Règlement général sur la protection des données et avenant sur le transfert de données

Choose your language

Cette version traduite est proposée uniquement à titre indicatif, et en cas d’écart de sens ou d’interprétation entre la présente version traduite et la version anglaise, c’est la version anglaise qui prévaudra.

Règlement général sur la protection des données et avenant sur le transfert de données

Le présent Avenant sur le transfert de données (« Avenant ») fait partie intégrante des Conditions Générales, qu’il modifie, entre Guidepoint Global, LLC, et le Conseil, (ci-après « Accord » ou « L’Accord »). Cet Avenant est conclu par et entre Guidepoint Global, LLC, ayant son siège au 730 Third Avenue, New York, NY 10017 (« Sous-traitant » et/ou « Importateur de données »), d’une part, et le Conseiller (« Responsable du traitement » et/ou « Exportateur de données »), d’autre part, ce dernier ayant été considéré comme Partie à l’Avenant en ayant été informé de son contenu et en choisissant de ne pas s’opposer dans un délai raisonnable. Cet Avenant est rédigé et conclu à la date de l’Accord ou le 25 mai 2018, selon la date la plus tardive (« Entrée en vigueur »). Le Responsable du traitement et le Sous-traitant sont parfois dénommés ci-après individuellement « Partie » et collectivement « Parties ».

 

Aux fins du présent Avenant, et sauf indication contraire, les termes ci-dessus commençant avec une majuscule ont le même sens que les définitions utilisées dans le Règlement général sur la protection des données de l’Union européenne (« RGPD »), ou dans les Clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans les pays tiers, qui figurent dans l’annexe à la « Décision 2010/87/CE de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers » (« Clauses contractuelles types » ou « Clauses », voir ci-joint en annexe 1).

 

Le présent Avenant s’applique aux données à caractère personnel collectées ou fournies par des personnes concernées en Union européenne. Cet Avenant s’applique également, dans la partie pertinente, aux données à caractère personnel qui sont traitées au sein de l’UE.

 

CONSIDÉRANT CE QUI SUIT

 

(1)Au vu de la prestation de services par le Sous-traitant en vertu de l’Accord, le Sous-traitant peut avoir la responsabilité de garder, de stocker, de traiter ou d’accéder à certains fichiers de données pouvant contenir des données à caractère personnel telles que définies par le RGPD tel que décrit en détail en annexe 1 aux présentes ; et

(2) Les Parties souhaitant s’assurer que des garanties adéquates sont en place en ce qui concerne la protection de la vie privée des Personnes Concernées en vertu du RGDP et souhaitent donc modifier l’accord conformément aux modalités et conditions énoncées dans les présentes; Et

(3)Les lois européennes sur la protection des données exigent que les exportateurs de données dans les pays de l’UE/EEE fournissent une protection adéquate pour les transferts de données à caractère personnel aux pays non membres de l’UE/EEE, et cette protection peut être fournie en exigeant que les importateurs de donnéesadhèrent aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la Directive 2004/915/CE du 27 décembre 2004 (telle que modifiée ou remplacée de temps à autre).

En conséquence, au vu, et en tenant compte, des promesses et des engagements réciproques contenus dans les présentes ainsi que d’autres bonnes et valables contreparties, dont la réception et le caractère suffisant sont reconnus par les présentes, les Parties aux présentes conviennent de ce qui suit:

 

MODIFICATIONS APPORTÉES À L’ACCORD

1. MODIFICATIONS APPORTÉES À L’ACCORD
1.1 Modification. Les Parties conviennent par la présente que l’Accord sera modifié par l’ajout du présent Avenant à l’Accord.

 

1.2 Effet de l’Avenant. Toutes les dispositions du Contrat de Services qui ne sont pas spécifiquement modifiées par le présent Avenant demeurent en vigueur et pleinement applicables. En cas de conflit inconciliable entre les dispositions du présent Avenant et les dispositions du Contrat de Services, les dispositions du présent Avenant prévaudront. Si une disposition de cet Avenant est ou devient invalide, la validité des autres dispositions du présent Avenant n’en sera pas affectée, et chaque terme et disposition des présentes seront valables et appliqués dans toute la mesure permise par la loi.  

