Convention de Traitement des Données

1. Le client qui accepte les présentes conditions (le « Client ») et Altirnao Inc. (le « Prestataire ») ont conclu un contrat aux termes duquel le Prestataire s’est engagé à fournir certains Services, contrat pouvant être le cas échéant modifié (le « Contrat »).
2. Cette Convention de Traitement des Données et ses annexes (la « CTD ») qui est conclue entre le Prestataire et le Client (chacun, une « Partie » et ensemble les « Parties »), fait partie intégrante du Contrat et constitue l’accord des Parties quant au traitement par le Prestataire des Données à Caractère Personnel du Client. La présente CTD peut être mise à jour périodiquement et elle prendra effet et remplacera toute convention de traitement des données précédemment applicable à compter de la Date d’Effet (tel que définie ci-dessous). En cas de contradiction ou d’incohérence entre les termes de la présente CTD et les autres stipulations du Contrat, les termes de la présente CTD prévaudront. Certains termes sont définis dans la Section 27.
3. Les Parties reconnaissent et conviennent que (a) en vertu de la Législation sur la Protection des Données, le Prestataire est un Sous-Traitant des Données à Caractère Personnel du Client énumérées dans l’Annexe 1, (b) le Client qui souscrit aux services du Prestataire peut être un Responsable du Traitement ou un Sous-Traitant, selon le cas, des Données à Caractère Personnel du Client et (c) chaque Partie se conformera aux obligations qui lui incombent en vertu de la Législation sur la Protection des Données en ce qui concerne le Traitement de ces Données à Caractère Personnel du Client.
4. Des informations détaillées sur les catégories de données traitées et les personnes concernées, les opérations de Traitement, le lieu du Traitement ainsi que la finalité et la durée du Traitement figurent à l'Annexe 1.
5. Durée. La présente CTD prendra effet à la Date d’Effet du Contrat et, nonobstant l’expiration de la Durée, restera en vigueur jusqu’à la suppression par le Prestataire de toutes les Données à Caractère Personnel du Client, comme cela est décrit dans la présente CTD, et elle expirera de plein droit à la date de cette suppression.
6. Objet. Les Parties reconnaissent et conviennent que la Législation sur la Protection des Données s’appliquera au Traitement des Données à Caractère Personnel du Client si : (a) le Traitement est effectué dans le cadre des activités d’un établissement du Client situé sur le territoire de l’EEE/ de la Suisse/du Royaume-Uni ; et/ou (b) les Données à Caractère Personnel du Client portent sur des Personnes Concernées qui se trouvent dans l’EEE/ en Suisse/au Royaume-Uni et le Traitement concerne l’offre de biens ou de services dans l’EEE/la Suisse/le Royaume-Uni ou la surveillance de leur comportement dans l’EEE/en Suisse/au Royaume-Uni.
7. Législation Non-Européenne sur la Protection des Données. Les Parties reconnaissent et conviennent que la Législation Non-Européenne sur la Protection des Données peut également s’appliquer au Traitement des Données à Caractère Personnel du Client. Sauf stipulation contraire de la présente CTD, les termes de la présente CTD s’appliqueront, que ce soit la Législation sur la Protection des Données ou la Législation Non-Européenne sur la Protection des Données qui s’applique au Traitement par le Prestataire des Données à Caractère Personnel du Client. Les Parties reconnaissent et conviennent que, si la Législation Non-Européenne sur la Protection des Données s’applique au Traitement des Données à Caractère Personnel du Client par l’une ou l’autre Partie, la Partie concernée se conformera à toutes obligations lui incombant aux termes de cette législation en ce qui concerne le Traitement de ces Données à Caractère Personnel du Client.
8. Responsable du Traitement tiers. Le Client garantit au Prestataire que, si la Législation sur la Protection des Données s’applique au Traitement des Données à Caractère Personnel du Client et que le Client est un Sous-Traitant agissant sur les instructions d’un Responsable du Traitement tiers, les instructions et les actes du Client en ce qui concerne ces Données à Caractère Personnel du Client, notamment sa désignation en qualité de Sous-Traitant, ont été autorisées par le Responsable du Traitement tiers et qu’il en apportera la preuve si le Prestataire lui en fait la demande.
9. Instructions du Client. En concluant la présente CTD, le Client donne instruction au Prestataire de ne traiter les Données à Caractère Personnel du Client que conformément à la Législation sur la Protection des Données et/ou la Législation Non-Européenne sur la Protection des Données, selon le cas : (a) pour fournir les Services et l’assistance technique y afférente ; (b) comme indiqué par le Client ou comme l’exige l’utilisation que fait le Client des Services et de l’assistance technique y afférente ; (c) comme précisé sous la forme du Contrat, en ce compris la présente CTD ; et (d) comme documenté dans toutes autres instructions légitimes et écrites données par le Client et que le Prestataire reconnaît constituer des instructions aux fins de la présente CTD. À compter de la Date d’Effet, le Prestataire se conformera aux instructions du Client indiquées dans la présente Section, notamment en ce qui concerne les transferts de Données à Caractère Personnel, conformément à la Section 21. Le Prestataire s’interdit de traiter, transférer, modifier, changer ou altérer les Données à Caractère Personnel du Client ou de divulguer ou permettre la divulgation des Données à Caractère Personnel du Client à un tiers autrement qu'en conformité avec les instructions du Client (que ce soit dans le Contrat ou autrement), à moins que le droit de l'UE ou le droit de l'État membre de l'UE auquel le Sous-Traitant est soumis n'exige un autre Traitement des Données à Caractère Personnel du Client par le Prestataire, auquel cas le Prestataire informera le Client avant de mettre en œuvre le Traitement (à moins que cette loi n’interdise au Sous-Traitant de le faire pour des motifs importants d'intérêt public), par le biais de l'Adresse Électronique de Notification. Le Prestataire s'engage à informer immédiatement le Client si, à son avis, une instruction contrevient à la Législation sur la Protection des Données applicable.
10. Suppression pendant la Durée. Le Prestataire permettra au Client de supprimer les Données à Caractère Personnel du Client pendant la Durée d'une manière compatible avec la fonctionnalité des Services. Si le Client ou un Utilisateur Final utilise les Services pour supprimer des Données à Caractère Personnel du Client pendant la Durée et que les Données à Caractère Personnel du Client ne peuvent être récupérées par le Client ou un Utilisateur Final, cette utilisation constituera une instruction du Client au Prestataire de supprimer les Données à Caractère Personnel du Client concernées des Systèmes du Prestataire conformément à la Législation sur la Protection des Données applicable. Le Prestataire se conformera à cette instruction dès que raisonnablement possible et dans un délai maximal de quatre vingt dix (90) jours, à moins que le droit de l'UE ou d'un État membre de l'UE n'exige ou ne justifie que ces Données à Caractère Personnel soient conservées par le Prestataire pendant une période plus longue.
11. Suppression à l'expiration de la Durée. Sous réserve de la Section 12 (Instruction de suppression différée), le Client donne instruction au Prestataire de supprimer, à l'expiration de la Durée, toutes les Données à Caractère Personnel du Client (en ce compris les copies existantes) des Systèmes du Prestataire conformément à la Législation sur la Protection des Données applicable. Le Sous-Traitant se conformera à cette instruction dès que raisonnablement possible et dans un délai maximal de quatre vingt dix (90) jours, à moins que le droit de l'UE ou d'un État membre de l'UE n'exige ou ne justifie que ces Données à Caractère Personnel du Client soient conservées par le Sous-Traitant pendant une période plus longue. Sans préjudice de la Section 20 (Droits et demandes des Personnes Concernées), le Client reconnaît et convient qu'il sera responsable de l'exportation, avant l'expiration de la Durée, de toutes Données du Client qu'il souhaite conserver par la suite.
12. Instruction de suppression différée. Dans la mesure où des Données à Caractère Personnel du Client couvertes par l'instruction de suppression décrite dans la Section 11 (Suppression à l'expiration de la Durée) sont également traitées, lorsque la Durée prévue à la Section 11 expirera, dans le cadre d’un contrat entre le Client et le Prestataire ayant une Durée indéterminée, cette instruction de suppression ne prendra effet à l'égard desdites Données à Caractère Personnel du Client qu'à l'expiration de la Durée indéterminée. Il est précisé, par souci de clarté, que, dans le cas d'une instruction de suppression différée, la présente CTD continuera à s'appliquer auxdites Données à Caractère Personnel du Client jusqu'à leur suppression par le Prestataire.
13. Mesures de Sécurité du Prestataire. Le Prestataire mettra en place et maintiendra  des mesures techniques et organisationnelles pour protéger les Données à Caractère Personnel du Client contre toute destruction, perte, altération ou divulgation non autorisée ou tout accès, de manière accidentelle ou illicite ; tel que décrit dans l’Annexe 2 (les « Mesures de Sécurité »). Les Mesures de Sécurité décrites dans l’Annexe 2 comprennent des mesures destinées à contribuer à garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des Systèmes du Prestataire et à rétablir l’accès dans des délais appropriés aux Données à Caractère Personnel du Client après un Incident Affectant les Données, ainsi que des tests réguliers de leur efficacité. Le Prestataire pourra mettre à jour ou modifier périodiquement les Mesures de Sécurité décrites dans l’Annexe 2, à condition que ces mises à jour et modifications n’entraînent pas la dégradation de la sécurité globale des Services ou des Systèmes du Prestataire. Le Client reconnaît que les Données du Client seront hébergées dans les centres de données d’un Prestataire de Services Tiers, par un Prestataire de Services Tiers et/ou une ou plusieurs de ses entités affiliées (ensemble, les « Prestataires de Services Tiers ») (et non par le Prestataire) et que, en conséquence, la plupart des mesures de sécurité techniques et organisationnelles liées aux Données à Caractère Personnel du Client (qui sont visées notamment dans l’Annexe 2) seront appliquées par le Prestataire de Services Tiers concerné sous sa propre responsabilité. Par conséquent, et nonobstant toute autre stipulation du Contrat, le Prestataire décline toute responsabilité au titre de tous actes et/ou omissions du Prestataire de Services Tiers, en ce compris, notamment, au titre de toutes mesures techniques et organisationnelles du Prestataire de Services Tiers, qui sont énumérées dans l’Annexe 2 uniquement à titre d’information et sans aucune déclaration. Le Client s’engage à ne pas engager la responsabilité du Prestataire en cas de manquement par le Prestataire de Services Tiers au contrat applicable.
