Addendum sur le traitement des données et clauses contractuelles types
1. RECITAL
Le présent addendum sur le traitement des données [ci-après: "DPA"] est conclu entre Instant EU GDPR Representative LTD, une société à responsabilité limitée, enregistrée à Dublin, en Irlande, sous le numéro d'enregistrement K78 X5P8 et GDPR Local LTD. une société à responsabilité limitée, enregistrée à Brighton, en Angleterre, sous le numéro d'enregistrement 12969035, collectivement désignées comme les "Parties" et individuellement comme la "Partie"
CONSIDÉRANT
(a) Instant EU GDPR Representative LTD agit en tant que responsable du traitement des données, tel que défini à la section 2 du présent DPA ;
(b) GDPR Local LTD agit en tant que responsable du traitement des données, tel que défini dans la section 2 de ce DPA ;
(c) Les parties cherchent à mettre en œuvre un accord de traitement des données conforme aux exigences du cadre juridique actuel en matière de traitement des données et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ;
(d) Les parties souhaitent définir leurs droits et obligations.
Le présent DPA, y compris ses annexes, complète et fait partie de l'accord écrit [ci-après "l'accord"], lorsque l'accord est conclu entre le responsable du traitement des données et un client du responsable du traitement des données dans le but de fournir les services du responsable du traitement des données, tels que définis dans la clause 2, tels que définis dans la clause 2 du présent DPA.
2. DÉFINITIONS
Les définitions en majuscules qui ne sont pas autrement définies dans le présent document ont le sens qui leur est donné dans le règlement général sur la protection des données (2016/679) du Parlement européen et du Conseil.
Aux fins de l'interprétation du présent addendum, les termes suivants ont la signification indiquée ci-dessous :
"Loi(s) applicable(s)" désigne toutes les lois applicables en matière de protection des données, de respect de la vie privée et de marketing électronique, y compris (le cas échéant) le GDPR, le UK's Data Protection Act 2018 et le Privacy and Electronic Communications (EC Directive) Regulations 2003, ainsi que toute loi équivalente partout dans le monde, dans la mesure où ces lois s'appliquent aux Données à caractère personnel devant être traitées en vertu des présentes par le Responsable du traitement des données ;
Le "contrôleur des données" est l'entité qui détermine les moyens et la finalité du traitement des données à caractère personnel ;
"Services du contrôleur des données": les services du représentant de l'UE, les services de conseil en matière de GDPR et les services associés ;
Le "responsable du traitement des données" est l'entité qui traite les données à caractère personnel pour le compte du responsable du traitement des données ;
"Services de traitement des données": UK Representative Services ;
" GDPR " désigne le règlement général de l'UE sur la protection des données 2016/679 du Parlement européen et du Conseil, ainsi que toute modification, tout remplacement ou tout complément ultérieur.
" Données personnelles ": toute information qui identifie, concerne, décrit, est susceptible d'être associée ou pourrait raisonnablement être liée, directement ou indirectement, à une personne physique identifiée ou identifiable, qui est traitée par le Responsable du traitement des données pour le compte du Responsable du traitement des données dans le cadre des Services du Responsable du traitement des données ou en relation avec ceux-ci ;
"Services de traitement" : tous les services fournis par le responsable du traitement des données au responsable du traitement des données, y compris les services de stockage, de logiciel ou de plateforme, en vertu d'un accord, d'un bon de commande, d'une licence ou d'un abonnement.
Le terme "services" désigne collectivement les services du responsable du traitement des données et les services du sous-traitant des données ;
"Clauses contractuelles types" : les clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants ou à des soustraitants établis dans des pays tiers, telles qu'adoptées par la Commission européenne de temps à autre en vertu du GDPR, le cas échéant, et toutes les annexes et appendices connexes, qui font partie intégrante du présent DPA et sont jointes en tant qu'éléments suivants l'annexe 2 (ANNEXE 2 : CLAUSES CONTRACTUELLES TYPES ) , qui font partie intégrante du présent DPA et sont jointes à l'annexe 2 (annexe 2 : clauses contractuelles types) , telles qu'elles peuvent être mises à jour périodiquement ;
" Sous-traitant": tout tiers engagé directement par le responsable du traitement des données pour traiter des données à caractère personnel dans le cadre des services du responsable du traitement des données. Ce terme n'inclut pas les employés ou les sous-traitants du responsable du traitement des données ;
3. CHAMP D'APPLICATION DU TRAITEMENT
3.1. Le responsable du traitement des données traite les données à caractère personnel selon les modalités décrites dansl'annexe 1 ( ANNEXE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL) jointe au présent document ;
3.2. Le responsable du traitement des données traite les données à caractère personnel en tant que sous-traitant ou soustraitant agissant pour le compte du responsable du traitement des données en tant que responsable du traitement ou sous-traitant de ces données à caractère personnel, selon le cas ;
3.3. Le responsable du traitement des données donne par la présente instruction au sous-traitant des données de traiter les données à caractère personnel uniquement dans le but limité de fournir les services du sous-traitant des données et uniquement au bénéfice du responsable du traitement des données ;
3.4. Le responsable du traitement des données ne traitera les données à caractère personnel que conformément (i) aux conditions de la présente DPA, (ii) aux conditions de l'accord entre les parties, (iii) uniquement sur instructions documentées du responsable du traitement des données, à moins que le traitement ne soit requis par les lois applicables (dans ce cas, le responsable du traitement des données doit informer le responsable du traitement des données à l'avance de cette exigence, à moins que la loi ne l'interdise), et (iv) en conformité avec l'ensemble des lois applicables ;
3.5. Le responsable du traitement des données informe le responsable du traitement des données dans les meilleurs délais s'il détermine qu'il ne peut plus répondre aux instructions du responsable du traitement des données ou à ses obligations en vertu du présent DPA.
