Home Société Juridique Addendum sur la protection des données – (DPA)
Applications

Addendum sur la protection des données – (DPA)

Contour

Pages connexes

Le présent Avenant relatif au traitement des données (le présent « ATD ») est incorporé et fait partie intégrante des Conditions d’utilisation d’Edgio (le « Contrat ») entre Edgio, Inc., ses sociétés affiliées et filiales (collectivement, « Edgio ») et le client. Si des dispositions du présent DPA entrent en conflit avec une disposition du Contrat, les dispositions applicables du présent DPA prévalent.

1. Définitions.

Les termes suivants sont utilisés dans le présent DPA et ont la signification indiquée dans le présent document. Les termes commençant par une majuscule utilisés dans le présent DPA et non définis dans les présentes ont la signification indiquée dans le Contrat.

1,1 « pays adéquat » désigne un pays ou un territoire reconnu en vertu des lois de l’UE sur la protection des données ou de l’autorité compétente du Royaume-Uni (« Royaume-Uni ») comme offrant un niveau adéquat de protection des données personnelles.

1,2 « lois applicables en matière de protection des données » signifie (i) les lois et règlements de l’EEE et de leurs États membres, applicables au traitement des données à caractère personnel en vertu du présent DPA, y compris les lois de l’UE sur la protection des données ; (ii) la California Consumer protection Act (« CCPA ») et la California Privacy Rights Act (« CPRA ») ; et (iii) toutes les lois mettant en œuvre ou complétant ce qui précède et toute autre loi applicable en matière de protection des données ou de confidentialité.

1,3 « données personnelles du client » désigne toutes les données personnelles relatives aux consommateurs (les « utilisateurs finaux » du client) et traitées par Edgio ou ses sous-traitants pour le compte du client dans le cadre de l’exécution des Services et des autres obligations d’Edgio en vertu du Contrat.

1,4 « EEE » désigne l’espace économique européen, qui comprend les États membres de l’Union européenne, ainsi que la Norvège, l’Islande et le Liechtenstein.

1,5 « lois de protection de l’UE » signifie (i) le RGPD; ii) la directive européenne sur la vie privée et les communications électroniques (directive 2002/58/ce), telle que modifiée, et toute législation remplaçant la présente directive modifiée, (iii) toute loi nationale sur la protection des données adoptée en vertu, en vertu, remplaçant ou succédant à ce qui précède, et (iv) le cas échéant, doit être lu comme incluant les lois britanniques sur la protection des données.

1,6 « RGPD » désigne le Règlement général de l’UE sur la protection des données (Règlement 2016/679).

1,7 « clauses contractuelles standard » en ce qui concerne le traitement des données à caractère personnel en vertu du présent DPA signifie (A) les clauses types pour le transfert de données à caractère personnel des responsables du traitement aux sous-traitants établis dans des pays tiers approuvées de temps à autre par la Commission européenne, dont la version approuvée actuelle est celle figurant dans la décision 2021/914 de la Commission européenne du 4 juin 2021, disponibles à l’adresse suivante: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, et énoncées dans l’Annexe 2 (les « clauses contractuelles types de l’UE ») ; et (b) l’Addendum britannique aux clauses contractuelles types de l’UE, présenté à l’Annexe 3 (l’« Addendum britannique »).

1,8 « lois britanniques sur la protection des données » désigne toute loi applicable en matière de protection des données, de traitement des données personnelles, de confidentialité et/ou de communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la Loi sur la protection des données de 2018.

1,9 « UK GDPR » désigne le Règlement général sur la protection des données du Royaume-Uni, car il fait partie de la législation de l’Angleterre et du pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne.

1,10 « données personnelles » désigne toute information qui constitue des « données personnelles » ou des « informations personnelles » au sens des lois applicables sur la protection des données auxquelles Edgio peut accéder dans le cadre de l’exécution des Services en vertu du Contrat de Services.

1,11 “traitement”, “traitement”, “sujet”, “contrôleur”, “entreprise”, “processeur”, « fournisseur de services », « catégories spéciales de données personnelles » ont la signification qui leur est donnée par les lois applicables en matière de protection des données, dans la mesure où de tels concepts existent dans ces lois.

2. Traitement des données

2,1 portée et rôles. Compte tenu des obligations mutuelles énoncées dans les présentes, le présent ATD s’applique dans la mesure où Edgio traite les données personnelles des clients soumises aux lois applicables en matière de protection des données dans le cadre des Services conformément à l’Accord. Dans ce contexte, le client et Edgio reconnaissent et conviennent que: (A) Edgio est un sous-traitant et le client est le contrôleur en vertu des lois applicables sur la protection des données ; et (b) Edgio agit en tant que simple intermédiaire de toute donnée personnelle que le client ou ses utilisateurs finaux placent sur les Services. Edgio et le client doivent se conformer aux lois applicables en matière de protection des données pour le traitement des données personnelles soumises aux lois applicables en matière de protection des données.

2,2 instructions de traitement.

(A) instructions client. Edgio traitera les données personnelles du client comme moyen de fournir les Services et conformément aux instructions documentées du client énoncées dans le présent DPA, ou comme convenu par écrit entre les parties. Si Edgio est tenue, en vertu des lois applicables sur la protection des données, de traiter les données personnelles du client autrement que conformément aux instructions du client, elle en informera le client avant qu’un tel traitement n’ait lieu, sauf si la loi l’interdit.

(i) le but du traitement des données personnelles du client en vertu du présent DPA est la fourniture des Services initiés par le client de temps à autre conformément au Contrat, ce qui comprend le traitement de la facturation et des paiements, la communication avec les utilisateurs finaux du client et/ou les sous-traitants au sujet des Services, la maintenance du client, comptes utilisateur final et/ou sous-traitant, mesure et/ou analyse de l’utilisation des Services, prévention ou détection de fraudes ou d’abus des Services et/ou du site Web, maintenance et/ou mise à jour des Services et/ou permettant aux sous-traitants d’effectuer des fonctions techniques, logistiques ou autres pour le compte d’Edgio dans le cadre de la fourniture des Services.

(ii) Edgio certifie qu’il ne le fera pas (A) « vendre » (tel que défini dans la CCPA) ou « partager » (tel que défini dans la CPRA) les données personnelles du client; (b) conserver, utiliser ou divulguer les données personnelles du client à toute fin autre que celle spécifique de la fourniture des Services en vertu du Contrat de Services, y compris la conservation, l’utilisation ou la divulgation des données personnelles du client à des fins commerciales autres que la fourniture des Services ; ou (c) conserver, utiliser ou divulguer les données personnelles du client à toute personne autre que nécessaire pour fournir les Services ou en dehors de la relation commerciale directe entre les parties.

(iii) le client déclare et garantit que : (1) ses instructions de traitement sont conformes à toutes les lois applicables en matière de protection des données ; et (2) il a obtenu et maintient tous les avis, consentements et autorisations légalement requis pour le traitement et le transfert de toutes les données personnelles. Le client reconnaît que, compte tenu de la nature du traitement, Edgio n’est pas en mesure de déterminer si les instructions du client enfreignent les lois applicables en matière de protection des données.

b) Confidentialité. Edgio impose des obligations contractuelles appropriées à son personnel et aux tiers qui ont accès aux données personnelles, afin de s’assurer que ce personnel et ces tiers sont liés par leurs obligations de confidentialité à l’égard de ces données personnelles et informés de celles-ci.

c) mesures de sécurité Edgio. Edgio a mis en œuvre et maintient des mesures techniques et organisationnelles, énoncées dans la pièce 1, partie C, conçues pour protéger les données personnelles contre la destruction accidentelle ou illégale, ou la perte accidentelle, l’altération, la divulgation ou l’accès non autorisé, et contre d’autres formes illégales de traitement. Edgio peut mettre à jour ou modifier ces mesures techniques et organisationnelles de temps à autre, à condition que ces mises à jour ou modifications n’entraînent pas une dégradation de la sécurité globale des Services. Le client reconnaît et accepte que (compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des données personnelles ainsi que des risques pour les utilisateurs finaux) les mesures techniques et organisationnelles mises en œuvre et maintenues par Edgio comme indiqué dans la présente Section 2,2(c) (mesures de sécurité Edgio) fournissent un niveau de sécurité approprié au risque en ce qui concerne les données personnelles. En utilisant les Services, le client reconnaît qu’il ne doit pas configurer son utilisation des Services pour mettre en cache ou stocker des données personnelles sur les serveurs périphériques d’Edgio.