14. Respect de la sécurité par le Sous-Traitant. Le Prestataire prendra les mesures appropriées pour assurer le respect des Mesures de Sécurité par ses salariés, prestataires, mandataires et Sous-Traitants Ultérieurs dans la mesure où elles s’appliquent à leur champ d'activités, notamment en s'assurant que toutes les personnes autorisées à traiter les Données à Caractère Personnel du Client se sont engagées à respecter leur caractère confidentiel ou sont soumises à une obligation légale de confidentialité appropriée, et que ce personnel a suivi une formation appropriée conformément à la Législation sur la Protection des Données.
15. Assistance par le Sous-Traitant en matière de sécurité. Le Client accepte que le Prestataire (compte tenu de la nature du Traitement des Données à Caractère Personnel du Client et des informations dont le Prestataire dispose) aide le Client à veiller au respect de ses obligations en ce qui concerne la sécurité des Données à Caractère Personnel du Client et les violations des Données à Caractère Personnel du Client, en particulier en cas d'Incident Affectant les Données, en ce compris, le cas échéant, les obligations du Client aux termes des articles 32 à 34 (inclus) du RGPD, en : (a) mettant en place et en maintenant les Mesures de Sécurité conformément à la Section 13 (Mesures de Sécurité du Prestataire) ; (b) se conformant aux termes de la Section 16 (Incidents Affectant les Données).
16. Incidents Affectant les Données. Si le Prestataire vient à avoir connaissance d'un Incident Affectant les Données, il : (a) notifiera au Client l'Incident Affectant les Données dans les meilleurs délais et sans retard injustifié ; et (b) prendra dans les meilleurs délais des mesures raisonnables pour réduire au minimum le préjudice et sécuriser les Données à Caractère Personnel du Client. La notification contiendra, dans la mesure du possible, une description détaillée de l'Incident Affectant les Données, notamment les mesures prises pour atténuer les risques potentiels et les mesures que le Prestataire recommande au Client de prendre pour faire face à l'Incident Affectant les Données. La ou les notification(s) de tout (tous) Incident(s) Affectant les Données sera(ont) envoyée(s) à l'Adresse Électronique de Notification ou, à la discrétion du Prestataire, par communication directe (par exemple, au moyen d’un appel téléphonique ou d’une réunion en personne). Il appartient au Client et à lui seul de s'assurer que l'Adresse Électronique de Notification est à jour et valable à quelque moment que ce soit. Le Prestataire n'évaluera pas le contenu des Données du Client afin d'identifier les informations soumises à des exigences juridiques spécifiques. Le Client est entièrement responsable du respect des obligations de notification prévues par la Législation sur la Protection des Données ou la Législation Non-Européenne sur la Protection des Données, selon celle qui s’applique au Client, et du respect de toutes obligations de notification à des tiers liées à tout (tous) Incident(s) Affectant les Données. La notification ou la réponse du Prestataire à un Incident Affectant les Données en application de la présente Section 16 (Incidents Affectant les Données) ne saurait être interprétée comme une reconnaissance par le Prestataire d’une quelconque faute ou responsabilité en ce qui concerne l'Incident Affectant les Données.
17. Responsabilités du Client en matière de sécurité et évaluation. Le Client convient que, sans préjudice des obligations du Prestataire aux termes des Sections 13 à 15 (Mesures de Sécurité du Prestataire, Respect de la sécurité par le Sous-Traitant et Assistance par le Sous-Traitant en matière de sécurité) et de l'article 16 (Incidents Affectant les Données) : (a) le Client est entièrement responsable de l’utilisation qu’il fait des Services, notamment de : (i) l'utilisation appropriée des Services afin d'assurer un niveau de sécurité approprié au risque lié aux Données du Client ; (ii) la sécurisation des données d'authentification pour l’accès au compte, des systèmes et des dispositifs utilisés par le Client pour accéder aux Services ; et (iii) la sauvegarde des Données du Client ; et (b) le Prestataire n'a aucune obligation de protéger les Données du Client que le Client choisit de conserver ou de transférer en dehors des systèmes du Sous-Traitant et de ses Sous-Traitants Ultérieurs (par exemple, conservation hors ligne ou sur site, ou Prestataire de Services Tiers du Client). Il appartient au Client et à lui seul de déterminer si les Services, les Mesures de Sécurité et les engagements du Prestataire aux termes des Sections 13 à 17 répondent aux besoins du Client, notamment en ce qui concerne toutes obligations de sécurité du Client en vertu de la Législation sur la Protection des Données et/ou de la Législation Non-Européenne sur la Protection des Données, selon le cas. Le Client reconnaît et convient que (compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement des Données à Caractère Personnel du Client ainsi que des risques pour les personnes physiques) les Mesures de Sécurité mises en place et maintenues par le Prestataire, telles qu’elles sont définies à la Section 13 (Mesures de Sécurité du Prestataire) et dans l'Annexe 2, offrent un niveau de sécurité approprié au risque lié aux Données du Client.
18. Audits de conformité. Si la Législation sur la Protection des Données s’applique au Traitement des Données à Caractère Personnel du Client, le Prestataire autorisera le Client ou un auditeur indépendant désigné par celui-ci à effectuer des audits (en ce compris des inspections) afin de vérifier si le Prestataire se conforme à ses obligations concernant les Données à Caractère Personnel du Client aux termes de la présente CTD. Le Prestataire contribuera à ces audits comme indiqué dans la présente Section 18 (Audits de conformité). Si le Client décide de procéder à un audit comme indiqué ci-dessus, il devra alors prendre à sa charge l’ensemble des coûts et dépenses qui y sont liés, y compris mais sans s’y limiter les honoraires des auditeurs, les frais de transport, les honoraires d’avocat. Si le Client a conclu des Clauses Contractuelles Types telles qu’elles sont décrites dans la Section 21 (Transfert de Données à Caractère Personnel), le Prestataire, sans préjudice des droits d'audit d'une Autorité de Contrôle en vertu de ces Clauses Contractuelles Types, autorisera le Client ou un auditeur indépendant désigné par celui-ci à effectuer des audits comme indiqué dans les Clauses Contractuelles Types. En tout état de cause, tout audit imposé par le Client en application de la présente Section 18 ne doit pas entraver ni perturber de quelque manière que ce soit le cours normal des affaires du Prestataire.
19. Analyses d'impact et consultations. Le Client accepte que le Prestataire (compte tenu de la nature du Traitement et des informations dont dispose le Sous-Traitant) apporte au Client une assistance raisonnable pour assurer le respect par celui-ci de toutes ses obligations concernant les Données à Caractère Personnel du Client en matière d’analyses d'impact relatives à la protection des données et de consultations préalables, en ce compris, le cas échéant, les obligations du Client aux termes des articles 35 et 36 du RGPD, dans la mesure où le Prestataire dispose des informations nécessaires.
20. Droits et demandes des Personnes Concernées. Pendant la Durée, le Prestataire permettra au Client, d'une manière compatible avec la fonctionnalité des Services, d'accéder aux Données à Caractère Personnel du Client, de les rectifier ou de les effacer ou d’en limiter le Traitement, selon le cas, notamment par le biais de la possibilité de suppression proposée par le Prestataire comme indiqué dans la Section 10 (Suppression pendant la Durée), et d'exporter les Données à Caractère Personnel du Client, conformément aux exigences de la Législation sur la Protection des Données et/ou de la Législation Non-Européenne sur la Protection des Données, selon le cas. Pendant la Durée, si le Prestataire reçoit une demande de la part d'une Personne Concernée portant sur des Données à Caractère Personnel du Client, le Prestataire conseillera à la Personne Concernée de soumettre sa demande au Client ou de présenter directement cette demande au Client en utilisant l'Adresse Électronique de Notification ou tout autre moyen de communication, et il appartiendra au Client de répondre à une telle demande, notamment, si nécessaire, en utilisant la fonctionnalité des Services. Le Client accepte que (compte tenu de la nature du Traitement des Données à Caractère Personnel du Client) le Prestataire lui apporte une assistance raisonnable afin de se conformer à toute obligation de répondre aux demandes de Personnes Concernées, en ce compris, le cas échéant, l'obligation du Client de répondre aux demandes d'exercice des droits de la Personne Concernée prévus au Chapitre III du RGPD, en respectant les engagements énoncés dans la présente Section 20, dans la mesure où le Prestataire est en mesure de répondre à de telles demandes. Le Client est responsable, dans la mesure où la loi le permet, de tous les coûts et dépenses résultant d'une telle assistance par le Prestataire.