4. SOUS-TRAITEMENT
4.1. Le Responsable du traitement des données ne doit pas sous-traiter le traitement des données personnelles à un tiers supplémentaire sans l'accord écrit préalable du Responsable du traitement des données concernant chaque activité de sous-traitance et chaque tiers. Nonobstant ce qui précède, le Responsable du traitement des données autorise le Sous-traitant à engager des Sous-traitants sans restriction dans le but limité de traiter les Données personnelles strictement nécessaires à l'exécution des obligations du Sous-traitant des données en vertu de l'Accord, à condition que le Sous-traitant des données :
- notifie par écrit au contrôleur des données, au moins trente (30) jours à l'avance, son intention d'engager ou de remplacer un sous-traitant ultérieur. Cette notification est envoyée au contact désigné par le contrôleur des données et doit inclure au moins : (i) le nom du sous-traitant secondaire ; (ii) le type de données personnelles traitées par ce sous-traitant secondaire et à quelles fins ; (iii) la description des personnes concernées dont les données personnelles seront traitées par ce sous-traitant secondaire, et (iv) le lieu du traitement des données effectué par ce sous-traitant secondaire ;
- effectue le niveau de diligence raisonnable nécessaire pour s'assurer que ce Sous-Traitant peut satisfaire aux exigences de ce DPA et de toutes les Lois Applicables ; et
- veille à ce que l'accord entre le responsable du traitement des données et le sous-traitant ultérieur soit régi par un contrat écrit liant le sous-traitant ultérieur, qui (i) exige du sous-traitant ultérieur qu'il traite les données à caractère personnel conformément au présent RGPD ou à des normes qui ne sont pas moins contraignantes que le présent RGPD ; et (ii) inclut et s'appuie sur les Clauses contractuelles types, qui font partie du contrat entre le Responsable du traitement des données et ses Sous-traitants et qui sont contraignantes à la fois pour le Responsable du traitement des données et pour son Sous-traitant, dans la mesure où des Données à caractère personnel peuvent être traitées par ce Sous-traitant en dehors de l'EEE.
4.2. Le Responsable du traitement des données peut s'opposer à l'engagement de tout Sous-traitant pour des motifs raisonnables liés à la vie privée, à la protection des données ou à la sécurité. Dans ce cas, le Responsable du traitement des données n'engagera un Sous-traitant pour la fourniture des Services de traitement des données au Responsable du traitement des données qu'après avoir effectué une évaluation appropriée des risques et s'être assuré que des contrôles techniques et organisationnels appropriés sont en place. Si le contrôleur des données s'oppose à l'engagement du sous-traitant secondaire, il peut résilier ou suspendre son accord avec le responsable du traitement des données, avec effet immédiat et sans pénalité.
4.3. Le responsable du traitement des données reste à tout moment pleinement responsable vis-à-vis du responsable du traitement des données de l'exécution des obligations de ses sous-traitants et de ses activités de traitement des données à caractère personnel.
5. PERSONNEL CHARGÉ DU TRAITEMENT DES DONNÉES
5.1. Dans la mesure où le droit applicable le permet, le Responsable du traitement des données procède à une enquête appropriée sur les antécédents de tous les employés ou sous-traitants du Responsable du traitement des données qui peuvent avoir accès aux Données à caractère personnel [ci-après : "Personnel du Responsable du traitement des données"] , avant de leur permettre un tel accès. Si l'enquête sur les antécédents révèle que le personnel du responsable du traitement des données n'est pas apte à accéder aux données à caractère personnel, le responsable du traitement des données ne lui donnera pas accès aux données à caractère personnel.
5.2. Le Responsable du traitement des données doit s'assurer que l'ensemble du personnel du Responsable du traitement des données : (i) n'a accès qu'à ce qui est nécessaire pour fournir au Responsable du traitement des données les Services du Responsable du traitement des données et se conformer aux Lois applicables ; (ii) est contractuellement lié à des exigences de confidentialité qui ne sont pas moins onéreuses que le présent DPA ; (iii) reçoit une formation appropriée en matière de confidentialité et de sécurité ; (iv) est informé de la nature confidentielle des Données à caractère personnel et est tenu de les garder confidentielles ; et (v) est conscient des devoirs et obligations du Responsable du traitement des données en vertu du présent DPA.
6. SÉCURITÉ
6.1. Le responsable du traitement déclare et garantit qu'il a mis en œuvre et qu'il maintiendra des mesures techniques, physiques et organisationnelles appropriées pour protéger les données à caractère personnel contre la perte, l'altération, la destruction, la divulgation ou l'accès non autorisés, de manière accidentelle ou illicite et, en particulier, lorsque le traitement implique la transmission de données sur un réseau, contre toutes les formes anticipées de traitement illicite.
6.2. Compte tenu de l'état de la technique et du coût de leur mise en œuvre, le responsable du traitement des données accepte et garantit que ces mesures assurent un niveau de sécurité approprié aux risques présentés par le traitement (y compris les risques de violation des données à caractère personnel) et à la nature des données à caractère personnel à protéger, et, sans limitation, que ces mesures comprennent :
- la pseudonymisation et/ou le cryptage des données à caractère personnel, en transit et au repos ;
- la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
- la capacité à rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique ; et
- un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles destinées à garantir la sécurité du traitement.