(d) obligations de sécurité du client. Le client accepte que, sans préjudice des obligations d’Edgio en vertu de la Section 2,2(c) (mesures de sécurité d’Edgio) et de la Section 6 (notification de violation de données), le client est seul responsable de son utilisation des Services, y compris: (1) faire un usage approprié des Services pour assurer un niveau de sécurité approprié au risque en ce qui concerne les données personnelles, par exemple, choisir et utiliser le cryptage ; et (2) sécuriser les identifiants d’authentification de compte, les systèmes et les appareils utilisés par le client pour accéder aux Services. Le client reconnaît qu’il est responsable de toutes les actions entreprises sur les Services en utilisant les identifiants d’authentification valides du client, y compris, sans s’y limiter, par les utilisateurs finaux, les fournisseurs du client ou tout autre tiers agissant au nom du client.

e) catégories spéciales de données. Le client ne doit pas, et ne doit pas permettre à ses utilisateurs finaux, directement ou indirectement, de transmettre ou de fournir à Edgio, de quelque manière que ce soit, des données personnelles révélant ou contenant l’un des éléments suivants : origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, ou les adhésions syndicales, les données génétiques, les données biométriques aux fins de l’identification unique d’une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ou relatives aux condamnations pénales ou infractions d’une personne physique.

3. Droits des personnes concernées

3,1 compte tenu de la nature des Services et du traitement, le client reconnaît qu’Edgio met à sa disposition certains contrôles, caractéristiques et fonctionnalités dans le cadre des Services, que le client peut choisir d’utiliser dans le cadre de ses obligations en vertu des lois applicables sur la protection des données relatives aux demandes des personnes concernées, y compris les demandes de retour ou de suppression.

3,2 le client est responsable de la configuration correcte des Services afin que: (A) les données personnelles sont collectées, transférées et utilisées uniquement dans la mesure nécessaire pour que le client reçoive les Services ; (b) les données personnelles sont conservées pendant la période la plus courte nécessaire pour que le client reçoive les Services ; et (c) le client utilise une API ou une technologie similaire pour configurer une demande de fichier journal dans le cas où le client souhaite conserver ses données personnelles pendant une période plus longue que celle conservée par les Services.

3,3 dans la mesure où les contrôles, caractéristiques et/ou fonctionnalités des Services n’incluent pas la possibilité pour le client de supprimer des données personnelles, Edgio se conformera alors à la demande raisonnable du client de faciliter cette suppression, à condition qu’Edgio ait déterminé que cela est faisable, en tenant compte de la nature des Services et du traitement et des pratiques de conservation des données d’Edgio, et à moins que les lois applicables en matière de protection des données exigent qu’Edgio conserve les données personnelles. Edgio peut facturer des frais (basés sur les coûts raisonnables d’Edgio) pour toute suppression de données en vertu de la présente Section 3,3. Edgio fournira au client les détails de tout frais applicable avant toute suppression de données. Le client reconnaît son obligation de purger toutes les données personnelles de son compte à la résiliation du Contrat, et toutes ces données personnelles non purgées par le client seront supprimées des systèmes d’Edgio dans le cours normal de ses processus commerciaux.

4. Sous-traitement

4,1 le client accorde une autorisation générale: (A) à Edgio de nommer Edgio Affiliés comme sous-traitants ; et (b) à Edgio et à ses filiales de désigner des fournisseurs de services tiers, y compris, sans limitation, le marketing, les affaires, les fournisseurs d’ingénierie ou de support client, en tant que sous-traitants, uniquement dans la mesure nécessaire pour soutenir la fourniture des Services.

4,2 le client reconnaît et accepte qu’Edgio conserve une liste de ses sous-traitants via l’URL suivante : https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (« sites des sous-traitants »). Au moins trente (30) jours avant qu’Edgio autorise un nouveau sous-traitant à commencer à traiter les données personnelles du client, Edgio informera le client de ce nouveau sous-traitant en ajoutant ce nouveau sous-traitant au site du sous-traitant (« Service de notification »).

4,3 si le client a une objection raisonnable à l’utilisation par Edgio d’un nouveau sous-traitant tel que notifié via le Service de notification, le client doit notifier toute objection à Edgio rapidement par écrit dans les dix (10) jours ouvrables suivant la réception des informations via le Service de notification. Dans le cas où le client présenterait une objection raisonnable à un nouveau sous-traitant, Edgio s’engage à engager des discussions de bonne foi avec le client pour répondre à l’objection du client. Si le client ne fournit pas une objection en temps opportun à tout sous-traitant nouveau ou de remplacement conformément à la présente Section 4,3, le client sera réputé avoir consenti à ce sous-traitant et renoncé à son droit de s’opposer à ce sous-traitant. Edgio peut utiliser un nouveau sous-traitant pendant que la procédure d’objection décrite dans la présente Section 4,3 est en cours.

4,4 lorsqu’Edgio engage des sous-traitants conformément à la Section 4,1, elle le fera au moyen d’un accord écrit avec le sous-traitant (« sous-contrat de traitement ») qui impose au sous-traitant des obligations substantiellement équivalentes à celles imposées à Edgio en vertu du présent DPA. Edgio restera responsable envers le client de l’exécution des obligations des sous-traitants en vertu des termes du sous-contrat de traitement.

5. Transferts de données

5,1 dans la mesure où le traitement des données personnelles des clients par Edgio a lieu dans un lieu situé en dehors d’un pays adéquat, les parties conviennent que les clauses contractuelles standard applicables jointes au présent ATD dans l’Annexe 2 (clauses contractuelles standard de l’UE) et l’Annexe 3 (Addendum au Royaume-Uni) s’appliquera en ce qui concerne le transfert de ces données personnelles du client de l’EEE, de la Suisse ou du Royaume-Uni à Edgio. Edgio, en tant que sous-traitant, se conformera aux obligations de l’« importateur de données » dans les clauses contractuelles types et le client, en tant que responsable du traitement, se conformera aux obligations de l’« exportateur de données ».

5,2 les conditions suivantes s’appliquent aux clauses contractuelles types énoncées à l’Annexe 2 et prévues à l’Annexe 3 :

(A) le client peut exercer son droit d’audit en vertu de la Clause 8,9(c) des clauses contractuelles types comme indiqué dans, et sous réserve des exigences de la Section 7 (Audit) du présent DPA.

(b) Edgio peut nommer des sous-traitants comme indiqué dans, et sous réserve des exigences de, la Section 4 (sous-traitement) du présent DPA.

5,3 Nonobstant toute disposition contraire dans la présente Section 5, les clauses contractuelles types ne s’appliqueront pas dans la mesure où le client a adopté une norme de conformité reconnue alternative pour le transfert légal de données personnelles du client en dehors d’un pays adéquat.

6. Notification de violation de données

6,1 Edgio avisera le client sans retard indu dès qu’il aura connaissance d’un événement de sécurité réel, dans la mesure où Edgio détermine, à sa seule discrétion, qu’un tel événement de sécurité compromet la sécurité et/ou la confidentialité des données personnelles du client (une « violation de données »). Dans le cas où Edgio subirait une violation de données, sur notification au client, les parties coopéreront de bonne foi pour convenir et prendre les mesures nécessaires pour atténuer ou remédier aux effets de la violation de données. La notification ou la réponse d’Edgio à une violation de données en vertu de la présente Section 6 (notification de violation de données) ne doit pas être interprétée comme une reconnaissance par Edgio de toute faute ou responsabilité à l’égard de la violation de données.

6,2 en cas de violation de données, le client a l’entière autorité et responsabilité de déterminer s’il doit notifier les personnes concernées et les autres parties comme l’exige la loi applicable, ainsi que la manière et le moment de la notification.