 

1.3 Autres modifications. Les dispositions de l’Accord, y compris les dispositions de la présente clause, ne peuvent être amendées, modifiées ou complétées, et les renonciations ou consentements aux dérogations aux dispositions de l’Accord ne peuvent être donnés, sans le consentement écrit préalable de chaque Représentant autorisé de chacune des Parties. Aucune dérogation, par l’une quelconque des Parties, à un manquement, une déclaration inexacte ou une violation de la garantie ou de l’engagement en vertu des présentes, intentionnelle ou non, ne sera réputée s’étendre à tout manquement antérieur ou ultérieur, à une fausse déclaration, ou à une violation de la garantie ou de l’engagement en vertu des présentes, ou de quelque manière que ce soit affecter tout droit découlant d’un tel événement antérieur ou ultérieur.

 

2. TRAITEMENT

 

2.1 Instructions du Responsable du Traitement. Le Sous-traitant ne traitera les données à caractère personnel du Responsable du Traitement que pour le compte et au profit du Responsable du Traitement et conformément aux instructions documentées de ce dernier. Les Parties conviennent expressément et stipulent que l’Accord, y compris les accords de niveau de service applicables ou documents équivalents, vaudra instruction écrite du Responsable du Traitement au Sous-traitant. Toutes les instructions de traitement supplémentaires devront être mutuellement convenues par écrit par les Parties. Le Sous-traitant informera immédiatement le Responsable du Traitement si, de l’avis du Sous-traitant, une instruction enfreint la loi applicable.
2.2 Autorisation de transfert au Sous-traitant. Le Responsable du Traitement déclare et certifie que le Responsable du Traitement a l’autorité et le droit, y compris le consentement le cas échéant, de transférer légalement au Sous-traitant toutes les Données à caractère personnel et toute autre donnée ou information relative à l’accès ou à l’utilisation des Services par le Responsable du Traitement.
2.3 Respect de la loi applicable. Le Responsable du Traitement déclare et certifie qu’il se conforme (i) aux lois, règles, réglementations, directives et exigences gouvernementales internationales, fédérales, provinciales et locales applicables actuellement en vigueur et à mesure qu’elles entrent en vigueur, telles qu’ayant un lien quel qu’il soit avec le caractère privé, la confidentialité et/ou la sécurité des données à caractère personnel, y compris, mais sans s’y limiter, le RGPD; (II) les normes sectorielles applicables concernant la vie privée, la protection des données, la confidentialité ou la sécurité de l’information, y compris, sans limitation, la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS », Payment Card Industry Data Security Standard) ; et (III) les dispositions applicables des exigences écrites du Sous-traitant actuellement en vigueur, et à mesure qu’elles entrent en vigueur, telles qu’ayant un lien quel qu’il soit avec le caractère privé, la confidentialité et/ou la sécurité des données à caractère personnel ou aux politiques, déclarations ou avis de confidentialité applicables qui sont fournis au Responsable du Traitement par le Sous-traitant par écrit (collectivement, « Loi Applicable »).
3. SOUS-TRAITANTS ULTÉRIEURS

 

3.1 Engagement de Sous-traitants ultérieurs. Le Responsable du Traitement reconnaît et accepte expressément que (a) le Sous-traitant peut engager toute entité qui est contrôlée par le Sous-traitant, qui contrôle le Sous-traitant ou contrôle conjointement avec ce dernier (« Affiliés ») dans le cadre de la fourniture des Services ; et (b) le Sous-traitant et les sociétés affiliées au Sous-traitant peuvent, respectivement, engager d’autres sous-traitants tiers dans le cadre de la fourniture des Services (collectivement, les « Sous-traitants ultérieurs »).
3.2 Obligations des Sous-traitants ultérieurs. Tout Sous-traitant ultérieur sera autorisé à traiter les données à caractère personnel uniquement dans la mesure nécessaire pour fournir les services pour lesquels le Sous-traitant les a engagés, et il est interdit à ces Sous-traitants ultérieurs de traiter les données à caractère personnel à d’autres fins, quelles qu’elles soient. Ces Sous-traitants ultérieurs fourniront des services conformément à un accord écrit contenant les mêmes obligations en matière de protection des données que celles qui sont énoncées dans les présentes. Le Sous-traitant est responsable vis à vis du Responsable du Traitement pour les actes et omissions de ses Sous-traitants ultérieurs, dans la même mesure où le Responsable du Traitement serait responsable s’il effectuait les Services de chaque Sous-traitant ultérieur directement en vertu du présent Avenant, sauf indication contraire dans l’Accord.
3.3 Liste des Sous-traitants ultérieurs. À la demande du Responsable du Traitement, le Sous-traitant doit mettre à la disposition du Responsable du Traitement une liste à jour de Sous-traitants ultérieurs pour les Services respectifs avec l’identité desdits Sous-traitants ultérieurs (« Liste des Sous-traitants ultérieurs »).
4. CONFIDENTIALITÉ
4.1 Confidentialité. Le Sous-traitant tient pour confidentielles les données à caractère personnel du Responsable du Traitement. Le Sous-traitant veillera à ce que son personnel chargé du traitement des données à caractère personnel du Responsable du Traitement soit informé de la nature confidentielle des données à caractère personnel, qu’il ait reçu une formation appropriée sur ses responsabilités et qu’il soit soumis à des obligations de confidentialité et que ces obligations survivent à la cessation de l’engagement de ces personnes avec le Sous-traitant.
5. SÉCURITÉ