6.3. Le responsable du traitement des données tient des registres de ses activités de traitement effectuées pour le compte du responsable du traitement des données, qui comprennent au moins les éléments suivants :
- les coordonnées du responsable du traitement des données en tant que responsable du traitement des données à caractère personnel, de tout représentant, sous-traitant, responsable de la protection des données et du personnel du responsable du traitement des données ayant accès aux données à caractère personnel ;
- les catégories d'activités de traitement effectuées ;
- des informations concernant les transferts transfrontaliers de données (comme précisé à la section 11 du présent DPA), le cas échéant ; et une description des mesures de sécurité techniques et organisationnelles mises en œuvre en ce qui concerne les données à caractère personnel traitées.
6.4. Sans déroger aux droits d'audit du contrôleur des données en vertu de l'article 10(FOURNITURE D'INFORMATIONS ET D'ASSISTANCE), le contrôleur des données se réserve le droit d'inspecter à tout moment les dossiers tenus par le responsable du traitement des données en vertu du présent article 5 ( PERSONNEL DU RESPONSABLE DU TRAITEMENT DES DONNÉES).
7. DROITS DE LA PERSONNE CONCERNÉE
7.1. Le Responsable du traitement des données aide raisonnablement le Contrôleur des données à répondre aux demandes d'exercice des droits des personnes concernées ou des droits des consommateurs (y compris toute plainte concernant le traitement des données à caractère personnel) en vertu des lois applicables, y compris, mais sans s'y limiter, les lois européennes sur la protection des données (" demande(s) de la personne concernée").
7.2. Le responsable du traitement des données
- informer rapidement le contrôleur des données s'il reçoit une demande de la part de la personne concernée concernant les données à caractère personnel ;
- fournir une coopération et une assistance totales en relation avec toute demande de la personne concernée ;
- s'assurer qu'il ne répond pas aux demandes des personnes concernées, sauf sur instructions documentées du responsable du traitement des données ou si cela est strictement requis par les lois applicables auxquelles le responsable du traitement des données est soumis ; et
- Conserver les enregistrements électroniques des demandes des personnes concernées (en vertu des lois applicables).
8. DIVULGATION LÉGALE ET VIOLATION DE DONNÉES À CARACTÈRE PERSONNEL
8.1. Le responsable du traitement des données informe le contrôleur des données dans les 24 heures après avoir pris connaissance :
- toute demande de divulgation de données à caractère personnel émanant d'une autorité de contrôle et/ou de toute autre autorité chargée de l'application de la loi ou d'un tribunal, à moins que le droit pénal ne l'interdise en exigeant spécifiquement du responsable du traitement des données qu'il préserve la confidentialité d'une enquête des autorités chargées de l'application de la loi ;
8.1.1. toute violation de données personnelles raisonnablement suspectée ou connue comme affectant les données personnelles. Le Responsable du traitement des données fournira au Responsable du traitement des données des informations suffisantes pour permettre au Responsable du traitement des données de s'acquitter de toute obligation de signaler ou d'informer les personnes concernées ou les autorités chargées de la protection des données de la violation de données à caractère personnel en vertu des Lois applicables. Sauf si la loi l'exige, le Responsable du traitement des données ne fera aucune déclaration publique ou autre divulgation concernant une violation de données personnelles affectant des données personnelles sans le consentement écrit préalable du Responsable du traitement des données, qui peut être fourni, à la discrétion du Responsable du traitement des données, au cas par cas.
8.2. Le responsable du traitement des données fournit au contrôleur des données les détails suivants, dans la mesure du possible :
- La nature de la violation de données à caractère personnel, y compris les catégories de personnes concernées et les catégories de données à caractère personnel et d'enregistrements de données concernés ;
- les mesures proposées ou prises par le responsable du traitement des données en coopération avec le contrôleur des données pour remédier à la violation de données à caractère personnel ; et
- Les mesures que le contrôleur des données pourrait prendre pour atténuer les éventuels effets négatifs de la violation de données à caractère personnel.
8.3. Le responsable du traitement des données prend toutes les mesures nécessaires pour enquêter sur toute violation présumée ou avérée de données à caractère personnel et pour atténuer les dommages qui en découlent.
8.4. Le responsable du traitement des données coopère pleinement avec le responsable du traitement des données et prend les mesures demandées par ce dernier pour contribuer à l'enquête, à l'atténuation et à la réparation de chaque violation de données à caractère personnel.
9. SUPPRESSION OU RESTITUTION DES DONNÉES À CARACTÈRE PERSONNEL
9.1. À l'expiration ou à la résiliation de la fourniture des services du Responsable du traitement des données, le Responsable du traitement des données doit, à la demande du Contrôleur des données, supprimer ou renvoyer sans délai toutes les copies des Données personnelles en sa possession ou sous son contrôle et/ou celui de l'un de ses Sous-traitants, à l'exception de celles qui doivent être conservées conformément aux Lois applicables. Dans ce cas, le responsable du traitement des données garantit qu'il assurera la confidentialité des données personnelles, qu'il ne traitera plus activement les données personnelles et qu'il garantira la restitution et/ou la destruction des données personnelles à la demande du responsable du traitement des données lorsque l'obligation légale de ne pas restituer ou détruire les informations n'est plus en vigueur.
9.2. Sur demande écrite préalable du contrôleur des données, le responsable de la protection de la vie privée du sous-traitant des données ou son équivalent fournit au contrôleur des données une certification écrite attestant que le sous-traitant des données s'est pleinement conformé à la présente section.
