clauses
8. Le présent additif incorpore les clauses qui sont réputées modifiées dans la mesure nécessaire pour qu’elles s’appliquent:
a. Pour les transferts effectués par l’exportateur de données à l’importateur de données, dans la mesure où les lois britanniques sur la protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert ; et
b. Fournir des garanties appropriées pour les transferts conformément aux articles 46 des lois RGPD du Royaume-Uni.
9. Les modifications requises par la section 7 ci-dessus comprennent (sans limitation):
a. Les références aux « clauses » signifient le présent Addendum car il incorpore les clauses
b. Clause 6 la description du ou des transferts est remplacée par:
« Les détails des transferts et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées sont ceux spécifiés à l’annexe I.B où les lois britanniques sur la protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert. »
d. Les références au « Règlement (UE) 2016/679″ ou au « Règlement » sont remplacées par les « lois britanniques sur la protection des données » et les références à un ou plusieurs articles spécifiques du « Règlement (UE) 2016/679″ sont remplacées par l’article ou la section équivalente des lois britanniques sur la protection des données.
e. Les références au règlement (UE) 2018/1725 sont supprimées.
f. Les références à “l’Union”, “l’UE” et “l’État membre de l’UE” sont toutes remplacées par “le Royaume-Uni”
g. La clause 13 a) et la partie C de l’annexe II ne sont pas utilisées ; l’«autorité de contrôle compétente» est le commissaire à l’information;
h. La clause 17 est remplacée par « les présentes clauses sont régies par les lois d’Angleterre et du pays de Galles ».
i. La clause 18 est remplacée comme suit:
j. « Tout litige découlant des présentes clauses sera résolu par les tribunaux d’Angleterre et du pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux. »
k. Les notes de bas de page des clauses ne font pas partie de l’addenda.
Amendements au présent Addendum
10. Les Parties peuvent convenir de modifier la clause 17 et/ou 18 pour renvoyer aux lois et/ou aux tribunaux d’Écosse ou d’Irlande du Nord.
11. Les Parties peuvent modifier le présent Addendum à condition qu’il maintienne les garanties appropriées requises par l’article 46 du RGPD pour le transfert concerné en incorporant les clauses et en y apportant des modifications conformément à la section 7 ci-dessus.
Exécution de cet addenda
12. Les Parties peuvent conclure l’Addendum (incorporant les clauses) de toute manière qui les rend juridiquement contraignants pour les Parties et permet aux personnes concernées de faire valoir leurs droits tels qu’ils sont énoncés dans les clauses. Cela inclut (sans s’y limiter) :
a. En ajoutant le présent addendum aux clauses et en incluant dans le texte ci-après les signatures figurant à l’annexe 1A:
« En signant, nous acceptons d’être liés par l’Addendum du Royaume-Uni aux clauses contractuelles standard de la Commission européenne daté du : » et d’ajouter la date (lorsque tous les transferts sont en vertu de l’Addendum)
« En signant, nous acceptons également d’être liés par l’Addendum du Royaume-Uni aux clauses contractuelles standard de la Commission européenne daté » et d’ajouter la date (lorsqu’il y a des transferts à la fois en vertu des clauses et en vertu de l’Addendum) (ou des mots allant dans le même sens) et d’exécuter les clauses ; ou
b. En modifiant les clauses conformément au présent Addendum et en exécutant ces clauses modifiées.
ANNEXE I DE LA PIÈCE 3
A. LISTE DES PARTIES
EXPORTATEUR(S) DE DONNÉES : [identité et coordonnées de l’exportateur(s) de données et, le cas échéant, de son délégué à la protection des données et/ou de son représentant dans l’Union européenne]
Voir pièce 1, partie A.
B. DESCRIPTION DU TRANSFERT
Voir pièce 1, partie B.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Voir pièce 1, partie B.
ANNEXE II DE LA PIÈCE 3
Voir pièce 1, partie C.
ANNEXE III DE LA PIÈCE 3
LISTE DES SOUS-PROCESSEURS
Non applicable.