21. Transfert de Données à Caractère Personnel. Le Client reconnaît et convient que le Prestataire peut, sous réserve de la présente Section 21 (Transfert de Données à Caractère Personnel), conserver et traiter les Données du Client aux États-Unis et dans tout autre pays situé en dehors de l'EEE dans lequel le Prestataire ou les Sous-Traitants Ultérieurs disposent d'installations. Si la conservation et/ou le Traitement des Données à Caractère Personnel du Client implique(nt) un Transfert Restreint, le Prestataire et le Client s’engagent par les présentes à conclure les Clauses Contractuelles Types applicables jointes en Annexe 4 ou en Annexe 5, selon le cas, et incorporées par référence dans la présente CTD. En cas de conflit entre une disposition des Clauses Contractuelles Types et toute autre partie de la présente CTD ou du Contrat, la disposition des Clauses Contractuelles Types prévaudra. Tout Transfert Restreint doit être effectué conformément auxdites Clauses Contractuelles Types. Le Prestataire imposera aux Sous-Traitants Ultérieurs, s’il en existe, au moyen d’un contrat écrit, les mêmes obligations que celles imposées au Sous-Traitant aux termes de la présente CTD et des Clauses Contractuelles Types. Dans le cas où le Sous-Traitant Ultérieur ne respecte pas ses obligations en matière de protection des données au titre de ce contrat écrit, le Prestataire demeurera entièrement responsable à l’égard du Client de l'exécution par le Sous-Traitant Ultérieur de ses obligations au titre dudit contrat. En outre, dans le cas où la prestation des Services implique un Transfert Restreint du Prestataire vers un Sous-Traitant Ultérieur situé en dehors de l'UE, le Client (pour son propre compte et pour le compte de ses Affiliées concernées) donne mandat au Prestataire, qui l’accepte par les présentes, de conclure dans les meilleurs délais, au nom et pour le compte du Client en qualité d’'Exportateur de Données (le Sous-Traitant Ultérieur étant l'Importateur de Données), une convention de traitement des Données avec tout Sous-Traitant Ultérieur impliqué par le Prestataire dans un tel Transfert Restreint, avant que ce Sous-Traitant Ultérieur ne commence à traiter les Données à Caractère Personnel du Client, afin de s'assurer qu’un tel Transfert Restreint est conforme à la Législation sur la Protection des Données. Cette convention de traitement des Données à Caractère Personnel devra (a) respecter les conditions énoncées à l'article 28 du RGPD et offrir au moins le même niveau de protection des Données à Caractère Personnel du Client que celles énoncées dans la présente CTD et (b) inclure des Clauses Contractuelles Types. Lorsque le Prestataire utilise la Plate-forme en Nuage d’un Prestataire de Services Tiers pour héberger et/ou fournir les Services, des informations sur les lieux où se trouvent les centres de données des Prestataires de Services Tiers du Prestataire sont disponibles sur les pages des Prestataires de Services Tiers, qui précisent les emplacements des serveurs, et peuvent être mises à jour périodiquement par le Prestataire de Services Tiers. Si le Client a convenu des Clauses Contractuelles Types comme indiqué dans la présente Section 21 (Transfert de Données à Caractère Personnel), le Prestataire s'assurera, nonobstant toute clause contraire du Contrat, que toute divulgation de Données à Caractère Personnel du Client, et toutes notifications relatives à de telles divulgations, soient effectuées conformément à ces Clauses Contractuelles Types. Si, en tout temps, une Autorité de Contrôle, ou un tribunal compétent à l'égard d'une Partie, prescrit que les transferts de responsables de traitement et/ou de sous-traitants dans l'UE ou au Royaume-Uni vers des sous-traitants établis en dehors de l'UE ou du Royaume-Uni doivent être soumis à des garanties supplémentaires spécifiques (y compris, mais sans s'y limiter, des mesures techniques et organisationnelles spécifiques), les Parties collaboreront de bonne foi pour mettre en œuvre ces garanties et s'assurer que tout transfert de Données à Caractère Personnel du Client est effectué sous le bénéfice de ces garanties supplémentaires. De la même manière, si une Autorité de Contrôle adopte des clauses contractuelles types révisées pour les questions traitées dans la présente CTD et que le Client notifie au Prestataire qu'il souhaite incorporer tout élément de ces clauses contractuelles types dans la présente CTD, le Prestataire et le Client pourront convenir de modifier la présente CTD afin d'y incorporer toute modification proposée comme l'exigent raisonnablement les clauses contractuelles types nouvellement adoptées. Dans le cas où les Clauses Contractuelles Types jointes à l'Annexe 4 et l’Annexe 5 seraient considérées comme ne constituant plus un mécanisme de transfert valide pour légitimer les Transferts Restreints, le Prestataire et le Client pourront convenir de modifier la présente CTD afin d'établir un transfert légitime de Données à Caractère Personnel du Client en dehors de l'EEE.
22. Sous-Traitants Ultérieurs. Par les présentes, le Client autorise expressément le recours à des Affiliées du Prestataire en tant que Sous-Traitants Ultérieurs conformément au Contrat et pendant la Durée. En outre, le Client, par les présentes, autorise de manière générale le recours à tous autres tiers en tant que Sous-Traitants Ultérieurs (les « Sous-Traitants Ultérieurs »), sous réserve du respect par le Prestataire de la présente Section 22. Le Client autorise par les présentes tous les « Sous-Traitants Ultérieurs » énumérés à l'Annexe 3. Si le Client a conclu des Clauses Contractuelles Types comme indiqué dans la Section 21 (Transfert de Données à Caractère Personnel), les autorisations ci-dessus constitueront le consentement écrit préalable du Client à la sous-traitance par le Prestataire du Traitement des Données à Caractère Personnel du Client si ce consentement est exigé par les Clauses Contractuelles Types et la Législation sur la Protection des Données et/ou la Législation Non-Européenne sur la Protection des Données, selon le cas. Des informations sur les Sous-Traitants Ultérieurs figurent dans l'Annexe 3 et peuvent être mises à jour par le Prestataire périodiquement conformément à la présente CTD. Lorsqu'il fera appel à un Sous-Traitant Ultérieur, le Prestataire (a) s'assurera, au moyen d'un instrument juridique ou d'un contrat écrit, que (i) le Sous-Traitant Ultérieur n'accède aux Données à Caractère Personnel du Client et ne les traite que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées, et le fait conformément au Contrat (en ce compris la présente CTD) et à toutes Clauses Contractuelles Types conclues comme indiqué dans la Section 21 (Transfert de Données à Caractère Personnel), le cas échéant ; et (ii) si le RGPD s'applique au Traitement des Données à Caractère Personnel du Client, les obligations de protection des données énoncées à l'article 28(3) du RGPD, telles qu’elles sont décrites dans la présente CTD, sont imposées au Sous-Traitant Ultérieur par ledit instrument juridique ou le contrat ; et (b) demeurera entièrement responsable de toutes les obligations sous-traitées au Sous-Traitant Ultérieur, ainsi que de tous les actes et omissions de celui-ci. Lorsqu'il sera recouru pendant la Durée aux services d’un Sous-Traitant Ultérieur Tiers ne figurant pas dans l'Annexe 3 à la Date d'Effet du Contrat, le Prestataire informera le Client de ce recours (notamment du nom et de la localisation du Sous-Traitant Ultérieur Tiers concerné et des activités qu'il exercera) en envoyant un courrier électronique à l'Adresse Électronique de Notification, au moins trente (30) jours avant que le nouveau Sous-Traitant Ultérieur Tiers ne commence à traiter des Données à Caractère Personnel du Client quelles qu’elles soient. Le Client pourra s'opposer à tout nouveau Sous-Traitant Ultérieur Tiers en résiliant le Contrat avec effet immédiat moyennant une notification écrite adressée au Prestataire, à condition d’envoyer cette notification dans les trente (30) jours suivant la date à laquelle il aura été informé du recours aux services du Sous-Traitant Ultérieur Tiers. Ce droit de résiliation constitue le seul et unique recours du Client si celui-ci s'oppose à un quelconque nouveau Sous-Traitant Ultérieur Tiers.
23. Registres des activités de Traitement. Le Client reconnaît que le RGPD impose au Prestataire de : (a) collecter certaines informations et de tenir des registres contenant ces informations, notamment le nom et les coordonnées de tout Sous-Traitant et/ou Responsable du Traitement pour le compte duquel le Sous-Traitant agit et, le cas échéant, du représentant local et du délégué à la protection des données dudit Sous-Traitant ou Responsable du Traitement, ainsi que les catégories de Traitements effectués pour le compte de chaque Responsable du Traitement et, dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles ; et (b) mettre ces informations à la disposition des Autorités de Contrôle.
24. California Consumer Privacy Act (CCPA). Si et dans la mesure où le CCPA s'applique à la collecte, la conservation, l'utilisation et la divulgation des données personnelles du Client (telles que définies dans le CCPA) pour fournir les Services au Client conformément au Contrat, les Parties reconnaissent et acceptent que le Prestataire ne reçoit aucune donnée personnelle du Client (« Données Personnelles du Client ») en contrepartie des Services ou d'autres éléments fournis par le Prestataire au Client. À l'exception de ce qui est expressément stipulé dans le Contrat, le Fournisseur ne doit pas (a) avoir, obtenir ou exercer des droits ou des avantages concernant les Données Personnelles du Client, (b) vendre des Données Personnelles du Client ou (c) recueillir, conserver, partager ou utiliser des Données Personnelles du Client, sauf si cela est nécessaire à la seule fin d'exécuter les Services et les services professionnels qui y sont liés, le cas échéant, ou si cela est autrement permis en vertu du CCPA. Le Prestataire s'abstiendra de prendre toute mesure qui impliquerait un transfert des Données Personnelles du Client, que ce soit au Prestataire ou par le Prestataire, qui soit considéré comme une vente de données personnelles en vertu du CCPA. Le Prestataire comprend et respectera les restrictions énoncées dans la présente section et les exigences applicables du CCPA. Aux fins de cette Section 24 (« California Consumer Privacy Act (CCPA) » ), le Prestataire est un Prestataire de Services et les termes « Données Personnelles » (Personal Information), « Vendre » (Sell), « Vente » (Sale) et « Prestataire de services » (Service Provider) ont la même signification que dans le CCPA. Si une autorité américaine adopte des dispositions révisées du CCPA pour les questions traitées dans la présente CTD et que le Client notifie au Prestataire qu'il souhaite incorporer un élément de ces dispositions révisées dans la présente CTD, le Prestataire et le Client peuvent convenir de modifier la présente CTD afin d'incorporer les changements proposés, comme l'exigent raisonnablement les dispositions nouvellement adoptées.
25. Plafond de Responsabilité Convenu. Le plafond de responsabilité fixé dans le Contrat régissant la prestation des Services, dont la présente CTD fait partie intégrante, s'applique à tout manquement aux stipulations de la présente CTD ou à tout préjudice susceptible de résulter du non-respect par le Prestataire ou son Affiliée de la Législation sur la Protection des Données. Rien dans la présente Section 25 (Plafond de Responsabilité Convenu) n'affectera les autres termes du Contrat relatifs à la responsabilité (notamment toutes exclusions spécifiques d’une quelconque limitation de responsabilité).
26. Stipulations diverses.