10. FOURNITURE D'INFORMATIONS ET D'ASSISTANCE
Le Responsable du traitement des données coopère et assiste raisonnablement le Responsable du traitement des données dans le cadre de toute évaluation de l'impact sur la protection des données, de consultations préalables concernant les autorités compétentes en matière de protection des données et de toute autre assistance liée au respect des obligations du Responsable du traitement des données en vertu du GDPR et d'autres lois applicables. La portée de cette assistance est limitée au traitement des données à caractère personnel par le responsable du traitement des données.
11. DROITS D'AUDIT
11.1 Le responsable du traitement des données met rapidement à la disposition du responsable du traitement des données, sur demande écrite, toutes les informations nécessaires pour démontrer le respect du présent DPA et de toute loi applicable, y compris les certifications d'audit de tiers conformes aux normes de l'industrie.
11.2. Le responsable du traitement des données autorise les audits, y compris les inspections, du responsable du traitement des données et/ou d'un auditeur mandaté par le responsable du traitement des données, et y contribue. En tout état de cause, un auditeur tiers est soumis à des obligations de confidentialité. Le responsable du traitement des données peut s'opposer à la sélection d'un auditeur s'il estime raisonnablement que celui-ci ne garantit pas la confidentialité et la sécurité ou qu'il met en péril les activités du responsable du traitement des données.
12. TRANSFERT TRANSFRONTALIER DE DONNÉES
12.1 Les données à caractère personnel peuvent être transférées de l'Union européenne ("UE") vers des pays qui offrent des niveaux adéquats de protection des données en vertu ou conformément aux décisions d'adéquation publiées par les données pertinentes de l'UE ("Décisions d'adéquation"), selon le cas, sans qu'aucune autre mesure de sauvegarde ne soit nécessaire ;
12.2 Si le traitement des données à caractère personnel par le sous-traitant inclut des transferts de l'UE vers d'autres pays qui n'ont pas fait l'objet d'une décision d'adéquation pertinente, et que ces transferts ne sont pas effectués par le biais d'un autre mécanisme de conformité reconnu pouvant être adopté par le sous-traitant pour le transfert licite de données à caractère personnel tel que défini dans le GDPR, les Clauses contractuelles standard s'appliqueront ;
12.3 Lorsque le transfert de données à caractère personnel est soumis aux Clauses contractuelles types, celles-ci doivent être complétées et signées simultanément à l'exécution du présent DPA par le Responsable du traitement des données et le Sous-traitant des données. Le Responsable du traitement des données veillera à ce que chaque Sous-processeur engagé dans le traitement de ces Données à caractère personnel se conforme aux obligations des Responsables du traitement des données au titre des CSC et le Responsable du traitement des données se conformera aux obligations du Responsable du traitement des données, dans chaque cas en vertu des Clauses contractuelles types applicables. Si le contrôleur des données le demande, le responsable du traitement des données veillera à ce que ses sous-traitants secondaires concluent directement des clauses contractuelles types avec le contrôleur des données ;
12.4 Les Clauses contractuelles types ne s'appliquent pas aux données à caractère personnel concernant des personnes situées en dehors du Royaume-Uni et de l'EEE, ou qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l'EEE. Pour les transferts de données provenant d'autres pays en dehors du Royaume-Uni et de l'EEE, le responsable du traitement des données se conformera à toutes les lois applicables du territoire d'origine des données à caractère personnel ;
12.5. Le responsable du traitement des données fournit au responsable du traitement des données toutes les informations pertinentes pour permettre au responsable du traitement des données de respecter ses obligations en cas de transferts transfrontaliers de données à caractère personnel. Le contrôleur des données peut s'opposer au transfert de données à caractère personnel en vertu de la présente section 11 ( DROITS D'AUDIT) pour des raisons de confidentialité et de sécurité. Dans ce cas, le responsable du traitement des données n'effectuera pas ce transfert de données à caractère personnel ou le responsable du traitement des données peut résilier ou suspendre la fourniture des services du responsable du traitement des données avec effet immédiat et sans pénalité.
13. INDEMNISATION
13.1.Le Responsable du traitement des données indemnise, dans la mesure prévue par les Informations personnelles identifiables du Responsable du traitement des données [ci-après : " PII"], défendre et dégager de toute responsabilité le Responsable du traitement des données et ses responsables, directeurs et employés respectifs contre les réclamations et procédures et toute responsabilité, perte, coûts, amendes et dépenses (y compris les frais juridiques raisonnables) découlant (i) du Traitement illégal ou non autorisé par le Responsable du traitement des données, de la destruction ou de l'endommagement de toute Donnée personnelle ; et/ou (ii) le non-respect par le responsable du traitement (y compris le personnel du responsable du traitement et les sous-traitants du responsable du traitement) de ses obligations en vertu de la présente DPA, de l'accord existant ou de toute autre instruction relative à un tel traitement donnée par écrit par le responsable du traitement conformément à la présente DPA.
14. DIVERS
14.1 Le présent DPA, y compris le CCAP annexé, peut être signé en plusieurs exemplaires, chacun d'entre eux étant considéré comme un original, mais tous ensemble comme un seul et même contrat. La remise d'un exemplaire signé d'une page de signature du présent DPA par télécopie ou par courriel d'une copie scannée, ou l'exécution et la remise par l'intermédiaire d'un service de signature électronique (tel que DocuSign), vaut remise d'un exemplaire original signé du présent DPA.
14.2. Séparation : Si une disposition de ce DPA est jugée invalide ou inapplicable, le reste du DPA reste valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour garantir sa validité et son applicabilité, tout en préservant au mieux les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'avait jamais été contenue dans le DPA.
14.3.Avis : Toutes les notifications requises en vertu du présent DPA sont envoyées au contrôleur des données par courrier électronique.