7. Audit

7,1 le client accepte que son droit d’audit en vertu des lois européennes sur la protection des données en ce qui concerne les données personnelles du client soit d’abord exercé par une demande à Edgio de fournir: (A) au client une copie sommaire du ou des rapports d’audit d’Edgio relatifs aux mesures techniques et organisationnelles d’Edgio mentionnées à la Section 2,2(c) (mesures de sécurité d’Edgio), lesquels rapports seront soumis aux dispositions de confidentialité de l’Accord, et quels rapports doivent démontrer que les mesures techniques et organisationnelles d’Edgio sont suffisantes et conformes à une norme d’audit reconnue de l’industrie ; et (b) des informations supplémentaires en possession ou sous le contrôle d’Edgio à une autorité de contrôle compétente lorsque celle-ci demande ou exige des informations supplémentaires en relation avec le traitement des données personnelles effectué par Edgio en vertu du présent DPA.

7,2 une fois que le client a reçu le rapport d’audit conformément à la Section 7,1, et sous réserve des termes de la Section 7,3, le client ou un auditeur tiers indépendant mandaté par le client peut effectuer une inspection raisonnable de l’environnement de traitement d’Edgio qui est pertinente pour le traitement des données personnelles du client afin de vérifier le respect par Edgio de ses obligations en vertu du présent DPA.

7,3 dans le cas d’une vérification conformément à la section 7,2 ci-dessus,

(A) Edgio mettra à la disposition du client, conformément aux lois européennes sur la protection des données, les informations en possession ou sous le contrôle d’Edgio que le client peut raisonnablement demander, afin de démontrer le respect par Edgio de ses obligations en vertu du présent ATD. Le client n’exercera pas ses droits d’audit plus d’une fois au cours d’une période de douze (12) mois civils. L’audit sera limité aux jours ouvrables (pendant les heures normales de bureau et à l’exclusion des jours fériés fédéraux des États-Unis) et à la portée raisonnablement convenue par les parties à l’avance. Le client doit aviser Edgio d’un audit au moins trente (30) jours à l’avance et prendre toutes les mesures raisonnables pour éviter toute perturbation inutile des opérations d’Edgio. Le client assumera tous les coûts et dépenses liés à cet audit.

(b) Edgio peut s’opposer à ce que tout auditeur tiers désigné par le client effectue un audit en vertu de la Section 7,2 si l’auditeur n’est, de l’avis raisonnable d’Edgio, pas suffisamment qualifié ou indépendant, un concurrent d’Edgio ou manifestement inapproprié. Une telle objection de la part d’Edgio obligera le client à désigner un autre auditeur ou à procéder lui-même à l’audit.

(c) aucune disposition du présent DPA n’obligera Edgio à divulguer au client ou à son auditeur tiers, ou à permettre au client ou à son auditeur tiers d’accéder à :

(i) toutes les données de tout autre client d’Edgio ou d’une filiale d’Edgio ;

(ii) toute information comptable ou financière interne d’Edgio ou d’une filiale d’Edgio ;

(iii) tout secret commercial d’Edgio ou d’une filiale d’Edgio ;

(iv) toute information qui, de l’avis raisonnable d’Edgio, pourrait (1) compromettre la sécurité des systèmes ou locaux d’Edgio ou d’une filiale d’Edgio ; ou (2) amener Edgio ou toute filiale d’Edgio à violer ses obligations en vertu des lois applicables sur la protection des données ou ses obligations en matière de sécurité et/ou de confidentialité envers le client ou un tiers ; ou

(v) toute information à laquelle le client ou son auditeur tiers cherche à accéder pour toute raison autre que le respect de bonne foi des obligations du client en vertu des lois applicables en matière de protection des données.

(d) le client indemnisera, défendra et dégagera Edgio de toute responsabilité contre tous les coûts et réclamations allégués par un tiers, réels ou allégués, découlant de ou en relation avec la divulgation de données personnelles au client à la suite d’un tel audit. Compte tenu de la nature des Services et du traitement, le client reconnaît qu’Edgio n’est pas en mesure d’identifier les personnes sur la base des informations de l’utilisateur final requises du client pour qu’Edgio fournisse les Services (par exemple, et l’adresse IP de l’utilisateur final).

8. Dispositions générales

8,1 tiers bénéficiaires. Sans préjudice des droits accordés en vertu des clauses contractuelles types, le présent DPA ne confère aucun droit à un tiers bénéficiaire.

8,2 non-divulgation. Le client accepte que les détails du présent DPA ne soient pas connus du public et constituent des informations confidentielles Edgio telles que définies dans le Contrat.

8,3 survie. Le présent DPA restera pleinement en vigueur pendant la durée applicable du Contrat et, nonobstant toute disposition contraire dans les présentes, survivra à la résiliation ou à l’expiration du Contrat. À la résiliation ou à l’expiration du Contrat, Edgio peut continuer à traiter les données personnelles des clients à condition que ce traitement soit conforme aux exigences du présent DPA et aux lois applicables en matière de protection des données.

8,4 intégralité de l’accord, conflit. Le présent DPA remplace et remplace toutes les représentations, ententes, accords ou communications antérieurs ou contemporains entre Edgio et le client, qu’ils soient écrits ou verbaux, concernant le traitement des données personnelles du client. Sauf tel qu’amendé dans le présent DPA, le Contrat restera pleinement en vigueur. En cas de conflit entre les termes du présent DPA et le Contrat, les termes du présent DPA prévaudront dans la mesure où l’objet concerne le traitement des données personnelles des clients.

8,5 Amendement, renonciation. Le présent DPA ne peut être modifié que par écrit et signé par les deux parties. Aucun manquement ou retard de la part d’une partie à exercer ou à faire appliquer un droit aux présentes ne saurait constituer une renonciation à un tel droit.

PART A

Parties aux clauses contractuelles standard du contrôleur au processeur

Exportateur de données :

Nom : selon la commande de service.

Adresse : conformément à la commande de service.

Nom, poste et coordonnées de la personne à contacter : selon la commande de service.

Activités relatives aux données transférées en vertu des présentes clauses: Veuillez consulter les activités décrites ci-dessous pour l’importateur de données.

Rôle: contrôleur

Importateur de données :

Nom : Edgio, Inc.

Adresse: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028

Nom, fonction et coordonnées de la personne àcontacter : Rich Diegnan, DPO, rdiegnan@edg.io

Activités relatives aux données transférées en vertu des présentes clauses: Edgio Inc. Fournit des services de réseau de diffusion de contenu, de diffusion vidéo en continu et des services de sécurité connexes aux clients des médias numériques par l’intermédiaire d’une série de points de présence dans le monde entier.

Rôle: processeur

PART B

Objet

Traitement effectué dans le cadre de la fourniture des Services, qui comprennent l’accélération du site Web, le WAF, le téléchargement de logiciels via le réseau Edgio et le service Advanced Bot.

Duration

De la Date d’entrée en vigueur jusqu’à la résiliation du Contrat.

Catégories de personnes concernées dont les données personnelles sont transférées.

Utilisateurs finaux du client, employés d’entreprise du client

Nature du traitement

De la Date d’entrée en vigueur jusqu’à la résiliation du Contrat.

Catégories de données personnelles transférées:

Catégorie

Données

Sélectionnez le cas échéant

Données personnelles des utilisateurs finaux dans le contenu client et données personnelles dans les données consignées

Les données personnelles contenues dans le contenu client, le cas échéant, sont choisies par le client. En ce qui concerne ces données, le traitement, le cas échéant, de ces données est limité au rôle d’Edgio en tant que canal pour ces données. Afin de fournir les Services, Edgio peut traiter et conserver certaines données enregistrées, ce qui implique le stockage à court terme des adresses IP des utilisateurs finaux de l’Exportateur de données.

X

Les données sensibles traitées (le cas échéant) et appliquées des restrictions ou des garanties qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte des finalités, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, restrictions pour les transferts ultérieurs ou mesures de sécurité supplémentaires.

Catégorie spéciale
Données

Aucun

Nature of the processing

Edgio traite les données personnelles du client pour fournir des services de diffusion de contenu et de sécurité en tant que conduit des données personnelles du client que le client ou ses utilisateurs finaux placent sur le Service. Edgio traite les données enregistrées dans le but de fournir les Services. Les données enregistrées sont transférées aux États-Unis à des fins de facturation, etc. Et stockées à court terme.

Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue)

Le transfert aura lieu de façon continue.

La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période

Le but du transfert de données et du traitement ultérieur est de permettre à Edgio de fournir les Services dans le cadre du Contrat, dans la mesure nécessaire.