 

5.1 Mesures de sécurité. Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour protéger la sécurité, la confidentialité, l’intégrité et la disponibilité des données à caractère personnel du Responsable du Traitement, comme indiqué plus en détail à l’annexe 2.
5.2 Notification de violation de données. Le Sous-traitant notifie promptement au Responsable du Traitement toute violation de la sécurité entraînant la destruction, la perte, la modification, la divulgation ou l’accès non autorisé à des données à caractère personnel du Responsable du Traitement (« Violation de données ») après avoir pris connaissance d’une telle violation de données. La ou les notification(s) de violation(s) de données, le cas échéant, seront transmises au contact désigné du Responsable du Traitement par des moyens convenus entre les Parties. Il est de la seule responsabilité du Responsable du Traitement de s’assurer qu’il conserve des informations de contact précises aux fins de cette notification.
6. ASSISTANCE AU RESPONSABLE DU TRAITEMENT

 

6.1 Droits des personnes concernées. Dans la mesure du possible, et en tenant compte de la nature du traitement, le Sous-traitant fournira une assistance commercialement raisonnable au Responsable du Traitement pour la satisfaction de l’obligation du Responsable du Traitement de répondre aux demandes d’exercice des droits des personnes concernées, telles qu’elles sont énoncées dans le RGPD, articles 12-23.
6.2 Analyse d’impact relative à la sécurité et à la protection des données. Le Sous-traitant fournira une aide commercialement raisonnable au Responsable du Traitement pour la satisfaction des obligations de ce dernier en vertu de l’article 32 (Sécurité du traitement) du RGPD et de l’article 36 (Consultation préalable), s’il y a lieu et dans la mesure des possibilités, en ce qui concerne la nature du traitement et les informations disponibles pour le Sous-traitant.
6.3 Audits et inspections. Sous réserve des contraintes liées à la sécurité des systèmes ou à l’intégrité des fichiers de données liés aux opérations du Sous-traitant, ce dernier mettra à la disposition du Responsable du Traitement les informations nécessaires pour démontrer le respect des obligations énoncées dans le RGPD, article 28. Le Sous-traitant doit permettre et contribuer aux audits, y compris les inspections, réalisés par le Responsable du Traitement ou un autre auditeur mandaté par le Responsable du Traitement. Le Responsable du Traitement remboursera le Sous-traitant pour le temps consacré à un tel audit sur place, aux tarifs en vigueur des services professionnels du Sous-traitant, dont le Sous-traitant devra faire part au Responsable du Traitement sur demande de ce dernier. Avant le début de tout audit sur place, le Sous-traitant et le Responsable du Traitement devront déterminer d’un commun accord la portée, le calendrier et la durée de l’audit, en sus du remboursement assumé par le Responsable du Traitement. Les Parties travailleront de bonne foi pour planifier l’audit à un moment qui sera mutuellement bénéfique, et afin d’éviter toute perturbation déraisonnable des activités commerciales du Sous-traitant. Tous les taux de remboursement seront raisonnables, et tiendront compte des ressources engagées par le Sous-traitant. Sauf accord écrit contraire entre les Parties, le Responsable du Traitement supportera les coûts associés à l’exécution des audits du Sous-traitant, réalisés en vertu de la présente disposition. Le Responsable du Traitement notifiera rapidement au Sous-traitant les informations relatives à toute non-conformité découverte au cours d’un audit relatif aux Services ou au présent Accord.
7. TRANSFERTS DE DONNÉES