14.4. Les avis adressés au responsable du traitement des données doivent être envoyés à : [email protected]
14.5. Ordre de préséance : En cas de conflit entre les termes du présent DPA et d'autres documents liant les parties, les termes de ces documents seront interprétés selon l'ordre de préséance suivant : (i) les Clauses contractuelles types, uniquement dans la mesure où elles sont applicables conformément à la section 11 ci-dessus ; (ii) le présent DPA ; (iii) toutes les conditions de l'accord, les bons de commande, la licence ou l'abonnement, en vertu desquels les services de traitement des données sont fournis.
14.6 Modifications par le responsable du traitement des données : le responsable du traitement des données peut, moyennant un préavis écrit d'au moins quarante-cinq (45) jours calendaires adressé au contrôleur des données, demander par écrit des modifications au présent DPA si elles sont nécessaires à la suite d'un changement ou d'une décision d'une autorité compétente en vertu de toute loi sur la protection des données, afin de permettre que le traitement des données personnelles soit effectué (ou continue d'être effectué) sans enfreindre cette loi sur la protection des données. Suite à cette notification, les Parties discuteront rapidement des modifications proposées et négocieront de bonne foi en vue d'accepter et de mettre en œuvre ces modifications ou d'autres modifications destinées à répondre aux exigences légales identifiées dans la notification du responsable du traitement des données, dès que cela sera raisonnablement possible.
14.7 Modifications par le Responsable du traitement des données : le Responsable du traitement des données peut, moyennant un préavis écrit d'au moins trente (30) jours civils adressé au Processeur de données, modifier les conditions du présent DPA et/ou toute clause contractuelle standard applicable en vertu de la section 11 du présent DPA, si nécessaire pour permettre au Traitement des données personnelles d'être effectué (ou de continuer à être effectué) sans violation des Lois sur la protection des données applicables, ou pour protéger autrement les intérêts du Responsable du traitement des données, dans chaque cas tel que raisonnablement déterminé par le Responsable du traitement des données, à sa discrétion. Si le responsable du traitement des données s'oppose à ces modifications dans le délai de préavis, les parties discutent rapidement des modifications proposées et négocient de bonne foi en vue de convenir et de mettre en œuvre ces modifications ou d'autres modifications conçues pour répondre aux exigences identifiées dans le préavis du responsable du traitement des données, dès que cela est raisonnablement possible. Si les Parties ne parviennent pas à un tel accord dans les 30 jours suivant la notification, le Responsable du traitement des données peut, par notification écrite à l'autre Partie, avec effet immédiat et sans pénalité, résilier l'Accord dans la mesure où il concerne les Services de traitement des données qui sont affectés par les modifications proposées (ou l'absence de modifications).
EN FOI DE QUOI, le présent DPA est conclu et devient contraignant entre les parties à compter de la première date indiquée ci-dessus.
| Au nom du contrôleur : |
| Nom complet : Adam Brogden |
| Poste : Directeur |
| Adresse : Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlande |
| Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) : |
| Signature : Adam Brogden |
| Au nom du sous-traitant : |
| Nom complet : Zlatko Delev |
| Poste : Chef d'équipe conformité |
| Adresse : 1st Floor Front Suite, 27-29 North Street, Brighton, England BN1 1EB |
| Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) : |
| Signature : Zlatko Delev |
ANNEXE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES PERSONNELLES
Ce document Annexe 1 contient certains détails sur le traitement des données à caractère personnel.
Description des services de l'importateur de données : traitement des données à caractère personnel de l'exportateur de données afin de fournir les services, tels que définis à la clause 2 du présent DPA.
Durée du traitement : aussi longtemps que les services d'importation de données sont fournis.
Nature et finalité du traitement : la nature et la finalité du traitement consistent à fournir des services à notre client afin de se conformer à la loi britannique sur la protection des données, au GDPR et aux réglementations connexes en matière de protection des données.
Types de données à caractère personnel traitées : Les données à traiter comprennent les coordonnées de l'exportateur de données et des personnes concernées, ainsi que les données relatives au traitement des demandes, des réclamations et d'autres interactions résultant de la fourniture des services. Il s'agit notamment du nom de la personne concernée , de ses coordonnées, de son adresse électronique, de son numéro de téléphone, des détails de son paiement, de son adresse de facturation et des interactions par courrier électronique, téléphone ou courrier postal, etc... .....
ANNEXE 2 : CLAUSES CONTRACTUELLES TYPES
(du contrôleur aux processeurs)
Clause 1 : Objet et champ d'application :
(a) L'Exportateur de données et l'Importateur de données, tel que défini ci-dessous, ou dans tout autre accord ou addendum régissant effectivement le traitement des données à caractère personnel par l'Importateur de données pour le compte de l'Exportateur de données, y compris toutes les annexes, pièces et appendices y afférents, chacun étant une "Partie" ; et collectivement les "Parties", ont convenu des Clauses contractuelles suivantes ("Clauses") afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des individus pour le transfert par l'Exportateur de données à l'Importateur de données des données à caractère personnel spécifiées à l'Annexe.I.
(b) L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.
Définitions
Les définitions en majuscules qui ne sont pas autrement définies dans le présent document ont la signification qui leur est donnée dans le GDPR et dans le DPA. Sauf modification ou complément ci-dessous, les définitions du RGPD restent pleinement en vigueur.