La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période

Le but du transfert de données et du traitement ultérieur est de permettre à Edgio de fournir les Services dans le cadre du Contrat, dans la mesure nécessaire.

Pour les transferts à des (sous-)transformateurs, préciser également l’objet, la nature et la durée du traitement

En fonction de la configuration des Services du client, les détails applicables au sous-traitant incluent ceux fournis sur les liens suivants :

https://view.highspot.com/viewer/
616088e19bf7c594a5444f64

Autorité de contrôle compétente

Clauses contractuelles types de l’UE : l’autorité de contrôle chargée de veiller à la conformité de l’exportateur de données avec le RGPD en ce qui concerne le transfert de données agit en tant qu’autorité de contrôle compétente.

Addendum britannique aux clauses contractuelles types de l’UE (le cas échéant) : lorsque l’exportateur de données est établi au Royaume-Uni ou relève du champ d’application territorial des lois et règlements britanniques sur la protection des données, le Bureau du commissaire à l’information agit en tant qu’autorité de contrôle compétente.

Partie C.

Mesures techniques et organisationnelles

POLITIQUE DE SÉCURITÉ DE L’INFORMATION EDGIO

Politique de sécurité des informations. Edgio maintient une politique de sécurité des informations formelle et documentée, qui est basée sur diverses normes de sécurité reconnues de l’industrie et est alignée sur le cadre de cybersécurité du NIST et est applicable à tous les employés d’Edgio et utilisateurs autorisés sur les actifs d’Edgio.

Équipes de sécurité de l’information. Edgio maintient des équipes de sécurité de l’information pour promouvoir et aider à l’application de la politique et des pratiques d’Edgio en matière de sécurité de l’information.

CONFORMITÉ EDGIO AUX NORMES

Sécurité des produits. Les Services applicables sont conçus et mis en œuvre avec des contrôles techniques, logiques et physiques adaptés aux besoins commerciaux et de sécurité d’Edgio et de ses clients. Pour les services d’entreprise applicables, Edgio certifie annuellement les contrôles applicables au Service en vertu d’une ou plusieurs des normes, directives et pratiques suivantes :

PCI (PCI-DSS)

ISO 27001

SSAE-18 SOC 1, 2 ou 3

Partage de certificats. Lorsque cela est possible, Edgio fournira un certificat pour chaque achat du client de service, sur demande raisonnable du client.

Protection des certificats Edgio. Les certificats fournis à un client sont considérés comme des informations confidentielles.

COMMANDES

Commandes Edgio. Edgio protège ses réseaux à l’aide de pratiques, de procédures et d’outils de sécurité reconnus par l’industrie, spécifiquement adaptés au paysage des menaces et à l’environnement commercial d’Edgio.

Sécurité matérielle tierce. Edgio modifie les valeurs par défaut fournies par le fournisseur pour les mots de passe système et d’autres paramètres de sécurité.

Tests réguliers du système et de la sécurité. Edgio teste régulièrement les systèmes et les processus utilisés pour la sécurité du réseau afin de maximiser la capacité opérationnelle.

Cycle de développement logiciel sécurisé. Edgio développe et maintient des systèmes conçus pour sécuriser les données personnelles des clients grâce à des évaluations des risques en matière de confidentialité et de cybersécurité, et utilise, le cas échéant, l’automatisation dans le cycle de développement pour appliquer des contrôles, entre autres pratiques.

Gestion des appareils mobiles. Les appareils émis par Edgio, tels que les ordinateurs portables et les téléphones portables standard, sont entretenus par des personnes identifiables qui sont responsables de la protection de l’appareil ainsi que de la sécurité des données traitées par ces appareils. Les actifs EDGIO doivent être physiquement verrouillés ou sécurisés de manière comparable lorsque vous voyagez avec, transportez ou utilisez des équipements dans des environnements physiques autres que Edgio.

Surveillance du réseau. Edgio utilise des outils et des procédures de surveillance de réseau conçus pour identifier les activités non autorisées sur les réseaux Edgio.

GESTION DES RISQUES LIÉS À LA CHAÎNE D’APPROVISIONNEMENT

Contrôles des contrats. Edgio utilise des mesures contractuelles pour obliger Edgios tiers à se conformer aux exigences appropriées en matière de sécurité de l’information, telles que les normes de sécurité de l’information d’Edgio, un code de conduite des fournisseurs et d’autres politiques de gestion des risques.

Edgio gestion des risques. Edgio a établi une gouvernance, des processus et des outils qui sont utilisés dans toute l’entreprise Edgio pour gérer les risques de tiers. Le programme exige des fournisseurs qu’ils respectent ou dépassent les exigences de sécurité basées sur les politiques de sécurité des informations d’entreprise d’Edgio et les meilleures pratiques de l’industrie. Ces outils et pratiques peuvent inclure que le fournisseur remplisse un questionnaire, fournisse des preuves de contrôle et des évaluations à distance ou sur site. Le programme découvre les problèmes avec les fournisseurs et s’efforce de les résoudre en temps opportun.

CONTRÔLES D’ACCÈS

Gestion des accès

Contrôles d’accès logiques. Edgio maintient des politiques de contrôle d’accès logiques afin que seul le personnel autorisé ait accès aux applications et systèmes métiers critiques en fonction des exigences du poste et du poste.

ID utilisateur uniques. Edgio attribue à chaque utilisateur autorisé un ID utilisateur unique pour la responsabilité des actions.

Accéder aux revues. Edgio utilise des processus de révision des autorisations et de modification des rôles pour alerter les administrateurs de la nécessité de modifier et/ou de révoquer les droits d’accès lorsqu’un utilisateur autorisé n’a plus besoin d’y accéder.

Journalisation des activités. La politique d’Edgio exige la journalisation et la surveillance de l’accès aux réseaux d’Edgio et aux actifs d’Edgio.

Outils de sécurité. Des outils matériels et logiciels ont été déployés sur tout le réseau Edgio pour fournir des alertes en temps réel à partir de dispositifs tels que les pare-feu, les systèmes de détection d’intrusion, les routeurs et les commutateurs.

Journaux des événements. Les actifs Edgio critiques doivent être configurés pour générer des journaux d’événements. Les journaux d’événements sont conservés conformément aux exigences réglementaires et de conservation des données.

Principe de moindre privilège. Edgio utilisera généralement le principe du moindre privilège pour gérer l’accès de chacun de ses systèmes. L’accès privilégié pour les fonctions de réseau, de système ou d’application de production sera généralement contrôlé et limité à un nombre aussi restreint de personnes que possible sur le plan opérationnel et sera autorisé sur la base du « besoin de savoir » ou « événement par événement ».

Authentification multifacteur pour l’accès distant. La politique d’Edgio exige l’utilisation d’une authentification multi-facteurs pour sécuriser l’accès à distance au réseau d’Edgio et aux actifs Edgio.

Vérification d’identité. La politique de contrôle d’accès d’Edgio exige que les identifiants d’accès des utilisateurs autorisés identifient de manière unique une personne, un système ou un service individuel et soient protégés. L’accès accordé par ces informations d’identification d’utilisateur autorisées doit être examiné périodiquement pour confirmer qu’il est toujours requis.

Dé-approvisionnement. L’accès doit être annulé ou supprimé lorsqu’il n’est plus nécessaire (par exemple, un changement de fonction) ou en cas de résiliation.

SÉCURITÉ PHYSIQUE

Contrôles physiques. Edgio utilise des contrôles pour restreindre l’accès physique aux installations hébergeant les systèmes Edgio au personnel autorisé.

Gestion des accès physiques. Selon le type d’installation, l’accès peut être autorisé par des lecteurs de cartes électroniques, des clés, des agents de sécurité ou le personnel local de l’entreprise.

Surveillance. Des caméras CCTV sont déployées dans des endroits stratégiques pour protéger le personnel, les opérations et les biens.

Gestion des visiteurs. La politique d’Edgio exige que les visiteurs aient et affichent en tout temps des badges de visiteur émis par Edgio. Edgio exige que les visiteurs se connectent sur le journal des visiteurs avant de recevoir un badge visiteur. Le personnel d’Edgio est tenu de porter un badge d’identification délivré par l’entreprise en tout temps lorsqu’il se trouve dans les locaux d’Edgio.