26.1. Ni les droits ni les obligations d'une Partie ne peuvent être cédés en totalité ou en partie sans le consentement écrit préalable de l'autre Partie, étant toutefois entendu que la présente CTD pourra être transférée ou cédée en cas de restructuration ou de changement de contrôle affectant une Partie aux présentes.

26.2. En cas de différend entre les Parties lié à la présente CTD, celles-ci négocieront de bonne foi afin de résoudre leur différend. Si le différend ne peut être résolu par des négociations de bonne foi entre les Parties, les Parties soumettent irrévocablement par la présente tout litige en vertu de la présente CTD à la juridiction des tribunaux français compétents.

26.3. La présente CTD est soumise au droit français, sans référence à ses règles de conflits de lois.

26.4. Dans le cas où une stipulation de la présente CTD serait jugée nulle ou inopposable par un tribunal compétent, les autres stipulations de la présente CTD resteront valables et en vigueur. La stipulation nulle ou inopposable devra soit (i) être modifiée dans la mesure du nécessaire pour assurer sa validité et son opposabilité, tout en préservant au mieux l’intention des Parties, soit, si cela n'est pas possible, (ii) être interprétée comme si la partie nulle ou inopposable n’avait jamais figuré dans cette stipulation.

26.5. Toute modification de la présente CTD devra faire l’objet d’un avenant écrit, à défaut duquel elle sera nulle et de nul effet.

27. Définitions. Les termes commençant par une majuscule qui sont utilisés sans être définis dans la présente CTD ont la signification qui leur est attribuée dans le Contrat. Dans la présente CTD, sauf indication contraire :

« Adresse(s) Électronique(s) de Notification » désigne l’ (les) adresse(s) électronique(s) indiquée(s) par le Client pour recevoir certaines notifications de la part du Prestataire.

« Affiliée » désigne toute entité qui contrôle, est contrôlée par, ou est sous contrôle commun avec, une Partie, le terme « contrôle » étant défini comme : (a) la propriété d’au moins cinquante pour cent (50 %) des capitaux propres ou des droits conférant la propriété effective de l’entité ; (b) le droit de voter en faveur ou de désigner une majorité des membres du conseil d’administration ou d’un autre organe de direction de l’entité ; ou (c) le pouvoir d’exercer une influence déterminante sur la gestion ou les orientations de l’entité.

« Clauses Contractuelles Types » ou « CCT » désigne les clauses types relatives à la protection des données pour le transfert de données à caractère personnel vers des pays tiers situés en dehors de l'Espace Économique Européen qui n’assurent pas un niveau adéquat de protection des données, telles que (i) approuvées par la Commission européenne, dans la Décision d'Exécution (UE) 2021/914 du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du RGPD pour les Transferts Restreints relatifs aux personnes concernées de l'Union Européenne, le cas échéant modifiées, remplacées ou abrogées par tout ensemble de clauses approuvées par la Commission européenne, et (ii) publiées par l'Information Commissioner's Office conformément à la S119A(1) du Data Protection Act 2018 pour les transferts restreints liés aux personnes concernées du Royaume-Uni et approuvées par le Parlement britannique. Les Clauses Contractuelles Types sont jointes en Annexe 4 pour les Transferts Restreints relatifs aux personnes concernées de l'Union Européenne et en Annexe 5 pour Transferts Restreints relatifs aux personnes concernées du Royaume-Uni et font partie de la CTD lorsqu’elles sont applicables.

« Contrat » désigne le Contrat de Prestation de Services conclu entre le Prestataire et le Client pour la prestation de Services par le Prestataire au Client.