Aux fins des clauses :
L'"exportateur de données" est l'entité basée dans l'UE/EEE ou dans un pays tiers qui transfère les données à caractère personnel ;
"Importateur de données": l'entité d'un pays tiers qui reçoit les données à caractère personnel de l'exportateur de données ;
Le "Sous-traitant" est tout sous-traitant engagé par l'Importateur de données ou par tout autre Sous-traitant de l'Importateur de données qui accepte de recevoir de l'Importateur de données ou de tout autre Sous-traitant de l'Importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l'Exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du contrat de sous-traitance écrit ;
"Mesures de sécurité techniques et organisationnelles": les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, et contre toute autre forme de traitement illicite.
Clause 2 : Effet et invariabilité des clauses
(a) Les présentes clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du GDPR et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du GDPR, pour autant qu'elles ne soient pas modifiées. Cela n'empêche pas les parties d'inclure les clauses contractuelles types établies dans les présentes clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes clauses ou qu'elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.
(b) Les présentes Clauses sont sans préjudice des obligations auxquelles l'Exportateur de données est soumis en vertu du Règlement (UE) 2016/679.
Clause 3 : Tiers bénéficiaires
(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, avec les exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
(ii) la clause 8.1(b), 16(a), (c), (d) et (e) ;
(iii) Article 17, points a), c), d) et e) ;
(iv) Article 20, points a), d) et f) ;
(v) Clause 21 ;
(vi) Clause 23.1(c), (d) et (e) ;
(vii) Clause 24(e) ;
(viii) Article 26, points a) et b) ;
(b) Le point a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.
Clause 4 : Interprétation
(a) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du GDPR.
(b) Les présentes clauses ne doivent pas être interprétées d'une manière qui entre en conflit avec les droits et obligations prévus par le GDPR.
Clause 5 : Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévalent.
Clause 6 : Description du transfert
Les détails du transfert, et en particulier les catégories de données à caractère personnel qui sont transférées et la finalité de ce transfert, sont précisés à l'annexe I.B.
Clause 7 - Clause d'amarrage
(a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, adhérer à tout moment aux présentes clauses, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en complétant l'appendice et en signant l'annexe I.A.
(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité adhérente devient partie aux présentes clauses et a les droits et obligations d'un exportateur ou d'un importateur de données conformément à sa désignation dans l'annexe I.A.
(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période précédant son adhésion.
Article 8 : Instructions
(a) L'importateur de données ne traite les données à caractère personnel que sur instruction documentée de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
Clause9 : Limitation de l'objet
L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles qu'elles sont définies à l'annexe I.B, à moins que l'exportateur de données ne lui donne d'autres instructions.
Clause 10 : Transparence
Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel qu'il a été complété par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure d'en comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du GDPR.
Clause 11 : Précision
Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou périmées, il en informe l'exportateur de données dans les plus brefs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.
Clause 12 : Durée du traitement et effacement ou restitution des données
Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la fourniture des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifie à ce dernier qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et qu'il ne les traitera que dans la mesure et pour la durée requises par ces lois locales. Ceci est sans préjudice de la clause 22, en particulier de l'obligation pour l'importateur de données, en vertu de la clause 22 (e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 22 (a).
Clause 13 : Sécurité du traitement
(a) L'importateur de données et, lors de la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à ces données [ci-après dénommée "violation de données à caractère personnel"]. Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques que comporte le traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
(b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données notifie également l'exportateur de données dans les meilleurs délais après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets néfastes. Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, et dans la mesure où il n'est pas possible de le faire, la notification initiale contient les informations disponibles à ce moment-là et des informations supplémentaires sont fournies ultérieurement, au fur et à mesure qu'elles sont disponibles, sans retard injustifié.
(d) L'importateur de données coopère avec l'exportateur de données et l'assiste pour lui permettre de se conformer à ses obligations au titre du GDPR, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.
Clause 14 : Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B.
Clause 15 : Transferts ultérieurs
L'importateur de données ne divulguera les données à caractère personnel à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après "transfert ultérieur") que si le tiers est ou accepte d'être lié par les présentes Clauses, ou si :
(i) le transfert ultérieur est effectué vers un pays bénéficiant d'une décision d'adéquation au titre de l'article 45 du GDPR qui couvre le transfert ultérieur ;
(ii) le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du GDPR en ce qui concerne le traitement en question ;
(iii) le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
Tout transfert ultérieur est subordonné au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.
Clause 16 : Documentation et conformité
(a) L'importateur de données notifie sans délai à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.
(b) L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du GDPR. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.
(c) En remplissant ses obligations au titre des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données.
(d) L'importateur de données autorise l'exportateur de données à procéder à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-conformité, et contribue à ces audits. Il en va de même lorsque l'exportateur de données demande un audit sur instruction du responsable du traitement. Lorsqu'il décide d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.
(e) Lorsque l'audit est effectué sur instruction du responsable du traitement, l'exportateur de données met les résultats à la disposition du responsable du traitement.
(f) L'exportateur de données peut choisir d'effectuer l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(g) Les parties mettent les informations visées aux points b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de surveillance compétente qui en fait la demande.
Clause 17 : Recours à des sous-traitants secondaires
(a) L'importateur de données ne sous-traite aucune des activités de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses à un sous-traitant ultérieur sans l'autorisation écrite spécifique préalable de l'exportateur de données. L'importateur de données soumet la demande d'autorisation spécifique au moins 30 jours avant l'engagement du sous-traitant ultérieur, accompagnée des informations nécessaires pour permettre à l'exportateur de données de décider de l'autorisation. La liste des sous-traitants ultérieurs déjà autorisés par l'exportateur de données figure à l'annexe III. Les parties tiennent l'annexe III à jour.
(b) Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations au titre de la clause 15. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.