 

7.1 Transfert aux États-Unis. Le Responsable du Traitement reconnaît expressément que certains ou tous les Services peuvent être fournis depuis les États-Unis et/ou hébergés aux États-Unis, une juridiction jugée par l’Union européenne comme ayant une protection juridique inadéquate pour les données à caractère personnel. Le Responsable du Traitement consent expressément au transfert des données à caractère personnel du Responsable du Traitement aux États-Unis aux fins de la fourniture des Services par le Sous-traitant, et la satisfaction de ses obligations en vertu de l’Accord. Ces transferts seront effectués conformément au présent Accord, y compris l’Annexe 1 (Clauses contractuelles types).
8. SUPPRESSION DE DONNÉES A CARACTÈRE PERSONNEL

 

8.1 Suppression ou restitution des données à caractère personnel du Responsable du Traitement. Sauf disposition contraire de la loi, ou à moins que cela ne soit autorisé par les meilleures pratiques applicables du secteur en matière d’atténuation appropriée du risque juridique ou pour enregistrer l’intention du Responsable du Traitement concernant les instructions écrites, le Sous-traitant supprimera ou renverra les données à caractère personnel du Responsable du Traitement dans un délai raisonnable à partir (i) de la fin de la prestation de services liés au traitement, ou (II) d’une demande écrite et légale du Responsable du Traitement.
8.2 Certification. Les Parties conviennent que la certification de la suppression des données à caractère personnel qui est décrite à l’Article 12 (1) de l’Annexe 1 (Clauses contractuelles types) doit être fournie par le Sous-traitant au Responsable du Traitement à la demande de ce dernier et conformément à la loi.
9. INDEMNISATION

 

9.1 Indemnisation. Le Responsable du Traitement accepte d’indemniser et de dégager de toute responsabilité le Sous-traitant et ses Affiliés ainsi que leurs responsables, employés, administrateurs, agents, successeurs et ayants droit présents, futurs et passés (collectivement, les « Indemnisés du Sous-traitant »), et sur option du Sous-traitant défendre contre, toutes Pertes (telles que définies ci-dessous) que pourraient encourir les Indemnisés du Sous-traitant, dans la mesure où ces pertes découleraient ou pourraient être attribuables à: (i) toute violation du présent Avenant ; et (II) toute négligence, négligence grave, mauvaise foi, actes ou omissions frauduleux, ou inconduite intentionnelle ou volontaire du Responsable du Traitement ou de son personnel en rapport avec les obligations énoncées dans le présent Avenant. Aux fins du présent Avenant, on entend par « Pertes » tous arrêts, règlements, indemnités, dommages et intérêts, pertes, charges, dettes, pénalités, créances d’intérêts (y compris les taxes/impôts et tous les intérêts et pénalités y afférents directement), ainsi que tous coûts, dépenses et autres frais connexes raisonnables (y compris les honoraires raisonnables d’avocats et les coûts internes et externes raisonnables des enquêtes, litiges, audiences, procédures, productions de documents et de données, enquête préalable, règlement, jugement, indemnité, intérêts et pénalités).
10. DIVERS

 

10.1 Exemplaires. Le présent Avenant peut être signé en plusieurs exemplaires, chacun d’eux étant réputé un original et l’ensemble constituant un seul et même document.

 

10.2 Durée et résiliation. Tous les avis de résiliation doivent être consignés par écrit et être conformes aux procédures de résiliation énoncées dans l’Accord. Sauf accord contraire écrit par les Parties, le présent Avenant restera en vigueur jusqu’à expiration de l’Accord.  

 

10.3 Survie de certaines dispositions. Les droits et obligations de l’une ou l’autre Partie qui, de par leur nature, continueraient au-delà de la résiliation ou de l’expiration du présent Avenant, y compris, mais sans s’y limiter, les obligations de confidentialité, resteront en vigueur après la résiliation ou l’expiration du présent Avenant.  