« Date d’Effet » désigne la date à laquelle le Client et le Prestataire sont convenus de la présente CTD, et elle correspond à la Date d’Effet du Contrat.

« Données du Client » désigne les données soumises, conservées, envoyées ou reçues par le biais des Services par le Client, ses Affiliées ou Utilisateurs Finaux. Les Données du Client peuvent également comprendre les Données à Caractère Personnel envoyées ou mises de toute autre manière par le Client à la disposition du Prestataire et/ou des Affiliées du Prestataire lorsque le Client utilise les Solutions d’Affiliées du Prestataire. 

« Données à Caractère Personnel du Client » désigne les Données à Caractère Personnel contenues dans les Données du Client, telles qu’elles sont décrites dans l’Annexe 1.

« Durée » désigne la période s’étendant de la Date d’Effet du Contrat jusqu’à la fin de la prestation par le Prestataire des Services au Client dans le cadre du Contrat, en ce compris, le cas échéant, toute période au cours de laquelle la prestation des Services peut être suspendue et toute période postérieure à la cessation du Contrat au cours de laquelle le Prestataire peut continuer à fournir les Services au Client de manière transitoire.

« EEE » désigne l’Espace Économique Européen ainsi que, aux fins de la présente CTD, la Suisse et le Royaume-Uni.

« Incident Affectant les Données » désigne une violation des mesures de sécurité du Prestataire entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel du Client sur des systèmes gérés par le Prestataire ou contrôlés de toute autre manière par lui, ou l’accès non autorisé à de telles Données à Caractère Personnel du Client. « Incidents Affectant les Données » ne comprend pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données à Caractère Personnel du Client, notamment les tentatives de connexion, les pings, les scans de port, les attaques par déni de service et autres attaques de réseau sur les pare-feu ou les systèmes en réseau qui échouent.

« Législation sur la Protection des Données » désigne, selon le cas : (a) le RGPD ; et/ou (b) la Loi fédérale sur la protection des données du 25 septembre 2020 (Suisse) ; et/ou (c) les lois applicables au Royaume-Uni en matière de protection des données, ainsi que toutes lois sur la protection des données qui modifient de manière substantielle, remplacent ou se substituent au RGPD, à la Loi fédérale sur la protection des données de Suisse, aux lois applicables au Royaume-Uni en matière de protection des données, et/ou toute autre législation interne applicable en matière de protection des données ou respect de la vie privée en vigueur dans tout État membre de l’Union européenne, que ce soit au niveau national/ fédéral ou des états fédérés / provinces, en ce compris, selon le cas, les lois, décisions, lignes directrices, notes d’orientation, codes de pratique, codes de conduite et mécanismes de certification en matière de protection des données périodiquement délivrés par un tribunal compétent ou une Autorité de Contrôle, concernant le Traitement de données à caractère personnel et le respect de la vie privée.

« Législation Non-Européenne sur la Protection des Données » désigne toute législation sur la protection des données ou le respect de la vie privée au niveau national/ fédéral ou au niveau des états fédérés / provinces / émirats, autre que la Législation sur la Protection des Données.

« Mesures de Sécurité » a la signification attribuée à ce terme dans la Section 13 (Mesures de Sécurité du Prestataire).

« Plafond de Responsabilité Convenu » désigne le montant maximal financier ou basé sur les paiements, auquel la responsabilité d’une Partie est plafonnée au titre du Contrat, soit par période annuelle, soit par événement donnant lieu à responsabilité, selon le cas.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

« Systèmes du Prestataire » désigne l’infrastructure informatique et de conservation utilisée par le Prestataire en vertu d’un contrat pour exécuter les Services et pour conserver les Données du Client. Il est précisé, afin d’écarter toute ambiguïté, que le terme « Systèmes du Prestataire » n’englobe pas les Solutions de Prestataires de Services Tiers utilisées par le Client en vertu d’un contrat, ni aucune des Offres de Tiers.

« Sous-Traitants Ultérieurs » désigne les tiers autorisés par le Sous-Traitant en vertu de la présente CTD à avoir un accès logique aux Données du Client et à les traiter pour le compte du Client afin de fournir certaines parties des Services et l’assistance technique y afférente, notamment les Affiliées du Prestataire.

« Services » désigne les services qui ont été achetés par le Client dans le cadre du Contrat et de tout Bon de Commande ou Cahier des Charges applicable, qui peuvent inclure AODocs et toute mise à jour ou tout remplacement de ceux-ci ainsi que l’assistance technique fournie par le Prestataire au Client conformément aux termes du Contrat. Le terme « Services » ne comprend pas (i) les Solutions d’Affiliées du Prestataire que le Client a pu se faire concéder en vertu d’une licence distincte, (ii) toutes Offres de Tiers que le Client a pu se faire concéder en vertu d’une licence distincte, ni (iii) les Solutions de Prestataires de Services Tiers utilisées par le Client.

« Solution d’Affiliées du Prestataire » désigne toute solution ou tout logiciel fourni(e) par une ou plusieurs Affiliée(s) du Prestataire, qui complète et/ou est nécessaire pour fournir les Services exécutés par le Prestataire, que soit (i) le Client s’est fait concéder sous licence par une Affiliée du Prestataire, soit (ii) le Client s’est fait concéder sous licence par le Prestataire.

« Solution de Prestataire de Services Tiers » désigne toute solution ou tout logiciel sur laquelle (lequel) l’ensemble ou une partie des Services sont exécutés par le Prestataire, que le Client s’est fait concéder en vertu d’une licence distincte, le cas échéant, par un Prestataire de Services Tiers non affilié. Les Solutions de Prestataires de Services Tiers peuvent inclure notamment les solutions ou les logiciels Google, Microsoft et/ou Facebook.

« Transfert Restreint » désigne (a) un transfert des Données à Caractère Personnel du Client vers le Prestataire ou le Sous-Traitant Ultérieur, ou (b) un transfert ultérieur des Données à Caractère Personnel du Client du Prestataire ou du Sous-Traitant Ultérieur vers le (ou entre deux établissements du) Prestataire ou le Sous-Traitant Ultérieur, dans chaque cas, vers un pays hors de l'EEE, où un tel transfert serait interdit par la Législation Européenne sur la Protection des Données en l'absence de Clauses Contractuelles Types ou d'autres instruments juridiques exigés par la Législation Européenne sur la Protection des Données.

« Utilisateur Final » désigne les personnes physiques autorisées par le Client à accéder aux Services ou à les utiliser, en ce compris le personnel, les salariés, les mandataires ou les prestataires du Client et des Affiliées de celui-ci.

Les termes « Données à Caractère Personnel », « Personne Concernée », « Traitement », « Responsable du Traitement », « Sous-Traitant » et « Autorité de Contrôle », tels qu’ils sont utilisés dans la présente CTD, ont la signification qui leur est attribuée dans le RGPD, et les termes « Importateur de Données » et « Exportateur de Données » ont la signification qui leur est attribuée dans les Clauses Contractuelles Types, dans chaque cas, que ce soit la Législation Européenne sur la Protection des Données ou la Législation Non-Européenne sur la Protection des Données qui s’applique.

Annexe 1 – Informations sur le Traitement des Données à Caractère Personnel du Client

Annexe 2 - Mesures de Sécurité

1. A compter de la Date d’Effet, le Prestataire mettra en œuvre et maintiendra les Mesures de Sécurité énoncées dans la présente Annexe 2 de la CTD. Le Prestataire pourra de temps à autre être amené à mettre à jour ou modifier lesdites Mesures de Sécurité, à condition toutefois que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale du Système du Prestataire et des Services.

2. Test réguliers, estimations et évaluation de l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité des traitements

Afin de fournir au Client les meilleurs contrôles de sécurité, de confidentialité et de conformité, le Prestataire fait régulièrement l’objet d’audits réalisés par des tiers indépendants. Le Prestataire est certifié SOC 2 Type II. SOC (Service Organization Controls) désigne des audits qui s’adressent aux prestataires de services impliqués dans l’hébergement des données de leurs clients sur le cloud. Cela permet de s’assurer que le prestataire dispose de mesures de protection appropriées en matière de sécurité, de disponibilité, de traitement, de confidentialité, d’intégrité et de respect de la vie privée des données des clients. Les auditeurs SOC évaluent régulièrement la plateforme, l’infrastructure et les opérations d’AODocs et procèdent fréquemment à des tests de pénétration et de vulnérabilité. Antérieurement à tout lancement, le Prestataire examine également l’impact des nouvelles fonctionnalités en termes de sécurité et de confidentialité et ce afin d’améliorer les mesures de vie privée dès la conception.