(c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie de cet accord de sous-traitance et de tout amendement ultérieur à l'exportateur de données. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en partager une copie.
(d) L'importateur de données reste entièrement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur à ses obligations contractuelles.
(e) L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat de sous-traitance ultérieur et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.
Clause 18 : Droits de la personne concernée
(a) L'importateur de données notifie sans délai à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.
(b) (b) L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes d'exercice des droits des personnes concernées en vertu du GDPR. cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.
(c) (c) En remplissant ses obligations au titre des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données.
Clause 19 : Recours
(a) L'importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d'une notification individuelle ou sur son site internet, de l'existence d'un point de contact habilité à traiter les réclamations. Il traite rapidement toute réclamation qu'il reçoit d'une personne concernée.
(b) En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie met tout en œuvre pour résoudre le problème à l'amiable en temps utile. Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent pour les résoudre.
(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l'importateur de données accepte la décision de la personne concernée :
(i) déposer une plainte auprès de l'autorité de contrôle de l'État membre dans lequel il réside habituellement ou dans lequel il travaille, ou auprès de l'autorité de contrôle compétente en vertu de la clause 21 ;
(ii) (ii) soumettre le litige aux tribunaux compétents au sens de la clause 26.
(iii) (d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du GDPR.
(iv) L'importateur de données doit se conformer à une décision qui est contraignante en vertu de la législation de l'UE ou de l'État membre applicable.
(v) (f) L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.
Clause 20 : Responsabilité
(a) Chaque partie est responsable envers l'autre partie de tout dommage qu'elle lui cause du fait d'une violation des présentes clauses.
(b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou moral que l'importateur de données ou son sous-traitant cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu des présentes clauses.
(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une compensation, pour tout dommage matériel ou non matériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu des présentes Clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du GDPR ou du règlement (UE) 2018/1725, selon le cas.
(d) Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l'importateur de données (ou son sous-traitant), il a le droit de réclamer à l'importateur de données la partie de la compensation correspondant à la responsabilité de l'importateur de données dans le dommage.
(e) Lorsque plusieurs parties sont responsables de tout dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.
(f) Les parties conviennent que si l'une d'entre elles est tenue responsable en vertu du paragraphe e), elle est en droit de réclamer à l'autre partie la partie de l'indemnisation correspondant à sa responsabilité dans le dommage.
(g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.
Clause 21 : Supervision
(a) L'autorité de contrôle chargée de veiller au respect du GDPR par l'exportateur de données en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements.
LES LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES
Clause 22 : Lois et pratiques locales affectant le respect des clauses
(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir ses obligations au titre des présentes clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du GDPR, ne sont pas en contradiction avec les présentes clauses.
(b) Les parties déclarent qu'en fournissant la garantie visée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :
(i) les circonstances particulières du transfert, notamment la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
(ii) les lois et pratiques du pays tiers de destination - y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès de ces autorités - pertinentes à la lumière des circonstances particulières du transfert, ainsi que les limitations et garanties applicables ;
(iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.
(c) L'importateur de données garantit que, dans le cadre de l'évaluation visée au paragraphe (b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données afin de garantir le respect des présentes clauses.
(d) Les parties conviennent de documenter l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.
(e) L'importateur de données accepte d'informer rapidement l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a).
(f) À la suite d'une notification en vertu du paragraphe (e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l'autorité de contrôle compétente lui en donne l'instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 23, points d) et e), s'applique.
Clause 23 : Obligations de l'importateur de données en cas d'accès par les autorités publiques
23.1 Notification
(a) L'importateur de données s'engage à notifier rapidement (si nécessaire avec l'aide de l'exportateur de données) à l'exportateur de données et, si possible, à la personne concernée, tout ce qui suit :
(i) reçoit une demande juridiquement contraignante émanant d'une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, en vue de la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse apportée ; ou
(ii) a connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses, conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.
(b) Si la législation du pays de destination interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée, l'importateur de données s'engage à faire de son mieux pour obtenir une dérogation à cette interdiction, en vue de communiquer le plus d'informations possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.
c) Lorsque la législation du pays de destination le permet, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité/les autorités requérante(s), si les demandes ont été contestées et l'issue de ces contestations, etc.
(d) L'importateur de données accepte de conserver les informations visées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.
(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 22(e) et à la clause 24, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer aux présentes clauses.
23.2 Examen de la légalité et de la minimisation des données
(a) L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier de vérifier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données exerce, dans les mêmes conditions, les voies de recours. Lorsqu'il conteste une demande, l'importateur de données prend des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données au titre de la clause 22, point e).
(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.
(c) L'importateur de données s'engage à fournir le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.
DISPOSITIONS FINALES
Clause 24 : Non-respect des clauses et résiliation
(a) L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes clauses, quelle qu'en soit la raison.
(b) Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de le faire, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 21, point f).
(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque :
(i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ;
(ii) l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou
(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations au titre des présentes clauses.
(d) Dans ces cas, il informe l'autorité de contrôle compétente de cette non-conformité. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.
(e) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données.
(f) L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continue de veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pour la durée requises par ces lois locales.
(g) Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45, paragraphe 3, du GDPR qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le GDPR devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice d'autres obligations s'appliquant au traitement en question en vertu du GDPR.
Clause 25 : Droit applicable
Les présentes clauses sont régies par le droit de l'un des États membres de l'Union européenne, à condition que ce droit autorise les droits des tiers bénéficiaires. Les parties conviennent que le droit irlandais sera applicable.