 

10.4 Intégralité de l’Accord. Le présent Avenant (qui est compris dans l’Accord et en fait partie intégrante) constitue l’intégralité de l’accord et de l’entente entre les Parties, et remplace toutes les négociations, accords et conventions, oraux et écrits, antérieurs et contemporains, le cas échéant, sur l’objet spécifique du présent Avenant, et cet Avenant ne peut être modifié qu’en vertu d’un accord écrit signé par un représentant autorisé de chacune des Parties.
10.5 Séparabilité. Dans le cas où une disposition du présent Avenant serait invalide, illégale ou inapplicable dans toute juridiction, cette disposition devra, en ce qui concerne cette juridiction, être inefficace dans la mesure de ladite invalidité, illégalité ou inapplicabilité sans en affecter pour autant la validité, la légalité et l’applicabilité des autres dispositions ; et l’invalidité d’une disposition particulière dans une juridiction donnée n’invalide pas cette disposition dans toute autre juridiction.

 

Annexe 1

Clauses contractuelles types (sous-traitants)

Aux fins du RGPD et de l’article 26, paragraphe 2, de la Directive 95/46/CE sur le transfert de données à caractère personnel aux sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données, l’Importateur de données et l’Exportateur de données, tels qu’identifiés dans l’Accord, chacun constituant une « Partie » et ensemble « les Parties »,

ONT CONVENU des Clauses Contractuelles suivantes (les Clauses) afin de produire des garanties suffisantes en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes physiques pour le transfert par l’Exportateur de données à l’Importateur de données de données à caractère personnel spécifiées en annexe 1.

Clause 1

Définitions

Aux fins des Clauses :

(a)Les «données à caractère personnel», les « catégories spéciales de données », le« traitement », le « Responsable du Traitement », le « Sous-traitant », la « personne concernée », et « l’autorité de contrôle » s’entendent au sens de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b)« L’exportateur de données » désigne le Responsable du Traitement qui transfère les données à caractère personnel ;

(c)« L’importateur de données » désigne le Sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert, conformément à ses instructions et aux dispositions des Clauses, et qui n’est pas soumis au système d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la Directive 95/46/CE ;

(d)« Le sous-traitant ultérieur » désigne tout Sous-traitant engagé par l’importateur de données, ou par tout autre sous-traitant ultérieur de l’importateur de données, qui consent à recevoir de l’importateur de données, ou de tout autre sous-traitant ultérieur, des données à caractère personnel de l’importateur de données qui sont exclusivement destinées aux activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément à ses instructions, aux dispositions des Clauses et aux dispositions du contrat de sous-traitance écrit ;

(e)La « loi applicable en matière de protection des données » signifie la législation protégeant les droits et libertés fondamentaux des individus, et en particulier leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel applicables à un Responsable du Traitement de données dans l’État membre dans lequel l’exportateur de données est établi ;

(f)Les « mesures de sécurité techniques et organisationnelles » signifient les mesures visant à protéger les données à caractère personnel contre la destruction illicite ou accidentelle, la perte accidentelle, l’altération ou la divulgation, ou l’accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, ainsi que contre toutes les autres formes de traitement illicite.

Clause 2

Détails du transfert

Les détails du transfert, et en particulier les catégories spéciales de données à caractère personnel, le cas échéant, sont indiqués à l’Annexe 1 qui fait partie intégrante des Clauses.

Clause 3

Clause de tiers bénéficiaire

1.La personne concernée peut faire appliquer à l’exportateur de données la présente Clause, Clause 4 (b) à (i), la Clause 5(a) (e), et (g) à(j), la Clause 6(1) et (2), la Clause 7, la Clause 8(2), et les Clauses 9 à 12 en tant que tiers bénéficiaire.

2.La personne concernée peut faire appliquer contre l’importateur de données la présente Clause, la Clause 5 (a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8 (2) et les Clauses 9 à 12, dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites Clauses.

3.La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5 (a) à (e) et (g), la clause 6, la clause 7, la clause 8(2), et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de donnéesn’ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

4.Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit ce qui suit :

(a)le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État ;

(b)il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses ;

(c)l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat ;

(d)après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de donnéespar réseau, et contre toute autre forme illicite de traitement, et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre ;

(e)il veillera au respect des mesures de sécurité ;

(f)si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

(g)il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur, conformément à la clause 5(b), et à la clause 8(3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension ;

(h)il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations ;

(i)en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses ; et

(j)il veillera au respect de la clause 4(a) à (i).