L’architecture sans serveur d’AODocs signifie que le Prestataire ne gère pas son propre réseau (routeurs, équilibreurs de charge, serveurs DNS) ni ses serveurs physiques. Le Prestataire a choisi de s’associer à Google et de s’appuyer sur sa plateforme en tant que service : Google Cloud Platform (GCP). Toutes les applications du Prestataire fonctionnent sur GCP comme back-end en utilisant principalement les services suivants :

• App Engine (moteur d’application sans serveur)
• Cloud Datastore (base de données documentaire NoSQL construite pour des mises à l’échelle automatiques et haute performance)
• Cloud Storage (stockage d’objets à échelle mondiale, extensible et hautement durable)
• BigQuery (entrepôt de données sans serveur hautement évolutif)
• StackDriver (journalisation, surveillance et alertes)
• PubSub (service de messagerie en temps réel entièrement géré)

Google Cloud Platform fournit des services à la pointe de la technologie mettant la sécurité au cœur de ses préoccupations. Tous les serveurs sont régulièrement mis à jour afin de garantir l’installation des derniers correctifs de sécurité. Tous les réseaux sont protégés des intrusions par des mécanismes de défense avancés.

4. Une solide culture de la sécurité

Dans les limites permises par la loi, chaque membre du personnel du Prestataire fait l’objet d’une vérification approfondie de ses antécédents et reçoit une formation complète sur les protocoles de sécurité et de confidentialité des données, ainsi qu’une formation annuelle sur les thématiques de la confidentialité et de la sécurité des données. Les employés du Prestataire n’ont pas accès aux Données à Caractère Personnel du Client à moins que ce dernier ne sollicite de l’aide à des fins de support. Dans ce contexte, toutes les informations, données et documents échangés avec l’équipe de support du Prestataire sont soumis à des procédures de confidentialité strictes et ne sont pas divulgués. Les employés du Prestataire sont tenus de signer un accord de confidentialité et doivent accuser réception des politiques de confidentialité et de respect de la vie privée du Prestataire et s’y conformer. Les employés du Prestataire sont tenus de se comporter d’une manière conforme aux directives du Prestataire en matière de confidentialité, d’éthique commerciale, d’utilisation appropriée et des normes professionnelles. Les employés du Prestataire accédant aux systèmes du Prestataire sont authentifiés via leurs comptes Google Workspace (anciennement G Suite), protégés par les mêmes mesures physiques, de réseau et organisationnelles que celles décrites dans la présente Annexe.

Les ressources d’information sont protégées par l’utilisation de systèmes de contrôle. L’accès aux informations confidentielles n’est accordé qu’aux employés du Prestataire ayant un besoin d’en connaître. Les employés du Prestataire reçoivent le minimum nécessaire pour accomplir leurs missions. Afin de limiter l’accès des employés aux seules données strictement nécessaires à l’exécution de leurs missions, le profil d’autorisation est défini en séparant les tâches et domaines de responsabilité.

5. Cryptage des données

Le Prestataire utilise un bank-level encryption configuré de A à Z. Chaque fois que le Client envoie ou récupère des données à partir du Service, la communication est toujours sécurisée par le biais d’un cryptage HTTPS.

Outre le cryptage des données en transit, le Prestataire crypte également toutes les données lors de leur stockage. Du moment où il reçoit les Données à Caractère Personnel du Client jusqu’à ce qu’il les supprime, les bases de données du Prestataire sont cryptées. Les données de connexion du Client sont hachées à sens unique à l’aide d’un algorithme de hachage puissant.

• Contenu Google Drive du Client : Le contenu Google Drive du Client est crypté lors de son stockage et en transit, tel que décrit dans cet article du centre d’aide Google Cloud : https://support.google.com/googlecloud/answer/6056693?hl=en
• Données stockées dans Google Cloud Platform (y compris Google Cloud Datastore et Google Cloud Storage) : Les données stockées dans Google Cloud Platform sont cryptées lors de leur stockage et en transit.

Pour le cryptage lors du stockage, le Service s’appuie entièrement sur l’option « Cryptage par défaut » de Google Cloud Platform. Chez Google, les données sont fragmentées en morceaux chiffrés aux fins de leur stockage à l’aide de la norme AES (Advanced Encryption Standard). Google gère entièrement les clés de chiffrement, et les clés de chiffrement des clés. Pour le cryptage en transit, étant donné que l’architecture du Service repose entièrement sur des API et ce, même à partir de son backend, tout le transit des données est effectué à partir de connexions cryptées. Par défaut, le Service s’appuie sur la Sécurité de la Couche de Transport (TLS) mise en œuvre par Google, laquelle applique TLS 1.3 (dans les cas permis) ou QUIC.

En outre, le Prestataire met en œuvre le principe de Strict-Transport-Security dans toutes les réponses que nos applications envoient.

6. Sous-traitants

Bien que le Prestataire réalise lui-même la majorité des activités de traitement des données nécessaires à la fourniture du Service, le Prestataire a recours à certains Sous-Traitants Ultérieurs afin de l’aider à fournir le Service. Chaque sous-traitant est soumis à un processus de sélection rigoureux afin de s’assurer qu’il possède l’expertise technique requise et qu’il est en mesure de mettre en place les mesures de sécurité et de confidentialité appropriées.

Le Prestataire a mis en place des conventions de traitement des données personnelles avec chacun de ses Sous-Traitants Ultérieurs.

7. Délégué à la Protection des Données

Le Délégué à la Protection des Données du Prestataire peut être contacté à l’adresse suivante : legal@aodocs.com.

Annexe 3 - Sous-Traitants Ultérieurs

Le Prestataire fait appel aux Sous-Traitants Ultérieurs suivants pour l’exécution des Services :

A. Instance américaine

B. Instance européenne 

Annexe 4 - Transferts Restreints relatifs aux personnes concernées de l'Union Européenne

Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)

Cette Annexe 4 s'applique aux Transferts Restreints relatifs aux personnes concernées de l'UE et comprend 2 Modules :

• Le Module 2 des CCT applicable aux Transferts Restreints de Données à Caractère Personnel du Client, par lequel le Client agit en tant que Responsable du Traitement et le Prestataire agit en tant que Sous-Traitant ; et

• Le Module 3 des CCT est applicable aux Transferts Restreints de Données à Caractère Personnel du Client, par lequel le Client agit en tant que Sous-Traitant et le Prestataire agit également en tant que Sous-Traitant.

MODULE 2 

Responsable de Traitement à Sous-Traitant

Ce Module 2 des CCT est applicable aux Transferts Restreints de Données à Caractère Personnel du Client, par lequel le Client agit en tant que Responsable du Traitement et le Prestataire agit en tant que Sous-Traitant.  

SECTION I

Clause 1

Finalités et champ d’application

a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.

b) Les parties:

i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et

ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)

sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.

d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:

i) clause 1, clause 2, clause 3, clause 6, clause 7;

ii) clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e);

iii) clause 9, paragraphes a), c), d) et e);

iv) clause 12, paragraphes a), d) et f);

v) clause 13;

vi) clause 15.1, paragraphes c), d) et e);

vii) clause 16, paragraphe e);

viii) clause 18, paragraphes a) et b). 

b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7 

Clause d’adhésion

a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II — OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1.   Instructions

a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.

8.2.   Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.

8.3.   Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4.   Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5.   Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6.   Sécurité du traitement

a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7.   Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8.   Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:

i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;

ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;

iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou 

iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9.   Documentation et conformité

a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.
b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.
c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins trente (30) jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.

b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (8). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.

b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.

c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Voies de recours

a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.

c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:
i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;
ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. 

d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.

g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

a) [Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.

b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:

i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;

ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12);

iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). 

f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1.   Notification

a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :

i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou

ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). 

d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2.   Contrôle de la légalité et minimisation des données

a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. 

c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:

i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou

iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit français. 

Clause 18

Élection de for et juridiction

a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.

b) Les parties conviennent qu’il s’agit des juridictions françaises. 

c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

MODULE 3 

Sous-Traitant à Sous-Traitant

Ce Module 3 des CCT est applicable aux Transferts Restreints de Données à Caractère Personnel du Client, par lequel le Client agit en tant que Sous-Traitant et le Prestataire agit en tant que Sous-Traitant également.  