Sécurité du centre de données. Edgio exige des contrôles de sécurité physique pour chaque salle informatique, centre de données et installations similaires.

FORMATION SUR LA SÉCURITÉ DES INFORMATIONS DES EMPLOYÉS ET DES SOUS-TRAITANTS

Formation annuelle de sensibilisation à la sécurité de l’information. Edgio exige des employés et sous-traitants d’Edgio qu’ils suivent annuellement une formation sur la sécurité de l’information et la cybersécurité afin de les informer de leur rôle dans la sécurité de l’information.

TEST DE PÉNÉTRATION

Utilisation interne des tests de pénétration par Edgio. Edgio réalise des tests de pénétration sur les environnements internes et externes d’Edgio, en fonction du risque.

Restrictions sur les tests de pénétration. En raison des problèmes de sécurité posés à Edgio et à ses clients, Edgio ne permet pas aux clients de tester l’état de sécurité des périphériques réseau qu’Edgio possède, exploite ou qui sont situés dans un centre de données Edgio. De plus, Edgio ne permet pas le déni de service, l’inondation ou toute activité de test similaire impliquant une consommation importante de bande passante réseau.

PARE-FEU ET SEGMENTATION DU RÉSEAU

Pare-feu et outils de sécurité. Edgio utilise des outils matériels et logiciels (tels que des pare-feu) dans tout le réseau Edgio pour fournir des alertes en temps réel à partir de dispositifs tels que des systèmes de détection d’intrusion, des routeurs et des commutateurs.

Architecture réseau et système. Edgio utilise des pratiques d’architecture de systèmes, de logiciels et de réseaux pour atténuer les cyberrisques.

BACK-ups (ne s’applique pas au contenu client)

Politiques de sauvegarde. Edgio maintient officiellement des politiques et des procédures de sauvegarde des données, le cas échéant. Les sauvegardes de données sont régies et prises en compte lors de l’exécution des activités de mappage, de conservation ou de suppression des données.

Sauvegardes et tests de fichiers critiques. Les administrateurs sont tenus d’effectuer des sauvegardes régulières des fichiers critiques et de prendre les précautions appropriées pour protéger les informations contre la compromission, la perte ou l’endommagement. En outre, les administrateurs sont tenus d’effectuer des tests périodiques des procédures de restauration de sauvegarde/reprise après sinistre.

CONSERVATION ET DESTRUCTION DES DONNÉES (ne s’applique pas au contenu client)

Politique de conservation des données. Edgio Policy exige la gestion et la protection des données de manière systématique et structurée tout au long du cycle de vie des données ; de la création, la transmission, le stockage, la modification, conservation et destruction.

Spécifique au système. Edgio gère la conservation des données à l’aide de résumés de conservation des données spécifiques au système. Un résumé de la conservation des données indique les types de données que contient le système, le but de la collecte et de l’utilisation de chaque type de données, le ou les événements déclencheurs de la destruction et la période pendant laquelle les données doivent être conservées. Ces résumés de conservation des données sont requis pour se conformer au calendrier de conservation des données d’Edgio à l’échelle de l’entreprise et à toutes les lois, réglementations et exigences des clients applicables.

Destruction des données. Les pratiques de destruction de données d’Edgio sont conformes au NIST 800-88, et englobent les données contenues sur des supports magnétiques, à semi-conducteurs, optiques et des documents papier confidentiels.

RÉPONSE EN CAS D’INCIDENT/VIOLATION DE DONNÉES

Programme

Plan d’intervention en cas d’incident. Edgio maintient un plan de réponse aux incidents écrit et exploitable pour permettre à Edgio de réagir rapidement aux violations de données.

Test du plan d’intervention. Le plan de réponse aux incidents d’Edgio est testé au moyen d’exercices sur table pour coordonner et vérifier les procédures documentées.

Intervention et atténuation des incidents

Examens des événements de sécurité. Les données d’événements de sécurité sont examinées et analysées de manière planifiée. Les événements de sécurité doivent être rapidement escaladés lorsque des seuils d’événements prédéterminés sont dépassés et traités conformément à un processus de gestion des incidents défini.

RESSOURCES HUMAINES

Systèmes RH ; déprovisionnement. Les protocoles et procédures de sécurité des informations d’Edgio doivent être intégrés dans tous les systèmes et processus des ressources humaines d’Edgio. Le département des ressources humaines (« RH ») et le département INFORMATIQUE D’Edgio ont mis en place des routines automatisées et vérifiables pour la création de compte, les autorisations de rôle et le désapprovisionnement d’accès couvrant une demande de nouvel employé, un changement de rôle ou le licenciement d’un employé.

Vérifications des antécédents. Sous réserve de la loi en vigueur, les RH effectuent une enquête préalable complète sur les antécédents des employés d’Edgio au moment de leur embauche, qui comprend des vérifications du casier judiciaire, du numéro de sécurité sociale, de l’autorisation de travail et de la liste des parties interdites (par exemple, le Bureau du contrôle des avoirs étrangers).

Code de conduite Edgio. Le Code de conduite d’Edgio exige que les employés d’Edgio se conforment aux politiques et procédures d’Edgio en matière de sécurité des informations.

PROGRAMME DE GESTION DES VULNÉRABILITÉS

Atténuation des risques de vulnérabilité. Le programme de gestion des vulnérabilités d’Edgio est conçu pour mettre en œuvre et maintenir des pratiques et des procédures visant à atténuer le risque de vulnérabilités dans l’environnement commercial d’Edgio.

Processus de gestion des correctifs. Afin de maintenir un haut niveau de fonctionnalité et de sécurité de ses réseaux et systèmes hébergés, Edgio a établi un processus de gestion des correctifs pour le matériel de production et les logiciels installés sur le réseau Edgio. Les correctifs de sécurité des fournisseurs sont initialement évalués afin de déterminer les risques et la priorité de déploiement. Une fois qu’un correctif a réussi les procédures de test appropriées, il est ensuite publié pour être programmé pour être déployé en production.

Changements importants du système. Edgio planifie, surveille, contrôle et suit les modifications importantes des actifs Edgio.

Analyses de vulnérabilité. Edgio effectue périodiquement des analyses de vulnérabilité internes et externes. Les propriétaires de systèmes peuvent planifier des analyses des vulnérabilités en temps réel si nécessaire pour s’adapter à l’évolution des vecteurs de menace.

Restrictions sur la numérisation client. En raison du risque de perturber les systèmes Edgio et de créer des risques de sécurité pour Edgio et ses clients, Edgio ne permet pas aux clients (ou à leurs tiers) de tester ou de scanner les actifs Edgio.

Restrictions sur le partage de rapports. Edgio ne fournit pas de rapports de vulnérabilité et ne répond pas à des questions spécifiques sur la vulnérabilité et les expositions courantes (« CVE ») concernant l’utilisation et/ou la non-utilisation de matériel, de logiciels ou de produits tiers spécifiques déployés au sein de l’infrastructure Edgio.

CONTINUITÉ DES ACTIVITÉS ET GESTION DES ÉVÉNEMENTS (« BCEM »)

Protocoles de continuité d’activité. Edgio maintient des protocoles de continuité d’activité et de reprise après sinistre conçus pour améliorer la capacité d’Edgio à répondre à des événements importants qui pourraient perturber les réseaux et les installations d’Edgio ou nuire à sa capacité à fournir des services.

Évaluation des risques de catastrophe. Les pratiques d’Edgio en matière de continuité des activités et de reprise après sinistre identifient les risques potentiels de reprise pour les actifs d’Edgio et mettent en œuvre des mesures conçues pour aider à minimiser et à atténuer ces risques en utilisant des pratiques acceptées par l’industrie.

Ressources d’équipe dédiées. Edgio développe et met en œuvre des stratégies conçues pour minimiser les risques de rétablissement et valider les capacités d’intervention d’Edgio grâce à une planification standardisée rigoureuse et à des tests périodiques.

TABLEAU 2 : CLAUSES CONTRACTUELLES TYPES À UTILISER DANS LES TRANSFERTS À PARTIR DE L’UE

(Contrôleurs vers processeurs)

DÉCISION D’EXÉCUTION (UE) 2021/914 DE LA COMMISSION du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil (transferts du responsable du traitement vers le sous-traitant).