Clause 5

Obligations de l’importateur de données

L’importateur de données accepte et garantit ce qui suit :

(a)il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas l’exportateur de données ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b)il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;

(c)il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées ;

(d)il communiquera sans retard à l’exportateur de données :

(i)toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière ;

(ii)tout accès fortuit ou non autorisé ; et

(iii)toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire ;

(e)il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f)à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle ;

(g)il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données ;

(h)en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier ;

(i)les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11 ;

(j)il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données.

Clause 6

Responsabilité

1.Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.

2.Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

3.Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

Clause 7

Médiation et juridiction

1.L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée :

(a)de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ;

(b)de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

2.Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

1.L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.

2.Les Parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de donnéesconformément au droit applicable à la protection des données.

3.L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5(b).

Clause 9

Droit applicable

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi.

Clause 10

Modification du contrat

Les Parties s’engagent à ne pas modifier les présentes clauses. Les Parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.

Clause 11

Sous-traitance ultérieure

1.L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses. En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

2.Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

3.Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi.

4.L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5(j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

Clause 12

Obligation après la résiliation des services de traitement des données à caractère personnel

1.Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.

2.L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.

ANNEXE 1 DES CLAUSES CONTRACTUELLES TYPES

Cette Annexe fait partie des clauses et doit être remplie et signée par les parties.

 

Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans la présente annexe.

 

Exportateur de données

L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert) :

 

Le Responsable du Traitement (l’exportateur de données) est engagé avec l’importateur de donnéespour offrir la possibilité de fournir éventuellement des services consultatifs ou connexes aux clients de l’importateur de données, en échange d’une rémunération de la part de l’importateur de données.

 

Importateur de données

L’importateur de données est (veuillez préciser brièvement les activités qui présentent un intérêt pour le transfert) :

 

Guidepoint est l’importateur de données. Le Responsable du Traitement (l’exportateur de données) est engagé avec l’importateur de données pour offrir la possibilité de fournir éventuellement des services consultatifs ou connexes aux clients de l’importateur de données, en échange d’une rémunération de la part de l’importateur de données.

 

 

Personnes concernées

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées :

 

Employés (y compris les travailleurs indépendants)
Utilisateurs finaux
Entrepreneurs indépendants
Investisseurs
Propriétaires
Autres personnes pertinentes en lien avec l’entreprise

 

Catégories de données

Les données à caractère personnel transférées concernent les catégories de données suivantes :

 

Noms
Adresse email
Adresse de rue/adresse postale
Numéros de téléphone
Adresses IP
Cookies de navigateur
ID de périphériques
Autres informations fournies à la discrétion du Responsable du Traitement ou de la personne concernée
Autres informations nécessaires pour l’exploitation de l’entreprise et pour la fourniture des services et d’appui au Responsable du Traitement
Informations associées liées aux Données à caractère personnel

 

 

 

Catégories spéciales de données (le cas échéant)

Les Données à caractère personnel transférées concernent les catégories spéciales suivantes de données :

 

Aucune.

 

Traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes :

 

Les données fournies qui sont pertinentes pour les personnes concernées énumérées dans la liste sont utilisées pour permettre au Sous-traitant de fournir des services et un appui au Responsable du Traitement dans le cours normal de l’activité, y compris en communicant sur divers sujets liés à l’activité, la conformité juridique (y compris la conformité RGPD et l’enregistrement des instructions écrites) ainsi que d’autres utilisations pertinentes prévues pour l’activité dans le cadre de l’Accord.

 

ANNEXE 2 DES CLAUSES CONTRACTUELLES TYPES

Cette Annexe fait partie des clauses et doit être remplie et signée par les parties.

 

Description des mesures techniques et d’organisation liées à la sécurité mises en œuvre par l’importateur de données conformément à la clause 4(d) et à la clause 5(c) (ou document/législation jointe) :

Politique ou plan de sécurité écrit
Plan de reprise après sinistre
Plan d’intervention en cas d’incident
Segmentation de réseau
Pare-feu
Dispositifs de prévention des intrusions
Cryptage en transit
Protection antivirus
Programme de mot de passe
Accès basé sur les rôles
Patch et mise à jour régulières de systèmes critiques et d’autres systèmes connectés à des systèmes critiques
Formation des utilisateurs
Manuel de l’employé
Contrôles anti-spam
Méthodes de codage sécurisées