SECTION I

Clause 1

Finalités et champ d’application

a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.

b) Les parties:

i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et

ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)

sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.

d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:

i) clause 1, clause 2, clause 3, clause 6, clause 7;

ii) clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); 

iii) clause 9, paragraphes a) c), d) et e);

iv) clause 12, paragraphes a), d) et f);

v) clause 13;

vi) clause 15.1, paragraphes c), d) et e);

vii) clause 16, paragraphe e);

viii) clause 18, paragraphes a) et b).

b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7

Clause d’adhésion

a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

SECTION II — OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1.   Instructions

a) L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de données avant le traitement.

b) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat.

c) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement ce dernier.

d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données (5).

8.2.   Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de données.

8.3.   Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.

8.4.   Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour rectifier ou effacer les données.

8.5.   Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6.   Sécurité du traitement

a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

b) L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7.   Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à l’annexe I.B.

8.8.   Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (6) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:

i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;

ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679;

iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou

iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9.   Documentation et conformité

a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes clauses.
b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du responsable du traitement. 
c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement.
d) L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
e) Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les résultats à la disposition de ce dernier.
f) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
g) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

a) L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins trente (30) jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des sous-traitants ultérieurs.

b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (9). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

c) L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

a) L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été autorisé par le responsable du traitement.

b) L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.

c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données.

Clause 11

Voies de recours

a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.

c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:

i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;

ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. 

d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.

g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

a) [Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

[Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.

b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:

i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;

ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12);

iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). L’exportateur de données transmet la notification au responsable du traitement.

f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, si nécessaire en concertation avec le responsable du traitement. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si le responsable du traitement ou l’autorité de contrôle compétente lui en donnent l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1.   Notification

a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):

i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou

ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose. L’exportateur de données transmet la notification au responsable du traitement.

b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). L’exportateur de données transmet les informations au responsable du traitement.

d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2.   Contrôle de la légalité et minimisation des données

a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. L’exportateur de données met l’évaluation à la disposition du responsable du traitement.

c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:

i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou

iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente et le responsable du traitement de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit français. 

Clause 18

Élection de for et juridiction

a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.
b) Les parties conviennent qu’il s’agit des juridictions françaises. 
c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

SOUS ANNEXE I (applicable au MODULE 2 et au MODULE 3)

A. LISTE DES PARTIES

Exportateur de données :

1. Client en tant qu’exportateur de données (MODULE 2)

Nom : Client tel que défini dans le Contrat

Adresse : Adresse du Client telle que définie dans le Contrat

Activités en rapport avec les données transférées au titre des présentes clauses: Service tel que défini dans la CTD

Rôle : Responsable de traitement

2. Client en tant qu’exportateur de données (MODULE 3)

Nom : Client tel que défini dans le Contrat

Adresse : Adresse du Client telle que définie dans le Contrat

Activités en rapport avec les données transférées au titre des présentes clauses: Service tel que défini dans la CTD

Rôle : Sous-Traitant

Importateur de données (MODULE 2 et MODULE 3) :

Nom : Altirnao, Inc (D/B/A AODocs)

Adresse : 1175 Peachtree St NE, Suite 1000, Atlanta, GA, 30361, USA

Nom, fonction et coordonnées de la personne de contact: Emeline Cuchot, DPO, legal@aodocs.com 

Activités en rapport avec les données transférées au titre des présentes clauses: Service tel que défini dans la CTD

Rôle (responsable du traitement/sous-traitant): Sous-Traitant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Voir Annexe 1 (« Informations sur le Traitement des Données à Caractère Personnel du Client ») de la Convention de Traitement de Données 

Catégories de données à caractère personnel transférées

Voir Annexe 1 (« Informations sur le Traitement des Données à Caractère Personnel du Client ») de la Convention de Traitement de Données 

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.

Voir Annexe 1 (« Informations sur le Traitement des Données à Caractère Personnel du Client ») de la Convention de Traitement de Données 

Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).

Le transfert se produit sur une base continue. 

Nature du traitement

Toutes sortes de traitements tels que définis dans l’article 4(2) du RGPD, à savoir toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction

Finalité(s) du transfert et du traitement ultérieur des données

Transfert et traitement des Données à Caractère Personnel du Client par l'importateur pour la fourniture du Service conformément à l'Annexe 1 (« Informations sur le Traitement des Données à Caractère Personnel du Client ») de la Convention de Traitement de Données 

Finalité(s) du traitement des données à caractère personnel pour le compte du responsable du traitement 

Traitement des Données à Caractère Personnel du Client par l'importateur pour la fourniture du Service conformément à l'Annexe 1 (« Informations sur le Traitement des Données à Caractère Personnel du Client ») de la Convention de Traitement de Données 

Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée

La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période. 

Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement

Voir l'Annexe 3 (« Sous-Traitants Ultérieurs ») de la Convention de Traitement de Données et et l'ANNEXE III des CTT (« LISTE DES SOUS-TRAITANTS »).

Le Traitement aura lieu pendant la Durée applicable, telle que définie dans la CTD, plus la période s’étendant de la date d’expiration de cette Durée jusqu’à la suppression par le Prestataire de toutes les Données à Caractère Personnel du Client conformément à la CTD.

CNIL

SOUS ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES (applicable au MODULE 2 et au MODULE 3)

Les mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données, sont détaillées à l'Annexe 2 (« Mesures de Sécurité ») de la Convention sur le Traitement des Données. 

SOUS ANNEXE III

LISTE DES SOUS-TRAITANTS ULTÉRIEURS (applicable au MODULE 2 et au MODULE 3)

Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants:

1. Nom : Google LLC ou ses affiliées

Adresse : 1600 Amphitheatre Parkway Mountain View, CA 94043 

Nom, fonction et coordonnées de la personne de contact : Privacy Officer privacy@google.com  

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : l'hébergement, l'analyse et l'extraction de données

2. Nom : SendGrid, Inc.

Adresse : 375 Beale Street, Suite 300, San Francisco, CA 94105, USA 

Nom, fonction et coordonnées de la personne de contact : Data Protection Officer dpo@sengrid.com  

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : notification automatique par email de workflow

3. Nom : Aliz Tech Kft 

Adresse : 1143 Budapest, Gizella út 42-44, HUNGARY 

Nom, fonction et coordonnées de la personne de contact : hello@aliz.ai 

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : support

4. Nom: Accusoft Corporation 

Adresse : 4001 N. Riverside Drive - Tampa, FL 33603 USA 

Nom, fonction et coordonnées de la personne de contact : Privacy Officer privacy@accusoft.com 

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : lecteur de documents intégré

5. Nom : Zendesk, Inc.

Adresse : 989 Market St, San Francisco, CA 94103 USA

Nom, fonction et coordonnées de la personne de contact : DPO,  privacy@zendesk.com

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : support

6. Nom : Mailgun Technologies Inc.

Adresse : 112 E Pecan St, #1135 San Antonio, TX, 78205, USA

Nom, fonction et coordonnées de la personne de contact : privacy@mailgun.com

Description du traitement (y compris une délimitation claire des responsabilités si plusieurs sous-traitants ultérieurs sont autorisés) : notification automatique par email de workflow

Annexe 5 - Transferts Restreints relatifs aux personnes concernées du Royaume-Uni (UK Addendum)

Cette annexe est applicable lorsque les Données à Caractère Personnel sont transférées du Royaume-Uni vers un pays tiers qui n'assure pas un niveau adéquat de protection des données conformément au RGPD du Royaume-Uni. 

Partie 1: Tableaux

Tableau 1 : Parties

Tableau 2 : CCT, Modules and Clauses sélectionnés

Tableau 3 : Informations de l’Annexe

“Informations de l’Annexe” : désigne les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l'Annexe des CCT de l'UE Approuvées (autres que les Parties), et qui, pour le présent Addendum, sont indiquées dans :

Tableau 4 : Résiliation du présent Addendum en cas de modification de l'Addendum Approuvé

Partie 2 : Clauses obligatoires

Conclusion du présent Addendum

1. Chaque Partie accepte d'être liée par les conditions énoncées dans le présent Addendum, en échange de quoi l'autre Partie accepte également d'être liée par le présent Addendum.

2. Bien que l'Annexe 1A et la Clause 7 des CCT de l'UE Approuvées requièrent la signature des Parties, aux fins d'effectuer des Transferts Restreints, les Parties peuvent conclure le présent Addendum de toute manière qui les rende juridiquement contraignantes pour les Parties et permette aux personnes concernées de faire valoir leurs droits tels qu'ils sont énoncés dans le présent Addendum. La conclusion du présent Addendum aura le même effet que la signature des CCT de l'UE Approuvés et de toute partie des CCT de l'UE Approuvés.