Entre le client ci-après « exportateur de données » et Edgio, Inc. Ci-après « importateur de données », chacun une « partie » ; ensemble, « les parties »,

En CONSIDÉRATION des engagements mutuels et des promesses contenues dans le présent document

SONT CONVENUS des clauses contractuelles suivantes (les «clauses ») afin de fournir des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes physiques pour le transfert par l’exportateur de données à l’importateur de données des données à caractère personnel spécifiées à l’annexe 1.

SECTION I.

Article 1

Objet et portée

(A) les présentes clauses contractuelles types ont pour objet d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) pour le transfert de données vers un pays tiers.

b) les Parties:

i) la ou les personnes physiques ou morales, l’autorité ou les autorités publiques, l’organisme ou les autres organismes (ci-après dénommés «entité») qui transfèrent les données à caractère personnel, énumérées à l’annexe I.A (ci-après dénommées «chaque exportateur de données»), et

ii) l’entité ou les entités d’un pays tiers recevant les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, énumérées à l’annexe I.A (ci-après dénommées «importateur de données»);

Ont accepté les présentes clauses contractuelles types (ci-après les «clauses»).

c) les présentes clauses s’appliquent en ce qui concerne le transfert de données à caractère personnel tel que spécifié à l’annexe I.B.

d) l’appendice aux présentes clauses contenant les annexes qui y sont visées fait partie intégrante des présentes clauses.

Article 2

Effet et invariabilité des clauses

(A) les présentes clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.

b) les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3

Tiers bénéficiaires

(A) les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que bénéficiaires tiers, contre l’exportateur de données et/ou l’importateur de données, avec les exceptions suivantes :

i) Article 1, Article 2, Article 3, Article 6, Article 7;

(ii) Article 8 – module deux : alinéas 8,1b), 8,9a), c), d) et e);

(iii) Clause 9 – module deux : Clause 9a), c), d) et e);

(iv) Clause 12 – modules deux : Clause 12a), d) et f);

v) Article 13;

(vi) les alinéas 15.1c), d) et e);

(vii) alinéa 16e);

(viii) Article 18 – module deux : alinéas 18a) et b).

b) paragraphe A) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Article 4

Interprétation

A) lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont le même sens que dans ledit règlement.

b) les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

c) les présentes clauses ne doivent pas être interprétées d’une manière qui soit contraire aux droits et obligations prévus par le règlement (UE) 2016/679.

Article 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Article 6

Description du ou des transferts

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l’annexe I.B.

Article 7

Clause d’amarrage

VOLONTAIREMENT VIDE.

SECTION II – OBLIGATIONS DES PARTIES

Article 8

Garanties de protection des données

L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations au titre des présentes clauses.

8,1 instructions

A) l’importateur de données traite les données à caractère personnel uniquement sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

b) l’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.

8,2 limitation de l’objectif

L’importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert, telles qu’énoncées à l’annexe I, partie B, sauf instruction complémentaire de l’exportateur de données.

8,3 transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l’appendice tel qu’il a été rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut caviarder une partie du texte de l’appendice des présentes clauses avant d’en communiquer une copie, mais fournit un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d’en comprendre le contenu ou d’exercer ses droits. Sur demande, les parties communiquent à la personne concernée les raisons des caviardages, dans la mesure du possible, sans révéler les informations caviardées. La présente clause est sans préjudice des obligations incombant à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8,4 précision

Si l’importateur de données constate que les données à caractère personnel qu’il a reçues sont inexactes ou sont devenues obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8,5 durée du traitement et de l’effacement ou du retour des données

Le traitement par l’importateur de données n’a lieu que pendant la durée spécifiée à l’annexe I. B. après la fin de la prestation des services de traitement, l’importateur de données, au choix de l’exportateur de données, supprimer toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifier à l’exportateur de données qu’il l’a fait, ou renvoyer à l’exportateur de données toutes les données à caractère personnel traitées pour son compte et supprimer les copies existantes. Jusqu’à ce que les données soient supprimées ou renvoyées, l’importateur de données continue de veiller au respect des présentes clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne les traitera que dans la mesure et pendant la durée requises par la législation locale. Ceci est sans préjudice de la clause 14, en particulier, l’obligation pour l’importateur de données, en vertu de la clause 14 e), d’informer l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu assujetti à des lois ou pratiques non conformes aux exigences de la clause 14 a).

8,6 sécurité du traitement

A) l’importateur de données et, pendant la transmission, l’exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre une atteinte à la sécurité entraînant une destruction accidentelle ou illicite, une perte, une altération, une divulgation ou un accès non autorisé à ces données (ci-après «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris lors de la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’annexe II L’importateur de données effectue des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir un niveau de sécurité approprié.

b) l’importateur de données n’accorde l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Elle veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

c) en cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données en vertu des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données sans retard injustifié après avoir pris connaissance de la violation. Cette notification contient les coordonnées d’un point de contact où des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures visant à en atténuer les effets préjudiciables éventuels. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et des informations complémentaires, à mesure qu’elles deviennent disponibles, sont fournies ultérieurement sans retard injustifié.

d) l’importateur de données coopère avec l’exportateur de données et l’assiste afin de lui permettre de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, en particulier de notifier l’autorité de contrôle compétente et les personnes concernées; en tenant compte de la nature du traitement et des informations dont dispose l’importateur de données.

8,7 données sensibles

Lorsque le transfert concerne des données à caractère personnel révélant l’origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins de l’identification unique d’une personne physique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées «données sensibles»), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’annexe I. B.

8,8 transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après dénommé «transfert ultérieur») que si le tiers est ou accepte d’être lié par les présentes clauses, en vertu du module approprié, ou si :

i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation conformément à l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;

ii) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;

iii) le transfert ultérieur est nécessaire à l’établissement, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est subordonné au respect par l’importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

8,9 Documentation et conformité

A) l’importateur de données traite rapidement et de manière adéquate les demandes de renseignements de l’exportateur de données qui se rapportent au traitement prévu par les présentes clauses.

b) les Parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.

c) l’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l’exportateur de données, autorise les audits des activités de traitement couvertes par les présentes clauses et y contribue; à intervalles raisonnables ou s’il y a des indications de non-conformité. Pour décider d’un réexamen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.

d) L ‘ exportateur de données peut choisir de procéder lui-même à la vérification ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués moyennant un préavis raisonnable.

e) les Parties fournissent les informations visées aux paragraphes b) et c) y compris les résultats de tout audit, mis à la disposition de l’autorité de contrôle compétente sur demande.

Article 9

Utilisation de sous-processeurs

A) l’importateur de données dispose de l’autorisation générale de l’exportateur de données pour engager un ou plusieurs sous-traitants figurant sur une liste convenue. L’importateur de données informe spécifiquement l’exportateur de données par écrit de toute modification envisagée de cette liste par l’ajout ou le remplacement de sous-traitants au moins trente (30) jours à l’avance, ce qui donne à l’exportateur de données suffisamment de temps pour pouvoir s’opposer à de telles modifications avant l’engagement du ou des sous-traitants. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour lui permettre d’exercer son droit d’opposition.

b) lorsque l’importateur de données engage un sous-traitant pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses; y compris en termes de droits de tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu’en se conformant à la présente clause, l’importateur de données remplit ses obligations en vertu de la clause 8,8. L’importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles il est soumis en vertu des présentes clauses.

c) l’importateur de données fournit, à la demande de l’exportateur de données, une copie de cet accord de sous-traitant et de toute modification ultérieure à l’exportateur de données. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les données personnelles, l’importateur de données peut expurger le texte de l’accord avant de partager une copie.

d) l’importateur de données demeure pleinement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant en vertu de son contrat avec l’importateur de données. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant à ses obligations au titre dudit contrat.

e) l’importateur de données convient avec le sous-traitant d’une clause de tiers bénéficiaire selon laquelle – dans le cas où l’importateur de données a disparu de fait, a cessé d’exister en droit ou est devenu insolvable – l’exportateur de données a le droit de résilier le contrat de sous-traitant et de demander au sous-traitant d’effacer ou de renvoyer les données à caractère personnel.