Clause 26 : Choix du for et de la juridiction
(a) Tout litige découlant des présentes clauses sera réglé par les tribunaux d'un État membre de l'UE.
(b) Les parties conviennent que ces tribunaux seront ceux de l'Irlande.
(c) Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.
(d) Les parties conviennent de se soumettre à la juridiction de ces tribunaux.
Au nom de l'exportateur de données :
| Nom complet : Adam Brogden |
| Poste : Directeur |
| Adresse : Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlande |
| Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) : |
| Signature : Adam Brogden |
| Au nom de l'importateur de données : |
| Nom complet : Zlatko Delev |
| Poste : Chef d'équipe |
| Adresse : 1st Floor Front Suite, 27-29 North Street, Brighton, England BN1 1EB |
| Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) : |
| Signature : Zlatko Delev |
ANNEXE
ANNEXE I.
A. Liste des parties
1.
Exportateur de données
Nom : Instant EU GDPR Representative LTD
Adresse : Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlande
Nom, fonction et coordonnées de la personne de contact : ... Adam Brogden, directeur, [email protected]
Signature et date : ADAM BROGDEN; 13/12/2021
Rôle : contrôleur et processeur
2. …
Importateur de données
Nom : GDPR Local LTD
Adresse : 1st Floor Front Suite, 27-29 North Street, Brighton, Angleterre
Nom, fonction et coordonnées de la personne de contact : Zlatko Delev, chef de l'équipe de conformité, [email protected]
Signature et date : ZLATKO DELEV; 13/12/2021
Rôle : processeur
B. Description du transfert
Catégories de personnes dont les données personnelles sont transférées : les employés, les clients, leurs fournisseurs et les tiers, les régulateurs, les personnes qui en font la demande et les autres sociétés et agences qui peuvent être impliquées.
Catégories de données à caractère personnel transférées : coordonnées de l'exportateur de données et des personnes concernées, ainsi que données relatives au traitement des demandes, réclamations et autres interactions résultant de la fourniture des services. Il s'agit notamment du nom de la personne concernée ( ), de ses coordonnées, de son adresse électronique, de son numéro de téléphone, de ses données de paiement, de son adresse de facturation et des interactions par courrier électronique, téléphone, courrier postal, etc. .....
Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires. Nous ne collectons ni ne stockons systématiquement des données personnelles sensibles. Toutefois, lorsque cela se produit, nous veillons à prendre les mesures appropriées pour protéger ces données sensibles.
La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue). Les données sont transférées sur une base ad hoc, en fonction des besoins.
Nature du traitement: la nature et la finalité du traitement sont de fournir des services à notre client afin de se conformer à la loi britannique sur la protection des données (UK Data Protection Act), au règlement sur la protection des données (GDPR) et aux réglementations connexes en matière de protection des données.
Finalité(s) du transfert et du traitement ultérieur des données : fournir des services de représentation pour l'UE/le Royaume-Uni, des services de conseil en matière de GDPR et des services associés.
La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée : aussi longtemps que les services d'importation de données sont fournis.
Pour les transferts aux sous-traitants, préciser également l'objet, la nature et la durée du traitement : Selon les besoins de la prestation de services.
C. Autorité de surveillance compétente
L'autorité de contrôle compétente est le commissaire à l'information de l'Irlande :
Bureau du commissaire à l'information,
6 Earlsfort Terrace,
Dublin 2, D02 W773,
Irlande.
ANNEXE II :
DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) :
Toutes les données sont stockées dans une base de données Sql Server cryptée, hébergée dans un centre de données Microsoft Azure (Londres). L'accès aux données n'est possible que par l'intermédiaire de nos plateformes internes qui disposent d'une authentification basée sur le rôle et l'utilisateur, l'accès étant refusé par défaut et accordé uniquement aux équipes de campagne.
Cryptage - Les données stockées dans nos bases de données sont cryptées à la fois en transit et au repos. Tous les ordinateurs utilisés par l'entreprise sont équipés de disques durs cryptés.
Accès au hub - 2FA - 2FA est disponible pour tous les utilisateurs mais n'est pas appliqué.
Contrôles d'accès - des contrôles d'accès appropriés ont été mis en place - fonctionnels/données - l'accès aux données est limité par la structure organisationnelle, tout comme l'accès fonctionnel (en ce qui concerne SodaStream et Hub). Nous utilisons des "rôles" pour attribuer différents types d'autorisations à différents niveaux d'accès des employés.
Sécurité physique - nous avons mis en place des contrôles d'accès physiques appropriés sur tous les sites, comme l'exige la protection des données. - Les centres de données utilisés sont très sûrs - tous les détails sur le niveau de sécurité physique sont disponibles à l'adresse suivante : https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security .
ANNEXE III - LISTE DES SOUS-TRAITANTS SECONDAIRES
L'importateur de données et l'exportateur de données ont autorisé le recours aux sous-traitants suivants :
| Nom du sous-traitant | Services fournis | Emplacement du sous-processeur | Finalité du traitement | DPA en place avec le sous-traitant(oui ou non) |
| Sopro d.o.o | Développement de logiciels, soutien opérationnel, soutien administratif, développement commercial, gestion de projets. | Macédoine du Nord | Développement, soutien, exploitation et conseil pour nos services GDPR et autres services connexes. | OuiDPA et CSC |
| Sopro Ltd | Développement de logiciels, soutien opérationnel, soutien administratif, développement commercial, gestion de projets. | UK | Développement des entreprises | OuiDPA |
| Sopro Holdings | Développement de logiciels, soutien opérationnel, soutien administratif, développement commercial, gestion de projets. | UK | Développement des affaires et opérations. | OuiDPA |