Interprétation de l’Addendum

3. Lorsque le présent Addendum utilise des termes qui sont définis dans les CCT de l'UE Approuvées, ces termes ont la même signification que dans les CCT de l'UE Approuvées. En outre, les termes suivants ont la signification suivante :

4. Le présent Addendum doit toujours être interprété d'une manière compatible avec les Lois Britanniques sur la Protection des Données et de manière à ce qu'il remplisse l'obligation des Parties de fournir les Garanties Appropriées.

5. Si les dispositions incluses dans l'Addendum aux CCT de l’UE modifient les CCT de l’UE Approuvés d'une manière qui n'est pas autorisée par les CCT de l’UE Approuvés ou l'Addendum Approuvé, ces modifications ne seront pas incorporées dans le présent Addendum et la disposition équivalente des CCT de l’UE Approuvées les remplacera.

6. En cas d'incohérence ou de conflit entre les Lois Britanniques sur la Protection des Données et le présent Addendum, les Lois Britanniques sur la Protection des Données s'appliquent.

7. Si la signification du présent Addendum n’est pas claire ou s’il y a plus d’une signification, la signification qui correspond le mieux aux Lois Britanniques sur la Protection des Données s’applique.

8 Toute référence à une législation (ou à des dispositions législatives spécifiques) signifie la législation (ou une disposition spécifique) telle qu’elle peut changer au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réédictée et/ou remplacée après la conclusion du présent Addendum.

Hiérarchie

9. Bien que la Clause 5 des CCT de l’UE Approuvées stipule que les CCT de l’UE Approuvées prévalent sur tous les accords connexes entre les Parties, les Parties conviennent que, pour les Transferts Restreints, la hiérarchie de la Section 10 prévaudra.

10. En cas d’incohérence ou de conflit entre l’Addendum Approuvé et l’Addendum aux CCT de l’UE (le cas échéant), l’Addendum Approuvé prévaut sur l’Addendum aux CCT de l’UE, sauf lorsque (et dans la mesure où) les termes incompatibles ou contradictoires de l’Addendum aux CCT de l’UE offrent une plus grande protection aux personnes concernées, auquel cas ces termes prévaudront sur l’Addendum Approuvé.

11. Lorsque le présent Addendum intègre l’Addendum aux CCT de l’UE qui ont été conclues pour protéger les transferts soumis au Règlement Général sur la Protection des Données (UE) 2016/679, les Parties reconnaissent qu’aucune disposition du présent Addendum n’a d’incidence sur l’Addendum aux CCT de l’UE.

Intégration et modification des CCT de l’UE

12. Le présent Addendum intègre l’Addendum aux CCT de l’UE qui sont modifiées dans la mesure nécessaire pour que:

a. ensemble, ils opèrent pour les transferts de données effectués par l’exportateur de données à l’importateur de données, dans la mesure où les Lois Britanniques sur la Protection des Données s’appliquent au traitement de l’exportateur de données lors de ce transfert de données, et ils fournissent des Garanties Appropriées pour ces transferts de données;

b. les Sections 9 à 11 prévalent sur la Clause 5 (Hiérarchie) de l’Addendum aux CCT de l’UE ; et

c. le présent Addendum (y compris l’Addendum aux CCT de l’UE qui y est incorporé) est (1) régi par les lois d’Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux d’Angleterre et du Pays de Galles, dans chaque cas, à moins que les lois et/ou les tribunaux d’Écosse ou d’Irlande du Nord n’aient été expressément choisis par les Parties.

13. À moins que les Parties n’aient convenu d’autres modifications qui satisfont aux exigences de la Section 12, les dispositions de la Section 15 s’appliqueront.

14. Aucune modification des CCT de l’UE Approuvées autre que pour satisfaire aux exigences de la Section 12 ne peut être apportée.

15. Les modifications suivantes sont apportées à l’Addendum aux CCT de l’UE (aux fins de la Section 12):

a. Les références aux « Clauses » désignent le présent Addendum, incorporant l’Addendum aux CCT de l’UE ;

b. À la Clause 2, supprimer les mots :

« et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679 »;

c. La Clause 6 (Description du ou des transferts) est remplacé par :

« Les détails du ou des transferts et en particulier les catégories de données à caractère personnel transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l’annexe I.B lorsque les Lois Britanniques sur la Protection des Données s’appliquent au traitement par l’exportateur de données lors de ce transfert. »;

d. La Clause 8.7(i) du Module 1 est remplacée par :

« c’est vers un pays bénéficiant de la réglementation d’adéquation conformément à l’article 17A du RGPD Britannique qui couvre le transfert ultérieur » ;

e. La Clause 8.8(i) des Modules 2 et 3 est remplacée par :

« le transfert ultérieur est vers un pays bénéficiant de réglementations d’adéquation conformément à l’article 17A du RGPD Britannique qui couvre le transfert ultérieur ; »

f. Les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016 /679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) » et au « règlement » sont toutes remplacées par « Lois Britanniques sur la Protection des Données ». Les références à un ou plusieurs articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l’article ou la section équivalent des Lois Britanniques sur la Protection des Données ;

g. Les références au règlement (UE) 2018/1725 sont supprimées;

h. Les références à « Union Européenne », « Union », « UE », « État membre de l’UE », « État membre » et « UE ou État membre » sont toutes remplacées par le « Royaume-Uni » ;

i. La mention « Clause 12c)(i) » à la Clause 10b)(i) du Module 1 est remplacée par « Clause  11c)(i) »;

j. La clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées;

k. L’expression « autorité de contrôle compétente » et « autorité de contrôle » sont toutes deux remplacées par le « Information Commissioner »;

l. À la Clause 16(e), l’alinéa (i) est remplacé par :

« le Secrétaire d’État prend des règlements conformément à l’article 17A de la Loi sur la Protection des Données de 2018 qui couvre le transfert de données à caractère personnel auxquelles ces clauses s’appliquent ; »

m. La Clause 17 est remplacée par :

« Les présentes Clauses sont régies par les lois d’Angleterre et du Pays de Galles. » ;

n. La Clause 18 est remplacée par : 

« Tout litige découlant de ces Clauses sera résolu par les tribunaux d’Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de n’importe quel pays du Royaume-Uni. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux. »; et

o. Les notes de bas de page relatives aux CCT de l’UE Approuvées ne font pas partie de l’Addendum, à l’exception des notes de bas de page 8, 9, 10 et 11.

Amendements à cet Addendum

16. Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 de l’Addendum aux CCT de l’UE pour faire référence aux lois et/ou tribunaux d’Écosse ou d’Irlande du Nord.

17. Si les Parties souhaitent modifier le format des informations incluses dans la Partie 1 : Tableaux de l’Addendum Approuvé, elles peuvent le faire en acceptant le changement par écrit, à condition que le changement ne réduise pas les Garanties Appropriées.

18. De temps à autre, l’ICO peut publier un Addendum Approuvé révisé qui :

a. apporte des modifications raisonnables et proportionnées à l’Addendum Approuvé, y compris la correction d’erreurs dans l’Addendum Approuvé; et/ou

b. reflète les modifications apportées aux Lois Britanniques sur la Protection des Données;

L’Addendum Approuvé révisé précisera la date de début à partir de laquelle les modifications apportées à l’Addendum Approuvé entreront en vigueur et si les Parties doivent examiner cet Addendum, y compris les Informations de l’Annexe. Le présent Addendum est automatiquement modifié comme indiqué dans l’Addendum Approuvé révisé à compter de la date de début spécifiée.

19. Si l’ICO publie un Addendum Approuvé révisé en vertu de la Section 18, si une Partie sélectionnée dans le Tableau 4 « Résiliation du présent Addendum lorsque l’Addendum Approuvé change », aura en conséquence directe des modifications apportées à l’Addendum Approuvé une augmentation substantielle, disproportionnée et démontrable de:

a. ses coûts directs d’exécution de ses obligations au titre de l’Addendum; et/ou

b. son risque au titre de l’Addendum,

et dans l’un ou l’autre cas, elle a d’abord pris des mesures raisonnables pour réduire ces coûts ou risques afin qu’ils ne soient pas substantiels et disproportionnés, cette Partie peut mettre fin au présent Addendum à la fin d’une période de préavis raisonnable, en fournissant une notification écrite pour cette période à l’autre Partie avant la date de début de l’Addendum Approuvé révisé.

20. Les Parties n’ont pas besoin du consentement d’un tiers pour apporter des modifications au présent Addendum, mais toute modification doit être apportée conformément à ses termes.