Article 10

Droits des personnes concernées

a) L’importateur de données informe rapidement l’exportateur de données de toute demande qu’il a reçue d’une personne concernée. Elle ne répond pas elle-même à cette demande, sauf si elle a été autorisée à le faire par l’exportateur de données.

b) l’importateur de données aide l’exportateur de données à s’acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l’exercice de leurs droits au titre du règlement (UE) 2016/679. À cet égard, les parties définissent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l’assistance est fournie, ainsi que l’étendue et l’étendue de l’assistance requise.

c) en s ‘ acquittant de ses obligations au titre des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Article 11

Réparation

(A) l’importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, au moyen d’un avis individuel ou sur son site Internet, d’un point de contact autorisé à traiter les réclamations. Elle traite rapidement toute réclamation qu’elle reçoit d’une personne concernée.

b) en cas de différend entre une personne concernée et l’une des Parties concernant le respect des présentes clauses, cette partie fait de son mieux pour résoudre la question à l’amiable et en temps utile. Les parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.

c) lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée de:

i) introduire une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l’autorité de contrôle compétente conformément à la clause 13;

(ii) renvoyer le litige aux tribunaux compétents au sens de la clause 18.

d) les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) l’importateur de données se conforme à une décision contraignante en vertu du droit applicable de l’Union européenne ou de l’État membre.

(f) l’importateur de données accepte que le choix fait par la personne concernée ne porte pas atteinte à ses droits matériels et procéduraux d’exercer des recours conformément aux lois applicables.

Article 12

Responsabilité

(A) chaque partie est responsable envers l’autre partie des dommages qu’elle cause à l’autre partie du fait d’une violation des présentes clauses.

b) l’importateur de données est responsable envers la personne concernée, et la personne concernée a droit à une indemnisation, pour tout dommage matériel ou immatériel que l’importateur de données ou son sous-traitant cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses.

c) Nonobstant le paragraphe b), l’exportateur de données est responsable envers la personne concernée, et la personne concernée a droit à une indemnisation pour tout dommage matériel ou moral que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses. Cela est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

d) les Parties conviennent que si l’exportateur de données est tenu responsable en vertu du paragraphe c) pour les dommages causés par l’importateur de données (ou son sous-traitant), il est en droit de réclamer à l’importateur de données la partie de l’indemnisation correspondant à la responsabilité de l’importateur de données pour le dommage.

(e) lorsque plus d’une partie est responsable de tout dommage causé à la personne concernée à la suite d’une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une de ces parties.

f) les Parties conviennent que si une partie est tenue responsable en vertu du paragraphe e), elle est en droit de réclamer à l ‘ autre partie ou aux autres la partie de l ‘ indemnisation correspondant à sa responsabilité pour le dommage.

g) l’importateur de données ne peut invoquer le comportement d’un sous-traitant pour échapper à sa propre responsabilité.

Article 13

Supervision

L’autorité de contrôle chargée de veiller au respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’annexe I, partie C, agit en qualité d’autorité de contrôle compétente.

b) l’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans toute procédure visant à assurer le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l’autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES

Article 14

Lois et pratiques locales affectant le respect des clauses

(A) les parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l’accès des autorités publiques, empêcher l’importateur de données de remplir ses obligations en vertu des présentes clauses. Cela est fondé sur le principe que les lois et pratiques qui respectent l’essence des libertés et droits fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec ces clauses.

b) les Parties déclarent cela en fournissant la garantie visée au paragraphe a), ils ont dûment tenu compte, en particulier, des éléments suivants:

i) les circonstances particulières du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées;

ii) les lois et pratiques du pays tiers de destination – y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès de ces autorités – pertinentes au regard des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables;

iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et le traitement des données à caractère personnel dans le pays de destination.

c) l’importateur de données le garantit, lorsqu’il effectue l’évaluation visée au paragraphe 1 b) elle a fait de son mieux pour fournir à l’exportateur de données les informations pertinentes et convient de continuer à coopérer avec l’exportateur de données pour assurer le respect des présentes clauses.

d) les parties conviennent de documenter l’évaluation visée au point b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.

e) l’importateur de données accepte d’informer rapidement l’exportateur de données si, après avoir accepté les présentes clauses et pour la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe a), y compris à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application de cette législation dans la pratique qui n’est pas conforme aux exigences du paragraphe a).

f) à la suite d’une notification en vertu du paragraphe e), ou si l’exportateur de données a des raisons de croire que l’importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l’exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l’exportateur et/ou l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les Parties n’en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, les clauses 16(d) et (e) s’appliquent.

Article 15

Obligations de l’importateur de données en cas d’accès par les autorités publiques

15,1 notification

A) l’importateur de données accepte d’informer rapidement l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) s’il:

(i) reçoit une demande juridiquement contraignante d’une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation des données à caractère personnel transférées en vertu des présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou

ii) prend connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément à la législation du pays de destination ; cette notification doit inclure toutes les informations dont dispose l’importateur.

b) si la législation du pays de destination interdit à l ‘ importateur de données d ‘ informer l ‘ exportateur de données et/ou la personne concernée, l ‘ importateur de données s ‘ engage à faire de son mieux pour obtenir une dérogation à l ‘ interdiction, en vue de communiquer autant d ‘ informations que possible; dès que possible. L’importateur de données accepte de documenter ses meilleurs efforts afin d’être en mesure de les démontrer à la demande de l’exportateur de données.

c) lorsque la législation du pays de destination le permet, l’importateur de données s’engage à fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier le nombre de demandes, le type de données demandées, autorité(s) requérante(s), si les demandes ont été contestées et le résultat de ces contestations, etc.).

d) l’importateur de données accepte de conserver les informations visées aux points a) à c) pendant toute la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente sur demande.

e) les alinéas a) à c) sont sans préjudice de l’obligation de l’importateur de données, en vertu de la clause 14 e) et de la clause 16, d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes clauses.

15,2 contrôle de la légalité et minimisation des données

A) l’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier si elle reste dans le cadre des pouvoirs conférés à l’autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, elle conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables au regard du droit international et des principes de courtoisie internationale. L’importateur de données poursuit, dans les mêmes conditions, les possibilités de recours. Lorsqu’il conteste une demande, l’importateur de données sollicite des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se soit prononcée sur le bien-fondé de celle-ci. Elle ne divulgue pas les données à caractère personnel demandées tant que les règles de procédure applicables ne l’y obligent pas. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14(e).

b) l’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par la législation du pays de destination, de mettre la documentation à la disposition de l’exportateur de données. Elle le met également à la disposition de l’autorité de contrôle compétente sur demande.

c) l’importateur de données accepte de fournir la quantité minimale de renseignements permise lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV – DISPOSITIONS FINALES

Article 16

Non-respect des clauses et résiliation

A) l’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit.

b) dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de se conformer aux présentes clauses, l’exportateur de données suspend le transfert des données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14(f).

c) l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque:

i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe b) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

(ii) l’importateur de données est en violation substantielle ou persistante des présentes clauses ; ou

iii) l’importateur de données ne respecte pas une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant ses obligations au titre des présentes clauses.

Dans ces cas, elle informe l’autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les Parties n’en aient convenu autrement.

(d) les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l’exportateur de données, immédiatement renvoyées à l’exportateur de données ou effacées dans leur intégralité. Il en va de même pour toute copie des données. L’importateur de données certifie la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou renvoyées, l’importateur de données continue de veiller au respect des présentes clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et pendant la durée requises par la législation locale.

e) l’une ou l’autre des Parties peut révoquer son accord d’être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auxquelles les présentes clauses s’appliquent ; ou (ii) le règlement (UE) 2016/679 fait partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cela est sans préjudice des autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679.

Article 17

Droit applicable

Les présentes clauses sont régies par le droit de l’un des États membres de l’UE, à condition que ce droit permette des droits de tiers bénéficiaires. Les parties conviennent que ceci constitue le droit irlandais.

Article 18

Choix du for et de la juridiction

(A) tout litige découlant des présentes clauses est tranché par les tribunaux d’un État membre de l’UE.

(b) les Parties conviennent que ce sont les tribunaux de l’Irlande.

c) Une personne concernée peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

d) les Parties conviennent de se soumettre à la compétence de ces tribunaux.

Article 19

Transfert soumis à la loi suisse sur la protection des données

(A) dans la mesure où les lois et règlements de la Suisse sur la protection des données et la vie privée («Loi suisse sur la protection des données») s’appliquent à un transfert de données personnelles, l’exportateur de données et l’importateur de données acceptent que ces clauses soient modifiées de sorte que, en ce qui concerne (uniquement) ce transfert (et sans limiter ou affecter l’application de ces clauses autrement):

i. Dans les présentes clauses, les références générales et spécifiques au règlement (UE) 2016/679 ou « ce règlement » ou au droit de l’UE ou d’un État membre ont le même sens que la référence équivalente dans les lois suisses sur la protection des données ;

ii Le terme « État membre » ne sera pas interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18, point c), des présentes clauses;

iii Les détails des transferts sont ceux spécifiés à l’annexe I, lorsque la législation suisse sur la protection des données s’applique au traitement effectué par l’exportateur de données lors de ce transfert;

iv. Les présentes clauses s’appliquent également au transfert d’informations relatives à une entité juridique identifiée ou identifiable lorsque ces informations sont protégées de la même manière que les « données personnelles » en vertu des lois suisses sur la protection des données jusqu’à ce que ces lois soient modifiées pour ne plus s’appliquer à une entité juridique ; et

V. le Commissaire fédéral suisse à la protection des données et à l’information est l’autorité de contrôle compétente aux fins de l’article 13 des présentes clauses.


ANNEXE I DE LA PIÈCE 2

A. LISTE DES PARTIES

EXPORTATEUR(S) de DONNÉES : [identité et coordonnées du ou des exportateurs de données et, le cas échéant, de son délégué à la protection des données et/ou de son représentant dans l’Union européenne]

Voir la pièce 1, partie A.

B. DESCRIPTION DU TRANSFERT

Voir la pièce 1, partie B.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Voir la pièce 1, partie B.

ANNEXE II DE LA PIÈCE 2

Voir la pièce 1, partie C.

ANNEXE III DE LA PIÈCE 2

LISTE DES SOUS-PROCESSEURS

Sans objet.


PIÈCE 3

ADDENDUM BRITANNIQUE AUX CLAUSES CONTRACTUELLES TYPES DE L’UE

Date du présent addendum :

1. Le présent Addendum prend effet à la même date que les clauses.

Contexte :

2. Le Commissaire à l’information considère que le présent Addendum fournit des garanties appropriées aux fins des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale sur la base des articles 46 du RGPD du Royaume-Uni et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants.

Interprétation du présent Addendum

3. Lorsque le présent addendum utilise des termes définis dans l ‘ annexe, ces termes ont le même sens que dans l ‘ annexe 2.22. En outre, les termes suivants ont les significations suivantes :

Cet addendum

Le présent Addendum aux clauses

L’annexe

Les clauses contractuelles types figurant à l’annexe de la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021

Lois britanniques sur la protection des données

Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la Loi sur la protection des données de 2018.

UK GDPR

Le règlement général sur la protection des données du Royaume-Uni, qui fait partie de la législation de l’Angleterre et du pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne.

ROYAUME-UNI

Royaume-Uni de Grande-Bretagne et d ‘ Irlande du Nord

4. Le présent Addendum doit être lu et interprété à la lumière des dispositions des lois britanniques sur la protection des données, et de sorte que IF remplit l’intention de fournir les garanties appropriées comme requis par l’article 46 du RGPD.

5. Le présent Addendum ne doit pas être interprété d’une manière qui soit en conflit avec les droits et obligations prévus par les lois britanniques sur la protection des données.

6. Toute référence à une législation (ou à des dispositions spécifiques d ‘ une législation) signifie que cette législation (ou disposition spécifique) peut évoluer au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réédictée et/ou remplacée après l’entrée en vigueur du présent Addendum.

Hiérarchie

7. En cas de conflit ou d’incompatibilité entre le présent Addendum et les dispositions des clauses ou autres accords connexes entre les Parties, en vigueur au moment où le présent Addendum est conclu ou conclu ultérieurement, les dispositions qui assurent le plus de protection aux personnes concernées prévaudront.

Incorporation des clauses

8. Le présent additif reprend les clauses qui sont réputées modifiées dans la mesure nécessaire pour qu ‘ elles s ‘ appliquent:

a. Pour les transferts effectués par l’exportateur de données à l’importateur de données, dans la mesure où les lois britanniques sur la protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert ; et

b. Fournir des garanties appropriées pour les transferts conformément aux articles 46 des lois RGPD du Royaume-Uni.

9. Les modifications requises par la section 7 ci-dessus comprennent (sans limitation):

a. Les références aux « clauses » désignent le présent Addendum, car il incorpore les clauses

b. Clause 6 la description du ou des transferts est remplacée par:

« Les détails du ou des transferts et en particulier les catégories de données à caractère personnel qui sont transférés et la ou les finalités pour lesquelles ils sont transférés) sont ceux spécifiés à l’annexe I.B où les lois britanniques sur la protection des données s’appliquent au traitement par l’exportateur de données lors de ce transfert. »

d. Les références au « Règlement (UE ) 2016/679 » ou au « Règlement » sont remplacées par les « lois britanniques sur la protection des données » et les références à un ou plusieurs articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l’article ou la section équivalent des lois britanniques sur la protection des données.

e. Les références au règlement (UE) 2018/1725 sont supprimées.

f. Les références aux termes “Union”, “UE” et “État membre de l’UE” sont toutes remplacées par le terme “Royaume-Uni”.

g. L’alinéa 13a) et la partie C de l’annexe II ne sont pas utilisés ; l’« autorité de surveillance compétente » est le commissaire à l’information;

h. La clause 17 est remplacée par la mention « ces clauses sont régies par les lois de l’Angleterre et du pays de Galles ».

i. La clause 18 est remplacée comme suit:

j. « Tout litige découlant des présentes clauses sera résolu par les tribunaux d’Angleterre et du pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de tout pays au Royaume-Uni. Les Parties conviennent de se soumettre à la compétence de ces tribunaux. « 

k. Les notes de bas de page des clauses ne font pas partie de l’addendum.

Amendements au présent additif

10. Les Parties peuvent convenir de modifier la clause 17 et/ou 18 pour se référer aux lois et/ou aux tribunaux de l ‘ Écosse ou de l ‘ Irlande du Nord.

11. Les Parties peuvent modifier le présent Addendum à condition qu’il maintienne les garanties appropriées requises par l’Art 46 UK GDPR pour le transfert concerné en incorporant les clauses et en y apportant des modifications conformément à la Section 7 ci-dessus.

Exécution de cet addendum

12. Les Parties peuvent conclure l’Addendum (incorporant les clauses) de toute manière qui les rend juridiquement contraignants pour les Parties et permet aux personnes concernées de faire valoir leurs droits tels qu’énoncés dans les clauses. Cela inclut (mais sans s’y limiter) :

a. En ajoutant le présent addendum aux clauses et en incluant dans ce qui suit ci-dessus les signatures de l’annexe 1a:

« En signant, nous acceptons d’être liés par l’Addendum britannique aux clauses contractuelles types de la Commission européenne datées du : » et ajouter la date (lorsque tous les transferts sont effectués dans le cadre de l’Addendum)

« En signant, nous acceptons également d’être liés par l’Addendum britannique aux clauses contractuelles types de la Commission européenne daté du » et d’ajouter la date (en cas de transferts à la fois en vertu des clauses et en vertu de l’Addendum) (ou des mots ayant le même effet) et l’exécution des clauses ; ou

b. En modifiant les clauses conformément au présent Addendum et en exécutant ces clauses modifiées.


ANNEXE I DE LA PIÈCE 3

A. LISTE DES PARTIES

EXPORTATEUR(S) de DONNÉES : [identité et coordonnées du ou des exportateurs de données et, le cas échéant, de son délégué à la protection des données et/ou de son représentant dans l’Union européenne]

Voir la pièce 1, partie A.

B. DESCRIPTION DU TRANSFERT

Voir la pièce 1, partie B.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Voir la pièce 1, partie B.


ANNEXE II DE LA PIÈCE 3

Voir la pièce 1, partie C.


ANNEXE III DE LA PIÈCE 3

LISTE DES SOUS-PROCESSEURS

Sans objet.

Documents connexes

Rapport ESG 2022